数据加密技术[编辑]

什么是数据加密

　　数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施的，它以很小的代价来提供很大的安全保护。在多数情况下，数据加密是保证信息机密性的惟一方法。

　　一般把受保护的原始信息称为明文，编码后的称为密文。数据加密的基本过程包括对明文进行翻译，译成密文或密码的代码形式。该过程的逆过程为解密，即将该加密的编码信息转化为原来的形式的过程。

数据加密标准

　　传统加密方法有两种，替换和置换。上面的例子采用的就是替换的方法：使用密钥将明文中的每一个字符转换为密文中的一个字符。而置换仅将明文的字符按不同的顺序重新排列。单独使用这两种方法的任意一种都是不够安全的，但是将这两种方法结合起来就能提供相当高的安全程度。数据加密标准（Data Encryption Standard，简称DES）就采用了这种结合算法，它由IBM制定，并在1977年成为美国官方加密标准。
　　DES的工作原理为：将明文分割成许多64位大小的块，每个块用64位密钥进行加密，实际上，密钥由56位数据位和8位奇偶校验位组成，因此只有256个可能的密码而不是264个。每块先用初始置换方法进行加密，再连续进行16次复杂的替换，最后再对其施用初始置换的逆。第i步的替换并不是直接利用原始的密钥K，而是由K与i计算出的密钥Ki。
　　DES具有这样的特性，其解密算法与加密算法相同，除了密钥Ki的施加顺序相反以外。

分类

专用密钥

　　专用密钥，又称为对称密钥或单密钥，加密和解密时使用同一个密钥，即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式，通信双方必须交换彼此密钥，当需给对方发信息时，用自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。当一个文本要加密传送时，该文本用密钥加密构成密文，密文在信道上传送，收到密文后用同一个密钥将密文解出来，形成普通文体供阅读。在对称密钥中，密钥的管理极为重要，一旦密钥丢失，密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂，而且密钥本身的安全就是一个问题。

对称密钥

　　对称密钥是最古老的，一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高，因而目前仍广泛被采用。

　　DES是一种数据分组的加密算法，它将数据分成长度为64位的数据块，其中8位用作奇偶校验，剩余的56位作为密码的长度。第一步将原文进行置换，得到64位的杂乱无章的数据组；第二步将其分成均等两段；第三步用加密函数进行变换，并在给定的密钥参数条件下，进行多次迭代而得到加密密文。

公开密钥

　　公开密钥，又称非对称密钥，加密和解密时使用不同的密钥，即不同的算法，虽然两者之间存在一定的关系，但不可能轻易地从一个推导出另一个。有一把公用的加密密钥，有多把解密密钥，如RSA算法。

　　非对称密钥由于两个密钥（加密密钥和解密密钥）各不相同，因而可以将一个密钥公开，而将另一个密钥保密，同样可以起到加密的作用。

　　在这种编码过程中，一个密码用来加密消息，而另一个密码用来解密消息。在两个密钥中有一种关系，通常是数学关系。公钥和私钥都是一组十分长的、数字上相关的素数（是另一个大数字的因数）。有一个密钥不足以翻译出消息，因为用一个密钥加密的消息只能用另一个密钥才能解密。每个用户可以得到唯一的一对密钥，一个是公开的，另一个是保密的。公共密钥保存在公共区域，可在用户中传递，甚至可印在报纸上面。而私钥必须存放在安全保密的地方。任何人都可以有你的公钥，但是只有你一个人能有你的私钥。它的工作过程是：“你要我听你的吗？除非你用我的公钥加密该消息，我就可以听你的，因为我知道没有别人在偷听。只有我的私钥（其他人没有）才能解密该消息，所以我知道没有人能读到这个消息。我不必担心大家都有我的公钥，因为它不能用来解密该消息。”

　　公开密钥的加密机制虽提供了良好的保密性，但难以鉴别发送者，即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。

数据加密算法

1、DES数据加密算法

DES（数据加密标准）是国际标准化组织（ISO）核准的一种加密算法，自1976年公布以来得到广泛的应用。但几年来对它的安全性提出了疑问。1986年美国政府宣布不再支持DES作为美国国家数据加密标准，但同时又不准公布用来代替DES的加密算法。

一般DES算法的密钥长度为56位，为了加速DES算法和RSA算法的执行过程，可以用硬件电路来实现加密和解密。针对DES密钥短的问题，科学家又研制了80位的密钥，以及在DES的基础上采用了3个DES和双密钥加密的方法。即用两个56位的密钥K1，K2，发送方用K1加密，k2解密，再使用K1加密。接受发则使用k1解密，k2加密，再使用k1解密，其效果相当于将密钥长度加倍。

DES算法的入口参数有3个：key，Data，Mode。其中Key为8字节共64位，是DES算法的工作密钥；Data也为8字节64位，是要被加密或被解密的数据；Mode为DES的工作方式，有加密和解密两种。

DES算法工作：如Mode为加密，则用Key把数据Data进行加密，生成Data的密码形式（64位）作为DES的输出结果；如Mode为解密，则用Key把密码形式的数据Data解密，还原为Data的明码形式（64位）作为DES的输出结果。在通信网络的两端，双发约定一致的Key。在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网（如电话网）中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据。这样，便保证了核心数据（如PIN，MAC等）在公共通信网中传输的安全性和可靠性。通过定期在通信网络的源端和目的端同时改用新的Key，可以进一步提高数据的保密性。

2、其他数据加密算法

RSA算法的密钥长度为512位。RSA算法的保密性取决于数学上将一个大数分为两个素数的问题的难度。根据已有的数学方法，其计算量极大，破解很难。但是加密/解密时要进行大指数模运算，因此加密/解密速度很慢，影响推广使用。

参考资料：《电子商务安全与支付》（清华大学出版社）

扩展阅读：