学文网摘 要:如今网络的应用越来越广泛,如网上汇款、网上交易、网上商务活动等。这就要考虑网上传送的这些数据的安全性问题,一旦重要数据被人截获、篡改、或假冒等,对用户或部门都带来难以想象的恶劣后果。造成巨大的经济损失,甚至可能威胁到国家的安全。因此在网上进行传送重要数据时就要考虑网络安全防御,如对这些数据进行加密、签名等操作,以保护用户的数据进行安全的传送。本文就是通过对网络安全防御的一个方面数据加密技术的阐述,使人们了解数据加密的基本原理,引起人们对安全的重视,提高人们对网络安全的意识。
关键词:密钥; PKI; 数字签名; 数字证书; CA认证
1、引言
计算机网络安全是一个非常广泛的概念,一般理解是指网络系统的硬件、软件及其系统中的数据受到保护,不因人为恶意攻击的原因而遭受到破坏、更改、泄露。本文主要阐述的是网络的信息安全。人们研究网络安全防御体系,其中最主要的方法是网络通信中的数字加密技术,如让被截获的信息一时无法打开,一定程度上保证了信息的机密性;而对于信息的完成性,可采用信息的鉴别技术来鉴别验证通信的接收方所收信息的真伪;而针对于信息的不可抵赖性,可采用信息数字签名技术保证发送信息者对所发送信息的不可抵赖,下面我们主要针对这些技术加以简单阐述。
2、数字加密技术
加密技术包括两方面的内容:算法和密钥。算法也有加密算法和解密算法,加密算法是将普通的文本(明文)与一串数字(加密密钥)根据一定的运算法则进行运算,产生不可理解的密文的步骤,解密算法是将密文和解密密钥根据一定的运算法则进行解密运算,从而得到明文的步骤。另外加密密钥和解密密钥可以相同,也可以不同,根据加密密钥和解密密钥是否相同,将加密技术分为对称加密技术(也是传统的数字加密技术)和非称加密技术。密码技术是网络安全最有效的技术之。
3、传统的数字加密技术(对称加密技术)
传统的加密技术是采用对称加密技术的,它是加密密钥与解密密钥是相同的密码体制。它的特点是加密密钥也可以用作解密密钥,这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难。这种加密算法也是早期人们常使用的一种加密技术因此也称为传统的数字加密技术。人们根据得到的密文序列不同分为有序密码与分组密码两种,其中主要的就是分组密码,分组密码中最有名的就是美国的数据加密标准DES和国际数据加密算法IDEA。DES是在加密前先对整个的明文进行分组,每一个组长为64位bit,然后对每一组64位数据进行加密处理,产生一组64位密文数据。最后将各组密文串接起来,即得出整个的密文。使用的密钥为64位bit(实际长度为56位bit,有8位bit用于奇偶校验)。IDEA也是先将明文划分成一个个64位的数据分组,然后经过迭代和变换,得出64位密文。这种算法密码长度为128位密钥,因而更加不容易被攻破。
从论述中可以看到任何用户如果想利用这种加密技术进行相互通信,首先都需要共有一个的密钥。密钥和算法保密,由通信双方妥善保管。例如用户A和用户B利用非对称加密技术要进行通信,首先,用户A和用户B协商利用一定的算法得出一个密钥,这个密钥通信双方利用绝对安全的渠道,进行传送,并妥善保管;然后,发送方对需要传输的文件用自己的密钥进行加密,然后通过网络把加密后的文件传输到接收方;最后,接收方用自己的密钥(实际上与发送方的密钥相同)对收到的密文进行解密,最后得到发送方的明文。
对称密钥体制中,加密密钥和解密密钥是相同的密钥。怎样把密钥从一个地点送到另一个地点呢?实际上我们能想到的一是用计算机网络传送,二是是事先约定,三是用信使传送。用网络传送带来安全的问题,如果网络安全就没有必要对数据加密了;如果用事先约定的方法,如果说经常跟你通信的朋友还可以事先跟你约定好密钥,那么Internet上那么多人和机构是没有办法跟你事先就约定好,并且给密码的更新也带来困难;在高度自动化的今天用信使传送显然是不合适的。另外对称密钥体制中对数字签名及信息鉴别也带来一定的困难,鉴于非对称密钥体制的缺陷,美国科学家于1976所提出了“公开密钥体制”(PKI Public Key Infrastructure),在这种体制中有两个不同的密钥,其中一个密钥信息是公开的,通信的双方都可以从一定的渠道获得,我们称为公钥(PK),公钥主要用来加密通信的数据,而另一个密钥信息是不公开,为拥有者个人保密,我们称为私钥(SK),私钥主要用来解密数据,和数字签名。
PKI技术中通信时发送方用接收方的公钥加密明文数据成为密文,接收方用自己的私钥解密密文成为明文,也就是加密密钥和解密密钥是不同的我们也称为非对称加密技术,有了这种技术解决了对称加密技术带来的缺陷,你的朋友如果要给发送加密数据,你可以用网络把自己的公钥传送给他,由于公钥是公开的不必要担心安全问题,你的朋友也可从***渠道获得你的数字证书从而得到你的公钥信息。
在这种公开密钥体制中,公钥和私钥在数字上是相关的,但即便使用大型计算机运算,要想从公共密钥中逆算出对应的私人密钥也是不可能的。这是因为两个密钥生成的基本原理根据一个数学计算的特性,即两个大素数相乘可以轻易得到一个巨大的数字,但要是反过来将这个巨大的乘积数分解为组成它的两个素数,即使是超级计算机也要花很长的时间。如果是用超过300位十进制的素数作为相乘的基数,就可认为是无法攻破的。在这种密码体制中计算机通过一定的算法可以容易地产生成对的密钥,目前算法较多,最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击,这种算法也是公开的。
4、数字签名
数字签名在ISO7498―2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。从这个定义我们能看到要想完成电子文档的数字签名,必须保证以下三点:(1)接收者能够确认是发送者的签名,(2)发送者事后无法抵赖,(3)接收者无法伪造签名。
现在已有多种方法实现数字签名。下面我们主要介绍采用公开密钥体制实现数字签名的方法。
这种方法是发送者A用其私有密钥对明文数据X通过一定的算法进行签名运算,可得到签名数据Dska(X), Dska(X)经过网络传送到接收者B后,接收者B用发送者A的公有密钥对数据Dska(X)通过一定的算法进行核实签名运算,得到明文X。如果接收者B能得到A的明文信息,就可以证明:接收者B得到的是A签名的信息。
这种模式怎样能实现签名功能呢?首先A的私有密钥只有用户A个人拥有,这一点非常重要,是签名合法化的前提,而公有密钥是公开的,也就是说只有用户A能对数据进行签名运算,现在用户A把一个签名的信息发送给用户B,若用户A要抵赖曾发签名数据给用户B,用户B只要把经过签名的数据Dska(X)给第三者,第三者用A的公钥核实一试如果能得到明文,根据签名的原理,就证明信息一定是用户A发送来的。当然用户A也不能伪造一个数据Y说是用户C发给B的,只要B把数据Y交给第三者,第三者用C的公钥用核实算法根本就得不到明文,这就证明这份信息不是C发给B的。
但上述过程仅对A要发送的数据进行签名,对数据明文X并未保密,对经过签名的数据Dska(X),每个人只要查到A的公钥,都可以核实成数据明文X。要想签名、加密这两方面功能都具备,发送者A在发送数据时用自己的私有密钥签名,然后再用接收者B的公钥对数据加密,B接收到数据后用自己的私钥解密,然后再用A的公钥核实签名就可以了。
5、数字证书(CA认证)
数字证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络环境中的一种身份证,用于证明某一主体的身份以及其公开密钥的合法性。CA颁发的数字证书主要内容有用户公钥后、用户个人注册时的相关信息及CA的签名。
人们要想获得CA认证的数字证书,就必须向CA提出申请,由CA的RA系统提供平台提供信息注册工作。RA是验证和注册实体实际信息的权威机构;用于在证书申请过程中注册和核实数字证书申请者的身份;是CA的重要组成部分。当注册用户的身份确认后,就会在客户端生成密钥对(包含公钥和私钥),并将注册的相关信息及公钥发送给CA中心的RA,RA完成审核后,提交CA签发。在这里说明一下,CA认证中心也有自己的数字证书,证书中也有一对公钥和私钥,并具有权威性,CA的公钥信息是公开的,私钥由CA***府部门独家拥有。CA利用自己的私钥对通过审核的用户申请信息及相应的公钥做签名,就好像我们的身份证盖上***门的章一样,这就形成CA认证的数字证书。CA将经过签名的证书返回给客户端,并可公示给其它实体。注册用户或其它实体用CA的公钥核实,如果通过就可以证实这份证书是合法有效的,并可公开使用。客户端将CA系统签名后的数据与客户端的私钥组合形成个人数字证书,可用网上重要信息传送及网上交易等活动了。
现在人们越来越喜欢在网上购买东西,很多人都是通过支付宝来支付款买东西,所以网络安全及支付宝账号的安全就是人们担心的问题。虽然有许多解决方案但支付宝系统安全证书项目是一项非常有效的方案。人们在注册时通过数字证书软件可得到支付宝数字证书,它由权威公正的第三方机构CA中心签发,数字证书是使用支付宝账户资金的身份凭证之一,是通过将支付宝账号与您使用的电脑进行绑定,即使账号被盗,对方在其它电脑上也动不了您的资金,从而加密您的信息并确保账户资金安全。
7、总结
随着互联网的普及,人们对互联网的依赖也越来越强,网络已经成为人们生活、学习、科研等方面不可缺少的一部分,人们越来越多的重要工作都要在网络上完成,包括一些电子商务。但网络又是一个人人可使用的开放系统,对于在网上传送的重要数据信的安全问题就是人们不得不考虑重要内容。在本文中我们阐述了网络安全的基本知识,并讲解了加密技术在网络安全方面的应用,讲解了数字证书、CA证书在网络方面的重用应用及基本原理,在目前网络交易越来越广泛的社会中,让人们了解网络交易中的数据安全保障和基本原理。
参考文献:
[1] 谢希仁编著.计算机网络(第四版). 辽宁:大连理工大学出版社,2004.2
[2] 王淑江编著.网络安全.北京:机械工业出版社,2007.9
[3] 田园编著. 网络安全教程.北京: 人民邮电出版社,2014.4