加密技术和认证技术

加密技术和认证技术

一、 加密技术概述

加密技术是最常用的安全保密手段，数据加密技术的关键在于加密/解密算法和密钥管理。数据加密的基本过程就是对原来的为明文的文件或数据按某种加密算法进行处理，使其成为不可读的一段代码，通常称为“密文”。“密文”只能在输入相应的密钥之后才能显示出原来的内容，通过这样的途径使数据不被窃取。
在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络信息的通信安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。

二、对称加密技术

对称加密采用了对称密码编码技术，其特点是文件加密和解密使用相同的密钥。
常用的对称加密算法有：数据加密标准、三重DES、RC-5、国际数据加密算法、高级加密标准

1. 数据加密标准（Digital Encryption Standard，DES）算法：DES主要采用替换和移位的方法加密。DES算法运算速度快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适合于在专用芯片上实现。
2. 三重DES（3DES，或称TDEA）：在DES的基础上采用三重DES，发送方用K1加密，K2解密，K3加密；接收方使用K1解密，K2加密，K1解密，效果相当于将密钥长度加倍。
3. RC-5（Rivest Cipher5）：RSA数据安全公司的很多产品都使用了RC-5。
4. 国际数据加密算法（International Data Encryption Adleman,IDEA）:IDEA是在DES算法的基础上发展起来的，类似于三重DES，IDEA算法也是一种数据块加密算法。
5. 高级加密标准算法（Advanced Encryption Standard，AES）：AES算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。AES使用几种不同的方法来执行排列和置换运算。AES是一个迭代的、对称密钥分组的密码，它可以使用128、192、256位密钥，并且用128位分组加密和解密数据。

三、非对称加密技术

与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（Publickey）和私有密钥（Privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法称为非对称加密算法。
非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其他方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。
非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但加密和解密花费的时间长、速度慢，不适合于对文件加密，只适用于对少量数据进行加密。
RSA（Rivest，Shamir and Adleman）算法是一种公钥加密算法。

四、密钥管理

密钥管理是有生命周期的，它包括密钥和证书的有效时间，以及已撤销密钥和证书的维护时间等。并不是有了密钥就可以高枕无忧，任何保密也只是相对的，是有实效的。密钥管理主要是指密钥对的安全管理，包括密钥产生、密钥备份、密钥备份和恢复、密钥更新等。

1. 密钥产生
   密钥对的产生是证书申请过程中重要的一步，其中产生的私钥由用户保留，公钥和其他信息则交给CA中心进行签名，从而产生证书。
2. 密钥备份和恢复
   在一个PKI（Public Key Infrastructure，公开密钥体系）系统中，维护密钥对的备份至关重要，如果没有这种措施，当密钥丢失后，将意味着加密数据的完全丢失。
3. 密钥更新
   如果用户可以一次又一次地使用同样的密钥与别人交换信息，那么密钥也同其他任何密码一样存在着一定的安全性，虽然说用户的私钥是不对外公开的，但是也很难保证私钥长期的保密性，很难保证长期以来不被泄露。
4. 多密钥管理
   为了能在因特网上提供一个使用的解决方案，Kerberos建立了一个安全的、可信任的密钥分发中心（Key Distribution Center，KDC），每个用户只要知道一个和KDC进行绘画的密钥就可以了，而不需要知道成千上百个不同的密钥。

五、认证技术

认证技术主要解决网络通信过程中通信双方的身份认可。认证的过程设计加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合方法。认证方一般有账户名/口令认证、使用摘要算法认证和基于PKI的认证。
一个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时不需要详细地了解PKI的内部运作机制。
PKI是一种遵循既定标准的密钥管理平台，能够为所有网络应用提供加密和数字签名等密码服务以及所需的密钥和证书管理体系。完整的PKI系统必须具有权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分。

1. 认证机构：即数字证书的申请及签发机关，CA必须具备权威性的特征。
2. 数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。
3. 密钥备份及恢复系统。如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。
4. 证书作废系统：证书作废处理系统是PKI的一个必备组件。
5. 应用接口：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的KPI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。

PKI采用证书进行公钥管理，通过第三方的可信任机构（认证中心，即CA）把用户的公钥和用户的其他标识信息捆绑在一起，其中包括用户名和电子邮件地址等信息，以在Internet上验证用户的身份。