數據加密技術

數據加密是實現網絡安全的關鍵技術之一，本文首先介紹加密的基本概念，然後著重討論兩類最常見的加密技術：私用密鑰加密和公開密鑰加密，並詳細探討了它們的特點、發展及今後的研究方向。

加密算法

由於Internet的快速發展，網絡安全問題日益受到人們的重視。面臨計算機網絡存在的潛在威脅與攻擊，一個計算機網絡安全管理者要為自己所管轄的網絡建造起強大、安全的保護手段，可以通過以下六個安全層次完成：即修補和阻止網絡漏洞，加密，認證，防火牆，安全協議和法律事務。

數據加密技術是網絡中最基本的安全技術，主要是通過對網絡中傳輸的信息進行數據加密來保障其安全性，這是一種主動安全防御策略，用很小的代價即可為信息提供相當大的安全保護。

一、加密的基本概念

"加密"，是一種限制對網絡上傳輸數據的訪問權的技術。原始數據（也稱為明文，plaintext)被加密設備(硬件或軟件)和密鑰加密而產生的經過編碼的數據稱為密文（ciphertext）。將密文還原為原始明文的過程稱為解密，它是加密的反向處理，但解密者必須利用相同類型的加密設備和密鑰對密文進行解密。

加密的基本功能包括:

1. 防止不速之客查看機密的數據文件；

2. 防止機密數據被洩露或篡改；

3. 防止特權用戶(如系統管理員)查看私人數據文件；

4. 使入侵者不能輕易地查找一個系統的文件。

數據加密是確保計算機網絡安全的一種重要機制，雖然由於成本、技術和管理上的復雜性等原因，目前尚未在網絡中普及，但數據加密的確是實現分布式系統和網絡環境下數據安全的重要手段之一。

數據加密可在網絡OSI七層協議的多層上實現、所以從加密技術應用的邏輯位置看，有三種方式:

①鏈路加密：通常把網絡層以下的加密叫鏈路加密，主要用於保護通信節點間傳輸的數據，加解密由置於線路上的密碼設備實現。根據傳遞的數據的同步方式又可分為同步通信加密和異步通信加密兩種，同步通信加密又包含字節同步通信加密和位同步通信加密。

②節點加密：是對鏈路加密的改進。在協議傳輸層上進行加密，主要是對源節點和目標節點之間傳輸數據進行加密保護，與鏈路加密類似.只是加密算法要結合在依附於節點的加密模件中，克服了鏈路加密在節點處易遭非法存取的缺點。

③端對端加密：網絡層以上的加密稱為端對端加密。是面向網絡層主體。對應用層的數據信息進行加密，易於用軟件實現，且成本低，但密鑰管理問題困難，主要適合大型網絡系統中信息在多個發方和收方之間傳輸的情況。;
;二、加密技術及其相關問題

1.加密的分類

加密類型可以簡單地分為三種:

1. 根本不考慮解密問題；

2. 私用密鑰加密技術；

3. 公開密鑰加密技術。

第一種加密技術主要是針對一些像口令加密這樣的類型，它只需要被加密，並與以前的加密進行比較；第二種和第三種加密技術是按如何使用密鑰上的不同來劃分的。以下主要介紹第二種和第三種加密技術。

(1)私用密鑰加密技術

私用密鑰加密利用一個密鑰對數據進行加密，對方接收到數據後，需要用同一密鑰來進行解密。這種加密技術的特點是數學運算量小，加密速度快，其主要弱點在於密鑰管理困難，而且一旦密鑰洩露則直接影響到信息的安全性。

* 美國數據加密標准及其改進算法

對稱密鑰加密技術中最具有代表性的算法是IBM公司提出的DES(Data Encryptiorn Standard)算法，該算法於1977年被美國國家標准局NBS頒布為商用數據加密標准。DES綜合運用了置換、代替、代數多種密碼技術，把消息分成64位大小的塊，使用56位密鑰，迭代輪數為l6輪的加密算法。它設計精巧，實現容易，使用方便。

DES正式公布後，世界各國的許多公司都推出自己實現DES的軟硬件產品。美國NBS至少已認可了30多種硬件和固件實現產品。硬件產品既有單片式的，也有單板式的；軟件產品既有用於大中型機的，也有用於小型機和微型機的。

三重DES(Triple DES)則是DES的加強版。是一種比較新的加密算法，它能夠使用多個密鑰，主要是對信息逐次作三次加密。

隨機化數據加密標准(RDES)算法是日本密碼學家Nakao Y.Kaneko T等人於1996年初提出的一種新的DES改進算法。它只是在每輪迭代前的右半部增加了一個隨機置換，其他均與DES相同,目前看來它比DES安全性要好。

* 美國新數據加密標准CLIPPER和CAPSTONE

l984年，美國總統裡根簽署154號國家安全決策會(NSDDl45)命令，國家保密局NSA著手制定美國政府非機要機構使用新的加密標准。NSA推行的商業安全通信簽署計劃CCEP完全改變了其密碼政策，密碼的算法不再公開，對用戶只提供加密芯片及其硬件設備。NSA所推出加密芯片命名為CLIPPER，其加密算法命名為SKIPJACK，屬於64位分組編碼的對稱密鑰體制。

CLIPPER主要是用於商用計算機網和通信網中對數據和語言進行加密，它被設計成允許法律監聽的保密通信方式。在使用前需在一種稱為SCIF的安全設備中進行編程，加解密時需將CLIPPER芯片裝入加密設備中進行。

l993年4月，美國白宮推出了EES(EscrowedEncryption Standard)加密標准，作為解決美國國家安全與美國公民需求之間的平衡問題。欲用EES來進行通信的雙方都必須擁有帶Clipper芯片的電信安全設備。

美國NSA在推出CLIPPER的同時，還推出了軍事通信網中進行數據加密的密碼芯片CAPSTONE，並著手對CAPSTONE進行改進，以作為繼CLIPPER之後的下一代的數據加密標准。CAPSTONE是在CLIPPER的基礎上加入了數字簽名算法，密鑰交換及相關的數學函數。

* 新一代加密算法IDEA

IDEA(International Data Encryption Algorithm)是一種國際信息加密算法。它是1991年的瑞士ETH Zurich由James Massey 和Xueiia Lai發明的)，於l992年正式公開，是一個分組大小為64位，密鑰為l28位，迭代輪數為八輪的迭代型密碼體制。密鑰主要是通過二元和，模216加及216+l乘三種運算來完成，IDEA另一特點是用戶可以根據需求選用64位或128位密鑰以滿足所需的安全要求。

（2）公開密鑰加密技術

l976年，Diffie和Hellman首次提出公開密鑰加密體制，即每個人都有一對密鑰，其中一個為公開的，一個為私有的。發送信息時用對方的公開密鑰加密，收信者用自己的私用密鑰進行解密。公開密鑰加密算法的核心是運用一種特殊的數學函數一單向陷門函數，即從一個方向求值是容易的。但其逆向計算卻很困難，從而在實際上成為不可行的。公開密鑰加密技術它不僅保證了安全性又易於管理。其不足是加密和解密的時間長。

公開密鑰算法有很多，一些算法如著名的背包算法和McELiece算法都被破譯，目前公認比較安全的公開密鑰算法主要就是RSA算法及其變種Rabin算法，離散對數算法等。

RSA是Rivet，Shamir和Adleman於1978年在美國麻省理工學院研制出來的，它是一種比較典型的公開密鑰加密算法，其安全性是建立在"大數分解和素性檢測"這一已知的著名數論難題的基礎上，即:將兩個大素數相乘在計算上很容易實現，但將該乘積分解為兩個大素數因子的計算量是相當巨大的，以至於在實際計算中是不能實現的。RSA被應用於保護電子郵件安全的Privacy Enhanced Mail(PEM)和Pretty Good Privacy(PGP)。

我國學者陶仁骥。陳世華提出一種基於有限自動機的公開密鑰加密方法:FAPKC0，FAPKC1，FAPKC2，FAPKC3。這是國際上的第一個時序公開密鑰算法，其安全性是建立在非線性有限自動機求逆的困難上的。因為從數學上，線性有限自動機已有完美的可逆性理論，但迄今為止未解決非線性有限自動機可逆性理論，它可用於保密通信、數字簽名，易於實現，密鑰量適中，加解密速度快，已受到國際上的關注。此種密碼體制的深人研究方向有:

①用大規模集成電路技術實現有限自動機公開密鑰密碼體制；

②對有限自動機公開密鑰密碼體制的安全做類似於針對RSA或流密碼那樣的充分分析。

公開密鑰加密技術在密鑰管理上的優勢使它越來越受到人們的重視，應用也日益廣泛。
2．加密技術發展趨勢

①私用密鑰加密技術與公開密鑰加密技術相結合:鑒於兩種密碼體制加密的特點，在實際應用中可以采用折衷方案，即結合使用DES/IDEA和RSA，以DES為"內核"，RSA為"外殼"，對於網絡中傳輸的數據可用DES或IDEA加密，而加密用的密鑰則用RSA加密傳送，此種方法既保證了數據安全又提高了加密和解密的速度，這也是目前加密技術發展的新方向之一。

②尋求新算法:跳出以常見的迭代為基礎的構造思路，脫離基於某些數學問題復雜性的構造方法。如劉尊全先生提出的劉氏算法，是一種基於密鑰的公開密鑰體制，它采用了隨機性原理構造加解密變換，並將其全部運算控制隱匿於密鑰中，密鑰長度可變。它是采用選取一定長度的分割來構造大的搜索空間，從而實現一次非線性變換。此種加密算法加密強度高、速度快、計算開銷低。

③加密最終將被集成到系統和網絡中，例如IPV6協議就已有了內置加密的支持，在硬件方面，Intel公司正研制一種加密協處理器。它可以集成到微機的主極上。

3．密鑰管理

對於私用密鑰加密和公開密鑰加密系統來講、並不強調對加密/解密算法的保密。計算機網絡加密的安全性主要是依賴於算法本身的安全性和對密鑰的保護。密鑰主要有會話密鑰(Session Key)、基本密鑰(Basic Key)和主密鑰(Master Key)三種。會話密鑰是通信雙方在會話中使用的密鑰，此種密鑰只在一次會話中有效，會話結束時密鑰就失效；在網絡中用來傳送會話密鑰的密鑰，就是基本密鑰；而對基本密鑰進行加密的密鑰則稱為主密鑰。網絡中一般是采用這種三級密鑰方案來進行保密通信的。

從技術上看，密鑰管理包括密鑰的產生、存儲、分配、使