论文部分内容阅读
摘要:该文介绍了当今常用的密码体系中的对称密码体系和非对称密码体系,以及正在迅速推广的混合密码体系,分析了其各自的适用领域,并展望了密码技术的发展趋势。
关键词:数据加密;DES;PGP;加密技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1063-01
On the Network Transmission of Data Encryption Technology Research
JIANG Wei-jie
(Fuzhou University School of Sunshine, Fuzhou 350008, China)
Abstract: This paper describes the current password system used in the asymmetric crypto system and an asymmetric crypto system and is rapidly promote the mixed password system, analysis of their respective fields of application, and looked to the password technology trends.
Key words: data encryption; DES; PGP; encryption technology
1 引言
随着网络技术的飞速发展,网络给现代人们的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。但因特网是一个面向大众的开放系统,计算机网络中的数据总是通过介质传送的,网络中传物的数据不断的受到各方面有意无惫的攻击,网络中数据的安全性受到威胁。除了计算机病毒的安全隐患外,各种数据截取、中断、慈改、伪造使计算机网络数据传输受到强烈挑战,数字签名、身份验证、数据加密技术应运而生,尤其是数据加密技术给计算机网络数据安全带来了生机。
2 加密的概念
一个典型的数据加密模型如图1所示,由四个部分组成:
1) 未加密的报文,也称明文,用P表示。
2) 加密后的报文,也称密文,用Y表示。
3) 加密解密算法E、D。
4) 加密解密的密钥Ke、Kd。
发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。其数学表达式可以写成:P=Dkd(Kd,Eke(Ke,P))。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。
3 对称密码术和非对称密码术
根据所使用的密钥的不同,密码可分为两种:称密码和非对称密码。
3.1 对称密码技术
在这种密码里,加密和解密使用同一个密钥。其代表是美国的数据加密标准DES。它于1977年由美国国家标准局颁布,后被国际标准化组织接受作为国际标准。DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密,每次加密可对64位的输入数据进行16轮编码,经一系列替换和移位后,输入的64位原始数据转换成完全不同的64位输出数据。
DES曾是一种世界公认的较好的加密算法。但是它的密钥长度太短,只有56位。隨着计算机技术的飞速发展,这么短的密钥已经不再安全。科学家又研制了80位的密钥,以及在DES的基础上采用三重DES和双密钥加密的方法。即用两个56位的密钥K1、K2,发送方用K1加密,K2解密,再使用K1加密。接收方则使用K1解密,K2加密,再使用K1解密,其效果相当于将密钥长度加倍。另外IDEA算法也是一种非常安全的加密算法。
对称加密方法的主要问题是密钥的生成、注入、存储、管理、分发等很复杂,特别是随着用户的增加,密钥的需求量成倍增加。在网络通信中,大量密钥的分配是一个难以解决的问题。
3.2 非对称密码技术
为了解决对称密码系统所面临的一系列问题,本世纪70年代,美国斯坦福大学的两名学者迪菲和赫尔曼提出了一种新的加密方法—公开密钥加密对PKE方法。在公钥密码系统中,加密和解密使用的是不同的密钥(相对于对称密钥,人们把它叫做非对称密钥),这两个密钥之间存在着相互依存关系:即用其中任一个密钥加密的信息只能用另一个密钥进行解密。这使得通信双方无需事先交换密钥就可进行保密通信。
实现非对称密码技术的关键问题是如何确定公钥和私钥及加/解密的算法,也就是说如何找到“Alice的锁和钥匙”的问题。我们假设在这种体制中, PK是公开信息,用作加密密钥,而SK需要由用户自己保密,用作解密密钥。加密算法E和解密算法D也都是公开的。虽然SK与PK是成对出现,但却不能根据PK计算出SK。它们须满足条件:
1) 加密密钥PK对明文X加密后,再用解密密钥SK解密,即可恢复出明文,或写为:DSK(EPK(X))=X。
2) 加密密钥不能用来解密,即DPK(EPK(X))≠X。
3) 在计算机上可以容易地产生成对的PK和SK。
4) 从已知的PK实际上不可能推导出SK。
5) 加密和解密的运算可以对调,即:EPK(DSK(X))=X。
4 加密技术在网络中的应用及发展
随着网络互联技术的发展,信息安全必须系统地从体系结构上加以考虑,OSI(开放系统互联)参考模型的七层协议体系结构的提出,最终确定了网络环境的信息安全框架,在OSI不同层次可以采用不同的安全机制来提供不同的安全服务。网络加密也是网络信息安全的基本技术之一,理论上数据加密可以在OSI的任意一层实现,实际应用中加密技术主要有链路加密、节点加密和端对端加密等3种方式,他们分别在OSI不同层次使用加密技术。
链路加密通常用硬件在物理层实现,加密设备对所有通过的数据加密,这种加密方式对用户是透明的,由网络自动逐段依次进行,用户不需要了解加密技术的细节。主要用以对信道或链路中可能被截获的部分进行保护。链路加密的全部报文都以明文形式通过各节点的处理器,在节点数据容易受到非法存取的危害。节点加密是对链路加密的改进,在协议运输层上进行加密,加密算法要组合在依附于节点的加密模块中,所以明文数据只存在于保密模块中,克服了链路加密在节点处易遭非法存取的缺点。
网络加密根据需要也会采用不同的加密算法,网络安全中通常采用组合密码技术来强化加密算法,可大大增强算法的安全性,如采用常规密钥加密算法与公开密钥加密算法组合,即加密和解密数据用单密钥密码算法(如DES/IDEA),而采用RSA双密钥密码来传递会话密钥,就充分发挥对称密码体制的高速简便性和非对称密码体制密钥管理的方便和安全性。混和加密具体实现过程如图3所示。混合加密方式兼有两种密码体制的优点,既解决了密钥管理的困难,又解决了加、解密速度的问题,从而构成了一种理想的密码方式并得到广泛的应用。其典型是PGP(Pretty Good Private)系统。随着社会生活的日益信息化,公共数据网中信息的安全传输成了人们普遍关注和重视的研究领域。随着网络技术的发展及网络安全研究的发展,数据加密技术作为实现网络环境下数据安全的重要手段之一必将得到广泛的应用。
5 密码技术的未来趋势
尽管非对称密码体制比对称密码体制更为可靠,但由于计算过于复杂,对称密码体制在进行大信息量通信时,加密速率仅为对称体制的1/100,甚至是1/1000。正是由于不同体制的加密算法各有所长,所以在今后相当长的一段时期内,各类加密体制将会共同发展。而在由IBM等公司于1996年联合推出的用于电子商务的协议标准SET(Secure Electronic Transaction)中和1992年由多国联合开发的PGP技术中,均采用了包含单钥密码、双钥密码、单向杂凑算法和随机数生成算法在内的混合密码系统的动向来看,这似乎从一个侧面展示了今后密码技术应用的未来。
在单钥密码领域,一次一密被认为是最为可靠的机制,但是由于流密码体制中的密钥流生成器在算法上未能突破有限循环,故一直未被广泛应用。如果找到一个在算法上接近无限循环的密钥流生成器,该体制将会有一个质的飞跃。近年来,混沌学理论的研究给在这一方向产生突破带来了曙光。此外,充满生气的量子密码被认为是一个潜在的发展方向,因为它是基于光学和量子力学理论的。该理论对于在光纤通信中加强信息安全、对付拥有量子计算能力的破译无疑是一种理想的解决方法。
由于电子商务等民用系统的应用需求,认证加密算法也将有较大发展。此外,在传统密码体制中,还将会产生类似于IDEA这样的新成员,新成员的一个主要特征就是在算法上有创新和突破,而不仅仅是对传统算法进行修正或改进。密码学是一个正在不断发展的年轻学科,任何未被认识的加/解密机制都有可能在其中占有一席之地。
参考文献:
[1] 林先茂.基于数据加密技术下的网络信息安全系统[J].杭州电子工业学院学报,2001(1):12-13.
[2] 张焕国,覃中平.高级数据加密标准的研究[J].计算机工程与科学,2001,23(5):91-93.
[3] 张红旗等.信息网络安全[M].北京:清华大学出版社,2002.
[4] 谢希仁.计算机网络[M].2版.北京:电子工业出版社,1999.
关键词:数据加密;DES;PGP;加密技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1063-01
On the Network Transmission of Data Encryption Technology Research
JIANG Wei-jie
(Fuzhou University School of Sunshine, Fuzhou 350008, China)
Abstract: This paper describes the current password system used in the asymmetric crypto system and an asymmetric crypto system and is rapidly promote the mixed password system, analysis of their respective fields of application, and looked to the password technology trends.
Key words: data encryption; DES; PGP; encryption technology
1 引言
随着网络技术的飞速发展,网络给现代人们的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。但因特网是一个面向大众的开放系统,计算机网络中的数据总是通过介质传送的,网络中传物的数据不断的受到各方面有意无惫的攻击,网络中数据的安全性受到威胁。除了计算机病毒的安全隐患外,各种数据截取、中断、慈改、伪造使计算机网络数据传输受到强烈挑战,数字签名、身份验证、数据加密技术应运而生,尤其是数据加密技术给计算机网络数据安全带来了生机。
2 加密的概念
一个典型的数据加密模型如图1所示,由四个部分组成:
1) 未加密的报文,也称明文,用P表示。
2) 加密后的报文,也称密文,用Y表示。
3) 加密解密算法E、D。
4) 加密解密的密钥Ke、Kd。
发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。其数学表达式可以写成:P=Dkd(Kd,Eke(Ke,P))。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。
3 对称密码术和非对称密码术
根据所使用的密钥的不同,密码可分为两种:称密码和非对称密码。
3.1 对称密码技术
在这种密码里,加密和解密使用同一个密钥。其代表是美国的数据加密标准DES。它于1977年由美国国家标准局颁布,后被国际标准化组织接受作为国际标准。DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密,每次加密可对64位的输入数据进行16轮编码,经一系列替换和移位后,输入的64位原始数据转换成完全不同的64位输出数据。
DES曾是一种世界公认的较好的加密算法。但是它的密钥长度太短,只有56位。隨着计算机技术的飞速发展,这么短的密钥已经不再安全。科学家又研制了80位的密钥,以及在DES的基础上采用三重DES和双密钥加密的方法。即用两个56位的密钥K1、K2,发送方用K1加密,K2解密,再使用K1加密。接收方则使用K1解密,K2加密,再使用K1解密,其效果相当于将密钥长度加倍。另外IDEA算法也是一种非常安全的加密算法。
对称加密方法的主要问题是密钥的生成、注入、存储、管理、分发等很复杂,特别是随着用户的增加,密钥的需求量成倍增加。在网络通信中,大量密钥的分配是一个难以解决的问题。
3.2 非对称密码技术
为了解决对称密码系统所面临的一系列问题,本世纪70年代,美国斯坦福大学的两名学者迪菲和赫尔曼提出了一种新的加密方法—公开密钥加密对PKE方法。在公钥密码系统中,加密和解密使用的是不同的密钥(相对于对称密钥,人们把它叫做非对称密钥),这两个密钥之间存在着相互依存关系:即用其中任一个密钥加密的信息只能用另一个密钥进行解密。这使得通信双方无需事先交换密钥就可进行保密通信。
实现非对称密码技术的关键问题是如何确定公钥和私钥及加/解密的算法,也就是说如何找到“Alice的锁和钥匙”的问题。我们假设在这种体制中, PK是公开信息,用作加密密钥,而SK需要由用户自己保密,用作解密密钥。加密算法E和解密算法D也都是公开的。虽然SK与PK是成对出现,但却不能根据PK计算出SK。它们须满足条件:
1) 加密密钥PK对明文X加密后,再用解密密钥SK解密,即可恢复出明文,或写为:DSK(EPK(X))=X。
2) 加密密钥不能用来解密,即DPK(EPK(X))≠X。
3) 在计算机上可以容易地产生成对的PK和SK。
4) 从已知的PK实际上不可能推导出SK。
5) 加密和解密的运算可以对调,即:EPK(DSK(X))=X。
4 加密技术在网络中的应用及发展
随着网络互联技术的发展,信息安全必须系统地从体系结构上加以考虑,OSI(开放系统互联)参考模型的七层协议体系结构的提出,最终确定了网络环境的信息安全框架,在OSI不同层次可以采用不同的安全机制来提供不同的安全服务。网络加密也是网络信息安全的基本技术之一,理论上数据加密可以在OSI的任意一层实现,实际应用中加密技术主要有链路加密、节点加密和端对端加密等3种方式,他们分别在OSI不同层次使用加密技术。
链路加密通常用硬件在物理层实现,加密设备对所有通过的数据加密,这种加密方式对用户是透明的,由网络自动逐段依次进行,用户不需要了解加密技术的细节。主要用以对信道或链路中可能被截获的部分进行保护。链路加密的全部报文都以明文形式通过各节点的处理器,在节点数据容易受到非法存取的危害。节点加密是对链路加密的改进,在协议运输层上进行加密,加密算法要组合在依附于节点的加密模块中,所以明文数据只存在于保密模块中,克服了链路加密在节点处易遭非法存取的缺点。
网络加密根据需要也会采用不同的加密算法,网络安全中通常采用组合密码技术来强化加密算法,可大大增强算法的安全性,如采用常规密钥加密算法与公开密钥加密算法组合,即加密和解密数据用单密钥密码算法(如DES/IDEA),而采用RSA双密钥密码来传递会话密钥,就充分发挥对称密码体制的高速简便性和非对称密码体制密钥管理的方便和安全性。混和加密具体实现过程如图3所示。混合加密方式兼有两种密码体制的优点,既解决了密钥管理的困难,又解决了加、解密速度的问题,从而构成了一种理想的密码方式并得到广泛的应用。其典型是PGP(Pretty Good Private)系统。随着社会生活的日益信息化,公共数据网中信息的安全传输成了人们普遍关注和重视的研究领域。随着网络技术的发展及网络安全研究的发展,数据加密技术作为实现网络环境下数据安全的重要手段之一必将得到广泛的应用。
5 密码技术的未来趋势
尽管非对称密码体制比对称密码体制更为可靠,但由于计算过于复杂,对称密码体制在进行大信息量通信时,加密速率仅为对称体制的1/100,甚至是1/1000。正是由于不同体制的加密算法各有所长,所以在今后相当长的一段时期内,各类加密体制将会共同发展。而在由IBM等公司于1996年联合推出的用于电子商务的协议标准SET(Secure Electronic Transaction)中和1992年由多国联合开发的PGP技术中,均采用了包含单钥密码、双钥密码、单向杂凑算法和随机数生成算法在内的混合密码系统的动向来看,这似乎从一个侧面展示了今后密码技术应用的未来。
在单钥密码领域,一次一密被认为是最为可靠的机制,但是由于流密码体制中的密钥流生成器在算法上未能突破有限循环,故一直未被广泛应用。如果找到一个在算法上接近无限循环的密钥流生成器,该体制将会有一个质的飞跃。近年来,混沌学理论的研究给在这一方向产生突破带来了曙光。此外,充满生气的量子密码被认为是一个潜在的发展方向,因为它是基于光学和量子力学理论的。该理论对于在光纤通信中加强信息安全、对付拥有量子计算能力的破译无疑是一种理想的解决方法。
由于电子商务等民用系统的应用需求,认证加密算法也将有较大发展。此外,在传统密码体制中,还将会产生类似于IDEA这样的新成员,新成员的一个主要特征就是在算法上有创新和突破,而不仅仅是对传统算法进行修正或改进。密码学是一个正在不断发展的年轻学科,任何未被认识的加/解密机制都有可能在其中占有一席之地。
参考文献:
[1] 林先茂.基于数据加密技术下的网络信息安全系统[J].杭州电子工业学院学报,2001(1):12-13.
[2] 张焕国,覃中平.高级数据加密标准的研究[J].计算机工程与科学,2001,23(5):91-93.
[3] 张红旗等.信息网络安全[M].北京:清华大学出版社,2002.
[4] 谢希仁.计算机网络[M].2版.北京:电子工业出版社,1999.