信息与电脑

China Computer&Communication

2009年第7期

1. 网络数据加密技术

1.1 数据加密的基本概念

数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。需要隐藏的信息称为明文；伪装的操作称为加密，产生的结果称为密文；加密时使用的信息变换规则称为密码算法；对明文进行加密的人称为加密者(或发送方)；接受密文的人称为解密者(或接收方)。一个密码系统采用的基本工作方式称为密码。密码的基本要素是密码算法和密钥，其中密码算法是一些公式、法则或程序，而密钥则可看成是密码算法中的可变参数。密码算法又可细分为加密算法和解密算法，前者将明文变换成密文，而后者将密文还原成明文；密钥也可相应地分成加密密钥和解密密钥。

1.2 数据加密技术

数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输信息进行数据加密来保障其安全性，这是一种主动安全防御策略，用很小代价即可为信息提供强大的安全保护。在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如Triple DES， GDES， NewDES和DES的前身Lucifer，欧洲的IDEA，日本的FEALN， Skipjack， RC4， RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密。当然在实

数据加密在网络通信中的应用

周荣伟 中国电信珠海分公司, 广东 珠海 519000

摘要：随着计算机通信技术与Internet 的飞速发展，用户对信息的安全存储、安全处理和安全传输的需求越来越迫切。本文首先论述了网络数据加密技术，接着分析了网络数据安全研究的必要性，最后阐述了数据加密在网络通信中的应用。

关键词：数据加密；网络通信；应用

中图分类号：TP309.7 文献标识码：A 文章编号：1003-9767(2009)07-0012-02

Data encryption in the network communication

Zhourongwei Zhuhai branch of China Telecom, Zhuhai Guangdong 519000

Abstract: With the computer communications and Internet technology rapid development, users need the information storage safety, handling safety and transmission security more and more press. The first this article discusses network data encryption technology, and then analysis the necessary of network data security Studies, the last descript the data encryption applicant in network communication.

Keywords: data encryption; network communication; application

际应用中人们通常将常规密码和公钥密码结合在一起使用，比如:利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

2. 网络通信模型分析

2.1 网络间的通信模型

网络通信协议采用协议（Transmission Control Protocol/Internet Protocol，传输控制协议网络协议）。主要研究的是会话应用层的数据加密。两个网络间的通信模型如图1所示。

图1

信息安全

信息与电脑

China Computer&Communication

2009年第7期

2.2 加密通用模型

网络通信不但要求实现对数据快速的加密与解密处理，而且还要求较高的加密强度，并且具有身份认证等功能。根据以上加密技术的分析，通过RSA算法传送该算法的数据加密密钥，达到保密数据安全通信的要求。加密通用模型如图2。

3. 数据加密在网络通信中的应用

3.1 密钥的生成和传送

密钥K由一组子密钥k1，k2，…，kn组成.密码分组按一定的规则自动生成各子密钥，密码既可手工输入，也可随机产生.密钥在特定条件下用公开密钥加密自动交换。发送方A向接收方B传送数据，首先由发送方A生成用于对明文进行DES方式加密和脱密的密钥K，为了保证密码的安全性及实现管理的简单化，加密数据用的密钥K只用一次，A方将密钥K传送到B方，以便双方共用此密钥加密数据。

发送方A和接收方B各有一对加密密钥和脱密密钥(Kea，Kda)和(Keb，Kdb)，加密密钥Kea和Keb是公开的，而脱密密钥是各自保密的。发送方A用接收方B的加密密钥Keb对数据加密密钥K加密得到EKeb(K)，将其传送给B方。由于只有B方拥有脱密密钥，如有第三方截取它也不能破译。发送方因为不知B是否已接受到密码K，所以要等待B的应答信息。接收方B收到EKeb(K)后用自己的脱密密钥解密得到数据通信的DES密钥K即DKdb(EKb(K))=K，并将K保存起来，然后用发送方A的加密密钥Kea对K加密得到EKea(K)，传送给A方。发送方A收到EKea(K)后用自己的脱密密钥解密得到K’，即DKda(EKea(K)) =K’，并将它与发送前的数据加密密钥K比较，验证K’是否正确，正确就可以开始传送明文了。

3.2 明文的加密

明文在高速实时通信中被随机打包，即包的大小是随机的(包的大小在1~字节之间)。根据包的大小，按一定的规则选取其中的1个子密钥对当前包进行加密。加密算法受包长、密钥的控制.按同一密码用此加密算法加密，对同一字符，所得密文中的字符随该字符在明文中的位置而变；对同一明文，在不同时刻传递时打包是不一样的，所得的加密密文也是不一样的。即在同一密码下，明文中的字符与密文中的字符没有一一对应关系；密文与明文也没有一一对应关系。

有时明文P会很长，如对整个明文签名效率会很低，我们采用先

将明文用某种技术转换成固定长度的明文摘要，签名是对摘要操作的。经签名的摘要称为签名块。签名块挂接到明文尾部，连同明文头(包括发送方的身份，接收方的身份等组成)一起发送给接收方。注意签名并不是对数据进行加密，因为任何人都可以借助于加密密钥(公开密钥)恢复原文。签名只是当发生纠纷时作为一种仲裁依据。

发送方A首先将明文摘要P’用单向函数H进行变换得到H(P’)，P’中的所有位都是相关的，即H(P’)与P’中的每一位都相关，这样就不能对明文摘要做任何更改，以保持签字不变。然后利用Kda(A的脱密密钥)对H(P’)进行脱密，即DKda(H(P’))，得到一个签名块。经签名的明文用发送方和接收方共用的数据加密密钥EK(DKda(H(P’))加密后传送到发送方，同时A也保留一份明文摘要，作为验证的依据接收方B收到附有签名的的密文后，用保存的数据加密密钥K对密文脱密，即T)K(DKda(H(P’)=DKda(H(P’))，得到带有签名的明文，即明文头、明文和签名块。根据明文头中的信息识别出发送者的身份(这里是A)，在公开的签名信息薄中查出A用于签名验证的加密密钥Koa，然后用Kea对签名块进行加密运算，即EKeaDKda(H(P’))一H(P’)，得到发送方A传送来的H(P’)。接收方B将得到的明文用同A一样的技术转换成固定长度的明文摘要，B也保留一份明文摘要，将另一份明文摘要经过单向函数H进行变换，得到一个相应的H(P’’)；将H(p’)与H(P’’)进行比较，如果相等，则认为签名是有效的，否则无效。至此接收方B保留r发送方A的签名和一份明文摘要。B方以同样的方法向A传送附有签名的密文，不同的是B方只传送明文头和签名块，不传送明文。A方用与B方同样的验证方法来证实签名消息是否正确到达。

通过上述的往复交换过程，发送方A和接收方B都掌握了对方的签名形式的明文摘要即签名块、明文摘要和明文。

参考文献：

[1]杨义先,钮心忻.应用密码学[M].北京邮电大学出版社,2005,6.

[2]胡英伟,江立东.网络安全技术—数据加密[J ].计算机与通信,2008(10).

[3]王红涛,申石磊.PGP 数据加密研究[J].河南大学学报,2005.[4]卢开澄.计算机密码学[M].北京清华大学出版社,2007.

图2下载本文