突发事件,大到自然或人为灾害,如地震及“9·11”袭击事件等,一般称之为灾难;小到系统网络中断、病毒袭击、磁盘出错等,因其破坏程度相对较轻,一般称为故障。“数据安全系列谈”从数据备份、数据恢复、数据存储、数据维护(反病毒/防火墙技术)、数据加密五个部分,全面阐述一个企业从数据的主动维护到修复的全过程,为企业提供一个保护数据安全的全面的解决之道。
数据安全隐患无处不在。机密数据库不能允许非授权人员查看,私人内容、敏感信息、商业数据等必须防止它人非法访问、修改、拷贝。如何保证数据安全?数据加密是应用最广、成本最低廉而相对最可靠的方法。
技术核心密码学
数据加密的技术核心是密码学。对一段数据进行加密要通过“加密算法和密钥”。实现根据加密和解密过程是否使用相同的密钥,加密算法可以分为对称密钥加密算法(简称对称算法)和非对称密钥加密算法(简称非对称算法)两种。
对称算法是指加密和解密的过程使用同一个密钥。它的特点是运算速度非常快,适合用于对数据本身的加解密操作。目前最常见的对称算法是DES。相对于对称算法来讲,非对称算法的运算速度要慢得多,但是在多人协作或需要身份认证的数据安全应用中具有不可替代的作用,其中典型的应用为Internet上的安全。使用非对称算法对数据进行签名,可以证明数据发行者的身份并保证数据在传输的过程中不被篡改。RSA算法是最常见的非对称算法。我们在实际应用的时候,非对称算法中一个叫做公钥,另一个叫做私钥。使用者可以把公钥公开,这时其他人就可以使用这个公钥对使用者的私钥加密的数据进行解密,如果解密成功,可以证明数据确实是使用者发出的。
对于现在较为成熟的密码体系,要求算法是公开的,而密钥是保密的。这样使用者可以简单地修改密钥,就可以达到改变加密过程和加密结果的目的。
典型应用:数字签名
对于实际应用来说,如何构造整个数据安全保护系统至关重要。
数据加密系统包括对系统的不同部分要选择何种加密算法、需要多高的安全级别、各算法之间如何协作等等因素。在系统的不同部分要综合考虑执行效率与安全性之间的平衡。因为一般来讲安全性总是以牺牲系统效率为代价的。
以互联网上传递安全数据的通用方法为例。如果要在Internet上的两个客户端(A和B)传递安全数据,这就要求客户端之间可以彼此判断对方的身份,传递的数据必须加密以及当数据在传输中被更改时可以被发觉。
当A给B传递数据时,由于数据量有可能非常大,所以对传递的数据本身应该使用速度相对较快的对称算法进行加密,进行数据加密的会话密钥使用临时产生的随机密钥KA;为了将会话密钥KA传给B(当然不能明文传递),可以用B的公钥加密KA。由于KA很短,因此这个加密过程也比较快。最后,A可以用摘要算法来使已加密的数据产生一个数据摘要,并用自己的私钥来对这个数据摘要进行加密。这样就产生了一个数字签名。
如右上图所示,原始数据经过变换后分成了三个部分:用KA加密的数据、接收方私钥加密的KA、发送方公钥对数据的签名。
B收到这样的加密数据后,可以先用A的公钥验证数字签名,以判断收到的数据是否由A发送及是否在传输中被修改;然后使用自己的私钥解密得到KA;最后用KA解密得到原始的传输数据。
两个客户端在网上传递数据的原理图
由此可见,设计一个数据加密系统是非常复杂的,整个系统的安全性取决于系统中安全性最差的环节。因此,最好请有经验的专业公司协助设计数据加密系统。
发展趋势:数字版权保护
目前市场上常见的加密产品共有三种:加密狗、Internet身份认证产品和数字证书,其中,加密狗是用来进行软件加密的代表产品,诸多应用程序(如财务软件、教育软件、CAD 软件等),大多采用硬件加密这种方式;Internet身份认证产品(如智能卡、USB token、动态密码等)是近年来涌现的用于进行身份认证的安全产品,如前所述,密钥的安全是整个加密安全系统中最重要的环节,智能卡、USB token都可以用来存储密钥;而数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的数字身份证,由CA 认证中心发放。数字证书的使用者使用证书中公钥加密所要传送的信息,证书持有者接收到加密信息后,用证书中公钥对应的私钥解密。随着互联网的发展和硬件技术的发展,数据加密技术也在不断发展。
以往对数据的保护往往集中在对程序、数据库等内容的保护上,并且主要目的是防止接触和对使用者身份的认证。现在,数据加密正呈现出许多新的特点:
加密强度需求越来越高。新的硬件技术使解密速度大大提高,为保证加密强度,密钥长度在不断地加长。目前,RSA算法所采用的密钥长度已经达到4096位。
加密系统设计越来越复杂。上面讲述的例子已经远远比不上一些关键数据安全领域所使用系统的复杂度。这是因为现在的应用越来越复杂,因而系统越来越大。
数据加密的目的在变化。数据加密不再只以数据保护和访问控制为目的。为此一种新的技术——数字版权保护(DRM)正在悄悄兴起,它以限制使用者非法扩散数字内容及证明数据内容版权为目的,使用了远程认证和升级、数字水印、机器指纹识别等最新的技术,并越来越受到重视。在DRM领域,目前已经吸引了包括微软、IBM、AOL以及彩虹天地公司等一大批知名企业投入了巨大的资金和研发力量,产品已经投放市场。
数据加密的技术内容在发展。数据加密不再只以密码学和系统设计为技术基础。目前越来越多地溶入了互联网技术和针对不同数据格式的压缩(如媒体文件)、分析(如HTML文档)技术等内容。
