文件加密和数字签名技术
与防火墙配合使用的安全技术还有文件加密与数字签名技术,它是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施, 推动着数据加密技术和物理防范技术的不断发展。按作用不同, 文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。 1、数据传输加密技术
目的是对传输中的数据流加密, 常用的方针有链路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件内容是一些看不懂的代码), 然后进入TCP/IP数据包封装穿过互联网, 当这些信息一旦到达目的地, 将由收件人运用相应的密钥进行解密, 使密文恢复成为可读数据明文。目前最常用的加密技术有对称加密技术和非对称加密技术,对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密方式就是加密和解密所用的密钥不一样,它有一对密钥,称为“公钥”和“私钥”两个,这两上密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的么钥才能解密,反之亦然。用非对称加密方式进行加密的软件目前最流行的是PGP,具体加密技术参见本人的另两篇稿件——《文件加密和数字签名》、《加密技术的方方面面》一文。 2、数据存储加密技术
这种加密技术的目的是防止在存储环节上的数据失密, 可分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方法实现;如上面提到的PGP加密软件,它不光可以为互联网上通信的文件进行加密和数字签名,还可以对本地硬盘文件资料进行加密,防止非法访问。这种加密方式不同于OFFICE文档中的密码保护,用加密软件加密的文件在解密前内容都会作一下代码转换,把原来普通的数据转变成一堆看不懂的代码,这样就保护了原文件不被非法阅读、修改。后者则是对用户资格、权限加以审查和限制, 防止非法用户
存取数据或合法用户越权存取数据,这种技术主要应用于NT系统和一些网络操作系统中,在系统中可以对不同工作组的用户赋予相应的权限以达到保护重要数据不被子非常访问。3、数据完整性鉴别技术
目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证, 达到保密的要求, 一般包括口令、密钥、身份 、数据等项的鉴别, 系统通过对比验证对象输入的特征值是否符合预先设定的参数, 实现对数据的安全保护。这种鉴别技术主要应用于大型的数据库管理系统中,因为一个单位的数据通常是一个单位的命脉,所以保护好公司数据库的安全通常是一个单位网管、甚至到一把手的最重要的责任。数据库系统会根据不同用户设置不同访问权限,并对其身份及权限的完整性进行严格识别。
4、 密钥管理技术
上面我讲到了数据的加密技术通常是运用密钥对数据进行加密,这就涉及了一个密钥的管理方面,因为用加密软件进行加密时所用的密钥通常不是我们平常所用的密码那么仅几位,至多十几位数字或字母,一般情况这种密钥达64bit,有的达到128bit,我们一般不可能完全用脑来记住这些密钥,只能保存在一个安全的地方,所以这就涉及到了密钥的管理技术。密钥的保存媒体通常有: 磁卡、磁带、磁盘、半导体存储器等,但这些都可能有损坏或丢失的危险,所以现在的主流加密软件都采取第三方认证(这第三方可以是个人,也可以是公证机关)或采用随机密钥来弥补人们记忆上的不足,还是如PGP加密软件,不过现在的WIN2K系统以及其它一些加密软件都在慢慢地往这个方向发展。有关这些方面同样可以参考我的稿件《文件加密与数字签名》、《加密技术的方方面面》。 技术与技术之间总会有点冲突 呵呵,好帖一定要顶,支持
www.bwin66.info
www.bjgyg.com
www.gongnu85.com
www.hfyatian.com
www.xy2014.com
页:
[1]