加密技術(shù)在企業(yè)數(shù)據(jù)安全中的應(yīng)用

隨著大型企業(yè)管理軟件的發(fā)展，其應(yīng)用越來越廣泛，企業(yè)數(shù)據(jù)平臺涉及局域網(wǎng)、廣域網(wǎng)、Internet等，在各類系統(tǒng)中保存的企業(yè)關(guān)鍵數(shù)據(jù)量也越來越大，許多數(shù)據(jù)需要保存數(shù)十年以上，甚至是永久性保存。于是關(guān)鍵業(yè)務(wù)數(shù)據(jù)成了企業(yè)生存的命脈和寶貴的資源，數(shù)據(jù)安全性問題越來越突出。如何增強企業(yè)軟件系統(tǒng)的安全性、保密性、真實性、完整性，成為每一位軟件開發(fā)人員關(guān)注的焦點。

為了解決關(guān)鍵業(yè)務(wù)的數(shù)據(jù)安全問題，首先對數(shù)據(jù)系統(tǒng)進(jìn)行全面、可靠、安全和多層次的備份是必不可少的，除此以外，各種安全產(chǎn)品，無論防火墻、防病毒、防黑客、防入侵等等，都或多或少地肩負(fù)著一些保護(hù)數(shù)據(jù)的責(zé)任。從保護(hù)數(shù)據(jù)的角度講，對數(shù)據(jù)安全這個廣義概念，可以細(xì)分為三部分：數(shù)據(jù)加密、數(shù)據(jù)傳輸安全和身份認(rèn)證管理。

10年的和平網(wǎng)站建設(shè)經(jīng)驗，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。成都全網(wǎng)營銷推廣的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整和平建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)從事“和平網(wǎng)站設(shè)計”,“和平網(wǎng)站推廣”以來，每個客戶項目都認(rèn)真落實執(zhí)行。

l 數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)，通過使用不同的密鑰，可用同一加密算法將同一明文加密成不同的密文。當(dāng)需要時，可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)，稱為解密。這樣就可以實現(xiàn)數(shù)據(jù)的保密性。數(shù)據(jù)加密被公認(rèn)為是保護(hù)數(shù)據(jù)傳輸安全惟一實用的方法和保護(hù)存儲數(shù)據(jù)安全的有效方法，它是數(shù)據(jù)保護(hù)在技術(shù)上最重要的防線。

l 數(shù)據(jù)傳輸安全是指數(shù)據(jù)在傳輸過程中必須要確保數(shù)據(jù)的安全性，完整性和不可篡改性。

l 身份認(rèn)證的目的是確定系統(tǒng)和網(wǎng)絡(luò)的訪問者是否是合法用戶。主要采用登錄密碼、代表用戶身份的物品（如智能卡、IC卡等）或反映用戶生理特征的標(biāo)識鑒別訪問者的身份。

數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)是最基本的安全技術(shù)，被譽為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護(hù)信息置換成密文，然后再進(jìn)行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護(hù)信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。

根據(jù)密鑰類型不同可以將現(xiàn)代密碼技術(shù)分為兩類：對稱加密算法（私鑰密碼體系）和非對稱加密算法（公鑰密碼體系）。在對稱加密算法中，數(shù)據(jù)加密和解密采用的都是同一個密鑰，因而其安全性依賴于所持有密鑰的安全性。對稱加密算法的主要優(yōu)點是加密和解密速度快，加密強度高，且算法公開，但其大的缺點是實現(xiàn)密鑰的秘密分發(fā)困難，在大量用戶的情況下密鑰管理復(fù)雜，而且無法完成身份認(rèn)證等功能，不便于應(yīng)用在網(wǎng)絡(luò)開放的環(huán)境中。目前最著名的對稱加密算法有數(shù)據(jù)加密標(biāo)準(zhǔn)DES和歐洲數(shù)據(jù)加密標(biāo)準(zhǔn)IDEA等，目前加密強度最高的對稱加密算法是高級加密標(biāo)準(zhǔn)AES。

對稱加密算法、非對稱加密算法和不可逆加密算法可以分別應(yīng)用于數(shù)據(jù)加密、身份認(rèn)證和數(shù)據(jù)安全傳輸。

l 對稱加密算法

對稱加密算法是應(yīng)用較早的加密算法，技術(shù)成熟。在對稱加密算法中，數(shù)據(jù)發(fā)信方將明文（原始數(shù)據(jù)）和加密密鑰一起經(jīng)過特殊加密算法處理后，使其變成復(fù)雜的加密密文發(fā)送出去。收信方收到密文后，若想解讀原文，則需要使用加密用過的密鑰及相同算法的逆算法對密文進(jìn)行解密，才能使其恢復(fù)成可讀明文。在對稱加密算法中，使用的密鑰只有一個，發(fā)收信雙方都使用這個密鑰對數(shù)據(jù)進(jìn)行加密和解密，這就要求解密方事先必須知道加密密鑰。對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發(fā)收信雙方所擁有的鑰匙數(shù)量成幾何級數(shù)增長，密鑰管理成為用戶的負(fù)擔(dān)。對稱加密算法在分布式網(wǎng)絡(luò)系統(tǒng)上使用較為困難，主要是因為密鑰管理困難，使用成本較高。在計算機專網(wǎng)系統(tǒng)中廣泛使用的對稱加密算法有DES、IDEA和AES。

傳統(tǒng)的DES由于只有56位的密鑰，因此已經(jīng)不適應(yīng)當(dāng)今分布式開放網(wǎng)絡(luò)對數(shù)據(jù)加密安全性的要求。1997年RSA數(shù)據(jù)安全公司發(fā)起了一項“DES挑戰(zhàn)賽”的活動，志愿者四次分別用四個月、41天、56個小時和22個小時破解了其用56位密鑰DES算法加密的密文。即DES加密算法在計算機速度提升后的今天被認(rèn)為是不安全的。

AES是美國聯(lián)邦政府采用的商業(yè)及政府?dāng)?shù)據(jù)加密標(biāo)準(zhǔn)，預(yù)計將在未來幾十年里代替DES在各個領(lǐng)域中得到廣泛應(yīng)用。AES提供128位密鑰，因此，128位AES的加密強度是56位DES加密強度的1021倍還多。假設(shè)可以制造一部可以在1秒內(nèi)破解DES密碼的機器，那么使用這臺機器破解一個128位AES密碼需要大約149億萬年的時間。（更深一步比較而言，宇宙一般被認(rèn)為存在了還不到200億年）因此可以預(yù)計，美國國家標(biāo)準(zhǔn)局倡導(dǎo)的AES即將作為新標(biāo)準(zhǔn)取代DES。

l 不對稱加密算法

不對稱加密算法使用兩把完全不同但又是完全匹配的一對鑰匙—公鑰和私鑰。在使用不對稱加密算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。加密明文時采用公鑰加密，解密密文時使用私鑰才能完成，而且發(fā)信方（加密者）知道收信方的公鑰，只有收信方（解密者）才是唯一知道自己私鑰的人。不對稱加密算法的基本原理是，如果發(fā)信方想發(fā)送只有收信方才能解讀的加密信息，發(fā)信方必須首先知道收信方的公鑰，然后利用收信方的公鑰來加密原文；收信方收到加密密文后，使用自己的私鑰才能解密密文。顯然，采用不對稱加密算法，收發(fā)信雙方在通信之前，收信方必須將自己早已隨機生成的公鑰送給發(fā)信方，而自己保留私鑰。由于不對稱算法擁有兩個密鑰，因而特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密。廣泛應(yīng)用的不對稱加密算法有RSA算法和美國國家標(biāo)準(zhǔn)局提出的DSA。以不對稱加密算法為基礎(chǔ)的加密技術(shù)應(yīng)用非常廣泛。

l 不可逆加密算法

不可逆加密算法的特征是加密過程中不需要使用密鑰，輸入明文后由系統(tǒng)直接經(jīng)過加密算法處理成密文，這種加密后的數(shù)據(jù)是無法被解密的，只有重新輸入明文，并再次經(jīng)過同樣不可逆的加密算法處理，得到相同的加密密文并被系統(tǒng)重新識別后，才能真正解密。顯然，在這類加密過程中，加密是自己，解密還得是自己，而所謂解密，實際上就是重新加一次密，所應(yīng)用的“密碼”也就是輸入的明文。不可逆加密算法不存在密鑰保管和分發(fā)問題，非常適合在分布式網(wǎng)絡(luò)系統(tǒng)上使用，但因加密計算復(fù)雜，工作量相當(dāng)繁重，通常只在數(shù)據(jù)量有限的情形下使用，如廣泛應(yīng)用在計算機系統(tǒng)中的口令加密，利用的就是不可逆加密算法。近年來，隨著計算機系統(tǒng)性能的不斷提高，不可逆加密的應(yīng)用領(lǐng)域正在逐漸增大。在計算機網(wǎng)絡(luò)中應(yīng)用較多不可逆加密算法的有RSA公司發(fā)明的MD5算法和由美國國家標(biāo)準(zhǔn)局建議的不可逆加密標(biāo)準(zhǔn)SHS(Secure Hash Standard:安全雜亂信息標(biāo)準(zhǔn))等。

傳輸安全

數(shù)據(jù)傳輸加密技術(shù)目的是對傳輸中的數(shù)據(jù)流加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。數(shù)據(jù)傳輸?shù)耐暾酝ǔＭㄟ^數(shù)字簽名的方式來實現(xiàn)，即數(shù)據(jù)的發(fā)送方在發(fā)送數(shù)據(jù)的同時利用單向的不可逆加密算法Hash函數(shù)或者其它信息文摘算法計算出所傳輸數(shù)據(jù)的消息文摘，并將該消息文摘作為數(shù)字簽名隨數(shù)據(jù)一同發(fā)送。接收方在收到數(shù)據(jù)的同時也收到該數(shù)據(jù)的數(shù)字簽名，接收方使用相同的算法計算出接收到的數(shù)據(jù)的數(shù)字簽名，并將該數(shù)字簽名和接收到的數(shù)字簽名進(jìn)行比較，若二者相同，則說明數(shù)據(jù)在傳輸過程中未被修改，數(shù)據(jù)完整性得到了保證。

Hash算法也稱為消息摘要或單向轉(zhuǎn)換，是一種不可逆加密算法，稱它為單向轉(zhuǎn)換是因為：

1）雙方必須在通信的兩個端頭處各自執(zhí)行Hash函數(shù)計算；

2）使用Hash函數(shù)很容易從消息計算出消息摘要，但其逆向反演過程以目前計算機的運算能力幾乎不可實現(xiàn)。

Hash散列本身就是所謂加密檢查，通信雙方必須各自執(zhí)行函數(shù)計算來驗證消息。舉例來說，發(fā)送方首先使用Hash算法計算消息檢查和，然后將計算結(jié)果A封裝進(jìn)數(shù)據(jù)包中一起發(fā)送；接收方再對所接收的消息執(zhí)行Hash算法計算得出結(jié)果B，并將B與A進(jìn)行比較。如果消息在傳輸中遭篡改致使B與A不一致，接收方丟棄該數(shù)據(jù)包。

有兩種最常用的Hash函數(shù)：

·MD5（消息摘要5）：MD5對MD4做了改進(jìn)，計算速度比MD4稍慢，但安全性能得到了進(jìn)一步改善。MD5在計算中使用了64個32位常數(shù)，最終生成一個128位的完整性檢查和。

·SHA 安全Hash算法：其算法以MD5為原型。 SHA在計算中使用了79個32位常數(shù)，最終產(chǎn)生一個160位完整性檢查和。SHA檢查和長度比MD5更長，因此安全性也更高。

身份認(rèn)證

身份認(rèn)證要求參與安全通信的雙方在進(jìn)行安全通信前，必須互相鑒別對方的身份。保護(hù)數(shù)據(jù)不僅僅是要讓數(shù)據(jù)正確、長久地存在，更重要的是，要讓不該看到數(shù)據(jù)的人看不到。這方面，就必須依靠身份認(rèn)證技術(shù)來給數(shù)據(jù)加上一把鎖。數(shù)據(jù)存在的價值就是需要被合理訪問，所以，建立信息安全體系的目的應(yīng)該是保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的人訪問，未經(jīng)授權(quán)的人則無法訪問到數(shù)據(jù)。如果沒有有效的身份認(rèn)證手段，訪問者的身份就很容易被偽造，使得未經(jīng)授權(quán)的人仿冒有權(quán)限人的身份，這樣，任何安全防范體系就都形同虛設(shè)，所有安全投入就被無情地浪費了。

在企業(yè)管理系統(tǒng)中，身份認(rèn)證技術(shù)要能夠密切結(jié)合企業(yè)的業(yè)務(wù)流程，阻止對重要資源的非法訪問。身份認(rèn)證技術(shù)可以用于解決訪問者的物理身份和數(shù)字身份的一致性問題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)。所以說，身份認(rèn)證是整個信息安全體系的基礎(chǔ)。

由于網(wǎng)上的通信雙方互不見面，必須在交易時（交換敏感信息時）確認(rèn)對方的真實身份； 身份認(rèn)證指的是用戶身份的確認(rèn)技術(shù)，它是網(wǎng)絡(luò)安全的第一道防線，也是最重要的一道防線。

在公共網(wǎng)絡(luò)上的認(rèn)證，從安全角度分有兩類：一類是請求認(rèn)證者的秘密信息（例如：口令）在網(wǎng)上傳送的口令認(rèn)證方式，另一類是使用不對稱加密算法，而不需要在網(wǎng)上傳送秘密信息的認(rèn)證方式，這類認(rèn)證方式中包括數(shù)字簽名認(rèn)證方式。

l 口令認(rèn)證方式

口令認(rèn)證必須具備一個前提：請求認(rèn)證者必須具有一個 ID，該ID必須在認(rèn)證者的用戶數(shù)據(jù)庫（該數(shù)據(jù)庫必須包括ID和口令）中是唯一的。同時為了保證認(rèn)證的有效性必須考慮到以下問題：

· 求認(rèn)證者的口令必須是安全的。

· 在傳輸過程中，口令不能被竊看，替換。

·請求認(rèn)證者在向認(rèn)證者請求認(rèn)證前，必須確認(rèn)認(rèn)證者的真實身份。否則會把口令發(fā)給冒充的認(rèn)證者。

口令認(rèn)證方式還有一個大的安全問題就是系統(tǒng)的管理員通常都能得到所有用戶的口令。因此，為了避免這樣的安全隱患，通常情況下會在數(shù)據(jù)庫中保存口令的Hash值，通過驗證Hash值的方法來認(rèn)證身份。

l 使用不對稱加密算法的認(rèn)證方式 （數(shù)字證書方式）

使用不對稱加密算法的認(rèn)證方式，認(rèn)證雙方的個人秘密信息（例如：口令）不用在網(wǎng)絡(luò)上傳送，減少了認(rèn)證的風(fēng)險。這種方式是通過請求認(rèn)證者與認(rèn)證者之間對一個隨機數(shù)作數(shù)字簽名與驗證數(shù)字簽名來實現(xiàn)的。

認(rèn)證一旦通過，雙方即建立安全通道進(jìn)行通信，在每一次的請求和響應(yīng)中進(jìn)行，即接受信息的一方先從接收到的信息中驗證發(fā)信人的身份信息，驗證通過后才根據(jù)發(fā)來的信息進(jìn)行相應(yīng)的處理。

用于實現(xiàn)數(shù)字簽名和驗證數(shù)字簽名的密鑰對必須與進(jìn)行認(rèn)證的一方唯一對應(yīng) 。

在公鑰密碼（不對稱加密算法）體系中，數(shù)據(jù)加密和解密采用不同的密鑰，而且用加密密鑰加密的數(shù)據(jù)只有采用相應(yīng)的解密密鑰才能解密，更重要的是從加密密碼來求解解密密鑰在十分困難。在實際應(yīng)用中，用戶通常將密鑰對中的加密密鑰公開（稱為公鑰），而秘密持有解密密鑰（稱為私鑰）。利用公鑰體系可以方便地實現(xiàn)對用戶的身份認(rèn)證，也即用戶在信息傳輸前首先用所持有的私鑰對傳輸?shù)男畔⑦M(jìn)行加密，信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進(jìn)行解密，如果能夠解開，說明信息確實為該用戶所發(fā)送，這樣就方便地實現(xiàn)了對信息發(fā)送方身份的鑒別和認(rèn)證。在實際應(yīng)用中通常將公鑰密碼體系和數(shù)字簽名算法結(jié)合使用，在保證數(shù)據(jù)傳輸完整性的同時完成對用戶的身份認(rèn)證。

目前的不對稱加密算法都是基于一些復(fù)雜的數(shù)學(xué)難題，例如目前廣泛使用的RSA算法就是基于大整數(shù)因子分解這一著名的數(shù)學(xué)難題。目前常用的非對稱加密算法包括整數(shù)因子分解（以RSA為代表）、橢園曲線離散對數(shù)和離散對數(shù)（以DSA為代表）。公鑰密碼體系的優(yōu)點是能適應(yīng)網(wǎng)絡(luò)的開放性要求，密鑰管理簡單，并且可方便地實現(xiàn)數(shù)字簽名和身份認(rèn)證等功能，是目前電子商務(wù)等技術(shù)的核心基礎(chǔ)。其缺點是算法復(fù)雜，加密數(shù)據(jù)的速度和效率較低。因此在實際應(yīng)用中，通常將對稱加密算法和非對稱加密算法結(jié)合使用，利用AES、DES或者IDEA等對稱加密算法來進(jìn)行大容量數(shù)據(jù)的加密，而采用RSA等非對稱加密算法來傳遞對稱加密算法所使用的密鑰，通過這種方法可以有效地提高加密的效率并能簡化對密鑰的管理。

結(jié)束語：數(shù)據(jù)安全問題涉及到企業(yè)的很多重大利益，發(fā)展數(shù)據(jù)安全技術(shù)是目前面臨的迫切要求，除了上述內(nèi)容以外，數(shù)據(jù)安全還涉及到其他很多方面的技術(shù)與知識，例如：黒客技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、病毒防護(hù)技術(shù)、信息隱藏技術(shù)等。一個完善的數(shù)據(jù)安全保障系統(tǒng)，應(yīng)該根據(jù)具體需求對上述安全技術(shù)進(jìn)行取舍。

網(wǎng)站欄目：加密技術(shù)在企業(yè)數(shù)據(jù)安全中的應(yīng)用
URL網(wǎng)址：http://muchs.cn/article46/pdeg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、靜態(tài)網(wǎng)站、外貿(mào)建站、網(wǎng)站改版、虛擬主機、服務(wù)器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)