■

加解密技術(shù)一直是信息安全技術(shù)的主要研究領(lǐng)域。在網(wǎng)絡(luò)通信的過程中，越是重要的和敏感的信息就越需要通過加密和解密的過程進(jìn)行傳輸。

在信息安全測評中，《信息系統(tǒng)安全等級保護(hù)基本要求》也明確要求“對通信過程中的敏感信息字段進(jìn)行加密”。

因此，通過加解密這種代價較小的安全傳輸和存儲方式，對抗系統(tǒng)入侵和攻擊具有積極的意義。

等保測評中的加解密技術(shù)

加解密技術(shù)按某種算法對信息進(jìn)行明密變換的符號的方法。換而言之，加解密就是將明文轉(zhuǎn)換成密文，再從密文轉(zhuǎn)換成明文的方式，其產(chǎn)物就是隱蔽了真實(shí)內(nèi)容的密碼。密碼的特點(diǎn)就是除約定雙方以外其他人所不能讀解的信息。

加解密技術(shù)現(xiàn)今分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以國際數(shù)據(jù)加密算法（IDEA）為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）算法為代表。

對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。加解密技術(shù)目前主要應(yīng)用于身份鑒別、網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸存儲三個方面。

1.身份驗(yàn)證

身份鑒別需要通過標(biāo)識和鑒別確保用戶與正確的安全屬性相關(guān)聯(lián)。

加解密技術(shù)在身份鑒別方面主要體現(xiàn)為用戶身份口令。

身份口令鑒別的方法有很多，基本上可分為：基于共享密鑰、基于公開密鑰和基于生物學(xué)特征的身份鑒別方式。

系統(tǒng)通過對稱加密算法或非對稱加密算法生成動態(tài)口令，用戶能夠通過動態(tài)口令進(jìn)一步驗(yàn)證身份，防止單一口令被惡意獲取。PKI（Public Key Infrastructure）是一種為應(yīng)用系統(tǒng)提供加密和數(shù)字簽名等服務(wù)及所必需的證書管理的密鑰管理平臺。PKI采用非對稱的加密算法，避免第三方獲取密鑰后解密密文。如果用戶想得到一份屬于自己的證書，用戶首先需要申請并被驗(yàn)證身份，之后便會被分配一個公鑰，將該公鑰與申請者的身份信息合并簽字后，便形成申請者的證書?；诩咏饷芩惴▽ι矸莸倪M(jìn)一步驗(yàn)證，保證了系統(tǒng)的身份鑒別機(jī)制的全面性，使系統(tǒng)能夠通過兩種或多種方式對用戶身份進(jìn)行驗(yàn)證，保證身份鑒別模塊對攻擊和篡權(quán)訪問進(jìn)行了有效控制。

2.網(wǎng)絡(luò)通信

網(wǎng)絡(luò)通信信道的安全協(xié)議有很多，這么安全協(xié)議都是通過加解密的方式對網(wǎng)絡(luò)通道進(jìn)行加密。常見的協(xié)議有https協(xié)議。

https協(xié)議是在HTTP的基礎(chǔ)上，擴(kuò)展了SSL/TLS，也就是在HTTP上又加了一層處理加密信息的模塊。服務(wù)端和客戶端的信息傳輸都會通過TLS進(jìn)行加密，所以傳輸?shù)臄?shù)據(jù)都是加密后的數(shù)據(jù)，就像數(shù)據(jù)經(jīng)過了一條安全通道，保證了系統(tǒng)的的關(guān)鍵敏感信息在安全的通道里通信。

入侵者截取到的網(wǎng)絡(luò)數(shù)據(jù)包都是加密處理的，加密處理后的數(shù)據(jù)包被截獲后很難被破解，從而保證了信息的安全性。經(jīng)過對網(wǎng)絡(luò)通信信道的加密處理，保證了通信網(wǎng)絡(luò)的保密性和完整性，對入侵者的部分攻擊方式有了很好的防護(hù)效果。

3.數(shù)據(jù)傳輸存儲

除了對網(wǎng)絡(luò)通信信道進(jìn)行加密外，還可以單獨(dú)對數(shù)據(jù)進(jìn)行加解密。通過對重要數(shù)據(jù)的加解密可以使監(jiān)聽者即使破解了安全協(xié)議的密文，也無法得到數(shù)據(jù)的明文。

當(dāng)今的普遍做法也是通過重要數(shù)據(jù)的解密和安全協(xié)議兩種混合的方式，系統(tǒng)能夠達(dá)到數(shù)據(jù)的安全傳輸，做到防護(hù)效果的最大化。

同時，在數(shù)據(jù)傳輸加密方面外，還有對數(shù)據(jù)庫中存儲的數(shù)據(jù)進(jìn)行加密處理。對數(shù)據(jù)庫中數(shù)據(jù)加密是為增強(qiáng)關(guān)系型數(shù)據(jù)庫管理系統(tǒng)的安全性，提供一個安全的數(shù)據(jù)庫平臺，對數(shù)據(jù)庫存儲的內(nèi)容實(shí)施有效的加密保護(hù)。它通過數(shù)據(jù)庫存儲加密等安全方法實(shí)現(xiàn)了數(shù)據(jù)的保密性和完整性要求，使得數(shù)據(jù)庫以密文方式存儲、加工、查詢，確保了數(shù)據(jù)安全。

加解密技術(shù)在等級保護(hù)中的作用

根據(jù)《信息技術(shù)安全性評估準(zhǔn)則》，加解密技術(shù)能夠?yàn)橄到y(tǒng)安全達(dá)到幾種高級目標(biāo)，包括（但不限于）標(biāo)識與鑒別、抗抵賴、可信路徑、可信信道和數(shù)據(jù)分離，通過產(chǎn)生、分配、登錄、存儲、訪問和銷毀進(jìn)行工作。加解密技術(shù)的廣泛應(yīng)用，使得重要的信息系統(tǒng)、工業(yè)控制系統(tǒng)等各方面得以安全可信的運(yùn)行。在安全防護(hù)的最底層，通過加解密技術(shù)使得數(shù)據(jù)在不同網(wǎng)絡(luò)之間安全流轉(zhuǎn)，也給予了很多技術(shù)的有效補(bǔ)充，例如防火墻技術(shù)、入侵檢測技術(shù)、信息隱藏技術(shù)、病毒防護(hù)技術(shù)。

因此，對系統(tǒng)的安全防護(hù)不僅僅要依靠安全設(shè)備的防護(hù)，更要有一個安全的數(shù)據(jù)安全保障環(huán)境。

系統(tǒng)安全防護(hù)體系為保證數(shù)據(jù)安全要求，在建設(shè)中需要部署加密機(jī)/解密機(jī)，用以保護(hù)網(wǎng)絡(luò)通信中的數(shù)據(jù)的可用性、完整性和保密性要求，提供一個完整有效的客觀環(huán)境。

結(jié)束語

在系統(tǒng)安全狀態(tài)下，我們確保了重要的數(shù)據(jù)僅僅能夠被賦予相應(yīng)權(quán)限的人員讀取，也確保信息在傳輸?shù)倪^程中沒有被篡改和截取。在政府機(jī)關(guān)、事業(yè)單位、國防工業(yè)中，數(shù)據(jù)安全尤其受到重視，因此，安全保障是一個重要的課題。當(dāng)然我們無論怎樣對數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)都是可以被解密的，至少我們需要保證數(shù)據(jù)在相當(dāng)一段時間內(nèi)無法被惡意破解，保證數(shù)據(jù)在我們需要的時間之內(nèi)安全可控。