隨著計算機和通信技術(shù)的迅猛發(fā)展，以及智能儀器向虛擬儀器的轉(zhuǎn)變，網(wǎng)絡(luò)化成為儀器發(fā)展的一個趨向。在網(wǎng)絡(luò)帶來便捷的同時，網(wǎng)絡(luò)的安全隱患也威脅著數(shù)據(jù)的安全。正是由于網(wǎng)絡(luò)的開放性和安全隱患，采取措施保護儀器之間通信的數(shù)據(jù)安全已經(jīng)迫在眉睫。

　　儀器網(wǎng)絡(luò)的搭建可以直接由傳統(tǒng)儀器本身通過總線連接，也可以采用傳統(tǒng)儀器固化一個網(wǎng)絡(luò)接口或者與計算機結(jié)合，由網(wǎng)絡(luò)接口和計算機負(fù)責(zé)網(wǎng)絡(luò)傳輸部分的工作。通過總線直接搭建的儀器網(wǎng)絡(luò)一般距離比較短，不涉及數(shù)據(jù)加密的問題。而采用固化硬件接口或連接計算機聯(lián)網(wǎng)的方式，由于連接的距離比較遠(yuǎn)，中途必須通過許多轉(zhuǎn)送節(jié)點，這使得數(shù)據(jù)在傳輸過程中可能受到威脅。比如基于因特網(wǎng)的導(dǎo)彈教學(xué)系統(tǒng)，它可以實現(xiàn)無裝備部隊對裝備的學(xué)習(xí)，但是在數(shù)據(jù)傳輸過程中經(jīng)由許多路由，如果傳輸?shù)臄?shù)據(jù)沒有經(jīng)過任何安全措施，那么可能會被竊取。所以針對這樣遠(yuǎn)距離的儀器網(wǎng)絡(luò)，在保密性要求比較強的場合，必須對傳輸數(shù)據(jù)采取相應(yīng)的安全措施。

　　目前應(yīng)用在Intel網(wǎng)中的網(wǎng)絡(luò)安全技術(shù)主要有：數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)。儀器網(wǎng)絡(luò)與Intel網(wǎng)相比，網(wǎng)絡(luò)傳輸部分比較簡單，一般不配有專門的網(wǎng)絡(luò)技術(shù)人員維護管理，所以只引入防火墻技術(shù)和數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密既可以使用軟件實現(xiàn)也可以通過硬件實現(xiàn)。數(shù)據(jù)加密的硬件連接如1所示。

　　防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是硬件，也可以是軟件，也可能是硬件和軟件的結(jié)合，這種安全部件處于被保護網(wǎng)絡(luò)和其它網(wǎng)絡(luò)的邊界，接收進出被保護網(wǎng)絡(luò)的數(shù)據(jù)流，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境。

　　防火墻在網(wǎng)絡(luò)中的位置如所示。在儀器連接過程中加入防火墻可以有效的抵御來自外網(wǎng)的攻擊，一定程度上保證已傳輸數(shù)據(jù)的安全性。

　　防火墻的局限性在于它只能保護來自外網(wǎng)針對內(nèi)網(wǎng)的攻擊，如果竊取者來自內(nèi)網(wǎng)，即內(nèi)網(wǎng)本身存在變節(jié)者那么防火墻對此一籌莫展。此外，防火墻對于在廣域網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)沒有任何保護作用，即使接收的數(shù)據(jù)本身帶有病毒，只要來源合法，那么它也可以被順利的接受。因此對數(shù)據(jù)進行加密是十分必要的。

　　數(shù)據(jù)加密就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理，使其成為不可讀的一段代碼的過程。

　　這段處理后的文件或數(shù)據(jù)通常稱為“密文”，其只能在使用相應(yīng)的密鑰做逆運算之后才能顯示出內(nèi)容。加密過程的逆過程為解密，即將“密文”轉(zhuǎn)化為其原來數(shù)據(jù)的過程。

　　加解密運算流程圖如所示。

　　假設(shè)明文是A，加密后的密文為B，加密函數(shù)和解密函數(shù)為C（）和D（），那么，B=C（A）；D（B）=A；A=D（C（A））。

　　目前常用的加密算法可分為對稱加密和非對稱加密兩種。（1）對稱式加密是指加密數(shù)據(jù)和解密數(shù)據(jù)時使用同一個密鑰。對稱式加密比較著名的算法有DES和AES.DES是IBM公司為保護產(chǎn)品的機密于1971年至1972年研制成功的，后被美國國家標(biāo)準(zhǔn)局和國家安全局選為數(shù)據(jù)加密標(biāo)準(zhǔn)，并于1977年頒布使用。DES的工作原理為：將明文分割成許多64位大小的塊，每個塊用64位密鑰進行加密。實際上，密鑰由56位數(shù)據(jù)位和8位奇偶校驗位組成，因此只有256個可能的密碼而不是264個。每塊先用初始置換方法進行加密，再連續(xù)進行16次復(fù)雜的替換，最后再對其施用初始置換的逆。

　�。�2）非對稱式加密是指加密和解密分別使用不同的密鑰――共鑰（Public Key）和私鑰（Private Key）。

　　共鑰可以公開，私鑰為解密人私有，由共鑰不能推算出私鑰。比較著名的非對稱式算法有：RSA，它已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會SC20推薦為公開密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA的理論依據(jù)為：尋找兩個大素數(shù)比較簡單，而將它們的乘積分解開則異常困難。

　　由于它的速度比DES慢幾個數(shù)量級，所以在用硬件實現(xiàn)加密時一般不采用RSA算法。

　　對稱式加密算法簡單，速度快，但是保密性不高，而非對稱式算法復(fù)雜，難破解，速度太慢。過于復(fù)雜的加密方法由于速度過慢而不適于網(wǎng)絡(luò)打包傳輸?shù)男枰�，而網(wǎng)絡(luò)儀器實時性要求更高，在觀測某一儀器的當(dāng)前狀態(tài)時，要使檢測人員看到時間上距離實際值盡可能近的數(shù)據(jù)。所以，在進行數(shù)據(jù)加密時必須同時滿足安全性和實時性的需要。比較好的解決方案是采取對稱加密和非對稱加密相結(jié)合的加密方法，即利用DES速度快的優(yōu)點來加密比較長的報文，然后用RSA加密DES產(chǎn)生的密鑰。由于RSA的密鑰空間大，這樣可以彌補DES的密鑰分布問題，同時DES加密明文解決了RSA速度慢的問題。

　　現(xiàn)在結(jié)合某導(dǎo)彈系統(tǒng)儀器網(wǎng)絡(luò)來具體說明數(shù)據(jù)加密在儀器網(wǎng)絡(luò)中的應(yīng)用。

　　該導(dǎo)彈網(wǎng)絡(luò)系統(tǒng)的儀器網(wǎng)絡(luò)是廣域的，測量系統(tǒng)基于PXI總線的虛擬儀器，數(shù)據(jù)加密采用DES和RSA相結(jié)合的方案實現(xiàn)，測試儀器部分與遠(yuǎn)程的控制儀器部分通過計算機連接，軟件部分使用Labview實現(xiàn)。

　　由于采用DES對明文進行加密，DES算法是將數(shù)據(jù)按64位一組進行處理，所以數(shù)據(jù)加密前首先按64位一組分組，最后一組如果數(shù)據(jù)小于64位，則補零。DES加密64位的數(shù)據(jù)所用密鑰也是64位的，在更改密鑰之前，只要用RSA對這64位的密鑰加密即可。DES算法首先把輸入的64位數(shù)據(jù)塊按位重新組合，并把輸出分為L0、R0兩部分，每部分長32位，并進行前后置換（輸入的第58位換到第1位，第50位換到第2位，依此類推，最后一位是原來的第7位），最終由L0輸出左32位，R 0輸出右32位，根據(jù)這個法則經(jīng)過16次迭代運算后，得到L 16、R16，將此作為輸入，進行與初始置換相反的逆置換，即得到密文輸出。

　　加密描述如所示。

　　解密是加密的逆過程。

　　軟件上，數(shù)據(jù)加密由Labview中的CIN節(jié)點實現(xiàn)。

　　系統(tǒng)數(shù)據(jù)加密部分在Labview中的實現(xiàn)步驟：首先，在Labview中創(chuàng)建一個空CIN節(jié)點，然后創(chuàng)建CIN的輸入輸出端口，這里需要兩個輸入端口，分別輸入明文和密鑰，一個輸出端口輸出密文。其次，創(chuàng)建算法的C源文件。然后，利用Visual C++編譯環(huán)境創(chuàng)建DLL文件，然后利用CINTools工具將編譯好的DLL文件轉(zhuǎn)換成。lsb文件。最后，通過CIN節(jié)點的右鍵菜單直接加載上一步編譯的。lsb文件。

　　實驗結(jié)果：在主頻1.5G的處理器平臺上，如果每1k明文DES加密使用一個64位的密鑰。單獨使用RSA算法，采用128位密鑰對10k的數(shù)據(jù)加密和解密，并單獨使用DES算法以及使用DES和RSA相結(jié)合的方式，需要的時間如1所示。

　　表1算法時間比較表

　　為了保證儀器網(wǎng)絡(luò)化后數(shù)據(jù)的安全，可以采取安裝防火墻，數(shù)據(jù)加密等措施。由于在網(wǎng)絡(luò)化儀器中對數(shù)據(jù)加密運算的速度和數(shù)據(jù)的實時性要求都比較高，RSA數(shù)據(jù)加密算法安全性好，但速度很慢，主頻1.5G處理器產(chǎn)生512位密鑰還會死機，而DES算法速度很快，比RSA要快幾個數(shù)量級，但它安全性不夠好，DES和RSA相結(jié)合來加密數(shù)據(jù)是一種比較好的解決方案。目前，數(shù)據(jù)的加密算法有很多，我們要根據(jù)情況在安全性和速度上做合適的取舍，選擇合適的算法。

　　【中國糧油儀器在線】部分信息來自互聯(lián)網(wǎng)，力求安全及時、準(zhǔn)確無誤，目的在于傳遞更多信息，并不代表本網(wǎng)對其觀點贊同或?qū)ζ湔鎸嵭载?fù)責(zé)。