當(dāng)前位置:
  1. 首頁(yè)
  2. 加密應(yīng)用

保留格式加密技術(shù)的應(yīng)用領(lǐng)域

ice 加密應(yīng)用

在實(shí)際應(yīng)用中,對(duì)數(shù)據(jù)庫(kù)中的信用卡號(hào)、身份證號(hào)等敏感數(shù)據(jù)進(jìn)行加密非常必要,然而使用傳統(tǒng)分組密碼通常會(huì)擴(kuò)展數(shù)據(jù),使數(shù)據(jù)長(zhǎng)度和類(lèi)型發(fā)生變化,需要修改數(shù)據(jù)庫(kù)結(jié)構(gòu)或應(yīng)用程序來(lái)適應(yīng)這些變化,成本非常高。此類(lèi)加密要求密文與明文具有相同的格式,是一類(lèi)新的加密問(wèn)題,稱(chēng)為“保留格式加密”,簡(jiǎn)稱(chēng)FPE。

由于保留格式加密技術(shù)保持密文與明文具有相同格式的特性,因此適合于格式敏感的數(shù)據(jù)加密領(lǐng)域,主要包括:

保留格式加密技術(shù)的應(yīng)用領(lǐng)域

1、增強(qiáng)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)的安全性

在數(shù)據(jù)庫(kù)中加密數(shù)據(jù)一直是一個(gè)難題,因?yàn)榧用軘?shù)據(jù)庫(kù)中的信息就意味著擴(kuò)充數(shù)據(jù)并改變格式。然而,多數(shù)大型商用應(yīng)用系統(tǒng)都是基于數(shù)據(jù)庫(kù)的應(yīng)用系統(tǒng),如金融、社保、電子政務(wù)、電子商務(wù)等,如果數(shù)據(jù)庫(kù)中存儲(chǔ)的大量用戶敏感信息(如銀行卡號(hào)、社??ㄌ?hào)、用戶名和密碼等)被竊取,將造成致命的破壞。引入FPE 技術(shù),將極大地提高數(shù)據(jù)庫(kù)的安全性。無(wú)論新部署還是已有的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng),都可以引入FPE 技術(shù)增強(qiáng)系統(tǒng)安全性,因?yàn)槠渚哂幸韵聝?yōu)勢(shì):(1)不改動(dòng)現(xiàn)有軟件系統(tǒng)的代碼;(2)不改動(dòng)現(xiàn)有數(shù)據(jù)庫(kù)結(jié)構(gòu)。

2、數(shù)據(jù)遮蔽

數(shù)據(jù)遮蔽源于解決數(shù)據(jù)從生產(chǎn)環(huán)境向測(cè)試環(huán)境(或者開(kāi)發(fā)環(huán)境)導(dǎo)入時(shí)可能產(chǎn)生的數(shù)據(jù)內(nèi)容安全問(wèn)題,它通過(guò)克隆原始數(shù)據(jù)進(jìn)行掩碼轉(zhuǎn)換,輸出一個(gè)與原數(shù)據(jù)格式、關(guān)聯(lián)等一模一樣的數(shù)據(jù),用以進(jìn)行功能測(cè)試、性能測(cè)試和模擬測(cè)試等。數(shù)據(jù)遮蔽內(nèi)嵌豐富的數(shù)據(jù)修改規(guī)則,通過(guò)各種復(fù)雜算法,可以自動(dòng)批量、快速地完成對(duì)敏感數(shù)據(jù)的修改,同時(shí)保證克隆出來(lái)的數(shù)據(jù)庫(kù)的數(shù)據(jù)量完全等同于生產(chǎn)庫(kù)的數(shù)據(jù)量;敏感數(shù)據(jù)(如身份證號(hào)、電話號(hào)碼、信用卡號(hào)碼等)又作了偽裝,看起來(lái)是真實(shí)數(shù)據(jù),實(shí)際上是已經(jīng)進(jìn)行了修改的假數(shù)據(jù),從而消除了敏感數(shù)據(jù)的泄露隱患。如果充分且合理利用的話,數(shù)據(jù)遮蔽必成為保障數(shù)據(jù)安全的重要技術(shù)。

保留格式加密技術(shù)的應(yīng)用領(lǐng)域

3、支付卡行業(yè)安全

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn),簡(jiǎn)稱(chēng)PCI DSS,是一套被廣為接受的政策和程序,目的是為了保證信用卡、借記卡和現(xiàn)金卡交易的安全,保護(hù)持卡人的個(gè)人信息,防止被他人利用。PCI DSS 所規(guī)定和闡述的六大目標(biāo)之一就是:持卡人信息無(wú)論存在哪里,都必須受到保護(hù)。應(yīng)確保存放的社會(huì)保險(xiǎn)號(hào)和身份證號(hào)等重要數(shù)據(jù)不被破解。當(dāng)持卡人的數(shù)據(jù)通過(guò)公共網(wǎng)絡(luò)進(jìn)行傳送時(shí),這些數(shù)據(jù)必須經(jīng)過(guò)有效的加密。數(shù)據(jù)加密技術(shù)在各種形式的信用卡交易中都是非常重要的。

金融交易過(guò)程很復(fù)雜、約束也很多,傳統(tǒng)的分組密碼加大了改變這些系統(tǒng)的復(fù)雜度,代價(jià)昂貴。而FPE 因?yàn)閷?shí)現(xiàn)簡(jiǎn)單,保留敏感信息的格式,避免了從根本上去設(shè)計(jì)和審查整個(gè)系統(tǒng)的繁雜。

4、格式兼容的加密領(lǐng)域

除了對(duì)上述敏感信息的數(shù)據(jù)加密以外,保留格式加密技術(shù)還非常適合于遵循既有協(xié)議格式、格式兼容的數(shù)據(jù)加密的應(yīng)用領(lǐng)域,這將是保留格式加密在未來(lái)的一個(gè)重要的應(yīng)用領(lǐng)域。比如,2010 年討論了FPE 在多媒體加密領(lǐng)域的應(yīng)用,指出FPE 方法可以應(yīng)用到JPEG 2000 的加密中。