LOGO西北工業大學數據加密技術數據加密技術數據加密的概念數據加密技術原理本部分涉及以下內容:本部分涉及以下內容:數據加密的概念數據加密的概念數據加密()是指將明文信息()采取數學方法進行函數轉換成密文(),只有特定接受方才能將其解密()還原成明文的過程。加密前的原始信息;算法的輸入,可讀信息或數據。密文():明文被加密后的信息;算法的輸出。依賴于明文和密鑰,對于給定的信息,不同的銘文產生的密文。密鑰(Key):控制加密算法和解密算法得以實現的關鍵信息,分為加密密鑰和解密密鑰;一個用來加密,另一個用來解密。解密():將密文還原成明文的過程。數據加密的概念數據加密的概念數據加密模型數據加密模型網絡信道明文明文三要素:信息明文、密鑰、信息密文加密密鑰信息竊取者解密密鑰加密算法解密算法數據加密的概念數據加密的概念數據加密技術的應用數據加密技術的應用數據保密;身份驗證;保持數據完整性;確認事件的發生。數據加密技術原理數據加密技術原理對稱密鑰加密(保密密鑰法)非對稱密鑰加密(公開密鑰法)混合加密算法哈希(Hash)算法數字簽名數字證書公共密鑰體系數據加密技術原理數據加密技術原理數據加密技術原理數據加密作為一項基本技術是所有通信安全的基石。
數據加密過程是由形形色色的加密算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,數據加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密算法分為保密密碼算法和公鑰密碼算法。對稱密鑰加密(保密密鑰法)對稱密鑰加密技術又稱秘密密鑰加密技術,其特點是無論加密還是解密都用同一把密鑰。對稱密鑰技術的典型加密算法為DES算法,其它算法還有RC2算法、RC4算法和3DES算法。數據加密技術原理數據加密技術原理對稱密鑰加密(保密密鑰法)對稱密鑰加密(保密密鑰法)加密算法解密算法密鑰網絡信道明文明文加密密鑰解密密鑰兩者相等對稱密鑰加密技術是傳統企業內部網絡廣泛使用的加密技術,算法效率高。采用軟件實現DES算法,效率為400-500kb/s;采用硬件實現的效率為20Mb/s;采用專用芯片實現的效率為:1Gb/s。在保密密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼算法有:美國的DES及其各種變形數據加密技術原理可畫圖,比如、GDES、和DES的前身;歐洲的IDEA;日本的FEALN、、、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。
在眾多的常規密碼中影響最大的是DES密碼。保密密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。數據加密技術原理數據加密技術原理對稱密鑰加密(保密密鑰法)對稱密鑰加密(保密密鑰法)優點:優點:算法效率高,很強的保密強度,且經受住時間的檢驗和攻擊。算法效率高,很強的保密強度,且經受住時間的檢驗和攻擊。缺點:缺點:密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。全的重要因素。代表:代表:算法。算法。數據加密技術原理數據加密技術原理非對稱密鑰加密(公開密鑰加密)非對稱密鑰加密(公開密鑰加密)加密算法解密算法公開密鑰網絡信道明文明文私鑰不可相互推導不相等在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導解密密鑰。比較著名的公鑰密碼算法有:RSA、背包密碼、密碼、、Rabin、、零知識證明的算法、橢圓曲線、算法等等。
最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。公鑰密碼的優點是可以適應網絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其算法復雜,加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展數據加密技術原理可畫圖,公鑰密碼算法將是一種很有前途的網絡安全加密體制。?非對稱密鑰加密技術又稱公開密鑰加密技術,其特點是加密和解密使用不同的兩個密鑰。?用加密密鑰進行加密的信息可以由解密密鑰進行解密。?在數學上不能通過加密密鑰推算出解密密鑰,反之也不行。?對稱密鑰加密技術的算法復雜,效率較低,典型算法為RSA算法。?特別適用于網絡環境。?可將DES算法同RSA算法進行結合。用DES對信息進行加密,提高加密效率;用RSA對密鑰進行加密,適應的應用要求。?非對稱密鑰加密技術的另一個應用是數字簽名。數據加密技術原理數據加密技術原理非對稱密鑰加密(公開密鑰加密)非對稱密鑰加密(公開密鑰加密)優點:優點:可以適應網絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。缺點:缺點:算法復雜,加密數據的速率較低。
代表:代表:RSA算法。它能抵抗到目前為止已知的所有密碼攻擊混合加密系統實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組,每次處理一個組。混合加密系統是對稱密鑰加密技術和非對稱密鑰加密技術的結合混合加密系統既能夠安全地交換對稱密鑰,又能夠克服非對稱加密算法效率低的缺陷!數據加密技術原理數據加密技術原理混合加密系統混合加密系統對稱密鑰加密算法對稱密鑰解密算法對稱密鑰網絡信道明文明文混合加密系統既能夠安全地交換對稱密鑰,又能夠克服非對稱加密算法效率低的缺陷!非對稱密鑰加密算法非對稱密鑰解密算法對稱密鑰公開密鑰私有密鑰混合加密系統是對稱密鑰加密技術和非對稱密鑰加密技術的結合哈希(Hash)算法哈希算法(),也叫信息標記算法(-),可以提供數據完整性方面的判斷依據。哈希算法以一條信息為輸入,輸出一個固定長度的數字,稱為“標記()”。
哈希算法具備三個特性: 不可能人為控制某個消息與某個標記的對應關系(必須用Hash算法得到)。 要想找到具有同樣標記的信息在計算方面是行不通的。常用的哈希算法有MD5和SHA-1。 哈希算法與加密算法共同使用,加強數據通信的安全性。 采用這一技術的應用有數字簽名、數字證書、網上交易 (SSL)、終端的安全連接、安全的電子郵件系統(PGP算法) 17 數據加密技術原理 數據加密技術原理 哈希( 哈希(Hash Hash))算法 算法 信息 加密 解密 網絡信道 信息 哈希算法(),也叫信息標記算 法(- ),可以提供數據完 整性方面的判斷依據。 哈希算法 結果相同,則 數據未被篡改 比較 結果不同,則 數據已被篡改 信息標記 () 常用的哈希算法: SHA-1哈希算法 LOGO Page 18 數據加密技術原理 數據加密技術原理 數字簽名 數字簽名 數字簽名( )技術通過某種加 密算法,在一條地址消息的尾部添加一個字符串,而 收信人可以根據這個字符串驗明發信人的身份,并可 進行數據完整性檢查。
LOGO Page 19 數據加密技術原理 數據加密技術原理 數字簽名的工作原理 數字簽名的工作原理 非對稱加密算法 非對稱解密算法 Alice的公開密鑰 網絡信道 合同 Alice的私有密鑰 哈希算法 標記 標記-2 合同 哈希算法 比較 標記-1 如果兩標 記相同, 則符合上 述確認要 假定Alice需要傳送一份合同給Bob。Bob需要確認: 合同在傳輸途中未被修改LOGO Page 20 數據加密技術原理 數據加密技術原理 數字簽名的作用 數字簽名的作用 對簽名后信件的內容是否又發生變化進行驗證; 發信人無法對信件的內容進行抵賴。當我們對簽名人同公開密鑰的對應關 系產生疑問時,我們需要第三方頒證機構 (CA: )的幫助。 LOGO Page 21 數據加密技術原理 數據加密技術原理 數字證書 數字證書 數字證書相當于電子化的身份證明,應有值得信賴 的頒證機構(CA機構)的數字簽名,可以用來強力驗證 某個用戶或某個系統的身份及其公開密鑰。 數字證書既可以向一家公共的辦證機構申請,也可 以向運轉在企業內部的證書服務器申請。
這些機構提供證 書的簽發和失效證明服務。 LOGO Page 22 數據加密技術原理 數據加密技術原理 數字證書中的常見內容 數字證書中的常見內容 證書的有效期限。如:目前通用的X.509證書 LOGO Page 23 數據加密技術原理 數據加密技術原理 申請數字證書,并利用它發送電子郵件 申請數字證書,并利用它發送電子郵件 用戶向CA機構申請一份數字證書,申請過程 會生成他的公開/私有密鑰對。公開密鑰被發 送給CA機構,CA機構生成證書,并用自己的 私有密鑰簽發之,然后向用戶發送一份拷貝。 用戶的同事從CA機構查到用 戶的數字證書,用證書中的 公開密鑰對簽名進行驗證。 用戶把文件加上 簽名,然后把原 始文件同簽名一 起發送給自己的 同事。 證書申請 簽發的數 字證書 文件和數 字簽名 數字證書 的驗證 用戶 同事 CA