加密技术在企业数据安全中的应用

       随着大型企业管理软件的发展，企业数据平台涉及局域网、广域网、Internet等等，企业在各种系统中保存的关键数据越来越多，许多数据需要保存几十年甚至永久性。因此，关键业务数据已成为企业生存的命脉和宝贵资源，数据安全问题越来越突出。如何提高企业软件系统的安全性、保密性、真实性和完整性已成为每个软件开发人员关注的焦点。

       为了解决关键业务的数据安全问题，必须首先对数据系统进行全面、可靠、安全和多层次的备份。此外，各种安全产品，无论是防火墙、病毒、黑客、入侵等，都或多或少地承担着保护数据的责任。从保护数据的角度来看，数据安全的广义概念可分为三个部分：数据加密、数据传输安全和身份认证管理。

       l 数据加密是根据确定的密码算法将敏感的明文数据转换为难以识别的密文数据。通过使用不同的密钥，同一的明文可以用同一的加密算法加密成不同的密文。必要时，密钥可以将密文数据还原为明文数据，称为解密。这样，数据的保密性就可以实现。数据加密被认为是保护数据传输安全和保护存储数据安全的唯一实用方法。它是数据保护技术上最重要的防线。

       l 数据传输安全是指数据在传输过程中必须要确保数据的安全性，完整性和不可篡改性。

       l 身份认证的目的是确定系统和网络的访问者是否是合法用户。主要使用代表用户身份的登录密码（如智能卡、IC卡等)或识别访问者的身份，反映用户的生理特征。

       数据加密

       数据加密技术是最基本的安全技术，被称为信息安全的核心，最初主要用于确保数据在存储和传输过程中的保密性。它用密文替换保护信息，然后存储或传输信息，即使非授权人员在存储或传输过程中获得加密信息，也可以确保信息不被识别，从而达到保护信息的目的。该方法的保密性直接取决于密码算法和密钥长度。

       现代密码技术可分为两类：对称加密算法（私钥密码系统）和非对称加密算法（公钥密码系统）。在对称加密算法中，数据加密和解密使用相同的密钥，因此其安全性取决于所持有密钥的安全性。对称加密算法的主要优点是加密解密速度快，加密强度高，算法开放，但最大的缺点是难以实现密钥的秘密分发。在大量用户的情况下，密钥管理复杂，不能完成身份认证等功能，不易应用于网络开放环境。目前，最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等等，目前加密强度最高的对称加密算法是加密标准AES。

       数据加密、身份认证和数据安全传输可分别应用于对称加密算法、非对称加密算法和不可逆加密算法。

       l 对称加密算法

       对称加密算法是一种应用较早的加密算法，技术成熟。在对称加密算法中，数据发送人将明文（原始数据）和加密钥一起发送到复杂的加密文本中。收件人收到密文后，如果要解读原文，需要使用加密密钥和相同算法的逆算法解密密文，才能恢复到可读明文。在对称加密算法中，只使用一个密钥。收件人双方都使用此密钥对数据进行加密和解密，这就要求解密方事先知道加密密钥。对称加密算法具有算法公开、计算量小、加密速度快、加密效率高等特点。缺点是交易双方都使用相同的钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的唯一钥匙，这将使收件人拥有的钥匙数量增加到几何级数的增加，使得密钥管理成本较高。对称加密算机网络系统难以广泛使用。DES、IDEA和AES。

       传统的DES由于只有56个密钥，它不再适应当今分布式开放网络对数据加密安全的要求。1997年RSA数据安全公司发起了一项工作DES在挑战赛中，志愿者用4个月、41天、56小时和22小时破解了56把密钥DES算法加密的密文DES计算机速度提高后，加密算法被认为是不安全的。

       AES它是美国联邦政府采用的商业和政府数据加密标准，预计未来几十年将被取代DES广泛应用于各个领域。AES因此，提供128位密钥，128位AES加密强度为56位DES加密强度的1021倍以上。假设一个可以在1秒内破解DES密码机，然后用这台机器破解128位AES密码大约需要149亿年。(进一步比较，宇宙通常被认为存在不到200亿年)因此，美国国家标准局提倡的预计AES即将取代新标准DES。

       l 不对称加密算法

       不对称加密算法使用两个完全不同但完全匹配的一对钥匙——公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥才能完成对明文本的加密和解密过程。公钥用于加密明文，私钥用于解密文本。此外，发信人（加密人）知道发信人的公钥，只有发信人（解密人）知道他的私钥。不对称加密算法的基本原理是，如果发信人想发送只有发信人才能解释的加密信息，发信人必须首先知道发信人的公钥，然后使用发信人的公钥加密原文；收信人收到加密文本后，可以使用自己的私钥解密文本。显然，采用不对称加密算法。在通信之前，发信人必须向发信人发送已经随机生成的公钥，并保留私钥。由于不对称算法有两个密钥，因此特别适用于分布式系统中的数据加密。广泛使用的不对称加密算法包括不对称加密算法。RSA美国国家标准局提出的算法和算法DSA。基于不对称加密算法的加密技术应用广泛。

       l 不可逆加密算法

       不可逆加密算法的特点是在加密过程中不需要使用密钥。输入明文后，系统直接通过加密算法处理成密文。这种加密数据不能解密。只有重新输入明文并再次通过相同不可逆的加密算法处理，获得相同的加密文并被系统重新识别，才能真正解密。显然，在这种加密过程中，加密是你自己的，解密必须是你自己的。事实上，所谓的解密是重新加密。应用的密码是输入的明文。不可逆加密算法不存在密钥存储和分发问题。它非常适合分布式网络系统。然而，由于加密计算复杂，工作量相当繁重，通常只在数据量有限的情况下使用。例如，广泛应用于计算机系统的密码加密使用不可逆加密算法。近年来，随着计算机系统性能的不断提高，不可逆加密的应用领域正在逐渐增加。计算机网络中有许多不可逆加密算法RSA公司发明的MD5美国国家标准局建议的算法和不可逆加密标准SHS(Secure Hash Standard:信息标准等。

       传输安全

       数据传输加密技术的目的是对传输中的数据流进行加密，以防止通信线路上的窃听、泄漏、篡改和损坏。数据传输的完整性通常通过数字签名来实现，即数据发送者在发送数据时使用单向不可逆的加密算法Hash函数或其他信息文摘算法计算传输数据的信息文摘，并将信息文摘作为数字签名与数据一起发送。接收人在收到数据的同时也收到了数据的数字签名。接收人使用相同的算法计算接收到的数据的数字签名，并将数字签名与接收到的数字签名进行比较。如果两者相同，则表明数据在传输过程中修改，数据完整性得到保证。

       Hash由于：

       1)双方必须在通信的两端各自执行Hash函数计算；

       2）使用Hash函数很容易从新闻中计算出新闻摘要，但其逆向反演过程在当前计算机中几乎无法实现。

       Hash散列本身就是所谓的加密检查，通信方必须执行各自的函数计算来验证信息。例如，发送方首先使用它Hash算法计算信息检查和，然后计算结果A包装在数据包中一起发送；接收方将执行收到的信息Hash算法计算得出结果B，并将B与A比较。如果消息在传输中被篡改。B与A不一致，接收方丢弃了数据包。

       最常用的有两种Hash函数：

       ·MD5(消息摘要5):MD5对MD4做了改进，计算速度比MD4慢一点，但安全性能进一步提高。MD5 用于计算** 32位常数，最终生成128位完整性检查和。

       ·SHA 安全Hash算法：算法是MD5为原型。SHA79个32位常数用于计算，最终产生160位完整性检查和。SHA检查长度比MD5因此，安全性也更高。

       身份认证

       身份认证要求参与安全通信的双方在进行安全通信前必须识别对方的身份。保护数据不仅要使数据正确、长期存在，而且要使不应该看到数据的人看不见。在这方面，我们必须依靠身份认证技术来为数据添加锁。数据存在的价值是需要合理访问。因此，建立信息安全系统的目的应该是确保系统中的数据只能由有权限的人访问，而未经授权的人不能访问数据。如果没有有效的身份认证手段，访问者的身份很容易被伪造，使未经授权的人伪造有权人的身份。这样，任何安全预防系统都是徒劳的，所有的安全投资都将被无情地浪费。

       在企业管理系统中，身份认证技术应能够紧密结合企业的业务流程，防止非法访问重要资源。身份认证技术可用于解决访问者的物理身份和数字身份的一致性，为其他安全技术提供权限管理的依据。因此，身份认证是整个信息安全系统的基础。

       由于在线通信双方不见面，交易（交换敏感信息）必须确认真实身份； 身份认证是指用户身份的确认技术，是网络安全的第一道防线，也是最重要的防线。

       公共网络角度来看，公共网络上的认证有两种类型：一种是要求认证人在线传输的密码认证方式（如密码），另一种是使用不对称加密算法需要在线传输密码信息的认证方式，包括数字签名认证方式。

       l 密码认证

       密码认证必须有前提：要求认证人必须有 ID，该ID必须包认证人的用户数据库中(必须包括数据库)ID和密码是唯一的。同时，必须考虑以下问题，以确保认证的有效性：

       · 要求认证人的密码必须安全。

       · 在传输过程中，密码不能被窃取或更换。

       ·要求认证人在向认证人要求认证前，必须确认认证人的真实身份。否则，密码将发送给假认证人。

       密码认证的另一个最大的安全问题是，系统管理员通常可以获得所有用户的密码。因此，为了避免这种安全风险，密码通常保存在数据库中Hash值，通过验证Hash认证身份的方法是值。

       l 不对称加密算法的认证方法 (数字证书)

       采用不对称加密算法的认证方法，认证双方的个人秘密信息(如密码)不需要在网络上传输，降低了认证的风险。这种方法是通过要求认证人和认证人之间的随机数字签名和验证数字签名来实现的。

       一旦认证通过，双方将在每个请求和响应中建立安全通道进行通信，即接收信息的一方首先从接收到的信息中验证发送人的身份信息，然后根据发送的信息进行相应的处理。

       实现数字签名和验证数字签名的密钥必须与认证方唯一对应 。

       在公钥密码（不对称加密算法）系统中，数据加密和解密使用不同的密钥，加密密钥加密的数据只能通过相应的解密钥进行解密。更重要的是，从加密密码中解密钥是非常困难的。在实际应用中，用户通常披露密钥对中的加密钥（称为公钥），而秘密持有解密钥（称为私钥）。使用公钥系统可以很容易地实现用户的身份认证，即用户在信息传输前首先使用私钥加密信息，信息接收者收到信息后使用用户发布的公钥解密，如果可以解开，信息确实发送给用户，便于识别和认证信息发送者的身份。在实际应用中，公钥密码系统通常与数字签名算法相结合，以确保数据传输的完整性。

       目前的不对称加密算法是基于一些复杂的数学问题，如目前广泛使用的RSA算法是基于大整数因子分解的著名数学问题。常用的非对称加密算法包括整数因子分解(RSA以椭园曲线离散对数和离散对数为代表DSA代表)。公钥密码系统的优点是能够满足网络的开放性要求，密钥管理简单，能够轻松实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂，加密数据的速度和效率较低。因此在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用AES、DES或者IDEA等对称加密算法来进行大容量数据的加密，而采用RSA等非对称加密算法来传递对称加密算法所使用的密钥，通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。

　　结束语：数据安全问题涉及到企业的很多重大利益，发展数据安全技术是目前面临的迫切要求，除了上述内容以外，数据安全还涉及到其他很多方面的技术与知识，例如：黒客技术、防火墙技术、入侵检测技术、病毒防护技术、信息隐藏技术等。一个完善的数据安全保障系统，应该根据具体需求对上述安全技术进行取舍。