数据加密技术在计算机信息安全管理中的应用
2022-11-26张倩李军茹
张倩,李军茹
(1.石家庄工程职业学院信息工程系,河北石家庄,050000;2.石家庄工商职业学院工学院,河北石家庄,050000)
1 背景探讨
大数据时代,数据共享已经成为常态。数据共享具有显著价值意义,但是数据共享也带来了数据信息隐秘性的丧失。由于大数据挖掘算法通常会进行数据关联,因而数据信息修改过程中势必影响与之关联的其他敏感信息,这一过程中必定存在安全隐患。进一步来讲,由于当前云服务的深度应用,大量数据保存在云端,也存在极多的信息安全隐患。
总体上来讲,当前计算机信息安全形势并不容乐观,数据泄露问题屡见不鲜,在网络边界日趋模糊的状态下,众多应用系统和数据接入网络当中,信息安全必定遭遇来自多个方面的攻击,所以加强计算机信息安全管理,确保数据信息不泄露是迫切需要解决的关键问题。
2 数据加密技术
2.1 数据加密古已有之
数据加密技术实际古已有之,很多考古勘探结果均表明了古人就会使用很多奇妙的方法来实现数据加密,比如八卦,本质上也可以看作是一套数据加密。又比如字谜,《红楼梦》和《莺莺传》打一成语,即一石二鸟。用现代密码学来解释,即《红楼梦》和《莺莺传》打一成语为公钥,而私钥则有两个即红楼梦又称石头记,莺莺传中有二鸟,所以得到明文一石二鸟。这是非常古典的密码。
2.2 数据加密的发展
在工业革命到来后,密码学从艺术上走向了逻辑和机械,加密技术得到飞速发展,比如加密锁。而当第一台计算机问世,加密技术就得到了飞跃式发展。计算机强大的计算能力,使得基于复杂计算的数据加密成为可能,此时数据加密整体进入电子时代。在早期数据加密技术也比较简单,但由于利用了计算机高效的运算能力,从而提升了加密算法的复杂性和安全性,比如置换表,这一技术在所有数据加密技术当中是最简单的一种,该方法是将每个数据段对应置换表中的一个偏移量,偏移量对应的值输出后成为加密后的文件,加解密都需要一个置换表,但是这种加密算法过于简单,因为极容易被破解,随着字节循环移动和异或操作的加密算法出现,逐渐形成了数据流理论体系,再加上斐波那契数列构建伪随机方法,这使得密码破解难度急速提升。1972年DES算法出现,此后的几年DES一直占据数据加密的半壁江山,而在1976年,公开密钥密码体制概念被提出后,非对称加密便开始逐步成为主流。
2.3 数据加密的本质
事实上不管数据加密技术如何发展其本质上都是利用数学上的算法来解决加解密问题,换而言之就是数学求解过程。数据加密就是要通过数据封包等方式,以数据包为单元进行加密,加密算法就是数学上的函数。
比如非对称加密算法,其本质就是单向陷门函数。在其中必须要有一个辅助计算的充分必要条件,即陷门,这在加密当中就是私钥,通过API权限以私钥解开公钥就能打开数据包获得数据。
所谓单向陷门函数是有且只有一个陷门的特殊单向函数,该函数有两个明显特点,一是单向性,二是有且只有一个陷门。如函数Y=f(x),若已知x要求出Y很简单,但是已知的是Y而要求出x则很困难,此时需要一个陷门来辅助求解x,用z来表示,则z就是陷门。比如算例123456789与987654321相乘,得到12193271112635269,这个过程是很简单的,但是如果只知道12193271112635269这个答案,要去求出123456789与987654321这个组合就很难了,因为有非常多的可能性,非对称加密就是利用这种特性来进行加密。当然在非对称加密中要求加密算法和公钥在公开的情况下,加密的密文必须是安全的,加密的人和掌握私钥的人要能够很轻易地解除加密,而其他不掌握私钥的人则很难解开。非对称加密和PKI、数字签名、电子商务等技术进行了有效结合,确保了网上重要信息的机密性,在网络信息安全方面发挥了巨大作用。
对称加密算法实际上也是基于数学的一种算法,在数据传输当中数据的接发双方使用同一个密钥来加解密,即发送数据方将数据和加密密钥一起封包并用特殊加密算法处理后,发送出去,接收方则需要使用对应的密钥和相同算法的逆算法进行解密。由于接发双方都使用同一个密钥因此安全性得不到保障,而且随着数据量增大,密钥管理将成为用户的负担。
当然这几种算法需要生成的密文几乎都要用到密钥,而密钥则是数学计算的结果,即不管加密算法在细节上有多大差别,但是都依赖数学运算。
2.4 数据加密的价值
在计算机信息安全管理当中数据加密是非常重要的安全防护手段之一,对于计算机而言,计算机系统是存在一定漏洞,这些漏洞给爬虫工程师、黑客等提供了进入计算机系统的通道,当攻击者进入系统并且获得数据或者破坏数据影响都是非常大的,所以计算机信息安全管理从技术层面上来讲即矛与盾之间的较量。攻击在加强,防护当然也会加强。
当前数据加密并没有统一的技术标准,各个厂家或者研究院在数据加密技术上使用的应用方案也有很大的差别。但很明显在矛与盾的较量当中,数据加密对数据的保护程度能够判断加密技术的优劣。由于计算机的普及,人们日常生活、工作、学习都在享受着计算机所带来的便利,但是计算机带来了便利也带来了隐私泄露风险,随着人们对信息安全的重视程度日渐加深,也就将眼光集中于信息安全管理上来。数据加密在信息安全当中属于必备技术。没有经过数据加密的数据很容易被盗取并破解,进而造成信息泄露。而数据加密可以保证数据在传输过程中即便被攻击者抓取到,但由于攻击者缺乏必要的解密手段因而无法获取数据包内的具体数据信息,如此能够较大程度地提高计算机数据存储和传输过程当中的安全性。
3 数据加密技术的应用思考
数据加密依赖于一系列复杂的数学运算,且运算量巨大,越复杂的数据加密技术,需要的运算量越大,想要快速完成运算是不切实际的。对于攻击者来说这保证了数据不被攻击者窃取。但所有的数据加密技术都有可能起不到防护效果,即便最大的开发机构和极度依赖数据加密的应用,都有可能出现算法出错,比如某游戏主机,在实施ECDSA时,主机公司用的哈希算法,在部署数学运算时,使用了一个常数而不是随机数,进而导致攻击者推导出了安全密钥。换言之对于防护者,任何可能存在的错误,都能导致在信息安全矛与盾的较量中功亏一篑。因此如何应用数据加密技术非常值得思考。
从加密技术应用的数据加密位置去划分,一般可分为应用层加密如备份软件、数据库,网关层加密比如加密交换机或者服务器,存储系统和加密硬盘、链路加密等。
3.1 存储方面的加密技术应用
从存储的角度来讲,应用层加密的兼容性最好,实际上很多市面上应用的计算机办公软件都是使用的应用层加密,因为其在存储、网络层是无感知的。网关层的加密往往需要进行二次开发,且兼容性是一个挑战,数据流必须经过加密设备,比如SNA交换机,网关加密服务器等。
考虑当前很多敏感数据会上云,则在数据加密中可考虑Vormetric Transparent Encryption Agent方案。在网络当中部署加密密钥管理服务器Vormetric DATA Security Manager,它支持集群模式,用于加密密钥管理。同时该方案还支持云下加密和数据上云,使用Vormetric Cloud Encryption Gateway在用户侧完成加解密,加密后的数据可保持与S3或者云。同样的SafeNet 也支持上云,但其主要针对文件、对象,它与Vormetric这一网关加密不同的是,它可以在AWS上提供密钥管理租赁服务,可将密钥管理服务器放置在云上。Protect File部署于用户主机,是一套软件,实现对NAS存储共享的文件进行加解密。SafeNet所提供的密钥管理是业内处在领先水平的加密密钥集中管理和保护平台,可支持广泛的加密生态体系。
3.2 链路方面的加密技术应用
链路加密针对计算机网络传输路径的保护,由于网络传输是公开的,即基于广播技术,任何两个网络节点的网卡可接收传输链路上的数据,因而也可以被处在同一链路中的任何一个节点的网卡所截取。链路加密技术就是针对网络当中每一条数据链进行加密,确保任意两个节点间的加密独立,并使用不同密钥来实现加解密。这样一来,即便某条链路遭到攻击被破坏,其他链路也不受影响。该技术依赖于微软公司的网络驱动程序接口规范,微软提供的NDIS微端接口处在网络链路层,是网络驱动当中非常重要的驱动程序,直接对微端接口驱动进行改造,实现对数据帧的截取并调用加解密模块来实现数据加解密。由于软件加解密的速度比较慢,为保证加解密速度,实践中可将加解密模块加载至微端接口驱动当中,如此对数据的处理均处在系统底层,然后集成所有模块即可编译为网卡驱动。如此通过网卡驱动连接的节点之间的数据链路上所传输的数据均为密文,数据源、去向、长度、频密均被隐藏。
针对传输链路的防护,还可利用端到端加解密来实现数据保护,即在接发两端设置加解密装置,发送端发送出去的数据通过加密装置加密后发送出去并于接收端确认一个共有密钥,同时确认后数据开始发送传输,接收端接收数据后通过加解密装置解密,获取数据包中的数据信息。其技术实际上就是典型的对称加密,通过赋予数据包密码来实现加密,加密的数据包只有装备对应加解密装置的接收端才能解密,任何其他节点都不能进行加解密操作。但是需要注意的是,端到端的加解密不能同其他数据加密技术同步,否则将导致某个数据包出现问题影响数据的完整性。当然其缺点也非常明显,即流量小,速度慢,对于上了一定规模的数据显然是力不从心的。为了解决这些问题,开发人员通过在硬件安全框架之内,将数据加密算法集成在硬件上,比如上述的链路加密,就是将加密算法集成在网卡驱动当中,通过网卡来实现加解密。通过在硬件上集成加密功能,开发人员可以在很大程度上忽略算法的复杂细节,从而将精力更多地投入在加密算法保护应用的优势上来。并且硬件集成算法还可在一定程度上消除监视外部总线以及寻找特权痕迹现象等常见攻击形式。