隨著大型企業管理軟體的發展,其套用越來越廣泛,企業數據平台涉及區域網路、廣域網、Internet等,在各類系統中保存的企業關鍵數據量也越來越大,許多數據需要保存數十年以上,甚至是永久性保存。於是關鍵業務數據成了企業生存的命脈和寶貴的資源,數據安全性問題越來越突出。如何增強企業軟體系統的安全性、保密性、真實性、完整性,成為每一位軟體開發人員關注的焦點。
為了解決關鍵業務的數據安全問題,首先對數據系統進行全面、可靠、安全和多層次的備份是必不可少的,除此以外,各種安全產品,無論防火牆、防病毒、防黑客、防入侵等等,都或多或少地肩負著一些保護數據的責任。從保護數據的角度講,對數據安全這個廣義概念,可以細分為三部分:數據加密、數據傳輸安全和身份認證管理。
數據加密
數據加密技術是最基本的安全技術,被譽為信息安全的核心,最初主要用於保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文,然後再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決於所採用的密碼算法和密鑰長度。
根據密鑰類型不同可以將現代密碼技術分為兩類:對稱加密算法(私鑰密碼體系)和非對稱加密算法(公鑰密碼體系)。在對稱加密算法中,數據加密和解密採用的都是同一個密鑰,因而其安全性依賴於所持有密鑰的安全性。對稱加密算法的主要優點是加密和解密速度快,加密強度高,且算法公開,但其最大的缺點是實現密鑰的秘密分發困難,在大量用戶的情況下密鑰管理複雜,而且無法完成身份認證等功能,不便於套用在網路開放的環境中。目前最著名的對稱加密算法有數據加密標準DES和歐洲數據加密標準IDEA等,目前加密強度最高的對稱加密算法是高級加密標準AES。
對稱加密算法
對稱加密算法是套用較早的加密算法,技術成熟。在對稱加密算法中,數據發信方將明文(原始數據)和加密密鑰一起經過特殊加密算法處理後,使其變成複雜的加密密文傳送出去。收信方收到密文後,若想解讀原文,則需要使用加密用過的密鑰及相同算法的逆算法對密文進行解密,才能使其恢復成可讀明文。在對稱加密算法中,使用的密鑰只有一個,發收信雙方都使用這個密鑰對數據進行加密和解密,這就要求解密方事先必須知道加密密鑰。對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。不足之處是,交易雙方都使用同樣鑰匙,安全性得不到保證。此外,每對用戶每次使用對稱加密算法時,都需要使用其他人不知道的惟一鑰匙,這會使得發收信雙方所擁有的鑰匙數量成幾何級數增長,密鑰管理成為用戶的負擔。對稱加密算法在分散式網路系統上使用較為困難,主要是因為密鑰管理困難,使用成本較高。在計算機專網系統中廣泛使用的對稱加密算法有DES、IDEA和AES。
傳統的DES由於只有56位的密鑰,因此已經不適應當今分散式開放網路對數據加密安全性的要求。1997年RSA數據安全公司發起了一項“DES挑戰賽”的活動,志願者四次分別用四個月、41天、56個小時和22個小時破解了其用56位密鑰DES算法加密的密文。即DES加密算法在計算機速度提升後的今天被認為是不安全的。
AES是美國聯邦政府採用的商業及政府數據加密標準,預計將在未來幾十年里代替DES在各個領域中得到廣泛套用。AES提供128位密鑰,因此,128位AES的加密強度是56位DES加密強度的1021倍還多。假設可以製造一部可以在1秒內破解DES密碼的機器,那么使用這台機器破解一個128位AES密碼需要大約149億萬年的時間。(更深一步比較而言,宇宙一般被認為存在了還不到200億年)因此可以預計,美國國家標準局倡導的AES即將作為新標準取代DES。
不對稱加密算法使用兩把完全不同但又是完全匹配的一對鑰匙—公鑰和私鑰。在使用不對稱加密算法加密檔案時,只有使用匹配的一對公鑰和私鑰,才能完成對明文的加密和解密過程。加密明文時採用公鑰加密,解密密文時使用私鑰才能完成,而且發信方(加密者)知道收信方的公鑰,只有收信方(解密者)才是唯一知道自己私鑰的人。不對稱加密算法的基本原理是,如果發信方想傳送只有收信方才能解讀的加密信息,發信方必須首先知道收信方的公鑰,然後利用收信方的公鑰來加密原文;收信方收到加密密文後,使用自己的私鑰才能解密密文。顯然,採用不對稱加密算法,收發信雙方在通信之前,收信方必須將自己早已隨機生成的公鑰送給發信方,而自己保留私鑰。由於不對稱算法擁有兩個密鑰,因而特別適用於分散式系統中的數據加密。廣泛套用的不對稱加密算法有RSA算法和美國國家標準局提出的DSA。以不對稱加密算法為基礎的加密技術套用非常廣泛。
u 只有指定的接收者才能解開密文
u 經過加密解密的過程中,不會改變明文
u 每個人都能傳送密文,但是不知道是誰傳送的
