数据加密技术在计算机网络安全系统中的实践应用

关键词：数据加密技术；计算机网络安全；安全系统；应用

中图分类号：TP393.08 文献标识码：A

文章编号：1009-3044（2024）36-0079-04 开放科学（资源服务） 标识码（OSID） ：

0 引言

随着互联网技术的飞速发展，网络安全问题日益突出。数据加密技术作为保障网络安全的重要手段，已成为学术界和工业界的研究热点。现有研究主要集中在加密算法的优化与创新、密钥管理机制的完善等方面。虽然取得了诸多进展，但关于数据加密技术在计算机网络安全系统中的实践应用方面的研究相对不足。本文旨在研究数据加密技术在提升计算机网络安全系统性能方面的应用，从研究视角和研究内容上进行创新。通过分析数据加密技术的基本原理和类型，并结合数据加密技术算法，从网络通信加密、VPN建立、数据库加密等方面提出了具体的策略，为提升计算机网络安全系统性能提供参考。

1 数据加密技术的基本类型

1.1 对称加密技术

对称加密技术也称为私钥加密或共享密钥加密，是一种使用相同密钥进行加密和解密的加密方法。常用的对称加密算法包括AES（高级加密标准） 、DES （数据加密标准） 等。对称加密技术的关键在于密钥的安全分发和管理，因为加密和解密都使用同一密钥，一旦密钥泄露，整个加密系统的安全性将受到严重威胁。对称加密技术应用场景如表1所示。

对称加密技术的优点：一是对称加密通常在消息发送方需要加密大量数据时使用，具有算法公开、计算量小、加密速度快、加密效率高的特点，因此非常适合需要高效处理大量数据的场景；二是当使用长密钥时，对称加密技术能提供很高的难破解性，确保数据的安全性；三是对称加密算法的公开性使得其更容易被理解和使用，同时也便于进行安全评估和改进；四是由于发送方和接收方使用相同的密钥，因此在一定程度上简化了密钥管理的复杂性。

对称加密技术的缺点在于：一是虽然对称加密在密钥管理上相对简单，但在实际应用中，如何确保密钥的安全分发和存储存在难度，尤其是当用户数量增加时，密钥的管理和分发将变得更加复杂和困难；二是如果密钥泄露，那么加密信息的安全性将无法得到保证；三是在对称加密中，密钥的交换通常需要在安全信道中进行，如果在非安全信道中通信时，密钥交换的安全性无法得到保障，从而使得对称加密技术无法在这些环境中有效应用；四是与公开密钥加密算法相比，对称加密算法虽然能够提供加密和认证功能，但缺乏签名功能，因此其在某些需要确保数据完整性和身份验证的场景中应用受限。

1.2 非对称加密技术

非对称加密技术也称为公钥加密，使用一对密钥：公钥和私钥。公钥用于加密数据，可以公开分享；私钥用于解密数据，需要保密。这种加密方式提供了更高的安全性，即使在公钥被泄露的情况下，依然可以保证数据的安全，使攻击者无法对数据进行破坏[1]。

非对称加密常用于安全密钥交换、数字签名等场景，如表2所示。常见的非对称加密算法有RSA（Rivest- Shamir-Adleman） 、ECC（椭圆曲线加密） 等。非对称加密技术的优点在于：一是非对称加密使用一对密钥，其中公钥用于加密数据，私钥用于解密数据，即使公钥被泄露，攻击者也无法解密数据，从而保证了数据的安全性；二是非对称加密不需要将私钥分发给其他人，因为公钥具有公开性，任何人都可以使用公钥加密信息，进而降低了密钥泄露的风险，并简化了密钥管理的复杂性；三是非对称加密可以用于数字签名，以验证数据的完整性和来源，发送方使用私钥对数据进行签名，接收方使用公钥验证签名，这样可以确保数据在传输过程中没有被篡改，并且确实来自发送方；四是非对称加密可以支持多方通信，实现更复杂的加密和解密操作，例如，在一个由多个实体组成的网络中，每个实体都可以使用自己的公钥和私钥进行加密和解密，从而实现安全的通信。

非对称加密技术的缺点在于：一是非对称加密的加密和解密过程相对复杂，需要进行大量的数学计算，因此其运算速度较慢，使得非对称加密在处理大量数据时效率较低，通常只用于加密少量数据或用于密钥管理和签名等场景；二是虽然非对称加密解决了密钥分发的问题，但私钥一旦泄露将导致加密数据的不安全，此外，随着用户数量的增加，私钥的管理将变得更加复杂；三是非对称加密的安全性依赖于某些数学难题的难解性，如大数分解、离散对数等，随着计算技术的不断发展，这些数学难题的难解性可能会受到威胁，从而影响非对称加密的安全性[2]。

1.3 哈希函数

哈希函数又称散列函数或散列算法，是通过对任意输入数据（通常称为“消息”或“关键字”） 映射为固定哈希值的函数。哈希函数常用于数据完整性校验、数字签名等领域，能防止数据在传输或存储过程中被篡改。常见的哈希函数包括MD5、SHA-1、SHA- 256等。

哈希函数的优点在于：哈希函数能够在很短的时间内处理大量数据，并生成固定长度的哈希值，因此在处理大数据集时非常高效；对于不同的输入数据，哈希函数通常能够生成截然不同的哈希值，进而保证了数据的唯一性表示，便于数据的快速检索和比对；哈希函数的设计使得从哈希值很难（在理论上几乎不可能） 逆向推导出原始数据，从而增强了数据的安全性，适用于密码存储、数据完整性验证等场景。

哈希函数的缺点在于：虽然哈希函数努力减少碰撞的可能性，但在极大的数据集中，仍会出现两个不同的输入产生相同哈希值的情况，即哈希碰撞；哈希函数生成的哈希值长度具有固定性，意味着对于任意大小的输入数据，输出的哈希值都是相同长度，因此在某些需要可变长度输出的情况下不够灵活；哈希函数是一种单向函数，其将输入数据压缩为固定长度的哈希值，这个过程中会丢失大量原始信息，因此哈希值不能用于恢复原始数据；虽然哈希函数在设计上很难被逆向推导，但随着计算技术的发展，一些旧的哈希函数（如MD5） 已经被发现存在安全漏洞，可以被恶意利用来制造哈希碰撞或进行其他攻击。

2 数据加密技术算法

2.1 DES加密算法

DES（Data Encryption Standard，数据加密标准） 是一种对称加密算法，使用56位密钥（实际上是从64位密钥中减去8位奇偶校验位得到的） 对64位的数据块进行加密。DES算法的核心思想是将明文分成左右两个32位的部分，经过16轮的加密迭代，最终合并成64位的密文。虽然DES算法在历史上被广泛使用，但由于其密钥长度相对较短，容易受到暴力破解攻击，因此现在被认为不够安全，已被更安全的算法如AES 所取代。DES算法每轮迭代包括置换、扩展、S盒替换、P盒置换等步骤，其主要流程如图1所示。

DES 加密算法的优点在于：具有较高的加密速度，适用于实时加密需求；具有较强的抗攻击能力，能够有效防止明文分析攻击；硬件实现较为简单，易于推广应用。

DES加密算法的缺点在于：DES加密算法需要相同的密钥进行加密和解密，密钥管理成为安全隐患；56位的密钥长度较短，容易受到暴力攻击；DES加密算法的安全性不足，不再推荐用于高安全性要求的场景。

虽然DES加密算法的安全性受到质疑，但由于其简洁的算法和较高的加密速度，仍被广泛应用于一些历史场景。例如，DES算法可被用于数据库中敏感数据的加密（如个人信息、银行账户信息等） 、文件的加密（如文档、图片、视频等） 、保护网络通信中的数据传输（如HTTPS、SSL/TLS等） 以及保护移动设备中存储的敏感数据（如手机通讯录、短信、照片等） 。随着更安全的加密算法（如AES） 的出现和普及，DES加密算法在安全性要求较高的场景中的使用正在逐渐减少。

2.2 AES 加密算法

AES（Advanced Encryption Standard，高级加密标准） 是一种可以作为DES 替代者的对称加密算法。AES支持三种密钥长度：128位、192位和256位，以提供不同级别的安全性。AES算法采用分组密码结构，将明文分成固定长度的块（通常是128位） ，并通过一系列复杂的变换（包括字节替代、行移位、列混合和轮密钥加） 来加密每个数据块。

AES加密算法的优点在于：采用了较长的密钥长度，使得破解变得非常困难，是当前最安全的对称加密算法之一；加密和解密速度非常快，尤其是在硬件实现方面，使其在实际应用中非常受欢迎；AES可以根据需要选择不同的密钥长度，以满足不同的安全需求；已被广泛应用于互联网通信、电子商务、金融交易等领域，成为保护数据安全的重要工具。

AES加密算法的缺点在于：由于AES算法采用较长的密钥长度，密钥的生成、存储和分发都需要更多的资源和安全措施；虽然AES算法在硬件实现上效率高，但对于嵌入式设备等资源受限的环境来说，硬件要求易成为挑战；虽然AES算法整体安全性较高，但仍会受到如侧信道攻击等特定攻击方式的影响。

AES加密算法以其高安全性、高效率和灵活性广泛应用于各个领域：AES算法可用于保护在传输过程中的敏感信息，如电子邮件、即时通信和网页浏览等；在文件传输或存储过程中，AES算法可以对文件进行加密，防止文件被窃取或篡改；可用于加密网络数据，保护网络的安全性，防止数据在传输过程中被黑客窃取或篡改；可以用于加密在线支付、用户账户和交易数据，保护用户的财务安全，确保交易的机密性和完整性[3]。

2.3 RSA 公钥加密算法

RSA公钥加密算法属于非对称加密算法，其利用两个大质数p和q生成公钥和私钥。公钥包括模数N 和公钥指数e，用于加密数据；私钥包括模数N和私钥指数d，用于解密数据。加密过程中，明文M通过公钥加密成密文C；解密过程中，密文C通过私钥解密成明文M。具体步骤如下：

选择两个大素数p和q，计算素数的乘积N=p*q；

计算N的欧拉函数φ（N）=（p-1）*（q-1）；

选择一个整数e，1＜e＜φ（N），且e与φ（N）互质；

计算d，使得e*d=1 mod φ（N）；

最终，将（N，e）作为公钥，（N，d）作为私钥。加密数据时，将明文转换为整数M，计算C=Md mod N还原明文。

RSA公钥加密算法的优点包括：RSA算法的安全性基于大质数分解的难解性，目前没有有效的算法可以在合理的时间内分解大质数，因此RSA算法被认为具有很高的安全性；RSA算法采用公钥加密、私钥解密的方式，加密过程中不需要传递私钥，方便信息交换；RSA算法不仅可以用于加密，还可以用于数字签名，保证数据的完整性和真实性；在网络环境中，用户可以轻松地将公钥分配给通信方，而无需复杂的密钥交换过程，简化了密钥的管理和使用。

RSA 公钥加密算法的缺点包括：RSA 算法的加密、解密和密钥生成都需要进行大数运算，计算量较大，因此加密和解密速度较慢；为了保证安全性，RSA 算法需要使用较长的密钥，然而，密钥长度越长，加密解密的速度越慢，密钥管理也更加困难；由于RSA算法对数据大小有限制，因此无法直接加密大数据量的信息，通常需要对数据进行分组加密或结合其他加密算法使用。

RSA公钥加密算法因其高安全性和非对称加密特性，被广泛应用于多个领域：HTTPS、SSH等协议都使用了RSA算法来加密通信过程中的数据，保护网络通信的安全性；在电子商务、电子政务等领域，RSA算法用于对文件或消息进行数字签名，确保数据的完整性和真实性；在网银、电子支付等场景中，RSA算法用于身份认证，确保只有拥有私钥的用户才能解密数据，从而验证用户身份；在云计算、移动设备等场景中，RSA算法可以对敏感数据进行加密，防止数据泄露或被未经授权的用户访问。

3 数据加密技术在计算机网络安全系统中的应用

3.1 网络通信加密

网络通信加密是数据加密技术在计算机网络安全系统中的核心应用，主要针对互联网通信中数据在传输过程中遭遇的各种安全威胁，提供了有效的防护手段。首先，对称加密算法在具体应用中，使用者往往会采用AES密钥和算法完成加密任务，使明文数据变成密文，然后传输到另一方。当对方接收到这一数据后，依然需要采用AES的方式来解密接收到的密文，从而将原始数据恢复成明文数据，即使数据被拦截，也无法被未授权方解读[4]。其次，RSA算法采用一对密钥进行加密和解密操作。在网络通信中，为了确保数据传输的安全性，发送方在加密明文数据时可以应用接收方的公钥，生成难以解读的密文数据，之后这些密文数据被安全地发送给接收方。而对方会采用独有的私钥去解密收到的密文数据，从而恢复出原始的明文数据。最后，传输层安全协议（如TLS/SSL） 在通信过程中，通信双方首先通过握手协议协商加密算法、密钥等安全参数，然后利用协商好的加密算法和密钥对传输的数据进行加密和解密。

以浏览器访问mail.qq.com时使用SSL协议的过程为例：

第一，握手协议阶段。客户端（如浏览器） 向服务器（如mail.qq.com） 提出TCP连接请求，建立起TCP连接后，客户端向服务器发送Client Hello消息，传送客户端SSL的各种信息。服务器收到建立SSL连接的请求后，向客户端传送SSL协议的版本号、加密算法的种类、随机数以及其他相关信息，同时服务器还会向客户端传送自己的证书，证书中包含服务器的公钥。之后，客户端利用服务器传来的信息验证服务器的合法性，包括检查证书的签名是否由可信的证书颁发机构（CA） 签发、证书是否过期、证书中的公钥能否正确解开服务器证书的“发行者的数字签名”、服务器证书上的域名是否和服务器的实际域名相匹配。一旦证书验证通过，客户端会生成一个随机的对称密钥，并使用服务器的公钥进行加密，然后将加密后的“预主密钥”传给服务器，服务器收到加密后的对称密钥后，使用自己的私钥进行解密，得到对称密钥。第二，加密通信阶段。客户端和服务器使用协商好的对称密钥对传输的数据进行加密和解密：客户端发送加密后的数据到服务器，服务器使用相同的对称密钥解密数据；同样，服务器发送加密数据到客户端，客户端使用对称密钥解密数据。在加密通信过程中，还会使用消息认证码（MAC） 来保护数据的完整性。MAC是通过对数据进行哈希计算得出，用于检测数据是否被篡改。

通过这一案例，可以看到TLS/SSL协议如何通过握手协议协商加密算法、密钥等安全参数，并利用这些参数对传输的数据进行加密和解密，从而实现网络通信的加密。TLS/SSL协议为网络通信提供了强大的安全保障，广泛应用于各种互联网应用中，如Web浏览器和服务器之间的安全通信（如HTTPS） 、电子邮件传输、即时消息应用程序以及VPN连接等。

3.2 虚拟私人网络（VPN）的建立

虚拟私人网络（VPN） 是一种在公共网络上创建加密通道，实现远程安全访问的技术，其核心在于利用数据加密技术，为远程用户提供安全的网络访问环境。VPN在计算机网络安全中的具体应用为：通过隧道技术在公共网络上建立一个加密的通信通道，该通道可以看作是一个虚拟的专用线路，数据在隧道中以加密的形式传输，从而避免被公共网络上的其他用户窃取或篡改。在VPN中，数据在传输前会被加密，常用的加密算法包括对称加密算法（如AES） 和非对称加密算法（如RSA） ，其中对称加密算法用于加密实际传输的数据，确保数据在隧道中的机密性；非对称加密算法则用于密钥交换和身份验证，增强隧道的安全性[5]。

VPN技术广泛应用于企业远程办公、分支机构间通信等场景，一些新的VPN协议（如IKEv2、OpenVPN 等） 提供了更高的安全性和更好的性能。其中，OpenVPN是一种基于SSL/TLS协议的VPN解决方案，主要使用OpenSSL库进行加密和认证。OpenVPN的实现机制主要包括以下几个步骤：一是建立安全连接，客户端和服务器之间首先通过TLS协议进行握手，验证对方的身份并协商加密算法和密钥；二是创建隧道，一旦安全连接建立，客户端和服务器之间就会创建一个加密的隧道，所有通过隧道传输的数据都会被加密；三是数据传输，客户端将需要传输的数据封装在隧道协议中，并通过加密隧道发送给服务器，服务器接收到数据后，解密并转发到目标网络；四是路由和转发，服务器根据路由表将解密后的数据转发到目标网络中的相应设备，同时服务器也会将来自目标网络的响应数据加密后通过隧道发送回客户端。例如，一家跨国企业需要在全球范围内建立安全的远程办公网络，选择了OpenVPN 作为VPN 解决方案。在具体操作中，首先需要在企业总部部署一台OpenVPN服务器，并配置好相关的网络参数和安全策略，然后为远程办公的员工分发OpenVPN客户端软件，并配置好与服务器连接所需的参数（如服务器地址、端口号、认证证书等） 。员工在远程办公时，通过OpenVPN客户端连接到企业总部的VPN服务器，在连接建立后，员工就可以像在公司内部网络一样访问企业内部的资源和应用程序。这一过程中，所有通过VPN隧道传输的数据都会被加密，确保数据在传输过程中的机密性和完整性。通过OpenVPN的部署和实施，跨国企业能够成功建立起安全、高效的远程办公网络，为员工的远程工作提供了有力的支持。

3.3 数据库加密

数据库加密技术通过对数据库中的数据进行加密处理，可以有效防止未经授权的访问和数据泄露，提高数据库的整体安全性。MySQL数据库在计算机网络中应用时，能够提供多种加密功能，更好地保护存储在数据库中的敏感数据。通常来说，MySQL数据库具有的加密功能主要包括：一是透明数据加密（TDE） ，TDE是一种在数据库层对数据进行加密的技术，可以在不影响数据库性能的情况下，实现对数据的透明加密。在应用过程中，TDE主要通过生成加密密钥，并在数据库启动时自动对数据库文件进行加密；当应用程序访问数据库时，MySQL会自动解密加密的数据库文件，以明文形式返回给应用程序。例如，某公司有一个重要的MySQL数据库，其中存储了大量的敏感信息，为了保护这些数据的安全，公司决定采用透明数据加密技术。具体应用过程为：首先使用MySQL提供的加密函数生成一对加密密钥，并在MySQL配置文件中启用TDE功能；之后，每当数据库启动时，MySQL都会自动使用加密密钥对数据库文件进行加密处理，这样即使数据库文件被盗或泄露，攻击者也无法直接读取其中的敏感信息；同时，由于加密后的数据库文件仍然可以正常访问，因此不会影响公司应用程序的正常运行。二是字段级加密，MySQL 可以对数据库中的特定字段或列进行加密处理。MySQL提供了如AES_ENCRYPT（）和AES_DECRYPT（） 等函数，允许用户在插入数据时对数据进行加密，在查询数据时对数据进行解密[6]。例如，一家金融机构在MySQL数据库中存储了大量的客户信息，包括姓名、身份证号、银行卡号等敏感信息。为了保护这些信息的安全，该金融机构采用字段级加密的方式，在创建数据库表时，为身份证号、银行卡号等敏感字段指定加密属性。每当向这些字段插入数据时，MySQL 都会自动对数据进行加密处理；当需要查询这些数据时，MySQL又会自动对数据进行解密处理，以确保数据的可用性。通过这种方式，金融机构有效地保护了客户的敏感信息，防止了数据泄露的风险。

4 结束语

综上所述，数据加密技术在计算机网络安全中占据核心地位，其通过不同加密算法和加密方式的应用，能够有效保护数据的安全性。本文通过对计算机网络中各种加密技术的应用进行深入讨论，形成了较为完整的理论体系，为后续相关研究提供了新的思路和方法。同时，研究充分证明了加密方案在计算机网络中的有效性和可行性，为计算机网络安全系统的性能提升提供了有力支撑，也进一步推动了数据加密技术的广泛应用。随着后量子密码学、同态加密、联邦学习等新兴技术的发展，未来还需要不断探索新的加密算法和密钥管理机制，以应对日益严峻的网络安全威胁，为构建更加安全、可靠、高效的数字化世界贡献力量。