加解密技術安全應用

■

加解密技術一直是信息安全技術的主要研究領域。在網(wǎng)絡通信的過程中，越是重要的和敏感的信息就越需要通過加密和解密的過程進行傳輸。

在信息安全測評中，《信息系統(tǒng)安全等級保護基本要求》也明確要求“對通信過程中的敏感信息字段進行加密”。

因此，通過加解密這種代價較小的安全傳輸和存儲方式，對抗系統(tǒng)入侵和攻擊具有積極的意義。

等保測評中的加解密技術

加解密技術按某種算法對信息進行明密變換的符號的方法。換而言之，加解密就是將明文轉(zhuǎn)換成密文，再從密文轉(zhuǎn)換成明文的方式，其產(chǎn)物就是隱蔽了真實內(nèi)容的密碼。密碼的特點就是除約定雙方以外其他人所不能讀解的信息。

加解密技術現(xiàn)今分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以國際數(shù)據(jù)加密算法（IDEA）為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）算法為代表。

對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。加解密技術目前主要應用于身份鑒別、網(wǎng)絡通信和數(shù)據(jù)傳輸存儲三個方面。

1.身份驗證

身份鑒別需要通過標識和鑒別確保用戶與正確的安全屬性相關聯(lián)。

加解密技術在身份鑒別方面主要體現(xiàn)為用戶身份口令。

身份口令鑒別的方法有很多，基本上可分為：基于共享密鑰、基于公開密鑰和基于生物學特征的身份鑒別方式。

系統(tǒng)通過對稱加密算法或非對稱加密算法生成動態(tài)口令，用戶能夠通過動態(tài)口令進一步驗證身份，防止單一口令被惡意獲取。PKI（Public Key Infrastructure）是一種為應用系統(tǒng)提供加密和數(shù)字簽名等服務及所必需的證書管理的密鑰管理平臺。PKI采用非對稱的加密算法，避免第三方獲取密鑰后解密密文。如果用戶想得到一份屬于自己的證書，用戶首先需要申請并被驗證身份，之后便會被分配一個公鑰，將該公鑰與申請者的身份信息合并簽字后，便形成申請者的證書?；诩咏饷芩惴▽ι矸莸倪M一步驗證，保證了系統(tǒng)的身份鑒別機制的全面性，使系統(tǒng)能夠通過兩種或多種方式對用戶身份進行驗證，保證身份鑒別模塊對攻擊和篡權訪問進行了有效控制。

2.網(wǎng)絡通信

網(wǎng)絡通信信道的安全協(xié)議有很多，這么安全協(xié)議都是通過加解密的方式對網(wǎng)絡通道進行加密。常見的協(xié)議有https協(xié)議。

https協(xié)議是在HTTP的基礎上，擴展了SSL/TLS，也就是在HTTP上又加了一層處理加密信息的模塊。服務端和客戶端的信息傳輸都會通過TLS進行加密，所以傳輸?shù)臄?shù)據(jù)都是加密后的數(shù)據(jù)，就像數(shù)據(jù)經(jīng)過了一條安全通道，保證了系統(tǒng)的的關鍵敏感信息在安全的通道里通信。

入侵者截取到的網(wǎng)絡數(shù)據(jù)包都是加密處理的，加密處理后的數(shù)據(jù)包被截獲后很難被破解，從而保證了信息的安全性。經(jīng)過對網(wǎng)絡通信信道的加密處理，保證了通信網(wǎng)絡的保密性和完整性，對入侵者的部分攻擊方式有了很好的防護效果。

3.數(shù)據(jù)傳輸存儲

除了對網(wǎng)絡通信信道進行加密外，還可以單獨對數(shù)據(jù)進行加解密。通過對重要數(shù)據(jù)的加解密可以使監(jiān)聽者即使破解了安全協(xié)議的密文，也無法得到數(shù)據(jù)的明文。

當今的普遍做法也是通過重要數(shù)據(jù)的解密和安全協(xié)議兩種混合的方式，系統(tǒng)能夠達到數(shù)據(jù)的安全傳輸，做到防護效果的最大化。

同時，在數(shù)據(jù)傳輸加密方面外，還有對數(shù)據(jù)庫中存儲的數(shù)據(jù)進行加密處理。對數(shù)據(jù)庫中數(shù)據(jù)加密是為增強關系型數(shù)據(jù)庫管理系統(tǒng)的安全性，提供一個安全的數(shù)據(jù)庫平臺，對數(shù)據(jù)庫存儲的內(nèi)容實施有效的加密保護。它通過數(shù)據(jù)庫存儲加密等安全方法實現(xiàn)了數(shù)據(jù)的保密性和完整性要求，使得數(shù)據(jù)庫以密文方式存儲、加工、查詢，確保了數(shù)據(jù)安全。

加解密技術在等級保護中的作用

根據(jù)《信息技術安全性評估準則》，加解密技術能夠為系統(tǒng)安全達到幾種高級目標，包括（但不限于）標識與鑒別、抗抵賴、可信路徑、可信信道和數(shù)據(jù)分離，通過產(chǎn)生、分配、登錄、存儲、訪問和銷毀進行工作。加解密技術的廣泛應用，使得重要的信息系統(tǒng)、工業(yè)控制系統(tǒng)等各方面得以安全可信的運行。在安全防護的最底層，通過加解密技術使得數(shù)據(jù)在不同網(wǎng)絡之間安全流轉(zhuǎn)，也給予了很多技術的有效補充，例如防火墻技術、入侵檢測技術、信息隱藏技術、病毒防護技術。

因此，對系統(tǒng)的安全防護不僅僅要依靠安全設備的防護，更要有一個安全的數(shù)據(jù)安全保障環(huán)境。

系統(tǒng)安全防護體系為保證數(shù)據(jù)安全要求，在建設中需要部署加密機/解密機，用以保護網(wǎng)絡通信中的數(shù)據(jù)的可用性、完整性和保密性要求，提供一個完整有效的客觀環(huán)境。

結(jié)束語

在系統(tǒng)安全狀態(tài)下，我們確保了重要的數(shù)據(jù)僅僅能夠被賦予相應權限的人員讀取，也確保信息在傳輸?shù)倪^程中沒有被篡改和截取。在政府機關、事業(yè)單位、國防工業(yè)中，數(shù)據(jù)安全尤其受到重視，因此，安全保障是一個重要的課題。當然我們無論怎樣對數(shù)據(jù)進行加密，數(shù)據(jù)都是可以被解密的，至少我們需要保證數(shù)據(jù)在相當一段時間內(nèi)無法被惡意破解，保證數(shù)據(jù)在我們需要的時間之內(nèi)安全可控。