加密技術

加密技術包括兩個元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一串數字（密鑰）的結合，產生不可理解的密文的步驟，密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網絡的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數據加密標準（DES，Data Encryption Standard）算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Adleman）算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

對稱加密採用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰，這種方法在密碼學中叫做對稱加密算法，對稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難，除了數據加密標準（DES），另一個對稱密鑰加密系統是國際數據加密算法（IDEA），它比DES的加密性好，而且對計算機功能要求也沒有那麼高。IDEA加密標準由PGP（Pretty Good Privacy）系統使用。 ^[1] 

1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是“公開密鑰系統”。相對於“對稱加密算法”這種方法也叫做“非對稱加密算法”。與對稱加密算法不同，非對稱加密算法需要兩個密鑰：公開密鑰（publickey）和私有密鑰 （privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種算法叫作非對稱加密算法。 ^[1] 

PKI（Public Key Infrastructure 的縮寫）是一種遵循既定標準的密鑰管理平台,它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。 ^[2] 

原有的單密鑰加密技術採用特定加密密鑰加密數據，而解密時用於解密的密鑰與加密密鑰相同，這稱之為對稱型加密算法。採用此加密技術的理論基礎的加密方法如果用於網絡傳輸數據加密，則不可避免地出現安全漏洞。因為在發送加密數據的同時，也需要將密鑰通過網絡傳輸通知接收者，第三方在截獲加密數據的同時，只需再截取相應密鑰即可將數據解密使用或進行非法篡改。

區別於原有的單密鑰加密技術，PKI採用非對稱的加密算法，即由原文加密成密文的密鑰不同於由密文解密為原文的密鑰，以避免第三方獲取密鑰後將密文解密。

1、無客户端SSL：SSL的原始應用。在這種應用中，一台主機計算機在加密的鏈路上直接連接到一個來源(如Web服務器、郵件服務器、目錄等)。

2、配置VPN設備的無客户端SSL：這種使用SSL的方法對於主機來説與第一種類似。但是，加密通訊的工作是由VPN設備完成的，而不是由在線資源完成的(如Web或者郵件服務器)。

3、主機至網絡：在上述兩個方案中，主機在一個加密的頻道直接連接到一個資源。在這種方式中，主機運行客户端軟件(SSL或者IPsec客户端軟件)連接到一台VPN設備並且成為包含這個主機目標資源的那個網絡的一部分。

SSL：由於設置簡單，SSL已經成為這種類型的VPN的事實上的選擇。客户端軟件通常是很小的基於Java的程序。用户甚至可能都注意不到。

IPsec：在SSL成為創建主機至網絡的流行方式之前，要使用IPsec客户端軟件。IPsec仍在使用，但是，它向用户提供了許多設置選擇，容易造成混淆。

4、網絡至網絡：有許多方法能夠創建這種類型加密的隧道VPN.但是，要使用的技術幾乎總是IPsec.

加密技術的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用，下面就分別簡敍。

電子商務（E-business）要求顧客可以在網上進行各種商務活動，不必擔心自己的信用卡會被人盜用。在過去，用户為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然後使用用户的信用卡進行付款。人們開始用RSA（一種公開/私有密鑰）的加密技術，提高信用卡交易的安全性，從而使電子商務走向實用成為可能。 ^[3] 

許多人都知道NETSCAPE公司是Internet商業中領先技術的提供者，該公司提供了一種基於RSA和保密密鑰的應用於因特網的技術，被稱為安全插座層（Secure Sockets Layer，SSL）。

也許很多人知道Socket，它是一個編程界面，並不提供任何安全措施，而SSL不但提供編程界面，而且向上提供一種安全的服務，SSL3.0已經應用到了服務器和瀏覽器上，SSL2.0則只能應用於服務器端。

SSL3.0用一種電子證書（electric certificate）來實行身份進行驗證後，雙方就可以用保密密鑰進行安全的會話了。它同時使用“對稱”和“非對稱”加密方法，在客户與電子商務的服務器進行溝通的過程中，客户會產生一個Session Key，然後客户用服務器端的公鑰將Session Key進行加密，再傳給服務器端，在雙方都知道Session Key後，傳輸的數據都是以Session Key進行加密與解密的，但服務器端發給用户的公鑰必需先向有關發證機關申請，以得到公證。

基於SSL3.0提供的安全保障，用户就可以自由訂購商品並且給出信用卡號了，也可以在網上和合作夥伴交流商業信息並且讓供應商把訂單和收貨單從網上發過來，這樣可以節省大量的紙張，為公司節省大量的電話、傳真費用。在過去，電子信息交換（Electric Data Interchange，EDI）、信息交易（information transaction）和金融交易（financial transaction）都是在專用網絡上完成的，使用專用網的費用大大高於互聯網。正是這樣巨大的誘惑，才使人們開始發展因特網上的電子商務，但不要忘記數據加密。

越多越多的公司走向國際化，一個公司可能在多個國家都有辦事機構或銷售中心，每一個機構都有自己的局域網LAN（Local Area Network），但在當今的網絡社會人們的要求不僅如此，用户希望將這些LAN連結在一起組成一個公司的廣域網，這個在已不是什麼難事了。

事實上，很多公司都已經這樣做了，但他們一般使用租用專用線路來連結這些局域網 ，他們考慮的就是網絡的安全問題。具有加密/解密功能的路由器已到處都是，這就使人們通過互聯網連接這些局域網成為可能，這就是我們通常所説的虛擬專用網（Virtual Private Network ，VPN）。當數據離開發送者所在的局域網時，該數據首先被用户湍連接到互聯網上的路由器進行硬件加密，數據在互聯網上是以加密的形式傳送的，當達到目的LAN的路由器時，該路由器就會對數據進行解密，這樣目的LAN中的用户就可以看到真正的信息了。