網絡環境中數據加密技術實現與分析
來源:城市建設理論研究雜志 更新時間:2014-06-06
 本文首先介紹了數據加密技術的歷史起源和概念,其次探討了數據加密的技術、及網絡中的數據加密方式,同時,提出了網絡數據加密時應該注意的一些問題。本文的研究不僅推動網絡時代的更進一步發展,而且提供了使互聯網更加安全的依據。
    一、前言
  隨著全球化進程的不斷推進,我國的互聯網行業取得了前所未有的發展,信息技術的高度發展,也使得人們的生活發生了巨大的變化。但是互聯網存在很多安全問題,網絡環境的數據加密技術是確保網絡安全的關鍵技術之一,我們應該加強對數據加密技術的學習。
  二、數據加密技術的歷史起源和概念
  密碼的起源可能要追溯到人類剛剛出現,並且嘗試去學習如何通信的時候,他們會用很多奇妙的方法對數據進行加密。最先有意識地使用一些技術的方法來加密信息的可能是公元六年前的古希腊人,他們使用的是一根叫scytale的棍子。後來,羅馬的軍隊用凱撒密碼進行通信,Phaistos圓盤由克裡特島人發明,在世界上最難解的十大密碼中,Phaistos圓盤就是其中之一,到現在還沒有被破解。數據加密的基本過程就是對原來為明文的數據按某種算法進行處理,就是進行加密,加密之後明文的數據就會變成一段不可識別的代碼,這段代碼就是密文,只有在輸入相應的密鑰之後才能顯示出原來的內容,通過數據加密可以保護數據不被人非法盜取、閱讀,實現數據安全控制和保護的目的。由數據加密的整個過程可以看出,一個完整的加密系統應該包括明文消息、密文、加密密鑰和解密密鑰、加密算法和解密算法四個部分。而一個完善的加密系統又應該滿足以下幾個要求。
   (1)加密安全性高。
   (2)解密復雜性高,要使得破解所花費的成本高於破解出來所獲得的利益。
   (3)加密的安全性主要依賴於密鑰,以加密密鑰的保密為基礎,不應依賴於算法的保密,算法大多是公開的。
   (4)數據加解密一定要可以用在不同的場合和不同的用戶身上。
   (5)好的加密算法應該不會影響系統的運行速度。
    三、數據加密技術簡介
    數據加密的過程就是將明文數據按某種算法並使用密鑰進行處理即加密,加密之後就變成了一段不可識別的代碼,稱為密文,要想顯示出原來的內容就必須輸入相應的密鑰。通過這種方法可以達到保護數據不被非法竊取、修改和閱讀。這個過程的逆過程為解密,即將該代碼信息轉化為原來數據的過程。一個完整的加密系統,應該包括以下4個部分:
   (1)明文數據;
   (2)加密後的密文:
   (3)加密、解密設備或算法;
   (4)加密、解密的密鑰。
  數據加密算法有很多種,密碼算法標准化是信息化社會發展的必然趨勢,是世界各國保密通信領域的一個重要課題。按照發展進程來分,經歷了古典密碼、對稱密鑰密碼和公開密鑰密碼階段,古典密碼算法有替代加密、置換加密;對稱加密算法包括DES、IDEA、3DES和AES等;非對稱加密算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal等。結合現代加密技術和密碼體制的特點,將加密技術分成兩種:對稱加密和非對稱加密技術。
  1、對稱加密技術
  對稱加密也稱為單密鑰加密,即加密密鑰和解密是同一個,如果進行通信的雙方能夠確保密鑰在密鑰交換階段未曾發生泄露,則可以通過對稱加密方法加密信息,安全性取決於密鑰的保密。對稱加密技術按照加密方式可以分為流加密和分組加密。在流加密中,明文消息按字符逐位加密;在分組加密中,將明文消息分組,逐組進行加密。
  2、對稱加密技術
  非對稱式加密又稱為公開密鑰加密系統,就是加密和解密所使用的不是同一個密鑰,稱為公鑰和私鑰,公鑰可以公開,不怕別人知道,私鑰由用戶自己保存。它們兩個需要配對使用,否則不能打開加密文件。也就是說,用公鑰加密的信息只能用私鑰來解密,用於數據加密;用私鑰加密的信息只能用公鑰來解密,可用於數字簽名和身份認證,如發送方A用自己的私鑰加密信息,接收方B收到密文後可以拿發送方A的公鑰來解密的話,就說明信息是由發送方A發送的。對稱式的加密方法很難公開密鑰,而非對稱式的公鑰是可以公開的,可以在網絡中安全傳輸,不怕別人知道,收件人解密時只要用自己的私鑰即可,很好地避免了密鑰的傳輸安全性問題。
  四、網絡中的數據加密方式
  數據加密可以在網絡051七層協議的多層上實現,從加密技術應用的邏輯位置看,主要有鏈路加密和端對端加密兩種方式。
  1、鏈路加密方式
  面向鏈路的加密方式將網絡看作由鏈路連接的結點集合,每一個鏈路被獨立的加密。它用於保護通信結點間傳輸的數據。每一個鏈接相當於051參考模型建立在物理層之上的鏈路層。鏈路加密方式如圖1所示:
130464256836154911_new.jpg (619×149)
  
圖1 鏈路加密方式示意圖
  鏈路加密方式的優缺點如下:
    (1)加密對用戶是透明的,通過鏈路發送的任何信息在發送前都先被加密。
    (2)每個鏈路只需要一對密鑰。
    (3)提供了信號流安全機制。
    (4)缺點是數據在中間結點以明文形式出現,維護結點安全性的代價較高。
  2、端對端加密方式
  端對端加密方式建立在051參考模型的網絡層和傳輸層。這種方法要求傳送的數據從源端到目的端一直保持密文狀態,任何通信鏈路的錯誤不會影響整體數據的安全性。端對端加密方式如圖2所示:130464257159373398_new.jpg (590×156)
圖2 端對端加密方式示意圖
  在端對端加密方式中,只加密數據本身信息,不加密路徑控制信息。在發送主機內信息是加密的,在中間結點信息是加密的。用戶必須找到加密算法,決定施加某種加密手段。加密可以用軟件編程實現。
  五、數據庫加密應考慮的一些問題
  加密技術是提高數據庫安全的一個重要手段,但是,它是一把雙刃劍,在加密數據的同時,也會帶來一些相關問題,如果處理不好,不僅會降低數據庫的安全性,而且還會帶來其它負面影響“下面小節描述了數據庫加密應該注意的一些問題以及進行加密時所采取的適當選擇措施”
  1、加密不能代替訪問控制
  傳統的數據庫中,訪問控制提供了一種控制用戶訪問數據的機制,它通過創建用戶、授予用戶相應權限來實施這種控制,規定只有具有相應權限的用戶才能對數據進行相應的操作,否則,則拒絕[75,86,89]。這樣一種機制在數據庫安全領域發揮巨大作用,目前幾乎所有的商用DBMS都提供這種機制來防止非法用戶訪問數據庫,訪問控制分為兩大類,即自主訪問控制(DAC)和強制訪問控制(MAC)。在自主訪問控制中,用戶對信息的訪問控制是基於用戶的鑒別和訪問控制規則的確定,每個用戶都要給予系統中每個訪問對像的訪問權限,例如,當一個用戶要求訪問某個數據庫的資源時,系統首先檢查該用戶對該資源的所有權或者衍生出來的訪問權限,如果通過,則允許該訪問在許可的方式下被執行。
  2、區分數據庫中動態數據加密和靜態數據加密
  對數據加密時,應區分兩種不同類型的數據,即動態數據和靜態數[66,168],因為它們的加密方法是不同的。
    (1)動態數據加密:當數據經過各種網絡,從數據庫服務器流入客戶端,或者從客戶端流入數據庫服務器,對傳輸過程的數據加密稱為動態數據加密動態數據加密的標准包括SSL(Security Socket Layer),TLS(Transport Layersecurity)和IPSEC(secure Internet Prtcol){17,18,19},許多商用DBMS采用SSL標准,傳輸數據時,通過SSL通道從客戶端和數據庫服務器端接收和發送數據SSL采用RSA,RC吸,DES等加密算法。動態數據的加密在會話層實現的,網絡中傳輸的信息是加密的,另一方接收後再進行解密。
    (2)靜態數據加密:對存儲在數據庫服務器中的數據進行加密,在本文中也稱為存儲數據加密相對於動態數據加密,靜態數據加密的研究較少,本文將對數據庫中字符型和數值型兩種主要數據類型的加密進行研究。
    六、結束語
    隨著當代信息技術的快速的發展,互聯網得到了迅速的發展。在這個日新月異的時代,網絡安全越來越成為人們關注的重點問題。我們應該在掌握數據加密技術的基礎上,加強網絡安全的意識,使網絡能在一個相對安全的環境下發展。