摘 要: 针对现阶段信息安全存在的问题,本文主要介绍以密码学为基础的对称密钥加密、数字签名、数字信封等技术的基本原理,提出了信息安全技术相应的防范手段。
关键词: 信息安全;密钥;等级;
0、引言
解决信息安全的四大要素是保密性、完整性、不可否认性和身份确定性。目前,通用的办法是采用建立在PKI (Public Key infrastructure)基础之上的CA数字安全证书体系结构,该安全证书体系主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。本文主要介绍了以密码学为基础的上述各技术的基本原理。
1、对称和公开密钥算法
加密和解密方法分为两类:对称密钥和公开密钥。对称密钥加密是指密码方案中,从加密密钥容易计算出解密密钥(或反过来从解密密钥容易计算出加密密钥),且多数情况下加密和解密用同一个密钥。有时也把它称为单钥加密或传统加密。加密和解密经由复杂的非线性变换实现。算法表示为:E k(M)=C,D k(C)= M。公钥加密的主要特点是加密和解密不需要用同一个钥匙。在公钥加密体系中,密钥论“对”,一个称为“公钥”,一个称为“私钥”。公钥和私钥互为“逆运算”,即用公钥加密的东西只有用它对应的私钥才能解密,而用私钥加密的东西也只有用它对应的公钥才能正确解密。公钥要广为传播,越广泛越好;私钥为个人所有,越秘密越好。而且,令人惊奇的是,公钥的广泛传播并不会影响私钥的秘密性,即公钥和私钥之间几乎没有什么相关性,由公钥推出私钥的可能性几乎为零。
在公开密钥密码体制中,常用的一种是RSA体制。RSA是一个可以支持变长密钥的公开密钥加密算法,但是,它要求所要加密的报文块长度必须小于密钥的长度。
比较两种加密算法各有优缺点:对称密码术的优点在于效率高(加/解密速度能达到数十兆/秒或更多),算法简单,系统开销小,适合加密大量数据;但进行安全通信前需要以安全方式进行密钥交换而且规模复杂。公开密钥算法由于使用了一对密钥,一个用于加密信息,另一个则用于解密信息,通信双方无需事先交换密钥就可进行保密。多数公钥加密比对称密钥加密的速度要慢几个数量级,而且公钥加密方案的密钥长度比对称加密的密钥要长。
2、数字证书
CA数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在交往中用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUTX.509国际标准。
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
3、数字信封技术和数字签名技术
由于对称加密和公钥加密各有优缺点,所以我们将两种加密方法结合起来便可以更加有效地利用各自的优点。把对称加密和公钥加密体系结合起来,我们可以得到一个新的体系,它能够提供保密性和访问控制。我们可以用对称加密来加密海量数据,然后用公钥加密算法把对称加密密钥加密起来。这样就兼具有了对称加密和公钥加密二者的长处。如果我们想给多个人发送,我们只须把一个对称密钥为每个人加密一下。
数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要,并通过与自己用收到的原始数据产生的哈希摘要对照,便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性。
哈希函数(Hash)满足:① 接受的输入报文数据没有长度限制; ② 对任何输入报文数据生成固定长度的摘要(“数字指纹”)输出;③ 由报文能方便地算出摘要;④ 难以对指定的摘要生成一个报文,由该报文可以得出指定的摘要; ⑤ 难以生成两个不同的报文具有相同的摘要。 数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的DES对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。
图中的具体描述为 (1) 数字信封技术其具体的实现方法和步骤:① 在需要发送信息时,发送方首先生成一个秘密密钥(对称密钥);② 利用生成的秘密密钥加密算法对要发送的信息加密; ③ 发送方利用接受方提供的公开密钥对生成的秘密密钥进行加密; ④ 发送方把加密后的密文通过网络传送给接受方;⑤ 接受方使用公开密钥加密算法,利用自己的私钥将加密的秘密密钥还原成明文;⑥ 接收方利用还原的秘密密钥,使用秘密密钥加密算法解密被发送方加密的信息,还原的明文既是发送方要发送的数据信息。 (2) 数字签名技术的具体实现过程:① 发送方使用安全单向散列函数(Hash函数)对要发送的信息运算,生成信息摘要; ② 发送方使用自己的私钥,利用公开密钥加密算法对生成的信息摘要进行数字签名; ③ 发送方通过网络将信息本身和已进行数字签名的信息摘要发送给接受方; ④ 接受方使用与发送方同样的安全单向散列函数对收到的信息本身进行操作,重新生成信息摘要; ⑤ 接受方使用发送方的公钥,利用公开密钥加密算法解密接收的信息摘要;⑥ 通过解密的信息摘要与重新生成的信息摘要进行比较,判别信息是否在发送过程中被篡改过,同时也可以进行身份验证。
4、结束语
在信息安全中采用PKUCA和KMI体系使信息和数字证书绑定,有效快速的实现了信息化管理,加快了信息安全的步伐。但我们也要看到密码学是个发展的学科,随着计算机技术的发展和先进算法的出现现有算法的可靠性在将来可能降低。更有效更安全的算法有待我们去研究和发现。
参考文献:
(1)张官海,魏长智.信息技术基础[M].蓝天出版社,2006.
(2)米立根. 信息技术. 现代社会的变形术[M]. 军事科学出版社,2003.
(3)刘远生,计算机网络安全[M].北京:清华大学出版社,2006.
(责任编辑:)
