隨著計算機網路技術的飛速發展,大大改變了人們的生活面貌,促進了社會的發展。網際網路是一個面向大眾的開放系統,對於資訊的保密合系統的安全性考慮得並不完備,由此引起得網路安全問題日益嚴重。如何保護計算機資訊的的內容,也即資訊內容的保密問題顯得越來越重要。
網路安全技術概述
本質上講,網路安全就是網路上的資訊保安。從廣義上來說,凡是涉及到網路資訊的保密性、完整性、可用性、真實性和可控性得相關技術和理論都是網路安全的研究領域。
資訊保安的技術主要包括監控、掃描、檢測、加密、認證、防攻擊、防病毒以及審計等幾個方面,其中加密技術是資訊保安的核心技術,已經滲透到大部分安全產品之中,並正向晶片化方向發展。
1、資訊加密技術
在保障資訊保安各種功能特性的諸多技術中,密碼技術是資訊保安的核心和關鍵技術,通過資料加密技術,可以在一定程度上提高資料傳輸的安全性,保證傳輸資料的完整性。一個數據加密系統包括加密演算法、明文、密文以及金鑰,金鑰控制加密和解密過程,一個加密系統的全部安全性是基於金鑰的,而不是基於演算法,所以加密系統的金鑰管理是一個非常重要的問題。
資料加密過程就是通過加密系統把原始的數字資訊(明文),按照加密演算法變換成與明文完全不同得數字資訊(密文)的過程。
假設E為加密演算法,D為解密演算法,則資料的加密解密數學表示式為:P=D(KD,E(KE,P))
2、資料加密技術
2.1、資料加密技術
資料加密技術主要分為資料傳輸加密和資料儲存加密。資料傳輸加密技術主要是對傳輸中的資料流進行加密,常用的有鏈路加密、節點加密和端到端加密三種方式。
鏈路加密是傳輸資料僅在物理層前的資料鏈路層進行加密,不考慮信源和信宿,它用於保護通訊節點間的資料,接收方是傳送路徑上的各臺節點機,資訊在每臺節點機內都要被解密和再加密,依次進行,直至到達目的地。
與鏈路加密類似的節點加密方法,是在節點處採用一個與節點機相連的密碼裝置,密文在該裝置中被解密並被重新加密,明文不通過節點機,避免了鏈路加密節點處易受攻擊的缺點。
端到端加密是為資料從一端到另一端提供的加密方式。資料在傳送端被加密,在接收端解密,中間節點處不以明文的形式出現。端到端加密是在應用層完成的。在端到端加密中,除報頭外的的報文均以密文的形式貫穿於全部傳輸過程,只是在傳送端和接收端才有加、解密裝置,而在中間任何節點報文均不解密,因此,不需要有密碼裝置,同鏈路加密相比,可減少密碼裝置的數量。另一方面,資訊是由報頭和報文組成的,報文為要傳送的資訊,報頭為路由選擇資訊,由於網路傳輸中要涉及到路由選擇,在鏈路加密時,報文和報頭兩者均須加密。而在端到端加密時,由於通道上的.每一箇中間節點雖不對報文解密,但為將報文傳送到目的地,必須檢查路由選擇資訊,因此,只能加密報文,而不能對報頭加密。這樣就容易被某些通訊分析發覺,而從中獲取某些敏感資訊。
鏈路加密對使用者來說比較容易,使用的金鑰較少,而端到端加密比較靈活,對使用者可見。在對鏈路加密中各節點安全狀況不放心的情況下也可使用端到端加密方式。
2.2、資料加密演算法
資料加密演算法有很多種[3-4],密碼演算法標準化是資訊化社會發展得必然趨勢,是世界各國保密通訊領域得一個重要課題。按照發展程序來分,經歷了古典密碼、對稱金鑰密碼和公開金鑰密碼階段,古典密碼演算法有替代加密、置換加密;對稱加密演算法包括DES和AES;非對稱加密演算法包括RSA、揹包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamalD_H等。目前在資料通訊中使用最普遍的演算法有DES演算法、RSA演算法和PGP演算法等。
(1)DES加密演算法(資料加密標準)
DES是一種對二元資料進行加密的演算法,資料分組長度為64位,密文分組長度也是64位,使用的金鑰為64位,有效金鑰長度為56位,有8位用於奇偶校驗,解密時的過程和加密時相似,但金鑰的順序正好相反。
DES演算法的弱點是不能提供足夠的安全性,因為其金鑰容量只有56位。由於這個原因,後來又提出了三重DES或3DES系統,使用3個不同的金鑰對資料塊進行(兩次或)三次加密,該方法比進行普通加密的三次塊。其強度大約和112位元的金鑰強度相當。
(2)RSA演算法
RSA演算法既能用於資料加密,也能用於數字簽名,RSA的理論依據為:尋找兩個大素數比較簡單,而將它們的乘積分解開則異常困難。在RSA演算法中,包含兩個金鑰,加密金鑰PK,和解密金鑰SK,加密金鑰是公開的,其加密與解密方程為:
其中n=p×q,P∈[0,n-1],p和q均為大於10100的素數,這兩個素數是保密的。
RSA演算法的優點是金鑰空間大,缺點是加密速度慢,如果RSA和DES結合使用,則正好彌補RSA的缺點。即DES用於明文加密,RSA用於DES金鑰的加密。由於DES加密速度快,適合加密較長的報文;而RSA可解決DES金鑰分配的問題。
3、加密技術的發展
3.1、密碼專用晶片整合
密碼技術是資訊保安的核心技術,無處不在,目前已經滲透到大部分安全產品之中,正向晶片化方向發展。在晶片設計製造方面,目前微電子水平已經發展到0.1微米工藝以下,晶片設計的水平很高。我國在密碼專用晶片領域的研究起步落後於國外,近年來我國積體電路產業技術的創新和自我開發能力得到了提高,微電子工業得到了發展,從而推動了密碼專用晶片的發展。加快密碼專用晶片的研製將會推動我國資訊安全系統的完善。
3.2、量子加密技術的研究
量子技術在密碼學上的應用分為兩類:一是利用量子計算機對傳統密碼體制的分析;二是利用單光子的測不準原理在光纖一級實現金鑰管理和資訊加密,即量子密碼學。量子計算機是一種傳統意義上的超大規模平行計算系統,利用量子計算機可以在幾秒鐘內分解RSA129的公鑰。根據internet的發展,全光網路將是今後網路連線的發展方向,利用量子技術可以實現傳統的密碼體制,在光纖一級完成金鑰交換和資訊加密,其安全性是建立在Heisenberg的測不準原理上的,如果攻擊者企圖接收並檢測資訊傳送方的資訊(偏振),則將造成量子狀態的改變,這種改變對攻擊者而言是不可恢復的,而對收發方則可很容易地檢測出資訊是否受到攻擊。目前量子加密技術仍然處於研究階段,其量子金鑰分配QKD在光纖上的有效距離還達不到遠距離光纖通訊的要求。
