加密技术在网络安全中的应用王玉芳李铁俊刘伟中国传媒大学信息工程学院100024摘要:本文主要介绍了网络安全性及目前网络面临的主要安全威胁,加密算法的分类及其作用,简单对加密算法之一RSA算法做了改进,以及密钥的管理方法。关键字:网络安全、加密技术、RSA算法、密钥管理1网络安全概述当今社会已经进入了高速发展的21世纪,而21世纪的重要特征就是数字化、网络化和信息化,是一个以网络为核心的信息时代。Internet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络信息与安全的问题。而作为网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。因此,网络的安全性成了人们讨论的主要话题之一。而网络安全主要研究的是病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天,网络安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如TelnetDaemon、FTPDaemon和RPCDaemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。人们面临的计算机网络系统的安全威胁日益严重,需要网络安全技术来克制这些威胁。目前常用的几种网络安全技术主要有:数据加密技术、防火墙(FireWall)技术、系统容灾技术、漏洞扫描技术、物理安全。本文主要介绍加密技术在网络安全中的应用。2加密技术数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密钥管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据加密在许多场合集中表现为密钥的应用,密钥管理技术事实上是为了数据使用方便。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。另外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,这对信息处理系统的安全起到极其重要的作用。与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。3加密算法3.1加密算法的分类对称算法有时又叫做传统密码算法,就是加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加/解密密钥是相同的。这些算法也叫秘密密钥或单密钥算法,它要求发送者和接收者在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密,密钥就必须保密。因此对称算法就是指加密和解密过程均采用同一把密钥,如DES,3DES,AES等算法都属于对称算法。非对称算法也叫做公开密钥算法,用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来(至少在合理假定的长时间内)。之所以叫做公开密钥算法,是因为加密密钥能够公开,即陌生者能用加密密钥加密信息,但只有用相应的解密密钥才能解密信息。但是从公钥中推导出私钥是很难的。RSA、DSA等算法属于非对称算法,其中以RSA的应用最为广泛,不仅能用于加密同时又可以数字签名。明文加密方法解密方法明文密文解密密匙加密密匙加密密匙解密密匙接收者发送者图1公开密匙密码体制3.2对非对称加密算法RSA的一个改进非对称加密算法RSA的安全性一般主要依赖于大数,但是否等同于大数分解一直未能得到理论上的证明,因为没有证明破解RSA就一定需要作大数分解。因此分解模数是最显然的攻击方法,因此,人们为了安全性选择大于10100的模数,这样无疑降低了计算公要和密钥的算法的事件复杂度。因此,在RSA算法的基础上,提出了一个RSA算法的改进,具体思路如下:用户x的公开加密变换Ex和保密的解密变换Dx的产生:(1)随机选取N个素数12,,,nppp;(2)计算1212**,()(1)*(1)*(1)xnxnnpppnppp;(3)随机选取整数xe满足(,())1xxen;(4)利用欧几里得算法计算dx,满足*1mod()xxxedn;(5)公开,xxen作为xE,记为{,}xxxEen,保密12,,,,()nxpppn作为xD,记为12{,,,,()}xnxDpppn。加密算法:()(mod)xxcEmmexn,解密算法:()(mod)xxmDccdxn,在RSA算法中,包含两个密钥:加密密钥PK和解密密钥SK,加密密钥公开。通过证明程序在二进制情况下计算8*8的速度明显大于2*2*2*2*2*2的速度,证明了这个RSA算法的先进性,由于RSA算法的变种还是在原来的算法的基础上应用费尔马小定理得出的加密算法,由数学归纳法可证明这个算法成立,在根本上没有违背RSA算法的安全性,因此也就保证了RSA算法改进的安全性。3.信息加密技术的发展3.1密码专用芯片集成密码技术是信息安全的核心技术,无处不在,目前已经渗透到大部分安全产品之中,正向芯片化方向发展。考虑到DES算法公开后的种种问题,新的数据加密标准不再公开,对用户提供加密芯片和硬件设备。在芯片设计制造方面,目前微电子水平已经发展到0.1微米工艺以下,芯片设计的水平很高。近年来我国集成电路产业技术的创新和自我开发能力得到了提高,微电子工业得到了发展,从而推动了密码专用芯片的发展。加快密码专用芯片的研制将会推动我国信息安全系统的完善。3.2量子加密技术的研究量子技术在密码学上的应用分为两类:一是利用量子计算机对传统密码体制的分析;二是利用单光子的测不准原理在光纤一级实现密钥管理和信息加密,即量子密码学。根据internet的发展,全光网络将是今后网络连接的发展方向,利用量子技术可以实现传统的密码体制,在光纤一级完成密钥交换和信息加密,其安全性是建立在Heisenberg的测不准原理上的,如果攻击者企图接收并检测信息发送方的信息(偏振),则将造成量子状态的改变,这种改变对攻击者而言是不可恢复的,而对收发方则可很容易地检测出信息是否受到攻击。目前量子加密技术仍然处于研究阶段,其量子密钥分配QKD在光纤上的有效距离还达不到远距离光纤通信的要求。4.结语信息安全问题涉及到国家安全、社会公共安全,世界各国已经认识到信息安全涉及重大国家利益,是互联网经济的制高点,也是推动互联网发展、电子政务和电子商务的关键,发展信息安全技术是目前面临的迫切要求。加密技术随着网络的发展更新,将有更安全更易于实现的算法不断产生,为信息安全提供更有力的4密钥管理4.1密钥管理的基本内容由于密码算法是公开的,网络的安全性就完全基于密钥的安全保护上。密钥管理包括:密钥的产生,分配,注入,验证和使用。它的基本任务是满足用户之间的秘密通信。在这有的是使用公开密钥体制,用户只要保管好自己的秘密密钥就可以了,公开密钥集体公开在一张表上,要向哪个用户发密文只要找到它的公开密钥,再用算法把明文变成密文发给用户,接收放就可以用自己的秘密密钥解密了。所以它要保证分给用户的秘密密钥是安全的。有的是还是使用常规密钥密码体制,当用户A想和用户B通信时,他就向密钥分配中心提出申请,请求分配一个密钥,只用于A和B之间通信。4.2密钥分配密钥分配是密钥管理中最大的问题。密钥必须通过安全的通路进行分配。目前,公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。每个用户只保存自己的秘密密钥和KDC的公开密钥PKAS。用户可以通过KDC获得任何其他用户的公开密钥。首先,A向KDC申请公开密钥,将信息(A,B)发给KDC。KDC返回给A的信息为(CA,CB),其中,CA=DSKAS(A,PKA,T1),CB=DSKAS(B,PKB,T2)。CA和CB称为证明书,分别含有A和B的公开密钥。KDC使用其解密密钥SKAS对CA和CB进行了签名,以防止伪造。时间戳T1和T2的作用是防止重放攻击。然后,A将证明书CA和CB传送给B。B获得了A的公开密钥PKA,同时也可检验他自己的公开密钥PKB。对于常规密钥进行分配要分三步:(1)用户A向KDS发送自己的密钥KA加密的报文EKA(A,B),说明想和用户B通信。(2)KDC用随机数产生一个“一次一密”密钥R1供A和B这次的通信使用,然后向A发送回答报文,这个回答报文用A的密钥KA加密,报文中有密钥R1和请A转给B的报文EKB(A,R1),但报文EKB(A,R1)是用B的密钥加密的,因此A无法知道其中的内容,它也没必要知道。(3)当B收到A转来的报文EKB(A,R1)并用自己的密钥KB解密后,就知道A要和他通信,同时也知道和A通信应当使用的密钥R1。5结束语目前,无论是网络的内部还是外部面临着如此多的威胁,如:来自黑客攻击、计算机病毒和拒绝服务攻击等,为了解决网络的安全问题,人们采取了多种措施,本文中主要介绍了加密技术在网络安全中的应用,加密算法中主要介绍了非对称加密算法RSA,并对其作了相应的改进,最后对目前面临的密钥管理问题进行了分析。参考文献:[1]段云所:网络信息安全讲稿.北京大学计算机系,2001[2]余登安::计算机信息网络安全初探.电脑知识与技术,2008.11[3]戴双玲:信息网络安全体系的探讨.新疆石油科技,2008.3[4]江常青:国家基础信息网络安全保障与评估,通信市场,2007.3作者简介:王玉芳(1984.9—)中国传媒大学信息工程学院硕士研究生,研究方向:信息网络技术