一、什么是数据加密?
信息化时代,信息化本身就是一把双刃剑,一方面它为我们的生产、生活带来好处,另一方面,信息泄露也会给我们带来极大的威胁。所以,客观上,必须有强有力的安全措施,防止机密数据被窃取或篡改。
数据加密技术是指一条消息通过加密密钥和加密函数转换成无意义的密文,接收者通过解密函数和解密密钥将密文还原成明文。这样,我们就可以保护数据不被非法窃取和读取。提高计算机安全水平的基础是掌握数据加密的本质,数据加密由明文(未加密报文)、密文(加密报文)、加解密设备或算法、加解密密钥四部分组成。加密方法有很多种,但主要有对称加密算法、非对称加密算法和不可逆加密算法。密钥加密有两种类型:分组和序列。
数据库加密是计算机系统对信息进行保护的一种最可靠的方法。它利用密码技术对信息进行加密,实现信息屏蔽,从而起到保护信息安全的作用。对数据库中的数据进行加密,可以防止数据在存储和传输过程中失密。
计算机网络中的加密可以在不同层次上进行,最常见的是在应用层、链路层和网络层进行加 密。数据加密可以分为两种途径:一种是通过硬件实现数据加密,另一种是通过软件实现数据加密。通常所说的数据加密是指通过软件对数据进行加密。通过硬件实现网络数据加密的方法有3种:链路层加密、节点加密和端对端加密。常用软件加密算法分为对称加密和非对称加密。、
二、数据加密标准——DES
Data Encryption Standard数据加密标准是 IBM公司开发的,于1977年被美国国家标准管理局确定为联邦信息标准之一。ISO还把 DES作为一种数据加密标准。DES是世界上第一个得到认可的实用密码算法标准,至今已经历了20多年的实践检验。DES使用相同的算法对数据进行加密和解密,并且使用了相同的加密和解密密钥。
DES使用56位密钥将64位数据加密成同等长度的密文。在DES加密过程中,64位明文最初被替换,然后分成左右32位块。经过16次迭代,循环移位变换,最后逆变换得到64位密文。DES的解密过程和DES很像,只是颠倒了密钥的使用顺序。DES算法采用离散、混淆等基本技巧,其算法的基本单位是简单代换、代换、模2加法。DES的整个算法结构是开放的,其安全性由密钥保证。
三、单向函数
单向函数的概念是公开密钥密码的中心。尽管它本身并不是一个协议,但在本书中所讨论的大多数协议来说却是一个基本结构模块。
单向函数是一类计算起来相对容易,但求逆却非常困难的函数。也就是说,已知X,我们很容易计算出f(x)。但已知f(x),却难于计算出x.。在这里,“难”定义为:即使世界上所有的计算机都用来计算,从f(x)计算出x也要花费数百万年的时间。
四、单向Hash函数
单项Hash函数有:压缩函数、缩短函数、消息摘要、指纹、密码校验和、信息完整性检验(DIC)和操作检验码(MDC)。单向Hash函数是现代密码学的核心。单向Hash函数是许多协议的另一结构模块。
长期以来, Hash函数一直被应用于计算机科学中,无论是从数学角度还是其他角度, Hash函数将输入变量的长度串(称为预映射,Pre-image)转换成输出固定长度(通常较短)(Hash值)。一种简单的 Hash函数是对预映射进行处理,并返回一个由所有入位元组转换成的元组。
五、AES算法概述
AES算法密钥是美国国家标准和技术委员会电子数据加密标准。AES是一种迭代的对称密钥分组密码,它可以使用128位,192位,256位密钥,同时还可以对数据进行加密和解密。AES算法的解密与传统的解密、加密技术相比,都是对加密数据的解密。该算法以置换替代为基础。排列是数据的重排,而不是用一个单元数据替换另一个单元。其主要应用于各种基于私钥数据加密算法的信息安全技术和安全产品中,如无线网络应用、信息安全领域、虚拟专网、远程访问服务器、移动通信、电子金融等。
六、 RSA算法
数学上的单向陷门函数的特点是在一个方向上求值很容易,但其逆向计算却很困难。许多形式为Y=f(x)的函数,对于给定的自变量x值,很容易计算出函数Y的值;而由给定Y值,在很多情况下依照函数关系f(x)计算x值则十分困难。
RSA(Rivest-Shamir-Adelman)与1978年出现,目前已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但是分解它们的乘积却非常困难,因此可以将乘积公开做为加密密钥。
DES并不能取代RSA,它们的优缺点正好互补。RSA的密钥很长,加密速度慢,而采用DES,正好弥补了RSA的缺点。即DES用于明文加密,RSA用于DES密钥加密。
七、密钥管理
密匙管理是密钥学中最难的部分。对密钥算法和协议的安全设计有一定难度,但需要大量的研究才能解决。但对密钥保密则更加困难。解密者常常通过密码管理来解密对称密钥和公钥体制。密匙管理技术包括密匙的产生、分配、保存、替换和销毁等各个环节的保密措施。
1、密钥生成
(1)减少的密钥空间
(2)弱密钥选择
人们选择自己的密钥时,常常喜欢选择更容易记忆的密钥。这就是所谓的弱密钥。
(3)随机密钥
好密钥是指那些由自动处理设备生成的随机的位串。如果密钥为64位长,每一个可能的64位密钥必须具有相等的可能性。这些密钥要么从可靠的随机源中产生,要么从安全的伪随机发生器中产生
(4)X9.17密钥生成
ANSIX9.17标准规定了一种密钥生成方法。并不生成容易记忆的密钥,更适合在一个系统中产生会话密钥或伪机数。用来生成密钥的加密算法是三重DES,就像其他算法一样容易。
2、非对称密钥空间
假设有多个加密设备,使用了安全算法,但他们害怕这些设备落入敌人手中,破坏加密,所以可以将算法添加到防篡改模块中。防篡改模块是一个可以从一个特殊的密钥解密的模块,而其他密钥会导致模块用一个非常弱的算法解密。这样做会使不知道这种特殊形式的攻击者几乎不可能获得密钥。
3、发送密钥
4、验证密钥
实际上,对于接受方如何判断所受密钥是真来自发送方,还有很多问题需要解决。举例来说,一个恶意的主动攻击者可以将经过加密和签名的消息伪装成来自发送者,当接收方试图访问公共密钥数据库以验证发送方的签名时,恶意的主动攻击者可以使用他自己的公共密钥来替代。通过用自己生成的假 KDC公钥替换真实 KDC公钥,他可以实现自己发明的伪 KDC,从而欺骗接收者。
(1) 密钥传输中的错误检测
(2) 密钥在解密过程中的错误检测
5、使用密钥
软件加密不可靠。无法预测操作系统何时会停止加密、在磁盘上写些什么或处理其他紧急工作。当操作系统再次回到挂起的加密任务时,操作系统已经把加密程序写在了磁盘上,也写下了密钥。这些密钥不会被加密并保留在磁盘上,直到计算机覆盖该存储区域。当攻击者使用好的工具彻底搜索硬盘时,密钥可能还在。在抢占式多任务环境中,加密操作可以被赋予足够高的优先级,以防止中断。虽然这样可以降低危险程度,但是还是有一定风险的。
6、更新密钥
为了确保密钥的安全性每天都需要改变加密的数据链路的密钥,但这样做十分费时。更好的解决办法是直接从旧的密钥中产生新密钥,这又称为密钥更新。
7、存储密钥
最简单的密钥存储是单用户的密钥存储,一些系统采用简单方法:密钥存放于发送者的脑子中,而决不能放在系统中,发送者记住密钥,并只在对文件加密或解密时才输入密钥。
8、公开密钥的密钥管理
公开密钥密码使密钥容易管理,但也存在着问题。无论网络上有多少人,每个人只有一个公开密钥。如果发送者给接收者传送一段信息,就必须知道接收者的公开密钥。
(1) 公钥证书
(2) 分布式密钥管理
八、通信加密
在计算机网络中,通信加密(在传输过程中的数据加密)分为链路加密、节点加密和端到端加密。
(1)链路加密
(2)节点加密
(3)端到端加密
九、加密数据存储
1、非关联化密钥
加密硬盘有两种方法:用一个密钥加密所有数据。但这给分析师提供了大量的密文进行分析,使得多个用户无法只查看硬盘的一部分;用不同的密钥分别加密每个文件,这迫使用户记住每个文件的密钥。
2、驱动级与文件级加密
有两种级别的硬盘加密:文件级和驱动器级。
3、加密驱动器的随机存取
十、硬件加密与加密芯片
1、硬件加密
当前,所有加密产品都采用了特定的硬件形式。这个加密盒被嵌入在通讯线路中,然后所有经过的数据都被加密。尽管现在软件加密越来越受欢迎,但硬件加密在商业和军事应用中仍然是主流。快速、安全、易安装,使用方便。目前市场上有3种基本加密硬件:自带加密模块、专用加密盒和插卡,可以插入个人电脑。
2、加密芯片
密码虽然可以提供私人信息安全服务,但首先是维护国家利益的工具。正是基于这个出发点,考虑到DES算法的公布所带来的各种问题,美国国家保密局从19085年开始考虑制定新的商业数据加密标准来代替DES。1990年投入试运行,1993年正式使用。主要用于通信系统中电话、传真和计算机通信的安全防护。
十一、加密技术的应用
1、数字签名
数字签名是指只有发送者才能产生的他人不能伪造的数字串,这个数字串也是发送者发送的信息的真实性的证明。
数字签名认证技术在电子银行系统中得到广泛的应用,其本质上是对客户数据进行加密和解密,通常采用数字签名认证技术来核对客户的身份信息。一般而言,数字签名认证技术是建立在私密密钥和公钥签名基础上的,但该技术在实际应用中存在缺陷,单独使用任何一种数字签名都存在安全隐患,因此,多采用两种方法,以提高数据安全性。
2、数字时间戳(数字时间戳)
在电子交易中,需要对交易文件的日期和时间信息采取安全措施,而数字时间戳则可以提供安全保护,并证明电子文件的发布时间。
3、数字证书和认证系统
(1)数字证书
电子邮件、电子商务等各个领域都可以使用数字证书。采用 CCITTX.509国际标准制定了数字证书的内部格式。
(2)认证系统
在电子交易中,数字时间戳服务和数字凭证的发放都不是由双方完成的(公平性无法保证),而是由权威、公正的第三方完成的。认证中心CA是承担网上安全电子交易认证服务的服务机构,可以发放数字证书,确认用户身份。认证中心的主要任务是接受数字证书的申请,颁发数字证书和管理数字证书。
4、电子商务。
(1)支付网关
付款网关与支付型电子商务业务有关,位于公网和传统的银行网络之间,它的主要功能是:解密来自公网的数据包,并根据银行系统内部通信协议将数据重新打包;接收来自银行系统内部的相应消息,将数据转换成由公网发送的数据格式,并对数据进行加密。
(2)信用卡服务系统
POS系统不仅仅是指EOS收银机或电子算盘,这是商场消费者常见的。真正的POS系统是指一个优化的信息管理系统,有强大的财务和技术支持。
(3) 电子柜员机
该 POS系统不仅是指商场里消费者常用的 EOS收款机或电子算盘,真正的 POS系统是指一个拥有强大资金和技术支持的信息管理系统,通过优化后的销售解决方案。
(4)电子数据交换(EDI)
电子数据交换是电子商务环节的基础, POS等系统的操作可以顺利实现。电子数据交换包括硬件和软件两大部分,硬件主要是计算机网络,软件主要是计算机软件和电子数据交换标准。在硬件方面,由于安全性的原因,以往的 EDI一般是通过专用网络(即 VAN)实现的,但是目前,因特网作为成本更低、服务更好的系统,正逐渐成为 EDI的另一个更合适的硬件载体。
十二、结语
总而言之,随着计算机技术的发展,数据加密技术也在不断进步。采用数据加密技术,可以延迟数据破译的时间,为计算机安全提供技术保障。在发展数据加密技术的同时,还要做好漏洞处理工作,填补可能存在的网络安全漏洞。指导用户养成正确的使用习惯,习惯使用杀毒软件,远离不健康、不规范的网站,从根本上保证数据安全,提高计算机的安全性能。