数据加密技术概述

数据加密技术的包括这样几方面的内容：数据加密、数据解密、数字签名、签名识别以及数字证明等。

在密码学中，把设计密码的技术成为密码编码，把破译密码的技术称为密码分析。密码编码和密码分析合起来称为密码学。在加密系统中，算法是相对稳定的。为了加密数据的安全性，应经常改变密钥，例如，在每加密一个新信息时改变密钥，或每天、甚至每小时改变一次密钥。

1.易位法

2.置换法

现代加密技术则采用十分复杂的算法，将易位法和置换法交替使用多次而形成乘积密码。

1.对称加密算法

最具代表性的对称加密算法是数据加密标准DES。在DES所使用的的密钥长度为64位，它由两部分组成，一部分是实际密钥，占56位；另一部分是8位奇偶校验位。DES属于分组加密算法，它将明文按64位一组分成若干个明文组，每次利用56位密钥对64位的二进制明文数据进行加密，产生64位密文数据。

对比

由于对称加密算法和非对称加密算法各有优缺点，即非对称加密算法比对称加密算法处理速度慢，但密钥管理简单，因而在当前许多新的安全协议中，都同时应用了这两种加密技术。一种常用的方法是利用公开密钥技术传递对称密码，而用对称密钥技术来对实际传输的数据进行加密和解密。例如，由发送者先产生一个随机数（对称密钥），用它来对要传送的数据进行加密；然后再由接收者的公开密钥对对称密钥进行加密。接收者收到数据后，先用私用密钥对对对称密钥进行解密，然后再用对称密钥对所收到的数据进行解密。

1. 数据加密标准 传统加密方法有两种,替换和置换.上面的例子采用的就是替换的方法：使用密钥将明文中的每一个字符转换为密 文中的一个字符.而置换仅将明文的字符按不同的顺序重新排列.单独使用这两种方法的任意一种都是不够安全的,但 是将这两种方法结合起来就能提供相当高的安全程度.数据加密标准（Data Encryption Standard,简称DES）就采用了 这种结合算法,它由IBM制定,并在1977年成为美国官方加密标准. DES的工作原理为：将明文分割成许多64位大小的块,每个块用64位密钥进行加密,实际上,密钥由56位数据位和8 位奇偶校验位组成,因此只有256个可能的密码而不是264个.每块先用初始置换方法进行加密,再连续进行16次复杂的 替换,最后再对其施用初始置换的逆.第i步的替换并不是直接利用原始的密钥K,而是由K与i计算出的密钥Ki. DES具有这样的特性,其解密算法与加密算法相同,除了密钥Ki的施加顺序相反以外. 2. 公开密钥加密 多年来,许多人都认为DES并不是真的很安全.事实上,即使不采用智能的方法,随着快速、高度并行的处理器的出 现,强制破解DES也是可能的.公开密钥加密方法使得DES以及类似的传统加密技术过时了.公开密钥加密方法中,加密 算法和加密密钥都是公开的,任何人都可将明文转换成密文.但是相应的解密密钥是保密的（公开密钥方法包括两个密钥, 分别用于加密和解密）,而且无法从加密密钥推导出,因此,即使是加密者若未被授权也无法执行相应的解密. 公开密钥加密思想最初是由Diffie和Hellman提出的,最著名的是Rivest、Shamir以及Adleman提出的,现在通常称为 RSA（以三个发明者的首位字母命名）的方法,该方法基于下面的两个事实： 1) 已有确定一个数是不是质数的快速算法； 2) 尚未找到确定一个合数的质因子的快速算法. RSA方法的工作原理如下： 1) 任意选取两个不同的大质数p和q,计算乘积r=p*q； 2) 任意选取一个大整数e,e与(p-1)*(q-1)互质,整数e用做加密密钥.注意：e的选取是很容易的,例如,所有大 于p和q的质数都可用. 3) 确定解密密钥d： d * e = 1 modulo（p - 1）*（q - 1） 根据e、p和q可以容易地计算出d. 4) 公开整数r和e,但是不公开d； 5) 将明文P (假设P是一个小于r的整数)加密为密文C,计算方法为： C = Pe modulo r 6) 将密文C解密为明文P,计算方法为： P = Cd modulo r 然而只根据r和e（不是p和q）要计算出d是不可能的.因此,任何人都可对明文进行加密,但只有授权用户（知道d） 才可对密文解密.

数据库加密的方式从最早到现在有4种技术，首先是前置代理加密技术，该技术的思路是在数据库之前增加一道安全代理服务，所有访问数据库的行为都必须经过该安全代理服务，在此服务中实现如数据加解密、存取控制等安全策略，安全代理服务通过数据库的访问接口实现数据存储。安全代理服务存在于客户端应用与数据库存储引擎之间，负责完成数据的加解密工作，加密数据存储在安全代理服务中。

然后是应用加密技术，该技术是应用系统通过加密API对敏感数据进行加密，将加密数据存储到数据库的底层文件中；在进行数据检索时，将密文数据取回到客户端，再进行解密，应用系统自行管理密钥体系。

其次是文件系统加解密技术，该技术不与数据库自身原理融合，只是对数据存储的载体从 *** 作系统或文件系统层面进行加解密。这种技术通过在 *** 作系统中植入具有一定入侵性的“钩子”进程，在数据存储文件被打开的时候进行解密动作，在数据落地的时候执行加密动作，具备基础加解密能力的同时，能够根据 *** 作系统用户或者访问文件的进程ID进行基本的访问权限控制。

最后后置代理技术，该技术是使用“视图”+“触发器”+“扩展索引”+“外部调用”的方式实现数据加密，同时保证应用完全透明。核心思想是充分利用数据库自身提供的应用定制扩展能力，分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密，加密后数据检索，对应用无缝透明等核心需求。安华金和的加密技术在国内是唯一支持TDE的数据库加密产品厂商。

---