磁盤加密技術 及工作原理原理

1、第4章 數據加密技術1本章提要按使用密鑰的不同，數據加密體制可分為“對稱密鑰”加密體制和“非對稱密鑰”加密體制對稱加密、非對稱加密、哈希、數字簽名、數字認證等技術都是數據加密技術的組成部分數據加密技術在電子商務領域以及VPN技術中都有現實應用2引言事件一：A公司正在進行著某個招標項目的投標工作，工作人員通過電子郵件的方式把經過充分準備的標書發(fā)給了招標單位，A公司的競爭對手從網絡上竊取到了這封電子郵件，拿到A公司的標書，從中知道A公司投標的標的。后果有多么嚴重，你應該可以想象吧？事件二：B公司在網上接到了一大筆訂單，興奮異常，貨準備好了，對方卻否認曾簽定過這份電子訂單。從網上發(fā)來的訂單上確實又沒

2、有對方的蓋章和簽字，無法證明訂貨方的身份，B公司白白耗費了時間，物力，人力。這樣的電子商務，帶來了多少的煩惱??！3以上事件引發(fā)我們一系列的思考：在互聯網上進行文件傳輸、電子郵件商務往來存在許多不安全因素，特別是對于一些機密文件，而這種不安全性是互聯網存在的基礎TCP/IP協(xié)議所固有的；互聯網給眾多的商家?guī)砹藷o限的商機，但只有做到了電子合同的抗抵賴，防篡改，才能使商家開展正常的、有序的商務往來。解決以上問題，只能選擇數據加密技術。44.1概述54.1.1 關于數據加密的術語數據加密就是對存儲或者傳輸的信息按某種算法進行處理，使其成為不可讀的一段代碼，只有在輸入相應的密鑰之后才能顯示出本來內容，

3、通過這樣的途徑來達到保護數據不被非法竊取、閱讀的目的。6被變換的信息稱為明文，它可以是一段有意義的文字或者數據；變換后的形式稱為密文，密文應該是一串雜亂排列的數據，從字面上沒有任何含義。從明文到密文的變換過程稱為加密。密文經過通信信道的傳輸到達目的地后需要還原成有意義的明文才能被通信接收方理解，將密文還原為明文的變換過程稱為解密。74.1.2 數據加密的歷史數據加密作為保障數據安全的一種方式，它的起源要追溯到公元前2000年。古埃及人是最先使用特別的象形文字作為信息編碼的，隨著時間推移，巴比倫、美索不達米亞和希臘文明都開始使用一些方法來保護他們的書面信息。近代數據加密主要應用于軍事領域，如美國

4、獨立戰(zhàn)爭、美國內戰(zhàn)和兩次世界大戰(zhàn)。最廣為人知的編碼機器是German Enigma機，在第二次世界大戰(zhàn)中德國人利用它創(chuàng)建了加密信息。此后，由于Alan Turing和Ultra計劃以及其他人的努力，終于對德國人的密碼進行了破解。當初，計算機的研究就是為了破解德國人的密碼，人們并沒有想到計算機給今天帶來的信息革命。隨著計算機的發(fā)展，運算能力的增強，過去的密碼都變得十分簡單了，于是人們又不斷地研究出了新的數據加密方式，如利用RSA算法產生的私鑰和公鑰就是在這個基礎上產生的。 84.1.3 密碼學與數據加密密碼學研究包含兩部分內容：一是加密算法的設計和研究；一是密碼分析，即密碼破譯技術。94.2 數

5、據加密體制雖然數據加密算法多種多樣，但是，按使用密鑰的不同，數據加密體制可分為“對稱密鑰”加密體制和“非對稱密鑰”加密體制。“對稱密鑰”加密體制“非對稱密鑰”加密體制104.2.1 “對稱密鑰”加密體制114.2.1.1 “對稱密鑰”加密體制如何進行加密解密在“對稱密鑰”加密體制中，加密和解密采用的是同一密鑰，即加密時用什么密鑰來加密數據，解密時就用同樣的密鑰來解密數據。（注：在某些“對稱密鑰”加密算法中，加密密鑰和解密密鑰不完全相同，但加密密鑰可以從解密密鑰求得，反之亦然。在大多數“對稱密鑰”加密算法中，加密密鑰和解密密鑰是相同的。）“對稱密鑰”加密體制的發(fā)送方和接收方必須事先約定密鑰。12

6、13“對稱密鑰”加密體制從加密數據的模式上可以分為兩類：第一類：序列加密：通過有限狀態(tài)機產生性優(yōu)良的偽隨機序列，使用該序列加密信息流。加密時，對信息流逐位加密得到密文序列。所以，序列加密的安全強度完全取決于它所產生的偽隨機序列的好壞。第二類：分組加密：分組加密的工作方式是將明文分成固定長度的組（如64位一組），用同一密鑰和算法對每一組數據加密，輸出固定長度的密文。 144.2.1.2 “對稱密鑰”加密體制的優(yōu)缺點“對稱密鑰”加密體制具有加解密速度快、安全強度高的優(yōu)點，在軍事、外交以及商業(yè)應用中使用越來越普遍?！皩ΨQ密鑰”加密體制的最大缺點就是存在密鑰交付的問題。154.2.1.3 “對稱密鑰”

7、加密體制的密鑰管理對“對稱密鑰”加密體制來說，在進行通信之前，雙方必須持有相同的密鑰。與不同的人通信時，要使用不同的密鑰，去管理這些密鑰是一件可怕的事。密鑰分發(fā)中心（Key Distribution Center，KDC）在密鑰的管理、分配中充當可信任的第三方角色。KDC保存有每個用戶和KDC之間的共享的惟一密鑰，以便進行分配。在密鑰分發(fā)過程中，KDC按照需要生成各對端用戶之間的會話密鑰，并由用戶和KDC共享的密鑰進行加密，通過安全協(xié)議將會話密鑰安全地傳送給需要進行通信的雙方。164.2.1.4 “對稱密鑰”加密體制的典型算法（DES）比較著名的常規(guī)加密算法有：美國的DES及其各種變形，比如T

8、riple DES、GDES、New DES和DES的前身Lucifer；歐洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規(guī)加密算法中影響最大的是DES加密算法。 17DES（Data Encryption Standard，數據加密標準） DES需經過16圈迭代，這意味著要在明文的分組上16次實施相同的運算。每圈迭代運算的方式用簡圖表示如下：184.2.2 “非對稱密鑰”加密體制194.3.2.1 “非對稱密鑰”加密體制如何進行加密解密現代加密體制中加密和解密采用不同的密鑰，因此稱為“非對稱密鑰”加密體制。

9、每個通信方均需要有兩個密鑰（一個加密鑰，一個解密鑰），在進行保密通信時，通常將加密密鑰公開（稱為公鑰，Public Key），而保留解密密鑰（稱為私鑰，Private Key）。雖然兩者之間存在一定的關系，但不可能輕易地從一個推導出另一個。發(fā)送方想發(fā)送機密信息給接收方，可以從任意公開渠道獲得對方的公鑰，將明文用對方的公鑰加密成密文后，發(fā)送給接收方。接收方在接到密文后，用保留的解密密鑰將密文還原成明文。20 由于在通信信道上傳輸的信息只有公鑰和密文，即使從網上獲取到這些信息，由于無法獲得接收方保留的解密密鑰，就不能將密文還原為明文。 214.2.2.2 “非對稱密鑰”加密體制的優(yōu)缺點“非對稱密鑰

10、”加密體制的最大優(yōu)點就是適應網絡開放性的要求，不存在密鑰分發(fā)的問題。 由于“非對稱密鑰”加密體制的算法比“對稱密鑰”加密體制的算法復雜度高，大量數據加密時“對稱密鑰”加密體制要比“非對稱密鑰”加密體制的速度快1001000倍，因此，“非對稱密鑰”密碼體制常被用于對少量關鍵數據（例如：“對稱密鑰”加密體制的密鑰）進行加密，或者用于數字簽名領域，一般不用于對大量數據的加密。224.2.2.3 “非對稱密鑰”加密體制的密鑰管理公鑰是指可以提供給很多人的密鑰，相反，私鑰是特定個人所獨有的?！胺菍ΨQ密鑰”加密體制中公鑰的管理通常采用數字證書的方式。由CA（Certification Authority，

11、證書權威）負責對數字證書進行管理、維護和驗證。234.2.2.4 “非對稱密鑰”加密體制的典型算法（RSA）常用的“非對稱密鑰”加密算法有Rivest，Shamir和Adleman提出的并以他們的名字首字母命名的RSA算法，它可以實現加密和數據簽名的功能；E1 Gamal 和DSS算法實現簽名但是沒有加密；Diffie Hellman算法用于建立共享密鑰，沒有簽名也沒有加密，一般與“對稱密鑰”加密算法共同使用。這些算法復雜度各不相同，提供的功能也不完全一樣。244.3 數據加密技術對稱加密技術非對稱加密技術哈希（Hash）技術數字簽名、電子印章數字認證254.3.3 哈希（Hash）技術哈希技

12、術也稱為雜湊技術，這是一個簡單的不可逆過程，也就是Hash后的密文，無法再還原。哈希技術原來是用于計算機中作索引的，但Hash算法在保證文件的完整性和不可改性上也有根好的用途，一般用法是明文后加一段由明文Hash而成的密文，由于Hash過程需要一個密鑰，雖然明文修改很容易，但要修改hash后的密文就不那么容易了，由此來保證文件的完整性和不可改性。264.3.4 數字簽名、電子印章書信或文件是根據親筆簽名或印章來證明其真實性的，但在計算機網絡中傳送的書信或文件又如何簽字或蓋章呢？這就是數字簽名和電子印章技術所要解決的問題。27數字簽名、電子印章數字簽名就是基于加密技術的，它的作用就是用來確定用戶

13、是否是真實的。應用最多的還是電子郵件，如當用戶收到一封電子郵件時，郵件上面標有發(fā)信人的姓名和信箱地址，很多人可能會簡單地認為發(fā)信人就是信上說明的那個人，但實際上偽造一封電子郵件對于一個通常人來說是極為容易的事。在這種情況下，就要用到加密技術基礎上的數字簽名，用它來確認發(fā)信人身份的真實性。 28數字簽名、電子印章數字簽名技術力圖保證3點：（1）接收者能夠核實發(fā)送者對報文的簽名；（2）發(fā)送者事后不能抵賴對報文的簽名；（3）接收者不能偽造對報文的簽名。29數字簽名的原理 30在現實的應用中，由于進行數字簽名的報文可能非常大，需要先用哈希技術對報文進行處理，生成哈希值，再用私鑰對哈希值進行加密，生成數

14、字簽名，將數字簽名和報文一同發(fā)送給接收方，接收方用發(fā)送方的公鑰核實簽名后，就可以確認發(fā)送方的身份。 31數字簽名的生成過程 324.3.5 數字認證334.3.5.1 數字證書什么是數字證書：數字證書是網絡用戶的身份證明，相當于現實生活在中的個人身份證。 數字證書由一個值得信賴的權威機構（證書頒發(fā)機構，簡稱CA）發(fā)行，人們可以在交往中用它來鑒別對方的身份和表明自身的身份。數字證書的格式一般采用X.509國際標準。34數字證書2. 數字證書的內容數字證書一般包括下列內容：證書公鑰，用戶信息，公鑰有效期限，發(fā)證機構的名稱，數字證書的序列號，發(fā)證機構的數字簽名。35數字證書3. 數字證書的作用與數字

15、證書相對應有一個私鑰，用數字證書中公鑰加密的數據只有私鑰能夠解密，用私鑰加密的數據只有公鑰能解密。運用上述原理使用數字證書，可以建立一套嚴密的身份認證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其它人竊取 信息在傳輸過程中不被篡改 發(fā)送方能夠通過數字證書來確認接收方的身份 發(fā)送方對于自己的信息不能抵賴364.3.5.1 CA和PKICA稱為證書頒發(fā)機構。它向用戶頒發(fā)數字證書，證書中含有用戶名、公鑰以及其他身份信息。由于這些信息都由證書頒發(fā)機構對之進行了數字簽名，形成了一個可以證明這個公鑰可靠性的證書。37PKI體系即“公鑰基礎設施”，是一個由多個認證機構及最終用戶，以及密鑰恢復服務器、注冊服務器

16、等組成的公鑰證書的管理體制?；赑KI的數字證書一定要有標準格式，才能達到相互認證。目前，被廣泛采用的是國際電信聯盟（ITU）提出的X.509。384.3.5.3 數字認證過程394.3.6 數據加密技術的選擇面對不同的需求，可以選擇不同的數據加密技術幫助我們解決問題。第一：要永久性保留數據，應該選擇對稱加密技術。第二：雙方事先共享密鑰，并確保沒有第三方獲得此密鑰，應該選擇對稱加密技術來提高加密和解密的速度。第三：想通過不安全的媒介安全地交換數據，應該選擇非對稱加密技術。第四：驗證數據在傳輸過程中沒有被篡改，應該選擇哈希技術。第五：要進行身份驗證和實現不可否認性，應該選擇數字簽名技術。第六：要

17、驗證聲稱是公鑰所有者的人員的身份，應使用證書。404.4 數據加密技術的現實應用4.4.1數據加密技術在電子商務領域的應用4.4.2數據加密技術在VPN中的應用414.4.1數據加密技術在電子商務領域的應用4.4.1.1 安全套接層（SSL）SSL用一種電子證書（electric certificate）來實行身份認證后，雙方就可以用私有密鑰進行安全的會話了。在客戶與電子商務的服務器進行溝通的過程中，客戶會產生一個會話密鑰（Session Key），然后客戶用服務器端的公鑰將會話密鑰（Session Key）加密，再傳給服務器端，在雙方都知道會話密鑰（Session Key）后，傳輸的數據都是

18、以會話密鑰（Session Key）進行加密與解密的，但服務器端發(fā)給用戶的公鑰必需先向有關發(fā)證機關申請，以得到公證。 424.4.1數據加密技術在電子商務領域的應用4.4.1.2 安全電子交易（SET）SET是IBM、信用卡國際組織（VISA和MasterCard）以及相關廠商針對網絡電子交易共同制定的安全協(xié)議，它運用了RSA安全的“非對稱密鑰”加密技術，具有資料保密性、資料完整性、資料來源可辨識性及不可否認性，主要為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密，支付過程的完整，商家及信用卡用戶的合法身份，以及可操作性。 434.4.2數據加密技術在VPN中的應

19、用在不同的設備之間使用VPN技術時，必須有一個統(tǒng)一的標準才能實現互相“理解”，就好像人和人之間溝通時需要有相同的語言一樣，所以針對此點也就產生了眾多的VPN協(xié)議。目前國際上比較流行的VPN協(xié)議主要有IPSec、PPTP、L2TP、MPLS、SSL等，這些不同的協(xié)議各有它獨特的優(yōu)勢和缺陷。國際上眾多設備廠商在生產自己的VPN設備時，通常會采用其中一到兩種協(xié)議來作為該設備所支持的標準，目前使用的最多的當數IPSec和PPTP兩種協(xié)議。444.5 主要產品及應用實例454.5.1 PGP加密軟件4.5.1.1 PGP加密軟件的歷史4.5.1.2 PGP加密軟件的原理及工作流程4.5.1.3 產品464.5.1.1 PGP加密軟件的歷史作者 Philip Zimmermann 他將程序原始碼印刷成書(12大本，超過6000頁)，然后合法的出口到國外，在歐洲由熱心的義工群，將書本重新電子掃描，轉譯回程序代碼后，再編譯成原來的 PGP 5.0。