數據傳輸加密技術的目的是對傳輸中的數據流進行加密,通常包括線路加密和端到端加密。線路加密側重於線路而不考慮來源和目的地,通過在每條線路上使用不同的加密密鑰來為機密信息提供安全保護。端到端加密是指信息由發送方自動加密並通過TCP/IP封裝,然後作為不可讀不可識別的數據通過互聯網。當信息到達目的地時,它將被自動重組和解密,成為可讀的數據。
數據存儲加密技術的目的是防止數據在存儲環節丟失。數據存儲加密技術可分為密文存儲和訪問控制。前者壹般通過加密算法轉換、附加密碼、加密模塊等方法實現;後者是對用戶的資格和權限進行審查和限制,防止非法用戶訪問數據或合法用戶超越權限訪問數據。
數據完整性認證技術的目的是驗證參與信息傳輸、訪問和處理的人員的身份和相關數據內容,壹般包括密碼、密鑰、身份、數據等項目的認證。通過比較和驗證對象輸入的特征值是否符合預設參數,系統實現對數據的安全保護。
密鑰管理技術包括密鑰生成、分發、保存、替換和銷毀各個方面的安全措施。數據加密的術語是:
明文,即原始或未加密的數據。用加密算法加密,加密算法的輸入信息是明文和密鑰;
密文是明文的加密格式,是加密算法的輸出信息。加密算法是公開的,但密鑰不是公開的。密文不應該被沒有密鑰的用戶理解,用於數據存儲和傳輸;
Key,由數字、字母或特殊符號組成的字符串,用於控制數據加密和解密的過程;
加密,將明文轉換為密文的過程;
加密算法,加密中使用的變換方法;
解密,即實現密文和加密的逆變換,得到明文的過程;
解密算法,解密中使用的變換方法。
加密技術是壹種防止信息泄露的技術。其核心技術是密碼學,是研究密碼系統或通信安全的壹門學科,分為密碼學和密碼分析。
任何加密系統都是由明文、密文、算法和密鑰組成的。發送方通過加密設備或加密算法用加密密鑰對數據進行加密並發送出去。接收到密文後,接收者用解密密鑰解密密文,並將其還原為明文。在傳輸過程中,即使密文被不法分子竊取,也只是得到無法識別的密文,從而起到數據保密的作用。
示例:明文是壹個字符串:
當翠鳥著火時
(為簡單起見,假設處理的數據字符只有大寫字母和空格字符)。假設密鑰是壹個字符串:
姓氏
加密算法是:
1)將明文分成密鑰串長度的塊(空格用+)表示。
她的+著火了
2)用0~26範圍內的整數替換明文的每個字符,空格符=00,A=01,...,Z = 26
3)如步驟2中所述,替換密鑰的每個字符:
0512091520
4)對於每個明文塊,每個字符用對應的整數碼與密鑰中對應位置的字符的整數碼之和取模27後的值(整數碼)代替:
例如,第壹個整數代碼是(01+05)%27=06。
5)用等價字符替換步驟4結果中的整數代碼:
FDIZB SSOXL MQ+GT HMBRA ERRFY
如果給定了密鑰,這個例子的解密過程就簡單了。問題是惡意攻擊者在不知道密鑰的情況下,通過使用匹配的明文和密文來獲取密鑰的難度有多大。對於上面這個簡單的例子,答案是相當容易的,壹般來說不容易,但是復雜的加密方式也很容易設計。理想情況下,采用的加密模式應該讓攻擊者為破解付出的代價大於他獲得的收益。事實上,這個目的適用於所有的安全措施。這種加密模式可以接受的終極目標是,即使是這種模式的發明者,也無法通過匹配明文和密文得到密鑰,從而無法破解密文。有兩種傳統的加密方法,替換和置換。上面的例子使用了另壹種方法:使用壹個密鑰將明文中的每個字符轉換成密文中的壹個字符。替換只是以不同的順序重新排列明文的字符。單獨使用這兩種方法中的任何壹種都不安全,但是結合使用這兩種方法可以提供相當高的安全性。數據加密標準(DES)采用這種組合算法,由IBM制定,於1977年成為美國官方加密標準。
DES的工作原理是將明文分成許多64位的塊,每個塊用壹個64位的密鑰加密。事實上,密鑰由56位數據位和8位奇偶校驗位組成,因此可能的密碼只有56個,而不是64個。首先用初始置換法對每個塊進行加密,然後連續進行16次復數置換,最後對其進行初始置換的逆運算。步驟I中的替換不是直接使用原始密鑰K,而是使用K和I計算出的密鑰Ki..
DES具有這樣的特性,除了以相反的順序應用密鑰Ki之外,其解密算法與加密算法相同。多年來,許多人認為DES並不真正安全。事實上,即使沒有智能方法,隨著快速、高度並行的處理器的出現,強行破解DES也是可能的。公鑰加密方法使DES和類似的傳統加密技術過時了。在公鑰加密方法中,加密算法和加密密鑰都是公開的,任何人都可以將明文轉換成密文。而對應的解密密鑰是保密的(公鑰法包括分別用於加密和解密的兩個密鑰),無法從加密密鑰推導出來,所以即使是加密器也無法在沒有授權的情況下進行對應的解密。
公鑰加密的思想最初是由Diffie和Hellman提出的,最著名的是Rivest、Shamir和Adleman提出的,通常稱為RSA(以三位發明者的首字母命名)。這種方法基於以下兩個事實:
1)判斷壹個數是否為素數有壹個快速算法;
2)確定壹個合數的素因子的快速算法還沒有找到。
RSA方法的工作原理如下:
1)任意選擇兩個不同的大素數p和q並計算乘積r = p * q;
2)任意選擇壹個大整數e,e與(p-1)*(q-1)互質,整數e作為加密密鑰。註意:e的選取很容易,比如所有大於p和q的素數都有。
3)確定解密密鑰d:
(d * e)模(p - 1)*(q - 1) = 1
從e,p和q可以很容易地計算出d。
4)公開整數r和e,但不公開d;
5)將明文p(假設p是小於r的整數)加密成密文c,計算方法如下:
C = P^e模r
6)將密文c解密成明文p,計算方法如下:
P = C^d模r
但是,只從R和E(而不是P和Q)計算D是不可能的。因此,任何人都可以加密明文,但只有授權用戶(知道D)才能解密密文。
我們舉壹個簡單的例子來說明上面的過程。顯然,我們只能選擇極少數。
例:若p = 3,q = 5,則r=15,(p-1)*(q-1)=8。選擇e=11(大於p和q的質數),通過(d * 11)模(8) = 1。
計算d =3。
假設明文是13的整數。那麽密文c就是
C = P^e模r
= 13^11模15
= 1,792,160,394,037模15
= 7
恢復的明文p是:
P = C^d模r
= 7^3模15
= 343模15
= 13
因為e和d是互易的,所以公鑰加密方法也允許以這種方式對加密信息進行簽名,這樣接收方就可以確信簽名不是偽造的。假設A和B想通過公鑰加密傳輸數據,A和B分別公開了加密算法和對應的密鑰,但沒有公開解密算法和對應的密鑰。A和B的加密算法是ECA和ECB,解密算法是DCA和DCB,ECA和DCA互逆,ECB和DCB互逆。如果A要發送明文P給B,不是簡單的發送ECB(P),而是先將其解密算法DCA應用於P,然後用加密算法ECB將結果加密後發送出去。
密文c是:
C =歐洲中央銀行
B收到C後,依次應用其解密算法DCB和加密算法ECA,得到明文P:
非洲經委會
= ECA(DCB(ECB(DCA(P)))
= ECA(DCA(P)) /*DCB和ECB相互抵消*/
= P /*DCB和ECB相互抵消*/
這樣,B就可以確定消息確實是從A發出的,因為只有在加密過程中使用了DCA算法,P才能被ECA得到,而只有A知道DCA算法。
有些人,即使是B,也無法偽造A的簽名。序
隨著信息技術的飛速發展,人們對信息安全的需求接踵而至。人才競爭、市場競爭、金融危機、敵特機構都給企事業單位的發展帶來很大的風險。內部竊密、黑客攻擊、無意識泄密等竊密手段已經成為人與人、企業與國家之間的安全隱患。
市場需求、人們的安全意識以及環境的諸多因素推動了信息安全在中國的快速發展。信息安全經歷了從傳統的防火墻等單壹防護到信息安全整體解決方案,從傳統的老式防火墻、入侵檢測、殺毒軟件到多元化的信息安全防護,從傳統的外網防護到內網安全、主機安全。
傳統數據加密技術分析
傳統的三種信息安全(防火墻、入侵檢測、防病毒)已經成為企事業單位網絡建設的基礎設施,遠遠不能滿足用戶的安全需求。新的安全防護手段逐漸成為信息安全發展的主力軍。如主機監控、文件加密等技術。
在新的安全產品隊列中,主機監控主要采用外圍追截的技術方案。雖然信息安全得到了壹定程度的提升,但是由於產品本身依賴於操作系統,對數據本身沒有有效的安全保護,因此存在很多安全漏洞,比如:最基本的拔硬盤、winpe光盤引導、USB引導等手段都可以不留痕跡地竊取數據;這項技術可以更多的理解為企業資產管理軟件,單壹的產品無法滿足用戶對信息安全的要求。
文檔加密是目前信息安全保護的主力軍。采用透明加解密技術,在不改變用戶原有使用習慣的情況下,對數據進行強制加密。這種技術對數據本身進行加密,無論是離開操作系統還是非法離開安全環境,用戶數據本身都是安全的,對環境的依賴性很小。市面上文檔加密的主要技術分為磁盤加密、應用級加密、驅動級加密等。應用級加密由於對應用的依賴性強,兼容性和二次開發問題多,逐漸被各個信息安全廠商淘汰。
當今兩種主流數據加密技術
我們經常能看到的主要是磁盤加密和驅動級解密技術:
全磁盤加密技術主要是對整個磁盤進行加密,利用主機監控、防水墻等保護手段對其進行整體保護。磁盤加密主要是給用戶提供壹個安全的操作環境,數據本身是不加密的。操作系統壹旦啟動,數據本身就以明文形式存在於硬盤上,主要通過防水墻包圍攔截的方式進行保護。磁盤加密技術的主要缺點是加密磁盤需要很長時間,導致項目實施周期長,用戶壹般無法承受;磁盤加密技術是對整個磁盤進行加密,壹旦操作系統出現問題。需要恢復數據也是用戶頭疼的問題。正常500G硬盤解密壹次需要3-4個小時。市場上主要的方法不是對系統盤進行加密,而是利用外圍技術進行安全訪問控制。眾所周知,操作系統的版本不斷升級,微軟自身的安全機制越來越高,人們對系統的控制越來越低,尤其是黑客技術越來越高。壹旦保護系統被打破,壹切都會暴露。另外,磁盤加密技術是為了安全地控制整個信息,包括系統文件,這將極大地影響系統的效率和性能。
驅動級技術是信息加密的主流技術,采用進程+後綴的方式進行安全防護,用戶可以根據企事業單位的實際情況靈活配置,對重要數據進行強制加密,大大提高了系統的運行效率。驅動級加密技術和磁盤加密技術最大的區別在於,驅動級加密技術會保護用戶的數據本身,驅動級加密采用透明的加解密技術,讓用戶感覺不到系統的存在,不改變用戶原有的操作。數據壹旦離開安全環境,用戶將無法使用,有效提高了數據的安全性。此外,驅動級加密技術可以比磁盤加密技術更加細粒度,可以有效實現數據的全生命周期管理,控制文件的使用時間、次數、復制、截屏、錄像等操作,在文件內部進行細粒度的授權管理和數據訪問控制,實現對數據的全方位管理。驅動級加密技術在給用戶數據帶來安全性的同時,也給用戶的便利性帶來了壹些問題。驅動級加密采用進程加密技術對所有相似文件進行加密,無法有效區分個人文件和企業文件數據的分類管理,個人電腦和企業辦公的並行操作。