數據加密技術在計算機信息安全管理中的應用

張倩，李軍茹

（1.石家莊工程職業學院信息工程系，河北石家莊，050000；2.石家莊工商職業學院工學院，河北石家莊，050000）

1 背景探討

大數據時代，數據共享已經成為常態。數據共享具有顯著價值意義，但是數據共享也帶來了數據信息隱秘性的喪失。由于大數據挖掘算法通常會進行數據關聯，因而數據信息修改過程中勢必影響與之關聯的其他敏感信息，這一過程中必定存在安全隱患。進一步來講，由于當前云服務的深度應用，大量數據保存在云端，也存在極多的信息安全隱患。

總體上來講，當前計算機信息安全形勢并不容樂觀，數據泄露問題屢見不鮮，在網絡邊界日趨模糊的狀態下，眾多應用系統和數據接入網絡當中，信息安全必定遭遇來自多個方面的攻擊，所以加強計算機信息安全管理，確保數據信息不泄露是迫切需要解決的關鍵問題。

2 數據加密技術

2.1 數據加密古已有之

數據加密技術實際古已有之，很多考古勘探結果均表明了古人就會使用很多奇妙的方法來實現數據加密，比如八卦，本質上也可以看作是一套數據加密。又比如字謎，《紅樓夢》和《鶯鶯傳》打一成語，即一石二鳥。用現代密碼學來解釋，即《紅樓夢》和《鶯鶯傳》打一成語為公鑰，而私鑰則有兩個即紅樓夢又稱石頭記，鶯鶯傳中有二鳥，所以得到明文一石二鳥。這是非常古典的密碼。

2.2 數據加密的發展

在工業革命到來后，密碼學從藝術上走向了邏輯和機械，加密技術得到飛速發展，比如加密鎖。而當第一臺計算機問世，加密技術就得到了飛躍式發展。計算機強大的計算能力，使得基于復雜計算的數據加密成為可能，此時數據加密整體進入電子時代。在早期數據加密技術也比較簡單，但由于利用了計算機高效的運算能力，從而提升了加密算法的復雜性和安全性，比如置換表，這一技術在所有數據加密技術當中是最簡單的一種，該方法是將每個數據段對應置換表中的一個偏移量，偏移量對應的值輸出后成為加密后的文件，加解密都需要一個置換表，但是這種加密算法過于簡單，因為極容易被破解，隨著字節循環移動和異或操作的加密算法出現，逐漸形成了數據流理論體系，再加上斐波那契數列構建偽隨機方法，這使得密碼破解難度急速提升。1972年DES算法出現，此后的幾年DES一直占據數據加密的半壁江山，而在1976年，公開密鑰密碼體制概念被提出后，非對稱加密便開始逐步成為主流。

2.3 數據加密的本質

事實上不管數據加密技術如何發展其本質上都是利用數學上的算法來解決加解密問題，換而言之就是數學求解過程。數據加密就是要通過數據封包等方式，以數據包為單元進行加密，加密算法就是數學上的函數。

比如非對稱加密算法，其本質就是單向陷門函數。在其中必須要有一個輔助計算的充分必要條件，即陷門，這在加密當中就是私鑰，通過API權限以私鑰解開公鑰就能打開數據包獲得數據。

所謂單向陷門函數是有且只有一個陷門的特殊單向函數，該函數有兩個明顯特點，一是單向性，二是有且只有一個陷門。如函數Y=f(x)，若已知x要求出Y很簡單，但是已知的是Y而要求出x則很困難，此時需要一個陷門來輔助求解x，用z來表示，則z就是陷門。比如算例123456789與987654321相乘，得到12193271112635269，這個過程是很簡單的，但是如果只知道12193271112635269這個答案，要去求出123456789與987654321這個組合就很難了，因為有非常多的可能性，非對稱加密就是利用這種特性來進行加密。當然在非對稱加密中要求加密算法和公鑰在公開的情況下，加密的密文必須是安全的，加密的人和掌握私鑰的人要能夠很輕易地解除加密，而其他不掌握私鑰的人則很難解開。非對稱加密和PKI、數字簽名、電子商務等技術進行了有效結合，確保了網上重要信息的機密性，在網絡信息安全方面發揮了巨大作用。

對稱加密算法實際上也是基于數學的一種算法，在數據傳輸當中數據的接發雙方使用同一個密鑰來加解密，即發送數據方將數據和加密密鑰一起封包并用特殊加密算法處理后，發送出去，接收方則需要使用對應的密鑰和相同算法的逆算法進行解密。由于接發雙方都使用同一個密鑰因此安全性得不到保障，而且隨著數據量增大，密鑰管理將成為用戶的負擔。

當然這幾種算法需要生成的密文幾乎都要用到密鑰，而密鑰則是數學計算的結果，即不管加密算法在細節上有多大差別，但是都依賴數學運算。

2.4 數據加密的價值

在計算機信息安全管理當中數據加密是非常重要的安全防護手段之一，對于計算機而言，計算機系統是存在一定漏洞，這些漏洞給爬蟲工程師、黑客等提供了進入計算機系統的通道，當攻擊者進入系統并且獲得數據或者破壞數據影響都是非常大的，所以計算機信息安全管理從技術層面上來講即矛與盾之間的較量。攻擊在加強，防護當然也會加強。

當前數據加密并沒有統一的技術標準，各個廠家或者研究院在數據加密技術上使用的應用方案也有很大的差別。但很明顯在矛與盾的較量當中，數據加密對數據的保護程度能夠判斷加密技術的優劣。由于計算機的普及，人們日常生活、工作、學習都在享受著計算機所帶來的便利，但是計算機帶來了便利也帶來了隱私泄露風險，隨著人們對信息安全的重視程度日漸加深，也就將眼光集中于信息安全管理上來。數據加密在信息安全當中屬于必備技術。沒有經過數據加密的數據很容易被盜取并破解，進而造成信息泄露。而數據加密可以保證數據在傳輸過程中即便被攻擊者抓取到，但由于攻擊者缺乏必要的解密手段因而無法獲取數據包內的具體數據信息，如此能夠較大程度地提高計算機數據存儲和傳輸過程當中的安全性。

3 數據加密技術的應用思考

數據加密依賴于一系列復雜的數學運算，且運算量巨大，越復雜的數據加密技術，需要的運算量越大，想要快速完成運算是不切實際的。對于攻擊者來說這保證了數據不被攻擊者竊取。但所有的數據加密技術都有可能起不到防護效果，即便最大的開發機構和極度依賴數據加密的應用，都有可能出現算法出錯，比如某游戲主機，在實施ECDSA時，主機公司用的哈希算法，在部署數學運算時，使用了一個常數而不是隨機數，進而導致攻擊者推導出了安全密鑰。換言之對于防護者，任何可能存在的錯誤，都能導致在信息安全矛與盾的較量中功虧一簣。因此如何應用數據加密技術非常值得思考。

從加密技術應用的數據加密位置去劃分，一般可分為應用層加密如備份軟件、數據庫，網關層加密比如加密交換機或者服務器，存儲系統和加密硬盤、鏈路加密等。

3.1 存儲方面的加密技術應用

從存儲的角度來講，應用層加密的兼容性最好，實際上很多市面上應用的計算機辦公軟件都是使用的應用層加密，因為其在存儲、網絡層是無感知的。網關層的加密往往需要進行二次開發，且兼容性是一個挑戰，數據流必須經過加密設備，比如SNA交換機，網關加密服務器等。

考慮當前很多敏感數據會上云，則在數據加密中可考慮Vormetric Transparent Encryption Agent方案。在網絡當中部署加密密鑰管理服務器Vormetric DATA Security Manager，它支持集群模式，用于加密密鑰管理。同時該方案還支持云下加密和數據上云，使用Vormetric Cloud Encryption Gateway在用戶側完成加解密，加密后的數據可保持與S3或者云。同樣的SafeNet 也支持上云，但其主要針對文件、對象，它與Vormetric這一網關加密不同的是，它可以在AWS上提供密鑰管理租賃服務，可將密鑰管理服務器放置在云上。Protect File部署于用戶主機，是一套軟件，實現對NAS存儲共享的文件進行加解密。SafeNet所提供的密鑰管理是業內處在領先水平的加密密鑰集中管理和保護平臺，可支持廣泛的加密生態體系。

3.2 鏈路方面的加密技術應用

鏈路加密針對計算機網絡傳輸路徑的保護，由于網絡傳輸是公開的，即基于廣播技術，任何兩個網絡節點的網卡可接收傳輸鏈路上的數據，因而也可以被處在同一鏈路中的任何一個節點的網卡所截取。鏈路加密技術就是針對網絡當中每一條數據鏈進行加密，確保任意兩個節點間的加密獨立，并使用不同密鑰來實現加解密。這樣一來，即便某條鏈路遭到攻擊被破壞，其他鏈路也不受影響。該技術依賴于微軟公司的網絡驅動程序接口規范，微軟提供的NDIS微端接口處在網絡鏈路層，是網絡驅動當中非常重要的驅動程序，直接對微端接口驅動進行改造，實現對數據幀的截取并調用加解密模塊來實現數據加解密。由于軟件加解密的速度比較慢，為保證加解密速度，實踐中可將加解密模塊加載至微端接口驅動當中，如此對數據的處理均處在系統底層，然后集成所有模塊即可編譯為網卡驅動。如此通過網卡驅動連接的節點之間的數據鏈路上所傳輸的數據均為密文，數據源、去向、長度、頻密均被隱藏。

針對傳輸鏈路的防護，還可利用端到端加解密來實現數據保護，即在接發兩端設置加解密裝置，發送端發送出去的數據通過加密裝置加密后發送出去并于接收端確認一個共有密鑰，同時確認后數據開始發送傳輸，接收端接收數據后通過加解密裝置解密，獲取數據包中的數據信息。其技術實際上就是典型的對稱加密，通過賦予數據包密碼來實現加密，加密的數據包只有裝備對應加解密裝置的接收端才能解密，任何其他節點都不能進行加解密操作。但是需要注意的是，端到端的加解密不能同其他數據加密技術同步，否則將導致某個數據包出現問題影響數據的完整性。當然其缺點也非常明顯，即流量小，速度慢，對于上了一定規模的數據顯然是力不從心的。為了解決這些問題，開發人員通過在硬件安全框架之內，將數據加密算法集成在硬件上，比如上述的鏈路加密，就是將加密算法集成在網卡驅動當中，通過網卡來實現加解密。通過在硬件上集成加密功能，開發人員可以在很大程度上忽略算法的復雜細節，從而將精力更多地投入在加密算法保護應用的優勢上來。并且硬件集成算法還可在一定程度上消除監視外部總線以及尋找特權痕跡現象等常見攻擊形式。