第7卷 第5期 2007年3月
1671-1819(2007)5-0856—04
科 学 技 术 与 工 程
Science Technology and Engineering
Vo1.7 No.5 Mar.2OO7
@ 2007 Sci.Tech.Engng.
面向连接的计算机网络安全
通信及加密算法研究
韩国栋 田立娜 都 斌
(军械7-程学院,石家庄 050003;石家庄计算机职业学院 ,石家庄 050061)
摘 要 介绍计算机网络通信系统数据加密模型、加密方式、安全通信综合策略,网络通信系统的数据加密。重点讨论数字
证书、数字签名、大整数分解加密算法在面向连接的计算机网络通信中的应用及安全性分析。
关键阔 网络通信 数字证书 数字签名 加密算法
中图法分类号 TN918.8; 文献标识码 A
1 面向连接的网络数据通信系统
1.1 面向连接的网络数据通信系统模型
面向连接的网络数据通信系统,是指由两个以
上的网络通信系统连接而成的网络系统。为讨论
问题方便,设有一面向连接的网络数据通信系统,
连接方式如图1所示,其中 u为一局域网,有 。、
两个终端结点, 为一分布式局域网,有 。、 。两
个中间节点, 、 ,。两个终端结点。两个网络的安
全级别,从高到低依次为 u、W。CA(认证中心)为
多级认证体系,网络结点 。、 的数字证书为根 CA
签发, 22、 31为二级 CA签发。
1.2 数据安全通信的综合策略
一 个完整的计算机网络通信系统是由一个信
源、一个信宿、一个密码体制、一个攻击或截取者构
成。为了保证面向连接的网络数据的安全通信,应
采取综合的安全、加密策略:运用各种数据加密技
术、手段,提高每一个网络通信系统的安全水平;在
面向连接的网络环境下,针对网络中不同安全级别
的网络系统,其安全级别最低的网络系统应采用最
2006年 lO月13日收到
第一作者简介:韩国栋(1970一),男(汉族),山东莱西人,讲师,
博士研究生,研究方向:自动测控技术与系统、分布式计算。E—
mail:blueshan@ hotmail.corno
} CAf认证中心) }
图1 面向连接的网络通信系统
为严密的通信技术、手段、算法,以提高整个网络通
信系统的整体安全水平;综合运用各种数据加密算
法、数字签名技术,按照数字认证制度进行网络数
据通信,以提高数据传输的可信度。
2 计算机网络通信系统数据加密
2.1 计算机网络通信系统数据加密方式
使用密码技术,对一个计算机网络数据通信系
统中的数据进行加密,可有三种方式:数据链路层
加密、中间节点加密和端对端加密 ¨。
2.2 数据链路加密算法及安全性分析
数据链路层是 OSI体系结构的第二层,计算机
网络的数据通信是通过数据链路层协议,在物理链
维普资讯
5期 韩国栋,等:面向连接的计算机网络安全通信及加密算法研究 857
路上传送任意组合的比特流(数据)而实现的。数
据链路加密,应在每条数据通信链路上加密,而且
每条数据通信链路的加密均应独立实现。通常是
对每条链路使用不同的加密密钥。这样,当某条链
路受到破坏时,不会导致其他链路上传递的信息被
析出。数据链路加密多采用序列密码算法,由数据
的第一个 “种子”,0(须记住,0)对密钥序列产生器
进行初始化。序列密码是将明文 看作是连续的
比特流 , :, ,⋯, ,并用密钥序列 , , ,
⋯
, 中的第 i个元素对明文中的置进行加密,其
中,置,Ki,ri为一个比特或一个字符。密钥序列产
生过程,如图2所示。发送端加密算法为: =X ①
K;接收端解密算法为: ①K=(墨① )①K=
置。数据链路加密的安全性完全在于密码的随机
性。如果密钥是真正的随机数,则这种加密理论上
是不可破的。但实际很难满足这种需要,人们常用
伪随机序列作为密钥序列。因不同的“种子”产生
不同的随机数序列,对不同的链路采用不同的“种
子”,通过随机函数产生随机数序列中的任意一个
随机数,然后再与明文中的各个位进行异或运算。
“种子”Z 密钥序列产生器 —] 一 密钥序列发生器
⋯ 密文 明文序
图2 密钥序列产生过程
2.3 节点加密
节点加密是对链路加密的补充,其 目的是克
服链路加密在中间节点处易遭非法存取的缺陷。
节点加密通常是在协议运输层上进行,这是为了
对源结点和目标结点之间传输的数据进行保护。
它与链路加密类似,只是加密算法要组合在依附
于中间节点的加密模块中。节点加密,如图3所
示。节点加密也是每条链路使用一个专用密钥,
但一个密钥到另一个密钥的变换是在保密模块
中进行的。明文数据不通过节点,只存于保密模
块 中。
2.4 端到端加密算法及安全性分析
端到端加密,是在源结点和目的结点间进行加
密钥A 密钥B
图3 节点加密
解密,如图4所示。端到端加密既可选择在运输层,
也可选择在应用层上实现。若在应用层上进行加
密,可以不必为每个用户提供单独的安全保护,所
以最好选在应用层上。应用层加密算法可有多种,
如:序列密码体制、分组密码体制和公开密钥密码
体制。端到端加密的安全性主要依赖于密钥的
保密。
I+加密的数据+I
源结点数据加密 — 节点 — 目的结点数据解密
图4.端到端加密
3 面向连接的网络系统的数据通信
3.1 通信方案与加密算法
以区域网 结点 与分布式局域网 结点W
问的数据通信为例。通信方案如下:网络通信加
密:区域网 的数据链路层采用伪随机序列算法加
密,每条数据通信链路的加密独立实现;分布式局
域网 的安全级别最低,要求其数据链路层采用伪
随机序列算法加密,每条数据通信链路的加密独立
实现;中间节点W 、W: 不允许通过明文数据,在协议
运输层进行加密,每条链路使用一个专用密钥;路
由选择信息时加密。数据通信:采用数字认证、数
字签名技术。数据加密:采用基于大整数分解的加
密算法。
3.2 数字认证
数字证书是由CA认证中心签发的。数字证书
可对数字签名和签名验证,确保网上传递信息的机
密性、完整性,签名信息的不可否认性。采用数字
证书,能够确认两点:保证信息是由签名者 自己签
维普资讯
科 学 技 术 与 工 程 7卷
名发送的,签名者不能否认;保证信息自签发后到
信息收到为止未曾做过任何修改,签发的文件是真
实的。数字证书包括三方面的内容:证书所有者的
信息,证书所有者的公钥和证书颁发机构的签名。
密钥管理中最大的问题是密钥分配,密钥分配
是网络安全的重中之重,必须通过最安全的方式进
行密钥分配,数字证书是一种安全分发公钥的方
式。密钥管理中心负责密钥的发放、注销及验证,
为每个申请公钥的用户发放一个证书,该证书证明
该用户拥有证书中列出的信息、公钥和颁发机构。
3.3 数字签名
在保密通信系统中,为防备通信双方中任何一
方的欺骗或伪造等行为,数字签名必须满足并保证
下列要求:签名是可信的,签名是不可伪造的,签名
是不可复制的,签名的消息是不可改变的,签名是
不可抵赖的。实际应用中,常把数字签名和秘密通
信同时进行,其具体步骤如下 。
(1)发送方生成信息摘要 发送方使用单向散
列函数算法对原始信息进行计算,得到一个固定长
度的信息摘要。
简记为:发送方A:生成信息摘要 A=单向散列
函数(原始信息)。
(2)发送方生成数字签名 发送方用自己的私
钥加密生成的信息摘要,生成发送方的数字签名。
简记为:发送方 A:生成数字签名 A=A私钥
(信息摘要 A)。
(3)发送方发送密文 发送方把这个数字签名
作为待发送信息的附件,连同明文信息,一起用接
收方的公钥进行加密,将加密后的密文一同发送给
接收方。
简记为:A发送给 B:用 B公钥加密(明文信息
A。附件:数字签名 A)。
(4)接收方接收信息摘要 接收方首先把接收
到的密文用自己的私钥解密,得到发送方的明文信
息和数字签名,再用发送方的公钥对数字签名进行
解密,随后使用相同的单向散列函数计算解密得到
的明文信息,得出信息摘要。
简记为:接收方B:用B私钥解密(明文信息A,
附件:数字签名 A);
用A公钥解密(数字签名A)"-r信息摘要A;
用相同单向散列函数(明文信息 A)=信息摘
要 B。
(5)接收方确认数字签名 如果计算出来的信
息摘要与发送方发送给他的信息摘要(通过解密数
字签名得出的)是相同的,接收方就能确认数字签
名确实是发送方的;否则,就认为收到的信息是伪
造或中途被篡改的。
简记为:接收方B判断:若信息摘要 B=信息摘
要 A,确认;否则,否认。
3.4 基于大整数分解的加密算法
基于大整数分解的加密算法,采用的是非对称
密码技术,公开密钥密码体制。
Euler函数 (n)=
{ ’以内与n互素的正整数的个数,: 对素数p, 【n以内与n互素的正整数的个数,n>1。⋯ ⋯一
有 (p)=p一1;对素数幂p ,有 (p )=p一
(P一1);对两素数的积pq,有 (Pq)=(P一1)(g一
1) 。
大整数分解算法密钥产生步骤如下:(1)用户
秘密选取两个大素数P、g,计算』、r=pq,』、r作为计算
公、私钥时的模数;(2)用户计算欧拉函数 (N)=
(P一1)(g一1), (』、r)作为计算加、解密指数时的模
数;(3)用户从(0, (』、r)一1)中选择一个与 (Ⅳ)互
素的数e,作为公开的加密指数;(4)用户计算满足
ed=1 mod( (N))的d,作为保密的解密指数;,(5)
得出公钥:PK=(e,N),私钥:SK=(d,N)。
3.5 数据通信过程及安全性分析
3.5.1 数据通信过程
采用数字认证、数字签名,基于大整数分解的
加密算法,其过程如下。
(1)采用数字认证技术,确认身份
发送方A:记录分布式局域网 中间节点 ,
,目标结点 的数字证书,签发cA及其公钥。
接收方 B:记录区域网 U源结点 。的数字证
书,签发CA及其公钥。
(2)采用数字签名方式进行数据通信
维普资讯
5期 韩国栋,等:面向连接的计算机网络安全通信及加密算法研究
发送方 A:生成信息摘要A=单向散列函数(原
始信息);
生成数字签名A=A私钥(信息摘要
A);
发送给B:用B公钥加密(明文信息A,附件:数
字签名 A)。
接收方B:用B私钥解密(明文信息A,附件:数
字签名 A);
用A公钥解密(数字签名A)=信息
摘要 A;
用相同单向散列函数(明文信息 A)
= 信息摘要 B。
接收方判断:若信息摘要 B=信息摘要 A,确
认;否则,否认。
3.5.2 安全性分析
(1)数字证书既能起到分配公钥的作用,又实
现了身份认证的功能,保证了通信双方的身份、公
钥的可信。(2)数字签名既防止了接收方或第三方
伪造,又防止了发送方因对己不利而否认发出的消
息,保证了通信数据的可信。(3)大整数分解加密
算法不仅能够同时用于加密和数字签名,而且易于
理解和操作。其安全性依赖于大整数的因子分解
难度。把两个大素数相乘得一大整数是件很容易
的事,但要把一个大整数分解为两素数之积,却是
十分艰涩的。当前最好的因子分解算法是数域筛
选法,若乃是200位的十进制数,使用每秒进行1次
因子分解的计算机,仍需 100多年才能完成分解,可
见破译该算法,是相当困难的 j。(4)分布式局域
网 的安全级别最低,其数据链路层虽加密,但仍
易在中间节点 , 处遭非法存取。中间节点 .、
W 在协议运输层上进行了加密,是对源结点 。和目
标结点 。 间传输数据的一种保护,也是对链路加密
的补充。中间节点 。、 。虽能提供连续的安全服
务,但一旦局域网 的链路层受到攻击,仍有可能
遭到信息破坏、截获、泄露。
参 考 文 献
1 冯金成.计算机网络系统的加密.中山大学学报论丛,1997;(3):
18—_21
2 龙 珑.计算机安全防护技术研究.北京:电子工业出版社,2005:
12—47
3 康庆德.形形色色的计数.石家庄:河北教育出版社,1993
4 裴志利,赵海燕,曲世秀,等.计算机网络数据加密的探讨.内蒙
古民族大学学报(自然科学版),2004;(2):149—152
Research on Large Integer Decomposition Encryption-decryption
Algorithm in Computer Network Communications
. HAN Guo—dong,Tian Li—na ,Du Bin .
(Ordnance Engineering College,Shijiazhuang 050003,China;Computer Occupation College ,Sh~iazhuang 050061,P.R.China)
[Abstract] The computer network data encryption model,the way of encrypt,the safe correspondence compre—
hensive strategy,the data encrypted of net corresponding system are introduced,and the key of d
.
iscusstion is digital
letter,digital idiograph,applications and security—analyse of large integer decomposition encryption—decryption algo—
rithm in computer network communication.
[Key words] network communication digital letter digital ideograph ncryption—decryption algorithm
维普资讯
