關(guān)于網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)的介紹

關(guān)于網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)的介紹

　　最近有網(wǎng)友想了解下網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù),所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!

　　網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)

　　所謂數(shù)據(jù)加密(Data Encryption)技術(shù)是指將一個信息(或稱明文，plain text)經(jīng)過加密鑰匙(Encryption key)及加密函數(shù)轉(zhuǎn)換，變成無意義的密文(cipher text)，而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙(Decryption key)還原成明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。

　　簡介

　　密碼技術(shù)是通信雙方按約定的法則進行信息特殊變換的一種保密技術(shù)。根據(jù)特定的法 則，變明文(Plaintext)為密文(Ciphertext)。從明文變成密文的過程稱為加密(Encryption); 由密文恢復(fù)出原明文的過程，稱為解密(Decryption)。密碼在早期僅對文字或數(shù)碼進行加、 解密，隨著通信技術(shù)的發(fā)展，對語音、圖像、數(shù)據(jù)等都可實施加、解密變換。密碼學(xué)是由密碼編碼學(xué)和密碼分析學(xué)組成的，其中密碼編碼學(xué)主要研究對信息進行編碼以實現(xiàn)信息隱蔽，而密碼分析學(xué)主要研究通過密文獲取對應(yīng)的明文信息。密碼學(xué)研究密碼理論、密碼算 法、密碼協(xié)議、密碼技術(shù)和密碼應(yīng)用等。 隨著密碼學(xué)的不斷成熟，大量密碼產(chǎn)品應(yīng)用于國計民生中，如USB Key、PIN EntryDevice、 RFID 卡、銀行卡等。廣義上講，包含密碼功能的應(yīng)用產(chǎn)品也是密碼產(chǎn)品，如各種物聯(lián)網(wǎng)產(chǎn) 品，它們的結(jié)構(gòu)與計算機類似，也包括運算、控制、存儲、輸入輸出等部分。密碼芯片是密碼產(chǎn)品安全性的關(guān)鍵，它通常是由系統(tǒng)控制模塊、密碼服務(wù)模塊、存儲器控制模塊、功 能輔助模塊、通信模塊等關(guān)鍵部件構(gòu)成的。

　　數(shù)據(jù)加密技術(shù)要求只有在指定的用戶或網(wǎng)絡(luò)下，才能解除密碼而獲得原來的數(shù)據(jù)，這就需要給數(shù)據(jù)發(fā)送方和接受方以一些特殊的信息用于加解密，這就是所謂的密鑰。其密鑰的值是從大量的隨機數(shù)中選取的。按加密算法分為專用密鑰和公開密鑰兩種。

　　分類

　　專用密鑰

　　專用密鑰，又稱為對稱密鑰或單密鑰，加密和解密時使用同一個密鑰，即同一個算法。如DES和MIT的Kerberos算法。單密鑰是最簡單方式，通信雙方必須交換彼此密鑰，當(dāng)需給對方發(fā)信息時，用自己的加密密鑰進行加密，而在接收方收到數(shù)據(jù)后，用對方所給的密鑰進行解密。當(dāng)一個文本要加密傳送時，該文本用密鑰加密構(gòu)成密文，密文在信道上傳送，收到密文后用同一個密鑰將密文解出來，形成普通文體供閱讀。在對稱密鑰中，密鑰的管理極為重要，一旦密鑰丟失，密文將無密可保。這種方式在與多方通信時因為需要保存很多密鑰而變得很復(fù)雜，而且密鑰本身的安全就是一個問題。

　　對稱密鑰

　　對稱密鑰是最古老的，一般說“密電碼”采用的就是對稱密鑰。由于對稱密鑰運算量小、速度快、安全強度高，因而如今仍廣泛被采用。

　　DES是一種數(shù)據(jù)分組的加密算法，它將數(shù)據(jù)分成長度為64位的數(shù)據(jù)塊，其中8位用作奇偶校驗，剩余的56位作為密碼的長度。第一步將原文進行置換，得到64位的雜亂無章的數(shù)據(jù)組;第二步將其分成均等兩段;第三步用加密函數(shù)進行變換，并在給定的密鑰參數(shù)條件下，進行多次迭代而得到加密密文。

　　公開密鑰

　　公開密鑰，又稱非對稱密鑰，加密和解密時使用不同的密鑰，即不同的算法，雖然兩者之間存在一定的關(guān)系，但不可能輕易地從一個推導(dǎo)出另一個。有一把公用的加密密鑰，有多把解密密鑰，如RSA算法。

　　非對稱密鑰由于兩個密鑰(加密密鑰和解密密鑰)各不相同，因而可以將一個密鑰公開，而將另一個密鑰保密，同樣可以起到加密的作用。

　　在這種編碼過程中，一個密碼用來加密消息，而另一個密碼用來解密消息。在兩個密鑰中有一種關(guān)系，通常是數(shù)學(xué)關(guān)系。公鑰和私鑰都是一組十分長的、數(shù)字上相關(guān)的素數(shù)(是另一個大數(shù)字的因數(shù))。有一個密鑰不足以翻譯出消息，因為用一個密鑰加密的消息只能用另一個密鑰才能解密。每個用戶可以得到唯一的一對密鑰，一個是公開的，另一個是保密的。公共密鑰保存在公共區(qū)域，可在用戶中傳遞，甚至可印在報紙上面。而私鑰必須存放在安全保密的地方。任何人都可以有你的公鑰，但是只有你一個人能有你的私鑰。它的工作過程是：“你要我聽你的嗎?除非你用我的公鑰加密該消息，我就可以聽你的，因為我知道沒有別人在偷聽。只有我的私鑰(其他人沒有)才能解密該消息，所以我知道沒有人能讀到這個消息。我不必擔(dān)心大家都有我的公鑰，因為它不能用來解密該消息。”

　　公開密鑰的加密機制雖提供了良好的保密性，但難以鑒別發(fā)送者，即任何得到公開密鑰的人都可以生成和發(fā)送報文。數(shù)字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等問題。

　　非對稱加密技術(shù)

　　數(shù)字簽名一般采用非對稱加密技術(shù)(如RSA)，通過對整個明文進行某種變換，得到一個值，作為核實簽名。接收者使用發(fā)送者的公開密鑰對簽名進行解密運算，如其結(jié)果為明文，則簽名有效，證明對方的身份是真實的。當(dāng)然，簽名也可以采用多種方式，例如，將簽名附在明文之后。數(shù)字簽名普遍用于銀行、電子貿(mào)易等。

　　數(shù)字簽名不同于手寫簽字：數(shù)字簽名隨文本的變化而變化，手寫簽字反映某個人個性特征，是不變的;數(shù)字簽名與文本信息是不可分割的，而手寫簽字是附加在文本之后的，與文本信息是分離的。

　　值得注意的是，能否切實有效地發(fā)揮加密機制的作用，關(guān)鍵的問題在于密鑰的管理，包括密鑰的生存、分發(fā)、安裝、保管、使用以及作廢全過程。

　　加密技術(shù)

　　概述

　　在常規(guī)密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規(guī)密碼算法有：美國的DES及其各種變形，比如Triple DES、GDES、New DES和DES的前身Lucifer;歐洲的IDEA;日本的FEAL?N、LOKI?91、Skipjack、RC4、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。在眾多的常規(guī)密碼中影響最大的是DES密碼。

　　常規(guī)密碼的優(yōu)點是有很強的保密強度，且經(jīng)受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。

　　在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)解密密鑰。比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、Diffe?Hellman、Rabin、Ong?Fiat?Shamir、零知識證明的算法、橢圓曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。

　　公鑰密碼的優(yōu)點是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。盡管如此，隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將是一種很有前途的網(wǎng)絡(luò)安全加密體制。

　　當(dāng)然在實際應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組，每次處理一個組。

　　密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。

　　一般的數(shù)據(jù)加密可以在通信的三個層次來實現(xiàn)：鏈路加密、節(jié)點加密和端到端加密。

　　鏈路加密

　　對于在兩個網(wǎng)絡(luò)節(jié)點間的某一次通信鏈路，鏈路加密能為網(wǎng)上傳輸?shù)臄?shù)據(jù)提供安全保證。對于鏈路加密(又稱在線加密)，所有消息在被傳輸之前進行加密，在每一個節(jié)點對接收到的消息進行解密，然后先使用下一個鏈路的密鑰對消息進行加密，再進行傳輸。在到達目的地之前，一條消息可能要經(jīng)過許多通信鏈路的傳輸。

　　由于在每一個中間傳輸節(jié)點消息均被解密后重新進行加密，因此，包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)均以密文形式出現(xiàn)。這樣，鏈路加密就掩蓋了被傳輸消息的源點與終點。由于填充技術(shù)的使用以及填充字符在不需要傳輸數(shù)據(jù)的情況下就可以進行加密，這使得消息的頻率和長度特性得以掩蓋，從而可以防止對通信業(yè)務(wù)進行分析。

　　盡管鏈路加密在計算機網(wǎng)絡(luò)環(huán)境中使用得相當(dāng)普遍，但它并非沒有問題。鏈路加密通常用在點對點的同步或異步線路上，它要求先對在鏈路兩端的加密設(shè)備進行同步，然后使用一種鏈模式對鏈路上傳輸?shù)臄?shù)據(jù)進行加密。這就給網(wǎng)絡(luò)的性能和可管理性帶來了副作用。

　　在線路/信號經(jīng)常不通的海外或衛(wèi)星網(wǎng)絡(luò)中，鏈路上的加密設(shè)備需要頻繁地進行同步，帶來的后果是數(shù)據(jù)丟失或重傳。另一方面，即使僅一小部分?jǐn)?shù)據(jù)需要進行加密，也會使得所有傳輸數(shù)據(jù)被加密。

　　在一個網(wǎng)絡(luò)節(jié)點，鏈路加密僅在通信鏈路上提供安全性，消息以明文形式存在，因此所有節(jié)點在物理上必須是安全的，否則就會泄漏明文內(nèi)容。然而保證每一個節(jié)點的安全性需要較高的費用，為每一個節(jié)點提供加密硬件設(shè)備和一個安全的物理環(huán)境所需要的費用由以下幾部分組成：保護節(jié)點物理安全的雇員開銷，為確保安全策略和程序的正確執(zhí)行而進行審計時的費用，以及為防止安全性被破壞時帶來損失而參加保險的費用。

　　在傳統(tǒng)的加密算法中，用于解密消息的密鑰與用于加密的密鑰是相同的，該密鑰必須被秘密保存，并按一定規(guī)則進行變化。這樣，密鑰分配在鏈路加密系統(tǒng)中就成了一個問題，因為每一個節(jié)點必須存儲與其相連接的所有鏈路的加密密鑰，這就需要對密鑰進行物理傳送或者建立專用網(wǎng)絡(luò)設(shè)施。而網(wǎng)絡(luò)節(jié)點地理分布的廣闊性使得這一過程變得復(fù)雜,同時增加了密鑰連續(xù)分配時的費用。

　　節(jié)點加密

　　盡管節(jié)點加密能給網(wǎng)絡(luò)數(shù)據(jù)提供較高的安全性，但它在操作方式上與鏈路加密是類似的：兩者均在通信鏈路上為傳輸?shù)南⑻峁┌踩?都在中間節(jié)點先對消息進行解密，然后進行加密。因為要對所有傳輸?shù)臄?shù)據(jù)進行加密，所以加密過程對用戶是透明的。

　　然而，與鏈路加密不同，節(jié)點加密不允許消息在網(wǎng)絡(luò)節(jié)點以明文形式存在，它先把收到的消息進行解密，然后采用另一個不同的密鑰進行加密，這一過程是在節(jié)點上的一個安全模塊中進行。

　　節(jié)點加密要求報頭和路由信息以明文形式傳輸，以便中間節(jié)點能得到如何處理消息的信息。因此這種方法對于防止攻擊者分析通信業(yè)務(wù)是脆弱的。

　　端到端加密

　　端到端加密允許數(shù)據(jù)在從源點到終點的傳輸過程中始終以密文形式存在。采用端到端加密(又稱脫線加密或包加密)，消息在被傳輸時到達終點之前不進行解密，因為消息在整個傳輸過程中均受到保護，所以即使有節(jié)點被損壞也不會使消息泄露。

　　端到端加密系統(tǒng)的價格便宜些，并且與鏈路加密和節(jié)點加密相比更可靠，更容易設(shè)計、實現(xiàn)和維護。端到端加密還避免了其它加密系統(tǒng)所固有的同步問題，因為每個報文包均是獨立被加密的，所以一個報文包所發(fā)生的傳輸錯誤不會影響后續(xù)的報文包。此外，從用戶對安全需求的直覺上講，端到端加密更自然些。單個用戶可能會選用這種加密方法，以便不影響網(wǎng)絡(luò)上的其他用戶，此方法只需要源和目的節(jié)點是保密的即可。

　　端到端加密系統(tǒng)通常不允許對消息的目的地址進行加密，這是因為每一個消息所經(jīng)過的節(jié)點都要用此地址來確定如何傳輸消息。由于這種加密方法不能掩蓋被傳輸消息的源點與終點，因此它對于防止攻擊者分析通信業(yè)務(wù)是脆弱的。