电脑技术学习

企业数据安全--数据加密技术/数据传输

dn001

湖北襄樊石开网络科技有限公司是一家致力于铁道运输等多种行业信息管理技术项目研究与开发的高科技公司。我们本着"精诚所至,金石为开!的宗旨,在系统集成、软件开发、指纹识别技术 、触摸屏技术、网络信息管理等方面取得了较好的成绩、产品用户遍布全国各地。

概述
由于计算机技术和互联网技术的迅速发展,大型的企业管理软件也是深受客户喜爱.导致了其应用其起来越来越广泛,进一步使得企业的数据共享需要涉及到局域网/外网等等.而这时其中的数据有些是需要长久保存,甚至是永久保存的,而其中的关键业务数据更是成了企业生存的命脉,因此企业的数据安全越来越重要,困难也越来越重大。最终使得企业对软件的关注重点放在了软件的安全性/保密性/真实性和完整性上.

为了加大解决企业的数据安全问题的力度,软件开发人员对数据系统进行全面、可靠、安全和多层次的备份是必不可少的,同时咱们还要利用各种安全产品例如防火墙/防病毒/防黑客/防入侵等等,来分担一部分数据安全的保护责任.但是对数据本身来说,就只能通过数据加密,数据安全传输和身份认证三方面的管理来解决该问题.

数据加密其实就是按照一定的密码计算方法将一些数据中敏感的明文数据转换成一些难以识别的密文数据,然后再通过不同的密钥队统一加密的算法将统一明文加密成不同的密文表现形式.同时在具体需要的时候,咱们还可以利用密钥再将密文转成明文数据,也就是咱们所说的'解密'.

数据安全传输主要是指一些数据在各种传输过程中要确保数据的完整性和安全性,以及在一定的条件下还要求数据的不可篡改性.

另外一方面就是身份认证,这个主要是确定系统和网络的访问者是否是系统规定的合法用户,以及不同用户级别所能使用和浏览不同层次的数据.技术上主要采用登录密码/代表用户身份的物品(比如一些射频卡)或者反应用户生理特征的标示鉴别访问者身份.

数据加密技术
数据加密技术作为最基本的安全技术,作为信息安全的核心,其最初其实主要运用于保证数据在存储和传输过程中的保密性.主要是在数据存储和传输之前先通过变换和置换等各种方法对明文进行加密,这样就保证了存储的数据和正在传输的数据都是加密过的,一般人即使窃取到了数据,也是密文.所以数据加密的可靠性就直接取决于系统所采用的密码算法和密钥的长度.

密钥的类型
现今被大部分技术人员使用的密钥从技术来说大致可以分为两类:堆成加密算法(私钥密码体系)和非对称加密算法(公钥密码体系).

说的明白一些,所谓的堆成加密算法是指数据加密和解密采用的是同一个密钥,所以这种算法的安全性直接依赖于所持有的密钥的安全性.当然这种算法也有其独特的优点,那就是加密和解密速度快,加密强度高,而且是算法公开,但是器最大的缺点也是很让人头疼的问题,那就是实现密钥的秘密分发是相当的困难,而且在大量用户使用的情况下,密钥的管理也是相当的复杂的,更重要的是还无法完成用户身份认证等等功能.因此这种算法是不方便运用在开放的网络环境中的.当然目前最著名也算是最流行的对称加密算法就是数据加密标准DES和欧洲数据加密标准IDEA,当然加密程度最高的要数高级加密标准AES.

至于不对称加密算法就与之相反,其加密和解密的密钥是一个公钥/一个私钥的组队型的密钥.具体来说在加密铭文的时候就采用公钥加密,在对密文进行解密的时候就采用私钥.加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。不对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。由于不对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。

对称加密算法是应用较早的一种加密算法,其技术相当成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是,交易双方都使用同样钥匙,安全性得不到保证。此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。

不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。不对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。由于不对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。

数据传输
数据传输加密技术其实主要是防止由于通讯线路被窃听/泄露/篡改/破坏而进一步导致数据被盗的情况.数据传输加密技术通常是通过数字签名的方式来实现数据在传输过程中的安全性.也就是说数据的发送方在发送数据的同时利用单向的不可逆加密算法Hash函数或者其他信息文摘算法计算出所传输的数据的消息文摘,然后将消息文摘作为数据的数字签名跟随数据一同发给接收方.这样就使接收方在收到数据的同时也能收到数据的数字签名,然后吧计算出的数字签名和接收方收到的数字签名做比较,涂过两者相同,就可以说明数据在传输过程中是正确,无误的,同时也表明了数据在传输过程中是未被篡改的,也就是保证了数据完整性.

Hash算法
学过编程的朋友对Hash算法应该不会陌生,其实Hash算法就是一种不可逆加密的算法.咱们这么说主要是因为:首先双方必须在通信的两个断头处各自执行Hash函数的计算,其次是咱们使用Hash函数很容易从消息中计算出消息摘要,但是其逆向反演是咱们目前计算机运算能力几乎不可能实现的.所以这就是为什么咱们说Hash算法是一种单向转换算法的原因.

同时咱们要知道Hash散列本身就是一种所谓加密检查的东西,通信双方是必须各自执行一些函数计算来验证收到的消息.举例来说吧,比如发送方首先使用Hash算法计算消息检查,然后将计算结果A封装进数据包中一起发送;接收方再对所接收的消息执行Hash算法计算得出结果B,并将B与A进行比较。如果消息在传输中遭篡改致使B与A不一致,接收方丢弃该数据包。

下面咱们再介绍一下两种最常用的Hash函数:MD5(消息摘要)和SHA(安全Hash算法)

MD5是对MD4做的一些改进,虽然其计算速度要比MD4稍微慢一些,但是其安全性却得到了进一步的改善.MD5是在计算机中使用64个32位的常数进行计算,最终生成的是一个128位的完整性的检查和.

SHA安全Hash算法是以MD5算法为原型.SHA在计算中使用了79个32位常数进行计算,最终产生的是一个160位的完整性的检查和.由于SHA检查和的长度比MD5更长一些,所以也就使得SHA的安全性要更高一些.

身份认证
身份认证主要是要求咱们参与通信安全的双方在通信前必须确定双方的身份。杂呢美女说保护数据不仅仅是要让数据正确、长久存在,更重要的还有就是不能让不该看到数据的人看到咱们的数据。而想要做到这点就必须要依靠身份认证技术了。咱们知道数据存在的价值就是需要被合理的访问,所以建立一个信息安全体系的目的就应该是保证系统中的数据只能被该看到的人访问,未经授权的人士是没有办法访问的。所以有效的身份认证技术就显得格外的重要,它轻松的杜绝了未经授权人仿冒有权限的人员访问数据的现象,保证了咱们的信息安全体系。

业务流程对于身份认证技术也是存在是一定影响的。在一些企业的管理系统中,身份认证技术需要通过密切的结合企业的业务流程,以达到阻止对重要资源的非法访问的情况发生。身份认证技术还可以解决访问者物理身份与其数字身份的一致性问题,从而进一步给其他的安全技术提供权限管理的依据。所以说,身份认证技术其实就是企业整套信息安全体系的基础。

身份认证技术也是网络安全的第一道防线,同时也是最重要的一道防线。在网络之后,由于通信双方互不见面,其次在交易之前确定对方的真是身份就显得尤其重要。

对于公共网络身份认证,就但从安全角度而言,大致可以分为两种情况:一种情况就是请求认证者

的私密信息在网上传送的口令认证方式,还有一种是使用不对称的加密算法,在认证方式中包含了数字签名很高认证方式。

口令认证方式
口令认证必须具备一个前提:请求认证者必须具有一个 ID,该ID必须在认证者的用户数据库(该数据库必须包括ID和口令)中是唯一的。同时为了保证认证的有效性必须考虑到以下问题:

· 求认证者的口令必须是安全的。

· 在传输过程中,口令不能被窃看,替换。

·请求认证者在向认证者请求认证前,必须确认认证者的真实身份。否则会把口令发给冒充的认证者。

另外口令认证方式还有一个最大的安全问题就是系统的管理员一般情况下都是可以得到其他所有人员的口令。因此,为了避免这样的安全隐患,通常在一般情况下会在数据库中保存村口令的Hash值,然后咱们在通过验证Hash值的方法来认证时身份。

使用不对称加密算法的认证方式 (数字证书方式)

使用不对称加密算法的认证方式,认证双方的个人秘密信息(例如:口令)不用在网络上传送,减少了认证的风险。这种方式是通过请求认证者与认证者之间对一个随机数作数字签名与验证数字签名来实现的。

认证一旦通过,双方即建立安全通道进行通信,在每一次的请求和响应中进行,即接受信息的一方先从接收到的信息中验证发信人的身份信息,验证通过后才根据发来的信息进行相应的处理。

用于实现数字签名和验证数字签名的密钥对必须与进行认证的一方唯一对应 。

在公钥密码(不对称加密算法)体系中,数据加密和解密采用不同的密钥,而且用加密密钥加密的数据只有采用相应的解密密钥才能解密,更重要的是从加密密码来求解解密密钥在十分困难。在实际应用中,用户通常将密钥对中的加密密钥公开(称为公钥),而秘密持有解密密钥(称为私钥)。利用公钥体系可以方便地实现对用户的身份认证,也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密,信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解密,如果能够解开,说明信息确实为该用户所发送,这样就方便地实现了对信息发送方身份的鉴别和认证。在实际应用中通常将公钥密码体系和数字签名算法结合使用,在保证数据传输完整性的同时完成对用户的身份认证。

目前的不对称加密算法都是基于一些复杂的数学难题,例如目前广泛使用的RSA算法就是基于大整数因子分解这一著名的数学难题。目前常用的非对称加密算法包括整数因子分解(以RSA为代表)、椭园曲线离散对数和离散对数(以DSA为代表)。公钥密码体系的优点是能适应网络的开放性要求,密钥管理简单,并且可方便地实现数字签名和身份认证等功能,是目前电子商务等技术的核心基础。其缺点是算法复杂,加密数据的速度和效率较低。因此在实际应用中,通常将对称加密算法和非对称加密算法结合使用,利用AES、DES或者IDEA等对称加密算法来进行大容量数据的加密,而采用RSA等非对称加密算法来传递对称加密算法所使用的密钥,通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。

标签: