加解密技術安全應用

■

加解密技術一直是信息安全技術的主要研究領域。在網絡通信的過程中，越是重要的和敏感的信息就越需要通過加密和解密的過程進行傳輸。

在信息安全測評中，《信息系統安全等級保護基本要求》也明確要求“對通信過程中的敏感信息字段進行加密”。

因此，通過加解密這種代價較小的安全傳輸和存儲方式，對抗系統入侵和攻擊具有積極的意義。

等保測評中的加解密技術

加解密技術按某種算法對信息進行明密變換的符號的方法。換而言之，加解密就是將明文轉換成密文，再從密文轉換成明文的方式，其產物就是隱蔽了真實內容的密碼。密碼的特點就是除約定雙方以外其他人所不能讀解的信息。

加解密技術現今分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以國際數據加密算法（IDEA）為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）算法為代表。

對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。加解密技術目前主要應用于身份鑒別、網絡通信和數據傳輸存儲三個方面。

1.身份驗證

身份鑒別需要通過標識和鑒別確保用戶與正確的安全屬性相關聯。

加解密技術在身份鑒別方面主要體現為用戶身份口令。

身份口令鑒別的方法有很多，基本上可分為：基于共享密鑰、基于公開密鑰和基于生物學特征的身份鑒別方式。

系統通過對稱加密算法或非對稱加密算法生成動態口令，用戶能夠通過動態口令進一步驗證身份，防止單一口令被惡意獲取。PKI（Public Key Infrastructure）是一種為應用系統提供加密和數字簽名等服務及所必需的證書管理的密鑰管理平臺。PKI采用非對稱的加密算法，避免第三方獲取密鑰后解密密文。如果用戶想得到一份屬于自己的證書，用戶首先需要申請并被驗證身份，之后便會被分配一個公鑰，將該公鑰與申請者的身份信息合并簽字后，便形成申請者的證書。基于加解密算法對身份的進一步驗證，保證了系統的身份鑒別機制的全面性，使系統能夠通過兩種或多種方式對用戶身份進行驗證，保證身份鑒別模塊對攻擊和篡權訪問進行了有效控制。

2.網絡通信

網絡通信信道的安全協議有很多，這么安全協議都是通過加解密的方式對網絡通道進行加密。常見的協議有https協議。

https協議是在HTTP的基礎上，擴展了SSL/TLS，也就是在HTTP上又加了一層處理加密信息的模塊。服務端和客戶端的信息傳輸都會通過TLS進行加密，所以傳輸的數據都是加密后的數據，就像數據經過了一條安全通道，保證了系統的的關鍵敏感信息在安全的通道里通信。

入侵者截取到的網絡數據包都是加密處理的，加密處理后的數據包被截獲后很難被破解，從而保證了信息的安全性。經過對網絡通信信道的加密處理，保證了通信網絡的保密性和完整性，對入侵者的部分攻擊方式有了很好的防護效果。

3.數據傳輸存儲

除了對網絡通信信道進行加密外，還可以單獨對數據進行加解密。通過對重要數據的加解密可以使監聽者即使破解了安全協議的密文，也無法得到數據的明文。

當今的普遍做法也是通過重要數據的解密和安全協議兩種混合的方式，系統能夠達到數據的安全傳輸，做到防護效果的最大化。

同時，在數據傳輸加密方面外，還有對數據庫中存儲的數據進行加密處理。對數據庫中數據加密是為增強關系型數據庫管理系統的安全性，提供一個安全的數據庫平臺，對數據庫存儲的內容實施有效的加密保護。它通過數據庫存儲加密等安全方法實現了數據的保密性和完整性要求，使得數據庫以密文方式存儲、加工、查詢，確保了數據安全。

加解密技術在等級保護中的作用

根據《信息技術安全性評估準則》，加解密技術能夠為系統安全達到幾種高級目標，包括（但不限于）標識與鑒別、抗抵賴、可信路徑、可信信道和數據分離，通過產生、分配、登錄、存儲、訪問和銷毀進行工作。加解密技術的廣泛應用，使得重要的信息系統、工業控制系統等各方面得以安全可信的運行。在安全防護的最底層，通過加解密技術使得數據在不同網絡之間安全流轉，也給予了很多技術的有效補充，例如防火墻技術、入侵檢測技術、信息隱藏技術、病毒防護技術。

因此，對系統的安全防護不僅僅要依靠安全設備的防護，更要有一個安全的數據安全保障環境。

系統安全防護體系為保證數據安全要求，在建設中需要部署加密機/解密機，用以保護網絡通信中的數據的可用性、完整性和保密性要求，提供一個完整有效的客觀環境。

結束語

在系統安全狀態下，我們確保了重要的數據僅僅能夠被賦予相應權限的人員讀取，也確保信息在傳輸的過程中沒有被篡改和截取。在政府機關、事業單位、國防工業中，數據安全尤其受到重視，因此，安全保障是一個重要的課題。當然我們無論怎樣對數據進行加密，數據都是可以被解密的，至少我們需要保證數據在相當一段時間內無法被惡意破解，保證數據在我們需要的時間之內安全可控。