序論:速發表網結合其深厚的文秘經驗����,特別為您篩選了11篇數據加密技術范文。如果您需要更多原創資料�����,歡迎隨時與我們的客服老師聯系���,希望您能從中汲取靈感和知識!
篇1
常永亮 (飛行試驗研究院測試所 陜西西安 710089)
篇2
一�、數據庫加密應滿足的要求
由于數據庫具有數據復雜、數據的查詢操作非常頻繁且數據存儲時限相對較長等特點,所以應用于數據庫的加�、解密算法及相應的密鑰管理機制應滿足以下要求:
(1)數據庫加密系統應滿足的首要條件是保證數據的安全性。在此方面要求加密算法保證數據的保密性和完整性,防止未授權的數據訪問和修改���。
(2)數據庫中存在大量的查詢操作�,因此加解密效率要求較高�,不能引起數據庫系統的性能大幅度下降���。
(3)數據庫組織結構對于數據庫管理系統而言不能有太大的變動,應盡可能做到明文和密文長度相等或至少相當�����。
(4)由于時限較長和密鑰的復雜��,密鑰管理機制應更加安全、靈活和堅固��。
二、數據庫加密的常用辦法
數據加密技術按照實現的方法可劃分為靜態加密和動態加密�����,從實現的層次上則可分為文件級加密和存儲設備級加密�����。
(1)靜態加密與動態加密
靜態加密是指在加密期間�,待加密的數據處于未使用狀態,這些數據一旦加密����,在使用前��,需首先通過靜態解密得到明文����,然后才能使用。目前市場上許多加密軟件產品就屬于這種加密方式。
與靜態加密不同,動態加密是指數據在使用過程中自動對數據進行加密或解密操作��,無需用戶的干預�����,合法用戶在使用加密的文件前�����,也不需要進行解密操作即可使用��,表面看來,訪問加密的文件和訪問未加密的文件基本相同,對合法用戶來說�,這些加密文件是“透明的”,即好像沒有加密一樣,但對于沒有訪問權限的用戶�����,即使通過其它非常規手段得到了這些文件�����,由于文件是加密的�����,因此也無法使用���。由于動態加密技術不僅不改變用戶的使用習慣,而且無需用戶太多的干預操作即可實現文檔的安全�,因而近年來得到了廣泛的應用。
由于動態加密要實時加密數據�,必須動態跟蹤需要加密的數據流�����,而且其實現的層次一般位于系統內核中,因此����,從實現的技術角度看,實現動態加密要比靜態加密難的多�����,需要解決的技術難點也遠遠超過靜態加密。
(2)文件級動態加解密技術
在文件系統層����,不僅能夠獲得文件的各種信息��,而且能夠獲得訪問這些文件的進程信息和用戶信息等��,因此���,可以研制出功能非常強大的文檔安全產品。就動態加解密產品而言��,有些文件系統自身就支持文件的動態加解密�,如Windows系統中的NTFS文件系統,其本身就提供了EFS支持,但作為一種通用的系統�����,雖然提供了細粒度的控制能力(如可以控制到每個文件)��,但在實際應用中,其加密對象一般以分區或目錄為單位,難以做到滿足各種用戶個性化的要求����,如自動加密某些類型文件等。雖然有某些不足,但支持動態加密的文件系統在某種程度上可以提供和磁盤級加密技術相匹敵的安全性�����。由于文件系統提供的動態加密技術難以滿足用戶的個性化需求����,因此�����,為第三方提供動態加解密安全產品提供了足夠的空間���。
要研發在文件級的動態加解密安全產品,雖然與具體的操作系統有關�,但仍有多種方法可供選擇,一般可通過Hook或過濾驅動等方式嵌入到文件系統中,使其成為文件系統的一部分����,從某種意義上來說,第三方的動態加解密產品可以看作是文件系統的一個功能擴展,這種擴展往往以模塊化的形式出現�,能夠根據需要進行掛接或卸載�,從而能夠滿足用戶的各種需求��,這是作為文件系統內嵌的動態加密系統難以做到的����。
三��、數據庫加密對數據庫的影響
數據加密是通過對明文進行復雜的加密操作,進而無法發現明文和密文之間�����、密文和密鑰之間的內在關系�����,也就是說經過加密的數據經得起來自操作系統和數據庫管理系統的攻擊。但在數據庫中以密文形式存在的敏感數據無法使用數據庫管理系統的一些功能���。數據庫管理系統的功能比較完備,然而數據庫數據加密以后,數據庫管理系統一些功能將無法直接使用。
1���、加密字段不能實現索引功能���。
為了達到迅速查詢的目的,數據庫文件需要建立一些索引���。索引建立和應用必須是明文狀態����,否則將失去索引的作用。有的DBMS中可以建立索引���,這類索引也需要在明文狀態下建立、維護和使用�����。
2���、表間的連接碼字段不能加密���。
數據模型規范化以后,數據庫表之間存在著密切的聯系�����,這種相關性往往是通過局部編碼聯系的�,這些編碼若加密就無法進行表與表之間的連接運算�。
3、無法實現對數據制約因素的定義。
數據庫管理系統定義了數據之間的制約規則��。數據一旦加密���,DBMS將無法實現這一功能��,而且,值域的定義也無法進行��。
4���、密文數據無法實現SQL的排序�、分組和分類功能。
SELECT語句中的Group、Orderby����、Having子句分別完成分組、排序、分類等操作。這些子句的操作對象如果是加密數據���,那么解密后的明文數據將失去原語句的分組、排序��、分類作用�����,顯然這不是用戶所需要的。
5、SQL語言中的內部函數將對加密數據失去作用。
6����、BDMS對各種類型數據均提供了一些內部函數,這些函數不能直接作用于加密數據�����。
7��、BDMS的一些應用開發工具的使用受到限制。
DBMS的一些應用開發工具不能直接對加密數據進行操作,因而它們的使用會受到限制。
數據庫加密影響了一些數據庫管理系統的功能�,如閱讀語句中的函數、排序、分組等����,但可以通過組件技術來實現這些功能,如可采用SQL解釋器。所以說數據庫加密以后�,DBMS的一些功能將無法直接使用��,但可以在DBMS外層的SMS(安全管理系統)中增加組件來實現這些功能。
四��、結束語
數據庫是數據管理的最新技術����,是計算機科學的重要分支����。建立一個滿足各級部門信息處理要求的�、行之有效的信息系統����,也成為一個企業或組織生存和發展的重要條件�����。因此,作為信息系統核心和基礎的數據庫技術得到越來越廣泛的應用�,數據庫技術因現實的需求迅速發展����。通過研究��,人們認識到數據庫安全與保密這一領域研究的重要性和迫切性��。在數據庫安全和加密技術的研究方面,只是做了一些嘗試性的工作,許多細節有待于進一步深入�。
參考文獻
[1] 張敏等.數據庫安全[M].北京:科學出版社��,2005
篇3
中圖分類號:TP309文獻標識碼:A文章編號:1009-3044(2010)20-5448-03
Data Encryption Technology Primary Research
ZHU Hai-yan, ZHAO Xin-ping
(Fenyang Normal Scholl of Lvliang University, Fenyang 032200, China)
Abstract: With the spectacularcarrying out of information technology and application, cornucopia information security attract more and more attention. All the sensitive information on the exchange and store is encrypted or mask, to ensure that secret message was not malicious alter or malicious use. To this a security vulnerability, there are many encryption algorithm is to bring up, modify, improve or denied. However, the research of data security area will be continued and profitability. To understand the more mature algorithm and to improvethe algorithm are similarly substantial.
Key words: data encryption; cryptology; encryption algorithm
計算機工業的飛速發展使得世界范圍內人計算機用戶不斷增多,計算機網絡進一步推動了信息時代的到來����。人們在享受信息交流之方便的同時�,也遇到層出不窮的安全問題���。我們要給我們的數據穿上“防彈衣”��,防止被別人看到或惡意利用。因此,就迫切需要安全有效地保護那些機密數據不被竊取或篡改。
1 加密技術
1.1 加密技術概述
20世紀70年代���,密碼學逐步形成一門新的學科��, 它的理論基礎可以追溯到1949年Shammon寫的《保密通訊的信息理論》��?���!半娮诱铡焙汀半娮由虅铡钡奶岢鐾苿恿嗣艽a學的發展���,使得密碼學開始成為一些學科的基礎理論��。近代密碼學的研究異常熱火����,也大大地推動了它的發展進程����。
現代密碼學已發展成為集信息論�、數論����、代數、概率論���、混沌等理論于一體��,并與通信技術���、計算機網絡技術和微電子技術等科學技術緊密結合的一門綜合性學科�。――密碼編碼學 (Cryptography)和密碼分析學(Ccryptanalytic)是密碼學(Cryptology)的兩個相互對立的分支����。前者的目標是找到安全性能較高的算法和協議��,來滿足對信息進行加密或認證的要求�����。而后者的目標是破譯密碼或者偽造認證信息,實現對機密信息的竊取從而進行破壞活動�����。
當前密碼學的研究大致分成兩類:一類是基于數學密碼理論與技術��,包括公鑰密碼���、公鑰基礎設施(PKI)��、密鑰管理��、分組密碼����、序列密碼、數字標識��、認證碼、身份識別、數字簽名����、虛擬專用網(VPN)技術等����;另一類是基于非數學的密碼理論與技術����,包括量子密碼、基于光學的加密理論與技術�、基于生物特征的識別理論與技術等。
數據加密的基本思想是通過改變信息的表示形式來偽裝需要保護的信息����,使非授權者不能了解被保護信息的內容�����。明文是那些需要被偽裝的信息;加密即偽裝的過程�;密文是最終產生的結果����;密碼算法就是在加密時使用的信息變換規則����;加密者是對明文加密的人,接收者是接收明文的人�����;而破譯者則是那些利用各種手段劫取信息的人。圖1是加密通信的模型的一般示意圖����。
1) 對一個良構的加密算法最基本的要求是“保密”����,也就是說密文要具不可識別性,進一步講�,它要有較好的抗攻擊性���。第二個要求是簡單的密鑰和加密算法���,還要求注意誤差的擴散;最后要求密文不能比原來的明文更長。其實在設計加密系統時�����,加密算法是可以公開的,密鑰才是真正需要保密的��。公開了加密算法不會從根本上讓攻擊者有利可圖���。只要破譯者沒有掌握密鑰���,就不能有效地識別明文。密碼算法是相對穩定的���。從這個方面來說��,密碼算法就是一個常量�����,而密鑰則是一個變量�。從理論上來說�����,任何一個加密算法都是可以破譯的�,但是破譯者也要衡量破譯的代價是否過多,也就是說有效的密碼破譯算法能否在有限資源的條件下及有限的時間內找到�。假如破譯需要100年甚至幾千年,這樣的密碼毋庸置疑在現實意義上來說是安全的����?���?偠灾?��,一個相對來說安全的密碼即它的破譯算法所需要的計算時間和計算能力的總和超出現實的范圍,也就是現實的范圍不能滿足破譯算法所需的時間復雜度和空間復雜度���。
2) 設計加密系統時又可分為兩種方式――對稱性密鑰體制及非對稱性密鑰體制��。所謂對稱性密鑰體制就是加密與解密時都使用相同的密鑰�,而非對稱性密鑰體制則是加密與解密時使用不同的密鑰�����。非對稱性加密體制的典型代表是PGP公鑰加密與RSA加密算法。對一個加密系統來說加密密鑰(公鑰)與解密密鑰(私鑰)是兩個非相關性的概念�����。從數學理論范圍來講��,任何算法都是可逆的����,也就是說可以從算法結果導出源數據��。除了那些沒有意義的操作(如除法運算時除數為0的操作)則每一步操作的結果值都是確定。應用于加密系統的設計時的意義是設計的一個加密算法���,它是應用無意義的操作的,則把公鑰變換成為私鑰的操作是相當困難的����。因此���,想要破譯這樣的非對稱性的加密算法���,找到唯一的密鑰��,只能用窮舉法了���。一個加密體制中的密鑰可以看作是密碼算法中的可變參數�����。從數學的角度來看�����,改變了密鑰��,實際上也就改變了明文與密文之間等價的數學函數關系����,以此保證不同的密碼對應不同的密文。
1.2 傳統的加密算法
簡單的,我們可能用一些帶加密功能的軟件來加密數據。雖然我們同時掌握原文和密文的時候�����,可能破譯該加密算法,但也不是很輕松的�����;如果只知道密文則破譯者是很難識別出明文的。 計算機系統性能對一個好的加密算法來說是不會有影響的�,而且我們還能利用它的優勢��。例如��, DBMS的軟件包通常應用加密體制以禁用“復制”功能,從而保護用戶的一些敏感數據;或者需要提供用戶密碼才能使用“復制”功能。另外�����,PKZIP軟件不僅有壓縮數據的功能還有加密數據的功能���,這些功能無疑對用戶是有好處的����。
“置換表”算法是能滿足加密需求的最簡單一的種加密算法。每個數據段(通常是一個字節)對應著“置換表”中的一個值���,密文就是由這些對應值組成的�����。加密和解密時都要用到這年表����。80x86 系列CPU 中的“XLAT”的指令就是一個專門在硬件級來完成這種轉換工作的指令���。這是一個加密解密速度都很快的簡單算法,它的致命弱點是這個“置換表”的安全問題,一旦這個表被破譯者劫獲���,那這個加密方案就完全失敗了。其實這種方法在計算機出現之前就已經被廣泛的使用。如在電視劇《潛伏》中傳遞情報時所用的“密碼冊”��,也就是我們說的“置換表”�。這個“密碼冊”是一定要保管好的�����,否則后果不堪設想���。
對原來的加密算法改進的方案是我們可以按偽隨機的方式使用兩個甚至更多的“置換表”來加密。這時����,劫獲者必須做若干回正確的變換才能破譯密文�,這將會增加破譯的難度。比如,我們可以使用A表來置換明文中所有在奇數位置的數據�����,使用B表來置換所有在偶數位置的數據�。除非劫獲者確切地知道是用了幾張表來轉換的,否則即便他劫獲密文��,也很難破譯它。
另一種經常在計算機加密中使用的方案是變換數據位置�����。但是��,這樣做的代價是執行時間的增加�。這個算法的基本思想是在緩沖區中將讀入的明文重新排序再輸出就得到密文�。還原明文的解密程序則做逆運算就可以了����。一般情況下�����,我們會混合使用這個方法會和一些別的加密算法��,這樣就將大大增加破譯難度�,幾乎不可能破譯。舉個簡單的例子,通過變換字母順序��,listen 就變為silent�,組成單詞的字母既沒增加也沒減少,數據長度也沒變���,顯然這是一個成功地滿足加密要求的轉換���。
設計加密算法時可以利用計算機做字/字節循環移位和異或操作��,這會進一步加大破譯難度���。把一個字或字節在一個數據段內左移或右移����,通過這種循環移位的方法對明文加密的效率特別高。如果再使用XOR操作����,即按位做異或操作,這樣會使破譯密碼更加困難。
某些時候�,我們需要確切地知道自己的數據是否被破壞或篡改了,這時就要用到校驗碼技術�����。將這些選定的校驗碼插入到數據段中��。但是每次開始執行已加載到內存中的加密程序前�,必須檢查是否已被病毒感染���,也要檢查所有需要加密解密的文件��!顯然�����,這種工作流程是要秘密執行的,否則將會被病毒程序的編寫者利用。所以��,殺病毒軟件中必須應用加密算法。
一種比較典型的校驗數據方法就是循環冗余校驗�。它的工作原理是以數據塊為單位�,按位做循環移位和異或操作���,等到一個16位或32位的校驗和�����,如果在傳輸過程中如果丟失一位或兩位數據��,那校驗和一定會出錯�����。這種方式在文件的傳輸中已經應用了很久,如 XMODEM-CRC。 這種循環冗余校驗方法已經成為標準���,而且有詳細的文檔。
1.3DES加密算法
1977 年美國國家標準局公布了IBM 公司的一種數據加密算法,定名為DES( Data Encryption Standard數據加密標準)。
DES是一種分組密碼���。其主要思想是:
假設明文P 是 由0�����、1代碼組成的長度為64 比特的符號串,密鑰k 也是64 比特的0,1代碼 。記
P=P1P2P3……P64
k=k1k2k3……k64
其中
Pi,ki=0 或1 (其中i=1,2,……,64)
DES 加密過程表達如下:
DES ( P ) =W -1. T16 . T15…… T1. W (P)
W 是初始變換, W -1是它的逆變換,
T16 , T15 ,……, T1是變換�����。
DES 解密過程表達如下:
DES =W.T1.T2……T16 .W
可以證明這兩個式子是成立的:
DES-1(DES(P))=P
DES(DES-1 (P))=P
如:
明文: computer
密鑰: program
用ASCII碼表示為:
P=01100011 01101111 01101101 01110000
01110101 01110100 01100101 01110010
k =01110000 01110010 01101111 01100111
01110010 01100001 01101101
最后結果, 密文
01011000 10101000 00000110 10111000
01101001 111111110 10101110 00110011
(以上詳細計算過程請參考相關書籍)
DES 加密方法最大特點是加密密鑰與解密密鑰是相同���。顯然, 密鑰必須通過秘密的方式傳遞,存儲時也需要特別注意安全問題����。在實際過程中��,這會帶來很多的問題�����。如, 假設現有n 個用戶, 則他們所需要的密鑰個數是:C(n,2)=n/2*(n-1)
當 n=1000 時,C(1000,2)約500000(50 萬)。
這么多的密鑰,管理起來是很麻煩的�。
1.4 RSA加密算法
目前�,RSA加密體制是理論上最為成熟的一種公鑰密碼體制。廣泛應用于數字簽名��、密鑰管理和認證等方面��。
RSA加密體制的核心思想是公鑰和私鑰的產生要借助于兩個較大的素數����。劫獲公鑰后想通過因數分解得到私鑰的破譯算法,運算復雜度超出現實范圍,是不可行的��。運行RSA加密算法本身也需要很長的時間��,因此�,RSA算法不適合加密大量的數據段。 通?��,F實中的加密算法都是基于RSA加密算法的。如用對稱加密算法來加密數據����,用RSA算法加密密鑰�����。只要這個密鑰是隨機產生的,而且沒有泄密出去���,如果想得到這個密鑰,只能通過私鑰來解密�����。
假設現在要使用密鑰“secret”加密一些數據。使用RSA公鑰加密這個密鑰,并把它放在明文中�����。為了區分數據和密鑰,通常要加上特殊的符號。然后��,加密正文使用的是對稱加密算法,密鑰就是“secret”。當接收者收到密文時��,解密程序要先從密文中提取出密鑰�,然后用RSA私鑰將它解密,接下來就可用密鑰“secret”來解密數據了���。數據這樣通過可靠高效的加密之后就能進行安全地傳輸和解密。
可利用下面的站點參考一些簡單的基于RSA算法的加密算法:
ftp://ftp.funet.fi/pub/crypt/cryptography/asymmetric/rsa
1.5 多步加密算法
大約10年前公布的一種新的加密算法――多步加密算法�,安全級別很高�����。
這個算法的基本過程是�����,第一步用一個128位的密鑰生成一個隨機數字序列����,使用這個隨機數序列來生成密碼轉換表�����。由于開始時的數字序列具有重復和隨機的特點���,可以保證這個轉換表的隨機性��,表中是256個介于0~255之間的數字。第二步在一個矩陣把256個隨機數進行排序�。這個表中其余的數是由隨機數產生器來生成的���,這樣得到不同的多張表�。然后利用“shotgun technique”技術來生成解碼表�����。
顯然,開始的那個數據需要一個“種子”才能正常進行加密����,而這個“種子”將會使密文的長度增加����?;蛘?��,可以那個128位的密碼,或是它的CRC校驗和�。
加密時可以使用Fibonacci數列來產生偽隨機序列��,而種子是一個64位的數,與第三個雙字做異或操作。
這種多步加密算法每一步加密都與上一步的數據有關,這樣會增加密文的長度�。另外,加密時所用的第一個“種子”對整個解密過程是相當重要的��,要保管好��。
1.6 其它加密算法
近年來�,混沌理論的應用和生物學理論的發展�,產生了混沌密碼學及基于生物特征的人工神經網絡加密方法。
混沌密碼學是一個交叉學科的研究領域�,它綜合應用了混沌理論、密碼學��、通信工程等方面的理論���?;煦缑艽a學具體的研究有混沌信號的狀態空間重構����、混沌序列的頻譜分析�����、混沌吸引子維數的提取、李雅普諾夫指數的算法等研究���;同時也有直接服務于混沌密碼學的應用研究,如混沌生成及其模型的建立�����、混沌信號的處理以及混沌信號在工程中的應用。這些研究內容相互聯系,相互支持�,混沌算法理論方面的研究為應用研究提供理論基礎,而服務于應用的研究又對混沌算法理論方面不斷地提出研究課題,從而對其起到巨大的推動作用����。
基于生物特征的人工神經網絡方法在數據加密中的應用已初見端倪����。利用人體在身材、指紋����、唇印、口音、腳步聲����、體味、視網膜、血型���、遺傳因子�����、筆跡等方面的唯一性來確保身份的唯一性����。
這種新型的數據加密方法有如下幾個特點:1) 范圍廣泛:能快速實現任何的非線性變換來滿足各種加密算法��。2) 較高的靈活度:可以靈活地選擇密鑰及密鎖。3) 安全級別高:要破解具有極高復雜性的密鎖與密鑰�,所需的計算空間復雜度和時間復雜度相當可觀,故具有較高的安全級別����。
2 結論
在現實生活中�����,信息作為一種資源�����,在社會生產�����、生活中的作用日益顯著����,信息安全問題已成為信息化社會的焦點與難點,而數據加密技術則是信息安全的一個核心問題����。隨著計算機科學技術的發展,信息和信息技術對密碼學提出了越來越高的要求,各種加密算法陸續的被提出����、應用�、否定和改進����。
數據加密領域的研究將會不斷更新和改進的�。
參考文獻:
[1] 胡予濮,張玉清,肖國鎮.對稱密碼學[M].北京:機械工業出版社,2002.
[2] 馮登國.密碼分析學[M].北京:清華大學出版社,2000.
篇4
隨著計算機在社會各個領域的廣泛應用��,人們對信息系統的依賴程度越來越高,數據庫在計算機和軟件開發領域的作用是至關重要。數據庫系統負擔著客戶端對數據信息的訪問控制和存儲管理的任務���,數據庫中的數據(包括一些機密數據)一般以明文的形式保存。關鍵數據以明文的形式在數據庫中存儲使數據庫的安全性降低��,通過對數據庫中關鍵字段的加密可以提高其安全性。
一、加密層次的選擇
可以考慮在3個不同層次實現對數據庫數據的加密�����,這3個層次分別是OS����、DBMS內核層和DBMS外層。
第一�����,從操作系統的角度來看OS層位于DBMS層之下����,所以無法辨認數據庫文件中的數據關系����,也就無法合理地產生��、管理和使用密鑰�����。因此�,在OS層對數據庫文件進行加密����,對于大型數據庫來說����,目前還難以實現。
第二�����,DBMS內核層加密是指數據在物理存取之前完成加解密工作。這種方式的優點是加密功能強�����,并且加密功能幾乎不會影響DBMS的功能����;缺點是在服務器端進行加解密運算���,加重了數據庫服務器的負載,并且因為加解密是在DBMS內核中完成���,就勢必需要數據庫供應商對其進行技術支持�,這一點不容易實現。
第三����,DBMS外層實現加密的優點是可擴充性強,數據庫的加解密系統可以做成一個獨立于DBMS的平臺��,不需要數據庫供應商進行技術支持����,并且可以將加密密文直接在網上傳輸��;缺點是數據庫的功能和查詢效率會受一些限制。
根據以上理論得出��,應用程序的數據通過數據庫加密接口轉換成相應的密文保存在數據源中�;當應用程序需要調用數據源時�����,通過數據解密模塊將相應的密文轉換成原本的數據。這樣�,即使其他非法用戶竊取數據庫文件他們也只能得到密文無法得到有意義的明文,從而提高數據庫的安全性。
數據庫加密系統分成兩個功能獨立的主要部件:一個是加密字典管理程序�����,另一個是數據庫加解密引擎。按以上方式實現的數據庫加密系統具有很多優點:首先�,系統對數據庫的最終用戶是完全透明的�����,管理員可以根據需要進行明文和密文的轉換工作;其次�,加密系統完全獨立于數據庫應用系統����,無須改動數據庫應用系統就能實現數據加密功能����;再次,加解密處理在客戶端進行����,不會影響數據庫服務器的效率。
二����、加密算法
數據庫加密技術的安全很大程度上取決于加密算法的強度,加密算法直接影響到數據庫加密的安全和性能����。因此,加密算法的選擇在數據庫加密方案中也顯得舉足輕重�。選擇算法主要指標是安全和便于使用。
安全的算法是可靠的算法���。一個算法要可靠應該至少滿足這樣一些條件:首先����,核心加密必須公認可靠��,如DES和RSA算法�����,他們經過二十多年的考驗、鑒定����,數人攻擊而無人承認攻破;加密算法復雜度����,主要是解密算法的復雜性要強��,事實證明,僅靠對算法保密是不安全的��,因為軟件加密可以通過反匯編可執行程序來發現�����;另外加密算法必須支持足夠長的密鑰�����,加密算法的實現必須可靠����,這樣才能具有較強的抗分析破譯能力。
三、數據庫加密與操作系統的關系
數據庫管理系統是建立在操作系統的平臺上,數據庫管理系統的安全離不開操作系統的安全�����,沒有操作系統的安全,就不能真正解決數據庫的安全���。作為加強數據庫安全技術之一,數據庫加密,必須依賴操作系統自身的安全���。如數據以加密形式存儲于數據庫中���,一旦訪問這些加密數據����,往往需要把它們調入內存并解密��。這時�,如果內存的安全得不到保障�,那么這些數據就可能被攻擊者竊取,即使再好的加密方法也是無效的����。而內存的安全問題通常由操作系統解決���。典型的�,操作系統提供的安全機制有:
第一�,訪問控制機制���。操作系統提供了訪問控制機制,用來標識、鑒別、審核用戶�����,只有通過認證的用戶才能根據授權訪問特定的數據�。但是�,操作系統中的對象一般是文件系統�,粒度較粗����。而數據庫需要處理更為精細粒度的數據���,如記錄�����、字段值,所以,數據庫管理系統也提供了訪問控制機制��,以便更好控制數據庫中數據的訪問。數據庫加密和數據庫訪問控制室兩種不同的安全措施,二者不可互相替換。
數據庫加密以犧牲性能為代價��,并且不能提供靈活的訪問控制。因此,數據庫中的數據加密后��,一方面應該對特權用戶(DBA,SA)的訪問進行限制���,使只有經過授權的用戶才能訪問密文數據�,為數據增加進一步的保護;另一方面也不能單純為了安全性而通過分配密鑰控制數據庫的訪問,因為這樣極大地犧牲了系統性能��,破壞了安全性和可用性的平衡��,并且失去了靈活的控制策略。
加密技術和訪問控制技術是兩種不同的安全措施�����,可以這么說,如果訪問控制是保護數據庫的第一道防線���,那么加密技術就是進一步保護數據庫的第二道防線��,有了加密技術的保護�,數據庫更加安全��。二者的結合,可以對數據庫數據進行深度的保護�����。
第二�����,內存保護�。在多道程序運行的系統中,需要對緩沖區中的各用戶(私人)空間采取隔離措施,使之不要互相干擾��。用戶進程一旦退出����,應當及時清空用戶數據���。
第三,提供最小特權管理�����。操作系統提供了最小特權管理���,不給用戶超過執行任務所需要特權以外的特權����,使特權用戶(如系統管理員)只具有完成其任務所需要的特權����,盡量減少誤操作、惡意操作���、特權用戶口令丟失所引起的損失���。
篇5
中圖分類號:TP311 文獻標識碼:A 文章編號:2095-1302(2016)03-00-02
0 引 言
近年來,網絡信息技術不斷發展����,同時基礎網絡建設和應用系統開發也日益完善和成熟��,但是信息安全問題卻逐漸凸現出來�,影響到了人們的正常生活���,對社會穩定存在著嚴重的負面影響���。在信息技術時代����,數據庫信息的安全性顯得尤為重要,因此人們對數據庫加密技術的應用和研究變得越來越重視����,而對于數據庫加密技術的應用研究就變得非常有意義。
1 數據加密技術概述
1.1 數據加密技術的含義
在信息安全領域�,為了保證信息安全�,同時保持信息系統資源的完整性�、可用性和機密性����,我們需要一種手段來限制非授權用戶對于信息的讀取、查看和修改��,數據加密技術就是這樣的一種手段��。在信息技術時代,信息安全變得越來越重要,若信息安全��,則可以使團隊和個人受益;若信息安全存在隱患�,則會對人們構成威脅����,嚴重影響社會的發展和穩定�。數據加密技術廣義上來講非常簡單��,便于理解�,這種技術可以對數據進行加密����,若缺乏某種解密手段則無法對信息進行查看和修改���。因此數據加密和數據解密的聯系非常緊密���,是不可分割的一個整體。數據加密技術起源于古代的密碼學����,其核心技術是加密算法,加密算法產生的密文頻率平衡�����,隨機無重碼規律,周期較長且沒有重復現象����,這樣竊密者很難讀取或者查看信息���,因此信息安全得到了很大的保障。隨著數據加密技術的不斷發展,其應用領域也越來越廣�,應用范圍逐漸涉及到人們生活的各個方面�����。
1.2 幾種常見的數據加密算法
加密技術主要包含兩方面內容���,分別為對稱密鑰技術和非對稱密鑰技術��。對稱密鑰技術主要要求加密和解密雙方密鑰相同�,而非對稱密鑰技術與之相反�����,其要求解密和加密的密鑰不能相同����。目前來說�����,這兩種技術都得到了廣泛的應用,但兩者各有優劣。對稱加密技術具備著非對稱加密技術不具有的優勢,即加密和解密速度較快�����,因此在一般的數據信息安全方面����,對稱加密技術應用較為廣泛。加密流程如圖1所示���,密碼系統的核心部分是加密算法和解密算法��,兩者的密鑰對于整體的數據加密具有重要意義。對稱和非對稱加密技術的區別在于加密密鑰和解密密鑰的不同對于信息安全的保障程度也不盡相同��。對稱加密技術中DES密碼算法是一種較為典型的加密算法����,具有相當高的復雜性���,對于數據信息安全也有著很高的保護作用���。另外��,由于加密和解密速度較快�、簡單經濟��、運行有效����,這廣泛應用于不同領域����。RSA密碼算法是非對稱加密技術的典型����,在各個領域中也有著較為廣泛的應用����,由于其運算非常復雜���,故對數據安全有著很高的要求�,因此對于一些重要的信息和數據大多采用RSA密碼算法。無論是對稱加密技術還是非對稱加密技術,都是為了保護信息安全而采用的手段��,對于信息安全來說���,每一種加密技術都應該物盡其用�,保證數據信息的安全�。
2 數據庫中的數據加密技術
2.1 傳統的加密技術
加密系統的體系結構如圖2所示。加密系統的體系結構復雜而且聯系較為緊密���,在不影響數據準確性的前提下,保證數據信息的安全性�����、真實性和完整性�����,需要從系統整體入手,而傳統加密技術針對數據信息安全性的不同需求,實現時應采用不同的方法��。傳統的加密技術由基于文件的數據庫加密技術�����、基于記錄的數據庫加密技術���、子密鑰加密技術、基于字段的數據庫加密技術以及秘密同態技術組成���。基于文件的數據庫加密技術�����,主要是把數據庫信息作為一個系統整體,利用加密算法進行加密����,在保證數據信息真實性和完整性的同時���,又很好地保證了信息的安全性���。但是這一方法有很多缺陷,比如數據存儲和修改時程序復雜繁瑣�,信息讀取比較麻煩���,使得信息安全存在一定隱患����?��;谟涗浀臄祿旒用芗夹g主要特點是其數據信息的封閉性。一般而言,加密的數據信息是一個獨立完整的整體���,因此����,它具有很高的安全性,得到了廣泛應用���。子密鑰加密技術具備其他加密方法不具備的優勢,它可以對單個數據進行加密和解密�,解決了記錄所存在的問題,但同時也造成了加密和解密工作繁瑣的問題�����?���;谧侄蔚臄祿旒用芗夹g��,其根本內容是以記錄不同字段的方法來組成基本加密單元的加密手段。它不僅具有較小的加密粒度���,同時還可以對單個數據進行加密�����,具有很好的適應性和靈活性���。秘密同態技術不同于其他幾種加密方法���,它可以對形成的密文數據庫進行操作��,具有一定的優勢����。
2.2 針對數值型數據的保存順序加密技術
隨著信息技術的發展���,加密技術逐漸成為了保護數據信息安全性和完整性的重要手段,但就目前而言,傳統加密技術還存在一定的不足���,因此針對數值型數據的保存順序加密技術逐漸得到人們的重視���,慢慢應用于各個領域。同傳統加密技術類似��,這種加密技術也是從加密系統體系結構入手����,但直接應用在加密數據上,不用解密操作數����。目前來說,OPEC是一種較為常見的數值型數據保存順序的加密方案����,它在對數據信息查詢和處理時具有很高的安全性和準確性,同時還可以及時的進行處理和更新數據�����,在實際應用中具有一定優勢�����。相較而言,這種加密技術對于數據信息的安全和保密具有非常重要的意義�,而且具有很好的加密和解密速度�,解決了其他幾種加密技術存在的問題��。但是這種加密技術存在一定的局限性,還不能完全應用秘密同態技術�,同時密鑰管理也存在一定的缺陷,因此對于這種加密技術的應用要綜合各種因素來進行����。
3 數據庫加密技術的應用研究
3.1 數據庫加密需求
3.1.1 數據加密的安全性需求
由于數據信息的特殊性��,數據信息往往涉及到很多方面�����,對于人們的正常生活和社會穩定有一定的影響��。因此在進行數據庫加密時�,要充分考慮到數據信息的安全性。同時����,由于數據信息讀取和查看的權限���,對于那些未經授權的用戶要嚴格禁止查看和讀取�����,因此密鑰管理就顯得尤為重要。
3.1.2 數據查詢的效率需求
對于數據庫來說,信息數據的讀取和查詢是數據庫系統的重點和難點���。一般而言,數據庫進行加密后�,由于加密算法��,數據信息已經不便查詢��,這樣降低了加密數據庫的數據查詢率��。為了保障數據查詢的效率需求���,對于數據庫中的數據信息查詢要給予足夠的重視���。針對數據查詢的效率需求�����,我們要選擇合適的加密算法和解密算法,從而滿足數據查詢的效率需求�。
3.1.3 數據庫未經授權修改的防范需求
數據庫數據的安全性不僅體現著數據的完整性���,同時還應保證數據的準確性。因此在數據庫信息數據加密和解密過程中��,要保證數據庫中的數據不被未經授權的用戶修改�。目前來說���,由于數據庫加密和解密過程存在漏洞����,因此數據信息的準確性有時很難得到保證�����,對數據信息安全構成了巨大的威脅。因此��,在進行數據庫數據信息加密時�����,要注意數據的防竊����,限制管理員的權利可以在一定程度上保證數據信息的準確性和安全性��。
3.2 數據庫加密系統設計考慮因素
3.2.1 數據庫加密層次需要考慮的因素
針對數據庫加密來說�,我們可以考慮從操作系統�����、DBMS內核層以及DBMS外層進行數據庫內數據信息的加密���。目前而言����,在操作系統進行數據加密具有一定的難度����,它無法辨認數據庫文件的數據關系,對于密鑰的使用和管理也就沒有保證�����,因此實現從操作系統的加密具有一定的難度。若要實現DBMS內核層的加密�����,則需要考慮在此種形式下加密模塊的標準化����。由于其加密和解密的獨立性����,造成了負載過大的現象�����,另外由于相關技術還未成熟�����,實現這一層次的加密也有一定的難度���。DBMS外層的加密��,由于其可擴充性強,而且加密系統和解密系統獨立存在���,因此用戶應用較為便捷�����,但是也有一定的限制���,比如數據查詢效率較低����。
3.2.2 加密粒度的選擇
數據庫加密的粒度一直是數據庫加密技術的難點���,對于數據信息的安全性和準確性有著重要的影響��。一般而言���,數據庫加密粒度主要有表、記錄和數據項這三種���。顧名思義�����,表加密是在表一級進行加密����,其加密對象是整個表�����,但是這種加密方式有著一定的限制��,不適于數據庫的加密�。而記錄加密是在表一級上進行加密�,其操作對象是數據庫中的記錄數據�����,但其靈活性受到了限制。數據項加密則是針對數據庫中的數據項進行加密����,這種加密方法具有很好的安全性和靈活性,但是相對而言��,它較為繁瑣和復雜���,操作上具有一定的難度����。
3.3 數據庫密鑰管理
圖3所示為數據庫密鑰管理示意圖,從圖中可以看出����,加密數據庫的密鑰對于數據庫加密技術具有非常重要的作用。一般而言���,加密數據庫由密文����、明文以及密鑰組成��,密鑰是整個數據庫加密技術的核心��,因此密鑰管理就變得尤為重要。建立科學合理的密鑰管理機制是非常有必要的���,在保證數據信息安全和準確的同時,設計一種安全便捷的密鑰管理機制����。針對數據庫的密鑰管理�,一級密鑰系統和二級密鑰系統要采取不同的管理機制���。目前來說,數據庫密鑰管理大多基于“可信第三方”��,這種管理機制較為靈活��,而且具有有效的抵御機制,但存在一定的安全隱患����?�?傮w來說����,針對不同的情況建立科學合理的密鑰管理機制對于數據庫加密技術的應用具有很重要的意義�����。
4 結 語
隨著信息技術的發展����,數據庫系統的建立變得越來越普遍�,因此數據庫信息的安全問題也慢慢引起了人們的重視�。針對數據庫信息數據的安全問題��,數據庫加密技術的應用變得越來越廣泛,人們對于其研究也越來越深入。保護數據庫信息數據的安全性和完整性�����,對于社會的穩定和發展有著重要的意義,因此我們要給予足夠重視�����,加強數據庫加密技術的應用和研究�。
參考文獻
篇6
關鍵詞: 信息數據 安全 加密技術
當前形勢下�,人們進行信息數據的傳遞與交流主要面臨著兩個方面的信息安全影響:人為因素和非人為因素。其中人為因素是指:黑客�����、病毒、木馬、電子欺騙等��;非人為因素是指:不可抗力的自然災害如火災����、電磁波干擾����、或者是計算機硬件故障、部件損壞等���。在諸多因素的制約下����,如果不對信息數據進行必要的加密處理,我們傳遞的信息數據就可能泄露��,被不法分子獲得,損害我們自身以及他人的根本利益�����,甚至造成國家安全危害��。因此,信息數據的安全和加密在當前形勢下對人們的生活來說是必不可少的,通過信息數據加密����,信息數據有了安全保障���,人們不必再顧忌信息數據的泄露����,能夠放心地在網絡上完成便捷的信息數據傳遞與交流。
1 信息數據安全與加密的必要外部條件
1.1 計算機安全�。每一個計算機網絡用戶都首先把自己的信息數據存儲在計算機之中,然后���,才進行相互之間的信息數據傳遞與交流����,有效地保障其信息數據的安全必須以保證計算機的安全為前提���,計算機安全主要有兩個方面包括:計算機的硬件安全與計算機軟件安全����。1)計算機硬件安全技術�����。保持計算機正常的運轉���,定期檢查是否出現硬件故障�,并及時維修處理���,在易損器件出現安全問題之前提前更換�,保證計算機通電線路安全,提供備用供電系統����,實時保持線路暢通。2)計算機軟件安全技術���。首先�����,必須有安全可靠的操作系統���。作為計算機工作的平臺,操作系統必須具有訪問控制�、安全內核等安全功能�����,能夠隨時為計算機新加入軟件進行檢測,如提供windows安全警報等等���。其次��,計算機殺毒軟件�,每一臺計算機要正常的上網與其他用戶交流信息���,都必須實時防護計算機病毒的危害,一款好的殺毒軟件可以有效地保護計算機不受病毒的侵害�。
1.2 通信安全。通信安全是信息數據的傳輸的基本條件�����,當傳輸信息數據的通信線路存在安全隱患時,信息數據就不可能安全的傳遞到指定地點����。盡管隨著科學技術的逐步改進�����,計算機通信網絡得到了進一步完善和改進����,但是����,信息數據仍舊要求有一個安全的通信環境。主要通過以下技術實現����。1)信息加密技術��。這是保障信息安全的最基本����、最重要����、最核心的技術措施�。我們一般通過各種各樣的加密算法來進行具體的信息數據加密,保護信息數據的安全通信。2)信息確認技術����。為有效防止信息被非法偽造����、篡改和假冒,我們限定信息的共享范圍,就是信息確認技術�����。通過該技術,發信者無法抵賴自己發出的消息���;合法的接收者可以驗證他收到的消息是否真實;除合法發信者外�����,別人無法偽造消息。3)訪問控制技術�。該技術只允許用戶對基本信息庫的訪問����,禁止用戶隨意的或者是帶有目的性的刪除�、修改或拷貝信息文件��。與此同時,系統管理員能夠利用這一技術實時觀察用戶在網絡中的活動���,有效的防止黑客的入侵���。
2 信息數據的安全與加密技術
隨著計算機網絡化程度逐步提高����,人們對信息數據傳遞與交流提出了更高的安全要求,信息數據的安全與加密技術應運而生����。然而��,傳統的安全理念認為網絡內部是完全可信任����,只有網外不可信任,導致了在信息數據安全主要以防火墻���、入侵檢測為主�����,忽視了信息數據加密在網絡內部的重要性��。以下介紹信息數據的安全與加密技術��。
2.1 存儲加密技術和傳輸加密技術���。存儲加密技術分為密文存儲和存取控制兩種����,其主要目的是防止在信息數據存儲過程中信息數據泄露��。密文存儲主要通過加密算法轉換��、加密模塊、附加密碼加密等方法實現����;存取控制則通過審查和限制用戶資格、權限�����,辨別用戶的合法性,預防合法用戶越權存取信息數據以及非法用戶存取信息數據���。
傳輸加密技術分為線路加密和端-端加密兩種,其主要目的是對傳輸中的信息數據流進行加密�����。線路加密主要通過對各線路采用不同的加密密鑰進行線路加密�,不考慮信源與信宿的信息安全保護�。端-端加密是信息由發送者端自動加密���,并進入tcp/ip信息數據包�����,然后作為不可閱讀和不可識別的信息數據穿過互聯網���,這些信息一旦到達目的地,將被自動重組����、解密,成為可讀信息數據��。
2.2 密鑰管理加密技術和確認加密技
術。密鑰管理加密技術是為了信息數據使用的方便,信息數據加密在許多場合集中表現為密鑰的應用����,因此密鑰往往是保密與竊密的主要對象��。密鑰的媒體有:磁卡�、磁帶���、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生����、分配�、保存�����、更換與銷毀等各環節上的保密措施�。網絡信息確認加密技術通過嚴格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息確認方案應該能使:合法的接收者能夠驗證他收到的消息是否真實�����;發信者無法抵賴自己發出的消息;除合法發信者外����,別人無法偽造消息;發生爭執時可由第三人仲裁����。按照其具體目的,信息確認系統可分為消息確認�、身份確認和數字簽名�。數字簽名是由于公開密鑰和私有密鑰之間存在的數學關系�,使用其中一個密鑰加密的信息數據只能用另一個密鑰解開�。發送者用自己的私有密鑰加密信息數據傳給接收者��,接收者用發送者的公鑰解開信息數據后���,就可確定消息來自誰��。這就保證了發送者對所發信息不能抵賴��。
2.3 消息摘要和完整性鑒別技術���。消息摘要是一個惟一對應一個消息或文本的值����,由一個單向hash加密函數對消息作用而產生�。信息發送者使用自己的私有密鑰加密摘要��,也叫做消息的數字簽名���。消息摘要的接受者能夠通過密鑰解密確定消息發送者����,當消息在途中被改變時��,接收者通過對比分析消息新產生的摘要與原摘要的不同����,就能夠發現消息是否中途被改變。所以說,消息摘要保證了消息的完整性���。
完整性鑒別技術一般包括口令��、密鑰����、身份(介入信息傳輸�����、存取��、處理的人員的身份)、信息數據等項的鑒別����。通常情況下�����,為達到保密的要求�,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對信息數據的安全保護。
3 結束語
綜上所述�����,信息數據的安全與加密技術,是保障當前形勢下我們安全傳遞與交流信息的基本技術���,對信息安全至關重要。希望通過本文的研究��,能夠拋磚引玉�����,引起國內外專家的重視���,投入更多的精力以及更多的財力���、物力來研究信息數據安全與加密技術�����,以便更好的保障每一個網絡使用者的信息安全��。
參考文獻:
[1]曾莉紅�����,基于網絡的信息包裝與信息數據加密[j].包裝工程���,2007(08).
篇7
計算機技術被廣泛運用��,安全問題便成為了社會大眾最為關心的問題����。因為當前計算機與互聯網技術的不斷創新����,無論是在生活����,還是在工作中���,都為人們的生活帶來了極大便利。但是帶來方便的同時也出現了一些問題��,在應用計算機時最為關注的問題就是計算機信息數據的安全問題��,在如今這個信息多元化的社會中,若是計算機信息數據被外泄或是盜用��,會給單位或是企業帶來極大的損害���。因此需要大力探究計算機信息數據安全的影響因素,從而針對于問題進行優化與解決����。
1對計算機信息數據安全造成影響的因素
1.1人為因素
眾所周知����,計算機技術主要操作者還是社會群眾��,因此社會群眾在計算機信息數據安全中處于一個極為主要的位置���。人為因素的表現形式是多元化的,表現在信息詐騙�、計算機病毒����、黑客入侵等,利用這些方法來獲取計算機中的信息數據�����,通常情況下,出現這樣問題的主要根源是因為人為管理意識的隨意性����,導致在進行防控時往往處在被動方�。
1.2非人為因素
排除人為因素以后��,另一方面就是非人為因素�,非人為因素主要是因為計算機本身的問題����。計算機雖然屬于一種新興設備,但是其本質依舊是一臺機器�,凡是機器就會有怠工的時候或是出現問題的時候,這其中包含了計算機的硬件問題���、電磁波的干擾等����?��?傮w而言����,這些非人為因素都會或多或少的影響計算機信息數據的安全。所以���,社會群眾在平時應用計算機的時候,可以針對于非人為因素做一些防范措施��,來保障計算機信息數據的安全�����。
2計算機信息數據安全中的加密技術
2.1傳輸加密與存儲加密技術
2.1.1傳輸加密技術
傳輸加密��,顧名思義是指在計算機對信息數據進行傳輸過程中采用特殊加密的方式��,來保障傳輸過程中的信息數據的安全性。一般情況下��,可以將傳輸加密分為兩種傳輸方式,其中包含了線路加密與點對點加密���。線路加密主要是指對信息發出者與信息接受者對傳輸線路進行加密處理��,保障傳輸線路只有得到密鑰的基礎上才可以被利用;而點對點加密主要是指信息發出者在信息發送之前對信息數據開展加密處理,通過不可識別或是不可閱讀的信息數據包發送給信息數據的接收者����,再由信息接收者對這個信息數據包進行解碼,使其轉換為可閱讀的信息數據���,之后再被接收者利用,以此來保障信息傳輸過程的安全�。一般用戶應用的傳輸加密方式最多的是點對點���,利用線路加密比較少���,但不管是點對點還是線路���,都是為了確保計算機信息數據子啊進行傳輸時的安全。
2.1.2存儲加密技術
所謂存儲加密主要是對計算機的信息數據在進行儲存時對其進行加密�����,來確保計算機信息數據在存儲過程中是安全的。依據不同的實現方法��,又可以對存儲加密進行劃分�����,其中包含了密文存儲和存取控制這兩方面,密文存儲主要是利用加密轉化法或是加密模塊來對計算機的信息數據安全進行保障�,而存取控制主要是對用戶的合法性進行辨別以及對不同的用戶權限進行限定,來確保計算機信息數據安全���。無論是密文存儲還是存取控制�����,都會切實確保計算機信息數據的安全�����,保障信息數據不被外泄�����。
2.2確認加密與密鑰管理加密技術
2.2.1確認加密技術
確認加密主要是指對計算機信息數據的共享范圍實施控制,進而保障信息數據安全���,以此來防范計算機信息數據被篡改或是偽造,規避一些不良后果�,確認加密技術可以保障接收者對信息數據的正確性進行確認,從而防范信息數據的發出者出現抵賴現象���,同時還可以規避信息數據被偽造或是篡改��。確認加密技術通常包含了消息確認����、數字簽名等��。
2.2.2密鑰管理加密
在對計算機信息數據進行加密時��,密鑰的存在是一個不可或缺的構件。因此對密鑰進行管理是極為重要的�,它主要會運用到保存密鑰�����、銷毀密鑰����、生成密鑰等�����。通常情況下����,密鑰的儲存媒介有很多��,其中最為典型的是磁盤���、存儲器等����,通過對存密鑰的存儲媒介進行加密��,來保障其銷毀密鑰����、生成密鑰的數據安全,進而確保計算機信息數據安全�。
2.2.3消息摘要和完整性鑒別技術
消息摘要顧名思義是指一個與消息或是文本相對應的值,它通過Hash加密函數���,對計算機信息數據的作用進行加密的一種技術�����。信息發出者在發送之前需要對信息摘要進行加密����,確保信息接受者在接收到信息時可以密鑰進行解密���,向信息發出者進行核對��,對信息摘要的一致性進行確認��,確保計算機信息數據在傳輸過程中未出現改變����。完整性鑒別技術是一套健全的鑒別系統����,其中包含了身份����、密鑰、口令�、數據信息等�����。當完整性鑒別系統運作時,所有被要求傳輸的參數都要進行完整性鑒別����,在進行鑒別時所輸入的數值與事先設定水溫值收否相同,進而對計算機信息數據安全進行有效保護�。
3結束語
綜上所述����,因為我國科學技術的不斷發展�����,使當前的互聯網技術越來越完善�,對于計算機信息數據安全造成影響的因素有很多�,隨著科技的發展����,信息數據的安全也受到了一定沖擊����,所以,需要做到與時俱進�����,對計算機信息數據安全的保障技術進行不斷研發��,創新出適應當下計算機發展的保護技術�����,進而保障計算機信息數據的安全��。
作者:王春旭 單位:貴州大學明德學院
參考文獻:
篇8
(一)數據庫加密的概念闡述
數據庫中的數據加密是指通過采用一定的技術手段,確保數據在傳輸和存儲過程中的有效性����,它包括加密和解密兩個過程��。加密技術是指通過一定的數據編碼將數據庫中的數據和信息(明文)轉換成外部人員不可識別的內容(暗文)的過程。解密技術是指將從數據庫中獲得的認可的密文(暗文)轉換為數據和信息(明文)的過程����。整個加密系統包括加密和解密兩個部分����。具體的加密過程如下圖所示:
數據庫的密碼加密在于設定明文和暗文�,加密系統需要按照一定的順序來進行,即按照從頭到尾的順序���,但是解密系統不能按照這個順序進行����,數據庫的使用過程中不可能以數據庫文件為單位進行加密,當符合檢索條件的記錄被檢索出來后�,就必須對記錄迅速解密。
(二)數據庫加密技術系統的特性分析
數據庫加密技術系統尤其自身的功能����,具體來說包括如下幾方面的特性���。一是認證身份信息。使用者在使用過程中不但要提供口令和用戶名外�,還要提供進入系統所需要的安全密鑰����。二是數據庫自身加密��。在數據庫系統中使用者可以根據信息的保密程度對信息和數據進行加密等級的設定���,對于敏感程度高的要提高其數據庫訪問速度����。三是存儲過程中的加密。在數據庫當中對于不同的數據記錄�、不同的字段名稱要采用不同的密鑰加密的形式,即確保數據庫每一項的存儲加密���,保證數據信息不被修改��。四是傳輸過程中保密性的實現�����。在訪問數據庫過程中�����,要保證一次一加密的實現,這樣能夠防止數據庫信息和數據的篡改和重復��。五安全備份��。對于系統提供數據庫���,要有效實現其備份功能��,即明文備份和密鑰備份�。
(三)數據庫系統的安全要求
數據庫系統是信息安全的重要組成部分,它在使用的過程中有一定的安全要求�,這與信息安全的整體需求是相似的�����。具體來說�,數據庫系統的安全要求可以包括如下幾個方面:一是數據的完整性����,數據庫形同的完整性是指數據庫中的信息要確保其相容性�、可用性�、一致性和正確性�。二是數據的保密性,數據庫中的任何信息都要設定相應的訪問權限�����,并對訪問權限設定等級��,保證沒有訪問權限的用戶不能訪問和使用數據。三是數據的可用性��。數據的可用性指任何授權用戶的正常操作必須接受���,同時又能保證人機交互友好���,系統運行效率正常����,換句話說,任何授權用戶要獲取數據時應當立即可以獲得���。
二����、數據庫加密技術的設計
(一)數據庫加密的層次設計
數據庫加密的層面分多種,有在系統中加密��、DBMS 內核層����、DBMS 外層等�����。首先,系統中加密的方法�����,鑒于數據庫系統中的數據關系難以辨認�����,需要把內存中的數據進行加密處理���,之后再把存在文件系統中的加密內存數據導入到數據庫中去,在計算機讀入過程中進行一種逆向解密�,這種方法的關鍵是保存好管理秘鑰。當然�����,其劣勢也比較明顯����,就是數據庫的讀寫過程顯得相對繁瑣�����,每次對編程的讀寫數據和編寫都會影響基本的速度��。第二是DBMS 內核層,這個方法需要加強對數據庫管理系統的操作�����,需要在數據的物理存儲之前進行相應的加密和解密工作��。其優勢是加密功能較強����,能有效完成數據庫管理系統與加密功能的有效融合��,其加密功能基本上不會對DBMS產生功能性影響����。第三����,是DBMS 外層�����,該加密方式可以在客戶端有效運行加密運算�����,在運行過程中不會對數據庫的服務器產生負擔,但是其劣勢是本身的加密功能會受到相應的限制���,其自身功能與數據庫管理系統的融合效果也受到影響?��?傊?��,各種方式都有自身的優點和缺點�����,需要根據實際的環境有效選擇和使用����。
(二)以文件為基礎的加密技術
新的技術環境中,以文件為基礎的新型機密技術得到較多的應用��,其運行的基本思路是把數據庫的文件作為一個有機整體,通過系統的加密算法來保障數據信息的安全性和完整性�����。以文件為基礎的數據加密方法���,實際運行的策略是利用解密秘鑰的原理����,讓數據庫用戶通過秘鑰來完成對數據庫文件的解密目標���。
該種加密技術作為一種整體技術,雖然存在著一些自身優勢����,但是其缺點也不容忽視,在具體的加密技術應用過程中國�����,也需要對其做出全面深刻的認識�,主要表現在兩個方面��。一是想對數據庫的數據信息進行修改工作�,其過程是比較困難的���,需要采取加密、復制和修改等操作�����。二是即使用戶只是需要查看某一條記錄���,也必須將整個數據庫文件解密��,這樣無法實現對文件中不需要讓用戶知道的信息的控制����。
(三)數據庫加密系統的實現策略
加密系統的功能實現��,需要充分利用用戶身份驗證原理��,在用戶的數據庫登錄過程中�����,加強對用戶身份信息的數據驗證,根據不同用戶的合法身份級別���,有效控制和管理不同用戶在數據庫操作系統中的開放服務和功能。計算機數據庫的加密和解密技術是整個加密技術的最核心部件����,能夠在后臺實現對數據庫的加密和解密處理。其基本方法是:首先由數據庫用戶來對數據是否需要加密的判斷和決策���,對于需要加密的數據可以采取加密字典及其字典管理程序����,進行加密和解密的模塊處理���。對于用戶認為不需要加密的數據�,則可以通過數據庫連接模塊和數據庫的直接聯系���,來實現用戶數據庫與設計系統程度有效對接���,實現數據的有效利用���。加密字典管理程序通過被數據庫加密和解密引擎實現對數據表的加密��、解密及數據轉換等功能。當數據庫的加密字典生成之后����,則可以利用加密字典的管理成效���,實現對數據庫系統數據的有效查詢、控制和管理�����。
篇9
當前�����,大部分計算機的系統為Windows系統�����,只有少數計算機的系統為Linux系統。Windows系統受眾面廣��,受網絡攻擊的可能性更大�����,再加上系統本身存在很多漏洞,嚴重影響了計算機數據信息的安全性。如果黑客攻擊系統所存在的漏洞�����,就會導致病毒通過漏洞感染計算機�����。計算機操作系統建設所用的代碼會涉及到匯編��、反匯編等底層代碼���,并且所有代碼的編寫需要整個團隊來完成�,這樣往往在代碼編寫過程中就會出現漏洞�����,需要用專門的補丁來修復�。系統漏洞的存在給計算機的安全使用帶來了極大的威脅���,導致銀行賬號�、密碼��,游戲賬號、密碼等泄露��,從而對計算機使用者造成一定的損失�����。
1.2計算機病毒
計算機病毒具有感染性強����、蔓延范圍廣���、傳播速度快等特點����,是威脅計算機數據安全的重要因素。在病毒進入到計算機程序后�����,如果將帶有病毒的數據文件應用于計算機網絡傳輸或共享����,那么其他計算機在瀏覽或打開此數據文件時也會被感染���,出現連鎖式病毒傳播�。另外�,如果計算機病毒過多,會對計算機操作系統造成十分嚴重的影響�,出現死機或者數據丟失等事故�����。
1.3非正常入侵
計算機網絡具有開放性特點,在互聯網背景下����,很多不法分子利用系統本身存在的漏洞非法入侵用戶計算機。非法入侵者一般采取竊聽��、監視等手段�,獲取計算機網絡用戶的口令、IP包和用戶信息等����,然后利用各種信息進入計算機局域網內��,并采用冒充系統客戶或者用合法用戶的IP地址代替自己的IP地址等方式,篡改或竊取計算機網絡內的數據信息�����。
2數據加密技術的應用
2.1密鑰保護
密鑰保護是數據加密中一種常用的加密技術����。改變密鑰的表達方式�,可提高密文書寫的多變性��,體現多層次的加密方式����。密鑰保護可分為公鑰保護和私鑰保護兩種方式。通常這兩種方式相互配合����,對提高計算機數據信息的安全性具有重要意義。私鑰保護具有一定的局限性���,在使用時必須借助公鑰保護來完成整個保護動作。密鑰保護的原理是:當計算機進行數據傳輸時��,選用公鑰對需要傳輸的信息進行加密����,在用戶接收數據后�,需要通過私鑰來完成解密動作,以此來確保傳輸數據的安全性���,避免攻擊者非法竊取傳輸過程中的數據��。當前����,秘鑰保護方式一般用于管理系統和金融系統中����,可以完成對私人信息��、用戶登錄和訪問過程等方面的保護����。
2.2USBkey保護
USBkey是數據加密技術的典型代表,一般用于銀行交易系統中�,保證網絡交易環境的安全性。USBkey服務于客戶端到銀行系統�����,對每項數據信息的傳輸都需要加密處理��,避免數據在傳輸過程中受到惡意攻擊���。就現狀來看�,銀行系統通過計算機網絡來完成工作的概率逐漸上升�。USBkey可以保護銀行系統能夠在相對安全的環境中完成交易。在用戶利用計算機網絡進行銀行交易時�����,USBkey中的加密技術會自動匹配用戶信息���,即便用戶行為被跟蹤��,攻擊者也無法破譯USBkey中的加密技術,通過加強用戶登錄身份的驗證��,保證用戶財務安全�。
2.3數字簽名保護
數字簽名保護是比較常用的一種數據加密技術,具有很好的保護效果�����。數字簽名保護的原理是利用加密、解密過程����,識別用戶身份,從而保證數據信息的安全性��。數字簽名保護也分為公鑰保護和私鑰保護兩種��,如果只使用其中的一種保護方式����,會在本質上降低安全保護的效果��。因此�,通常情況下���,常在私鑰簽名處外加一層公鑰保護��,提高數字簽名保護的效果。
篇10
中圖分類號:TP309 文獻標識碼:A 文章編號:1674-7712 (2013) 02-0069-01
現實生活中����,許多企業對信息安全有了新的認識�,開始注重數據的加密技術��,比如說對信息系統中的數據進行加密處理,那么一些非法用戶在入侵時就不能像以前沒有給數據加密時那樣順利的進入該系統�,這樣可以起到保護信息安全的作用����,現代加密技術對網絡的安全有重要的保護作用,因此說數據加密技術研究和應用對信息系統中數據安全有非常重要的意義����。
數據加密技術是一把雙刃劍,一方面����,如果能夠將數據加密技術處理好���,那么它在提高數據安全方面將起到巨大的推動作用;另一方面����,如果未能妥善處理數據加密技術,那么利用數據加密技術不僅不能為數據提供安全保障��,還將產生一些意想不到的負面影響�。
首先,我們生活中常常會遇到訪問控制的問題����,許多不懂數據加密技術的用戶就以為訪問控制就是數據加密,以為安裝上了訪問控制軟件就可以保證自己數據的安全�,結果因為錯誤的理解,導致數據泄露����。訪問控制可以分成DAC(自主訪問控制)和MAC(強制訪問控制)�����,在一個信息系統中�,DAC和MAC是同時存在的�,系統進行存取檢查時,首先經MAC檢查�,然后再經DAC檢查,只有兩個檢查同時通過時����,才可以進行訪問�����。但是�����,數據加密技術是在只有擁有密鑰的情況下才可以對系統進行訪問。
其次�,我們所研究的數據加密技術,并不是單單一種�����。一般說來���,從數據加密的方法上分,數據加密技術可以分為兩種:動態數據加密技術和靜態數據加密技術�。動態數據加密技術是指當數據經過網絡時,數據在數據庫服務器和客戶端之間的相互傳送���,這種傳輸過程中數據的加密技術就是動態數據加密技術�。這種方法可以有效的阻止會話攻擊?��,F實生活中����,這種動態數據加密技術已經被廣泛的應用了。靜態數據加密技術是指對存在于數據庫中的數據進行加密處理�。這種靜態數據加密技術還沒有廣泛的應用。
最后�����,數據在進行完加密之后����,并不是說用戶就可以高枕無憂了,非法入侵者可以通過獲取密鑰�����、字典式攻擊�����、對比明密文攻擊等方式進行非法闖入���。其中獲取密鑰屬于直接攻擊����,它的危害性最大��,密鑰一旦丟失����,那么數據加密形同虛設����。盜用密鑰的方式一般是由于密鑰管理不善而導致的密鑰泄露,另外一種是外界非法用戶用一定的密碼分析法���,將密鑰解開。對此����,用戶一定要小心謹慎,要定期更改自己的數據密碼���,防止不法分子盜用���。
數據加密技術的研究主要是研究數據的加密過程和數據的解密過程。加密過程是將明文的數據通過加密算法對其進行加密�,數據在傳送過程中是將加密算法和密鑰一同傳送的�����,非法入侵者因為沒有密鑰所以不能看到原數據內容�。數據的解密過程是指接收數據者通過解密算法和解密密鑰將原來加密的數據進行解密處理�,得到原數據的過程�����。由此可見數據加密算法在數據加密過程中占有重要的地位��。
一����、對稱密鑰算法和非對稱密鑰算法
對稱密鑰算法和非對稱密鑰算法是基于公共密鑰的算法。一個不錯的數據加密算法的重要特點就是可以制定一個密鑰并且用它來加密明文數據�。對稱密鑰算法是指加密密鑰和解密密鑰一致,非對稱密鑰算法是指數據加密密鑰和數據解密密鑰不同的一種加密方法�����。PGP公鑰加密和RSA數據加密方法都是數據加密非對稱加密算法�����。我們這里說的公鑰是與私鑰相對應的�����,加密密鑰是公鑰���,解密密鑰是私鑰。非法入侵者想要破解非對稱數據加密算法�����,獲得密鑰�����,唯一的辦法就是不斷地反復進行試驗,然而這是特別浪費時間的�。
二、多步加密算法
為防止對稱密鑰算法和非對稱密鑰算法中密鑰被非法入侵者破譯��,在數據加密技術上���,又出現了一種新的加密算法――多步加密算法,眾多人的實踐表明這是一種幾乎不可能被破譯的數據加密算法�����,使用多步加密算法將產生一個順序隨機的表,表中的字節的隨機數是用的二次偽隨機����,現在已經有兩張轉換表,加密和解密時使用的加密值是轉化表的索引�,而且加密和解密過程需要匹配��。加密時產生的偽隨機序列是隨意的��,可以根據個人愛好設計成任何想要的序列����,如果沒有關于隨機序列的詳細信息�,解密是不可能實現的,如果去盜取隨機序列的詳細信息����,那么將會以付出巨大的時間損失為代價,因此說�����,多步加密算法是幾乎不可能被破譯的�����。
三��、DES加密算法
DES是一個分組加密算法���,它以64位為分組對數據進行加密處理����,同時,它又是一個對稱算法�����,加密和解密過程使用的是同一個算法���,DES加密算法密鑰是任意的56位數�,這56位數可以在任意時候改變�。DES算法使用標準算術和邏輯算術���,具有較快的運算速度,而且密鑰生產較為容易����,適合大多數軟件,同時也適合用在專用芯片上面���。DES加密算法具有的密鑰數較短�����,科學家為解決其密鑰短的問題又設計出80位的密鑰,以及在DES加密算法的基礎上采用雙密鑰加密的方法���,保證了數據的安全。
在我們的日常生活中��,為了保證數據的安全����,必須要注意對密鑰的保護,確保數據在傳輸過程中不會被非法入侵者篡改�。從理論上講�,任何數據的加密都是可以破解的���,但是破解密鑰需要以巨大的時間付出為代價的��,在目前的情況下��,我們的數據加密技術已經能保證我們的數據在一定時期內的安全,因此��,數據加密技術是保證數據安全的一種有效手段。
篇11
一�、關于加密技術和加密標準的概述
作為保障數據傳輸安全的加密技術產生的年代久遠,早在幾千年前埃及人和古巴比倫就通過對信息進行特別的編碼而保護書面信息的安全�����。近代的信息加密技術主要在軍事領域展開�����,德國在二戰時期發明了著名的恩格瑪機來對信息進行加密����,隨著計算機性能的不斷提升��,科學家們又不斷地研究出更為嚴密的信息加密手段。利用ROSA算法產生的私鑰和公鑰就是在這個基礎上產生的�����。信息加密的基本方式就是用某種數學算法對原來的明文或數據進行一定的處理���,將這些明文編程不可讀寫的數字代碼。只有信息接收者在輸人相應的密鑰后才能還原數據的真實內容�����。通過這種方法來處理數據����,使得數據在傳輸過程中不會被他人非法盜竊、閱讀和修改��。計算機數據加密技術的發展也離不開數據加密標準的支持����,早在1977年美國國際商用機器公司為美國政府計算機數據研制出了一種特殊的計算方法��,稱之為計算機數據加密標準�����,這個加密算法是應用56位密鑰為基礎���,首先將64位的明文通過變換其位置進行置換大亂;接著對上述的64位明文進行分解,將所要進行加密的明文拆分成為兩套32位的明文:接著運用將上述兩套32位明文采用計算機數據加密標準進行16次的位置變換;最后采用逆置換的方法對打亂后的數據進行逆置換����,從而實現了計算機數據的加密。
南于美國電子開拓基金會在1999年對上述加密標準進行了破譯��,美國政府也因此對原有的加密標準進行了改進��。這種改進方法是在原來的DES基礎上進行了三重加密�。這種新的加密標準使得數據的接收者必須通過使用三個密鑰才能對加密的數據進行解密���。這種方法也因此使得數據的保密性提升了3倍。這三把密鑰之間相互關聯���,需要解密者對每層密碼分別進行破解��。若其中的一把密鑰丟失則不能通過其他的兩把密鑰對數據進行破解,這種方法對數據的破解者來說十分困難�。3DES雖然對政府的關鍵數據保護進行了提升,但是對金融交易卻形成了障礙�����。于是美國國家標準與技術研究所有開發出針對金融交易數據保密的方法����。稱之為高級加密標準。簡稱為AES�����。這種算法的比較簡便精確���,而且安全性也十分可靠��。這種加密方法同時還能支持很多的小型設備���。同原有的3DES相比具有高安全性和高效率。
二��、數據加密方法
在傳統上��,我們有幾種方法來加密數據流����。所有這些方法都可以用軟件很容易的實現�,但是當我們只知道密文的時候�����,是不容易破譯這些加密算法的���。最好的加密算法對系統性能幾乎沒有影響���,并且還可以帶來其他內在的優點。所有這些加密算法都要有高效的加密和解密能力����。幸運的是,在所有的加密算法中最簡單的一種就是“置換表”算法��,這種算法也能很好達到加密的需要��。每一個數據段對應著“置換表”中的一個偏移量�����,偏移量所對應的值就輸出成為加密后的文件����。加密程序和解密程序都需要一個這樣的“置換表”。事實上��,80x86cpu系列就有一個指令‘xlat’在硬件級來完成這樣的工作����。這種加密算法比較簡單,加密解密速度都很快��,但是一旦這個“置換表”被對方獲得�����,那這個加密方案就完全被識破了�。更進一步講�����,這種加密算法對于黑客破譯來講是相當直接的��,只要找到一個“置換表”就可以了�����。這種方法在計算機出現之前就已經被廣泛的使用���。
