從工程實施方面講,信息安全工程是永無休止的動態過程。其設計思想是將安全管理看成一個動態的過程,安全策略應適應網絡的動態性。動態自適應安全模型由下列過程的不斷循環構成:安全需求分析、實時監測、報警響應、技術措施、審計評估。
一、典型的數據加密算法典型的數據加密算法包括數據
加密標準(DES)算法和公開密鑰算法(RSA),下面將分別介紹這兩種算法。
數據加密標準(DES)算法。目前在國內,隨著三金工程尤其是金卡工程的啟動,DES 算法在POS、ATM、磁卡及智能卡(IC卡)、加油站、高速公路收費站等領域被廣泛應用,以此來實現關鍵數據的保密,如信用卡持卡人的PIN的加密傳輸,IC卡與POS間的雙向認證、金融交易數據包的MAC校驗等,均用到DES 算法。DES 加密算法的框圖如圖1 所示。其中明文分組長為64bit,密鑰長為56bit。圖的左邊是明文的處理過程,有3 個階段,首先是一個初始置換IP,用于重排明文分組的64bit數據,然后是具有相同功能的16 輪變換,每輪都有置換和代換運算,第16 輪變換的輸出分為左右兩部分,并被交換次序。最后再經過一個逆初始置換IP-1(IP 的逆),從而產生64bit 的密文。DES 算法具有極高的安全性,到目前為止,除了用窮舉搜索法對DES 算法進行攻擊外,還沒有發現更有效的辦法。而56 位長的密鑰的窮舉空間為256,這意味著如果一臺計算機的速度是每秒檢測一百萬個密鑰,則它搜索完全部密鑰就需要將近2285 年的時間,可見,對DES處法的攻擊是難以實現的。
公開密鑰算法(RSA)。公鑰加密算法也稱非對稱密鑰算法,用兩對密鑰:一個公共密鑰和一個專用密鑰。用戶要保障專用密鑰的安全;公共密鑰則可以發布出去。公共密鑰與專用密鑰是有緊密關系的,用公共密鑰加密信息只能用專用密鑰解密,反之亦然。由于公鑰算法不需要聯機密鑰服務器,密鑰分配協議簡單,所以極大簡化了密鑰管理。除加密功能外,公鑰系統還可以提供數字簽名。公共密鑰加密算法主要有RSA、Fertzza、Elgama 等。在這些安全實用的算法中,有些適用于密鑰分配,有些可作為加密算法,還有些僅用于數字簽名。多數算法需要大數運算,所以實現速度慢,不能用于快的數據加密。RSA 使用兩個密鑰,一個是公鑰,一個是私鑰。加密時把明文分成塊,塊的大小可變,但不超過密鑰的長度。RSA 把明文塊轉化為與密鑰長度相同的密文。一般來說,安全等級高的,則密鑰選取大的,安全等級低的則選取相對小些的數。RSA 的安全性依賴于大數分解,然而值得注意的是,是否等同于大數分解一直未得到理論上的證明,而破解RSA是否只能通過大數分解同樣是有待證明。
綜合上述內容,對于保密級別不是很高的電力數據,例如日常電量數據,沒有必要適用當時最強大的密碼系統,直接引用DES 密碼系統實現一種經濟可行的好方案。
二、密匙的生成和管理。
密鑰管理技術是數據加密技術中的重要一環,它處理密鑰從生成、存儲、備份/恢復、載入、驗證、傳遞、保管、使用、分配、保護、更新、控制、丟失、吊銷和銷毀等多個方面的內容。它涵蓋了密鑰的整個生存周期,是整個加密系統中最薄弱的環節,密鑰的管理與泄漏將直接導致明文內容的泄漏,那么一切的其它安全技術,無論是認證、接入等等都喪失了安全基礎。
密鑰管理機制的選取必須根據網絡的特性、應用環境和規模。下面對常用的密鑰管理機制做詳細的分析,以及判斷這種管理機制是否適用于無線網絡。具體包括以下幾個方面:
密鑰分配模式。KDC 可以是在中心站端,與服務器同在一個邏輯(或物理)服務器(集中式密鑰分配),也可以是在與中心站完全對等的一個服務器上(對等式密鑰分配)。如果KDC 只為一個子站端分發密鑰,應該采用集中式,如果KDC為許多的同級子站分發密鑰,應該采用對等式。由上文的分析來看,顯然應該采用集中式的分配方案,將KDC 建立在中心站中。
預置所有共享密鑰。網絡中的每個節點都保存與其它所有節點的共享密鑰。如果網絡規模為n 個節點,那么每個節點需要存儲n-1 個密鑰。這種機制在網絡中是不現實的。網絡一般具有很大的規模,那么節點需要保存很多密鑰而節點的內存資源又非常有限,因此這種密鑰分配機制會占用掉巨大的存儲資源,也不利于動態拓撲下新節點的加入。
密鑰的生成和分發過程。采用一時一密方式,生成密鑰時間可以通過預先生成解決;傳輸安全由密鑰分發制完成;密鑰不用采取保護、存儲和備份措施;KDC 也容易實現對密鑰泄密、過期銷毀的管理。電力自動化數據加密傳輸的方案中,密鑰的分發建議采用X.509 數字證書案,并且不使用CA,而是采用自簽名的數字證書,其中KDC的可信性由電力控制中心自己承擔。由于方案中將KDC 建立在中心站中,因此只要保證中心站的信息安全,就不虞有泄密的危險。
密鑰啟動機制。目前電力系統中運行的終端,一般是啟動接入數據網絡就進行實時數據的傳輸。采用實時數據加密機制后,數據的傳輸必須在身份認證和第一次密鑰交換成功之后才能開始數據傳輸。在數據傳輸過程中,一時一密機制將定時或不定時地交換密鑰,此時密鑰的啟動和同步成為非常重要的問題。
在電力建設中,電力通信網作為電網發展的基礎設施,不但要保障電網的安全、經濟運行,同時更應該提高電網企業信息化水平和網絡安全防護體系,從而使企業的安全得到有效的保障。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.lukmueng.com/
本文標題:基于電力信息系統的數據加密技術分析
相關文章
