計算機安全技術之加密技術

唐松生 康金兵

1 青島科技大學計算機學院 山東青島 266061 2 德州職業技術學院 山東德州 253500

計算機安全技術之加密技術

唐松生1康金兵2

1 青島科技大學計算機學院 山東青島 266061 2 德州職業技術學院 山東德州 253500

10.3969/j.issn.1671-489X.2010.27.092

隨著網絡技術的發展，網絡安全也成為當今網絡社會的焦點，幾乎沒有人不在談論網絡上的安全問題，如病毒、黑客程序、郵件炸彈、遠程監聽等。現代的電腦加密技術就是適應了網絡安全的需要而產生的，它為人們進行一般的電子商務活動提供了安全保障，如在網絡中進行文件傳輸、電子郵件的往來和進行合同文本的簽署等。下面就詳細介紹加密技術的方方面面，希望能為那些對加密技術還一知半解的人提供一個詳細了解的機會。

1 加密的概念

密碼學是研究加密與解密變換的一門學科。通常情況下，人們將可懂的文本稱為明文；將明文變換成的不可懂形式的文本稱為密文。把明文變換成密文的過程叫加密；其逆過程，即把密文變換成明文的過程叫解密。數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，只能在輸入相應的密鑰之后才能顯示出本來內容，通過這樣的途徑來達到保護數據不被非法竊取、閱讀的目的。該過程的逆過程為解密，即該編碼信息轉化為原來數據的過程。

2 加密的方法

加密技術通常分為兩大類：“對稱式”和“非對稱式”。

2.1 對稱式方法

對稱式加密就是加密和解密使用同一個密鑰，通常稱之為“Session Key”。這種加密技術目前被廣泛應用，如美國政府所采用的DES（數據加密標準）就是一種典型的“對稱式”加密法，它的Session Key長度為56 Bits。對稱加密采用對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰，這種方法在密碼學中叫做對稱加密算法。對稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難。除了DES，另一個對稱密鑰加密系統是國際數據加密算法（IDEA），它比DES的加密性好，而且對計算機功能要求也沒有那么高。

2.2 非對稱式方法

非對稱式加密就是加密解密所使用的不是同一個密鑰，通常有2個密鑰，稱為“公鑰”和“私鑰”，它們2個必須配對使用，否則不能打開加密文件。1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是“公開密鑰系統”。相對于“對稱加密算法”，這種方法也叫做“非對稱加密算法”。與對稱加密算法不同，非對稱加密算法需要2個密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那么只有用對應的公開密鑰才能解密。因為加密和解密使用的是2個不同的密鑰，所以這種算法叫做非對稱加密算法。

密碼體制在通常情況下采用移位法、代替法和代數方法來進行加密和解密的變換，可以采用其中一種或幾種方法相結合的方式作為數據變換的基本模式。

3 加密技術的應用

3.1 在電子商務方面的應用

電子商務（E-business）要求顧客可以在網上進行各種商務活動。在過去，用戶為了防止信用卡的號碼被竊取，一般是通過電話訂貨，然后使用用戶的信用卡進行付款。現在人們開始使用RSA（一種公開/私有密鑰）的加密技術，提高信用卡交易的安全性，從而使電子商務走向實用成為可能。許多人都知道Netscape公司是Internet商業中領先技術的提供者，該公司提供了一種基于RSA和保密密鑰的應用于因特網的技術，被稱為安全插座層（SecureSockets Layer，SSL）。

也許很多人知道Socket，它是一個編程界面，并不提供任何安全措施。而SSL不但提供編程界面，而且向上提供一種安全的服務，SSL3.0現在已經應用到服務器和預覽器上。SSL3.0用于一種電子證書（electric certificate）來進行身份驗證后，雙方就可以用保密密鑰進行安全的會話了。

3.2 加密技術在VPN中的應用

現在，越來越多的公司走向國際化，一個公司可能在多個國家都有辦事機構或銷售中心，每一個機構都有自己的局域網LAN（Local Area Network）。但在當今的網絡社會人們的要求不僅如此，用戶希望將這些LAN連接在一起組成一個公司的廣域網。事實上，很多公司都已經這樣做了，這就是通常所說的虛擬專用網（Virtual Private Network，VPN）。當數據離開發送者所在的局域網時，該數據首先被用戶端鏈接到互聯網上的路由器進行硬盤加密，數據在互聯網上是以加密的行式傳送的，當到達目的LAN的路由器時，該路由器就會對數據進行解密，這樣目的LAN中的用戶就可以看到真正的信息了。

4 加密的未來趨勢

盡管雙鑰密碼體制比單鑰密碼體制更為可靠，但由于計算過于復雜，雙鑰密碼體制在進行大信息量通信時，加密速率僅為單鑰體制的1/100甚至1/1 000。正是由于不同體制的加密算法各有所長，所以在今后相當長的一段時期內，各類加密體制將會共同發展。而在由IBM等公司于1996年聯合推出的用于電子商務的協議標準SET（Secure Electronic Transaction）中和1992年由多國聯合開發的PGP技術中，均采用了包含單鑰密碼、雙鑰密碼、單向雜湊算法和隨機數生成算法在內的混合密碼系統的動向來看，這似乎從一個側面展示了今后密碼技術應用的未來。

在單鑰密碼領域，一次一密被認為是最為可靠的機制，但是由于流密碼體制中的密鑰流生成器在算法上未能突破有限循環，故一直未被廣泛應用。如果找到一個在算法上接近無限循環的密鑰流生成器，該體制將會有一個質的飛躍。近年來，混沌學理論的研究給在這一方向產生突破帶來曙光。此外，充滿生氣的量子密碼被認為是一個潛在的發展方向，因為它是基于光學和量子力學理論的。該理論對于在光纖通信中加強信息安全、對付擁有量子計算能力的破譯無疑是一種理想的解決方法。

由于電子商務等民用系統的應用需求，認證加密算法也將有較大發展。此外，在傳統密碼體制中，還將會產生類似于IDEA這樣的新成員，新成員的一個主要特征就是在算法上有創新和突破，而不僅僅是對傳統算法進行修正或改進。密碼學是一個正在不斷發展的年輕學科，任何未被認識的加/解密機制都有可能在其中占有一席之地。

目前，對信息系統或電子郵件的安全問題，還沒有一個非常有效的解決方案，其主要原因是由于互聯網固有的異構性，沒有一個單一的信任機構可以滿足互聯網全程異構性的所有需要，也沒有一個單一的協議能夠適用于互聯網全程異構性的所有情況。解決的辦法只有依靠軟件代理，即采用軟件代理來自動管理用戶所有的證書（即用戶所屬的信任結構）以及用戶所有的行為。每當用戶要發送一則消息或一封電子郵件時，代理就會自動與對方的代理協商，找出一個共同信任的機構或一個通用協議來進行通信。