網(wǎng)絡(luò)數(shù)據(jù)安全之密鑰管理技術(shù)

SafePloy安策
SafePloy安策
如果數(shù)據(jù)加密和解密時使用不同的密鑰,則該加/解密算法稱為非對稱密鑰算法。在非對稱密鑰算法中,加密和解密使用的密鑰一個是對外公開的公鑰,一個是由用戶秘密保存的私鑰,從公鑰很難推算出私鑰。

為了保證數(shù)據(jù)在網(wǎng)絡(luò)中安全傳輸、不被攻擊者非法竊聽和惡意篡改,發(fā)送方在發(fā)送數(shù)據(jù)之前需要對數(shù)據(jù)進行加密處理,即通過一定的算法,利用密鑰將明文數(shù)據(jù)變換為密文數(shù)據(jù);接收方接收到密文數(shù)據(jù)后,需要對其進行解密處理,即通過一定的算法,利用密鑰將密文數(shù)據(jù)恢復(fù)為明文數(shù)據(jù),以獲得原始數(shù)據(jù)。密鑰管理技術(shù)則是指通過公開密鑰加密技術(shù)實現(xiàn)對稱密鑰管理的技術(shù),可以使相應(yīng)的管理變得簡單和更加安全,同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。

如果數(shù)據(jù)加密和解密時使用不同的密鑰,則該加/解密算法稱為非對稱密鑰算法。在非對稱密鑰算法中,加密和解密使用的密鑰一個是對外公開的公鑰,一個是由用戶秘密保存的私鑰,從公鑰很難推算出私鑰。公鑰和私鑰一一對應(yīng),二者統(tǒng)稱為非對稱密鑰對。通過公鑰(或私鑰)加密后的數(shù)據(jù)只能利用對應(yīng)的私鑰(或公鑰)進行解密。

采用對稱加密技術(shù)的雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設(shè)定防止密鑰泄密和更改密鑰的程序。通過公開密鑰加密技術(shù)實現(xiàn)對稱密鑰的管理使相應(yīng)的管理變得簡單和更加安全,同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。

可以為每次交換的信息(如每次的EDI交換)生成唯一一把對稱密鑰并用公開密鑰對該密鑰進行加密,然后再將加密后的密鑰和用該密鑰加密的信息(如EDI交換)一起發(fā)送給相應(yīng)的一方。由于對每次信息交換都對應(yīng)生成了唯一一把密鑰,因此各方就不再需要對密鑰進行維護和擔(dān)心密鑰的泄露或過期。這種方式的另一優(yōu)點是,即使泄露了一把密鑰也只將影響一筆交易,而不會影響到貿(mào)易雙方之間所有的交易關(guān)系。

非對稱密鑰算法包括RSA(Rivest Shamir and Adleman)、DSA(Digital Signature Algorithm,數(shù)字簽名算法)和ECDSA(Elliptic Curve Digital Signature Algorithm,橢圓曲線數(shù)字簽名算法)等。非對稱密鑰算法主要有兩個用途:

1、對發(fā)送的數(shù)據(jù)進行加/解密:發(fā)送者利用接收者的公鑰對數(shù)據(jù)進行加密,只有擁有對應(yīng)私鑰的接收者才能使用該私鑰對數(shù)據(jù)進行解密,從而可以保證數(shù)據(jù)的機密性。目前,只有RSA算法可以用來對發(fā)送的數(shù)據(jù)進行加/解密。

2、對數(shù)據(jù)發(fā)送者的身份進行認(rèn)證:非對稱密鑰算法的這種應(yīng)用,稱為數(shù)字簽名。發(fā)送者利用自己的私鑰對數(shù)據(jù)進行加密,接收者利用發(fā)送者的公鑰對數(shù)據(jù)進行解密,從而實現(xiàn)對數(shù)據(jù)發(fā)送者身份的驗證。由于只能利用對應(yīng)的公鑰對通過私鑰加密后的數(shù)據(jù)進行解密,因此根據(jù)解密是否成功,就可以判斷發(fā)送者的身份是否合法,如同發(fā)送者對數(shù)據(jù)進行了"簽名"。目前,RSA、DSA和ECDSA都可以用于數(shù)字簽名。

360截圖16450626515344.png

密鑰管理相關(guān)的標(biāo)準(zhǔn)規(guī)范。目前國際有關(guān)的標(biāo)準(zhǔn)化機構(gòu)都著手制定關(guān)于密鑰管理的技術(shù)標(biāo)準(zhǔn)規(guī)范。ISO與IEC下屬的信息技術(shù)委員會(JTC1)已起草了關(guān)于密鑰管理的國際標(biāo)準(zhǔn)規(guī)范。該規(guī)范主要由三部分組成:一是密鑰管理框架;二是采用對稱技術(shù)的機制;三是采用非對稱技術(shù)的機制。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論