数据传输加密技术的目的是加密传输中的数据流,防止通信线路上的窃听、泄露、篡改和破坏。数据传输的完整性通常通过数字签名来实现,即数据发送者在发送数据时使用单向不可逆加密算法Hash函数或其他信息文摘算法计算传输数据的信息文摘,并将信息文摘作为数字签名与数据一起发送。接收方在收到数据的同时也收到了数据的数字签名。接收方使用相同的算法计算接收到的数据的数字签名,并将数字签名与接收到的数字签名进行比较。如果两者相同,则表明数据在传输过程中未被修改,保证了数据的完整性。
Hash算法又称新闻摘要或单向转换,是一种不可逆的加密算法,因为它被称为单向转换:
1) 双方必须在通信的两端分别执行Hash函数计算;
2)使用Hash函数很容易从消息中计算出消息摘要,但其逆向反演过程在当前计算机的计算能力中几乎无法实现。
Hash散列本身就是所谓的加密检查,通信双方必须执行函数计算来验证信息。例如,发送人首先使用它。Hash检查算法计算消息,然后将计算结果A封装到数据包中一起发送;接收方执行接收消息Hash算法计算得出结果B,并将B与A比较一下。如果消息在传输过程中被篡改,B和A接收方丢弃了数据包。
最常用的有两种Hash函数:
·MD5)MD5对MD改进了4,计算速度比MD4稍慢,但安全性能进一步提高。MD64个32位常数用于计算,最终生成128位的完整性检查和。
·SHA安全Hash算法:其算法MD5为原型。SHA79个32位常数用于计算,最终产生160位完整性检查和。SHA检查和长度比MD5更长,所以安全性更高。
身份认证
身份认证要求参与安全通信的双方在进行安全通信前必须识别对方的身份。保护数据不仅是为了使数据正确和长期存在,更重要的是,让不应该看到数据的人看不到它。在这方面,我们必须依靠身份认证技术来为数据添加一个锁。数据存在的价值是需要合理访问。因此,建立信息安全系统的目的应该是确保系统中的数据只能有权限的人访问,未经授权的人不能访问数据。如果没有有效的身份认证手段,访问者的身份很容易被伪造,使未经授权的人模仿有权限的身份。这样,任何安全系统都是徒劳的,所有的安全投资都被无情地浪费了。
在企业管理体系中,身份认证技术应能够紧密结合企业的业务流程,防止非法访问重要资源。身份认证技术可用于解决访问者的物理身份和数字身份的一致性,为其他安全技术的权限管理提供依据。因此,身份认证是整个信息安全系统的基础。
由于网上通信双方不见面,交易时(交换敏感信息时)必须确认对方的真实身份;身份认证是指用户身份的确认技术,是网络安全的第一道防线,也是最重要的防线。
从安全的角度来看,公共网络上的认证可以分为两类:一类是要求认证人在网上传递秘密信息(如密码)的密码认证方法,另一类是使用不对称加密算法而不需要在网上传递秘密信息的认证方法,包括数字签名认证方法。
l 密码认证方法
密码认证必须有一个前提:请求认证人必须有一个前提ID,该ID必须在认证人的用户数据库中(必须包括在内)ID和密码)是唯一的。同时,为了保证认证的有效性,必须考虑以下问题:
·认证人的密码必须安全。
·在传输过程中,密码不能被窃取或更换。
·请求认证人在向认证人请求认证前,必须确认认证人的真实身份。否则,密码将发送给假认证人。
密码认证最大的安全问题之一是,系统管理员通常可以获得所有用户的密码。因此,为了避免这种安全风险,密码通常保存在数据库中Hash值,通过验证Hash认证身份的方法。
l 不对称加密算法(数字证书)的认证方法
采用不对称加密算法的认证方法,不需要在网上传输认证双方的个人秘密信息(如密码),降低了认证的风险。这种方法是通过请求认证人和认证人之间的随机数字签名和验证数字签名来实现的。
一旦认证通过,双方将建立安全通道进行通信,并在每一个请求和响应中进行,即接收信息的一方首先从接收到的信息中验证发信人的身份信息,然后根据发送的信息进行处理。
实现数字签名和验证数字签名的密钥必须与认证方唯一对应。
在公钥密码(不对称加密算法)系统中,数据加密和解密使用不同的密钥,加密密钥加密的数据只能用相应的解密密钥解密,更重要的是,很难从加密密码中找到解密密钥。在实际应用中,用户通常披露密钥对中的加密密钥(称为公钥),而秘密持有解密密钥(称为私钥)。使用公钥系统可以方便地实现用户身份认证,即用户在信息传输前首先使用私钥加密传输信息,信息接收者使用用户发布的公钥解密,如果可以解开,信息确实是用户发送的,便于识别和认证信息发送者的身份。在实际应用中,公钥密码系统和数字签名算法通常结合使用,以确保数据传输的完整性,同时完成用户身份认证。
目前的不对称加密算法是基于一些复杂的数学问题,如目前广泛使用的数学问题RSA算法是以大整数因子分解著称的数学问题。目前常用的非对称加密算法包括整数因子分解RSA以椭圆曲线离散对数和离散对数为代表)DSA代表)。公钥密码系统的优点是能够满足网络的开放性要求,密钥管理简单,实现数字签名和身份认证功能方便,是电子商务等技术的核心基础。缺点是算法复杂,加密数据速度低,效率低。因此,在实际应用中,对称加密算法和非对称加密算法通常是结合使用的AES,DES或者IDEA等对称加密算法加密大容量数据,采用对称加密算法加密RSA等待非对称加密算法传输对称加密算法中使用的密钥,可以有效提高加密效率,简化密钥管理。
结论:数据安全问题涉及企业的许多重大利益,数据安全技术的发展是当前的迫切要求,除上述内容外,数据安全还涉及技术和知识的许多其他方面,如:黑客技术、防火墙技术、入侵检测技术、病毒保护技术、信息隐藏技术等。完善的数据安全系统应根据具体需要选择上述安全技术。
数据安全问题涉及企业的许多重大利益,数据安全技术的发展是当前的迫切要求,除上述内容外,数据安全还涉及技术和知识的许多其他方面,如:黑客技术、防火墙技术、入侵检测技术、病毒保护技术、信息隐藏技术等。完善的数据安全系统应根据具体需要选择上述安全技术。