摘要:加密解密算法介紹算法目前常見有加密算法���,散列算法���,編碼算法,使用位關(guān)鍵字作為流加密算法加密技術(shù)通常分為兩大類對(duì)稱式和非對(duì)稱式�。對(duì)稱性加密算法有用途對(duì)稱加密算法用來對(duì)敏感數(shù)據(jù)等信息進(jìn)行加密數(shù)據(jù)加密標(biāo)準(zhǔn),速度較快�����,適用于加密大量數(shù)據(jù)的場(chǎng)合�����。
加密解密算法介紹
算法目前常見有: 加密算法�,散列算法��,Base64(編碼算法)�,https(SSL使用40位關(guān)鍵字作為RC4流加密算法)
加密技術(shù)通常分為兩大類:"對(duì)稱式"和"非對(duì)稱式"�。
對(duì)稱性加密算法:對(duì)稱式加密就是加密和解密使用同一個(gè)密鑰。信息接收雙方都需事先知道密匙和加解密算法且其密匙是相同的�����,之后便是對(duì)數(shù)據(jù)進(jìn)行加解密了����。對(duì)稱加密算法用來對(duì)敏感數(shù)據(jù)等信息進(jìn)行加密。
非對(duì)稱算法:非對(duì)稱式加密就是加密和解密所使用的不是同一個(gè)密鑰�,通常有兩個(gè)密鑰,稱為"公鑰"和"私鑰"���,它們兩個(gè)必需配對(duì)使用��,否則不能打開加密文件。發(fā)送雙方A,B事先均生成一堆密匙�����,然后A將自己的公有密匙發(fā)送給B�,B將自己的公有密匙發(fā)送給A��,如果A要給B發(fā)送消 息��,則先需要用B的公有密匙進(jìn)行消息加密��,然后發(fā)送給B端����,此時(shí)B端再用自己的私有密匙進(jìn)行消息解密���,B向A發(fā)送消息時(shí)為同樣的道理�����。
散列算法:散列算法��,又稱哈希函數(shù)�����,是一種單向加密算法�。在信息安全技術(shù)中��,經(jīng)常需要驗(yàn)證消息的完整性,散列(Hash)函數(shù)提供了這一服務(wù)�����,它對(duì)不同長度的輸入消息��,產(chǎn)生固定長度的輸出��。這個(gè)固定長度的輸出稱為原輸入消息的"散列"或"消息摘要"(Message digest)�。散列算法不算加密算法,因?yàn)槠浣Y(jié)果是不可逆的��,既然是不可逆的����,那么當(dāng)然不是用來加密的,而是簽名�。
對(duì)稱性加密算法有:AES、DES���、3DES
用途:對(duì)稱加密算法用來對(duì)敏感數(shù)據(jù)等信息進(jìn)行加密
DES(Data Encryption Standard):數(shù)據(jù)加密標(biāo)準(zhǔn)����,速度較快�����,適用于加密大量數(shù)據(jù)的場(chǎng)合�。
3DES(Triple DES):是基于DES,對(duì)一塊數(shù)據(jù)用三個(gè)不同的密鑰進(jìn)行三次加密����,強(qiáng)度更高。
AES(Advanced Encryption Standard):高級(jí)加密標(biāo)準(zhǔn)��,是下一代的加密算法標(biāo)準(zhǔn)��,速度快����,安全級(jí)別高;AES是一個(gè)使用128為分組塊的分組加密算法����,分組塊和128、192或256位的密鑰一起作為輸入����,對(duì)4×4的字節(jié)數(shù)組上進(jìn)行操作。眾所周之AES是種十分高效的算法���,尤其在8位架構(gòu)中�,這源于它面向字節(jié)的設(shè)計(jì)。AES 適用于8位的小型單片機(jī)或者普通的32位微處理器,并且適合用專門的硬件實(shí)現(xiàn)�����,硬件實(shí)現(xiàn)能夠使其吞吐量(每秒可以到達(dá)的加密/解密bit數(shù))達(dá)到十億量級(jí)���。同樣�,其也適用于RFID系統(tǒng)�。
以上三種都是對(duì)稱加密算法,且是國際算法�����,因?yàn)槎际敲绹懈愕?�,而我國國密局也制定了自己的?duì)稱加密算法�,叫國密算法,SM1(相當(dāng)于AES),和SM4(相當(dāng)于3DES)���。
#### DES
1977年1月���,美國政府頒布:采納IBM公司設(shè)計(jì)的方案作為非機(jī)密數(shù)據(jù)的正式數(shù)據(jù)加密標(biāo)準(zhǔn)(DES Data Encryption Standard) ��。
目前在國內(nèi)��,隨著三金工程尤其是金卡工程的啟動(dòng),DES算法在POS��、ATM��、磁卡及智能卡(IC卡)�����、加油站����、高速公路收費(fèi)站等領(lǐng)域被廣泛應(yīng)用,以此來實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的保密�,如信用卡持卡人的PIN的加密傳輸,IC卡與POS間的雙向認(rèn)證����、金融交易數(shù)據(jù)包的MAC校驗(yàn)等,均用到DES算法���。
DES算法的入口參數(shù)有三個(gè):Key�、Data、Mode�����。
其中Key為8個(gè)字節(jié)共64位���,是DES算法的工作密鑰�;
Data也為8個(gè)字節(jié)64位�,是要被加密或被解密的數(shù)據(jù);
Mode為DES的工作方式�,有兩種:加密或解密。
DES算法是這樣工作的:
如Mode為加密���,則用Key 去把數(shù)據(jù)Data進(jìn)行加密����, 生成Data的密文形式(64位)作為DES的輸出結(jié)果�;
如Mode為解密,則用Key去把密碼形式的數(shù)據(jù)Data解密���,還原為Data的明文形式(64位)作為DES的輸出結(jié)果��。
在通信網(wǎng)絡(luò)的兩端���,雙方約定一致的Key����,在通信的源點(diǎn)用Key對(duì)核心數(shù)據(jù)進(jìn)行DES加密�,然后以密碼形式在公共通信網(wǎng)(如電話網(wǎng))中傳輸?shù)酵ㄐ啪W(wǎng)絡(luò)的終點(diǎn),數(shù)據(jù)到達(dá)目的地后����,用同樣的Key對(duì)密碼數(shù)據(jù)進(jìn)行解密��,便再現(xiàn)了明碼形式的核心數(shù)據(jù)��。這樣�,便保證了核心數(shù)據(jù)(如PIN、MAC等)在公共通信網(wǎng)中傳輸?shù)陌踩院涂煽啃浴?/p>
通過定期在通信網(wǎng)絡(luò)的源端和目的端同時(shí)改用新的Key����,便能更進(jìn)一步提高數(shù)據(jù)的保密性,這正是現(xiàn)在金融交易網(wǎng)絡(luò)的流行做法�。
非對(duì)稱性算法有:RSA、DSA�、ECC
RSA:由 RSA 公司發(fā)明,是一個(gè)支持變長密鑰的公共密鑰算法�����,需要加密的文件塊的長度也是可變的。RSA在國外早已進(jìn)入實(shí)用階段�,已研制出多種高速的RSA的專用芯片。
DSA(Digital Signature Algorithm):數(shù)字簽名算法�����,是一種標(biāo)準(zhǔn)的 DSS(數(shù)字簽名標(biāo)準(zhǔn))����,嚴(yán)格來說不算加密算法。
ECC(Elliptic Curves Cryptography):橢圓曲線密碼編碼學(xué)��。ECC和RSA相比�,具有多方面的絕對(duì)優(yōu)勢(shì),主要有:抗攻擊性強(qiáng)�����。相同的密鑰長度���,其抗攻擊性要強(qiáng)很多倍�。計(jì)算量小����,處理速度快�����。ECC總的速度比RSA����、DSA要快得多����。存儲(chǔ)空間占用小�。ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多�����,意味著它所占的存貯空間要小得多���。這對(duì)于加密算法在IC卡上的應(yīng)用具有特別重要的意義��。帶寬要求低����。當(dāng)對(duì)長消息進(jìn)行加解密時(shí),三類密碼系統(tǒng)有相同的帶寬要求�����,但應(yīng)用于短消息時(shí)ECC帶寬要求卻低得多�����。帶寬要求低使ECC在無線網(wǎng)絡(luò)領(lǐng)域具有廣泛的應(yīng)用前景�。
散列算法(簽名算法)有:MD5、SHA1���、HMAC
用途:主要用于驗(yàn)證�����,防止信息被修���。具體用途如:文件校驗(yàn)、數(shù)字簽名�、鑒權(quán)協(xié)議
MD5:MD5是一種不可逆的加密算法,目前是最牢靠的加密算法之一�����,尚沒有能夠逆運(yùn)算的程序被開發(fā)出來,它對(duì)應(yīng)任何字符串都可以加密成一段唯一的固定長度的代碼�����。
SHA1:是由NISTNSA設(shè)計(jì)為同DSA一起使用的�����,它對(duì)長度小于264的輸入�,產(chǎn)生長度為160bit的散列值,因此抗窮舉(brute-force)性更好�。SHA-1設(shè)計(jì)時(shí)基于和MD4相同原理,并且模仿了該算法。SHA-1是由美國標(biāo)準(zhǔn)技術(shù)局(NIST)頒布的國家標(biāo)準(zhǔn)���,是一種應(yīng)用最為廣泛的Hash函數(shù)算法���,也是目前最先進(jìn)的加密技術(shù)��,被政府部門和私營業(yè)主用來處理敏感的信息��。而SHA-1基于MD5�,MD5又基于MD4。
HMAC:是密鑰相關(guān)的哈希運(yùn)算消息認(rèn)證碼(Hash-based Message Authentication Code),HMAC運(yùn)算利用哈希算法,以一個(gè)密鑰和一個(gè)消息為輸入�����,生成一個(gè)消息摘要作為輸出����。也就是說HMAC是需要一個(gè)密鑰的。所以�����,HMAC_SHA1也是需要一個(gè)密鑰的����,而SHA1不需要。
其他常用算法:
Base64:其實(shí)不是安全領(lǐng)域下的加密解密算法�����,只能算是一個(gè)編碼算法�����,通常用于把二進(jìn)制數(shù)據(jù)編碼為可寫的字符形式的數(shù)據(jù)�����,對(duì)數(shù)據(jù)內(nèi)容進(jìn)行編碼來適合傳輸(可以對(duì)img圖像編碼用于傳輸)。這是一種可逆的編碼方式�����。編碼后的數(shù)據(jù)是一個(gè)字符串��,其中包含的字符為:A-Z����、a-z、0-9��、+��、/��,共64個(gè)字符(26 + 26 + 10 + 1 + 1 = 64��,其實(shí)是65個(gè)字符����,“=”是填充字符�����。Base64要求把每三個(gè)8Bit的字節(jié)轉(zhuǎn)換為四個(gè)6Bit的字節(jié)(38 = 46 = 24),然后把6Bit再添兩位高位0�����,組成四個(gè)8Bit的字節(jié)����,也就是說,轉(zhuǎn)換后的字符串理論上將要比原來的長1/3�����。原文的字節(jié)最后不夠3個(gè)的地方用0來補(bǔ)足�����,轉(zhuǎn)換時(shí)Base64編碼用=號(hào)來代替����。這就是為什么有些Base64編碼會(huì)以一個(gè)或兩個(gè)等號(hào)結(jié)束的原因,中間是不可能出現(xiàn)等號(hào)的�,但等號(hào)最多只有兩個(gè)。其實(shí)不用"="也不耽誤解碼�,之所以用"="���,可能是考慮到多段編碼后的Base64字符串拼起來也不會(huì)引起混淆。)
Base64編碼是從二進(jìn)制到字符的過程��,像一些中文字符用不同的編碼轉(zhuǎn)為二進(jìn)制時(shí)����,產(chǎn)生的二進(jìn)制是不一樣的,所以最終產(chǎn)生的Base64字符也不一樣����。例如"上網(wǎng)"對(duì)應(yīng)utf-8格式的Base64編碼是"5LiK572R", 對(duì)應(yīng)GB2312格式的Base64編碼是"yc/N+A=="����。
標(biāo)準(zhǔn)的Base64并不適合直接放在URL里傳輸,因?yàn)閁RL編碼器會(huì)把標(biāo)準(zhǔn)Base64中的“/”和“+”字符變?yōu)樾稳纭?XX”的形式����,而這些“%”號(hào)在存入數(shù)據(jù)庫時(shí)還需要再進(jìn)行轉(zhuǎn)換,因?yàn)锳NSI SQL中已將“%”號(hào)用作通配符��。
為解決此問題�,可采用一種用于URL的改進(jìn)Base64編碼,它不在末尾填充"="號(hào)����,并將標(biāo)準(zhǔn)Base64中的“+”和“/”分別改成了“-”和“_”,這樣就免去了在URL編解碼和數(shù)據(jù)庫存儲(chǔ)時(shí)所要作的轉(zhuǎn)換���,避免了編碼信息長度在此過程中的增加�,并統(tǒng)一了數(shù)據(jù)庫��、表單等處對(duì)象標(biāo)識(shí)符的格式����。
另有一種用于正則表達(dá)式的改進(jìn)Base64變種,它將“+”和“/”改成了“!”和“-”�����,因?yàn)椤?”����,“*”以及前面在IRCu中用到的“[”和“]”在正則表達(dá)式中都可能具有特殊含義。
此外還有一些變種�����,它們將“+/”改為“_-”或“._”(用作編程語言中的標(biāo)識(shí)符名稱)或“.-”(用于XML中的Nmtoken)甚至“_:”(用于XML中的Name)����。
?HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer)���,是以安全為目標(biāo)的HTTP通道,簡(jiǎn)單講是HTTP的安全版���。即HTTP下加入SSL層�����,HTTPS的安全基礎(chǔ)是SSL(SSL使用40 位關(guān)鍵字作為RC4流加密算法��,這對(duì)于商業(yè)信息的加密是合適的����。)�����,因此加密的詳細(xì)內(nèi)容就需要SSL��。https:URL表明它使用了HTTP�,但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層(在HTTP與TCP之間),提供了身份驗(yàn)證與加密通訊方法,現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊��,例如交易支付方面��。它的主要作用可以分為兩種:一種是建立一個(gè)信息安全通道���,來保證數(shù)據(jù)傳輸?shù)陌踩涣硪环N就是確認(rèn)網(wǎng)站的真實(shí)性�。
項(xiàng)目應(yīng)用總結(jié):
加密算法是可逆的,用來對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)�。散列算法(簽名算法、哈希算法)是不可逆的����,主要用于身份驗(yàn)證。
對(duì)稱加密算法使用同一個(gè)密匙加密和解密���,速度快����,適合給大量數(shù)據(jù)加密��。對(duì)稱加密客戶端和服務(wù)端使用同一個(gè)密匙���,存在被抓包破解的風(fēng)險(xiǎn)�。
非對(duì)稱加密算法使用公鑰加密,私鑰解密�����,私鑰簽名�����,公鑰驗(yàn)簽���。安全性比對(duì)稱加密高���,但速度較慢。非對(duì)稱加密使用兩個(gè)密匙����,服務(wù)端和客戶端密匙不一樣,私鑰放在服務(wù)端���,黑客一般是拿不到的��,安全性高���。
Base64不是安全領(lǐng)域下的加解密算法�����,只是一個(gè)編碼算法��,通常用于把二進(jìn)制數(shù)據(jù)編碼為可寫的字符形式的數(shù)據(jù)�,特別適合在http�,mime協(xié)議下的網(wǎng)絡(luò)快速傳輸數(shù)據(jù)�����。UTF-8和GBK中文的Base64編碼結(jié)果是不同的�。采用Base64編碼不僅比較簡(jiǎn)短,同時(shí)也具有不可讀性�,即所編碼的數(shù)據(jù)不會(huì)被人用肉眼所直接看到,但這種方式很初級(jí)����,很簡(jiǎn)單。Base64可以對(duì)圖片文件進(jìn)行編碼傳輸��。
https協(xié)議廣泛用于萬維網(wǎng)上安全敏感的通訊���,例如交易支付方面���。它的主要作用可以分為兩種:一種是建立一個(gè)信息安全通道�,來保證數(shù)據(jù)傳輸?shù)陌踩?;另一種就是確認(rèn)網(wǎng)站的真實(shí)性。
大量數(shù)據(jù)加密建議采用對(duì)稱加密算法��,提高加解密速度��;小量的機(jī)密數(shù)據(jù)�,可以采用非對(duì)稱加密算法。在實(shí)際的操作過程中����,我們通常采用的方式是:采用非對(duì)稱加密算法管理對(duì)稱算法的密鑰,然后用對(duì)稱加密算法加密數(shù)據(jù)�����,這樣我們就集成了兩類加密算法的優(yōu)點(diǎn)�����,既實(shí)現(xiàn)了加密速度快的優(yōu)點(diǎn)��,又實(shí)現(xiàn)了安全方便管理密鑰的優(yōu)點(diǎn)。
MD5標(biāo)準(zhǔn)密鑰長度128位(128位是指二進(jìn)制位�。二進(jìn)制太長,所以一般都改寫成16進(jìn)制���,每一位16進(jìn)制數(shù)可以代替4位二進(jìn)制數(shù)�����,所以128位二進(jìn)制數(shù)寫成16進(jìn)制就變成了128/4=32位����。16位加密就是從32位MD5散列中把中間16位提取出來)�����;sha1標(biāo)準(zhǔn)密鑰長度160位(比MD5摘要長32位)����,Base64轉(zhuǎn)換后的字符串理論上將要比原來的長1/3��。
參考地址:
加密算法(DES,AES,RSA,MD5,SHA1,Base64)比較和項(xiàng)目應(yīng)用
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/99927.html
