隨著互聯(lián)網的不斷發(fā)展壯大和日益開放，網絡給人們帶來海量信息的同時也帶來了一定的隱患。用戶傳輸的隱私數據丟失，信息被攔截等事件不斷發(fā)生。對于信息系統(tǒng)的非法入侵和破壞活動正以驚人的速度在全世界蔓延，同時給人們帶來巨大的經濟損失和安全威脅。據統(tǒng)計，每年全球因安全問題導致的損失已經可以用萬億美元的數量級來計算[1]。因此，針對網絡通信帶來的安全性的問題，為了解決用戶傳輸隱私數據丟失或者被截獲的事件的頻發(fā)，讓一種既強調安全性又能夠以快速經濟時效性的算法加密方式加密的安全模型的需求變得迫切起來。該文設計的通信模型能夠有效解決網絡通信所帶來的安全隱患。

　　摘要：隨著互聯(lián)網的不斷普及，網絡給人們的生活帶來了諸多便利，但網絡通信中的數據安全問題卻時刻威脅著人們的隱私和財產安全。文中設計并實現(xiàn)了一種基于網絡實時安全通信的模型，該模型能夠從身份互相確認、信息不可篡改、信息不可否認三方面有效地實現(xiàn)數據安全性，同時通過信息的快速加密與解密實現(xiàn)信息實效性。文中還驗證了的模型和算法的有效性。該模型在網絡通信安全領域有一定的應用價值。

　　關鍵詞：網絡安全,實時通信,數據傳輸,加密算法,通信模型

　　1理論基礎及現(xiàn)狀

　　網絡安全性[2]，可以粗略地分為四個相互交織的部分：保密、鑒別、抗否認和完整性控制。保密是指保護信息在存儲和傳輸的過程中的機密性，防止未授權者訪問；鑒別主要指在揭示敏感信息或進行事務處理前必須先確認對方的身份；抗否認性要求能夠保證信息發(fā)送方不能否認已發(fā)送的信息，這與簽名有關；完整性控制要求能夠保證收到的信息的確是最初的原始數據，而沒有被第三者篡改或偽造。

　　PKI（PublicKeyInfrastructure，公開密鑰體系）[3]，PKI技術利用公鑰理論和技術建立的提供信息安全服務的基礎設施，是國際公認的互聯(lián)網電子商務的安全認證機制，利用現(xiàn)代密碼學中的公鑰密碼技術在開放的Internet網絡環(huán)境中提供數據加密以及數字簽名服務的統(tǒng)一的技術框架。公鑰是目前應用最廣泛的一種加密體制，在這一體系中，加密密鑰與解密密鑰各不相同，發(fā)送信息的人利用接收者的公鑰發(fā)送加密信息，接收者再利用自己專有的私鑰進行解密。這種方式既保證了信息的機密性，又能保證信息具有不可抵賴性。目前，公鑰體系廣泛地用于CA認證、數字簽名和密鑰交換等領域。

　　2模型設計方案

　　基于理論基礎及研究現(xiàn)狀，本方案的重點放在對于身份驗證算法安全性的研究。整個方案是基于已經成熟了的PKI公開密鑰體系，PKI作為一種安全技術已經深入到網絡應用的各個層面，由于其充分利用公鑰密碼學的理論基礎，為各種網絡應用提供全面的安全服務。因此整個方案的基礎已經成熟并且得到了大規(guī)模的應用，現(xiàn)在尚存的問題就是PKI體系如何推廣到無線方面，而整個PKI體系中的核心，數字證書在計算機上已經成熟的算法，關于證書中包含的內容，以及證書的頒發(fā)，撤銷算法。密鑰備份、恢復和更新的算法以及如何驗證證書的算法。

　　1）通過驗證中心發(fā)送給終端的數字證書需要具備3個特點，即不可否認性，不可篡改性和唯一性，可防御重放攻擊、偽造攻擊，實現(xiàn)可信身份認證。

　　2）數字證書使用公鑰體制即利用一對互相匹配的密鑰進行加密、解密[4][5]。每個用戶自己設定一把特定的僅為本人所有的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。因此所面對的問題就是證書的制作和簽發(fā)，和關于數據傳送的加密和解密。

　　3）基于目前流行的操作系統(tǒng)實現(xiàn)上述關鍵問題，并可以嵌入到其它的應用系統(tǒng)。

　　2.1設計目標

　　為解決網絡傳輸中的用戶傳輸隱私數據丟失或者被截獲的事件，新的模型需要兼顧以下兩方面性能：

　　1）安全性：即達到充分保護用戶信息安全的目的。設計需要完成三個目標：即通信雙方的互相確認身份、信息不可篡改和信息不可否認。通信雙方應互相確認來保證通信目標相互沒有被劫持的隱患；信息不可篡改則表示信息在傳輸的過程中不能夠被截獲并且在篡改后重新發(fā)送；信息不可否認目標為信息發(fā)出后，通過密碼學的方法使發(fā)出信息者不能夠否認發(fā)出信息的事實。通過三方面來保證整個信息傳輸過程中的安全性。

　　2）時效性：除了安全性，加密的速度及模型運行的速度也是要考慮的因素，如果模型運行速度過慢則失去時效性。本模型在兼顧安全性的同時兼顧時效性，能夠在保證安全的同時以最短的時間內完成加密過程以保證通信的實時性，信息的時效性。

　　2.2模型的設計與實現(xiàn)

　　2.2.1雙方通信的初始化過程

　　初始化過程類似于TCP傳輸協(xié)議中初始化的三步握手的過程[6]，不過在本模型中加入了雙方交換公鑰證書以及交換隨機生成的雙方都認可的一個隨機碼，作為之后傳輸數據中使用的對稱加密算法中秘鑰的使用。同時在傳輸隨機碼的過程中，使用了PKI非對稱加密算法，來保證安全性，即使用對方的公鑰對信息進行加密，在對方收到后使用自己的私鑰對信息進行解密。如圖1所示：

　　2.2.2證書分發(fā)過程

　　證書生成模型，每一個需要進行通信的客戶端都需要一個公鑰證書，這個證書由一個服務器進行共同管理。作為管理機構進行證書的分發(fā)，身份認證等工作。

　　保證證書不被篡改所使用的算法是Hash算法，通過比較存儲在證書中的公鑰的Hash碼以及通過計算接收到證書的公鑰的Hash碼，并將兩者進行比較，如果相等則證書得到確認，不相等則認證終止，如圖2所示。2.2.3信息通訊過程的加密與解密算法

　　如圖3，加密過程：首先客戶端對信息M進行Hash算法提取摘要數據，之后對M使用在初始化交換得到的隨機性秘鑰通過對稱加密算法DES進行加密，在對M進行Hash算法提取摘要后會得到要一個固定長度的32位或者64位的摘要數據，對摘要數據H使用簽名算法（即使用客戶端的秘鑰進行加密）得到數據H’，之后將經過DES算法加密的信息M與H’通過添加一個分隔符合并一起發(fā)送到服務器端。

　　解密過程：服務器端接到來自客戶端的信息，首先將加密過的M與H’進行分離，通過分隔符來區(qū)分兩者數據，先使用客戶端的公鑰對H’的簽名算法進行解密，得到解密出的M信息的散列碼H，之后通過隨機性秘鑰對DES算法加密過的信息M進行解密，得到信息M，之后計算解密出的信息M的散列碼H2，比較H與H2，如果相等則表示信息安全傳送，在數據庫中記錄后顯示在服務器端，如果不相等則代表數據進行過篡改。

　　2.3算法分析

　　在初始化中使用PKI非對稱加密算法，來保證互相交換隨機碼的安全性。非對稱加密與對稱加密的效率比起來雖然安全性很高但是效率非常低，并不適合在后來信息的傳輸中對有可能由大量字符組成的信息使用非對稱加密。因此在一開始的初始化過程中使用非對稱加密傳送一組隨機碼作為之后信息對稱加密算法的秘鑰來保證信息傳送中加密算法的效率。證書的分發(fā)過程需要保證證書的分發(fā)無誤，因此使用Hash算法來保證客戶端得到了相應的公鑰以及公鑰沒有被篡改。以上兩個步驟保證了安全性的第一個目標，身份互相確認。

　　在信息的傳輸過程中，使用的Hash算法對信息提取摘要數據，并在信息M解密后對信息重新提取摘要數據，并將之對比。這樣做的原因是防止信息在傳輸的過程中被認為的篡改，Hash在提取摘要數據時，即使信息有了最微小的變動，通過Hash算法提取出的摘要數據也會有巨大的不同。這樣就保證了安全性的第二個目標，信息不可篡改。

　　通過對信息提取出的摘要數據進行簽名算法，不僅能夠通過簽名算法自身的特性來保證安全性的第三個目標，信息不可否認。而且由于提取出的摘要數據的位數固定（32位或64位）且都非常小，因此對于簽名算法這樣時間復雜度比較高的算法來說，可以保證在極短的時間內對小數據進行加密解密，通過初始化時候使用非對稱加密來傳送秘鑰，以及之后信息傳送使用效率極高的對稱加密DES來對整個信息進行基礎的加密來保證安全性的同時，這兩點也保證了信息的時效性。

　　經過實際實驗，數據可以在人體感知的范圍之內（0.2s）完成所有加密解密過程，基本不會對時效性有任何影響。

　　3總結

　　互聯(lián)網逐漸深入我們的生活，為人們的日常生活提供了極大便利。我們現(xiàn)在處在一個互聯(lián)網時代，享受著它帶來的好處同時也承受著數據泄露的風險。該文通過對當今的實時熱點領域—網絡的實時安全模型的研究，提出了一種能夠平衡安全性和時效性的模型，能夠從身份互相確認，信息不可篡改，信息不可否認三方面保證安全性的同時，保證了模型的效率，能夠以極快的速度加密與解密信息，保證了信息的時效性，使得模型在電商、互聯(lián)網金融等網絡服務領域能夠貢獻一定的價值。

　　參考文獻：

　　[1]張慶華.信息網絡動態(tài)安全體系模型綜述[J].計算機應用研究，2002，5：4-7.

　　[2]曾志峰.網絡安全測防體系的研究與實現(xiàn)[D].北京：北京郵電大學博士學位論文，2001.

　　[3]荊繼武，林璟鏘，馮登國.PKI技術[M].北京：科學出版社，2008：79-96.

　　[4]DouglasR.Stinson.密碼學原理與實踐[M].3版.北京：電子工業(yè)出版社，2009：141-183.

　　[5]陳運明.動態(tài)網絡安全模型的系統(tǒng)研究[J].網絡安全技術與應用，2005，5：47-49.

---

轉載請注明來自：http://www.jinnzone.com/jisuanjiwangluolw/28843.html