■

加解密技術(shù)一直是信息安全技術(shù)的主要研究領(lǐng)域。在網(wǎng)絡(luò)通信的過(guò)程中，越是重要的和敏感的信息就越需要通過(guò)加密和解密的過(guò)程進(jìn)行傳輸。

在信息安全測(cè)評(píng)中，《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》也明確要求“對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密”。

因此，通過(guò)加解密這種代價(jià)較小的安全傳輸和存儲(chǔ)方式，對(duì)抗系統(tǒng)入侵和攻擊具有積極的意義。

等保測(cè)評(píng)中的加解密技術(shù)

加解密技術(shù)按某種算法對(duì)信息進(jìn)行明密變換的符號(hào)的方法。換而言之，加解密就是將明文轉(zhuǎn)換成密文，再?gòu)拿芪霓D(zhuǎn)換成明文的方式，其產(chǎn)物就是隱蔽了真實(shí)內(nèi)容的密碼。密碼的特點(diǎn)就是除約定雙方以外其他人所不能讀解的信息。

加解密技術(shù)現(xiàn)今分為兩類，即對(duì)稱加密（私人密鑰加密）和非對(duì)稱加密（公開密鑰加密）。對(duì)稱加密以國(guó)際數(shù)據(jù)加密算法（IDEA）為典型代表，非對(duì)稱加密通常以RSA（Rivest Shamir Ad1eman）算法為代表。

對(duì)稱加密的加密密鑰和解密密鑰相同，而非對(duì)稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。加解密技術(shù)目前主要應(yīng)用于身份鑒別、網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸存儲(chǔ)三個(gè)方面。

1.身份驗(yàn)證

身份鑒別需要通過(guò)標(biāo)識(shí)和鑒別確保用戶與正確的安全屬性相關(guān)聯(lián)。

加解密技術(shù)在身份鑒別方面主要體現(xiàn)為用戶身份口令。

身份口令鑒別的方法有很多，基本上可分為：基于共享密鑰、基于公開密鑰和基于生物學(xué)特征的身份鑒別方式。

系統(tǒng)通過(guò)對(duì)稱加密算法或非對(duì)稱加密算法生成動(dòng)態(tài)口令，用戶能夠通過(guò)動(dòng)態(tài)口令進(jìn)一步驗(yàn)證身份，防止單一口令被惡意獲取。PKI（Public Key Infrastructure）是一種為應(yīng)用系統(tǒng)提供加密和數(shù)字簽名等服務(wù)及所必需的證書管理的密鑰管理平臺(tái)。PKI采用非對(duì)稱的加密算法，避免第三方獲取密鑰后解密密文。如果用戶想得到一份屬于自己的證書，用戶首先需要申請(qǐng)并被驗(yàn)證身份，之后便會(huì)被分配一個(gè)公鑰，將該公鑰與申請(qǐng)者的身份信息合并簽字后，便形成申請(qǐng)者的證書。基于加解密算法對(duì)身份的進(jìn)一步驗(yàn)證，保證了系統(tǒng)的身份鑒別機(jī)制的全面性，使系統(tǒng)能夠通過(guò)兩種或多種方式對(duì)用戶身份進(jìn)行驗(yàn)證，保證身份鑒別模塊對(duì)攻擊和篡權(quán)訪問(wèn)進(jìn)行了有效控制。

2.網(wǎng)絡(luò)通信

網(wǎng)絡(luò)通信信道的安全協(xié)議有很多，這么安全協(xié)議都是通過(guò)加解密的方式對(duì)網(wǎng)絡(luò)通道進(jìn)行加密。常見(jiàn)的協(xié)議有https協(xié)議。

https協(xié)議是在HTTP的基礎(chǔ)上，擴(kuò)展了SSL/TLS，也就是在HTTP上又加了一層處理加密信息的模塊。服務(wù)端和客戶端的信息傳輸都會(huì)通過(guò)TLS進(jìn)行加密，所以傳輸?shù)臄?shù)據(jù)都是加密后的數(shù)據(jù)，就像數(shù)據(jù)經(jīng)過(guò)了一條安全通道，保證了系統(tǒng)的的關(guān)鍵敏感信息在安全的通道里通信。

入侵者截取到的網(wǎng)絡(luò)數(shù)據(jù)包都是加密處理的，加密處理后的數(shù)據(jù)包被截獲后很難被破解，從而保證了信息的安全性。經(jīng)過(guò)對(duì)網(wǎng)絡(luò)通信信道的加密處理，保證了通信網(wǎng)絡(luò)的保密性和完整性，對(duì)入侵者的部分攻擊方式有了很好的防護(hù)效果。

3.數(shù)據(jù)傳輸存儲(chǔ)

除了對(duì)網(wǎng)絡(luò)通信信道進(jìn)行加密外，還可以單獨(dú)對(duì)數(shù)據(jù)進(jìn)行加解密。通過(guò)對(duì)重要數(shù)據(jù)的加解密可以使監(jiān)聽者即使破解了安全協(xié)議的密文，也無(wú)法得到數(shù)據(jù)的明文。

當(dāng)今的普遍做法也是通過(guò)重要數(shù)據(jù)的解密和安全協(xié)議兩種混合的方式，系統(tǒng)能夠達(dá)到數(shù)據(jù)的安全傳輸，做到防護(hù)效果的最大化。

同時(shí)，在數(shù)據(jù)傳輸加密方面外，還有對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)進(jìn)行加密處理。對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)加密是為增強(qiáng)關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)的安全性，提供一個(gè)安全的數(shù)據(jù)庫(kù)平臺(tái)，對(duì)數(shù)據(jù)庫(kù)存儲(chǔ)的內(nèi)容實(shí)施有效的加密保護(hù)。它通過(guò)數(shù)據(jù)庫(kù)存儲(chǔ)加密等安全方法實(shí)現(xiàn)了數(shù)據(jù)的保密性和完整性要求，使得數(shù)據(jù)庫(kù)以密文方式存儲(chǔ)、加工、查詢，確保了數(shù)據(jù)安全。

加解密技術(shù)在等級(jí)保護(hù)中的作用

根據(jù)《信息技術(shù)安全性評(píng)估準(zhǔn)則》，加解密技術(shù)能夠?yàn)橄到y(tǒng)安全達(dá)到幾種高級(jí)目標(biāo)，包括（但不限于）標(biāo)識(shí)與鑒別、抗抵賴、可信路徑、可信信道和數(shù)據(jù)分離，通過(guò)產(chǎn)生、分配、登錄、存儲(chǔ)、訪問(wèn)和銷毀進(jìn)行工作。加解密技術(shù)的廣泛應(yīng)用，使得重要的信息系統(tǒng)、工業(yè)控制系統(tǒng)等各方面得以安全可信的運(yùn)行。在安全防護(hù)的最底層，通過(guò)加解密技術(shù)使得數(shù)據(jù)在不同網(wǎng)絡(luò)之間安全流轉(zhuǎn)，也給予了很多技術(shù)的有效補(bǔ)充，例如防火墻技術(shù)、入侵檢測(cè)技術(shù)、信息隱藏技術(shù)、病毒防護(hù)技術(shù)。

因此，對(duì)系統(tǒng)的安全防護(hù)不僅僅要依靠安全設(shè)備的防護(hù)，更要有一個(gè)安全的數(shù)據(jù)安全保障環(huán)境。

系統(tǒng)安全防護(hù)體系為保證數(shù)據(jù)安全要求，在建設(shè)中需要部署加密機(jī)/解密機(jī)，用以保護(hù)網(wǎng)絡(luò)通信中的數(shù)據(jù)的可用性、完整性和保密性要求，提供一個(gè)完整有效的客觀環(huán)境。

結(jié)束語(yǔ)

在系統(tǒng)安全狀態(tài)下，我們確保了重要的數(shù)據(jù)僅僅能夠被賦予相應(yīng)權(quán)限的人員讀取，也確保信息在傳輸?shù)倪^(guò)程中沒(méi)有被篡改和截取。在政府機(jī)關(guān)、事業(yè)單位、國(guó)防工業(yè)中，數(shù)據(jù)安全尤其受到重視，因此，安全保障是一個(gè)重要的課題。當(dāng)然我們無(wú)論怎樣對(duì)數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)都是可以被解密的，至少我們需要保證數(shù)據(jù)在相當(dāng)一段時(shí)間內(nèi)無(wú)法被惡意破解，保證數(shù)據(jù)在我們需要的時(shí)間之內(nèi)安全可控。