时间:2023-03-14 15:19:13
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇数据加密技术范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
常永亮 (飞行试验研究院测试所 陕西西安 710089)
一、数据库加密应满足的要求
由于数据库具有数据复杂、数据的查询操作非常频繁且数据存储时限相对较长等特点,所以应用于数据库的加、解密算法及相应的密钥管理机制应满足以下要求:
(1)数据库加密系统应满足的首要条件是保证数据的安全性。在此方面要求加密算法保证数据的保密性和完整性,防止未授权的数据访问和修改。
(2)数据库中存在大量的查询操作,因此加解密效率要求较高,不能引起数据库系统的性能大幅度下降。
(3)数据库组织结构对于数据库管理系统而言不能有太大的变动,应尽可能做到明文和密文长度相等或至少相当。
(4)由于时限较长和密钥的复杂,密钥管理机制应更加安全、灵活和坚固。
二、数据库加密的常用办法
数据加密技术按照实现的方法可划分为静态加密和动态加密,从实现的层次上则可分为文件级加密和存储设备级加密。
(1)静态加密与动态加密
静态加密是指在加密期间,待加密的数据处于未使用状态,这些数据一旦加密,在使用前,需首先通过静态解密得到明文,然后才能使用。目前市场上许多加密软件产品就属于这种加密方式。
与静态加密不同,动态加密是指数据在使用过程中自动对数据进行加密或解密操作,无需用户的干预,合法用户在使用加密的文件前,也不需要进行解密操作即可使用,表面看来,访问加密的文件和访问未加密的文件基本相同,对合法用户来说,这些加密文件是“透明的”,即好像没有加密一样,但对于没有访问权限的用户,即使通过其它非常规手段得到了这些文件,由于文件是加密的,因此也无法使用。由于动态加密技术不仅不改变用户的使用习惯,而且无需用户太多的干预操作即可实现文档的安全,因而近年来得到了广泛的应用。
由于动态加密要实时加密数据,必须动态跟踪需要加密的数据流,而且其实现的层次一般位于系统内核中,因此,从实现的技术角度看,实现动态加密要比静态加密难的多,需要解决的技术难点也远远超过静态加密。
(2)文件级动态加解密技术
在文件系统层,不仅能够获得文件的各种信息,而且能够获得访问这些文件的进程信息和用户信息等,因此,可以研制出功能非常强大的文档安全产品。就动态加解密产品而言,有些文件系统自身就支持文件的动态加解密,如Windows系统中的NTFS文件系统,其本身就提供了EFS支持,但作为一种通用的系统,虽然提供了细粒度的控制能力(如可以控制到每个文件),但在实际应用中,其加密对象一般以分区或目录为单位,难以做到满足各种用户个性化的要求,如自动加密某些类型文件等。虽然有某些不足,但支持动态加密的文件系统在某种程度上可以提供和磁盘级加密技术相匹敌的安全性。由于文件系统提供的动态加密技术难以满足用户的个性化需求,因此,为第三方提供动态加解密安全产品提供了足够的空间。
要研发在文件级的动态加解密安全产品,虽然与具体的操作系统有关,但仍有多种方法可供选择,一般可通过Hook或过滤驱动等方式嵌入到文件系统中,使其成为文件系统的一部分,从某种意义上来说,第三方的动态加解密产品可以看作是文件系统的一个功能扩展,这种扩展往往以模块化的形式出现,能够根据需要进行挂接或卸载,从而能够满足用户的各种需求,这是作为文件系统内嵌的动态加密系统难以做到的。
三、数据库加密对数据库的影响
数据加密是通过对明文进行复杂的加密操作,进而无法发现明文和密文之间、密文和密钥之间的内在关系,也就是说经过加密的数据经得起来自操作系统和数据库管理系统的攻击。但在数据库中以密文形式存在的敏感数据无法使用数据库管理系统的一些功能。数据库管理系统的功能比较完备,然而数据库数据加密以后,数据库管理系统一些功能将无法直接使用。
1、加密字段不能实现索引功能。
为了达到迅速查询的目的,数据库文件需要建立一些索引。索引建立和应用必须是明文状态,否则将失去索引的作用。有的DBMS中可以建立索引,这类索引也需要在明文状态下建立、维护和使用。
2、表间的连接码字段不能加密。
数据模型规范化以后,数据库表之间存在着密切的联系,这种相关性往往是通过局部编码联系的,这些编码若加密就无法进行表与表之间的连接运算。
3、无法实现对数据制约因素的定义。
数据库管理系统定义了数据之间的制约规则。数据一旦加密,DBMS将无法实现这一功能,而且,值域的定义也无法进行。
4、密文数据无法实现SQL的排序、分组和分类功能。
SELECT语句中的Group、Orderby、Having子句分别完成分组、排序、分类等操作。这些子句的操作对象如果是加密数据,那么解密后的明文数据将失去原语句的分组、排序、分类作用,显然这不是用户所需要的。
5、SQL语言中的内部函数将对加密数据失去作用。
6、BDMS对各种类型数据均提供了一些内部函数,这些函数不能直接作用于加密数据。
7、BDMS的一些应用开发工具的使用受到限制。
DBMS的一些应用开发工具不能直接对加密数据进行操作,因而它们的使用会受到限制。
数据库加密影响了一些数据库管理系统的功能,如阅读语句中的函数、排序、分组等,但可以通过组件技术来实现这些功能,如可采用SQL解释器。所以说数据库加密以后,DBMS的一些功能将无法直接使用,但可以在DBMS外层的SMS(安全管理系统)中增加组件来实现这些功能。
四、结束语
数据库是数据管理的最新技术,是计算机科学的重要分支。建立一个满足各级部门信息处理要求的、行之有效的信息系统,也成为一个企业或组织生存和发展的重要条件。因此,作为信息系统核心和基础的数据库技术得到越来越广泛的应用,数据库技术因现实的需求迅速发展。通过研究,人们认识到数据库安全与保密这一领域研究的重要性和迫切性。在数据库安全和加密技术的研究方面,只是做了一些尝试性的工作,许多细节有待于进一步深入。
参考文献
[1] 张敏等.数据库安全[M].北京:科学出版社,2005
中图分类号:TP309文献标识码:A文章编号:1009-3044(2010)20-5448-03
Data Encryption Technology Primary Research
ZHU Hai-yan, ZHAO Xin-ping
(Fenyang Normal Scholl of Lvliang University, Fenyang 032200, China)
Abstract: With the spectacularcarrying out of information technology and application, cornucopia information security attract more and more attention. All the sensitive information on the exchange and store is encrypted or mask, to ensure that secret message was not malicious alter or malicious use. To this a security vulnerability, there are many encryption algorithm is to bring up, modify, improve or denied. However, the research of data security area will be continued and profitability. To understand the more mature algorithm and to improvethe algorithm are similarly substantial.
Key words: data encryption; cryptology; encryption algorithm
计算机工业的飞速发展使得世界范围内人计算机用户不断增多,计算机网络进一步推动了信息时代的到来。人们在享受信息交流之方便的同时,也遇到层出不穷的安全问题。我们要给我们的数据穿上“防弹衣”,防止被别人看到或恶意利用。因此,就迫切需要安全有效地保护那些机密数据不被窃取或篡改。
1 加密技术
1.1 加密技术概述
20世纪70年代,密码学逐步形成一门新的学科, 它的理论基础可以追溯到1949年Shammon写的《保密通讯的信息理论》。“电子政务”和“电子商务”的提出推动了密码学的发展,使得密码学开始成为一些学科的基础理论。近代密码学的研究异常热火,也大大地推动了它的发展进程。
现代密码学已发展成为集信息论、数论、代数、概率论、混沌等理论于一体,并与通信技术、计算机网络技术和微电子技术等科学技术紧密结合的一门综合性学科。――密码编码学 (Cryptography)和密码分析学(Ccryptanalytic)是密码学(Cryptology)的两个相互对立的分支。前者的目标是找到安全性能较高的算法和协议,来满足对信息进行加密或认证的要求。而后者的目标是破译密码或者伪造认证信息,实现对机密信息的窃取从而进行破坏活动。
当前密码学的研究大致分成两类:一类是基于数学密码理论与技术,包括公钥密码、公钥基础设施(PKI)、密钥管理、分组密码、序列密码、数字标识、认证码、身份识别、数字签名、虚拟专用网(VPN)技术等;另一类是基于非数学的密码理论与技术,包括量子密码、基于光学的加密理论与技术、基于生物特征的识别理论与技术等。
数据加密的基本思想是通过改变信息的表示形式来伪装需要保护的信息,使非授权者不能了解被保护信息的内容。明文是那些需要被伪装的信息;加密即伪装的过程;密文是最终产生的结果;密码算法就是在加密时使用的信息变换规则;加密者是对明文加密的人,接收者是接收明文的人;而破译者则是那些利用各种手段劫取信息的人。图1是加密通信的模型的一般示意图。
1) 对一个良构的加密算法最基本的要求是“保密”,也就是说密文要具不可识别性,进一步讲,它要有较好的抗攻击性。第二个要求是简单的密钥和加密算法,还要求注意误差的扩散;最后要求密文不能比原来的明文更长。其实在设计加密系统时,加密算法是可以公开的,密钥才是真正需要保密的。公开了加密算法不会从根本上让攻击者有利可图。只要破译者没有掌握密钥,就不能有效地识别明文。密码算法是相对稳定的。从这个方面来说,密码算法就是一个常量,而密钥则是一个变量。从理论上来说,任何一个加密算法都是可以破译的,但是破译者也要衡量破译的代价是否过多,也就是说有效的密码破译算法能否在有限资源的条件下及有限的时间内找到。假如破译需要100年甚至几千年,这样的密码毋庸置疑在现实意义上来说是安全的。总而言之,一个相对来说安全的密码即它的破译算法所需要的计算时间和计算能力的总和超出现实的范围,也就是现实的范围不能满足破译算法所需的时间复杂度和空间复杂度。
2) 设计加密系统时又可分为两种方式――对称性密钥体制及非对称性密钥体制。所谓对称性密钥体制就是加密与解密时都使用相同的密钥,而非对称性密钥体制则是加密与解密时使用不同的密钥。非对称性加密体制的典型代表是PGP公钥加密与RSA加密算法。对一个加密系统来说加密密钥(公钥)与解密密钥(私钥)是两个非相关性的概念。从数学理论范围来讲,任何算法都是可逆的,也就是说可以从算法结果导出源数据。除了那些没有意义的操作(如除法运算时除数为0的操作)则每一步操作的结果值都是确定。应用于加密系统的设计时的意义是设计的一个加密算法,它是应用无意义的操作的,则把公钥变换成为私钥的操作是相当困难的。因此,想要破译这样的非对称性的加密算法,找到唯一的密钥,只能用穷举法了。一个加密体制中的密钥可以看作是密码算法中的可变参数。从数学的角度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系,以此保证不同的密码对应不同的密文。
1.2 传统的加密算法
简单的,我们可能用一些带加密功能的软件来加密数据。虽然我们同时掌握原文和密文的时候,可能破译该加密算法,但也不是很轻松的;如果只知道密文则破译者是很难识别出明文的。 计算机系统性能对一个好的加密算法来说是不会有影响的,而且我们还能利用它的优势。例如, DBMS的软件包通常应用加密体制以禁用“复制”功能,从而保护用户的一些敏感数据;或者需要提供用户密码才能使用“复制”功能。另外,PKZIP软件不仅有压缩数据的功能还有加密数据的功能,这些功能无疑对用户是有好处的。
“置换表”算法是能满足加密需求的最简单一的种加密算法。每个数据段(通常是一个字节)对应着“置换表”中的一个值,密文就是由这些对应值组成的。加密和解密时都要用到这年表。80x86 系列CPU 中的“XLAT”的指令就是一个专门在硬件级来完成这种转换工作的指令。这是一个加密解密速度都很快的简单算法,它的致命弱点是这个“置换表”的安全问题,一旦这个表被破译者劫获,那这个加密方案就完全失败了。其实这种方法在计算机出现之前就已经被广泛的使用。如在电视剧《潜伏》中传递情报时所用的“密码册”,也就是我们说的“置换表”。这个“密码册”是一定要保管好的,否则后果不堪设想。
对原来的加密算法改进的方案是我们可以按伪随机的方式使用两个甚至更多的“置换表”来加密。这时,劫获者必须做若干回正确的变换才能破译密文,这将会增加破译的难度。比如,我们可以使用A表来置换明文中所有在奇数位置的数据,使用B表来置换所有在偶数位置的数据。除非劫获者确切地知道是用了几张表来转换的,否则即便他劫获密文,也很难破译它。
另一种经常在计算机加密中使用的方案是变换数据位置。但是,这样做的代价是执行时间的增加。这个算法的基本思想是在缓冲区中将读入的明文重新排序再输出就得到密文。还原明文的解密程序则做逆运算就可以了。一般情况下,我们会混合使用这个方法会和一些别的加密算法,这样就将大大增加破译难度,几乎不可能破译。举个简单的例子,通过变换字母顺序,listen 就变为silent,组成单词的字母既没增加也没减少,数据长度也没变,显然这是一个成功地满足加密要求的转换。
设计加密算法时可以利用计算机做字/字节循环移位和异或操作,这会进一步加大破译难度。把一个字或字节在一个数据段内左移或右移,通过这种循环移位的方法对明文加密的效率特别高。如果再使用XOR操作,即按位做异或操作,这样会使破译密码更加困难。
某些时候,我们需要确切地知道自己的数据是否被破坏或篡改了,这时就要用到校验码技术。将这些选定的校验码插入到数据段中。但是每次开始执行已加载到内存中的加密程序前,必须检查是否已被病毒感染,也要检查所有需要加密解密的文件!显然,这种工作流程是要秘密执行的,否则将会被病毒程序的编写者利用。所以,杀病毒软件中必须应用加密算法。
一种比较典型的校验数据方法就是循环冗余校验。它的工作原理是以数据块为单位,按位做循环移位和异或操作,等到一个16位或32位的校验和,如果在传输过程中如果丢失一位或两位数据,那校验和一定会出错。这种方式在文件的传输中已经应用了很久,如 XMODEM-CRC。 这种循环冗余校验方法已经成为标准,而且有详细的文档。
1.3DES加密算法
1977 年美国国家标准局公布了IBM 公司的一种数据加密算法,定名为DES( Data Encryption Standard数据加密标准)。
DES是一种分组密码。其主要思想是:
假设明文P 是 由0、1代码组成的长度为64 比特的符号串,密钥k 也是64 比特的0,1代码 。记
P=P1P2P3……P64
k=k1k2k3……k64
其中
Pi,ki=0 或1 (其中i=1,2,……,64)
DES 加密过程表达如下:
DES ( P ) =W -1. T16 . T15…… T1. W (P)
W 是初始变换, W -1是它的逆变换,
T16 , T15 ,……, T1是变换。
DES 解密过程表达如下:
DES =W.T1.T2……T16 .W
可以证明这两个式子是成立的:
DES-1(DES(P))=P
DES(DES-1 (P))=P
如:
明文: computer
密钥: program
用ASCII码表示为:
P=01100011 01101111 01101101 01110000
01110101 01110100 01100101 01110010
k =01110000 01110010 01101111 01100111
01110010 01100001 01101101
最后结果, 密文
01011000 10101000 00000110 10111000
01101001 111111110 10101110 00110011
(以上详细计算过程请参考相关书籍)
DES 加密方法最大特点是加密密钥与解密密钥是相同。显然, 密钥必须通过秘密的方式传递,存储时也需要特别注意安全问题。在实际过程中,这会带来很多的问题。如, 假设现有n 个用户, 则他们所需要的密钥个数是:C(n,2)=n/2*(n-1)
当 n=1000 时,C(1000,2)约500000(50 万)。
这么多的密钥,管理起来是很麻烦的。
1.4 RSA加密算法
目前,RSA加密体制是理论上最为成熟的一种公钥密码体制。广泛应用于数字签名、密钥管理和认证等方面。
RSA加密体制的核心思想是公钥和私钥的产生要借助于两个较大的素数。劫获公钥后想通过因数分解得到私钥的破译算法,运算复杂度超出现实范围,是不可行的。运行RSA加密算法本身也需要很长的时间,因此,RSA算法不适合加密大量的数据段。 通常现实中的加密算法都是基于RSA加密算法的。如用对称加密算法来加密数据,用RSA算法加密密钥。只要这个密钥是随机产生的,而且没有泄密出去,如果想得到这个密钥,只能通过私钥来解密。
假设现在要使用密钥“secret”加密一些数据。使用RSA公钥加密这个密钥,并把它放在明文中。为了区分数据和密钥,通常要加上特殊的符号。然后,加密正文使用的是对称加密算法,密钥就是“secret”。当接收者收到密文时,解密程序要先从密文中提取出密钥,然后用RSA私钥将它解密,接下来就可用密钥“secret”来解密数据了。数据这样通过可靠高效的加密之后就能进行安全地传输和解密。
可利用下面的站点参考一些简单的基于RSA算法的加密算法:
ftp://ftp.funet.fi/pub/crypt/cryptography/asymmetric/rsa
1.5 多步加密算法
大约10年前公布的一种新的加密算法――多步加密算法,安全级别很高。
这个算法的基本过程是,第一步用一个128位的密钥生成一个随机数字序列,使用这个随机数序列来生成密码转换表。由于开始时的数字序列具有重复和随机的特点,可以保证这个转换表的随机性,表中是256个介于0~255之间的数字。第二步在一个矩阵把256个随机数进行排序。这个表中其余的数是由随机数产生器来生成的,这样得到不同的多张表。然后利用“shotgun technique”技术来生成解码表。
显然,开始的那个数据需要一个“种子”才能正常进行加密,而这个“种子”将会使密文的长度增加。或者,可以那个128位的密码,或是它的CRC校验和。
加密时可以使用Fibonacci数列来产生伪随机序列,而种子是一个64位的数,与第三个双字做异或操作。
这种多步加密算法每一步加密都与上一步的数据有关,这样会增加密文的长度。另外,加密时所用的第一个“种子”对整个解密过程是相当重要的,要保管好。
1.6 其它加密算法
近年来,混沌理论的应用和生物学理论的发展,产生了混沌密码学及基于生物特征的人工神经网络加密方法。
混沌密码学是一个交叉学科的研究领域,它综合应用了混沌理论、密码学、通信工程等方面的理论。混沌密码学具体的研究有混沌信号的状态空间重构、混沌序列的频谱分析、混沌吸引子维数的提取、李雅普诺夫指数的算法等研究;同时也有直接服务于混沌密码学的应用研究,如混沌生成及其模型的建立、混沌信号的处理以及混沌信号在工程中的应用。这些研究内容相互联系,相互支持,混沌算法理论方面的研究为应用研究提供理论基础,而服务于应用的研究又对混沌算法理论方面不断地提出研究课题,从而对其起到巨大的推动作用。
基于生物特征的人工神经网络方法在数据加密中的应用已初见端倪。利用人体在身材、指纹、唇印、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹等方面的唯一性来确保身份的唯一性。
这种新型的数据加密方法有如下几个特点:1) 范围广泛:能快速实现任何的非线性变换来满足各种加密算法。2) 较高的灵活度:可以灵活地选择密钥及密锁。3) 安全级别高:要破解具有极高复杂性的密锁与密钥,所需的计算空间复杂度和时间复杂度相当可观,故具有较高的安全级别。
2 结论
在现实生活中,信息作为一种资源,在社会生产、生活中的作用日益显著,信息安全问题已成为信息化社会的焦点与难点,而数据加密技术则是信息安全的一个核心问题。随着计算机科学技术的发展,信息和信息技术对密码学提出了越来越高的要求,各种加密算法陆续的被提出、应用、否定和改进。
数据加密领域的研究将会不断更新和改进的。
参考文献:
[1] 胡予濮,张玉清,肖国镇.对称密码学[M].北京:机械工业出版社,2002.
[2] 冯登国.密码分析学[M].北京:清华大学出版社,2000.
随着计算机在社会各个领域的广泛应用,人们对信息系统的依赖程度越来越高,数据库在计算机和软件开发领域的作用是至关重要。数据库系统负担着客户端对数据信息的访问控制和存储管理的任务,数据库中的数据(包括一些机密数据)一般以明文的形式保存。关键数据以明文的形式在数据库中存储使数据库的安全性降低,通过对数据库中关键字段的加密可以提高其安全性。
一、加密层次的选择
可以考虑在3个不同层次实现对数据库数据的加密,这3个层次分别是OS、DBMS内核层和DBMS外层。
第一,从操作系统的角度来看OS层位于DBMS层之下,所以无法辨认数据库文件中的数据关系,也就无法合理地产生、管理和使用密钥。因此,在OS层对数据库文件进行加密,对于大型数据库来说,目前还难以实现。
第二,DBMS内核层加密是指数据在物理存取之前完成加解密工作。这种方式的优点是加密功能强,并且加密功能几乎不会影响DBMS的功能;缺点是在服务器端进行加解密运算,加重了数据库服务器的负载,并且因为加解密是在DBMS内核中完成,就势必需要数据库供应商对其进行技术支持,这一点不容易实现。
第三,DBMS外层实现加密的优点是可扩充性强,数据库的加解密系统可以做成一个独立于DBMS的平台,不需要数据库供应商进行技术支持,并且可以将加密密文直接在网上传输;缺点是数据库的功能和查询效率会受一些限制。
根据以上理论得出,应用程序的数据通过数据库加密接口转换成相应的密文保存在数据源中;当应用程序需要调用数据源时,通过数据解密模块将相应的密文转换成原本的数据。这样,即使其他非法用户窃取数据库文件他们也只能得到密文无法得到有意义的明文,从而提高数据库的安全性。
数据库加密系统分成两个功能独立的主要部件:一个是加密字典管理程序,另一个是数据库加解密引擎。按以上方式实现的数据库加密系统具有很多优点:首先,系统对数据库的最终用户是完全透明的,管理员可以根据需要进行明文和密文的转换工作;其次,加密系统完全独立于数据库应用系统,无须改动数据库应用系统就能实现数据加密功能;再次,加解密处理在客户端进行,不会影响数据库服务器的效率。
二、加密算法
数据库加密技术的安全很大程度上取决于加密算法的强度,加密算法直接影响到数据库加密的安全和性能。因此,加密算法的选择在数据库加密方案中也显得举足轻重。选择算法主要指标是安全和便于使用。
安全的算法是可靠的算法。一个算法要可靠应该至少满足这样一些条件:首先,核心加密必须公认可靠,如DES和RSA算法,他们经过二十多年的考验、鉴定,数人攻击而无人承认攻破;加密算法复杂度,主要是解密算法的复杂性要强,事实证明,仅靠对算法保密是不安全的,因为软件加密可以通过反汇编可执行程序来发现;另外加密算法必须支持足够长的密钥,加密算法的实现必须可靠,这样才能具有较强的抗分析破译能力。
三、数据库加密与操作系统的关系
数据库管理系统是建立在操作系统的平台上,数据库管理系统的安全离不开操作系统的安全,没有操作系统的安全,就不能真正解决数据库的安全。作为加强数据库安全技术之一,数据库加密,必须依赖操作系统自身的安全。如数据以加密形式存储于数据库中,一旦访问这些加密数据,往往需要把它们调入内存并解密。这时,如果内存的安全得不到保障,那么这些数据就可能被攻击者窃取,即使再好的加密方法也是无效的。而内存的安全问题通常由操作系统解决。典型的,操作系统提供的安全机制有:
第一,访问控制机制。操作系统提供了访问控制机制,用来标识、鉴别、审核用户,只有通过认证的用户才能根据授权访问特定的数据。但是,操作系统中的对象一般是文件系统,粒度较粗。而数据库需要处理更为精细粒度的数据,如记录、字段值,所以,数据库管理系统也提供了访问控制机制,以便更好控制数据库中数据的访问。数据库加密和数据库访问控制室两种不同的安全措施,二者不可互相替换。
数据库加密以牺牲性能为代价,并且不能提供灵活的访问控制。因此,数据库中的数据加密后,一方面应该对特权用户(DBA,SA)的访问进行限制,使只有经过授权的用户才能访问密文数据,为数据增加进一步的保护;另一方面也不能单纯为了安全性而通过分配密钥控制数据库的访问,因为这样极大地牺牲了系统性能,破坏了安全性和可用性的平衡,并且失去了灵活的控制策略。
加密技术和访问控制技术是两种不同的安全措施,可以这么说,如果访问控制是保护数据库的第一道防线,那么加密技术就是进一步保护数据库的第二道防线,有了加密技术的保护,数据库更加安全。二者的结合,可以对数据库数据进行深度的保护。
第二,内存保护。在多道程序运行的系统中,需要对缓冲区中的各用户(私人)空间采取隔离措施,使之不要互相干扰。用户进程一旦退出,应当及时清空用户数据。
第三,提供最小特权管理。操作系统提供了最小特权管理,不给用户超过执行任务所需要特权以外的特权,使特权用户(如系统管理员)只具有完成其任务所需要的特权,尽量减少误操作、恶意操作、特权用户口令丢失所引起的损失。
中图分类号:TP311 文献标识码:A 文章编号:2095-1302(2016)03-00-02
0 引 言
近年来,网络信息技术不断发展,同时基础网络建设和应用系统开发也日益完善和成熟,但是信息安全问题却逐渐凸现出来,影响到了人们的正常生活,对社会稳定存在着严重的负面影响。在信息技术时代,数据库信息的安全性显得尤为重要,因此人们对数据库加密技术的应用和研究变得越来越重视,而对于数据库加密技术的应用研究就变得非常有意义。
1 数据加密技术概述
1.1 数据加密技术的含义
在信息安全领域,为了保证信息安全,同时保持信息系统资源的完整性、可用性和机密性,我们需要一种手段来限制非授权用户对于信息的读取、查看和修改,数据加密技术就是这样的一种手段。在信息技术时代,信息安全变得越来越重要,若信息安全,则可以使团队和个人受益;若信息安全存在隐患,则会对人们构成威胁,严重影响社会的发展和稳定。数据加密技术广义上来讲非常简单,便于理解,这种技术可以对数据进行加密,若缺乏某种解密手段则无法对信息进行查看和修改。因此数据加密和数据解密的联系非常紧密,是不可分割的一个整体。数据加密技术起源于古代的密码学,其核心技术是加密算法,加密算法产生的密文频率平衡,随机无重码规律,周期较长且没有重复现象,这样窃密者很难读取或者查看信息,因此信息安全得到了很大的保障。随着数据加密技术的不断发展,其应用领域也越来越广,应用范围逐渐涉及到人们生活的各个方面。
1.2 几种常见的数据加密算法
加密技术主要包含两方面内容,分别为对称密钥技术和非对称密钥技术。对称密钥技术主要要求加密和解密双方密钥相同,而非对称密钥技术与之相反,其要求解密和加密的密钥不能相同。目前来说,这两种技术都得到了广泛的应用,但两者各有优劣。对称加密技术具备着非对称加密技术不具有的优势,即加密和解密速度较快,因此在一般的数据信息安全方面,对称加密技术应用较为广泛。加密流程如图1所示,密码系统的核心部分是加密算法和解密算法,两者的密钥对于整体的数据加密具有重要意义。对称和非对称加密技术的区别在于加密密钥和解密密钥的不同对于信息安全的保障程度也不尽相同。对称加密技术中DES密码算法是一种较为典型的加密算法,具有相当高的复杂性,对于数据信息安全也有着很高的保护作用。另外,由于加密和解密速度较快、简单经济、运行有效,这广泛应用于不同领域。RSA密码算法是非对称加密技术的典型,在各个领域中也有着较为广泛的应用,由于其运算非常复杂,故对数据安全有着很高的要求,因此对于一些重要的信息和数据大多采用RSA密码算法。无论是对称加密技术还是非对称加密技术,都是为了保护信息安全而采用的手段,对于信息安全来说,每一种加密技术都应该物尽其用,保证数据信息的安全。
2 数据库中的数据加密技术
2.1 传统的加密技术
加密系统的体系结构如图2所示。加密系统的体系结构复杂而且联系较为紧密,在不影响数据准确性的前提下,保证数据信息的安全性、真实性和完整性,需要从系统整体入手,而传统加密技术针对数据信息安全性的不同需求,实现时应采用不同的方法。传统的加密技术由基于文件的数据库加密技术、基于记录的数据库加密技术、子密钥加密技术、基于字段的数据库加密技术以及秘密同态技术组成。基于文件的数据库加密技术,主要是把数据库信息作为一个系统整体,利用加密算法进行加密,在保证数据信息真实性和完整性的同时,又很好地保证了信息的安全性。但是这一方法有很多缺陷,比如数据存储和修改时程序复杂繁琐,信息读取比较麻烦,使得信息安全存在一定隐患。基于记录的数据库加密技术主要特点是其数据信息的封闭性。一般而言,加密的数据信息是一个独立完整的整体,因此,它具有很高的安全性,得到了广泛应用。子密钥加密技术具备其他加密方法不具备的优势,它可以对单个数据进行加密和解密,解决了记录所存在的问题,但同时也造成了加密和解密工作繁琐的问题。基于字段的数据库加密技术,其根本内容是以记录不同字段的方法来组成基本加密单元的加密手段。它不仅具有较小的加密粒度,同时还可以对单个数据进行加密,具有很好的适应性和灵活性。秘密同态技术不同于其他几种加密方法,它可以对形成的密文数据库进行操作,具有一定的优势。
2.2 针对数值型数据的保存顺序加密技术
随着信息技术的发展,加密技术逐渐成为了保护数据信息安全性和完整性的重要手段,但就目前而言,传统加密技术还存在一定的不足,因此针对数值型数据的保存顺序加密技术逐渐得到人们的重视,慢慢应用于各个领域。同传统加密技术类似,这种加密技术也是从加密系统体系结构入手,但直接应用在加密数据上,不用解密操作数。目前来说,OPEC是一种较为常见的数值型数据保存顺序的加密方案,它在对数据信息查询和处理时具有很高的安全性和准确性,同时还可以及时的进行处理和更新数据,在实际应用中具有一定优势。相较而言,这种加密技术对于数据信息的安全和保密具有非常重要的意义,而且具有很好的加密和解密速度,解决了其他几种加密技术存在的问题。但是这种加密技术存在一定的局限性,还不能完全应用秘密同态技术,同时密钥管理也存在一定的缺陷,因此对于这种加密技术的应用要综合各种因素来进行。
3 数据库加密技术的应用研究
3.1 数据库加密需求
3.1.1 数据加密的安全性需求
由于数据信息的特殊性,数据信息往往涉及到很多方面,对于人们的正常生活和社会稳定有一定的影响。因此在进行数据库加密时,要充分考虑到数据信息的安全性。同时,由于数据信息读取和查看的权限,对于那些未经授权的用户要严格禁止查看和读取,因此密钥管理就显得尤为重要。
3.1.2 数据查询的效率需求
对于数据库来说,信息数据的读取和查询是数据库系统的重点和难点。一般而言,数据库进行加密后,由于加密算法,数据信息已经不便查询,这样降低了加密数据库的数据查询率。为了保障数据查询的效率需求,对于数据库中的数据信息查询要给予足够的重视。针对数据查询的效率需求,我们要选择合适的加密算法和解密算法,从而满足数据查询的效率需求。
3.1.3 数据库未经授权修改的防范需求
数据库数据的安全性不仅体现着数据的完整性,同时还应保证数据的准确性。因此在数据库信息数据加密和解密过程中,要保证数据库中的数据不被未经授权的用户修改。目前来说,由于数据库加密和解密过程存在漏洞,因此数据信息的准确性有时很难得到保证,对数据信息安全构成了巨大的威胁。因此,在进行数据库数据信息加密时,要注意数据的防窃,限制管理员的权利可以在一定程度上保证数据信息的准确性和安全性。
3.2 数据库加密系统设计考虑因素
3.2.1 数据库加密层次需要考虑的因素
针对数据库加密来说,我们可以考虑从操作系统、DBMS内核层以及DBMS外层进行数据库内数据信息的加密。目前而言,在操作系统进行数据加密具有一定的难度,它无法辨认数据库文件的数据关系,对于密钥的使用和管理也就没有保证,因此实现从操作系统的加密具有一定的难度。若要实现DBMS内核层的加密,则需要考虑在此种形式下加密模块的标准化。由于其加密和解密的独立性,造成了负载过大的现象,另外由于相关技术还未成熟,实现这一层次的加密也有一定的难度。DBMS外层的加密,由于其可扩充性强,而且加密系统和解密系统独立存在,因此用户应用较为便捷,但是也有一定的限制,比如数据查询效率较低。
3.2.2 加密粒度的选择
数据库加密的粒度一直是数据库加密技术的难点,对于数据信息的安全性和准确性有着重要的影响。一般而言,数据库加密粒度主要有表、记录和数据项这三种。顾名思义,表加密是在表一级进行加密,其加密对象是整个表,但是这种加密方式有着一定的限制,不适于数据库的加密。而记录加密是在表一级上进行加密,其操作对象是数据库中的记录数据,但其灵活性受到了限制。数据项加密则是针对数据库中的数据项进行加密,这种加密方法具有很好的安全性和灵活性,但是相对而言,它较为繁琐和复杂,操作上具有一定的难度。
3.3 数据库密钥管理
图3所示为数据库密钥管理示意图,从图中可以看出,加密数据库的密钥对于数据库加密技术具有非常重要的作用。一般而言,加密数据库由密文、明文以及密钥组成,密钥是整个数据库加密技术的核心,因此密钥管理就变得尤为重要。建立科学合理的密钥管理机制是非常有必要的,在保证数据信息安全和准确的同时,设计一种安全便捷的密钥管理机制。针对数据库的密钥管理,一级密钥系统和二级密钥系统要采取不同的管理机制。目前来说,数据库密钥管理大多基于“可信第三方”,这种管理机制较为灵活,而且具有有效的抵御机制,但存在一定的安全隐患。总体来说,针对不同的情况建立科学合理的密钥管理机制对于数据库加密技术的应用具有很重要的意义。
4 结 语
随着信息技术的发展,数据库系统的建立变得越来越普遍,因此数据库信息的安全问题也慢慢引起了人们的重视。针对数据库信息数据的安全问题,数据库加密技术的应用变得越来越广泛,人们对于其研究也越来越深入。保护数据库信息数据的安全性和完整性,对于社会的稳定和发展有着重要的意义,因此我们要给予足够重视,加强数据库加密技术的应用和研究。
参考文献
关键词: 信息数据 安全 加密技术
当前形势下,人们进行信息数据的传递与交流主要面临着两个方面的信息安全影响:人为因素和非人为因素。其中人为因素是指:黑客、病毒、木马、电子欺骗等;非人为因素是指:不可抗力的自然灾害如火灾、电磁波干扰、或者是计算机硬件故障、部件损坏等。在诸多因素的制约下,如果不对信息数据进行必要的加密处理,我们传递的信息数据就可能泄露,被不法分子获得,损害我们自身以及他人的根本利益,甚至造成国家安全危害。因此,信息数据的安全和加密在当前形势下对人们的生活来说是必不可少的,通过信息数据加密,信息数据有了安全保障,人们不必再顾忌信息数据的泄露,能够放心地在网络上完成便捷的信息数据传递与交流。
1 信息数据安全与加密的必要外部条件
1.1 计算机安全。每一个计算机网络用户都首先把自己的信息数据存储在计算机之中,然后,才进行相互之间的信息数据传递与交流,有效地保障其信息数据的安全必须以保证计算机的安全为前提,计算机安全主要有两个方面包括:计算机的硬件安全与计算机软件安全。1)计算机硬件安全技术。保持计算机正常的运转,定期检查是否出现硬件故障,并及时维修处理,在易损器件出现安全问题之前提前更换,保证计算机通电线路安全,提供备用供电系统,实时保持线路畅通。2)计算机软件安全技术。首先,必须有安全可靠的操作系统。作为计算机工作的平台,操作系统必须具有访问控制、安全内核等安全功能,能够随时为计算机新加入软件进行检测,如提供windows安全警报等等。其次,计算机杀毒软件,每一台计算机要正常的上网与其他用户交流信息,都必须实时防护计算机病毒的危害,一款好的杀毒软件可以有效地保护计算机不受病毒的侵害。
1.2 通信安全。通信安全是信息数据的传输的基本条件,当传输信息数据的通信线路存在安全隐患时,信息数据就不可能安全的传递到指定地点。尽管随着科学技术的逐步改进,计算机通信网络得到了进一步完善和改进,但是,信息数据仍旧要求有一个安全的通信环境。主要通过以下技术实现。1)信息加密技术。这是保障信息安全的最基本、最重要、最核心的技术措施。我们一般通过各种各样的加密算法来进行具体的信息数据加密,保护信息数据的安全通信。2)信息确认技术。为有效防止信息被非法伪造、篡改和假冒,我们限定信息的共享范围,就是信息确认技术。通过该技术,发信者无法抵赖自己发出的消息;合法的接收者可以验证他收到的消息是否真实;除合法发信者外,别人无法伪造消息。3)访问控制技术。该技术只允许用户对基本信息库的访问,禁止用户随意的或者是带有目的性的删除、修改或拷贝信息文件。与此同时,系统管理员能够利用这一技术实时观察用户在网络中的活动,有效的防止黑客的入侵。
2 信息数据的安全与加密技术
随着计算机网络化程度逐步提高,人们对信息数据传递与交流提出了更高的安全要求,信息数据的安全与加密技术应运而生。然而,传统的安全理念认为网络内部是完全可信任,只有网外不可信任,导致了在信息数据安全主要以防火墙、入侵检测为主,忽视了信息数据加密在网络内部的重要性。以下介绍信息数据的安全与加密技术。
2.1 存储加密技术和传输加密技术。存储加密技术分为密文存储和存取控制两种,其主要目的是防止在信息数据存储过程中信息数据泄露。密文存储主要通过加密算法转换、加密模块、附加密码加密等方法实现;存取控制则通过审查和限制用户资格、权限,辨别用户的合法性,预防合法用户越权存取信息数据以及非法用户存取信息数据。
传输加密技术分为线路加密和端-端加密两种,其主要目的是对传输中的信息数据流进行加密。线路加密主要通过对各线路采用不同的加密密钥进行线路加密,不考虑信源与信宿的信息安全保护。端-端加密是信息由发送者端自动加密,并进入tcp/ip信息数据包,然后作为不可阅读和不可识别的信息数据穿过互联网,这些信息一旦到达目的地,将被自动重组、解密,成为可读信息数据。
2.2 密钥管理加密技术和确认加密技
术。密钥管理加密技术是为了信息数据使用的方便,信息数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配、保存、更换与销毁等各环节上的保密措施。网络信息确认加密技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使:合法的接收者能够验证他收到的消息是否真实;发信者无法抵赖自己发出的消息;除合法发信者外,别人无法伪造消息;发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。数字签名是由于公开密钥和私有密钥之间存在的数学关系,使用其中一个密钥加密的信息数据只能用另一个密钥解开。发送者用自己的私有密钥加密信息数据传给接收者,接收者用发送者的公钥解开信息数据后,就可确定消息来自谁。这就保证了发送者对所发信息不能抵赖。
2.3 消息摘要和完整性鉴别技术。消息摘要是一个惟一对应一个消息或文本的值,由一个单向hash加密函数对消息作用而产生。信息发送者使用自己的私有密钥加密摘要,也叫做消息的数字签名。消息摘要的接受者能够通过密钥解密确定消息发送者,当消息在途中被改变时,接收者通过对比分析消息新产生的摘要与原摘要的不同,就能够发现消息是否中途被改变。所以说,消息摘要保证了消息的完整性。
完整性鉴别技术一般包括口令、密钥、身份(介入信息传输、存取、处理的人员的身份)、信息数据等项的鉴别。通常情况下,为达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对信息数据的安全保护。
3 结束语
综上所述,信息数据的安全与加密技术,是保障当前形势下我们安全传递与交流信息的基本技术,对信息安全至关重要。希望通过本文的研究,能够抛砖引玉,引起国内外专家的重视,投入更多的精力以及更多的财力、物力来研究信息数据安全与加密技术,以便更好的保障每一个网络使用者的信息安全。
参考文献:
[1]曾莉红,基于网络的信息包装与信息数据加密[j].包装工程,2007(08).
计算机技术被广泛运用,安全问题便成为了社会大众最为关心的问题。因为当前计算机与互联网技术的不断创新,无论是在生活,还是在工作中,都为人们的生活带来了极大便利。但是带来方便的同时也出现了一些问题,在应用计算机时最为关注的问题就是计算机信息数据的安全问题,在如今这个信息多元化的社会中,若是计算机信息数据被外泄或是盗用,会给单位或是企业带来极大的损害。因此需要大力探究计算机信息数据安全的影响因素,从而针对于问题进行优化与解决。
1对计算机信息数据安全造成影响的因素
1.1人为因素
众所周知,计算机技术主要操作者还是社会群众,因此社会群众在计算机信息数据安全中处于一个极为主要的位置。人为因素的表现形式是多元化的,表现在信息诈骗、计算机病毒、黑客入侵等,利用这些方法来获取计算机中的信息数据,通常情况下,出现这样问题的主要根源是因为人为管理意识的随意性,导致在进行防控时往往处在被动方。
1.2非人为因素
排除人为因素以后,另一方面就是非人为因素,非人为因素主要是因为计算机本身的问题。计算机虽然属于一种新兴设备,但是其本质依旧是一台机器,凡是机器就会有怠工的时候或是出现问题的时候,这其中包含了计算机的硬件问题、电磁波的干扰等。总体而言,这些非人为因素都会或多或少的影响计算机信息数据的安全。所以,社会群众在平时应用计算机的时候,可以针对于非人为因素做一些防范措施,来保障计算机信息数据的安全。
2计算机信息数据安全中的加密技术
2.1传输加密与存储加密技术
2.1.1传输加密技术
传输加密,顾名思义是指在计算机对信息数据进行传输过程中采用特殊加密的方式,来保障传输过程中的信息数据的安全性。一般情况下,可以将传输加密分为两种传输方式,其中包含了线路加密与点对点加密。线路加密主要是指对信息发出者与信息接受者对传输线路进行加密处理,保障传输线路只有得到密钥的基础上才可以被利用;而点对点加密主要是指信息发出者在信息发送之前对信息数据开展加密处理,通过不可识别或是不可阅读的信息数据包发送给信息数据的接收者,再由信息接收者对这个信息数据包进行解码,使其转换为可阅读的信息数据,之后再被接收者利用,以此来保障信息传输过程的安全。一般用户应用的传输加密方式最多的是点对点,利用线路加密比较少,但不管是点对点还是线路,都是为了确保计算机信息数据子啊进行传输时的安全。
2.1.2存储加密技术
所谓存储加密主要是对计算机的信息数据在进行储存时对其进行加密,来确保计算机信息数据在存储过程中是安全的。依据不同的实现方法,又可以对存储加密进行划分,其中包含了密文存储和存取控制这两方面,密文存储主要是利用加密转化法或是加密模块来对计算机的信息数据安全进行保障,而存取控制主要是对用户的合法性进行辨别以及对不同的用户权限进行限定,来确保计算机信息数据安全。无论是密文存储还是存取控制,都会切实确保计算机信息数据的安全,保障信息数据不被外泄。
2.2确认加密与密钥管理加密技术
2.2.1确认加密技术
确认加密主要是指对计算机信息数据的共享范围实施控制,进而保障信息数据安全,以此来防范计算机信息数据被篡改或是伪造,规避一些不良后果,确认加密技术可以保障接收者对信息数据的正确性进行确认,从而防范信息数据的发出者出现抵赖现象,同时还可以规避信息数据被伪造或是篡改。确认加密技术通常包含了消息确认、数字签名等。
2.2.2密钥管理加密
在对计算机信息数据进行加密时,密钥的存在是一个不可或缺的构件。因此对密钥进行管理是极为重要的,它主要会运用到保存密钥、销毁密钥、生成密钥等。通常情况下,密钥的储存媒介有很多,其中最为典型的是磁盘、存储器等,通过对存密钥的存储媒介进行加密,来保障其销毁密钥、生成密钥的数据安全,进而确保计算机信息数据安全。
2.2.3消息摘要和完整性鉴别技术
消息摘要顾名思义是指一个与消息或是文本相对应的值,它通过Hash加密函数,对计算机信息数据的作用进行加密的一种技术。信息发出者在发送之前需要对信息摘要进行加密,确保信息接受者在接收到信息时可以密钥进行解密,向信息发出者进行核对,对信息摘要的一致性进行确认,确保计算机信息数据在传输过程中未出现改变。完整性鉴别技术是一套健全的鉴别系统,其中包含了身份、密钥、口令、数据信息等。当完整性鉴别系统运作时,所有被要求传输的参数都要进行完整性鉴别,在进行鉴别时所输入的数值与事先设定水温值收否相同,进而对计算机信息数据安全进行有效保护。
3结束语
综上所述,因为我国科学技术的不断发展,使当前的互联网技术越来越完善,对于计算机信息数据安全造成影响的因素有很多,随着科技的发展,信息数据的安全也受到了一定冲击,所以,需要做到与时俱进,对计算机信息数据安全的保障技术进行不断研发,创新出适应当下计算机发展的保护技术,进而保障计算机信息数据的安全。
作者:王春旭 单位:贵州大学明德学院
参考文献:
(一)数据库加密的概念阐述
数据库中的数据加密是指通过采用一定的技术手段,确保数据在传输和存储过程中的有效性,它包括加密和解密两个过程。加密技术是指通过一定的数据编码将数据库中的数据和信息(明文)转换成外部人员不可识别的内容(暗文)的过程。解密技术是指将从数据库中获得的认可的密文(暗文)转换为数据和信息(明文)的过程。整个加密系统包括加密和解密两个部分。具体的加密过程如下图所示:
数据库的密码加密在于设定明文和暗文,加密系统需要按照一定的顺序来进行,即按照从头到尾的顺序,但是解密系统不能按照这个顺序进行,数据库的使用过程中不可能以数据库文件为单位进行加密,当符合检索条件的记录被检索出来后,就必须对记录迅速解密。
(二)数据库加密技术系统的特性分析
数据库加密技术系统尤其自身的功能,具体来说包括如下几方面的特性。一是认证身份信息。使用者在使用过程中不但要提供口令和用户名外,还要提供进入系统所需要的安全密钥。二是数据库自身加密。在数据库系统中使用者可以根据信息的保密程度对信息和数据进行加密等级的设定,对于敏感程度高的要提高其数据库访问速度。三是存储过程中的加密。在数据库当中对于不同的数据记录、不同的字段名称要采用不同的密钥加密的形式,即确保数据库每一项的存储加密,保证数据信息不被修改。四是传输过程中保密性的实现。在访问数据库过程中,要保证一次一加密的实现,这样能够防止数据库信息和数据的篡改和重复。五安全备份。对于系统提供数据库,要有效实现其备份功能,即明文备份和密钥备份。
(三)数据库系统的安全要求
数据库系统是信息安全的重要组成部分,它在使用的过程中有一定的安全要求,这与信息安全的整体需求是相似的。具体来说,数据库系统的安全要求可以包括如下几个方面:一是数据的完整性,数据库形同的完整性是指数据库中的信息要确保其相容性、可用性、一致性和正确性。二是数据的保密性,数据库中的任何信息都要设定相应的访问权限,并对访问权限设定等级,保证没有访问权限的用户不能访问和使用数据。三是数据的可用性。数据的可用性指任何授权用户的正常操作必须接受,同时又能保证人机交互友好,系统运行效率正常,换句话说,任何授权用户要获取数据时应当立即可以获得。
二、数据库加密技术的设计
(一)数据库加密的层次设计
数据库加密的层面分多种,有在系统中加密、DBMS 内核层、DBMS 外层等。首先,系统中加密的方法,鉴于数据库系统中的数据关系难以辨认,需要把内存中的数据进行加密处理,之后再把存在文件系统中的加密内存数据导入到数据库中去,在计算机读入过程中进行一种逆向解密,这种方法的关键是保存好管理秘钥。当然,其劣势也比较明显,就是数据库的读写过程显得相对繁琐,每次对编程的读写数据和编写都会影响基本的速度。第二是DBMS 内核层,这个方法需要加强对数据库管理系统的操作,需要在数据的物理存储之前进行相应的加密和解密工作。其优势是加密功能较强,能有效完成数据库管理系统与加密功能的有效融合,其加密功能基本上不会对DBMS产生功能性影响。第三,是DBMS 外层,该加密方式可以在客户端有效运行加密运算,在运行过程中不会对数据库的服务器产生负担,但是其劣势是本身的加密功能会受到相应的限制,其自身功能与数据库管理系统的融合效果也受到影响。总之,各种方式都有自身的优点和缺点,需要根据实际的环境有效选择和使用。
(二)以文件为基础的加密技术
新的技术环境中,以文件为基础的新型机密技术得到较多的应用,其运行的基本思路是把数据库的文件作为一个有机整体,通过系统的加密算法来保障数据信息的安全性和完整性。以文件为基础的数据加密方法,实际运行的策略是利用解密秘钥的原理,让数据库用户通过秘钥来完成对数据库文件的解密目标。
该种加密技术作为一种整体技术,虽然存在着一些自身优势,但是其缺点也不容忽视,在具体的加密技术应用过程中国,也需要对其做出全面深刻的认识,主要表现在两个方面。一是想对数据库的数据信息进行修改工作,其过程是比较困难的,需要采取加密、复制和修改等操作。二是即使用户只是需要查看某一条记录,也必须将整个数据库文件解密,这样无法实现对文件中不需要让用户知道的信息的控制。
(三)数据库加密系统的实现策略
加密系统的功能实现,需要充分利用用户身份验证原理,在用户的数据库登录过程中,加强对用户身份信息的数据验证,根据不同用户的合法身份级别,有效控制和管理不同用户在数据库操作系统中的开放服务和功能。计算机数据库的加密和解密技术是整个加密技术的最核心部件,能够在后台实现对数据库的加密和解密处理。其基本方法是:首先由数据库用户来对数据是否需要加密的判断和决策,对于需要加密的数据可以采取加密字典及其字典管理程序,进行加密和解密的模块处理。对于用户认为不需要加密的数据,则可以通过数据库连接模块和数据库的直接联系,来实现用户数据库与设计系统程度有效对接,实现数据的有效利用。加密字典管理程序通过被数据库加密和解密引擎实现对数据表的加密、解密及数据转换等功能。当数据库的加密字典生成之后,则可以利用加密字典的管理成效,实现对数据库系统数据的有效查询、控制和管理。
当前,大部分计算机的系统为Windows系统,只有少数计算机的系统为Linux系统。Windows系统受众面广,受网络攻击的可能性更大,再加上系统本身存在很多漏洞,严重影响了计算机数据信息的安全性。如果黑客攻击系统所存在的漏洞,就会导致病毒通过漏洞感染计算机。计算机操作系统建设所用的代码会涉及到汇编、反汇编等底层代码,并且所有代码的编写需要整个团队来完成,这样往往在代码编写过程中就会出现漏洞,需要用专门的补丁来修复。系统漏洞的存在给计算机的安全使用带来了极大的威胁,导致银行账号、密码,游戏账号、密码等泄露,从而对计算机使用者造成一定的损失。
1.2计算机病毒
计算机病毒具有感染性强、蔓延范围广、传播速度快等特点,是威胁计算机数据安全的重要因素。在病毒进入到计算机程序后,如果将带有病毒的数据文件应用于计算机网络传输或共享,那么其他计算机在浏览或打开此数据文件时也会被感染,出现连锁式病毒传播。另外,如果计算机病毒过多,会对计算机操作系统造成十分严重的影响,出现死机或者数据丢失等事故。
1.3非正常入侵
计算机网络具有开放性特点,在互联网背景下,很多不法分子利用系统本身存在的漏洞非法入侵用户计算机。非法入侵者一般采取窃听、监视等手段,获取计算机网络用户的口令、IP包和用户信息等,然后利用各种信息进入计算机局域网内,并采用冒充系统客户或者用合法用户的IP地址代替自己的IP地址等方式,篡改或窃取计算机网络内的数据信息。
2数据加密技术的应用
2.1密钥保护
密钥保护是数据加密中一种常用的加密技术。改变密钥的表达方式,可提高密文书写的多变性,体现多层次的加密方式。密钥保护可分为公钥保护和私钥保护两种方式。通常这两种方式相互配合,对提高计算机数据信息的安全性具有重要意义。私钥保护具有一定的局限性,在使用时必须借助公钥保护来完成整个保护动作。密钥保护的原理是:当计算机进行数据传输时,选用公钥对需要传输的信息进行加密,在用户接收数据后,需要通过私钥来完成解密动作,以此来确保传输数据的安全性,避免攻击者非法窃取传输过程中的数据。当前,秘钥保护方式一般用于管理系统和金融系统中,可以完成对私人信息、用户登录和访问过程等方面的保护。
2.2USBkey保护
USBkey是数据加密技术的典型代表,一般用于银行交易系统中,保证网络交易环境的安全性。USBkey服务于客户端到银行系统,对每项数据信息的传输都需要加密处理,避免数据在传输过程中受到恶意攻击。就现状来看,银行系统通过计算机网络来完成工作的概率逐渐上升。USBkey可以保护银行系统能够在相对安全的环境中完成交易。在用户利用计算机网络进行银行交易时,USBkey中的加密技术会自动匹配用户信息,即便用户行为被跟踪,攻击者也无法破译USBkey中的加密技术,通过加强用户登录身份的验证,保证用户财务安全。
2.3数字签名保护
数字签名保护是比较常用的一种数据加密技术,具有很好的保护效果。数字签名保护的原理是利用加密、解密过程,识别用户身份,从而保证数据信息的安全性。数字签名保护也分为公钥保护和私钥保护两种,如果只使用其中的一种保护方式,会在本质上降低安全保护的效果。因此,通常情况下,常在私钥签名处外加一层公钥保护,提高数字签名保护的效果。
中图分类号:TP309 文献标识码:A 文章编号:1674-7712 (2013) 02-0069-01
现实生活中,许多企业对信息安全有了新的认识,开始注重数据的加密技术,比如说对信息系统中的数据进行加密处理,那么一些非法用户在入侵时就不能像以前没有给数据加密时那样顺利的进入该系统,这样可以起到保护信息安全的作用,现代加密技术对网络的安全有重要的保护作用,因此说数据加密技术研究和应用对信息系统中数据安全有非常重要的意义。
数据加密技术是一把双刃剑,一方面,如果能够将数据加密技术处理好,那么它在提高数据安全方面将起到巨大的推动作用;另一方面,如果未能妥善处理数据加密技术,那么利用数据加密技术不仅不能为数据提供安全保障,还将产生一些意想不到的负面影响。
首先,我们生活中常常会遇到访问控制的问题,许多不懂数据加密技术的用户就以为访问控制就是数据加密,以为安装上了访问控制软件就可以保证自己数据的安全,结果因为错误的理解,导致数据泄露。访问控制可以分成DAC(自主访问控制)和MAC(强制访问控制),在一个信息系统中,DAC和MAC是同时存在的,系统进行存取检查时,首先经MAC检查,然后再经DAC检查,只有两个检查同时通过时,才可以进行访问。但是,数据加密技术是在只有拥有密钥的情况下才可以对系统进行访问。
其次,我们所研究的数据加密技术,并不是单单一种。一般说来,从数据加密的方法上分,数据加密技术可以分为两种:动态数据加密技术和静态数据加密技术。动态数据加密技术是指当数据经过网络时,数据在数据库服务器和客户端之间的相互传送,这种传输过程中数据的加密技术就是动态数据加密技术。这种方法可以有效的阻止会话攻击。现实生活中,这种动态数据加密技术已经被广泛的应用了。静态数据加密技术是指对存在于数据库中的数据进行加密处理。这种静态数据加密技术还没有广泛的应用。
最后,数据在进行完加密之后,并不是说用户就可以高枕无忧了,非法入侵者可以通过获取密钥、字典式攻击、对比明密文攻击等方式进行非法闯入。其中获取密钥属于直接攻击,它的危害性最大,密钥一旦丢失,那么数据加密形同虚设。盗用密钥的方式一般是由于密钥管理不善而导致的密钥泄露,另外一种是外界非法用户用一定的密码分析法,将密钥解开。对此,用户一定要小心谨慎,要定期更改自己的数据密码,防止不法分子盗用。
数据加密技术的研究主要是研究数据的加密过程和数据的解密过程。加密过程是将明文的数据通过加密算法对其进行加密,数据在传送过程中是将加密算法和密钥一同传送的,非法入侵者因为没有密钥所以不能看到原数据内容。数据的解密过程是指接收数据者通过解密算法和解密密钥将原来加密的数据进行解密处理,得到原数据的过程。由此可见数据加密算法在数据加密过程中占有重要的地位。
一、对称密钥算法和非对称密钥算法
对称密钥算法和非对称密钥算法是基于公共密钥的算法。一个不错的数据加密算法的重要特点就是可以制定一个密钥并且用它来加密明文数据。对称密钥算法是指加密密钥和解密密钥一致,非对称密钥算法是指数据加密密钥和数据解密密钥不同的一种加密方法。PGP公钥加密和RSA数据加密方法都是数据加密非对称加密算法。我们这里说的公钥是与私钥相对应的,加密密钥是公钥,解密密钥是私钥。非法入侵者想要破解非对称数据加密算法,获得密钥,唯一的办法就是不断地反复进行试验,然而这是特别浪费时间的。
二、多步加密算法
为防止对称密钥算法和非对称密钥算法中密钥被非法入侵者破译,在数据加密技术上,又出现了一种新的加密算法――多步加密算法,众多人的实践表明这是一种几乎不可能被破译的数据加密算法,使用多步加密算法将产生一个顺序随机的表,表中的字节的随机数是用的二次伪随机,现在已经有两张转换表,加密和解密时使用的加密值是转化表的索引,而且加密和解密过程需要匹配。加密时产生的伪随机序列是随意的,可以根据个人爱好设计成任何想要的序列,如果没有关于随机序列的详细信息,解密是不可能实现的,如果去盗取随机序列的详细信息,那么将会以付出巨大的时间损失为代价,因此说,多步加密算法是几乎不可能被破译的。
三、DES加密算法
DES是一个分组加密算法,它以64位为分组对数据进行加密处理,同时,它又是一个对称算法,加密和解密过程使用的是同一个算法,DES加密算法密钥是任意的56位数,这56位数可以在任意时候改变。DES算法使用标准算术和逻辑算术,具有较快的运算速度,而且密钥生产较为容易,适合大多数软件,同时也适合用在专用芯片上面。DES加密算法具有的密钥数较短,科学家为解决其密钥短的问题又设计出80位的密钥,以及在DES加密算法的基础上采用双密钥加密的方法,保证了数据的安全。
在我们的日常生活中,为了保证数据的安全,必须要注意对密钥的保护,确保数据在传输过程中不会被非法入侵者篡改。从理论上讲,任何数据的加密都是可以破解的,但是破解密钥需要以巨大的时间付出为代价的,在目前的情况下,我们的数据加密技术已经能保证我们的数据在一定时期内的安全,因此,数据加密技术是保证数据安全的一种有效手段。
一、关于加密技术和加密标准的概述
作为保障数据传输安全的加密技术产生的年代久远,早在几千年前埃及人和古巴比伦就通过对信息进行特别的编码而保护书面信息的安全。近代的信息加密技术主要在军事领域展开,德国在二战时期发明了著名的恩格玛机来对信息进行加密,随着计算机性能的不断提升,科学家们又不断地研究出更为严密的信息加密手段。利用ROSA算法产生的私钥和公钥就是在这个基础上产生的。信息加密的基本方式就是用某种数学算法对原来的明文或数据进行一定的处理,将这些明文编程不可读写的数字代码。只有信息接收者在输人相应的密钥后才能还原数据的真实内容。通过这种方法来处理数据,使得数据在传输过程中不会被他人非法盗窃、阅读和修改。计算机数据加密技术的发展也离不开数据加密标准的支持,早在1977年美国国际商用机器公司为美国政府计算机数据研制出了一种特殊的计算方法,称之为计算机数据加密标准,这个加密算法是应用56位密钥为基础,首先将64位的明文通过变换其位置进行置换大乱;接着对上述的64位明文进行分解,将所要进行加密的明文拆分成为两套32位的明文:接着运用将上述两套32位明文采用计算机数据加密标准进行16次的位置变换;最后采用逆置换的方法对打乱后的数据进行逆置换,从而实现了计算机数据的加密。
南于美国电子开拓基金会在1999年对上述加密标准进行了破译,美国政府也因此对原有的加密标准进行了改进。这种改进方法是在原来的DES基础上进行了三重加密。这种新的加密标准使得数据的接收者必须通过使用三个密钥才能对加密的数据进行解密。这种方法也因此使得数据的保密性提升了3倍。这三把密钥之间相互关联,需要解密者对每层密码分别进行破解。若其中的一把密钥丢失则不能通过其他的两把密钥对数据进行破解,这种方法对数据的破解者来说十分困难。3DES虽然对政府的关键数据保护进行了提升,但是对金融交易却形成了障碍。于是美国国家标准与技术研究所有开发出针对金融交易数据保密的方法。称之为高级加密标准。简称为AES。这种算法的比较简便精确,而且安全性也十分可靠。这种加密方法同时还能支持很多的小型设备。同原有的3DES相比具有高安全性和高效率。
二、数据加密方法
在传统上,我们有几种方法来加密数据流。所有这些方法都可以用软件很容易的实现,但是当我们只知道密文的时候,是不容易破译这些加密算法的。最好的加密算法对系统性能几乎没有影响,并且还可以带来其他内在的优点。所有这些加密算法都要有高效的加密和解密能力。幸运的是,在所有的加密算法中最简单的一种就是“置换表”算法,这种算法也能很好达到加密的需要。每一个数据段对应着“置换表”中的一个偏移量,偏移量所对应的值就输出成为加密后的文件。加密程序和解密程序都需要一个这样的“置换表”。事实上,80x86cpu系列就有一个指令‘xlat’在硬件级来完成这样的工作。这种加密算法比较简单,加密解密速度都很快,但是一旦这个“置换表”被对方获得,那这个加密方案就完全被识破了。更进一步讲,这种加密算法对于黑客破译来讲是相当直接的,只要找到一个“置换表”就可以了。这种方法在计算机出现之前就已经被广泛的使用。
