數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

劉朋輝

關(guān)鍵詞：網(wǎng)絡(luò)安全；數(shù)據(jù)加密；影響因素；加密類型；技術(shù)機(jī)制

1引言

在當(dāng)前信息化社會中，每天產(chǎn)生的數(shù)據(jù)量呈現(xiàn)爆炸式增長，在數(shù)據(jù)量增長的同時(shí)，隨之而來的是安全性問題，是一個(gè)需要全社會共同應(yīng)對的挑戰(zhàn)。在當(dāng)前數(shù)據(jù)技術(shù)發(fā)展背景下，數(shù)據(jù)加密技術(shù)已經(jīng)成為一種新型的數(shù)據(jù)技術(shù)，其主要利用數(shù)據(jù)加密鑰匙將數(shù)據(jù)密函[1]進(jìn)行轉(zhuǎn)換，從而將計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)換成無意義性質(zhì)的密文，實(shí)現(xiàn)對數(shù)據(jù)的加密保護(hù)。數(shù)據(jù)加密技術(shù)是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)過程中的重要技術(shù)，對于網(wǎng)絡(luò)安全建設(shè)具有重要意義。數(shù)據(jù)加密技術(shù)的應(yīng)用范圍也越來越廣，包括應(yīng)用在RFID卡、銀行卡等產(chǎn)品中。數(shù)據(jù)加密技術(shù)主要包括專用密鑰加密技術(shù)、對稱密鑰加密技術(shù)以及公開密鑰加密技術(shù)等多種加密技術(shù)[2]。不同的數(shù)據(jù)加密技術(shù)建立了不同的密碼算法，其中包括TripleDES和IDEA等多種數(shù)據(jù)加密算法。常見的攻擊有漏洞攻擊、SQL注入、挖礦攻擊，木馬、外掛插件[3]等。為了切實(shí)保護(hù)用戶數(shù)據(jù)的安全，應(yīng)嚴(yán)格做好相應(yīng)的防護(hù)工作，針對不同攻擊特點(diǎn)，制定出不同的應(yīng)對策略，以滿足不同數(shù)據(jù)的安全需求。在端到端加密、通信鏈路數(shù)據(jù)傳輸加密、節(jié)點(diǎn)數(shù)據(jù)加密[4]、身份認(rèn)證與數(shù)據(jù)簽名等領(lǐng)域應(yīng)用數(shù)據(jù)加密技術(shù)，可以更好地保護(hù)數(shù)據(jù)的安全。

2數(shù)據(jù)加密技術(shù)

2.1端到端加密數(shù)據(jù)

采用端到端數(shù)據(jù)加密算法，可以實(shí)現(xiàn)數(shù)據(jù)包的獨(dú)立加密，滿足系統(tǒng)維護(hù)和管理的要求。然而，這種方法具有一定的局限性。比如，當(dāng)以消息的形式傳輸包含大量地址信息的數(shù)據(jù)時(shí)，僅通過消息的獨(dú)立加密無法實(shí)現(xiàn)所需的保護(hù)效果，包括ide，DES，AES等，也存在一些缺點(diǎn)。其安全系數(shù)較低，如果存在安全威脅，數(shù)據(jù)信息可能會被盜（圖1）。

2.2數(shù)據(jù)鏈路加密

在通信線路中，數(shù)據(jù)的傳輸是依靠鏈路進(jìn)行傳輸?shù)?，由此可以對不同鏈路中的?shù)據(jù)進(jìn)行加密。實(shí)施數(shù)據(jù)加密后，可以保證數(shù)據(jù)的安全性。密文是數(shù)據(jù)傳輸過程中常見的形式，理論上，雖然對鏈路中的數(shù)據(jù)進(jìn)行了加密[5]，但隨著鏈路數(shù)量的增加，數(shù)據(jù)加密工作將會非常煩瑣。因此，在數(shù)據(jù)接收方解密數(shù)據(jù)過程中，會產(chǎn)生一定的工作量，可能造成漏傳、重復(fù)傳輸、數(shù)據(jù)丟失的現(xiàn)象。在保障數(shù)據(jù)傳輸安全的同時(shí)，采取鏈路加密是為了能夠及時(shí)獲取對應(yīng)的數(shù)據(jù)信息。為了提高數(shù)據(jù)獲取效率，可以在鏈路加密時(shí)，對其中的加密設(shè)備進(jìn)行相應(yīng)的改進(jìn)，在加密過程中，可以實(shí)施非對稱加密。通過采取公鑰加密、私鑰解密的策略，當(dāng)入侵者獲取公鑰密碼（圖2），不知道私鑰密碼的前提下，是很難攻破數(shù)據(jù)壁壘的，從而保障了數(shù)據(jù)的安全。常見的公鑰加密方法包括RSA加密算法和橢圓曲線加密算法[6]，前者是基于大整數(shù)難易分解因子的原理，后者是基于離散數(shù)學(xué)的難題。

2.3節(jié)點(diǎn)數(shù)據(jù)與軟件加密

為確保主密鑰滿足數(shù)據(jù)傳輸?shù)囊?，并對?shù)據(jù)實(shí)施安全保護(hù)．做好密鑰管理工作是非常有必要的。在密鑰管理方面，采取數(shù)據(jù)密鑰加密技術(shù)，通過設(shè)置初始密鑰、會話密鑰進(jìn)行管理。采取節(jié)點(diǎn)加密可以提高服務(wù)器運(yùn)行效率，使數(shù)據(jù)傳輸（圖3）更具可靠性、安全性。當(dāng)數(shù)據(jù)通過傳輸線路加密后，再通過節(jié)點(diǎn)加密，會提高信息的安全性。針對一些免密數(shù)據(jù)的傳輸，會遇到較多的干擾因素，對接受者和發(fā)送者的要求是很高的。

2.4身份認(rèn)證與數(shù)據(jù)簽名

對于操作者權(quán)限的明確，可以通過身份認(rèn)證技術(shù)對操作者進(jìn)行相應(yīng)的識別和認(rèn)證，通過認(rèn)證后的操作者可以更快地識別數(shù)據(jù)，在提高數(shù)據(jù)通過效率的同時(shí)，也可以保護(hù)數(shù)據(jù)的安全。為了改善網(wǎng)絡(luò)運(yùn)行環(huán)境，可以采取對稱加密和非對稱加密的方法，從而保護(hù)數(shù)據(jù)的安全[7]。

數(shù)字口令認(rèn)證是當(dāng)前數(shù)字簽名認(rèn)證常見的形式。為了增強(qiáng)安全防護(hù)效果，更準(zhǔn)確地進(jìn)行用戶身份認(rèn)證，可以通過該技術(shù)，準(zhǔn)確獲取前端與后端的數(shù)據(jù)處理方式，滿足數(shù)據(jù)跟蹤的具體要求，以快速識別相應(yīng)的操作系統(tǒng)類型以及使用權(quán)限[8]，從而可以通過相關(guān)策略來維持系統(tǒng)高效、穩(wěn)定運(yùn)轉(zhuǎn)，進(jìn)而保護(hù)數(shù)據(jù)的安全。

2.5數(shù)據(jù)庫加密

數(shù)據(jù)庫加密是一個(gè)很好的防護(hù)方法，對數(shù)據(jù)庫進(jìn)行訪問時(shí)，在安全代理服務(wù)中進(jìn)行數(shù)據(jù)存取控制，采用數(shù)據(jù)加密安全策略，可以根據(jù)數(shù)據(jù)庫的特點(diǎn)和類型采取具有針對性的加密方法，從而保障用戶數(shù)據(jù)的安全。

3多重加密方式保護(hù)數(shù)據(jù)安全

3.1數(shù)據(jù)庫與應(yīng)用層雙重加密

采取數(shù)據(jù)庫加密的方式，將加密模式內(nèi)置于數(shù)據(jù)庫中，借助透明加密數(shù)據(jù)的能力，通過脫敏展示增強(qiáng)原數(shù)據(jù)的安全性。在數(shù)據(jù)寫入磁盤前，通過透明的數(shù)據(jù)加密TDE，對數(shù)據(jù)文件執(zhí)行I/O解密和加密，在磁盤中，讀人內(nèi)存時(shí)，進(jìn)行解密。在數(shù)據(jù)庫的密鑰中，組件和API在應(yīng)用透明中實(shí)現(xiàn)加密。

在應(yīng)用層，當(dāng)數(shù)據(jù)到達(dá)數(shù)據(jù)庫之前，實(shí)時(shí)傳輸敏感數(shù)據(jù)并在應(yīng)用層進(jìn)行加密，能夠增加數(shù)據(jù)的透明性。通過跨多數(shù)據(jù)庫來提供統(tǒng)一的加密策略，可以增強(qiáng)數(shù)據(jù)的安全性，且不需要第三方廠商提供安全方案。將加密的數(shù)據(jù)控制在用戶的手中，是保障數(shù)據(jù)安全的一個(gè)很重要的方法，從而避免第三方廠商或者其他人對數(shù)據(jù)進(jìn)行非法操作，避免造成信息數(shù)據(jù)泄露。在密鑰管理的創(chuàng)建、生命期的建設(shè)等過程中，要牢牢把握數(shù)據(jù)安全原則，建立獨(dú)立的數(shù)據(jù)加密機(jī)制，并實(shí)施根密鑰保護(hù)策略。通過用戶的口令保護(hù)，對密鑰文件進(jìn)行保護(hù)，當(dāng)口令正確、主密鑰解密成功時(shí)，通過密鑰文件即可生成可用的密鑰。

3.2防數(shù)據(jù)泄露措施

利用相關(guān)數(shù)據(jù)加密策略，有時(shí)并不能徹底消除系統(tǒng)運(yùn)維環(huán)境、應(yīng)用環(huán)境安全威脅。來自應(yīng)用系統(tǒng)的后門程序、數(shù)據(jù)庫漏洞、SQL注入攻擊、第三方運(yùn)維的誤操作等，會造成數(shù)據(jù)丟失，影響對應(yīng)系統(tǒng)的安全性。為防止數(shù)據(jù)信息泄露，在數(shù)據(jù)庫防火墻中，采用邊界防護(hù)技術(shù)，在邊界區(qū)域做好防護(hù)策略，通過細(xì)粒度的訪問對數(shù)據(jù)庫進(jìn)行控制，從而在防攻擊、防批量數(shù)據(jù)下載方面有效防止數(shù)據(jù)泄露。

3.2.1監(jiān)控并審計(jì)數(shù)據(jù)的訪問行為

黑客千變?nèi)f化的攻擊行為以及系統(tǒng)的復(fù)雜性會對數(shù)據(jù)的管理、維護(hù)帶來一定的影響。所以，對重要的數(shù)據(jù)進(jìn)行訪問控制，通過持續(xù)、實(shí)時(shí)的監(jiān)控、審計(jì)，生成對應(yīng)的風(fēng)險(xiǎn)報(bào)告，可以讓新用戶發(fā)現(xiàn)新風(fēng)險(xiǎn)，進(jìn)而增強(qiáng)用戶數(shù)據(jù)的安全性。

3.2.2利用自動(dòng)脫敏技術(shù)防止數(shù)據(jù)泄露

在企業(yè)內(nèi)部測試環(huán)境中，采用數(shù)據(jù)的自動(dòng)脫敏技術(shù)，可以在數(shù)據(jù)處理過程中避免數(shù)據(jù)信息暴露敏感性，為測試環(huán)境提供預(yù)期的安全測試數(shù)據(jù)。所謂脫敏加密，是指在數(shù)據(jù)加密過程中對數(shù)據(jù)進(jìn)行編碼。在檢索數(shù)據(jù)的過程中，檢索原始值的方法是使用解密密鑰解碼數(shù)據(jù)?？梢酝ㄟ^密態(tài)計(jì)算技術(shù)加密數(shù)據(jù)，在數(shù)據(jù)參與計(jì)算的過程中兼顧安全需求。在文件層、存儲層所處的位置進(jìn)行數(shù)據(jù)安全計(jì)算，可以避免數(shù)據(jù)庫位于下層位置時(shí)數(shù)據(jù)的計(jì)算很難被感知到的問題。數(shù)據(jù)加密完成后，其數(shù)據(jù)特征會丟失，會影響執(zhí)行器、孵化器的執(zhí)行效率。所以，在應(yīng)用層、文件層中實(shí)施密態(tài)計(jì)算技術(shù)加密，可以在一定程度上防止出現(xiàn)該問題。

3.3國密算法與統(tǒng)一管控

針對國密算法中的加密，常用的算法有SM代表商密等系列密碼，這些密碼遵照國家密碼管理局公布的密碼算法應(yīng)用規(guī)范及對應(yīng)的標(biāo)準(zhǔn)。部分密碼已經(jīng)成為國際密碼。商業(yè)密碼中的大部分密碼涉及商業(yè)領(lǐng)域，在企業(yè)做決策的過程中，對商業(yè)密碼進(jìn)行統(tǒng)一管理是一個(gè)很重要的方法。采取統(tǒng)一的數(shù)據(jù)加密技術(shù)，可以根據(jù)全局、細(xì)粒度安全性對數(shù)據(jù)進(jìn)行統(tǒng)一管理。數(shù)據(jù)加密時(shí)存在風(fēng)險(xiǎn)和挑戰(zhàn)，對相關(guān)數(shù)據(jù)加密之后，存在無法還原之前數(shù)據(jù)的可能性，這時(shí)通過密文與明文并存的方法即可解決該問題。并存與隔離是一個(gè)有效的數(shù)據(jù)加密方法，可以實(shí)現(xiàn)數(shù)據(jù)同時(shí)存儲在不同的數(shù)據(jù)庫中，最大限度地保障了數(shù)據(jù)安全。

4結(jié)束語

通過利用常見的數(shù)據(jù)加密技術(shù)，可以防止數(shù)據(jù)庫出現(xiàn)漏洞時(shí)數(shù)據(jù)遭到非法篡改。采用端到端加密、節(jié)點(diǎn)加密、數(shù)據(jù)簽名、鏈路數(shù)據(jù)加密、身份認(rèn)證等方法，可以對重要數(shù)據(jù)進(jìn)行全方位保護(hù)。結(jié)合多種數(shù)據(jù)加密技術(shù)的優(yōu)點(diǎn)進(jìn)行多重防御，可以確保計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)安全，降低網(wǎng)絡(luò)遭受攻擊的風(fēng)險(xiǎn)，從而提升人們的生產(chǎn)和生活水平。