一种基于网络实时安全通信模型的设计与实现
开篇:润墨网以专业的文秘视角,为您筛选了一篇一种基于网络实时安全通信模型的设计与实现范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着互联网的不断普及,网络给人们的生活带来了诸多便利,但网络通信中的数据安全问题却时刻威胁着人们的隐私和财产安全。文中设计并实现了一种基于网络实时安全通信的模型,该模型能够从身份互相确认、信息不可篡改、信息不可否认三方面有效地实现数据安全性,同时通过信息的快速加密与解密实现信息实效性。文中还验证了的模型和算法的有效性。该模型在网络通信安全领域有一定的应用价值。
关键词:网络安全;实时通信;数据传输;加密算法;通信模型
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)34-7694-03
随着互联网的不断发展壮大和日益开放,网络给人们带来海量信息的同时也带来了一定的隐患。用户传输的隐私数据丢失,信息被拦截等事件不断发生。对于信息系统的非法入侵和破坏活动正以惊人的速度在全世界蔓延,同时给人们带来巨大的经济损失和安全威胁。据统计,每年全球因安全问题导致的损失已经可以用万亿美元的数量级来计算[1]。因此,针对网络通信带来的安全性的问题,为了解决用户传输隐私数据丢失或者被截获的事件的频发,让一种既强调安全性又能够以快速经济时效性的算法加密方式加密的安全模型的需求变得迫切起来。该文设计的通信模型能够有效解决网络通信所带来的安全隐患。
1 理论基础及现状
网络安全性[2],可以粗略地分为四个相互交织的部分:保密、鉴别、抗否认和完整性控制。保密是指保护信息在存储和传输的过程中的机密性,防止未授权者访问;鉴别主要指在揭示敏感信息或进行事务处理前必须先确认对方的身份;抗否认性要求能够保证信息发送方不能否认已发送的信息,这与签名有关;完整性控制要求能够保证收到的信息的确是最初的原始数据,而没有被第三者篡改或伪造。
PKI(Public Key Infrastructure, 公开密钥体系)[3], PKI技术利用公钥理论和技术建立的提供信息安全服务的基础设施,是国际公认的互联网电子商务的安全认证机制,利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。公钥是目前应用最广泛的一种加密体制,在这一体系中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体系广泛地用于CA认证、数字签名和密钥交换等领域。
2 模型设计方案
基于理论基础及研究现状,本方案的重点放在对于身份验证算法安全性的研究。整个方案是基于已经成熟了的PKI公开密钥体系,PKI作为一种安全技术已经深入到网络应用的各个层面,由于其充分利用公钥密码学的理论基础,为各种网络应用提供全面的安全服务。因此整个方案的基础已经成熟并且得到了大规模的应用,现在尚存的问题就是PKI体系如何推广到无线方面,而整个PKI体系中的核心,数字证书在计算机上已经成熟的算法,关于证书中包含的内容,以及证书的颁发,撤销算法。密钥备份、恢复和更新的算法以及如何验证证书的算法。
1) 通过验证中心发送给终端的数字证书需要具备3个特点,即不可否认性,不可篡改性和唯一性,可防御重放攻击、伪造攻击,实现可信身份认证。
2) 数字证书使用公钥体制即利用一对互相匹配的密钥进行加密、解密[4][5]。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。因此所面对的问题就是证书的制作和签发,和关于数据传送的加密和解密。
3) 基于目前流行的操作系统实现上述关键问题,并可以嵌入到其它的应用系统。
2.1 设计目标
为解决网络传输中的用户传输隐私数据丢失或者被截获的事件,新的模型需要兼顾以下两方面性能:
1)安全性:即达到充分保护用户信息安全的目的。设计需要完成三个目标:即通信双方的互相确认身份、信息不可篡改和信息不可否认。通信双方应互相确认来保证通信目标相互没有被劫持的隐患;信息不可篡改则表示信息在传输的过程中不能够被截获并且在篡改后重新发送;信息不可否认目标为信息发出后,通过密码学的方法使发出信息者不能够否认发出信息的事实。通过三方面来保证整个信息传输过程中的安全性。
2)时效性:除了安全性,加密的速度及模型运行的速度也是要考虑的因素,如果模型运行速度过慢则失去时效性。本模型在兼顾安全性的同时兼顾时效性,能够在保证安全的同时以最短的时间内完成加密过程以保证通信的实时性,信息的时效性。
2.2 模型的设计与实现
2.2.1双方通信的初始化过程
初始化过程类似于TCP传输协议中初始化的三步握手的过程[6],不过在本模型中加入了双方交换公钥证书以及交换随机生成的双方都认可的一个随机码,作为之后传输数据中使用的对称加密算法中秘钥的使用。同时在传输随机码的过程中,使用了PKI非对称加密算法,来保证安全性,即使用对方的公钥对信息进行加密,在对方收到后使用自己的私钥对信息进行解密。如图1所示:
2.2.2 证书分发过程
证书生成模型,每一个需要进行通信的客户端都需要一个公钥证书,这个证书由一个服务器进行共同管理。作为管理机构进行证书的分发,身份认证等工作。
保证证书不被篡改所使用的算法是Hash算法,通过比较存储在证书中的公钥的Hash码以及通过计算接收到证书的公钥的Hash码,并将两者进行比较,如果相等则证书得到确认,不相等则认证终止,如图2所示。
2.2.3 信息通讯过程的加密与解密算法
如图3,加密过程:首先客户端对信息M进行Hash算法提取摘要数据,之后对M使用在初始化交换得到的随机性秘钥通过对称加密算法DES进行加密,在对M进行Hash算法提取摘要后会得到要一个固定长度的32位或者64位的摘要数据,对摘要数据H使用签名算法(即使用客户端的秘钥进行加密)得到数据H’,之后将经过DES算法加密的信息M与H’通过添加一个分隔符合并一起发送到服务器端。
解密过程:服务器端接到来自客户端的信息,首先将加密过的M与H’进行分离,通过分隔符来区分两者数据,先使用客户端的公钥对H’的签名算法进行解密,得到解密出的M信息的散列码H,之后通过随机性秘钥对DES算法加密过的信息M进行解密,得到信息M,之后计算解密出的信息M的散列码H2,比较H与H2,如果相等则表示信息安全传送,在数据库中记录后显示在服务器端,如果不相等则代表数据进行过篡改。
2.3 算法分析
在初始化中使用PKI非对称加密算法,来保证互相交换随机码的安全性。非对称加密与对称加密的效率比起来虽然安全性很高但是效率非常低,并不适合在后来信息的传输中对有可能由大量字符组成的信息使用非对称加密。因此在一开始的初始化过程中使用非对称加密传送一组随机码作为之后信息对称加密算法的秘钥来保证信息传送中加密算法的效率。证书的分发过程需要保证证书的分发无误,因此使用Hash算法来保证客户端得到了相应的公钥以及公钥没有被篡改。以上两个步骤保证了安全性的第一个目标,身份互相确认。
在信息的传输过程中,使用的Hash算法对信息提取摘要数据,并在信息M解密后对信息重新提取摘要数据,并将之对比。这样做的原因是防止信息在传输的过程中被认为的篡改,Hash在提取摘要数据时,即使信息有了最微小的变动,通过Hash算法提取出的摘要数据也会有巨大的不同。这样就保证了安全性的第二个目标,信息不可篡改。
通过对信息提取出的摘要数据进行签名算法,不仅能够通过签名算法自身的特性来保证安全性的第三个目标,信息不可否认。而且由于提取出的摘要数据的位数固定(32位或64位)且都非常小,因此对于签名算法这样时间复杂度比较高的算法来说,可以保证在极短的时间内对小数据进行加密解密,通过初始化时候使用非对称加密来传送秘钥,以及之后信息传送使用效率极高的对称加密DES来对整个信息进行基础的加密来保证安全性的同时,这两点也保证了信息的时效性。
经过实际实验,数据可以在人体感知的范围之内(0.2s)完成所有加密解密过程,基本不会对时效性有任何影响。
3 总结
互联网逐渐深入我们的生活,为人们的日常生活提供了极大便利。我们现在处在一个互联网时代,享受着它带来的好处同时也承受着数据泄露的风险。该文通过对当今的实时热点领域—网络的实时安全模型的研究,提出了一种能够平衡安全性和时效性的模型,能够从身份互相确认,信息不可篡改,信息不可否认三方面保证安全性的同时,保证了模型的效率,能够以极快的速度加密与解密信息,保证了信息的时效性,使得模型在电商、互联网金融等网络服务领域能够贡献一定的价值。
参考文献:
[1] 张庆华.信息网络动态安全体系模型综述[J].计算机应用研究, 2002,5:4-7.
[2] 曾志峰.网络安全测防体系的研究与实现[D].北京:北京邮电大学博士学位论文,2001.
[3] 荆继武,林璟锵,冯登国. PKI技术[M]. 北京:科学出版社, 2008:79-96.
[4] Douglas R.Stinson.密码学原理与实践[M].3版.北京:电子工业出版社,2009:141-183.
[5] 陈运明.动态网络安全模型的系统研究[J].网络安全技术与应用, 2005,5:47-49.
[6] 代建军,揭金良.一种改进的PDRR模型[J].电脑与信息技术,2002,6:15-19.