一、什么是數(shù)據(jù)加密？

信息化時代，信息化本身就是一把雙刃劍，一方面它為我們的生產、生活帶來好處，另一方面，信息泄露也會給我們帶來極大的威脅。所以，客觀上，必須有強有力的安全措施，防止機密數(shù)據(jù)被竊取或篡改。

數(shù)據(jù)加密技術是指一條消息通過加密密鑰和加密函數(shù)轉換成無意義的密文，接收者通過解密函數(shù)和解密密鑰將密文還原成明文。這樣，我們就可以保護數(shù)據(jù)不被非法竊取和讀取。提高計算機安全水平的基礎是掌握數(shù)據(jù)加密的本質，數(shù)據(jù)加密由明文(未加密報文)、密文(加密報文)、加解密設備或算法、加解密密鑰四部分組成。加密方法有很多種，但主要有對稱加密算法、非對稱加密算法和不可逆加密算法。密鑰加密有兩種類型:分組和序列。

數(shù)據(jù)庫加密是計算機系統(tǒng)對信息進行保護的一種最可靠的方法。它利用密碼技術對信息進行加密，實現(xiàn)信息屏蔽，從而起到保護信息安全的作用。對數(shù)據(jù)庫中的數(shù)據(jù)進行加密，可以防止數(shù)據(jù)在存儲和傳輸過程中失密。

計算機網絡中的加密可以在不同層次上進行，最常見的是在應用層、鏈路層和網絡層進行加 密。數(shù)據(jù)加密可以分為兩種途徑：一種是通過硬件實現(xiàn)數(shù)據(jù)加密，另一種是通過軟件實現(xiàn)數(shù)據(jù)加密。通常所說的數(shù)據(jù)加密是指通過軟件對數(shù)據(jù)進行加密。通過硬件實現(xiàn)網絡數(shù)據(jù)加密的方法有3種：鏈路層加密、節(jié)點加密和端對端加密。常用軟件加密算法分為對稱加密和非對稱加密。

二、數(shù)據(jù)加密標準——DES

Data Encryption Standard數(shù)據(jù)加密標準是 IBM公司開發(fā)的，于1977年被美國國家標準管理局確定為聯(lián)邦信息標準之一。ISO還把 DES作為一種數(shù)據(jù)加密標準。DES是世界上第一個得到認可的實用密碼算法標準，至今已經歷了20多年的實踐檢驗。DES使用相同的算法對數(shù)據(jù)進行加密和解密，并且使用了相同的加密和解密密鑰。

DES使用56位密鑰將64位數(shù)據(jù)加密成同等長度的密文。在DES加密過程中，64位明文最初被替換，然后分成左右32位塊。經過16次迭代，循環(huán)移位變換，最后逆變換得到64位密文。DES的解密過程和DES很像，只是顛倒了密鑰的使用順序。DES算法采用離散、混淆等基本技巧，其算法的基本單位是簡單代換、代換、模2加法。DES的整個算法結構是開放的，其安全性由密鑰保證。

三、單向函數(shù)

單向函數(shù)的概念是公開密鑰密碼的中心。盡管它本身并不是一個協(xié)議，但在本書中所討論的大多數(shù)協(xié)議來說卻是一個基本結構模塊。

單向函數(shù)是一類計算起來相對容易，但求逆卻非常困難的函數(shù)。也就是說，已知X，我們很容易計算出f(x)。但已知f(x)，卻難于計算出x.。在這里，“難”定義為：即使世界上所有的計算機都用來計算，從f(x)計算出x也要花費數(shù)百萬年的時間。

四、單向Hash函數(shù)

單項Hash函數(shù)有：壓縮函數(shù)、縮短函數(shù)、消息摘要、指紋、密碼校驗和、信息完整性檢驗（DIC）和操作檢驗碼（MDC）。單向Hash函數(shù)是現(xiàn)代密碼學的核心。單向Hash函數(shù)是許多協(xié)議的另一結構模塊。

長期以來， Hash函數(shù)一直被應用于計算機科學中，無論是從數(shù)學角度還是其他角度， Hash函數(shù)將輸入變量的長度串(稱為預映射，Pre-image)轉換成輸出固定長度(通常較短)(Hash值)。一種簡單的 Hash函數(shù)是對預映射進行處理，并返回一個由所有入位元組轉換成的元組。

五、AES算法概述

AES算法密鑰是美國國家標準和技術委員會電子數(shù)據(jù)加密標準。AES是一種迭代的對稱密鑰分組密碼，它可以使用128位，192位，256位密鑰，同時還可以對數(shù)據(jù)進行加密和解密。AES算法的解密與傳統(tǒng)的解密、加密技術相比，都是對加密數(shù)據(jù)的解密。該算法以置換替代為基礎。排列是數(shù)據(jù)的重排，而不是用一個單元數(shù)據(jù)替換另一個單元。其主要應用于各種基于私鑰數(shù)據(jù)加密算法的信息安全技術和安全產品中，如無線網絡應用、信息安全領域、虛擬專網、遠程訪問服務器、移動通信、電子金融等。

六、 RSA算法

數(shù)學上的單向陷門函數(shù)的特點是在一個方向上求值很容易，但其逆向計算卻很困難。許多形式為Y=f(x)的函數(shù)，對于給定的自變量x值，很容易計算出函數(shù)Y的值；而由給定Y值，在很多情況下依照函數(shù)關系f(x)計算x值則十分困難。

RSA（Rivest-Shamir-Adelman）與1978年出現(xiàn)，目前已被ISO推薦為公鑰數(shù)據(jù)加密標準。RSA算法基于一個十分簡單的數(shù)論事實：將兩個大素數(shù)相乘十分容易，但是分解它們的乘積卻非常困難，因此可以將乘積公開做為加密密鑰。

DES并不能取代RSA，它們的優(yōu)缺點正好互補。RSA的密鑰很長，加密速度慢，而采用DES，正好彌補了RSA的缺點。即DES用于明文加密，RSA用于DES密鑰加密。

七、密鑰管理

密匙管理是密鑰學中最難的部分。對密鑰算法和協(xié)議的安全設計有一定難度，但需要大量的研究才能解決。但對密鑰保密則更加困難。解密者常常通過密碼管理來解密對稱密鑰和公鑰體制。密匙管理技術包括密匙的產生、分配、保存、替換和銷毀等各個環(huán)節(jié)的保密措施。

1、密鑰生成

（1）減少的密鑰空間

（2）弱密鑰選擇

人們選擇自己的密鑰時，常常喜歡選擇更容易記憶的密鑰。這就是所謂的弱密鑰。

（3）隨機密鑰

好密鑰是指那些由自動處理設備生成的隨機的位串。如果密鑰為64位長，每一個可能的64位密鑰必須具有相等的可能性。這些密鑰要么從可靠的隨機源中產生，要么從安全的偽隨機發(fā)生器中產生

（4）X9.17密鑰生成

ANSIX9.17標準規(guī)定了一種密鑰生成方法。并不生成容易記憶的密鑰，更適合在一個系統(tǒng)中產生會話密鑰或偽機數(shù)。用來生成密鑰的加密算法是三重DES，就像其他算法一樣容易。

2、非對稱密鑰空間

假設有多個加密設備，使用了安全算法，但他們害怕這些設備落入敵人手中，破壞加密，所以可以將算法添加到防篡改模塊中。防篡改模塊是一個可以從一個特殊的密鑰解密的模塊，而其他密鑰會導致模塊用一個非常弱的算法解密。這樣做會使不知道這種特殊形式的攻擊者幾乎不可能獲得密鑰。

3、發(fā)送密鑰

4、驗證密鑰

實際上，對于接受方如何判斷所受密鑰是真來自發(fā)送方，還有很多問題需要解決。舉例來說，一個惡意的主動攻擊者可以將經過加密和簽名的消息偽裝成來自發(fā)送者，當接收方試圖訪問公共密鑰數(shù)據(jù)庫以驗證發(fā)送方的簽名時，惡意的主動攻擊者可以使用他自己的公共密鑰來替代。通過用自己生成的假 KDC公鑰替換真實 KDC公鑰，他可以實現(xiàn)自己發(fā)明的偽 KDC，從而欺騙接收者。

(1) 密鑰傳輸中的錯誤檢測

(2) 密鑰在解密過程中的錯誤檢測

5、使用密鑰

軟件加密不可靠。無法預測操作系統(tǒng)何時會停止加密、在磁盤上寫些什么或處理其他緊急工作。當操作系統(tǒng)再次回到掛起的加密任務時，操作系統(tǒng)已經把加密程序寫在了磁盤上，也寫下了密鑰。這些密鑰不會被加密并保留在磁盤上，直到計算機覆蓋該存儲區(qū)域。當攻擊者使用好的工具徹底搜索硬盤時，密鑰可能還在。在搶占式多任務環(huán)境中，加密操作可以被賦予足夠高的優(yōu)先級，以防止中斷。雖然這樣可以降低危險程度，但是還是有一定風險的。

6、更新密鑰

為了確保密鑰的安全性每天都需要改變加密的數(shù)據(jù)鏈路的密鑰，但這樣做十分費時。更好的解決辦法是直接從舊的密鑰中產生新密鑰，這又稱為密鑰更新。

7、存儲密鑰

最簡單的密鑰存儲是單用戶的密鑰存儲，一些系統(tǒng)采用簡單方法：密鑰存放于發(fā)送者的腦子中，而決不能放在系統(tǒng)中，發(fā)送者記住密鑰，并只在對文件加密或解密時才輸入密鑰。

8、公開密鑰的密鑰管理

公開密鑰密碼使密鑰容易管理，但也存在著問題。無論網絡上有多少人，每個人只有一個公開密鑰。如果發(fā)送者給接收者傳送一段信息，就必須知道接收者的公開密鑰。

（1） 公鑰證書

（2） 分布式密鑰管理

八、通信加密

在計算機網絡中，通信加密（在傳輸過程中的數(shù)據(jù)加密）分為鏈路加密、節(jié)點加密和端到端加密。

（1）鏈路加密

（2）節(jié)點加密

（3）端到端加密

九、加密數(shù)據(jù)存儲

1、非關聯(lián)化密鑰

加密硬盤有兩種方法:用一個密鑰加密所有數(shù)據(jù)。但這給分析師提供了大量的密文進行分析，使得多個用戶無法只查看硬盤的一部分；用不同的密鑰分別加密每個文件，這迫使用戶記住每個文件的密鑰。

2、驅動級與文件級加密

有兩種級別的硬盤加密：文件級和驅動器級。

3、加密驅動器的隨機存取

十、硬件加密與加密芯片

1、硬件加密

當前，所有加密產品都采用了特定的硬件形式。這個加密盒被嵌入在通訊線路中，然后所有經過的數(shù)據(jù)都被加密。盡管現(xiàn)在軟件加密越來越受歡迎，但硬件加密在商業(yè)和軍事應用中仍然是主流。快速、安全、易安裝，使用方便。目前市場上有3種基本加密硬件：自帶加密模塊、專用加密盒和插卡，可以插入個人電腦。

2、加密芯片

密碼雖然可以提供私人信息安全服務，但首先是維護國家利益的工具。正是基于這個出發(fā)點，考慮到DES算法的公布所帶來的各種問題，美國國家保密局從19085年開始考慮制定新的商業(yè)數(shù)據(jù)加密標準來代替DES。1990年投入試運行，1993年正式使用。主要用于通信系統(tǒng)中電話、傳真和計算機通信的安全防護。

十一、加密技術的應用

1、數(shù)字簽名

數(shù)字簽名是指只有發(fā)送者才能產生的他人不能偽造的數(shù)字串，這個數(shù)字串也是發(fā)送者發(fā)送的信息的真實性的證明。

數(shù)字簽名認證技術在電子銀行系統(tǒng)中得到廣泛的應用，其本質上是對客戶數(shù)據(jù)進行加密和解密，通常采用數(shù)字簽名認證技術來核對客戶的身份信息。一般而言，數(shù)字簽名認證技術是建立在私密密鑰和公鑰簽名基礎上的，但該技術在實際應用中存在缺陷，單獨使用任何一種數(shù)字簽名都存在安全隱患，因此，多采用兩種方法，以提高數(shù)據(jù)安全性。

2、數(shù)字時間戳(數(shù)字時間戳)

在電子交易中，需要對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳則可以提供安全保護，并證明電子文件的發(fā)布時間。

3、數(shù)字證書和認證系統(tǒng)

（1）數(shù)字證書

電子郵件、電子商務等各個領域都可以使用數(shù)字證書。采用 CCITTX.509國際標準制定了數(shù)字證書的內部格式。

（2）認證系統(tǒng)

在電子交易中，數(shù)字時間戳服務和數(shù)字憑證的發(fā)放都不是由雙方完成的(公平性無法保證)，而是由權威、公正的第三方完成的。認證中心CA是承擔網上安全電子交易認證服務的服務機構，可以發(fā)放數(shù)字證書，確認用戶身份。認證中心的主要任務是接受數(shù)字證書的申請，頒發(fā)數(shù)字證書和管理數(shù)字證書。

4、電子商務。

（1）支付網關

付款網關與支付型電子商務業(yè)務有關，位于公網和傳統(tǒng)的銀行網絡之間，它的主要功能是：解密來自公網的數(shù)據(jù)包，并根據(jù)銀行系統(tǒng)內部通信協(xié)議將數(shù)據(jù)重新打包；接收來自銀行系統(tǒng)內部的相應消息，將數(shù)據(jù)轉換成由公網發(fā)送的數(shù)據(jù)格式，并對數(shù)據(jù)進行加密。

（2）信用卡服務系統(tǒng)

POS系統(tǒng)不僅僅是指EOS收銀機或電子算盤，這是商場消費者常見的。真正的POS系統(tǒng)是指一個優(yōu)化的信息管理系統(tǒng)，有強大的財務和技術支持。

（3） 電子柜員機

該 POS系統(tǒng)不僅是指商場里消費者常用的 EOS收款機或電子算盤，真正的 POS系統(tǒng)是指一個擁有強大資金和技術支持的信息管理系統(tǒng)，通過優(yōu)化后的銷售解決方案。

（4）電子數(shù)據(jù)交換（EDI）

電子數(shù)據(jù)交換是電子商務環(huán)節(jié)的基礎， POS等系統(tǒng)的操作可以順利實現(xiàn)。電子數(shù)據(jù)交換包括硬件和軟件兩大部分，硬件主要是計算機網絡，軟件主要是計算機軟件和電子數(shù)據(jù)交換標準。在硬件方面，由于安全性的原因，以往的 EDI一般是通過專用網絡(即 VAN)實現(xiàn)的，但是目前，因特網作為成本更低、服務更好的系統(tǒng)，正逐漸成為 EDI的另一個更合適的硬件載體。

十二、結語

總而言之，隨著計算機技術的發(fā)展，數(shù)據(jù)加密技術也在不斷進步。采用數(shù)據(jù)加密技術，可以延遲數(shù)據(jù)破譯的時間，為計算機安全提供技術保障。在發(fā)展數(shù)據(jù)加密技術的同時，還要做好漏洞處理工作，填補可能存在的網絡安全漏洞。指導用戶養(yǎng)成正確的使用習慣，習慣使用殺毒軟件，遠離不健康、不規(guī)范的網站，從根本上保證數(shù)據(jù)安全，提高計算機的安全性能。