關於網路資料加密技術的介紹
最近有網友想了解下網路資料加密技術,所以小編就整理了相關資料分享給大家,具體內容如下.希望大家參考參考!!!
網路資料加密技術
所謂資料加密***Data Encryption***技術是指將一個資訊***或稱明文,plain text***經過加金鑰匙***Encryption key***及加密函式轉換,變成無意義的密文***cipher text***,而接收方則將此密文經過解密函式、解金鑰匙***Decryption key***還原成明文。加密技術是網路安全技術的基石。
簡介
密碼技術是通訊雙方按約定的法則進行資訊特殊變換的一種保密技術。根據特定的法 則,變明文***Plaintext***為密文***Ciphertext***。從明文變成密文的過程稱為加密***Encryption***; 由密文恢復出原明文的過程,稱為解密***Decryption***。密碼在早期僅對文字或數碼進行加、 解密,隨著通訊技術的發展,對語音、影象、資料等都可實施加、解密變換。密碼學是由密碼編碼學和密碼分析學組成的,其中密碼編碼學主要研究對資訊進行編碼以實現資訊隱蔽,而密碼分析學主要研究通過密文獲取對應的明文資訊。密碼學研究密碼理論、密碼算 法、密碼協議、密碼技術和密碼應用等。 隨著密碼學的不斷成熟,大量密碼產品應用於國計民生中,如USB Key、PIN EntryDevice、 RFID 卡、銀行卡等。廣義上講,包含密碼功能的應用產品也是密碼產品,如各種物聯網產 品,它們的結構與計算機類似,也包括運算、控制、儲存、輸入輸出等部分。密碼晶片是密碼產品安全性的關鍵,它通常是由系統控制模組、密碼服務模組、儲存器控制模組、功 能輔助模組、通訊模組等關鍵部件構成的。
資料加密技術要求只有在指定的使用者或網路下,才能解除密碼而獲得原來的資料,這就需要給資料傳送方和接受方以一些特殊的資訊用於加解密,這就是所謂的金鑰。其金鑰的值是從大量的隨機數中選取的。按加密演算法分為專用金鑰和公開金鑰兩種。
分類
專用金鑰
專用金鑰,又稱為對稱金鑰或單金鑰,加密和解密時使用同一個金鑰,即同一個演算法。如DES和MIT的Kerberos演算法。單金鑰是最簡單方式,通訊雙方必須交換彼此金鑰,當需給對方發信息時,用自己的加密金鑰進行加密,而在接收方收到資料後,用對方所給的金鑰進行解密。當一個文字要加密傳送時,該文字用金鑰加密構成密文,密文在通道上傳送,收到密文後用同一個金鑰將密文解出來,形成普通文體供閱讀。在對稱金鑰中,金鑰的管理極為重要,一旦金鑰丟失,密文將無密可保。這種方式在與多方通訊時因為需要儲存很多金鑰而變得很複雜,而且金鑰本身的安全就是一個問題。
對稱金鑰
對稱金鑰是最古老的,一般說“密電碼”採用的就是對稱金鑰。由於對稱金鑰運算量小、速度快、安全強度高,因而如今仍廣泛被採用。
DES是一種資料分組的加密演算法,它將資料分成長度為64位的資料塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到64位的雜亂無章的資料組;第二步將其分成均等兩段;第三步用加密函式進行變換,並在給定的金鑰引數條件下,進行多次迭代而得到加密密文。
公開金鑰
公開金鑰,又稱非對稱金鑰,加密和解密時使用不同的金鑰,即不同的演算法,雖然兩者之間存在一定的關係,但不可能輕易地從一個推匯出另一個。有一把公用的加密金鑰,有多把解密金鑰,如RSA演算法。
非對稱金鑰由於兩個金鑰***加密金鑰和解密金鑰***各不相同,因而可以將一個金鑰公開,而將另一個金鑰保密,同樣可以起到加密的作用。
在這種編碼過程中,一個密碼用來加密訊息,而另一個密碼用來解密訊息。在兩個金鑰中有一種關係,通常是數學關係。公鑰和私鑰都是一組十分長的、數字上相關的素數***是另一個大數字的因數***。有一個金鑰不足以翻譯出訊息,因為用一個金鑰加密的訊息只能用另一個金鑰才能解密。每個使用者可以得到唯一的一對金鑰,一個是公開的,另一個是保密的。公共金鑰儲存在公共區域,可在使用者中傳遞,甚至可印在報紙上面。而私鑰必須存放在安全保密的地方。任何人都可以有你的公鑰,但是隻有你一個人能有你的私鑰。它的工作過程是:“你要我聽你的嗎?除非你用我的公鑰加密該訊息,我就可以聽你的,因為我知道沒有別人在偷聽。只有我的私鑰***其他人沒有***才能解密該訊息,所以我知道沒有人能讀到這個訊息。我不必擔心大家都有我的公鑰,因為它不能用來解密該訊息。”
公開金鑰的加密機制雖提供了良好的保密性,但難以鑑別傳送者,即任何得到公開金鑰的人都可以生成和傳送報文。數字簽名機制提供了一種鑑別方法,以解決偽造、抵賴、冒充和篡改等問題。
非對稱加密技術
數字簽名一般採用非對稱加密技術***如RSA***,通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用傳送者的公開金鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。
數字簽名不同於手寫簽字:數字簽名隨文字的變化而變化,手寫簽字反映某個人個性特徵,是不變的;數字簽名與文字資訊是不可分割的,而手寫簽字是附加在文字之後的,與文字資訊是分離的。
值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於金鑰的管理,包括金鑰的生存、分發、安裝、保管、使用以及作廢全過程。
加密技術
概述
在常規密碼中,收信方和發信方使用相同的金鑰,即加密金鑰和解密金鑰是相同或等價的。比較著名的常規密碼演算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer;歐洲的IDEA;日本的FEAL?N、LOKI?91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其金鑰必須通過安全的途徑傳送。因此,其金鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的金鑰互不相同,而且幾乎不可能從加密金鑰推導解密金鑰。比較著名的公鑰密碼演算法有:RSA、揹包密碼、McEliece密碼、Diffe?Hellman、Rabin、Ong?Fiat?Shamir、零知識證明的演算法、橢圓曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網路的開放性要求,且金鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其演算法複雜,加密資料的速率較低。儘管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼演算法將是一種很有前途的網路安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密資訊,而採用RSA來傳遞會話金鑰。如果按照每次加密所處理的位元來分類,可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個位元而後者則先將資訊序列分組,每次處理一個組。
密碼技術是網路安全最有效的技術之一。一個加密網路,不但可以防止非授權使用者的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
一般的資料加密可以在通訊的三個層次來實現:鏈路加密、節點加密和端到端加密。
鏈路加密
對於在兩個網路節點間的某一次通訊鏈路,鏈路加密能為網上傳輸的資料提供安全保證。對於鏈路加密***又稱線上加密***,所有訊息在被傳輸之前進行加密,在每一個節點對接收到的訊息進行解密,然後先使用下一個鏈路的金鑰對訊息進行加密,再進行傳輸。在到達目的地之前,一條訊息可能要經過許多通訊鏈路的傳輸。
由於在每一箇中間傳輸節點訊息均被解密後重新進行加密,因此,包括路由資訊在內的鏈路上的所有資料均以密文形式出現。這樣,鏈路加密就掩蓋了被傳輸訊息的源點與終點。由於填充技術的使用以及填充字元在不需要傳輸資料的情況下就可以進行加密,這使得訊息的頻率和長度特性得以掩蓋,從而可以防止對通訊業務進行分析。
儘管鏈路加密在計算機網路環境中使用得相當普遍,但它並非沒有問題。鏈路加密通常用在點對點的同步或非同步線路上,它要求先對在鏈路兩端的加密裝置進行同步,然後使用一種鏈模式對鏈路上傳輸的資料進行加密。這就給網路的效能和可管理性帶來了副作用。
線上路/訊號經常不通的海外或衛星網路中,鏈路上的加密裝置需要頻繁地進行同步,帶來的後果是資料丟失或重傳。另一方面,即使僅一小部分資料需要進行加密,也會使得所有傳輸資料被加密。
在一個網路節點,鏈路加密僅在通訊鏈路上提供安全性,訊息以明文形式存在,因此所有節點在物理上必須是安全的,否則就會洩漏明文內容。然而保證每一個節點的安全性需要較高的費用,為每一個節點提供加密硬體裝置和一個安全的物理環境所需要的費用由以下幾部分組成:保護節點物理安全的僱員開銷,為確保安全策略和程式的正確執行而進行審計時的費用,以及為防止安全性被破壞時帶來損失而參加保險的費用。
在傳統的加密演算法中,用於解密訊息的金鑰與用於加密的金鑰是相同的,該金鑰必須被祕密儲存,並按一定規則進行變化。這樣,金鑰分配在鏈路加密系統中就成了一個問題,因為每一個節點必須儲存與其相連線的所有鏈路的加密金鑰,這就需要對金鑰進行物理傳送或者建立專用網路設施。而網路節點地理分佈的廣闊性使得這一過程變得複雜,同時增加了金鑰連續分配時的費用。
節點加密
儘管節點加密能給網路資料提供較高的安全性,但它在操作方式上與鏈路加密是類似的:兩者均在通訊鏈路上為傳輸的訊息提供安全性;都在中間節點先對訊息進行解密,然後進行加密。因為要對所有傳輸的資料進行加密,所以加密過程對使用者是透明的。
然而,與鏈路加密不同,節點加密不允許訊息在網路節點以明文形式存在,它先把收到的訊息進行解密,然後採用另一個不同的金鑰進行加密,這一過程是在節點上的一個安全模組中進行。
節點加密要求報頭和路由資訊以明文形式傳輸,以便中間節點能得到如何處理訊息的資訊。因此這種方法對於防止攻擊者分析通訊業務是脆弱的。
端到端加密
端到端加密允許資料在從源點到終點的傳輸過程中始終以密文形式存在。採用端到端加密***又稱脫線加密或包加密***,訊息在被傳輸時到達終點之前不進行解密,因為訊息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使訊息洩露。
端到端加密系統的價格便宜些,並且與鏈路加密和節點加密相比更可靠,更容易設計、實現和維護。端到端加密還避免了其它加密系統所固有的同步問題,因為每個報文包均是獨立被加密的,所以一個報文包所發生的傳輸錯誤不會影響後續的報文包。此外,從使用者對安全需求的直覺上講,端到端加密更自然些。單個使用者可能會選用這種加密方法,以便不影響網路上的其他使用者,此方法只需要源和目的節點是保密的即可。
端到端加密系統通常不允許對訊息的目的地址進行加密,這是因為每一個訊息所經過的節點都要用此地址來確定如何傳輸訊息。由於這種加密方法不能掩蓋被傳輸訊息的源點與終點,因此它對於防止攻擊者分析通訊業務是脆弱的。