网络传输中的数据安全

网络传输中的数据安全

摘要：密码学作为信息安全的基石，在保护数据泄露作出了突出贡献。非对称加密体制、对称加密体制和数字签名技术是密码学的3大分支，基于数字信封技术，充分利用3种加密算法的优点，组合使用以保障网络传输中的数据安全。利用AES算法、RSA算法和Hash 函数构建一种能够实现数据快速加密、安全传输、并具有数字签名功能的数据加密传输系统，该系统保证了数据的机密性、完整性、身份

验证和不可否认性。

关键词：数据安全；加密；AES算法；RSA算法；Hash函数

0 引言

网络数据传输安全指的是数据在网络传输时，数据的机密性、完整性、不可篡改性未遭到破坏，而且顺利到达目的地的过程。随着计算机网络的日益普及，网络传输过程中的数据安全越显重要。为保障数据的安全，一般采用的被动方法有物理隔离、防火墙、网络代理、内部网络监控与过滤等；主动的保护方法一般可以建立安全通信通道（物理或者虚拟）、加密传输数据等。当前，一种高效的、广泛应用的方法是使用加密技术来保障数据在传输过程中的安全，同时还能有效保护存储数据的安全，密码技术是保护数据安全最基本也是最有效

的核心技术。

1 密码技术

为了保护网络传输中数据的安全，可将数据安全分为3个部

分：数据加密、数据传输安全和身份认证管理。其中，数据加密是对传输中的数据流加密，以防止传输线路上的信息被窃听和泄漏，保证信息的机密性；传输安全是确保传输信息不被篡改和破坏以保证其完

整性；身份认证是确定信息交换双方的合法身份。

加密技术利用置换和变换的方法将信息转化成为密文，它的安全性取决于所采用的加密算法和密钥强度。根据密钥类型可将密码技术分为对称加密技术和非对称加密技术，即私钥密码和公钥密码。数字签名在密码技术上的实现是不可逆加密算法，它利用散列函数提供消息完整性保护。对称加密技术、非对称加密技术和不可逆加密技术

可以分别应用于数据加密、身份认证和数据安全传输。

1.1 对称加密技术

对称加密技术即私钥密码技术，是将明文和密钥一起经过加密算法，加密形成密文发送，解密则使用加密的密钥和加密算法的逆算法对密文进行解密，恢复明文信息。其优点是算法简单并公开，加解密速度快、计算量小、效率高，运行占用资源少等，目前仍然是主流的密码体制之一。

数据加密标准（DES）是最常用的对称加密算法，随着现代密码技术的发展，其56位有效密钥已难以满足现在密钥的要求，而旨在用来取代DES成为新一代加密标准的高级加密标准（AES），其算法的实现更简单，具有强扩散性，形成的密文有很高的随机性，抗差分和线性密码分析能力强。

AES加密标准使用的Rijndael加密算法，该算法是一个分组长

度和密钥长度均可变的迭代型分组密码，分组和密钥长度可分别是128、192、256位。AES加密标准可使用128 (AES-128)、192(AES-192)、256(AES-256)位加密128位明文数据，其中标准的AES即128位密钥的AES-128算法，Rijndael算法的密钥长度和分组长度共同决定算法中轮函数的迭代次数，128位密钥加密128位明文时迭代的次数是

10次。AES加解密的过程如下图1所示。

128位AES加密强度是56位DES加密强度的1021倍，即如果当前存在一台能用1秒时间破解DES密码的密码机，那么利用这台密码机破解128位的AES密码需要大约149万亿年的时间，由此

可知AES加密算法的安全性。

1.2 非对称加密技术

非对称加密技术即公钥密码技术，它利用一对不同的密钥进行加解密，公开的公钥进行加密，私钥进行解密，两个密钥之间不可能从一个推导出另一个。公钥密码算法的安全性是基于一些数学难题，而且是公认短期内不可能得以解决的难题。它的密钥分配协议简单、

应用广泛，不仅可以加密还可以提供数字签名。

图1 AES加/解密流程

公钥加密算法中使用最广的是RSA算法，它是一种基于数论中欧拉定理的公钥密码系统，它的安全性依赖于大数因子分解的困难性，即它的密码强度是建立在计算复杂性基础上的。RSA的密钥长度从40到2048位可变，加密时也将明文分成大小可变的块，块大小

不能超过密钥的长度。RSA算法把明文块转化为与密钥长度相等的密文块，密钥越长，加密效果越佳，但加解密的开销也随之增加，所以一般会折衷考虑安全与性能，普遍认为64位是较合适的选择。

RSA算法的加解密过程可分为初始化、加密、解密三部分。初始化阶段进行如下处理，随机选择两个素数p和q，计算公开模数n=p×q和欧拉指示函数(n)=(p-1)(q-1)，再选择与(n)互素的随机数e作为公钥，计算私钥d满足(d×e)mod(n)=1，公开模数n、公钥e，保密私钥d，销毁p、q

加密处理如下：对明文信息m，加密算法E，计算得出的密文c=E(m)≡m c(mod n)

解密处理如下：利用解密D计算明文m=D(c) ≡c d(mod

n)

1.3 不可逆加密技术

不可逆加密算法不完全符合加密算法的模式，它是通过将明文信息作为不可逆函数的输入，计算得出的函数值即为密文，因为加密函数是不可逆的，因此不存在所谓的解密。只有输入相同的明文和相同的加密函数才能得到相同的密文。因此，不可逆加密算法不存在密钥的分发与保管问题，适合在分布式网络系统上使用，但加密计算复杂，工作量大。

Hash算法也叫消息摘要或单向散列，是一种不可逆的加密算法，使用Hash函数的通信双方必须各自计算hash函数，目前计算机对计算Hash函数的逆过程是无能为力的。Hash散列主要是用于加密

检查，通信双方必须各自计算Hash函数来验证消息。最常用的两种Hash函数分别是MD5和SHA，消息摘要算法MD5是使用64个32位常数，通过散列计算后，得出128位的完整性校验和，安全Hash 算法SHA是使用79个32位常数，产生一个160位的完整性校验和，

SHA校验和长度比MD5更长，因此安全性要高。

2 企业级数据安全方案

2.1 设计思想

当使用对称密码加密时，需要使用惟一密钥，这就会使通信双方所拥有的密钥数量成几何倍数增长，因此，密钥管理困难，使用成本高，在分布式网络中使用较为困难。公钥加密算法使用两个密钥，因而特别适用于分布式系统中的数据加密，公钥密码的应用也非常广泛，但公钥密码加密速度慢，RSA算法加密时间大约是DES算法的1000倍。

保证数据传输安全不仅需要对传输中的数据进行加密，保证数据的机密性，同时还要防止数据遭到恶意破坏和确定发送者的身份，因此还需要数字签名技术的支持。加密可以有效的防止传输线路上被窃听，造成数据信息的泄漏，数字签名是利用单向不可逆的Hash函数或者消息摘要算法计算所传输的数据，形成消息摘要，将消息摘要作为数字签名随数据一起发送，数字签名可以防止传输数据被篡改或破坏。

在目前的网络环境下，公钥密码符合网络开放性要求，密钥管理简单，在电子商务等技术上应用广泛；对称密码加密速度快、效率