• 1. 数据加密技术西北工业大学
  • 2. Page  2数据加密技术 数据加密的概念 数据加密技术原理本部分涉及以下内容:
  • 3. Page  3数据加密的概念 数据加密(Encryption)是指将明文信息(Plaintext)采取数学方法进行函数转换成密文(Ciphertext),只有特定接受方才能将其解密(Decryption)还原成明文的过程。 明文(Plaintext) : 加密前的原始信息;算法的输入,可读信息或数据。 密文(Ciphertext) :明文被加密后的信息;算法的输出。依赖于明文和密钥,对于给定的信息,不同的铭文产生的密文。 密钥(Key): 控制加密算法和解密算法得以实现的关键信息,分为加密密钥和解密密钥;一个用来加密,另一个用来解密。 加密(Encryption):将明文通过数学算法转换成密文的过程; 解密(Decryption):将密文还原成明文的过程。
  • 4. Page  4数据加密的概念 数据加密模型密文网络信道明文明文三要素:信息明文、密钥、信息密文加密密钥信息窃取者解密密钥加密算法解密算法
  • 5. Page  5数据加密的概念 数据加密技术的应用数据保密; 身份验证; 保持数据完整性; 确认事件的发生。
  • 6. Page  6数据加密技术原理 对称密钥加密(保密密钥法) 非对称密钥加密(公开密钥法) 混合加密算法 哈希(Hash)算法 数字签名 数字证书 公共密钥体系数据加密技术原理
  • 7. Page  7数据加密技术原理 数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为保密密码算法和公钥密码算法。 对称密钥加密(保密密钥法) 对称密钥加密技术又称秘密密钥加密技术,其特点是无论加密还是解密都用同一把密钥。 对称密钥技术的典型加密算法为DES算法,其它算法还有RC2算法、RC4算法和3DES算法。
  • 8. Page  8数据加密技术原理对称密钥加密(保密密钥法) 加密算法解密算法密钥网络信道明文明文密文加密密钥解密密钥两者相等
  • 9. Page  9 对称密钥加密技术是传统企业内部网络广泛使用的加密技术,算法效率高。 采用软件实现DES算法,效率为400-500kb/s;采用硬件实现的效率为20Mb/s;采用专用芯片实现 的效率为:1Gb/s。  在保密密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer;欧洲的IDEA;日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。   保密密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
  • 10. Page  10数据加密技术原理对称密钥加密(保密密钥法) 优点: 算法效率高,很强的保密强度,且经受住时间的检验和攻击。 缺点: 密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。 代表: DES算法。
  • 11. Page  11数据加密技术原理非对称密钥加密(公开密钥加密)加密算法解密算法公开密钥网络信道明文明文密文私有密钥公钥私钥 公钥私钥不可相互推导不相等
  • 12. Page  12 在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、DiffeHellman、Rabin、OngFiatShamir、零知识证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。   公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂,加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。 非对称密钥加密技术又称公开密钥加密技术,其特点是加密和解密使用不同的两个密钥。 用加密密钥进行加密的信息可以由解密密钥进行解密。 在数学上不能通过加密密钥推算出解密密钥,反之也不行。 对称密钥加密技术的算法复杂,效率较低,典型算法为RSA算法。 特别适用于Internet网络环境。 可将DES算法同RSA算法进行结合。用DES对信息进行加密,提高加密效率;用RSA对密钥进行加密,适应Internet的应用要求。 非对称密钥加密技术的另一个应用是数字签名。
  • 13. Page  13数据加密技术原理非对称密钥加密(公开密钥加密) 优点: 可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。 缺点: 算法复杂,加密数据的速率较低。 代表: RSA算法。它能抵抗到目前为止已知的所有密码攻击 。
  • 14. Page  14 混合加密系统 实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。 混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合 混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷!
  • 15. Page  15数据加密技术原理 混合加密系统对称密钥加密算法对称密钥解密算法对称密钥网络信道明文明文密文 混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷!非对称密钥加密算法非对称密钥解密算法对称密钥公开密钥私有密钥 混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合
  • 16. Page  16 哈希(Hash)算法 哈希算法(hash algorithm),也叫信息标记算法(message-digest algorithm),可以提供数据完整性方面的判断依据。 哈希算法以一条信息为输入,输出一个固定长度的数字,称为“标记(digest)”。哈希算法具备三个特性: 不可能以信息标记为依据推导出输入信息的内容。 不可能人为控制某个消息与某个标记的对应关系(必须用Hash算法得到)。 要想找到具有同样标记的信息在计算方面是行不通的。 常用的哈希算法有MD5和SHA-1。 哈希算法与加密算法共同使用,加强数据通信的安全性。采用这一技术的应用有数字签名、数字证书、网上交易(SSL)、终端的安全连接、安全的电子邮件系统(PGP算法)等。
  • 17. Page  17数据加密技术原理 哈希(Hash)算法信息加密解密网络信道信息密文 哈希算法(hash algorithm),也叫信息标记算法(message-digest algorithm),可以提供数据完整性方面的判断依据。哈希算法 结果相同,则数据未被篡改比较 结果不同,则数据已被篡改信息标记 (digest)常用的哈希算法: MD5 SHA-1哈希算法
  • 18. Page  18数据加密技术原理数字签名 数字签名(digital signature)技术通过某种加密算法,在一条地址消息的尾部添加一个字符串,而收信人可以根据这个字符串验明发信人的身份,并可进行数据完整性检查。
  • 19. Page  19数据加密技术原理数字签名的工作原理非对称加密算法非对称解密算法Alice的公开密钥网络信道合同Alice的私有密钥哈希算法标记标记-2合同哈希算法比较标记-1如果两标记相同,则符合上述确认要求。AliceBob假定Alice需要传送一份合同给Bob。Bob需要确认:合同的确是Alice发送的 合同在传输途中未被修改
  • 20. Page  20数据加密技术原理数字签名的作用唯一地确定签名人的身份; 对签名后信件的内容 是否又发生变化进行验证; 发信人无法对信件的内容进行抵赖。 当我们对签名人同公开密钥的对应关系产生疑问时,我们需要第三方颁证机构(CA: Certificate Authorities)的帮助。
  • 21. Page  21数据加密技术原理数字证书 数字证书相当于电子化的身份证明,应有值得信赖的颁证机构(CA机构)的数字签名,可以用来强力验证某个用户或某个系统的身份及其公开密钥。 数字证书既可以向一家公共的办证机构申请,也可以向运转在企业内部的证书服务器申请。这些机构提供证书的签发和失效证明服务。
  • 22. Page  22数据加密技术原理数字证书中的常见内容发信人的公开密钥; 发信人的姓名; 证书颁发者的名称; 证书的序列号; 证书颁发者的数字签名; 证书的有效期限。如:目前通用的X.509证书
  • 23. Page  23数据加密技术原理申请数字证书,并利用它发送电子邮件用户向CA机构申请一份数字证书,申请过程会生成他的公开/私有密钥对。公开密钥被发送给CA机构,CA机构生成证书,并用自己的私有密钥签发之,然后向用户发送一份拷贝。 用户的同事从CA机构查到用户的数字证书,用证书中的公开密钥对签名进行验证。用户把文件加上签名,然后把原始文件同签名一起发送给自己的同事。证书申请签发的数字证书文件和数字签名数字证书的验证用户同事CA