基于DES和ECC混合加密算法的数据中心安全管理模式研究

宋严

(长春师范学院网络中心，吉林长春 130032)

基于DES和ECC混合加密算法的数据中心安全管理模式研究

宋严

(长春师范学院网络中心，吉林长春 130032)

目前高校数据中心承载的应用和服务的数量快速增加，对服务器系统的安全稳定性提出了更高的要求，但由于黑客活动加剧，严重影响了数据中心的安全。本文主要利用DES和ECC混合加密算法，探讨一种数据中心安全管理的新模式。

DES；ECC；数据中心；安全

近几年来，高校信息化建设快速发展，数字化校园工程、智慧化校园工程不断普及，虚拟化、高性能计算和云服务等模式不断涌现并发展成熟，使得高校数据中心承载的应用、服务以及数据量成倍增加，随之而来的便是对服务器系统的安全稳定性提出了更高的要求。由于目前黑客的技术和手段不断翻新，从事黑客的人数不断增加，黑客群体的层次结构也更加广泛，而从事数据中心服务器管理人员的技术水平和安全意识却参差不齐，这些因素将导致数据中心服务器安全受到严重的威胁，其中服务器系统的管理密码则是数据中心安全防护的重要环节。

1 破解系统密码的方式

密码破解方法有很多种，这里简单介绍几种常用的密码破解方法。（1）穷举法。针对管理密码为纯数字有很好的破解效果，对于包含字母的密码不适合这种方式进行破解。穷举法的原理是逐一尝试数字密码的所有排列组合，破解效率较低；（2）黑客字典法。由于一些用户通常采用某些英文单词或姓名的缩写作为密码或密码的组成部分，所以就先建立一个包含巨量英语词汇和短语、短句的可能的密码词汇字典，随后使用破解软件去逐一尝试，直到试出正确的密码。这种破解密码方法的效率远高于穷举法，因此大多数密码破解软件都支持这种破解方法；（3）猜测法。依靠的是经验和目标用户的熟悉程度，很多人的密码就是姓名汉语拼音的编写或生日的简单组合，这时猜测法拥有很高的效率。猜测法破解密码的流程和黑客字典法比较类似；（4）网络监听。网络监听工具是一种监视网络的状态、数据流动情况以及网络上传输的信息的管理工具，将网络接口设置在监听模式，可以截获网上传输的信息。当登陆网络主机并取得超级用户权限后，若要登陆其他主机，使用网络监听可以有效地截获其上传输的数据，是网上黑客使用最多的方法。网络监听只能连接物理上属于同一网段的主机或者通过交换设备的端口镜象功能进行监听。网络监听常常被用来获取用户的口令以及重要数据。

2 新型校园数据中心密码保护体系

上述的破解方法时刻都在威胁着各类应用服务器的安全，并且由于校园数据中心的服务器相对集中，如有一台服务器的密码被攻破，会给其他服务器带来巨大威胁。因此，必须找到一种适合数据中心的密码保护体系。

经过分析我们发现，黑客在利用穷举法、黑客字典法以及猜测法获取密码都需要相对比较长的时间，如果让服务器的密码在比较短的时间内改变，就可以有效地降低上述几种获取密码方法的成功效率，达到保护系统的目的。经过对这几种密码获取手段的分析及总结，我们可以把这个相对较短的时间设置为1小时，也就是说服务器的系统密码1小时更改一次，在这么短的时间内以目前的计算机运算速度，穷举法、黑客字典法以及猜测法基本是无法完成密码的破解的。如果人为地在1小时内就要去更改一次密码显然是不可能的，因此需要计算机软件去完成密码的修改。为了保障密码的安全性，产生的密码应该是按照一定的位数随机产生的，因此管理员需要通过一种方法去获取服务器不同时刻的新密码，以登陆到服务器中进行相关操作。经过仔细研究，可以通过手机短信的方式获取。管理员把自己的手机号码绑定在密码管理软件中，当管理员给密码管理软件连接的SM卡发送请求密码信息时，密码管理软件会返回给管理员手机正确的服务器密码。在这个过程中，为了能够较为准确地确定管理员的身份，管理员还需要在发送给密码管理软件的信息中写入服务器的初始密码或者其他一些信息。

校园数据中心的服务器数量一般都会大于10台，这样我们就可以利用集中密码管理的办法，把这些应用服务器的密码更改权限设置在一台服务器中，通过网络把这些服务器连接在一起做周期性的密码分发，这样可以降低管理成本，提高管理效率。但这种方法会给网络监听密码获取法带来机会，如果真出现了某一台计算机由于其他原因如系统漏洞或软件漏洞被攻克，那么黑客可以利用这台服务器做网络监听来窃取其他服务器的密码。因此，我们必须在密码管理服务器以及各应用服务器间建立起一套完整的加密体系，以保护密码在传输过程中的安全。

在这种密码保护体系下，一定要利用各种防护手段保障密码集中管理服务器的安全，如果一旦该服务器出现问题或无法连接其他应用服务器，则各服务器可以利用初始密码登陆，不会给操作带来影响。基于这种保护体系，在网络传输过程中如何利用合理的加密方式保护密码的安全成为该体系的核心问题之一（图1）。

图1 校园数据中心密码保护体系

3 网络加密的形式

3.1 链路加密

链路加密是将所要传输的数据在物理层之上的数据链路层位置进行加密。在传输路径上的各节点机均可看做是接收方，数据在每台节点机上都要进行解决再加密，直至传送到目的主机。使用链路加密设备能为某链路上的报文提供传送服务。也就是经过节点机的所有网络数据传输均需要加密和解密，每一个经过的节点机都必须有密码设备，以便进行加、解密报文。如果数据只在一部分链路上加密而在其它链路上不加密，则等于未加密，仍然是不安全的。

3.2 节点加密

节点加密指每对节点使用相同密钥，对相邻两节点间（包括节点本身）传输的报文进行加密保护。尽管节点加密的方式给网络数据提供较高的传输安全性，但在操作方法上和链路加密的方法是相似的，两者均在数据链路层上为传输的数据提供安全性，都是在中间节点主机处先对数据进行解密，然后再加密。因为需要对所有传输的数据进行加密操作，因此整个加密过程对用户是透明的。不过和链路加密不同的是，节点加密方式的数据不可以在网络节点以明文形式存在，它先是把收到的消息进行解密，然后利用另一个不同的密钥进行加密，这一操作是在节点主机上的一个安全模块中。节点加密要求数据的报头和路由信息以明文形式存在和传输，以使中间节点主机能得到处理数据的依据。所以这种方法对于防止攻击者分析通信业务是危险的。

3.3 端—端加密

端—端加密是将数据从一端传送到另一端使用的加密方式。数据在发送端被加密，在最终的接收端被解密，中间节点处不以任何明文的形式出现。采用端—端加密方式是在网络体系结构中的应用层完成的，即在传输层之上的高层中完成。在传输过程中，除报头外的报文均以密文的形式存在于全部传输过程。只有在发送端和接收端才有加、解密设备，而在中间任何节点报文均不解密，因此，不需要提供密码设备。与链路加密相比，可有效地减少密码设备的数量。另外，信息是由报头和报文组成的，报文是要发送的信息，报头为路由选择信息。由于在网络传输过程中涉及路由选择，在链路加密时，报文和报头两者都要加密。而在端—端加密时，由于通道上的每一个中间节点虽不对报文解密，但为将报文传送到目的地，必须检查路由选择信息，因此，只能加密报文，而无法对报头加密。这样就容易被通信分析手段发现，而从中获取某些敏感信息。

4 利用DES与ECC的混合加密算法完成密码加密

经过仔细分析，充分考虑到密码在传输过程中的安全性，不易于破解性，并考虑到加密解密校验的过程尽可能地减少用时，节约服务器资源，因此将采用DES与ECC的混合加密算法来完成对服务器密码的加密过程，并通过JAVA语句对具体算法进行实现（图2）。

图2 数字签名流程示意图

4.1 数字签名生成的Java语句实现

4.2 数字签名验证的Java语句实现

4.3 安全性能分析

DES算法综合运用了置换、代替、代数等多种密码技术，其设计精巧，密钥的长度仅56bit，适合软硬件实现；DES加密速度快，适合加密较长明文。而ECC算法的计算量小并且处理速度快，在一定的相同的计算资源条件下，虽然在RSA中可以通过选取较小的公钥 (可以小到3)的方法提高公钥处理速度，即提高加密和签名验证的速度，使其在加密和签名验证速度上与ECC有可比性。但在私钥的处理速度上 (解密和签名)，ECC远比RSA快得多。在相同条件下，ECC具有更高的加密性能。ECC算法的存储空间占用小：ECC的密钥尺寸和系统参数与RSA相比要小得多。160 bit ECC与1024bit RSA具有相同的安全强度，210bit ECC则与2048bit RSA具有相同的安全强度，意味着它所占的存贮空间要小得多。

因此，在校园数据中心新型架构的密码传输加密问题上，我们选择了利用DES与ECC混合加密的机制，尽可能地保护数据安全，增加黑客破译时间。由于这种密码更新的周期为1个小时，因此更能增加传输密码的安全性。目前，该项数据中心密码安全体系正在研究中，DES与ECC混合加密的机制已经在测试过程中显示出了良好的安全性能。

5 发展趋势

目前，校园数据中心的领域内还没有运用服务器密码集中管理的模式，虽然该方式属于探索阶段，但从理论上的研究已经相当成熟，正在实际的应用环境中进行测试性研究。可以说，这种模式的前景将是非常广阔的，不论是在校园或是在其他大型数据中心内，都能够打破传统的服务器密码单一管理模式，为数据中心应用提供集中优势的非常可靠的密码管理体系保障。

[1]邱崇霞.加密技术在网络中的应用[J].计算机网络,2007(8):185.

[2]杨新存.高校数据中心安全分析及解决方案[J].信息科学,2008(15):48.

[3]杨大为.网络加密技术的应用与部署[J].信息安全与通讯保密,2007(12):120-123.

Research on the DES&ECC-based Mixed Encryption Algorithm for Data Center Security Management Mode

SONG Yan
(Network Center of Changchun Normal University,Changchun 130032,China)

The quantity of application and service which university data center carries is increasing rapidly,and so the higher requirements are put forward for the security and stability of server system.However,for the aggravation of hacker activities,the security of data center is seriously affected.Using DES&ECC-based mixed encryption algorithm,this paper discusses a new mode of safety management for the data center.

DES;ECC;data center;security

TP393

A

1008-178X(2012)09-0021-04

2012-06-15

宋 严（1982-），男，吉林磐石人，长春师范学院网络中心网络实验师，从事计算机网络应用研究。