當(dāng)前位置:
  1. 首頁
  2. 加密應(yīng)用

保留格式加密技術(shù)的應(yīng)用領(lǐng)域

ice 加密應(yīng)用

在實(shí)際應(yīng)用中,對數(shù)據(jù)庫中的信用卡號、身份證號等敏感數(shù)據(jù)進(jìn)行加密非常必要,然而使用傳統(tǒng)分組密碼通常會擴(kuò)展數(shù)據(jù),使數(shù)據(jù)長度和類型發(fā)生變化,需要修改數(shù)據(jù)庫結(jié)構(gòu)或應(yīng)用程序來適應(yīng)這些變化,成本非常高。此類加密要求密文與明文具有相同的格式,是一類新的加密問題,稱為“保留格式加密”,簡稱FPE。

由于保留格式加密技術(shù)保持密文與明文具有相同格式的特性,因此適合于格式敏感的數(shù)據(jù)加密領(lǐng)域,主要包括:

保留格式加密技術(shù)的應(yīng)用領(lǐng)域

1、增強(qiáng)數(shù)據(jù)庫應(yīng)用系統(tǒng)的安全性

在數(shù)據(jù)庫中加密數(shù)據(jù)一直是一個難題,因?yàn)榧用軘?shù)據(jù)庫中的信息就意味著擴(kuò)充數(shù)據(jù)并改變格式。然而,多數(shù)大型商用應(yīng)用系統(tǒng)都是基于數(shù)據(jù)庫的應(yīng)用系統(tǒng),如金融、社保、電子政務(wù)、電子商務(wù)等,如果數(shù)據(jù)庫中存儲的大量用戶敏感信息(如銀行卡號、社保卡號、用戶名和密碼等)被竊取,將造成致命的破壞。引入FPE 技術(shù),將極大地提高數(shù)據(jù)庫的安全性。無論新部署還是已有的數(shù)據(jù)庫應(yīng)用系統(tǒng),都可以引入FPE 技術(shù)增強(qiáng)系統(tǒng)安全性,因?yàn)槠渚哂幸韵聝?yōu)勢:(1)不改動現(xiàn)有軟件系統(tǒng)的代碼;(2)不改動現(xiàn)有數(shù)據(jù)庫結(jié)構(gòu)。

2、數(shù)據(jù)遮蔽

數(shù)據(jù)遮蔽源于解決數(shù)據(jù)從生產(chǎn)環(huán)境向測試環(huán)境(或者開發(fā)環(huán)境)導(dǎo)入時可能產(chǎn)生的數(shù)據(jù)內(nèi)容安全問題,它通過克隆原始數(shù)據(jù)進(jìn)行掩碼轉(zhuǎn)換,輸出一個與原數(shù)據(jù)格式、關(guān)聯(lián)等一模一樣的數(shù)據(jù),用以進(jìn)行功能測試、性能測試和模擬測試等。數(shù)據(jù)遮蔽內(nèi)嵌豐富的數(shù)據(jù)修改規(guī)則,通過各種復(fù)雜算法,可以自動批量、快速地完成對敏感數(shù)據(jù)的修改,同時保證克隆出來的數(shù)據(jù)庫的數(shù)據(jù)量完全等同于生產(chǎn)庫的數(shù)據(jù)量;敏感數(shù)據(jù)(如身份證號、電話號碼、信用卡號碼等)又作了偽裝,看起來是真實(shí)數(shù)據(jù),實(shí)際上是已經(jīng)進(jìn)行了修改的假數(shù)據(jù),從而消除了敏感數(shù)據(jù)的泄露隱患。如果充分且合理利用的話,數(shù)據(jù)遮蔽必成為保障數(shù)據(jù)安全的重要技術(shù)。

保留格式加密技術(shù)的應(yīng)用領(lǐng)域

3、支付卡行業(yè)安全

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn),簡稱PCI DSS,是一套被廣為接受的政策和程序,目的是為了保證信用卡、借記卡和現(xiàn)金卡交易的安全,保護(hù)持卡人的個人信息,防止被他人利用。PCI DSS 所規(guī)定和闡述的六大目標(biāo)之一就是:持卡人信息無論存在哪里,都必須受到保護(hù)。應(yīng)確保存放的社會保險號和身份證號等重要數(shù)據(jù)不被破解。當(dāng)持卡人的數(shù)據(jù)通過公共網(wǎng)絡(luò)進(jìn)行傳送時,這些數(shù)據(jù)必須經(jīng)過有效的加密。數(shù)據(jù)加密技術(shù)在各種形式的信用卡交易中都是非常重要的。

金融交易過程很復(fù)雜、約束也很多,傳統(tǒng)的分組密碼加大了改變這些系統(tǒng)的復(fù)雜度,代價昂貴。而FPE 因?yàn)閷?shí)現(xiàn)簡單,保留敏感信息的格式,避免了從根本上去設(shè)計和審查整個系統(tǒng)的繁雜。

4、格式兼容的加密領(lǐng)域

除了對上述敏感信息的數(shù)據(jù)加密以外,保留格式加密技術(shù)還非常適合于遵循既有協(xié)議格式、格式兼容的數(shù)據(jù)加密的應(yīng)用領(lǐng)域,這將是保留格式加密在未來的一個重要的應(yīng)用領(lǐng)域。比如,2010 年討論了FPE 在多媒體加密領(lǐng)域的應(yīng)用,指出FPE 方法可以應(yīng)用到JPEG 2000 的加密中。