前言:中文期刊网精心挑选了数据加密技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
数据加密技术范文1
关键词:数据库 加密 安全
中图分类号:TP309.7 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
1 数据库加密技术的要求
鉴于数据库所存储的数据具有一定的复杂性、执行查询操作的频繁性、数据存储的长期性等特征,对于数据库的加解密算法及对应的密钥管理机制要具备以下几点:
(1)数据库加密系统要充分保证数据的安全性,这点体现在加密算法对于数据的保密性及完整性的要求,它有效的防止了对未授权数据的访问和修改。(2)应用数据库时频繁的查询操作,需要具备高强度的解密效率,避免造成数据库系统性能的大幅度下降。(3)明文与密文的长度要尽可能的做到相等或相当,相对于数据库管理系统而言数据库结构的变动差异不可过大。(4)数据存储时间久且密钥又较为复杂,这需要更为坚固、灵活且安全的密钥管理机制。
2 数据库加密的方法
(1)静态加密技术。静态加密是指实施加密时待加密文件已存在但未使用,通过密码、密钥证书或数字签名的方式进行加密,实施加密后使用时必须先通过解密取得明文方可使用的加密方法。此种方式一般应用于应用系统或软件加密当中。(2)动态加密技术。动态加密是指动态的跟踪数据流,对相关的数据自动进行时时加解密操作,无需人工参与亦不会对用户有任何影响,有权限的用户在使用已加密文件时,无需先取得明文解密即可直接使用。所以对于有权限的用户来讲,动态加密操作是透明的,访问未加密或加密文件基本感觉不到区别。反之,对于没有访问权限的用户来讲,即便通过非法手段取得了加密文件,也无法识别,只是得到乱码而已,更谈不到获取有效信息了。近年来,动态加密技术因其便捷的使用方法得到广泛的应用。(3)文件级动态加解密技术。在文件系统层当中,既能获取到文件自身的详细信息,又能获取到用户信息及访问此种文件的进程等各类相关信息,因文件系统层其特有的属性可以开发出功能极其强大的文档安全产品。在动态加解密的产品中,其部分文件系统自身就支持文件的动态加解密,而在实际操作当中,加密文件一般以分区或目录为单位,对于用户的个性化需求是难以满足的,即使存在诸多不足之处,文件级动态加解密技术的安全性依然可以与磁盘级加密技术相匹敌。但鉴于文件级动态加解密技术对于用户个性化需求的不足,也为第三方提供了动态加解密安全产品提供了足够的发展空间。
在不同的操作系统中要研发的文件级动态加解密安全产品也各不相同,有多种方法可供选择,可利用过滤驱动或Hook等方法将其转化为文件系统的一个组成部分,即将嵌入到文件系统中。从某个角度上讲,可以将第三方动态加解密产品近似于文件系统的一种功能扩展,这种功能扩展是通过模块化的形式根据客户需求进行挂接或载操作来完成的,而这是作为文件系统内嵌的动态加密系统难以实现的。
3 数据库加密技术对数据库造成的影响
所谓数据加密即是对明文进行一系列较为复杂的加密操作,使明文和密文、密文和密钥间的内在联系不被发现,从而使加密过的数据经得住数据库管理系统和操作系统的攻击。数据库管理系统的功能一般情况下是较为完备的,但针对数据库中以密文形式存在的敏感性数据是无法应用其部分功能的,且当数据库的数据加密后,数据库管理系统部分功能将无法直接应用。
(1)加密字段不能实现索引功能。在数据库当中为了查询和检索的快速及便捷,常常要建立一些索引。而索引要发挥其作用必须使其建立和应用在明文的状态下,且某些数据库管理系统中所建立的索引也必须在明文的状态下建立、维护和使用,否则索引将失去作用。(2)加密功能不能用于表间的连接码字段。数据模型构建后,数据库表之间的相关性是通过局部编码进行关联的,如若对这些局部编码进行加密操作,则将无法进行数据表之间的连接运算。(3)加密后无法进行数据约束的定义。数据库管理系统通常会定义数据约束,如若此类数据一旦进行了加密操作,数据库管理系统将无法实现数据约束功能,且值域也无法进行定义。(4)密文数据不能应用于数据库的排序、分组和分类功能。SQL的Select语句中分组、排序、分类等操作分别通过Group、Orderby、Having子句来实现,如若将此类子句的操作对象设为加密数据,将无满足用户的需求,因为即使明文数据进行了解密操作也失去了原有语句的分组、排序、分类等作用。(5)加密数据无法被SQL语言中的内部函数所应用。(6)加密数据无法直接应用于数据库管理系统为各类数据所提供的某些内部函数上。(7)加密数据将使数据库管理系统的某些应用开发工具使用受限。数据库管理系统的某些应用开发工具不能对加密数据进行直接操作,因此在对其应用时会受限。由此可见,对数据库进行加密操作会影响到部分数据库管理系统的功能,好比阅读语句中的函数、排序、分组等,如想应用此类功能亦可通过组件技术来实现,如利用SQL的解释器。所以当数据库加密后致使数据库管理系统部分功能无法直接使用时,可以通过在数据库管理系统的安全管理系统中增加组件来实现这部分功能的应用。
4 结语
随着时代的发展,数据库管理系统以其自身优势在社会各界得到广泛应用,其使用率较高对数据的安全性要求就越高。目前,人们在数据库安全及加密技术的研究方面只做了部分的尝试性工作,还有诸多重要性细节问题有待于进一步深入解决。
参考文献
数据加密技术范文2
关键词:计算机;数据加密;标准和方法;前景和应用
中图分类号:G20文献标识码:A文章编号:1009-0118(2012)05-0230-02
一、引言
近些年计算机和网络技术飞快的发展,互联网的兴起带动了经济的快速发展,特别是目前通过互联网进行的交易越来越多,但是随着网络技术的不断进步,互联网信息安全问题也日渐突出,网络安全问题成为当今社会的关注的焦点,计算机病毒、网络黑客、邮件炸弹、非法远程控制和监听都是目前比较猖獗的网络安全问题。网密码技术是实现网络信息安全的一个非常重要的步骤,信息网络安全中的身份认证,传输和存储信息的加密保护、信息完整性和不可否认性等,都需要运用密码技术来解决[1]。最近20年信息加密技术在网络信息安全中的地位越来越受到重视,加密技术是保障信息安全的各种技术手段中最为核心和关键的环节,通过对重要数据的加密可以保证数据在传输过程中的安全性和完整性。数据加密通常包括加密算法、明文、密文以及密钥,密钥控制加密和解密的几个过程,所以对加密技术的研究是一个十分值得研究的方向,本文正是在这个背景下展开研究的。
二、关于加密技术和加密标准的概述
作为保障数据传输安全的加密技术产生的年代久远,早在几千年前埃及人和古巴比伦就通过对信息进行特别的编码而保护书面信息的安全。近代的信息加密技术主要在军事领域展开,德国在二战时期发明了著名的恩格玛机来对信息进行加密,随着计算机性能的不断提升,科学家们又不断地研究出更为严密的信息加密手段,利用ROSA算法产生的私钥和公钥就是在这个基础上产生的。信息加密的基本方式就是用某种数学算法对原来的明文或数据进行一定的处理,将这些明文编程不可读写的数字代码,只有信息接收者在输入相应的密钥后才能还原数据的真实内容,通过这种方法来处理数据,使得数据在传输过程中不会被他人非法盗窃、阅读和修改。
计算机数据加密技术的发展也离不开数据加密标准的支持,早在1977年美国国际商用机器公司(IBM)为美国政府计算机数据研制出了一种特殊的计算方法,称之为计算机数据加密标准(Data Encryption Standard),这个加密算法是应用56位密钥为基础,首先将64位的明文通过变换其位置进行置换大乱;接着对上述的64位明文进行分解,将所要进行加密的明文拆分成为两套32位的明文;接着运用将上述两套32位明文采用计算机数据加密标准进行16次的位置变换;最后采用逆置换的方法对打乱后的数据进行逆置换,从而实现了计算机数据的加密。
由于美国电子开拓基金会在1999年对上述加密标准进行了破译,美国政府也因此对原有的加密标准进行了改进,这种改进方法是在原来的DES基础上进行了三重加密,即(Triple Data Encryption Standard)简称3DES[2]。这种新的加密标准使得数据的接收者必须通过使用三个密钥才能对加密的数据进行解密,这种方法也因此使得数据的保密性提升了3倍。这三把密钥之间相互关联,需要解密者对每层密码分别进行破解,若其中的一把密钥丢失则不能通过其他的两把密钥对数据进行破解,这种方法对数据的破解者来说十分困难。
3DES虽然对政府的关键数据保护进行了提升,但是对金融交易却形成了障碍,于是美国国家标准与技术研究所有开发出针对金融交易数据保密的方法,称之为高级加密标准(Advanced Encryption Standard),简称为AES。这种算法的比较简便精确,而且安全性也十分可靠,这种加密方法同时还能支持很多的小型设备,同原有的3DES相比具有高安全性和高效率。
三、计算机数据加密的方法和形式
数据加密技术通常分为两个方式,一种称之为对称式,一种称之为非对称式。顾名思义,对称式的加密就是加密和解密的密钥是相同的,这种加密技术使用的范围比较广泛,上面所阐述的DES加密标准就是对称式加密的一种;非对称式加密比较复杂,其加密和解密的过程采用的是不同的密钥,只有通过两个密钥的相互配合才能对加密数据进行解密,其中对外公布的密钥称之为公钥,保存在持有人手中的称之为私钥[3]。同对称式加密相比,非对称式加密避免了密钥在网络传递过程中被盗取的可能,数据接收者只需根据自己保存的私钥就能对加密数据进行解密。
加密的方法又可分为三个种类:软件加密、硬件加密和网络加密[4]。软件加密的形式有密码表加密、软件校验方式、CD-KEY加密、许可证方式、钥匙盘方法和光盘方法等;硬件加密则有加密卡、单机片加密锁和智能卡加密锁等,软件加密和硬件加密其加密的算法和加密强度是相同的,而且由于计算机处理器的发展,软件加密的水平正在超过硬件加密。网络加密的方法明显区别与软件加密和硬件加密,网络加密是通过网络中本机意外的计算机或者加密设备来实现对数据进行加密和验证的,网络设备和客户端通过比较安全的联通进行两者之间的通讯。
四、计算机加密技术的发展
(一)密码专用芯片集成
密码技术是信息安全的核心,当今世界的芯片设计和制造技术很高,微电子水平已经达到0.1纳米以下,目前的密码技术已经扩展到安全产品之内并向芯片模式发展,密码专用芯片加密是将数据安全地移植到芯片的硬件中保护起来,数据接收者在使用时,可以通过应用软件功能调用引擎指令运行硬件中的关键代码和数据并返回结果,这些代码和数据在单片机端没有副本存在,因此解密者无从猜测算法或窃取数据,极大程度上提升了整个软件系统的安全性。
(二)量子加密技术
1989年IBM的一批科学家进行了一项大胆的技术尝试,他们根据量子力学的原理提出了一种新的密码技术。量子加密技术是在光线一级完成密钥交换和信息的加密,如果不法分子企图接受并检测信息传递方发出的信息,则将改变量子的状态,数据接收者可以轻易的检测出接受的信息是否受到了外界的攻击,而光线网络的发展为这种则为量子加密技术提供了硬件上的保障。
五、计算机数据加密技术的应用
计算机数据加密的应用前景十分广泛,当人们进行网上交易是需要确保自身账户和信用卡的安全性,通过对网上交易设置口令卡则可以满足用户对于保密性的要求;一个单位可能在不同的地区设有分支机构,每个分支机构都有自己的局域网,很多用户希望将这些散落的局域网进行链接而组成一个单位的广域网,互联网技术的发展使得虚拟拨号网络逐渐成熟,虚拟拨号技术通过路由器的加密和解密功能来实现,这种加密技术使得局域网和互联网的链接逐渐变为可行。
参考文献:
\[1\]黄凯.浅析信息加密技术与发展\[J\].甘肃水利水电技术,2004,40(03):268-269.
\[2\]霍福华.计算机数据加密技术探析\[J\].湖北函授大学学报,24(12):82-83.
数据加密技术范文3
关键词: 数据加密技术 电子商务 密钥加密
随着网络技术的发展,网络安全成为当今网络社会的焦点中的焦点。病毒、黑客的猖獗使身处今日网络社会的人们谈网色变,无所适从。现代的电脑加密技术就是适应了网络安全的需要而应运产生的,它为我们进行一般的电子商务活动提供了安全保障,如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。
一、数据加密技术的内涵
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
在加密技术中,基于密钥的加密算法可以分为两类:常规密钥加密(对称加密技术)和公开密钥加密(非对称加密技术)。
(一)对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES(Data Encrypuon Standard)加密算法。
(二)非对称密钥加密与RSA算法
为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(Public Key Crypt-System),用得最多是RSA算法,它是以三位发明者(Rivest,Shamir,Adleman)姓名的第一个字母组合而成的。在实践中,为了保证电子商务系统的安全、可靠与使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。
二、电子商务
电子商务是利用计算机技术、网络技术和远程通信技术,实现整个商务过程中的电子化、数字化和网络化。目前,因特网上影响交易最大的阻力就是交易安全问题,所以,电子商务的发展必须重视安全问题。
(一)电子商务安全的要求
1.信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。
2.信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。
3.信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
4.交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。
5.系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。
(二)电子商务的安全交易标准
1.安全套接层协议。SSL(Secure Sockets Layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。
2.安全电子交易协议。SET(Secure Electronic Transaction)是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。
三、加密技术在电子商务中的应用及发展
电子商务(E-Bussiness)要求顾客可以在网上进行各种商务活动,不必担心自己的信用卡会被人盗用。在过去,用户为了防止信用卡的号码被窃取到,一般是通过电话订货,然后使用信用卡进行付款。现在人们开始用RSA(一种公开/私有密钥)的加密技术,提高信用卡交易的安全性,从而使电子商务走向实用成为可能。
混合密钥加密体制在电子商务中的应用:著名的PGP(Prelly Good PriVacy)软件就是使用RSA和IDEA相结合进行数据加密、发送和接收加密的E―mail和数字签名的。
保密增强邮件PEM(Privale Enhanced Mail)将RSA和DES结合起来,成为一种保密的E-mail通信标准。它为E-mail用户提供如下两类安全服务:(1)对所有报文都提供诸如验证、完整性、防抵赖等安全服务功能;(2)提供可选的安全服务功能,如保密性等。
电子商务常用的SSL(Secure Sockels Layer,安全套层)安全措施也是利用两种加密体制对客户机和服务器之间所传输的信息进行加密。电子商务的主要特征是利用信朋卡在线支付。SSL3.0通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。在用数字证书对双方的身份验证后,双方就可以用秘密密钥进行安全会话了。SSL协议实现简单,独立于应用层协议,且被大部分的浏览器和Web服务器所内置,便于在电子交易中应用,但是SSI协议存在一些问题,比如,对应用层不透明,需要证书授权中心CA,本身不提供访问控制。
随着人们对于密码体系的更深入地研究,以及数字加密技术的完善,数字加密作为网络信息安全的一项重要技术,它的应用领域也将不断扩大。电子商务的安全运行,不仅要从技术角度进行防范,更要从法律角度加强,保证电子商务快速健康地发展,从而促进整个国民经济的不断发展。
参考文献:
[1]谢红燕.电子商务的安全问题及对策研究[J].哈尔滨商业大学学报(自然科学版),2007,(3):350-358.
数据加密技术范文4
计算机网络安全主要包括资源共享、组网硬件、网络服务以及网络软件等方面的内容,因此计算机网络安全涉及到计算机网络的所有内容。以计算机网络特征为依据,对计算机网络软件、数据资源、硬件以及操作系统进行有效的保护,能够有效防止计算机相关数据遭到泄露、破坏及更改,保证计算机网络运行的安全性及可靠性。在实际运用过程中,计算机网络安全还存在诸多隐患,而人为因素则是计算机网络安全的最大隐患。一般情况下,计算机网络安全隐患主要包括:首先,网络漏洞。其在计算机操作系统中较为常见,由于操作系统会有许多用户同时进行系统运行及信息传输,因而在信息传输过程中出现安全隐患的几率就进一步增加。其次,病毒。计算机的病毒主要分为文件病毒以及网络病毒、引导型的病毒等。文件病毒主要是感染相关计算机中存有的各个文件。网络病毒通常是利用计算机来感染、传播计算机网络的可执行性文件。引导型的病毒主要是感染计算机系统的启动扇区及引导扇区。再次,非法入侵。非法入侵是威胁计算机网络安全的主要人为因素。由于社会竞争越来越激烈,许多人会通过计算机来非法获取他人信息来达到自己的目的,因而非法入侵也就成为计算机网络安全的重要危险因素。此外,黑客破坏、网络及系统不稳定也是威胁计算机网络安全的重要因素,因而采取有效方法来保障计算机网络安全,以提高信息数据的安全性就势在必行。
2计算机网络安全中数据加密技术的有效应用
当前,数据加密技术是一项确保计算机网络安全的应用最广泛的技术,且随着社会及科技的发展而不断发展。数据加密技术的广泛应用为计算机网络安全提供良好的环境,同时较好的保护了人们运用互联网的安全。密钥及其算法是数据加密技术的两个主要元素。密钥是一种对计算机数据进行有效编码、解码的算法。在计算机网络安全的保密过程中,可通过科学、适当的管理机制以及密钥技术来提高信息数据传输的可靠性及安全性。算法就是把普通信息和密钥进行有机结合,从而产生其他人难以理解的一种密文步骤。要提高数据加密技术的实用性及安全性,就要对这两个因素给予高度重视。
2.1链路数据加密技术在计算机网络安全中的应用
一般情况下,多区段计算机计算机采用的就是链路数据加密技术,其能够对信息、数据的相关传输路线进行有效划分,并以传输路径以及传输区域的不同对数据信息进行针对性的加密。数据在各个路段传输的过程中会受到不同方式的加密,所以数据接收者在接收数据时,接收到的信息数据都是密文形式的,在这种情况下,即便数据传输过程被病毒所获取,数据具有的模糊性也能对数据信息起到的一定程度的保护作用。此外,链路数据加密技术还能够对传送中的信息数据实行相应的数据信息填充,使得数据在不同区段传输的时候会存在较大的差异,从而扰乱窃取者数据判断的能力,最终达到保证数据安全的目的。
2.2端端数据加密技术在计算机网络安全中的应用
相比链路数据加密技术,端端数据加密技术实现的过程相对来说较为容易。端端数据加密技术主要是借助密文形式完成信息数据的传输,所以数据信息传输途中不需要进行信息数据的加密、解密,这就较好的保障了信息安全,并且该种技术无需大量的维护投入及运行投入,由于端端数据加密技术的数据包传输的路线是独立的,因而即使某个数据包出现错误,也不会干扰到其它数据包,这一定程度上保证了数据传输的有效性及完整性。此外,在应用端端数据加密技术传输数据的过程中,会撤销原有信息数据接收者位置的解密权,除了信息数据的原有接收者,其他接收者都不能解密这些数据信息,这极大的减少了第三方接收数据信息的几率,大大提高了数据的安全性。
2.3数字签名信息认证技术在计算机网络安全中的有效应用
随着计算机相关技术的快速发展,数字签名信息认证技术在提高计算机网络安全中的重要作用日渐突出。数字签名信息认证技术是保障网络安全的主要技术之一,主要是通过对用户的身份信息给予有效的确认与鉴别,从而较好的保证用户信息的安全。目前,数字签名信息认证的方式主要有数字认证以及口令认证两种。数字认证是在加密信息的基础上完成数据信息密钥计算方法的有效核实,进一步增强了数据信息的有效性、安全性。相较于数字认证而言,口令认证的认证操作更为快捷、简便,使用费用也相对较低,因而使用范围更广。
2.4节点数据加密技术在计算机网络安全中的有效应用
节点数据加密技术和链路数据加密技术具有许多相似之处,都是采取加密数据传送线路的方法来进行信息安全的保护。不同之处则是节点数据加密技术在传输数据信息前就对信息进行加密,在信息传输过程中,数据信息不以明文形式呈现,且加密后的各项数据信息在进入传送区段之后很难被其他人识别出来,以此来达到保护信息安全的目的。但是实际上,节点数据加密技术也存在一定弊端,由于其要求信息发送者和接收方都必须应用明文形式来进行信息加密,因而在此过程中,相关信息一旦遭到外界干扰,就会降低信息安全。
2.5密码密钥数据技术在计算机网络安全中的有效应用
保护数据信息的安全是应用数据加密技术的最终目的,数据加密是保护数据信息安全的主动性防治措施。密钥一般有私用密钥及公用密钥两种类型。私用密钥即信息传送双方已经事先达成了密钥共识,并应用相同密钥实现信息加密、解密,以此来提高信息的安全性。而公用密钥的安全性则比较高,其在发送文件发送前就已经对文件进行加密,能有效避免信息的泄露,同时公用密钥还能够与私用密钥互补,对私用密钥存在的缺陷进行弥补。
3数据加密技术应用在计算机网络安全中的有效对策
数据加密技术范文5
【关键词】数据库加密、加密算法、加密技术特性、加密字典、加解密引擎。
随着电子商务逐渐越来越多的应用,数据的安全问题越来越受到重视。一是企业本身需要对自己的关键数据进行有效的保护;二是企业从应用服务提供商(ApplicationServiceProvider,ASP)处获得应用支持和服务,在这种情况下,企业的业务数据存放在ASP处,其安全性无法得到有效的保障。因为传统的数据库保护方式是通过设定口令字和访问权限等方法实现的,数据库管理员可以不加限制地访问和更改数据库中的所有数据。解决这一问题的关键是要对数据本身加密,即使数据不幸泄露或丢失,也难以被人破译,关于这一点现基本数据库产品都支持对数据库中的所有数据加密存储。
-对数据进行加密,主要有三种方式:系统中加密、客户端(DBMS外层)加密、服务器端(DBMS内核层)加密。客户端加密的好处是不会加重数据库服务器的负载,并且可实现网上的传输加密,这种加密方式通常利用数据库外层工具实现。而服务器端的加密需要对数据库管理系统本身进行操作,属核心层加密,如果没有数据库开发商的配合,其实现难度相对较大。此外,对那些希望通过ASP获得服务的企业来说,只有在客户端实现加解密,才能保证其数据的安全可靠。
1.常用数据库加密技术
信息安全主要指三个方面。一是数据安全,二是系统安全,三是电子商务的安全。核心是数据库的安全,将数据库的数据加密就抓住了信息安全的核心问题。
对数据库中数据加密是为增强普通关系数据库管理系统的安全性,提供一个安全适用的数据库加密平台,对数据库存储的内容实施有效保护。它通过数据库存储加密等安全方法实现了数据库数据存储保密和完整性要求,使得数据库以密文方式存储并在密态方式下工作,确保了数据安全。
1.1数据库加密技术的功能和特性
经过近几年的研究,我国数据库加密技术已经比较成熟。
一般而言,一个行之有效的数据库加密技术主要有以下6个方面的功能和特性。
(1)身份认证:
用户除提供用户名、口令外,还必须按照系统安全要求提供其它相关安全凭证。如使用终端密钥。
(2)通信加密与完整性保护:
有关数据库的访问在网络传输中都被加密,通信一次一密的意义在于防重放、防篡改。
(3)数据库数据存储加密与完整性保护:
数据库系统采用数据项级存储加密,即数据库中不同的记录、每条记录的不同字段都采用不同的密钥加密,辅以校验措施来保证数据库数据存储的保密性和完整性,防止数据的非授权访问和修改。
(4)数据库加密设置:
系统中可以选择需要加密的数据库列,以便于用户选择那些敏感信息进行加密而不是全部数据都加密。只对用户的敏感数据加密可以提高数据库访问速度。这样有利于用户在效率与安全性之间进行自主选择。
(5)多级密钥管理模式:
主密钥和主密钥变量保存在安全区域,二级密钥受主密钥变量加密保护,数据加密的密钥存储或传输时利用二级密钥加密保护,使用时受主密钥保护。
(6)安全备份:
系统提供数据库明文备份功能和密钥备份功能。
1.2对数据库加密系统基本要求
(1)字段加密;
(2)密钥动态管理;
(3)合理处理数据;
(4)不影响合法用户的操作;
(5)防止非法拷贝;
1.3数据加密的算法
加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。密钥是控制加密算法和解密算法的关键信息,它的产生、传输、存储等工作是十分重要的。
数据加密的基本过程包括对明文(即可读信息)进行翻译,译成密文或密码的代码形式。该过程的逆过程为解密,即将该编码信息转化为其原来的形式的过程。
DES算法,DES(DataEncryptionStandard)是由IBM公司在1970年以后发展起来的,于1976年11月被美国政府采用,DES随后被美国国家标准局和美国国家标准协会(AmericanNationalStandardInstitute,ANSI)承认,DES算法把64位的明文输入块变为64位的密文输出块,它所使用的密钥也是64位,DES算法中只用到64位密钥中的其中56位。
三重DES,DES的密码学缺点是密钥长度相对比较短,因此,人们又想出了一个解决其长度的方法,即采用三重DES,三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使其有效密钥长度达到112位或168位,对安全性有特殊要求时则要采用它。
RSA算法它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作,也很流行。算法的名字就是发明者的名字:RonRivest,AdiShamir和LeonardAdleman,但RSA的安全性一直未能得到理论上的证明,RSA的安全性依赖于大数的因子分解,但并没有从理论上证明破译RSA的难度与大数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何,而且密码学界多数人士倾向于因子分解不是NPC问题,RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。RSA是被研究得最广泛的公钥算法,从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一。
AES是美国高级加密标准算法,将在未来几十年里代替DES在各个领域中得到广泛应用,尽管人们对AES还有不同的看法,但总体来说,AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。AES设计有三个密钥长度:128,192,256位,相对而言,AES的128密钥比DES的56密钥强1021倍。AES算法主要包括三个方面:轮变化、圈数和密钥扩展。在理论上,此加密方法需要国家军事量级的破解设备运算10年以上时间才可能破译。
1.4数据库数据加密的实现
使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过系统中加密、DBMS内核层(服务器端)加密和DBMS外层(客户端)加密。
在系统中加密,在系统中无法辨认数据库文件中的数据关系,将数据先在内存中进行加密,然后文件系统把每次加密后的内存数据写入到数据库文件中去,读入时再逆方面进行解密就,这种加密方法相对简单,只要妥善管理密钥就可以了。缺点对数据库的读写都比较麻烦,每次都要进行加解密的工作,对程序的编写和读写数据库的速度都会有影响。
在DBMS内核层实现加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。这种加密方式的优点是加密功能强,并且加密功能几乎不会影响DBMS的功能,可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行,加重了服务器的负载,而且DBMS和加密器之间的接口需要DBMS开发商的支持。
在DBMS外层实现加密的好处是不会加重数据库服务器的负载,并且可实现网上的传输,加密比较实际的做法是将数据库加密系统做成DBMS的一个外层工具,根据加密要求自动完成对数据库数据的加解密处理。
采用这种加密方式进行加密,加解密运算可在客户端进行,它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密,缺点是加密功能会受到一些限制,与数据库管理系统之间的耦合性稍差。
数据库加密系统分成两个功能独立的主要部件:一个是加密字典管理程序,另一个是数据库加解密引擎。数据库加密系统将用户对数据库信息具体的加密要求以及基础信息保存在加密字典中,通过调用数据加解密引擎实现对数据库表的加密、解密及数据转换等功能。数据库信息的加解密处理是在后成的,对数据库服务器是透明的。
按以上方式实现的数据库加密系统具有很多优点:首先,系统对数据库的最终用户是完全透明的,管理员可以根据需要进行明文和密文的转换工作;其次,加密系统完全独立于数据库应用系统,无须改动数据库应用系统就能实现数据加密功能;第三,加解密处理在客户端进行,不会影响数据库服务器的效率。
数据库加解密引擎是数据库加密系统的核心部件,它位于应用程序与数据库服务器之间,负责在后成数据库信息的加解密处理,对应用开发人员和操作人员来说是透明的。数据加解密引擎没有操作界面,在需要时由操作系统自动加载并驻留在内存中,通过内部接口与加密字典管理程序和用户应用程序通讯。数据库加解密引擎由三大模块组成:加解密处理模块、用户接口模块和数据库接口模块。
2.结束语
上面的论述还远远没达到数据库安全需要,比如现在的数据库基本都给与网络架构,网际的安全传输等,也是要重点考虑的方面,等等。一个好的安全系统必须综合考虑核运用这些技术,以保证数据的安全,通过一上论述希望对大家有所帮助,同时也和大家一起讨论一起学习,共同进步。
参考文献:
[1]现代数据库管理(美)JeffreyA.Hoffer,MaryB.Prescott,FredR.McFadden著
数据加密技术范文6
关键词:加密技术;电子商务;对称加密体制;非对称加密体制
中图分类号:G642 文献标识码:B
文章编号:1672-5913(2007)18-0166-03
电子商务在当今世界已经被广泛应用,其在技术方面的核心问题是信息的保密性、完整性和不可否认性。加密技术是电子商务采取的主要的安全措施。
一般说来,系统的保密性不依赖于加密体制或算法的保密,而只依赖于密钥。也就是说虽然加密和解密算法是公开的,密码分析者可以知道算法与密文,但不知道密钥,仍难于将密文还原为明文。根据密钥的特点将密码算法分为对称加密体制和非对称加密体制。
1对称加密体制-单钥加密体制
对称加密算法是加密密钥Ke与解密密钥Kd为同一密钥的加密算法。信息的发送者和接收者在进行信息的传输和处理时共同持有该密钥。对称加密体制最著名的算法是美国数据加密标准DES、高级加密标准AES和欧洲数据加密标准IDEA。
1.1IDES加密算法
输入64位的明文,在56位(另外8位可用作奇偶校验或随意设置)密钥的控制下,通过初始换位,然后经过16轮完全相同的加密变换,在加密变换过程中明文与密钥相结合,最后再通过逆初始换位得到64位的密文。该算法的优点是运算速度快,密钥容易产生,适合加密大量的数据。缺点是算法迭代次数少,不能提供足够的安全性。
1.2对称加密在电子商务应用中的缺陷
对称加密体制的最大问题是密钥的管理和分配非常复杂。比如,在购物支付环境中,一个具有n个用户的网络,因为每对用户每次使用对称式加密算法都需要使用其他人不知道的唯一的密钥,以保证信息的机密性,所以系统拥有的密钥总数为n(n-1)/2,若n等于104,则就大约需要管理5×107个密钥,耗费大量的存储空间。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方,这是因为贸易双方共享同一把密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方,所以不能用于数字签名。
2非对称加密体制-公钥加密体制
加密密钥和解密密钥为2个不同的密钥的密码体制。它使用一对密钥:一个称为公钥PK,是公开的,由他人使用,其作用是进行加密或验证数字签名;另一个称为私钥SK,由用户自己使用,是保密的,用于解密或对消息进行数字签名。这两个密钥之间的关系是用其中任何一个密钥加密的信息只能用另一个密钥解密,而且解密密钥不能从加密密钥获得。若以公钥作为加密密钥,以私钥作为解密密钥,则可实现多个用户加密的信息只能由一个用户解读;反之,以私钥作为加密密钥而以公钥作为解密密钥,则可实现一个用户加密的信息可由多个用户解读。前者用于数据加密,后者用于数字签名。
2.1RSA加密算法
RSA加密算法是当前最著名且应用最广泛的公钥算法,其安全性基于模运算的大整数素因子分解问题的困难性。选择两个互异的大素数p和q,一般要求大于10100;计算n=p×q和z=(p-1)(q-1);选择一个与z互质的整数,记为d;计算满足下列条件的e, (e×d) mod z=1。这里 (n, e) 就是公开的加密密钥,(n, d) 是私钥。在进行加密时,把明文分割成一定大小的块M,加密过程即C=Me mod n;解密过程即M=Cd mod n。在RSA算法中,n的长度是控制该算法可靠性的重要因素,目前大多数加密程序均采用1024位以上。因为它无须收发双方同时参与加密过程非常适合于电子函件系统的加密。尽管RSA算法既可用于加密,也可以用于数字签名,但其加密、解密运算复杂,速度慢,所以目前该算法适用于少量数据的加密,更多的用于加密密钥。
2.2ElGamal加密算法
ElGamal加密算法的安全性是基于有限域上离散对数问题的难解性。随机选取一大素数p (200位十进制数) ,选一个数g (模p的本原根,1
2.3Rabin算法
设p,q是两个保密的随机大素数,(p,q) 是私钥;n(=p×q) 和b (≥1) 是公开的,(n,b) 是公钥两个保密的大素数p,q由Dirichlet定理可得到:已知b≥1,则使得y×2b+1是素数的整数y (≥1) 有无穷多个;而且使得y΄×2b-1是素数的整数y΄ (≥1) 也有无穷多个。
加密过程:C=E(M) =M (M+b) (mod n),其中M是明文,C是密文。
解密过程:求同余方程M2+bM-C=0 (mod n) 的解。因为n=p×q,p,q是素数,所以该方程等价于
Rabin密码系统的加密与解密速度一般比RSA系统要快1-3倍。因此,在诸如PGP等应用软件中使用Rabin,将有效地提高软件的执行速度。
2.4椭圆曲线加密算法ECC
椭圆曲线加密算法 (ECC) ,其安全性基于椭圆曲线点群上离散对数问题 (ECDLP) 的难解性。
(1) 相关概念
有限域上的椭圆曲线E指的是满足Weier2trass方程
y2+a1xy+a3y=x3+a2x2+a4x+a6(式1)
的所有解 (x, y) 和无穷远点的集合。
椭圆曲线上的无穷远点:令x=X/Z,y=Y/Z,代入 (式1) 得
(Y/Z)2+a1(XY/Z2)+a3(Y/Z)=(X/Z)3+a2 (X/Z)2+a4(X/Z)+a6
当Z≠0时,整理得
Y2Z+a1XYZ+a3YZ2=X3+a2X2Z+a4XZ2+a6Z3(式2)
显然,点 (x, y) 和 (X, Y, Z) 是相对应,而θ (X, Y, 0) 可以看作是曲线上点 (X, Y, ε) ,在ε0而得到的,θ就被称为椭圆曲线上的无穷远点。
椭圆曲线上的加法运算:设P、Q是E上任意2点,直线l是PQ连线,如图1所示。设l和E相交于另一点R΄,R是R΄关于x轴的对称点,记为R=P+Q,根据椭圆曲线的对称性,可知R必在曲线上。
由上述加法的定义可知:曲线上2个点 (可能是相同的点,如图1中的M点) 相加,其和仍是曲线上的点。不妨将P+P记为2×P,P+P+…+P记为m×P。不难证明,2×P、…、m×P都一定是曲线E上的点。这样,椭圆曲线上的点外加一个无穷远点构成的集合和以上定义的加法运算构成了可交换群 (Abel群) 。
(2) 椭圆曲线加密体制
ECC是在有限域的椭圆曲线上建立加密算法,可用的加密实现方法有Diffie-Hellman公钥系统、ElGamal公钥系统、因数分解算法等。其定义如下:
给定整数k和椭圆曲线E,求出
Q=k×P=P+P+…+P (k个P相加)(式3)
其中k
n×P=P+P+…+P=H(式4)
显然,已知k和P,可以容易地计算Q,而由Q和P推导出k则比较困难,这就是ECC的数学原理。ECC的工作原理(其中曲线E、点P和素数n都是公开信息,此处的加密实现方法是ElGamal公钥算法)为:
密钥的生成:私钥拥有者(以下用A表示)随机选取一个整数k(k
消息的发送:消息发送方 (以下用B表示) 为了发送消息M,进行如下操作:
1) 找到A的公钥 (E, P, n, Q) ;
2) 将M标识成一个域元素;
3) 在区间 [1, n-1] 内选取一个随机整数d;
4) 依照A的公钥计算点 (x1,y1)=d×P,(x2,y2)=d×Q,若x2=0则回到第 3) 步;
5) 计算C=M×x2;
6) 传送密文 (x1x, C) 给A。
解密过程:A收到B的密文后,使用私钥k,计算点 (x2, y2)=k(x1, y1) ,再计算x2-1;计算M=C x2-1,恢复得到明文。
(3) ECC的优势与应用注意事项
1) 安全性高。加密算法的安全性能一般通过算法的抗攻击强度来反映。解决椭圆曲线上的离散对数问题的最好算法是Pollard ρ方法,其时间复杂度是完全指数阶的。而RSA所利用的是大整数分解的困难问题,其因数分解最好算法的时间复杂度是子指数阶的,所以攻击ECC的算法复杂度比RSA要高得多。例如,密钥长度为1024位的RSA破解最快需要3×1011MIP年,而密钥长度为160位的ECC破解最快需要9.6×1011MIP年从加密强度来看,椭圆曲线密码体制是目前已知的公钥体制中,对每字节所提供加密强度最高的一种体制。
2) 短密钥。密钥越长,其安全层次就越高,但运行速度必然会慢。研究表明,106位ECC密钥加密强度相当于512位的RSA,而160位ECC密钥加密强度更是相当于1024位的RSA。这意味着,在保证同样安全等级的前提下,RSA密钥长度要比ECC的长得多,占用的内存也大得多。ECC密钥的长度优势给ECC算法带来了短小、高效、低耗的技术优势,在IC卡上的应用具有重要的意义。
3) 处理速度快。ECC算法在处理解密和签名的速度上,要比RSA、ElGamal快很多。虽然在RSA算法中可以通过选择较短的公钥的方法来提高加密和签名验证的速度,但总的来说,在相同的安全强度下,ECC速度要比RSA、ElGamal快很多。使用160位密钥长度的ECC算法加、解密或数字签名要比使用1024位密钥长度的RSA算法大约快10倍。该算法应用于签名、多重签名和盲签名技术。
4) 在使用ECC时,椭圆曲线的选择上一定要避免超奇异椭圆曲线和异常曲线这两种曲线是不宜用于密码体制的椭圆曲线,它们的ECDLP相对容易,因而易遭到特定算法的攻击。
2.5公钥密码体制在电子商务应用中的优缺点
由于加密、解密的密钥不同且能公开加密密钥,所以公钥密码算法的密钥管理和分配问题很简单。例如具有n个用户的网络,仅需要管理2n个密钥,远远小于对称密钥的管理。公钥加密算法应用广泛,既可用于信息加密又可用于数字签名,而且,基于数字签名,还可实现鉴别、数据完整性和防抵赖等安全目标,适应于电子商务安全的需要。公钥密码算法最大的缺点是算法比较复杂,运算量十分浩大,加密、解密的速度慢。因此提高公钥算法的运算速度成为密码算法研究的一个重要方向。
3总结与展望
上面介绍了数据加密技术中几种主要的密码算法。虽然非对称加密算法在电子商务应用方面有很多优势,并且非对称加密体制!椭圆数据加密技术也成为密码技术在电子商务安全方面的热点研究领域,但由于对称加密算法加密速度远快于非对称加密算法,而且在相同安全水平下,对称密钥长度为128位,RSA密钥长度为3072位,ECC密钥长度为256位,密钥长度相对较短,所以,非对称加密体制不能完全取代对称加密体制。在实际用中,电子商务的安全加密系统普遍采用对称加密体制和非对称加密体制相结合的混合加密体制:用对称密码算法来加密或解密大量的数据,而用非对称密码算法来加密关键性的、核心的机密数据(如会话密钥)。这样既发挥了对称密码算法的高速、简便性又充分利用了非对称密码体制密钥管理的方便、安全性,较好地解决了运算速度问题和密钥分配管理问题。
参考文献
[1] 祁明. 电子商务安全与保密[M]. 北京:高等教育出版社,2001,(7):44-84.
[2] 邱新建. 信息加密技术概论[J]. 石家庄职业技术学院学报,2004,12(6).
[3] 杨波等. 基于Rabin加密算法的密钥托管体制[J]. 西安电子科技大学学报,1999,4(2).
[4] 邱奇志. 椭圆曲线在数字签名中的应用[J]. 武汉理工大学学报,2004,9(9).
[5] 刘凌波等. 现代密码理论新动向[J]. 计算机时代,2004,(2).
[6] 李俊芳. 椭圆曲线加密算法及实例分析[J]. 网络安全技术与应用,2004,(11).
