信息安全加密技术探析

信息安全的核心是密码技术，密码技术是实现保密与安全的有效方法。它是研究计算机加密、解密及其变换的科学，是一门计算机与数学交叉的学科。密码是实现私密通信很重要的一种手段，是隐蔽语言、文字、图像的特殊符号。密码技术分为两部分，即加密和解密（模型见图7-3）。加密是把需要加密的报文按照以密钥为参数的函数进行转换，产生密码文件。解密是按照密钥参数进行解密还原成原文件。利用密码技术即使信息在传输过程中被窃取或截获，窃取者也不能了解信息的内容，这样就保证了信息传输的安全性。

图7-3　加密解密模型图

利用密码技术实现对数据的加密，对网络系统十分重要。数据加密方式划分如图7-4所示。

图7-4　数据加密方式划分示意图

通信加密主要是对通信过程中传输的数据加密。其中主要包括3种加密方式。

7.2.4.1　节点加密

节点加密是相邻节点之间对传输的数据进行的加密。节点加密的原理是：在数据传输的整个过程中，传输链路上任意两个相邻的节点，一个是信源，一个是信宿。除传输链路上的头节点外，每个相对信源节点都先对接收到的密文进行解密、把密文转变成明文，然后用本节点设置的密钥对明文进行加密，并发出密文，相对信宿节点接到密文后重复信源的工作，直到数据达到目的终端节点，在节点加密方式中，如果传输链路上存在n个节点。包括信息发出源节点和终止节点，则传输路径上最多存在n-1种不同的密钥。节点加密过程如图7-5所示。

图7-5　节点加密过程示意图

7.2.4.2　链路加密

链路加密是在通信短路上对传输的数据进行加密，这种加密方法，主要是通过硬件来实现。其加密原理是明文每次从某一个发送节点发出，经过通信站时，利用通信站进行加密形成密文，然后再进入通信链路进行传输；当密文经链路传输到达某一个相邻中继节点或目的节点时，先经过通信站对密文进行解密，然后节点接收明文，链路加密如图7-6所示。

图7-6　链路加密过程示意图

7.2.4.3　端对端加密

这种加密方式的加密是在报文传输初始节点上实现的，在数据传输整个过程中，报文都以密文方式传输，直到报文到达目的节点时才进行解密，如图7-7所示。

图7-7　端对端加密过程示意图(https://www.xing528.com)

将3种方式比较而言，在节点加密方式中，通信信道中的任何一个中继节点在传送报文到达目的节点的过程中，都需要进行路由选择。因此，加密只能对报文加密，而不能对报头信息加密，这就使得报文分析很容易对通信传输中的数据进行分析，获取信息。而链路加密是对物理链路进行加密，它对整个报文进行加密（包括报头信息和报文数据）。由于这种方式的加密是物理加密，所以容易泄密。在网络链路中中继节点较少的情况下比较适用。而对于端对端加密方式，数据加密是在会话端由进程来处理的，加密时报文仍为明文形式。它对防止线路“串扰”各种搭线窃听，以及防止网络软件泄露等情况非常有效。端对端加密方式属于表示层的功能，它有效地提高系统灵活性，但却增加了主机的负担，所以不十分适合非智能终端。

相对于通信加密，文件加密文件是对存储数据进行的加密，它主要是通过访问控制实现的。文件加密分单级加密和多级（或称分级）两种。在控制上一方面与用户或用户组相关，另一方面与数据有关。

（1）单级数据信息保密。单级数据信息保密是指对需要进行保密的数据信息一视同仁，不对这些数据信息进行保密级别分类的保密入式。

（2）多级数据信息保密。多级数据信息保密是指对需要进行保密的数据信息按数据信息的重要程度分成若干个保密等级的保密方式。

在文件保密中，对用户或用户组的访问控制被称为特权。许多实际的局域网系统都采用两级特权实现加密。

单级数据信息加密的实现比较简单，而多级数据信息的加密较为复杂。一般多级数据信息的加密应具有如下特征：

（1）每次访问都遵循绝对保密的规则。

（2）不允许数据之间相互进行非法修改。

（3）信息正确性的有效验证。

并且，多级数据信息的加密应遵循如下原则：

（1）用户只能读取与其同级别或者比其级别低的用户信息数据。

（2）用户只能写入与其同级别或者比其级别高的用户信息数据。

在多级数据信息保密方式中，可以实行可变级别的数据信息保密和多级别数据信息保密。可变级别的数据信息保密指的是终端或主机可以在不同的时刻工作在不同的保密级别上：多级数据信息保密是指在接收点允许传送主机最高级以下的各种保密级别的数据信息。