加密通信(通用7篇)
加密通信 篇1
0 引言
保密机主要实现身份认证、地址管控、数据加密三大功能, 从而较好保证了数据的安全传输。保密机去掉之后, 身份认证、地址管控、数据加密的功能是广域网数据传输的隐患。
ACL通过这些规则对数据包进行分类, 这些规则应用到路由设备接口上, 路由设备根据这些规则判断哪些数据包可以接收, 哪些数据包需要拒绝。
CHAP认证是网络设备认证的一种方式, 只有通过认证的网络设备之间才可以相互通信。CHAP认证方式使用密文口令很好地保障了网络设备认证的安全性。
IPSEC利用隧道技术, 在骨干网建立专用数据传输通道, 并对数据进行加密, 从而实现报文的安全传输。
本文结合ACL、CHAP认证、IPSEC技术设计一种方法以达到暂时替代保密机的目的。
1 地址服务管控
路由设备为了过滤数据包, 需要配置一系列的规则, 以决定什么样的数据包能够通过, 这些规则就是通过访问控制列表ACL (Access Control List) 定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则, 这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类, 这些规则应用到路由设备接口上, 路由设备根据这些规则判断哪些数据包可以接收, 哪些数据包需要拒绝。
访问控制列表可以分为以下几种类型:
(1) 基本访问控制列表主要基于源地址对数据包进行分类定义。
(2) 高级访问控制列表可以基于源地址、目的地址、源端口号、目的端口号、协议类型等对数据包进行更为细致的分类定义。
(3) 基于接口的访问控制列表可以根据具体的接口对数据包进行分类定义。
(4) 基于以太网帧头的访问控制列表基于源MAC地址、目的MAC地址等对数据包进行更为细致的分类定义。
(5) 用户访问控制列表可以根据不同的用户组来对数据包进行更为细致的分类定义。
rule规则中, 默认对流进行deny操作。因此, 只要对之前的流配置了rule规则, 要让后配置的流通过, 必须对后配置的流进行permit操作。
RouterA、RouterB、RouterC连接如图1所示, RouterB连接30.92.0.0/16网段, RouterC连接30.99.0.0/16网段。
RouterA只允许30.99.21.66与30.92.11.66访问, 则配置如下所示。
2 配置CHAP双向验证
CHAP认证方式使用密文口令。被验证方的用户名和密码可以通过AAA模式加入验证方的本地用户列表。
主验证方首先发送自己的主机名和随机报文, 被验证方接收主验证方发送的报文通过hash算法得出一个数值A, 被认证方发送自己的主机名和由数值A得出的加密报文,
主验证方接收被验证方发送的报文并通过hash算法得出一个数值B, 并和自己产生的对比, 如果数值B能够通过自己的hash函数, 则表示通过验证, 如果不能够通过自己的hash函数, 则表示没有通过验证。路由器RouterA和路由器RouterB用CHAP方式进行双向验证实现路由器的配对使用。
3 IPsec数据加密
首先启用IPsec的设备之间进行Ike密钥协商, 通过协商确定加密算法、密钥等, 正是通过这种协商保障了每次通信的密钥不同, 从而很好的保障了数据的安全传输;其次设备根据Ike协商的结果和IPsec的策略对数据进行加密;最后数据根据已经建立的隧道进行传输。
PC1接在center路由器 , 处于192.168.1.0/24网段, PC2接在branch1路由器 , 处于192.168.2.0/24网段, center路由器与branch1路由器通过广域网进行连接。我们这里使用ipsec的方式实现PC1和PC2的加密通信。如图4所示建立隧道Tunnel0 (10.0.0.1/30—10.0.0.2/30) 建立一个虚拟专用通道。实现PC1和PC2的加密通信, 需对center路由器、branch1路由器进行如下配置。
4 使用模拟软件进行验证
如图5所示, router 8、router 9和router 10构建了广域网, PC0接在router 10, 处于192.168.1.0/24网段, PC1、PC2接在router 9, 处于192.168.2.0/24网段, PC4、PC5接在router 9, 处于192.168.3.0/24网段, 图中的交换机都工作在第二层。
这里主要验证以下内容:
(1) 在router 9上配置ACL禁止PC1访问其他网络, 在router8配置ACL禁止PC4 telnet router8。
(2) 在router8与router10之间启用CHAP认证, 验证CHAP认真的配对使用情况。
(3) 在router8与router10之间使用IPsec, 验证启用IPsec后连通性。
在router8与router10之间启用IPsec、ACL和CHAP认证来搭建加密系统。
在router8和router10上配置IPsec, 通过在PC3 ping PC0是否可通能够验证IPsec是否配置成功, 由图可知PC3能够ping通PC0, 从而验证了加密通信配置正确。
5 总结
本文首先分析了ACL、CHAP、IPsec技术的原理, 并给出了基本的配置方法, 最后通过搭建模拟系统来实现数据的加密通信。
参考文献
[1]Steve McQuerry, David Jansen, Dave Hucaby.Cisco LANSwitching Configuration Handbook[M].Cisco Press, 2009.
[2]Dave Hucaby, Steve McQuerry, Andrew Whitaker.CiscoRouter Configuration Handbook[M].Cisco Press, 2009.
[3]Karl Solie, 李津.CCIE实验指南[M].Cisco Press, 2005.
无线网络通信加密措施探讨 篇2
关键词:无线网络,安全性研究,电磁波
1. 前言:
从上个世纪90年代以来,移动通信和Internet是信息产业发展最快的两个领域,它们直接影响了亿万人的生活,移动通信使人们可以任何时间、任何地点和任何人进行通信,Internet使人们可以获得丰富多彩的信息。那么如何把移动通信和Internet结合起来,达到可以任何人、任何地方都能联网呢?无线网络解决了这个问题。无线网络和个人通信网 (PCN) 代表了21世纪通信网络技术的发展方向。PCN主要用于支持速率小于56bit/s的语音/数据通信,而无线网络主要用于传输速率大于1Mbit/s的局域网和室内数据通信,同时为未来多媒体应用 (语音、数据和图像) 提供了一种潜在的手段。计算机无线联网方式是有线联网方式的一种补充,它是在有线网的基础上发展起来的,使联网的计算机可以自由移动,能快速、方便的解决以有线方式不易实现的信道联接问题。然而,由于无线网络采用空间传播的电磁波作为信息的载体,因此与有线网络不同,辅以专业设备,任何人都有条件窃听或干扰信息,因此在无线网络中,网络安全是至关重要的。
2. 无线网络常用通信手段
目前常用的计算机无线通信手段有无线电波 (短波或超短波、微波) 和光波 (红外线、激光) 。这些无线通讯媒介各有特点和适用性。红外线和激光:易受天气影响,也不具有穿透力,难以实际应用。
短波或超短波:类似电台或是电视台广播,采用调幅、调频或调相的载波,通信距离可到数十公里,早已用于计算机通信,但速率慢,保密性差,没有通信的单一性。而且是窄宽通信,既干扰别人也易受其他电台或电气设备的干扰,可靠性差。并且频道拥挤、频段需专门申请。这使之不具备无线联网的基本要求。
微波:以微波收、发机作为计算机网的通信信道,因其频率很高,故可以实现高的数据传输速率。受天气影响很小。虽然在这样高的频率下工作,要求通信的两点彼此可视,但其一定穿透能力和可以控制的波角对通信是极有帮助的。
综合比较前述各种无线通信媒介,可看到有发展潜力的是采用微波通信。它具有传输数据率高 (可达11Mbit/s) ,发射功率小 (只有100~250mw) 保密性好,抗干扰能力很强,不会与其他无线电设备或用户互相发生干扰的特点。扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从开始它就设计成抗噪声,干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
无线网技术的安全性有以下4级定义:第一级,扩频、跳频无线传输技术本身使盗听者难以捉到有用的数据。第二级,采取网络隔离及网络认证措施。第三级,设置严密的用户口令及认证措施,防止非法用户入侵。第四级,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。
无线网的站点上应使用口令控制,如Novell Net Ware和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常变更。假如用户的数据要求更高的安全性,要采用最高级别的网络整体加密技术,数据包中的数据发送到局域网之前要用软件加密或硬件的方法加密,只有那些拥有正确密钥的站点才可以恢复,读取这些数据。无线局域网还有些其他好的安全性。首先无线接入点会过滤掉那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是很小。这使得窃听者必须处于节点或接入点附近。最后,无线用户具有流动性,可能在一次上网时间内由一个接入点移动至另一个接入点,与之对应,进行网络通信所使用的跳频序列也会发生变化,这使得窃听几乎无可能。无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。在内部好奇心、外部入侵和电线窃听面前,甚至有线网都显得很脆弱。没有人愿意冒险将局域网上的数据暴露于不速之客和恶意入侵之前。而且,如果用户的数据相当机密,比如是银行网和军用网上的数据,那么,为了确保机密,必须采取特殊措施。
3. 常见的无线网络安全加密措施
3.1 服务区标示符 (SSID) 。
无线工作站必需出示正确的SSD才能访问AP,因此可以认为SSID是一个简单的口令,从而提供一定的安全。如果配置AP向外广播其SSID,那么安全程序将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持"任何"SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
3.2 物理地址 (MAC) 过滤。
每个无线工作站网卡都由唯一的物理地址标示,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
3.3 连线对等保密 (WEP) 。
在链路层采用RC4对称加密技术,钥匙长40位,从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与AP的钥匙相同,并且一个服务区内的所有用户都共享一把钥匙。WEP虽然通过加密提供网络的安全性,但也存在许多缺陷:一个用户丢失钥匙将使整个网络不安全;40位钥匙在今天很容易破解;钥匙是静态的,并且要手工维护,扩展能力差。为了提供更高的安全性,802.11提供了WEP2,,该技术与WEP类似。WEP2采用128位加密钥匙,从而提供更高的安全。
3.4 虚拟专用网络 (VPN) 。
虚拟专用网络是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。
3.5 端口访问控制技术 (802.
1x) 。该技术也是用于无线网络的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网802.1x。要求工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
总结:无线网络以其便利的安装、使用、高速的接入速度,可移动的接入方式赢得用户的青睐。但无线网络的安全及防范无线网络的入侵仍是现在和将来要时刻关注的重要问题。
参考文献
[1]何军, 《无线通信与网络》, 清华大学出版社, 2004, 6。
微信加密的通信原理分析研究 篇3
一、微信产品特点
第一、微信使用设备大众化。在日常生活中, 用户不需要受到时空的限制, 借助手机、电脑等移动通信设备的力量, 便能进行一系列的操作, 比如, 发送语音、图片等。在这个过程中, 微信能够提供各种服务, 比如, 即时通信服务。而用户可以马上把各种信息分享到自己的微信朋友圈中, 亲人、好友等都能第一时间看到。第二、注重在强关系链的信息分享。在应用的过程中, 微信可以跨越多重壁垒, 比如, 运营商、社交网, 使现实与虚拟相连接, 成为知识经济时代中一种新的社交节点。和微博相比, 微信远远优于它, 能够实现点对点的精准沟通、交流, 甚至可以实现多人群组聊天, 在丰富社会大众日常生活的同时, 也带去了更多的便利。第三、用户可以自由选择消息的私密性、公开性。更为重要的是, 微信好友在进行私密话题传播的时候, 用户可以对私密话题、传播的范围进行合理化的控制, 具有一定的私密性。在一定程度上, 不同用户群组可以根据自身的需求, 把相关的行业问题、敏感问题迅速传播到不同领域、行业中, 使对应的重要信息公开化, 成为更多人关注的焦点。第四、微信具有较大的通信交流平台。实际上, 在初始阶段, 微信只是一款手机的通信工具, 用户可以免费发送信息。在经过一系列演变之后, 微信具有的功能日渐增多, 比如, 漂流瓶、朋友圈、二维码。简单来说, 它已成为社会大众日常生活中不可或缺的移动通信、社交关系管理平台。
二、微信加密的通信原理
2.1加密算法、通信协议
1.1RSA加密算法。在新形势下, RSA加密算法具有较大的影响力, 已有20年的发展历史, 可以抵挡当下所有已知密码的攻击, 保护通信内容安全。RSA加密算法属于公开秘钥密码机制, 也属于一种不对称算法。RSA加密算法的安全性和密钥长度有着密不可分的联系, 属于正比例关系。如果密钥的长度不断增加, RSA安全系数也会随之增高。就微信系统中应用的1024位密钥来说, 如果当下的计算速度为基准, 需要长达两年的时间才能破解, 可见破难度之大。RSA加密算法的加密流程主要体现在这些方面。首先, 在加密过程中, 加密端会产生一些文字串符号, 得到相应的CER认证公钥。其次, 对应的加密机制在Encoding作用下, 以不同的代页码为载体, 把一系列字符串符转化为不同形式的编码, 以byte[]形式呈现出来。在此基础上, byte[]字节会以流明文的形式被发送。最后, 以CER证书公钥为纽带, 对byte[]字节流明文进行加密操作, 需要采用byte[]密文形式进行发送。
2、AES随机密钥加密算法。简单来说, AES加密算法可以保护对应的电子数据, 可以应用128、192、256位密钥, 甚至可以用128位分组加密、解密数据, 能够重复置换、替换所输入的数据。在微信通信中, 所使用的128位AES随机密钥、其加密强度远远大于56位DES加密强度, 比它的1021倍还要多。从某个侧面来说, 即时有一台可以在一秒内破解DES密码的机器, 也需要花费大约149亿万年的时间破解128位的AES密码。就以当下的解密技术而言, 只有AES知道对应的密钥才能破解。
3、ProtocolBuffer通信协议。它是Google公司开发的, 可以描述、传输、存储结构化的数据, 建立在二进制基础上, 但并不复杂。在应用过程中, 开发人员只需要以相关的语法为纽带, 来定义结构化的消息模式。并充分利用命令行工具中的一些简单命令语句, 就可以生成对应的代码文件。在新形势下, ProtocolBuffer能够支持不同形式的语言环境, 比如, python语言环境, 能够应用到很多领域中, 比如, 数据的存储、文件的配置。
2.2微信系统的登录验证程序、通信程序
1、验证流程。第一、在微信通信系统运行中, 移动客户端会产生一个由多种元素组合而成的登录包, 比如, 用户的账号、密码, 需要使用RSA的公钥加密登录包, 并把它发送给对应的服务器。第二、服务器在接收到密文登录包治好, 需要合理应用RSA私钥来解密, 获取登录包中的相关信息, 比如, 用户的账号。在此基础上, 服务器会全方位校验用户的账号、密码, 对用户身份进行确认。随之, 会产生一个验证包, 需要借助AES密钥的力量, 把它加密成验证包密文的形式, 发送到客户端。第三、客户端在接收到验证包密文之后, 也会应用AES密钥来解密, 获取其中的验证信息, 并对一系列通信信息进行加密。
2、交互流程。客户端在解密验证包之后, 会得到一个从服务器中计算出的随机AES密钥, 而所有的通信过程都需要对此进行加解密通信。简单来说, 微信的各种通信传输都是建立在随机AES密钥基础上的。就其交互流程来说, 微信通信的保密性和随机AES密钥息息相关, 一旦获取了随机AES密钥, 微信通信信息便不具有其保密性。
三、结语
总而言之, 在新时代中, 微信是重要的社交软件, 发挥着不可替代的作用, 对其加密原理予以分析具有一定的实践意义。但从长远来说, 还需要对其登录过程、通信交互过程中的信息安全、通信加密问题进行更加深入的研究, 不断优化微信系统, 但其必将会走上长远的发展道路, 更好地服务于社会大众。
参考文献
[1]赵明.一种通用加密通信系统方案[J].电子技术.2010 (05) .
[2]刘栩, 石乃轩, 王健, 季晓勇.多重加密通信系统的设计与实现[J].通信技术.2010 (05) .
[3]张月华, 张新贺, 刘鸿雁.AES算法优化及其在ARM上的实现[J].计算机应用.2011 (06)
[4]瞿白.RSA算法参数的选择[J].科技资讯.2010 (28)
网络通信中的加密技术应用 篇4
网络通讯技术在飞速的发展,网络通信的信息却常常遭到非法攻击导致信息的泄露或者被篡改。但由于网络犯罪很难留下证据,侦破此类案件难度较大,这就要求在网络通讯中防患于未然。网络通信加密技术的应用能有效避免网络黑客等不法人员对网络的恶意攻击,对保护个人的信息方面起到很大的作用。
1 目前的网络通信安全情况
1.1 网络通信的概念
网络通信技术(NTC)是通过网络通信设备将文字、声音、图像、视屏等信息进行的一系列收集、储存、转换以及传输的网络技术,网络通信技术实现了两个甚至多个空间之间的有机沟通结合,当今已经被广泛的应用。网络通信涵盖面非常广,上至国家的机密信息,下至国际金融信息、银行资金信息、科学研究信息等,涉及国家机密的敏感信息和大量资金。因此不管哪一方面受到黑客的攻击造成信息的泄露、非法窃取、计算机病毒和恶意修改等都是巨大的损失。
1.2 网络通信使用的加密技术的原理
网络通信使用加密技术是通过信息在传递前或者传递过程中使用自己规定的方法将原文件信息转换为密文的形式,当信息传输完成的时候,接收者通过约定的转换方法将信息还原,采用加密技术能有效避免信息被非法修改或者盗取。密钥控制网络通信信息的加密、转换的过程,对称加密算法和公钥加密算法是当前密钥的两个大范围区别。公钥加密算法的密钥简单,网络开放性广,保密效率不高,广泛利用于私人电脑装系统等方面。对称加密算法的保密性高,但对密钥的依赖性强,安全性与使用的密钥相关,常用于个人资料的保护。对称加密主要使用3DES、DES以及AES技术,DES技术逐渐由新的加密技术AES取代,AES技术的密钥长度分为128、192、256三种,保密性最佳,至今为止还无人攻破。
2 常见的加密技术
2.1 节点加密
节点加密是当前普遍使用的通信加密技术,节点加密技术要求两端的节点达到完全的同步,要求在点对点之间的同步或者异步线路的前提下加密。对网络的管理要求很高,在跨国通信方面存在很大的问题,使用的设备限制较多。在由卫星连接的通信无法完全覆盖地区很容易造成数据的丢失,而且在传输过程中要求在节点的路由和报头的传输使用明文传输,不能将无法有效防止攻击者对传输信息的分析和窃取。
2.2 链路加密
(1)链路加密是指在通讯过程中对网络节点中的通信链路进行加密,数据在传输过程中的安全得到效保证。数据信息在传输之前就进行了加密,并在节点间进行解密,然后再用不同的密钥进行加密,在下一个传输节点再解密,反复进行的加密解密过程对数据信息进行保护。传输过程通过原文和密文两种形式的不断转变,最终接收者解密才能获得原始数据信息。
(2)端到端加密。端到端加密是指从传输点到接收点之间的过程完全以加密的密文方式传输,数据信息在到达接收人之前不进行解密,也不用别的加密方式转换,非常有效的避免了节点之间解密再加密过程中对数据造成的泄露。但是如果传输过程中的节点遭到破坏,数据信息就不能完成传输。端到端加密技术成本不高,维护工作也非常简单,操作方式也更加贴近人的思维方式,操作这种加密方式也不会影响到其他用户的使用。但收发两点的数据无法有效的被掩盖起来,用户使用的时候必须注意保密。
3 网络通信加密技术的应用
网络通信加密技术主要包括数字签名以及数字证书保护技术,以下对这两种应用进行简要分析。
3.1 数字签名
数字签名的操作必需要有信息发出方的签名数字证书的私钥和验证公钥。使用Hash算法将原文件做成数字摘要,再对数字摘要用签名私钥方式进行非对称加密,即做数字签名;然后将电子原文件和数字签名与签名证书的公钥一起封装,形成签名结果再进行发送,对方收到后进行验证。接收方收到数字签名的结果后用发送方提供的公钥对数字签名解密,得到数字摘要,再对接收到的子文件进行规定的Hash算法得出一个新的数字摘要,通过Hash值比较两个摘要的结果,如果得到相同的签名则承认该签名得到验证,否则视为无效。例:Q需要把信息文件传输给W,运用数字签名的方法:
(1)Q使用Hash运算原文件,得出数字摘要MD;
(2)Q用自己的私钥PVA,采用非对称的RSA算法,对数字摘要MD进行加密得到数字签名DS;
(3)Q用对称算法DES的对称密钥SK对原文信息、数字签名SD及A证书的公钥PBA采用对称算法加密,得加密信息E;
(4)Q使用B的公钥PBB,采用RSA算法对对称密钥SK加密,形成数字信封DE;
(5)Q将加密信息E以及数字信封DE合在一起传输给接收方W;
(6)W接收到数字信封DE后,需要使用自己的私钥PVB对数字信封解密,得到对称密钥SK;
(7)W用对称密钥SK通过DES算法解密加密信息E,还原出原文信息、数字签名SD及发方A证书的公钥PBA;
(8)接收方W验证数字签名时,需要使用发送方A的公钥解密数字签名从而得到数字摘要MD;
(9)收方W同时对原文信息才用发送方规定的Hash运算,求出一个新的数字摘要MD;
(10)将两个摘要的结果数据进行比较,签名相同则可以确认该信息的传导安全,否则视为无效,拒绝该签名。
3.2 数字证书保护
数字证书是一种权威保密方式,利用保存在设备中的电子文档作为保障,加密技术的最重要部分是数字证书,可以对网络通信传输的信息进行加密、解密以及数字签名的控制,保密性更高。使用于电子商务和交易等,使用时会自动保存交易记录信息,有效地避免了记录失误造成的损失。即使丢失了个人的账户信息或者账户密码,仍然可以使用数字证书实施对自己账户的资金冻结、转账等控制,没有证书的验证别人读取不了账户内容。数字证书绑定户主的真实身份和公钥,相当于一个电子的身份证,没有本人的身份认证就无法操作此账户。数字证书保护的加密方式常用于加密电子邮件、网上银行支付、网络股票、网络投资等网络电子交易的安全。数字证书的保守性极强,仅能访问用户授权的网络资源,对保密防护非常有益。其次,申请数字证书保护后,如果在其他电脑设备上使用该账户,必须导入该账户绑定的数字证书备份,否则无权操作该账户,对账户的保密工作有非常重要的意义。数字证书的使用非常方便简单,可以采用手机即时验证码等方式,安全性高,且方便快捷。
4 结语
网络通信技术在不断发展,通信过程中的加密技术也在不断的成熟,保密性越来越强。网络通信加密技术对信息安全至关重要,希望能够通过本文的介绍,能够引起广大群众的关注,重视个人乃至社会的网络通讯加密,保障每一个使用网络的人都能保障自己信息的安全。
摘要:针对网络加密的问题,本文就当前的网络通信过程中防止网络罪犯的攻击方面入手,简要介绍几种常用的网络通信加密技术,希望对一些尚未采取加密技术的企业在网络通信保密工作的开展提供一点建议。
加密通信 篇5
1 相关知识
由于该方案涉及信息加密和身份验证两部分来确定会话连接的信息安全,就相关内容进行简单介绍。
1.1 加密体制
加密从原理上可分为两大类:对称密钥(私钥)体制(SKC,Symmetric Key Cryptosystem)和非对称密钥(公钥)体制(AKC,Asymmetric Key Cryptosys-tem)[1,2]。
对于对称密钥体制,加密和解密均采用同一把密钥,要求通信双方都必须获得这把密钥,为了保持密钥的安全性,不能对外公开。因此其安全性主要依赖于强劲的加密算法和密钥的安全性。对称密钥体制的优点是加解密高效快速、密钥简短、破译困难,可以满足大量信息的加密需求,但是密钥管理成为影响系统安全的关键性因素。主要加密算法有美国数据加密标准(DES)、高级加密标准(AES)和欧洲数据加密标准(IDEA)。
对于非对称密钥体制,加密、解密时使用的加密密钥(公钥)和解密密钥(私钥)是不同的,而且公钥是对外公开的,密钥的分配和管理相对简单,还能够很容易地实现数字签名。非对称密钥体制算法是基于尖端的数学难题,计算非常复杂,它的安全性更高,但它实现速度却远赶不上对称密钥体制。主要算法有:大整数因子分解系统(RSA)、椭圆曲线离散对数系统(ECC)和离散对数系统(DSA)。
散列(Hash)算法是将任意长度的明文映射为固定性长度的二进制值(摘要值),也就是散列值。散列值是一段数据唯一的数字表示形式,如果明文被改变了一个字母,随后产生的散列值将发生改变。这样就保证了散列算法产生的摘要值可用于检验内容的完整性和真实性。比较常见的散列算法有SHA1,MD5等。
1.2 数字签名
数字签名在信息安全、身份认证、数据完整性、不可否认性以及匿名性等方面有着广泛的应用,特别是在大型网络安全通信和电子商务系统中占有重要的地位[3]。数字签名的流程为:
(1)发送方采用散列算法对原始报文进行运算,得到一个固定长度的数字串M,称为报文摘要(Message Digest)。
(2)然后用自己的私钥对摘要M进行加密来形成发送方的数字签名。
(3)这个数字签名将作为报文的附件和报文一起发送给接收方。
(4)接收方首先把接收到的原始报文用同样的散列算法计算出新的报文摘要M',再用发送方的公钥对报文附件的数字签名进行解密得到M。比较两个报文摘要M和M',如果值相同,接收方就认为该数字签名是发送方的,并且报文在传输过程中未被更改,否则认为收到的报文是伪造的或者中途被篡改了。
数字签名的算法很多,应用最为广泛的3种是:散列签名、DSS签名、RSA签名。这3种算法可单独使用,也可综合在一起使用。
1.3 SSL/TLS协议
安全套接层(SSL,Secure Socket Layer)协议是网景公司推出的基于Web应用的安全协议,用于在客户端和服务器端之间建立安全通道,以保护在不安全的公众网络上交换的数据。由SSL3.0改进的传输层安全(TLS,Transport Layer Security)协议已经成为一种工业标准并应用于几乎所有新近的软件中[4]。
SSL协议指定了一种在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证,主要用于提高应用程序之间数据的安全性,对传送的数据进行加密和隐藏,确保数据在传送中不被改变,确保数据的完整性。SSL协议使用TCP提供一种可靠的端到端的安全服务。SSL协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作,此后应用层协议所传送的数据都被加密。
2 改进SSL/TLS协议的加密方案
由于SSL/TLS协议都采用非对称体制进行密钥协商,每次用户访问网站的时候都要重新进行密钥协商,特别是针对重复访问同一个网站的用户,每次都要和初次访问一样进行密钥协商和交换,极大的增加了网站服务器的运算负荷。针对这种情况本文对相关的协议进行优化,当用户再次访问该网站时,会话密钥的协商仅需一次对称加密、解密计算(相当于一次乘法的运算量),相较于典型SSL/TLS协议的一次非对称加密、解密计算和两次对称加密、解密计算,降低了服务器指数级别的运算负荷。
2.1 改进型通信加密方案流程图
通信方案流程图如图1所示,方案具体操作如下:
(1)通信双方交换消息用于协商密钥套件、验证身份证书,交换初始向量,判断是否初次连接会话;
(2)服务器利用用户信息和自身参数为用户生成主密钥;
(3)用户随机生成一次性加密密钥,传递给服务器;
(4)服务器利用用户的一次性加密密钥,将主密钥传递给用户;
(5)用户利用主密钥生成本次会话的密钥,传递给服务器;
(6)服务器获取会话密钥后,双方进行信息加密、解密处理,确保通信安全。
其中:非初次访问用户只需进行(1)、(5)、(6)步就可以进行安全通信了。
2.2 改进型通信加密方案具体内容参照图2所示信息流可知:
(1)用户→服务器:用户发送Client Hello消息给服务器,提出建立会话的请求。其中Client Hello消息包含内容见表1。
Client ID为用户生成的编码,Client Key Suits为用户为会话所选择的相关加密算法组,主要包括对称加密算法、非对称加密算法、散列算法和其他相关内容;Client Random为用户产生,主要用于数字签名使用;Client Certification为用户的身份证书,用于鉴别用户身份;Client Count用于用户访问计数,初次访问为0,其后依次加1;Client Public Key为用户进行本次传输所使用的公钥,一般用来确定用户的来源的真实性使用。
(2)服务器→用户:服务器发送Server Hello消息给用户。服务器收到Client Hello消息后,验证用户身份,检查其是否为初始连接,并将服务器身份证书和密钥套件传输给用户。其中Server Hello消息所包含的具体内容见表2。Client ID为服务器验证用户身份后返回用户的编码,一般与Client Hello消息中的用户编码是一致的;Server Key Suits为服务器为会话所选择的相关加密算法组,主要包括对称加密算法、非对称加密算法、散列算法和其他相关内容;Server Random为服务器产生,主要用于数字签名使用;Server Certification为服务器的身份证书,用于鉴别服务器身份;Server Count为服务器对用户访问次数的计数,一般为用户访问计数加1;Server Public Key为服务器进行本次传输所使用的公钥,一般用来确定服务器的来源的真实性使用。
服务器确定用户是否为初次连接后,根据不同情况进行处理,如果是初次连接用户进行(3)以后的操作,否则跳转到(5)以后的操作。
(3)用户→服务器:用户生成一次性密钥传输给服务器。用户随机生成一次性加密密钥,利用Server Hello消息中提供的加密算法和公钥对其进行加密传输到服务器。同时用户将自己的访问计数更新。
(4)服务器→用户:服务器将为用户生成双方会话的主密钥,并传输给用户。服务器利用用户信息和本身参数为初次连接的用户生成主密钥,然后利用用户的一次性密钥进行加密传输给用户。
(5)用户→服务器:用户为本次会话连接生成会话密钥并传输给服务器。用户生成本次会话连接的会话密钥,并用服务器发过来的主密钥进行加密,传输回服务器。
(6)服务器→用户:服务器向用户发出安全连接完成消息。服务器解密获得会话密钥后,生成一个校验值,传递给用户表示安全的会话通道已经建立。
(7)用户和服务器利用会话密钥进行信息加密传输,确保交换信息安全。
3 结束语
本文所采用的方案主要是针对于用户重复访问同一站点的引起服务器运算负荷加重的问题,这种情况在网络实际应用中大量存在,比如网络用户习惯性登陆固定网站进行保密级别较高的商务活动———大型跨国公司进行业务交易,登录淘宝等网站进行购物,登陆银行进行电子交易和付费、转账等;在网络化军事演习中,固定、移动测量设备向指挥中心传输战术方位图像数据和接收指令等密级较高的信息也存在此类问题。
本方案对目前通用的SSL/TLS协议进行了改进,使得非初次访问用户相对减少了一次对称加密、解密和一次非对称加密、解密运算。使得服务器的运算负荷有了指数级的降低。此外,本方案中用户和服务器存储了会话的主密钥,大大降低了密钥管理和存储的强度和通信成本。当然保密的安全性还要依靠选择加密算法的强度和密钥的大小,同时本文未对移动用户的具体情况进行讨论,可以在以后的工作中进一步深入研究。
参考文献
[1]Bishop M.计算机安全学.北京:电子工业出版社,2005
[2]Dens T S T,Johnson S.程序员密码学.北京:机械工业出版社,2007
[3]Salomon D.数据保密与安全.北京:清华大学出版社,2005
加密通信 篇6
1 系统结构
我们所设计的窄带语音数据加密通信系统框图如图1所示, 其包括A/D、D/A模块, 声码器编解码模块和数据加密通信系统。
这种新的数据加密通信技术系统框图如图2所示, 为防止数据传输中的突发错误, 首先对待传数据进行交织, 之后再进行前向纠错 (FEC) 编码, 经串并变换后, 在多个正交的频率点分别进行DQPSK调制, 将多路调制结果相加, 经信道传输后再进行FFT解调, 前向纠错 (FEC) 解码和解交织, 即可正确接收传送数据。
2 系统具体实现分析
为了增大频带利用率和传码率, 我们采用了MCM (MultiCarrier Modulation, 多载波调制) 技术和多进制调制方式/4–DQPSK, 为了减小系统的误码率, 增强系统抗干扰的能力, 我们采用了FFT解调方式。
2.1 正交频率点的选择
对语音数据而言, 其频率范围为:0.3k Hz~3.0k Hz, 根据奈奎斯特抽样定律, 采样频率至少为6.0k Hz, 最终我们决定在一个符号周期4ms内, 采样32点, 即采样频率为8.0k Hz, 采样间隔为0.125ms。为满足正交条件 (在符号周期上任何两个载波的乘积都为0) , 要求载波最小间隔大于等于符号间隔的倒数, 为实现最大频带利用率, 我们使得二者相等, 即最小频率间隔为:1/4ms=0.25k Hz。为了在一个符号周期内恰好有整数个频率周期, 故频率点我们选择0.50k Hz、0.75k Hz、1.00k Hz、1.25 Hz、1.50k Hz、1.75k Hz、2.00k Hz、2.25k Hz、2.50k Hz、2.75k Hz, 共有10个, 其中0.50k Hz和2.75k Hz我们用作粗同步确定频点和待扩展的频点, 其余8个频点我们用于正交频点。理论上可以采取更多的频点来进行调制从而实现更高的传输速率, 但是更多的频点会导致发射功率的提高, 对发射设备的要求会更高, 如果不提高发射功率, 接收端就很难正确解调。
2.2 π/4-DQPSK调制
π/4-DQPSK调制方式具有频谱利用率高、抗衰落性能强等突出特点, 它是在QPSK基础上发展起来的一种线性数字调制技术, 1962年由Baker教授首先提出。其介于QPSK和OQPSK之间的调制方式, 其相位最大突变为3/4, 因而其频谱特性优于QPSK;相应于OQPSK, 它能实现差分检测, 这样可以避免相干检测中相干载波的相位模糊问题。由于它具有频谱特性好、频谱利用率高、抗多普勒频移等显著优点, 在移动通信、卫星通信中得到了广泛应用, 其调制框图如图3所示:
π/4–DQPSK信号载波相位与双比特码元的关系如下表所示:
2.3 FFT解调
我们采取了在接收端对信号进行FFT变换的解调方法, 经仿真比在发送端加IFFT, 接收端加FFT的解调方法的抗噪性能好、实现简单、计算复杂度低;而传统的DQPSK差分相干解调方法, 由于解调复杂, 且传送会引起码间干扰, 抽样和判决时的误差等因素影响, 导致最终的误码率很大。故对于前两种方法, FFT解调不仅在运算量上有很大的节省, 而且抗噪声能力也有很大的提高。FFT解调的思路如下:
经π/4–DQPSK调制后, 在接收端进行FFT变换, 我们对频域中不同正交频点上实部和虚部携带的相位信息进行了详细的分析, 以此为根据来进行解调, 即为FFT解调。而以前不用FFT解调方法是因为在实际实现时, 单片机或DSP的计算能力不够, 不能支持FFT在短时间如此大的计算能力, 实时性不够。按照我们的设计, 在FFT解调时需要在125 s内完成一次32点的FFT运算。经过计算, 使用C8051F410 (带硬乘法器) 可以满足需求。
3 matlab仿真结果
经仿真发现, 同步的好坏对系统的误码率有很大的影响, 而误码率是衡量通信系统性能好坏的标准, 故我们在Matlab环境下实现该系统后, 对同步技术和误码率进行了详细仿真。
3.1 关于同步的仿真
同步分为粗同步和精同步两部分。粗同步头, 是由0.50k Hz和2.75k Hz频点在4ms内分别抽样32点相加构成的。经仿真发现:在接收端进行粗同步时, 发现若能够正确分析出我们所加的由0.50k Hz和2.75k Hz构成粗同步头, 至少应该包括原来的32点中的24点, 此时的频谱还是很好的。具体分析图如图4、图5、图6、图7、图8所示:
图形分析:图4为0.50k Hz和2.75k Hz频点在4ms内分别抽样32点相加构成的时域和频域图, 此时两频点对应的谱线很明显;图5为滑动2点对应的频谱, 其他频谱点已经出现低微扰动;图6滑动4点, 图7滑动8点, 此时扰动对于0.50k Hz和2.75k Hz频点谱线还是很小的;图8滑动了16点, 此时扰动已经很大了。
结论:进行FFT解调时, 至少应包括32点中的24点, 才可正确确定所包含频点。
精同步码我们选择POCSAG码的同步码, 其由固定的32 bit所组成, 作用是提供码组间的同步信号, 具体规定为01111100110100100001010111011000。
最终仿真结果, 我们在粗同步时可以将同步误差控制在±1个码字内, 再经精同步后, 即可精确定位, 以便正确解调。
3.2 关于误码率的仿真
我们对发送端的数据加高斯白噪声后, 进行传送。其中码速率取4kbit/s, 采样率为8k Hz, 当输入数据为:011111001101001000010101110110001111100100共42位时, 经前向纠错编码后变为64位:0111110011010010000101011101100010111011000011011111110100100010, 后分8路分别进行调制, 下图9至图12为FFT解调时对应的时域和频谱图:
结论:当对发送的数据加高斯白噪声时, 经程序运行分析发现:当信噪比为30db, 20db时, 系统的误码率仍然保持为0。分两种情况分析:
(1) 当假设系统在理想同步的情况下, 则系统的抗噪声干扰能力很强, 可以达到-5~-10db。
(2) 当加入搜索-粗同步-精同步时, 为能够精确搜索到同步字, 系统的抗噪声能力可以达到20~10db。
4 结语
通过对这种新的音频信道内的数据加密通信技术进行计算机全数字仿真, 证明了我们提出方案的可实现性、较强的抗噪声能力以及搜索-同步方案的正确性。通过对其计算复杂度的分析, 证明了可以利用单片机和先进的数字信号处理技术来实现该系统, 未来我们准备利用单片机C8051F410和DSP来实现该系统。
参考文献
[1]周炯槃, 庞沁华, 续大我.通信原理[M].北京邮电大学出版社, 2002
[2]王文博, 郑侃.宽带无线通信OFDM技术[M].人民邮电出版社, 2007
移动通信端到端加密安全方案设计 篇7
新时代的到来,带来了新事物的产生,新事物促进着时代的发展,相对来说,二者是协调发展的,正如移动通信业务一样,其是新时代下最为显像的表征,新时代也因为这一技术得到了飞速的发展,但是就如今的现状而言,尽管移动通信的业务为人们带来了极大方面的同时,也为信息安全技术的保障工作提升了困难,这无疑也是对移动通信技术产生了一定的挑战,面对这样的挑战,相关技术研究人员展开了深入的研究,并且提出了相关的研究理论,其中端到端加密安全方案成为了时下最为热门的研究方案之一,由此,笔者在前人的研究基础上,对前人的研究结果、理论进行汇总分析,并且相应的提出个人的见解,对端到端加密安全方案进行设计研究,现报道如下。
1端到端加密的概念
所谓的端加密,实际上指的是在信息传递的过程中,信息从客户端输出开始,就受到相应程序或者是技术手段的保护, 直到安全的输送到目的地点,就算期间出现信息传输节点断开, 或者是人为的信息截取和破坏,也不能获取到一定的信息内容, 这样的安全技术手段就被称之为“端到端加密信息安全保护技术”。
对于这种安全防护技术而言,其本身的安全防护能力十分之高,并且能够满足现今的信息安全防护的需要,在目前的安全防护领域具有着重要的地位,同时也是未来移动通信技术主要的安全研究动向之一。
2端到端加密的安全方案设计
2.1端到端加密系统的组成
在移动通信系统中,端到端加密系统主要有以下几个方面共同构成:
(1)[UE]端到端加密的加密终端;
(2)[eNB]端到端加密的专网基站;
(3)[eCN]端到端加密的核心网;
(4)[MDC]端到端加密中的调度机;
(5)[AFEE]端到端加密的代理;
(6)1[KDC]端到端加密中的密钥分发中心。
在整个端到端机密系统中,各部分相互之间互相协作,共同配合,形成规定形势下的移动通信信息安全防护体系,在这样的防护体系中,以上各组成部分之间存在着以下联系:
2.2各项业务运行模式设计
目前的移动通信系统的专网组份不仅支持组呼、点呼,还包括整个视频信息的全过程监控等一些最为基础的实用性功能,而端到端加密系统主要是在原有的功能基础上,加入了信息的加密过程以及安全防护过程,因此可以将系统升级后的移动通信系统功能概括为组呼安全防护、点呼安全防护以及短彩信安全防护等基本业务的安全防护,在该系统升级的过程中, 并不包括视频端到端加密业务。
2.2.1端到端加密密钥分发中心系统的优化
通过上文的描述,可以知道,端到端加密中的密钥分发中心又被称之为KDC,其能够对密钥进行控制分配管理,在对端到端加密中的密钥分发中心进行优化的时候,主要将其设定为 “三元加密”的形式进行,所谓的“三元加密”实际上指的是采用三层密钥的形式对移动通信信息进行加密。也就是说,当第二层密钥被更新,一层密钥对其进行加密或者是解密,当第三层密钥被更新,二层密钥对其进行加密或者是解密。
为了进一步的提升移动通信过程中信息的安全性能,二层以及一层密钥的分配主要是采用的端到端加密密钥分发中心和加密卡直接相连接,通过密钥分发中心中的加密卡设定程序, 将密钥记录在加密卡之中。
2.2.2短彩信业务优化加密
短彩信的使用者通过相应的客户端,向端到端加密密钥分发中心提出申请,为短彩信进行密钥加密,端到端加密密钥分发中心将发送两个密钥,一个密钥发送给短彩信的发送方,另一个密钥发送给短彩信的接收方,短彩信的发送方对短彩信进行加密,密钥为X,然后对短彩信进行发送,短彩信的接收方, 得到密钥Y,对加密后的短彩信进行解密,进而进行阅读,通过流程图表现为:
3结语