通過加密確保數(shù)據(jù)機密

時間：2021-07-23作者：上海騰希電氣技術(shù)有限公司瀏覽：130

通過加密確保數(shù)據(jù)機密



消息加密是數(shù)據(jù)安全的一項重要措施。在通信過程中，即使加密的消息被第三方截獲，這些潛在的偵聽者也無法訪問所獲取的信息。

在進行消息加密時，采用了大量的數(shù)學(xué)處理機制（算法）。

所有算法都通過一個“密鑰”參數(shù)，對消息進行加密和解密。

算法 + 密鑰 + 消息 => 密文

密文 + 密鑰 + 算法 =>（明文）消息

對稱加密

對稱加密的關(guān)鍵在于，兩個通信伙伴都采用相同的密鑰對消息進行加密和解密，如下圖所示：Bob 使用的加密密鑰與 Alice 使用的解密密鑰相同。這正是我們常說的，雙方共享一個秘密（即，安全密鑰），且通過該密鑰對消息進行加密和解密。

①	Bob 采用對稱密鑰對消息進行加密
②	Alice 采用對稱密鑰對加密后的消息進行解密




該過程類似于一個公文箱，發(fā)送方和接收方使用同一把鑰匙打開或鎖上該公文箱。

優(yōu)勢：對稱加密算法（例如，AES、Advanced Encryption Algorithm）的速度較快。

缺點：如何將密鑰發(fā)送給接收方，而不會落到其他人手中？此為密鑰分發(fā)問題。如果收到的消息數(shù)量足夠大，則可推算出所用的密鑰，因此必須定期更換。

如果通信伙伴比較多，則需分發(fā)大量的密鑰。

非對稱加密

在非對稱加密技術(shù)中使用一對密鑰：一個公鑰和一個私鑰。與 PKI 相關(guān)，它還被稱為公鑰過程或僅 PKI 過程。通信伙伴（下圖中的 Alice）擁有一個私鑰和一個公鑰。公鑰對所有人公開。即，任何通信伙伴都可以獲得該公鑰。擁有公鑰的通信伙伴可對發(fā)送給 Alice 的消息進行加密。即下圖中的 Bob。

Alice 的私鑰為她自己所有而不公開，用于對發(fā)送給她的密文進行解密。

①	Alice 將其公鑰提供給 Bob。*采取防范措施即可實現(xiàn)該過程：只要確定采用的是 Alice 的公鑰，所有人都可以發(fā)消息給 Alice。
②	Bob 使用 Alice 的公鑰對消息進行加密。
③	Alice 使用私鑰對 Bob 發(fā)送的密文進行解密。由于僅 Alice 擁有私有且未公開，因此只有她才能對該消息進行解密。通過私鑰，Alice 可以對使用她所提供的公鑰加密的消息進行解密，而不僅僅只是 Bob 的消息。




該系統(tǒng)與郵箱類似，所有人都可以向郵箱發(fā)送消息，但只有擁有密鑰的人才能刪除這些消息。

優(yōu)勢：使用公鑰加密的消息，僅私鑰擁有者才能進行解密。由于在解密時需要使用另一密鑰（私鑰），而且加密的消息數(shù)量龐大，因此很難推算出解密密鑰。這意味著，公鑰*保持機密性，而這與對稱密鑰不同。

另一大優(yōu)點在于，公鑰的發(fā)布較為方便快捷。在非對稱密鑰系統(tǒng)中，接收方將公鑰發(fā)送到發(fā)送方（消息加密方）時*建立**的安全通道。因此，與對稱加密過程相比，可減少管理密鑰所需的工作量。

缺點：算法復(fù)雜（如，RSA，以三位數(shù)學(xué)家 Rivest、Shamir 和 Adleman 的名字的首字母命名），因此性能**對稱加密機制。

實際通信中的加密過程

在實際通信過程中（如，與 CPU Web 服務(wù)器通信和開發(fā)式用戶安全通信），通常在相關(guān)的應(yīng)用層之后使用 TLS 協(xié)議。例如，應(yīng)用層采用的協(xié)議為 HTTP 或 SMTP，詳細信息見前文所述。

例如，TLS (Transport Layer Security) 混合采用非對稱加密和對稱加密（混合加密）機制確保數(shù)據(jù)通過 Internet 進行安全傳輸，并支持以下子協(xié)議：

TLS Handshake Protocol 對通信伙伴進行身份驗證，并在非對稱加密的基礎(chǔ)上對后續(xù)數(shù)據(jù)傳輸所需的算法和密鑰進行協(xié)商

TLS Record Protocol 采用對稱加密機制對用戶數(shù)據(jù)加密以及進行數(shù)據(jù)交換。

無論是非對稱加密還是對稱加密，這兩種數(shù)據(jù)安全加密機制在安全性方面沒有明顯差異。數(shù)據(jù)安全等級取決于設(shè)置的參數(shù)，如所選密鑰的長度等等。

加密使用不當

通過位串，無法*公鑰的身份。欺瞞者可使用他們自己的公鑰聲明為其他人。如果第三方使用該公鑰將其認作是*的通信伙伴，則將導(dǎo)致機密信息被竊取。之后，欺瞞者再使用自己的密鑰對這些本消息進行解密，雖然這些消息本不應(yīng)發(fā)送給他們。較終，導(dǎo)致敏感信息泄露，落入他人之手。

為了有效預(yù)防此類錯誤的發(fā)生，該通信伙伴必須確信與正確的通信伙伴進行數(shù)據(jù)通信。此類信任關(guān)系是通過 PKI 中的數(shù)字證書建立的。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 組態(tài)本地記錄

  組態(tài)本地記錄如何訪問該功能選擇待編輯的模塊。在本地安全設(shè)置中，選擇“日志設(shè)置 > 本地日志存儲器”(Log settings > Local log memory) 條目。組態(tài)本地記錄列表: 本地記錄 - 日志事件的設(shè)置日志事件含義注釋數(shù)據(jù)**濾日志（*墻）數(shù)據(jù)**濾日志記錄了數(shù)據(jù)通信的特定數(shù)據(jù)包。只有在應(yīng)用了組態(tài)的數(shù)據(jù)**濾規(guī)則（*墻）或者采用了基本保護（數(shù)據(jù)包損壞或無效）時，才

• S7-1500計算連接資源的示例

  計算連接資源的示例簡介我們將通過表格方式顯示連接資源舉例說明如何將各個表格條目放在一起。要求2 個帶有 1 個 CP 1543-1 和 1 個 CM 1542-5 的 CPU 1516-3 PN/DP ，分別作為連接伙伴用于擴展組態(tài)限值。1 個 帶有 CP 1616 onboard 的 PC 系統(tǒng) WinCC RT Professional ，作為 HMI 連接的連接伙伴并通過網(wǎng)絡(luò)將這些設(shè)備連接在

• DHCP 服務(wù)器概述

  DHCP 服務(wù)器概述概覽可將內(nèi)部網(wǎng)絡(luò)和 DMZ 網(wǎng)絡(luò)上的 SCALANCE S 模塊作為 DHCP 服務(wù)器運行（DHCP = 動態(tài)主機配置協(xié)議 (Dynamic Host Configuration Protocol)）。 這樣可將 IP 地址自動分配給連接到內(nèi)部網(wǎng)絡(luò)或 DMZ 網(wǎng)絡(luò)的設(shè)備。可在兩個接口同時運行 DHCP 服務(wù)器（僅適用于 SCALANCE S623/S627-2M）。既可以通過指

• S7-1200 系列 PLC調(diào)試過程小結(jié)

  以 CPU 1215C為例，使用 TIA Professional V14 編程軟件CPU站點 IP 地址分配在 CPU上電后，觀察 CPU當前狀態(tài)，若為 Run 狀態(tài)，需要將其切換至 Stop 狀態(tài)。打開 TIA 博途軟件程序。展開“在線訪問”,找到本機電腦的網(wǎng)卡“設(shè)備名稱”并展開,找到“較新可訪問的設(shè)備” （鼠標單擊或者雙擊它）等出現(xiàn) plc_1（192.168.0.10）設(shè)備名稱及 IP 地