出于對(duì)數(shù)據(jù)安全問(wèn)題的憂慮，信息處理系統(tǒng)一直難以在魚雷行業(yè)推廣。為此我們從魚雷信息處理系統(tǒng)的安全需求著手，對(duì)多種加密技術(shù)進(jìn)行了探討，并利用IDEA和RSA的混合加密算法，基于Hash函數(shù)的數(shù)據(jù)傳輸技術(shù)提出了魚雷信息處理系統(tǒng)的加密方案，該方案既保障了數(shù)據(jù)安全又提高了文件加密和解密的速度，實(shí)踐驗(yàn)證了系統(tǒng)安全可靠。

一、魚雷信息處理系統(tǒng)簡(jiǎn)介及安全性分析

通常情況下，魚雷信息處理系統(tǒng)是運(yùn)行于企業(yè)內(nèi)部網(wǎng)絡(luò)的信息處理系統(tǒng)，其基本構(gòu)成和運(yùn)行環(huán)境如圖1所示。

從圖中可以看出，魚雷信息處理系統(tǒng)的用戶角色較為復(fù)雜，信息涉密程度不同且屬于基于WEB(World Wide Web)網(wǎng)絡(luò)的信息處理系統(tǒng)，面臨的安全威脅很多。傳統(tǒng)的訪問(wèn)控制、防火墻和入侵檢測(cè)等措施已不能滿足保密需求。另外，雖然現(xiàn)階段魚雷信息處理系統(tǒng)通常在內(nèi)網(wǎng)運(yùn)行，但內(nèi)部員工仍可能利用OS(Operating System)工具入侵?jǐn)?shù)據(jù)庫(kù)，非法地竊取或篡改數(shù)據(jù)庫(kù)文件內(nèi)容。

因此，只有從數(shù)據(jù)本身出發(fā)，利用加密技術(shù)保護(hù)數(shù)據(jù)文件，即使某一用戶非法入侵到系統(tǒng)中或者盜走數(shù)據(jù)存儲(chǔ)介質(zhì)，但沒有相應(yīng)的解密密鑰，仍然不能得到所需數(shù)據(jù)，從根本上保證了魚雷信息處理系統(tǒng)的信息安全。

二、加密技術(shù)在魚雷信息處理系統(tǒng)的應(yīng)用

加密就是把數(shù)據(jù)和信息(稱為明文M)轉(zhuǎn)換為不可辨識(shí)形勢(shì)（密文E）的過(guò)程。使不應(yīng)了解該數(shù)據(jù)文件和信息的人不能夠知道和識(shí)別，而要獲取密文的內(nèi)容，需要將其轉(zhuǎn)換為明文M，這就是解密過(guò)程。加密和解密組成加密系統(tǒng)，見圖2所示。

圖中明文M被發(fā)送前，發(fā)送者與接收信息者之間使用的加密、解密的密鑰要事先加以確定和嚴(yán)格保密，并從密鑰空間K中取得對(duì)應(yīng)的密鑰。

從該圖中可以看出，加密系統(tǒng)的保密性主要依賴于加密算法和數(shù)據(jù)傳輸安全2個(gè)方面，選擇合適的加密算法更是構(gòu)建加密系統(tǒng)的核心。

1、加密算法的對(duì)比

（1）對(duì)稱加密

也稱為共享密鑰加密。對(duì)稱加密的特點(diǎn)是解密密鑰可由加密密鑰推出，發(fā)送者和接受者雙方使用相同的密鑰。對(duì)稱加密算法公開、計(jì)算量小、加密速度快、加密效率高，是最常用的加密技術(shù)。主要的對(duì)稱加密算法有DES (Data EncryptionStandard)、IDEA和高級(jí)加密標(biāo)準(zhǔn)(Advanced En-cryption Standard，AES)。但對(duì)魚雷信息處理系統(tǒng)來(lái)說(shuō)，該類算法由于發(fā)送者和接受者雙方都使用同樣鑰匙，使得安全性難以滿足需求。

（2）非對(duì)稱加密

又稱為公鑰加密。非對(duì)稱加密算法采用2種既完全配對(duì)又完全不同的鑰匙，其中加密密鑰是公開密鑰，即公鑰。用戶能用公開密鑰加密數(shù)據(jù)并只能用相應(yīng)的秘密密鑰解密，該密鑰稱私鑰。

在安全系統(tǒng)中已知公鑰推算出私鑰在計(jì)算上是困難的。目前，密碼學(xué)界已提出許多公鑰密碼算法，如RSA、ECC(Error Checking and Correction)、NTRU(Number Theory Research Unit)、Diffe-Hellman、EIGama算法等，但影響最大的是RSA和ECC。

雖然非對(duì)稱加密體制具有對(duì)稱加密體制不可比擬的優(yōu)點(diǎn)，但因其運(yùn)算量太大，加密解密迅速太慢，使得運(yùn)行速度難以滿足系統(tǒng)要求。

（3）混合加密

混合加密方案就是將2種加密技術(shù)相結(jié)合，可充分發(fā)揮對(duì)稱加密與非對(duì)稱加密的優(yōu)勢(shì)。該方案首先用對(duì)稱密鑰算法來(lái)實(shí)現(xiàn)數(shù)據(jù)通信過(guò)程中的加密、解密處理，而對(duì)稱密鑰算法中的密鑰則通過(guò)公開密鑰體制加密，最后通過(guò)信道傳送給數(shù)據(jù)接收方，既保證了數(shù)據(jù)安全又提高了加密和解密的速度，可以滿足系統(tǒng)需求。

2、魚雷信息處理系統(tǒng)的加密方案

考慮到數(shù)據(jù)自身安全和傳輸安全兩方面因素，魚雷信息處理系統(tǒng)通過(guò)數(shù)據(jù)加密和數(shù)據(jù)傳輸技術(shù)雙重手段來(lái)保證數(shù)據(jù)的安全性和完整性，具體方案如下：

（1）魚雷信息處理系統(tǒng)的數(shù)據(jù)加密算法

魚雷信息處理系統(tǒng)選擇IDEA和RSA的混合加密算法作為加密方案，即結(jié)合使用IDEA和RSA，對(duì)于傳輸?shù)臄?shù)據(jù)用IDEA加密，而加密用的密鑰則用RSA加密傳送。發(fā)信者使用IDEA算法用對(duì)稱鑰將明文原信息加密獲得密文，然后使用接收者的RSA公開鑰將對(duì)稱鑰加密獲得加密的IDEA密鑰，將密文和加密的密鑰一起傳送給接收者。接收方接收到密文信息后，首先用自己的密鑰解密而獲得IDEA密鑰，再用這個(gè)密鑰將密文解密而最后獲得明文原信息。此方案利用了IDEA算法處理速度快和RSA算法加密能力強(qiáng)的優(yōu)點(diǎn)，形成一個(gè)混合密碼系統(tǒng)眨1，既保證了數(shù)據(jù)安全又提高了加密和解密的速度，可以滿足系統(tǒng)需求，加密方案見圖3。具體部署方案為用戶端通過(guò)USB KEY自動(dòng)生成RSA密鑰，服務(wù)器端通過(guò)加密機(jī)生成RSA密鑰，局域網(wǎng)絡(luò)環(huán)境中重點(diǎn)考慮加密和解密處理的效率，采用DES加密算法，并結(jié)合軟件和硬件實(shí)現(xiàn)數(shù)據(jù)的高速處理。

（2）魚雷信息處理系統(tǒng)的數(shù)據(jù)傳輸加密方案

為防止通信線路上的竊聽、泄漏、篡改和破壞，確保數(shù)據(jù)傳輸?shù)耐暾裕~雷信息處理系統(tǒng)中采用數(shù)據(jù)傳輸加密技術(shù)，對(duì)傳輸中的數(shù)據(jù)流加密。

傳輸加密技術(shù)通常通過(guò)數(shù)字簽名的方式來(lái)實(shí)現(xiàn)，即數(shù)據(jù)的發(fā)送方在發(fā)送數(shù)據(jù)時(shí)利用某種單向的不可逆加密算法計(jì)算出所傳輸數(shù)據(jù)的消息文摘，并將該消息文摘作為數(shù)字簽名隨數(shù)據(jù)一同發(fā)送。接收方在收到數(shù)據(jù)的同時(shí)也收到該數(shù)據(jù)的數(shù)字簽名，接收方使用相同的算法計(jì)算出所接收數(shù)據(jù)的數(shù)字簽名，并將該簽名和接收到的數(shù)字簽名進(jìn)行比較，若二者相同，則說(shuō)明數(shù)據(jù)在傳輸過(guò)程中未被修改，數(shù)據(jù)完整性得到了保證。

魚雷信息處理系統(tǒng)選擇Hash算法中MD5(消息摘要)函數(shù)作為數(shù)據(jù)傳輸安全方案中的不可逆加密算法函數(shù)，該函數(shù)在計(jì)算中使用了64個(gè)32位常數(shù)，最終生成一個(gè)128位的完整性檢查和，其逆向反演過(guò)程以目前計(jì)算機(jī)的運(yùn)算能力幾乎不可實(shí)現(xiàn)，且加密速度快于廣泛使用的SHA(安全Hash算法)函數(shù)，完全滿足系統(tǒng)安全需求。

（3）魚雷信息處理系統(tǒng)運(yùn)行效果

魚雷信息處理系統(tǒng)在采用上述加密技術(shù)后，在企業(yè)內(nèi)網(wǎng)運(yùn)行了3年多，通過(guò)了多項(xiàng)保密認(rèn)證和檢查，系統(tǒng)運(yùn)行安全可靠，各項(xiàng)安全措施有效。

在魚雷行業(yè)，數(shù)據(jù)既是企業(yè)的核心利益，也是國(guó)家利益。在信息化社會(huì)，企業(yè)想利用信息技術(shù)為自身服務(wù)，必須采用加密技術(shù)，結(jié)合自身情況，建立可靠的安全防護(hù)機(jī)制，全面考慮可能存在的安全隱患，降低風(fēng)險(xiǎn)，使信息技術(shù)更好地為自身服務(wù)。魚雷信息處理系統(tǒng)的加密解決方案經(jīng)過(guò)實(shí)踐檢驗(yàn)，為信息處理系統(tǒng)在同類行業(yè)的應(yīng)用和推廣提供了安全防護(hù)經(jīng)驗(yàn)和指導(dǎo)。

admin

收藏 海報(bào)分享