加密技术在企业数据安全中的应用

dn001 2010-01-22 22:08:32

　　Hash散列本身就是所谓加密检查，通信双方必须各自执行函数计算来验证消息。举例来说，发送方首先使用Hash算法计算消息检查和，然后将计算结果A封装进数据包中一起发送；接收方再对所接收的消息执行Hash算法计算得出结果B，并将B与A进行比较。如果消息在传输中遭篡改致使B与A不一致，接收方丢弃该数据包。

　　有两种最常用的Hash函数：

　　·MD5（消息摘要5）：MD5对MD4做了改进，计算速度比MD4稍慢，但安全性能得到了进一步改善。MD5在计算中使用了64个32位常数，最终生成一个128位的完整性检查和。

　　·SHA 安全Hash算法：其算法以MD5为原型。 SHA在计算中使用了79个32位常数，最终产生一个160位完整性检查和。SHA检查和长度比MD5更长，因此安全性也更高。

　　身份认证

　　身份认证要求参与安全通信的双方在进行安全通信前，必须互相鉴别对方的身份。保护数据不仅仅是要让数据正确、长久地存在，更重要的是，要让不该看到数据的人看不到。这方面，就必须依靠身份认证技术来给数据加上一把锁。数据存在的价值就是需要被合理访问，所以，建立信息安全体系的目的应该是保证系统中的数据只能被有权限的人访问，未经授权的人则无法访问到数据。如果没有有效的身份认证手段，访问者的身份就很容易被伪造，使得未经授权的人仿冒有权限人的身份，这样，任何安全防范体系就都形同虚设，所有安全投入就被无情地浪费了。

　　在企业管理系统中，身份认证技术要能够密切结合企业的业务流程，阻止对重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。所以说，身份认证是整个信息安全体系的基础。

　　由于网上的通信双方互不见面，必须在交易时（交换敏感信息时）确认对方的真实身份；身份认证指的是用户身份的确认技术，它是网络安全的第一道防线，也是最重要的一道防线。

　　在公共网络上的认证，从安全角度分有两类：一类是请求认证者的秘密信息（例如：口令）在网上传送的口令认证方式，另一类是使用不对称加密算法，而不需要在网上传送秘密信息的认证方式，这类认证方式中包括数字签名认证方式。

　　l 口令认证方式

　　口令认证必须具备一个前提：请求认证者必须具有一个 ID，该ID必须在认证者的用户数据库（该数据库必须包括ID和口令）中是唯一的。同时为了保证认证的有效性必须考虑到以下问题：

　　· 求认证者的口令必须是安全的。

　　· 在传输过程中，口令不能被窃看，替换。

　　·请求认证者在向认证者请求认证前，必须确认认证者的真实身份。否则会把口令发给冒充的认证者。

　　口令认证方式还有一个最大的安全问题就是系统的管理员通常都能得到所有用户的口令。因此，为了避免这样的安全隐患，通常情况下会在数据库中保存口令的Hash值，通过验证Hash值的方法来认证身份。

　　l 使用不对称加密算法的认证方式（数字证书方式）

　　使用不对称加密算法的认证方式，认证双方的个人秘密信息（例如：口令）不用在网络上传送，减少了认证的风险。这种方式是通过请求认证者与认证者之间对一个随机数作数字签名与验证数字签名来实现的。

　　认证一旦通过，双方即建立安全通道进行通信，在每一次的请求和响应中进行，即接受信息的一方先从接收到的信息中验证发信人的身份信息，验证通过后才根据发来的信息进行相应的处理。

　　用于实现数字签名和验证数字签名的密钥对必须与进行认证的一方唯一对应。

　　在公钥密码（不对称加密算法）体系中，数据加密和解密采用不同的密钥，而且用加密密钥加密的数据只有采用相应的解密密钥才能解密，更重要的是从加密密码来求解解密密钥在十分困难。在实际应用中，用户通常将密钥对中的加密密钥公开（称为公钥），而秘密持有解密密钥（称为私钥）。利用公钥体系可以方便地实现对用户的身份认证，也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密，信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密，如果能够解开，说明信息确实为该用户所发送，这样就方便地实现了对信息发送方身份的鉴别和认证。在实际应用中通常将公钥密码体系和数字签名算法结合使用，在保证数据传输完整性的同时完成对用户的身份认证。

　　目前的不对称加密算法都是基于一些复杂的数学难题，例如目前广泛使用的RSA算法就是基于大整数因子分解这一著名的数学难题。目前常用的非对称加密算法包括整数因子分解（以RSA为代表）、椭园曲线离散对数和离散对数（以DSA为代表）。公钥密码体系的优点是能适应网络的开放性要求，密钥管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂，加密数据的速度和效率较低。因此在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用AES、DES或者IDEA等对称加密算法来进行大容量数据的加密，而采用RSA等非对称加密算法来传递对称加密算法所使用的密钥，通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。

　　结束语：数据安全问题涉及到企业的很多重大利益，发展数据安全技术是目前面临的迫切要求，除了上述内容以外，数据安全还涉及到其他很多方面的技术与知识，例如：黒客技术、防火墙技术、入侵检测技术、病毒防护技术、信息隐藏技术等。一个完善的数据安全保障系统，应该根据具体需求对上述安全技术进行取舍。

标签：

首页上一页 12