信息化觀察網(wǎng)

一、什么是數(shù)據(jù)加密？

信息化時代，信息化本身就是一把雙刃劍，一方面它為我們的生產(chǎn)、生活帶來好處，另一方面，信息泄露也會給我們帶來極大的威脅。所以，客觀上，必須有強(qiáng)有力的安全措施，防止機(jī)密數(shù)據(jù)被竊取或篡改。

數(shù)據(jù)加密技術(shù)是指一條消息通過加密密鑰和加密函數(shù)轉(zhuǎn)換成無意義的密文，接收者通過解密函數(shù)和解密密鑰將密文還原成明文。這樣，我們就可以保護(hù)數(shù)據(jù)不被非法竊取和讀取。提高計算機(jī)安全水平的基礎(chǔ)是掌握數(shù)據(jù)加密的本質(zhì)，數(shù)據(jù)加密由明文(未加密報文)、密文(加密報文)、加解密設(shè)備或算法、加解密密鑰四部分組成。加密方法有很多種，但主要有對稱加密算法、非對稱加密算法和不可逆加密算法。密鑰加密有兩種類型:分組和序列。

數(shù)據(jù)庫加密是計算機(jī)系統(tǒng)對信息進(jìn)行保護(hù)的一種最可靠的方法。它利用密碼技術(shù)對信息進(jìn)行加密，實現(xiàn)信息屏蔽，從而起到保護(hù)信息安全的作用。對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密，可以防止數(shù)據(jù)在存儲和傳輸過程中失密。

計算機(jī)網(wǎng)絡(luò)中的加密可以在不同層次上進(jìn)行，最常見的是在應(yīng)用層、鏈路層和網(wǎng)絡(luò)層進(jìn)行加密。數(shù)據(jù)加密可以分為兩種途徑：一種是通過硬件實現(xiàn)數(shù)據(jù)加密，另一種是通過軟件實現(xiàn)數(shù)據(jù)加密。通常所說的數(shù)據(jù)加密是指通過軟件對數(shù)據(jù)進(jìn)行加密。通過硬件實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)加密的方法有3種：鏈路層加密、節(jié)點加密和端對端加密。常用軟件加密算法分為對稱加密和非對稱加密。、

二、數(shù)據(jù)加密標(biāo)準(zhǔn)——DES

Data Encryption Standard數(shù)據(jù)加密標(biāo)準(zhǔn)是IBM公司開發(fā)的，于1977年被美國國家標(biāo)準(zhǔn)管理局確定為聯(lián)邦信息標(biāo)準(zhǔn)之一。ISO還把DES作為一種數(shù)據(jù)加密標(biāo)準(zhǔn)。DES是世界上第一個得到認(rèn)可的實用密碼算法標(biāo)準(zhǔn)，至今已經(jīng)歷了20多年的實踐檢驗。DES使用相同的算法對數(shù)據(jù)進(jìn)行加密和解密，并且使用了相同的加密和解密密鑰。

DES使用56位密鑰將64位數(shù)據(jù)加密成同等長度的密文。在DES加密過程中，64位明文最初被替換，然后分成左右32位塊。經(jīng)過16次迭代，循環(huán)移位變換，最后逆變換得到64位密文。DES的解密過程和DES很像，只是顛倒了密鑰的使用順序。DES算法采用離散、混淆等基本技巧，其算法的基本單位是簡單代換、代換、模2加法。DES的整個算法結(jié)構(gòu)是開放的，其安全性由密鑰保證。

三、單向函數(shù)

單向函數(shù)的概念是公開密鑰密碼的中心。盡管它本身并不是一個協(xié)議，但在本書中所討論的大多數(shù)協(xié)議來說卻是一個基本結(jié)構(gòu)模塊。

單向函數(shù)是一類計算起來相對容易，但求逆卻非常困難的函數(shù)。也就是說，已知X，我們很容易計算出f(x)。但已知f(x)，卻難于計算出x.。在這里，“難”定義為：即使世界上所有的計算機(jī)都用來計算，從f(x)計算出x也要花費數(shù)百萬年的時間。

四、單向Hash函數(shù)

單項Hash函數(shù)有：壓縮函數(shù)、縮短函數(shù)、消息摘要、指紋、密碼校驗和、信息完整性檢驗（DIC）和操作檢驗碼（MDC）。單向Hash函數(shù)是現(xiàn)代密碼學(xué)的核心。單向Hash函數(shù)是許多協(xié)議的另一結(jié)構(gòu)模塊。

長期以來，Hash函數(shù)一直被應(yīng)用于計算機(jī)科學(xué)中，無論是從數(shù)學(xué)角度還是其他角度，Hash函數(shù)將輸入變量的長度串(稱為預(yù)映射，Pre-image)轉(zhuǎn)換成輸出固定長度(通常較短)(Hash值)。一種簡單的Hash函數(shù)是對預(yù)映射進(jìn)行處理，并返回一個由所有入位元組轉(zhuǎn)換成的元組。

五、AES算法概述

AES算法密鑰是美國國家標(biāo)準(zhǔn)和技術(shù)委員會電子數(shù)據(jù)加密標(biāo)準(zhǔn)。AES是一種迭代的對稱密鑰分組密碼，它可以使用128位，192位，256位密鑰，同時還可以對數(shù)據(jù)進(jìn)行加密和解密。AES算法的解密與傳統(tǒng)的解密、加密技術(shù)相比，都是對加密數(shù)據(jù)的解密。該算法以置換替代為基礎(chǔ)。排列是數(shù)據(jù)的重排，而不是用一個單元數(shù)據(jù)替換另一個單元。其主要應(yīng)用于各種基于私鑰數(shù)據(jù)加密算法的信息安全技術(shù)和安全產(chǎn)品中，如無線網(wǎng)絡(luò)應(yīng)用、信息安全領(lǐng)域、虛擬專網(wǎng)、遠(yuǎn)程訪問服務(wù)器、移動通信、電子金融等。

六、RSA算法

數(shù)學(xué)上的單向陷門函數(shù)的特點是在一個方向上求值很容易，但其逆向計算卻很困難。許多形式為Y=f(x)的函數(shù)，對于給定的自變量x值，很容易計算出函數(shù)Y的值；而由給定Y值，在很多情況下依照函數(shù)關(guān)系f(x)計算x值則十分困難。

RSA（Rivest-Shamir-Adelman）與1978年出現(xiàn)，目前已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA算法基于一個十分簡單的數(shù)論事實：將兩個大素數(shù)相乘十分容易，但是分解它們的乘積卻非常困難，因此可以將乘積公開做為加密密鑰。

DES并不能取代RSA，它們的優(yōu)缺點正好互補(bǔ)。RSA的密鑰很長，加密速度慢，而采用DES，正好彌補(bǔ)了RSA的缺點。即DES用于明文加密，RSA用于DES密鑰加密。

七、密鑰管理

密匙管理是密鑰學(xué)中最難的部分。對密鑰算法和協(xié)議的安全設(shè)計有一定難度，但需要大量的研究才能解決。但對密鑰保密則更加困難。解密者常常通過密碼管理來解密對稱密鑰和公鑰體制。密匙管理技術(shù)包括密匙的產(chǎn)生、分配、保存、替換和銷毀等各個環(huán)節(jié)的保密措施。

1、密鑰生成

（1）減少的密鑰空間

（2）弱密鑰選擇

人們選擇自己的密鑰時，常常喜歡選擇更容易記憶的密鑰。這就是所謂的弱密鑰。

（3）隨機(jī)密鑰

好密鑰是指那些由自動處理設(shè)備生成的隨機(jī)的位串。如果密鑰為64位長，每一個可能的64位密鑰必須具有相等的可能性。這些密鑰要么從可靠的隨機(jī)源中產(chǎn)生，要么從安全的偽隨機(jī)發(fā)生器中產(chǎn)生

（4）X9.17密鑰生成

ANSIX9.17標(biāo)準(zhǔn)規(guī)定了一種密鑰生成方法。并不生成容易記憶的密鑰，更適合在一個系統(tǒng)中產(chǎn)生會話密鑰或偽機(jī)數(shù)。用來生成密鑰的加密算法是三重DES，就像其他算法一樣容易。

2、非對稱密鑰空間

假設(shè)有多個加密設(shè)備，使用了安全算法，但他們害怕這些設(shè)備落入敵人手中，破壞加密，所以可以將算法添加到防篡改模塊中。防篡改模塊是一個可以從一個特殊的密鑰解密的模塊，而其他密鑰會導(dǎo)致模塊用一個非常弱的算法解密。這樣做會使不知道這種特殊形式的攻擊者幾乎不可能獲得密鑰。

3、發(fā)送密鑰

4、驗證密鑰

實際上，對于接受方如何判斷所受密鑰是真來自發(fā)送方，還有很多問題需要解決。舉例來說，一個惡意的主動攻擊者可以將經(jīng)過加密和簽名的消息偽裝成來自發(fā)送者，當(dāng)接收方試圖訪問公共密鑰數(shù)據(jù)庫以驗證發(fā)送方的簽名時，惡意的主動攻擊者可以使用他自己的公共密鑰來替代。通過用自己生成的假KDC公鑰替換真實KDC公鑰，他可以實現(xiàn)自己發(fā)明的偽KDC，從而欺騙接收者。

(1)密鑰傳輸中的錯誤檢測

(2)密鑰在解密過程中的錯誤檢測

5、使用密鑰

軟件加密不可靠。無法預(yù)測操作系統(tǒng)何時會停止加密、在磁盤上寫些什么或處理其他緊急工作。當(dāng)操作系統(tǒng)再次回到掛起的加密任務(wù)時，操作系統(tǒng)已經(jīng)把加密程序?qū)懺诹舜疟P上，也寫下了密鑰。這些密鑰不會被加密并保留在磁盤上，直到計算機(jī)覆蓋該存儲區(qū)域。當(dāng)攻擊者使用好的工具徹底搜索硬盤時，密鑰可能還在。在搶占式多任務(wù)環(huán)境中，加密操作可以被賦予足夠高的優(yōu)先級，以防止中斷。雖然這樣可以降低危險程度，但是還是有一定風(fēng)險的。

6、更新密鑰

為了確保密鑰的安全性每天都需要改變加密的數(shù)據(jù)鏈路的密鑰，但這樣做十分費時。更好的解決辦法是直接從舊的密鑰中產(chǎn)生新密鑰，這又稱為密鑰更新。

7、存儲密鑰

最簡單的密鑰存儲是單用戶的密鑰存儲，一些系統(tǒng)采用簡單方法：密鑰存放于發(fā)送者的腦子中，而決不能放在系統(tǒng)中，發(fā)送者記住密鑰，并只在對文件加密或解密時才輸入密鑰。

8、公開密鑰的密鑰管理

公開密鑰密碼使密鑰容易管理，但也存在著問題。無論網(wǎng)絡(luò)上有多少人，每個人只有一個公開密鑰。如果發(fā)送者給接收者傳送一段信息，就必須知道接收者的公開密鑰。

（1）公鑰證書

（2）分布式密鑰管理

八、通信加密

在計算機(jī)網(wǎng)絡(luò)中，通信加密（在傳輸過程中的數(shù)據(jù)加密）分為鏈路加密、節(jié)點加密和端到端加密。

（1）鏈路加密

（2）節(jié)點加密

（3）端到端加密

九、加密數(shù)據(jù)存儲

1、非關(guān)聯(lián)化密鑰

加密硬盤有兩種方法:用一個密鑰加密所有數(shù)據(jù)。但這給分析師提供了大量的密文進(jìn)行分析，使得多個用戶無法只查看硬盤的一部分；用不同的密鑰分別加密每個文件，這迫使用戶記住每個文件的密鑰。

2、驅(qū)動級與文件級加密

有兩種級別的硬盤加密：文件級和驅(qū)動器級。

3、加密驅(qū)動器的隨機(jī)存取

十、硬件加密與加密芯片

1、硬件加密

當(dāng)前，所有加密產(chǎn)品都采用了特定的硬件形式。這個加密盒被嵌入在通訊線路中，然后所有經(jīng)過的數(shù)據(jù)都被加密。盡管現(xiàn)在軟件加密越來越受歡迎，但硬件加密在商業(yè)和軍事應(yīng)用中仍然是主流?？焖?、安全、易安裝，使用方便。目前市場上有3種基本加密硬件：自帶加密模塊、專用加密盒和插卡，可以插入個人電腦。

2、加密芯片

密碼雖然可以提供私人信息安全服務(wù)，但首先是維護(hù)國家利益的工具。正是基于這個出發(fā)點，考慮到DES算法的公布所帶來的各種問題，美國國家保密局從19085年開始考慮制定新的商業(yè)數(shù)據(jù)加密標(biāo)準(zhǔn)來代替DES。1990年投入試運行，1993年正式使用。主要用于通信系統(tǒng)中電話、傳真和計算機(jī)通信的安全防護(hù)。

十一、加密技術(shù)的應(yīng)用

1、數(shù)字簽名

數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的他人不能偽造的數(shù)字串，這個數(shù)字串也是發(fā)送者發(fā)送的信息的真實性的證明。

數(shù)字簽名認(rèn)證技術(shù)在電子銀行系統(tǒng)中得到廣泛的應(yīng)用，其本質(zhì)上是對客戶數(shù)據(jù)進(jìn)行加密和解密，通常采用數(shù)字簽名認(rèn)證技術(shù)來核對客戶的身份信息。一般而言，數(shù)字簽名認(rèn)證技術(shù)是建立在私密密鑰和公鑰簽名基礎(chǔ)上的，但該技術(shù)在實際應(yīng)用中存在缺陷，單獨使用任何一種數(shù)字簽名都存在安全隱患，因此，多采用兩種方法，以提高數(shù)據(jù)安全性。

2、數(shù)字時間戳(數(shù)字時間戳)

在電子交易中，需要對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳則可以提供安全保護(hù)，并證明電子文件的發(fā)布時間。

3、數(shù)字證書和認(rèn)證系統(tǒng)

（1）數(shù)字證書

電子郵件、電子商務(wù)等各個領(lǐng)域都可以使用數(shù)字證書。采用CCITTX.509國際標(biāo)準(zhǔn)制定了數(shù)字證書的內(nèi)部格式。

（2）認(rèn)證系統(tǒng)

在電子交易中，數(shù)字時間戳服務(wù)和數(shù)字憑證的發(fā)放都不是由雙方完成的(公平性無法保證)，而是由權(quán)威、公正的第三方完成的。認(rèn)證中心CA是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)的服務(wù)機(jī)構(gòu)，可以發(fā)放數(shù)字證書，確認(rèn)用戶身份。認(rèn)證中心的主要任務(wù)是接受數(shù)字證書的申請，頒發(fā)數(shù)字證書和管理數(shù)字證書。

4、電子商務(wù)。

（1）支付網(wǎng)關(guān)

付款網(wǎng)關(guān)與支付型電子商務(wù)業(yè)務(wù)有關(guān)，位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，它的主要功能是：解密來自公網(wǎng)的數(shù)據(jù)包，并根據(jù)銀行系統(tǒng)內(nèi)部通信協(xié)議將數(shù)據(jù)重新打包；接收來自銀行系統(tǒng)內(nèi)部的相應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換成由公網(wǎng)發(fā)送的數(shù)據(jù)格式，并對數(shù)據(jù)進(jìn)行加密。

（2）信用卡服務(wù)系統(tǒng)

POS系統(tǒng)不僅僅是指EOS收銀機(jī)或電子算盤，這是商場消費者常見的。真正的POS系統(tǒng)是指一個優(yōu)化的信息管理系統(tǒng)，有強(qiáng)大的財務(wù)和技術(shù)支持。

（3）電子柜員機(jī)

該P(yáng)OS系統(tǒng)不僅是指商場里消費者常用的EOS收款機(jī)或電子算盤，真正的POS系統(tǒng)是指一個擁有強(qiáng)大資金和技術(shù)支持的信息管理系統(tǒng)，通過優(yōu)化后的銷售解決方案。

（4）電子數(shù)據(jù)交換（EDI）

電子數(shù)據(jù)交換是電子商務(wù)環(huán)節(jié)的基礎(chǔ)，POS等系統(tǒng)的操作可以順利實現(xiàn)。電子數(shù)據(jù)交換包括硬件和軟件兩大部分，硬件主要是計算機(jī)網(wǎng)絡(luò)，軟件主要是計算機(jī)軟件和電子數(shù)據(jù)交換標(biāo)準(zhǔn)。在硬件方面，由于安全性的原因，以往的EDI一般是通過專用網(wǎng)絡(luò)(即VAN)實現(xiàn)的，但是目前，因特網(wǎng)作為成本更低、服務(wù)更好的系統(tǒng)，正逐漸成為EDI的另一個更合適的硬件載體。

十二、結(jié)語

總而言之，隨著計算機(jī)技術(shù)的發(fā)展，數(shù)據(jù)加密技術(shù)也在不斷進(jìn)步。采用數(shù)據(jù)加密技術(shù)，可以延遲數(shù)據(jù)破譯的時間，為計算機(jī)安全提供技術(shù)保障。在發(fā)展數(shù)據(jù)加密技術(shù)的同時，還要做好漏洞處理工作，填補(bǔ)可能存在的網(wǎng)絡(luò)安全漏洞。指導(dǎo)用戶養(yǎng)成正確的使用習(xí)慣，習(xí)慣使用殺毒軟件，遠(yuǎn)離不健康、不規(guī)范的網(wǎng)站，從根本上保證數(shù)據(jù)安全，提高計算機(jī)的安全性能。