一��、什么是數據加密����?
信息化時代�,信息化本身就是一把雙刃劍���,一方面它為我們的生產��、生活帶來好處�,另一方面����,信息泄露也會給我們帶來極大的威脅��。所以�����,客觀上��,必須有強有力的安全措施����,防止機密數據被竊取或篡改�。
數據加密技術是指一條消息通過加密密鑰和加密函數轉換成無意義的密文����,接收者通過解密函數和解密密鑰將密文還原成明文����。這樣���,我們就可以保護數據不被非法竊取和讀取��。提高計算機安全水平的基礎是掌握數據加密的本質�,數據加密由明文(未加密報文)���、密文(加密報文)��、加解密設備或算法��、加解密密鑰四部分組成�����。加密方法有很多種��,但主要有對稱加密算法�、非對稱加密算法和不可逆加密算法����。密鑰加密有兩種類型:分組和序列�。
數據庫加密是計算機系統對信息進行保護的一種最可靠的方法����。它利用密碼技術對信息進行加密�����,實現信息屏蔽�,從而起到保護信息安全的作用���。對數據庫中的數據進行加密�����,可以防止數據在存儲和傳輸過程中失密��。
計算機網絡中的加密可以在不同層次上進行�,最常見的是在應用層�、鏈路層和網絡層進行加 密�����。數據加密可以分為兩種途徑:一種是通過硬件實現數據加密���,另一種是通過軟件實現數據加密�����。通常所說的數據加密是指通過軟件對數據進行加密�����。通過硬件實現網絡數據加密的方法有3種:鏈路層加密��、節點加密和端對端加密����。常用軟件加密算法分為對稱加密和非對稱加密����。
二���、數據加密標準——DES
Data Encryption Standard數據加密標準是 IBM公司開發的���,于1977年被美國國家標準管理局確定為聯邦信息標準之一���。ISO還把 DES作為一種數據加密標準���。DES是世界上第一個得到認可的實用密碼算法標準����,至今已經歷了20多年的實踐檢驗�����。DES使用相同的算法對數據進行加密和解密����,并且使用了相同的加密和解密密鑰�。
DES使用56位密鑰將64位數據加密成同等長度的密文����。在DES加密過程中����,64位明文最初被替換����,然后分成左右32位塊�。經過16次迭代�,循環移位變換���,最后逆變換得到64位密文�。DES的解密過程和DES很像���,只是顛倒了密鑰的使用順序���。DES算法采用離散�、混淆等基本技巧����,其算法的基本單位是簡單代換�����、代換�����、模2加法�����。DES的整個算法結構是開放的�����,其安全性由密鑰保證���。
三�、單向函數
單向函數的概念是公開密鑰密碼的中心�。盡管它本身并不是一個協議����,但在本書中所討論的大多數協議來說卻是一個基本結構模塊��。
單向函數是一類計算起來相對容易�����,但求逆卻非常困難的函數�����。也就是說���,已知X�,我們很容易計算出f(x)��。但已知f(x)���,卻難于計算出x.�。在這里����,“難”定義為:即使世界上所有的計算機都用來計算��,從f(x)計算出x也要花費數百萬年的時間����。
四��、單向Hash函數
單項Hash函數有:壓縮函數���、縮短函數����、消息摘要�����、指紋�����、密碼校驗和�、信息完整性檢驗(DIC)和操作檢驗碼(MDC)��。單向Hash函數是現代密碼學的核心��。單向Hash函數是許多協議的另一結構模塊����。
長期以來�, Hash函數一直被應用于計算機科學中���,無論是從數學角度還是其他角度���, Hash函數將輸入變量的長度串(稱為預映射�,Pre-image)轉換成輸出固定長度(通常較短)(Hash值)���。一種簡單的 Hash函數是對預映射進行處理���,并返回一個由所有入位元組轉換成的元組���。
五����、AES算法概述
AES算法密鑰是美國國家標準和技術委員會電子數據加密標準���。AES是一種迭代的對稱密鑰分組密碼���,它可以使用128位��,192位��,256位密鑰��,同時還可以對數據進行加密和解密���。AES算法的解密與傳統的解密��、加密技術相比�,都是對加密數據的解密��。該算法以置換替代為基礎���。排列是數據的重排����,而不是用一個單元數據替換另一個單元�����。其主要應用于各種基于私鑰數據加密算法的信息安全技術和安全產品中�����,如無線網絡應用�、信息安全領域�����、虛擬專網�、遠程訪問服務器����、移動通信���、電子金融等�。
六��、 RSA算法
數學上的單向陷門函數的特點是在一個方向上求值很容易��,但其逆向計算卻很困難����。許多形式為Y=f(x)的函數��,對于給定的自變量x值���,很容易計算出函數Y的值�����;而由給定Y值����,在很多情況下依照函數關系f(x)計算x值則十分困難�����。
RSA(Rivest-Shamir-Adelman)與1978年出現�,目前已被ISO推薦為公鑰數據加密標準�����。RSA算法基于一個十分簡單的數論事實:將兩個大素數相乘十分容易�����,但是分解它們的乘積卻非常困難�����,因此可以將乘積公開做為加密密鑰�����。
DES并不能取代RSA���,它們的優缺點正好互補�����。RSA的密鑰很長�,加密速度慢��,而采用DES�,正好彌補了RSA的缺點�。即DES用于明文加密�,RSA用于DES密鑰加密����。
七����、密鑰管理
密匙管理是密鑰學中最難的部分�。對密鑰算法和協議的安全設計有一定難度�,但需要大量的研究才能解決���。但對密鑰保密則更加困難���。解密者常常通過密碼管理來解密對稱密鑰和公鑰體制����。密匙管理技術包括密匙的產生�、分配��、保存��、替換和銷毀等各個環節的保密措施���。
1�����、密鑰生成
(1)減少的密鑰空間
(2)弱密鑰選擇
人們選擇自己的密鑰時��,常常喜歡選擇更容易記憶的密鑰����。這就是所謂的弱密鑰�����。
(3)隨機密鑰
好密鑰是指那些由自動處理設備生成的隨機的位串����。如果密鑰為64位長����,每一個可能的64位密鑰必須具有相等的可能性�。這些密鑰要么從可靠的隨機源中產生��,要么從安全的偽隨機發生器中產生
(4)X9.17密鑰生成
ANSIX9.17標準規定了一種密鑰生成方法�����。并不生成容易記憶的密鑰����,更適合在一個系統中產生會話密鑰或偽機數�。用來生成密鑰的加密算法是三重DES�,就像其他算法一樣容易�。
2����、非對稱密鑰空間
假設有多個加密設備�,使用了安全算法�����,但他們害怕這些設備落入敵人手中�����,破壞加密�����,所以可以將算法添加到防篡改模塊中�����。防篡改模塊是一個可以從一個特殊的密鑰解密的模塊����,而其他密鑰會導致模塊用一個非常弱的算法解密��。這樣做會使不知道這種特殊形式的攻擊者幾乎不可能獲得密鑰�。
3�、發送密鑰
4�����、驗證密鑰
實際上���,對于接受方如何判斷所受密鑰是真來自發送方����,還有很多問題需要解決��。舉例來說�,一個惡意的主動攻擊者可以將經過加密和簽名的消息偽裝成來自發送者����,當接收方試圖訪問公共密鑰數據庫以驗證發送方的簽名時����,惡意的主動攻擊者可以使用他自己的公共密鑰來替代��。通過用自己生成的假 KDC公鑰替換真實 KDC公鑰����,他可以實現自己發明的偽 KDC�����,從而欺騙接收者����。
(1) 密鑰傳輸中的錯誤檢測
(2) 密鑰在解密過程中的錯誤檢測
5�����、使用密鑰
軟件加密不可靠����。無法預測操作系統何時會停止加密����、在磁盤上寫些什么或處理其他緊急工作��。當操作系統再次回到掛起的加密任務時�,操作系統已經把加密程序寫在了磁盤上�����,也寫下了密鑰���。這些密鑰不會被加密并保留在磁盤上�����,直到計算機覆蓋該存儲區域����。當攻擊者使用好的工具徹底搜索硬盤時���,密鑰可能還在�����。在搶占式多任務環境中��,加密操作可以被賦予足夠高的優先級�,以防止中斷��。雖然這樣可以降低危險程度�,但是還是有一定風險的�。
6���、更新密鑰
為了確保密鑰的安全性每天都需要改變加密的數據鏈路的密鑰��,但這樣做十分費時��。更好的解決辦法是直接從舊的密鑰中產生新密鑰�����,這又稱為密鑰更新���。
7�、存儲密鑰
最簡單的密鑰存儲是單用戶的密鑰存儲�,一些系統采用簡單方法:密鑰存放于發送者的腦子中�����,而決不能放在系統中�����,發送者記住密鑰�,并只在對文件加密或解密時才輸入密鑰�����。
8����、公開密鑰的密鑰管理
公開密鑰密碼使密鑰容易管理����,但也存在著問題���。無論網絡上有多少人���,每個人只有一個公開密鑰�。如果發送者給接收者傳送一段信息��,就必須知道接收者的公開密鑰���。
(1) 公鑰證書
(2) 分布式密鑰管理
八���、通信加密
在計算機網絡中�����,通信加密(在傳輸過程中的數據加密)分為鏈路加密����、節點加密和端到端加密����。
(1)鏈路加密
(2)節點加密
(3)端到端加密
九�、加密數據存儲
1��、非關聯化密鑰
加密硬盤有兩種方法:用一個密鑰加密所有數據���。但這給分析師提供了大量的密文進行分析�,使得多個用戶無法只查看硬盤的一部分����;用不同的密鑰分別加密每個文件���,這迫使用戶記住每個文件的密鑰����。
2���、驅動級與文件級加密
有兩種級別的硬盤加密:文件級和驅動器級�����。
3��、加密驅動器的隨機存取
十���、硬件加密與加密芯片
1�����、硬件加密
當前���,所有加密產品都采用了特定的硬件形式��。這個加密盒被嵌入在通訊線路中����,然后所有經過的數據都被加密��。盡管現在軟件加密越來越受歡迎�����,但硬件加密在商業和軍事應用中仍然是主流���?����?焖?���、安全�����、易安裝�����,使用方便�。目前市場上有3種基本加密硬件:自帶加密模塊��、專用加密盒和插卡�����,可以插入個人電腦�。
2��、加密芯片
密碼雖然可以提供私人信息安全服務�����,但首先是維護國家利益的工具���。正是基于這個出發點��,考慮到DES算法的公布所帶來的各種問題��,美國國家保密局從19085年開始考慮制定新的商業數據加密標準來代替DES���。1990年投入試運行���,1993年正式使用����。主要用于通信系統中電話�、傳真和計算機通信的安全防護���。
十一�����、加密技術的應用
1�、數字簽名
數字簽名是指只有發送者才能產生的他人不能偽造的數字串����,這個數字串也是發送者發送的信息的真實性的證明��。
數字簽名認證技術在電子銀行系統中得到廣泛的應用����,其本質上是對客戶數據進行加密和解密���,通常采用數字簽名認證技術來核對客戶的身份信息�����。一般而言��,數字簽名認證技術是建立在私密密鑰和公鑰簽名基礎上的�,但該技術在實際應用中存在缺陷�����,單獨使用任何一種數字簽名都存在安全隱患��,因此���,多采用兩種方法��,以提高數據安全性�。
2��、數字時間戳(數字時間戳)
在電子交易中��,需要對交易文件的日期和時間信息采取安全措施�,而數字時間戳則可以提供安全保護����,并證明電子文件的發布時間����。
3���、數字證書和認證系統
(1)數字證書
電子郵件�、電子商務等各個領域都可以使用數字證書���。采用 CCITTX.509國際標準制定了數字證書的內部格式��。
(2)認證系統
在電子交易中���,數字時間戳服務和數字憑證的發放都不是由雙方完成的(公平性無法保證)���,而是由權威���、公正的第三方完成的�����。認證中心CA是承擔網上安全電子交易認證服務的服務機構�����,可以發放數字證書���,確認用戶身份��。認證中心的主要任務是接受數字證書的申請�����,頒發數字證書和管理數字證書���。
4����、電子商務���。
(1)支付網關
付款網關與支付型電子商務業務有關���,位于公網和傳統的銀行網絡之間�����,它的主要功能是:解密來自公網的數據包��,并根據銀行系統內部通信協議將數據重新打包�����;接收來自銀行系統內部的相應消息�����,將數據轉換成由公網發送的數據格式����,并對數據進行加密�。
(2)信用卡服務系統
POS系統不僅僅是指EOS收銀機或電子算盤�����,這是商場消費者常見的�。真正的POS系統是指一個優化的信息管理系統���,有強大的財務和技術支持��。
(3) 電子柜員機
該 POS系統不僅是指商場里消費者常用的 EOS收款機或電子算盤�����,真正的 POS系統是指一個擁有強大資金和技術支持的信息管理系統����,通過優化后的銷售解決方案�。
(4)電子數據交換(EDI)
電子數據交換是電子商務環節的基礎��, POS等系統的操作可以順利實現�。電子數據交換包括硬件和軟件兩大部分��,硬件主要是計算機網絡��,軟件主要是計算機軟件和電子數據交換標準���。在硬件方面�����,由于安全性的原因�,以往的 EDI一般是通過專用網絡(即 VAN)實現的����,但是目前���,因特網作為成本更低��、服務更好的系統��,正逐漸成為 EDI的另一個更合適的硬件載體���。
十二�����、結語
總而言之���,隨著計算機技術的發展�,數據加密技術也在不斷進步���。采用數據加密技術�����,可以延遲數據破譯的時間�,為計算機安全提供技術保障�����。在發展數據加密技術的同時��,還要做好漏洞處理工作���,填補可能存在的網絡安全漏洞�。指導用戶養成正確的使用習慣���,習慣使用殺毒軟件�,遠離不健康��、不規范的網站����,從根本上保證數據安全���,提高計算機的安全性能���。
