綜合加密技術的步驟解釋

1. 1.什麼是數據加密簡述加密和解密的過程。

Sesoffice隱形加密技術具有強制加密、自動加密、實時加密、動態加密和無損加密的特點，對文件加密和解密是自動進行的，無需用戶干預，用戶實際上是無知覺的，在文件編輯和使用過程中，不需要明文過渡，不產生明文。一旦離開使用環境，加密的文件無法打開或打開是亂碼。隱形加密從根源上解決文檔安全問題。客戶端只加密，不解密，軟體里無解密函數，無法利用客戶端軟體來破解解密，理論上增加了破解難度。

2. 電子商務的加密技術有哪些是如何加密和解密的

1.什麼是加密技術? 加密技術是電子商務採取的主要安全保密措施，是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。加密技術包括兩個元素：演算法和密鑰。演算法是將普通的文本（或者可以理解的信息）與一竄數字（密鑰）的結合，產生不可理解的密文的步驟，密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數據加密標准（DNS，Data Encryption Standard）演算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）演算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。 2.什麼是對稱加密技術? 對稱加密採用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰，這種方法在密碼學中叫做對稱加密演算法，對稱加密演算法使用起來簡單快捷，密鑰較短，且破譯困難，除了數據加密標准（DNS），另一個對稱密鑰加密系統是國際數據加密演算法（IDEA），它比DNS的加密性好，而且對計算機功能要求也沒有那麼高。IDEA加密標准由PGP（Pretty Good Privacy）系統使用。 3.什麼是非對稱加密技術? 1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是「公開密鑰系統」。相對於「對稱加密演算法」這種方法也叫做「非對稱加密演算法」。與對稱加密演算法不同，非對稱加密演算法需要兩個密鑰：公開密鑰（publickey）和私有密 （privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種演算法叫作非對稱加密演算法。

3. 加密技術06-加密總結

對稱密碼是一種用相同的密鑰進行加密和解密的技術，用於確保消息的機密性。在對稱密碼的演算法方面，目前主要使用的是 AES。盡管對稱密碼能夠確保消息的機密性，但需要解決將解密密鑰配送給接受者的密鑰配送問題。

主要演算法

DES

數據加密標准（英語：Data Encryption Standard，縮寫為 DES）是一種對稱密鑰加密塊密碼演算法，1976年被美國聯邦政府的國家標准局確定為聯邦資料處理標准（FIPS），隨後在國際上廣泛流傳開來。它基於使用56位密鑰的對稱演算法。

DES現在已經不是一種安全的加密方法，主要因為它使用的56位密鑰過短。

原理請參考： 加密技術01-對稱加密-DES原理

3DES

三重數據加密演算法（英語：Triple Data Encryption Algorithm，縮寫為TDEA，Triple DEA），或稱3DES（Triple DES），是一種對稱密鑰加密塊密碼，相當於是對每個數據塊應用三次DES演算法。由於計算機運算能力的增強，原版DES由於密鑰長度過低容易被暴力破解；3DES即是設計用來提供一種相對簡單的方法，即通過增加DES的密鑰長度來避免類似的攻擊，而不是設計一種全新的塊密碼演算法。

注意：有3個獨立密鑰的3DES的密鑰安全性為168位，但由於中途相遇攻擊（知道明文和密文），它的有效安全性僅為112位。

3DES使用「密鑰包」，其包含3個DES密鑰，K1，K2和K3，均為56位（除去奇偶校驗位）。

密文 = E k3 (D k2 (E k1 (明文)))

而解密則為其反過程：

明文 = D k3 (E k2 (D k1 (密文)))

AES

AES 全稱 Advanced Encryption Standard（高級加密標准）。它的出現主要是為了取代 DES 加密演算法的，因為 DES 演算法的密鑰長度是 56 位，因此演算法的理論安全強度是 56 位。於是 1997 年 1 月 2 號，美國國家標准技術研究所宣布希望徵集高級加密標准，用以取代 DES。AES 也得到了全世界很多密碼工作者的響應，先後有很多人提交了自己設計的演算法。最終有5個候選演算法進入最後一輪：Rijndael，Serpent，Twofish，RC6 和 MARS。最終經過安全性分析、軟硬體性能評估等嚴格的步驟，Rijndael 演算法獲勝。

AES 密碼與分組密碼 Rijndael 基本上完全一致，Rijndael 分組大小和密鑰大小都可以為 128 位、192 位和 256 位。然而 AES 只要求分組大小為 128 位，因此只有分組長度為 128 位的 Rijndael 才稱為 AES 演算法。

本文 AES 默認是分組長度為 128 位的 Rijndael 演算法

原理請參考： 加密技術02-對稱加密-AES原理

演算法對比

公鑰密碼是一種用不同的密鑰進行加密和解密的技術，和對稱密碼一樣用於確保消息的機密性。使用最廣泛的一種公鑰密碼演算法是 RAS。和對稱密碼相比，公鑰密碼的速度非常慢，因此一般都會和對稱密碼一起組成混合密碼系統來使用。公鑰密碼能夠解決對稱密碼中的密鑰交換問題，但存在通過中間人攻擊被偽裝的風險，因此需要對帶有數字簽名的公鑰進行認證。

公鑰密碼學的概念是為了解決對稱密碼學中最困難的兩個問題而提出

應用場景

幾個誤解

主要演算法

Diffie–Hellman 密鑰交換

迪菲-赫爾曼密鑰交換（英語：Diffie–Hellman key exchange，縮寫為D-H） 是一種安全協議。它可以讓雙方在完全沒有對方任何預先信息的條件下通過不安全信道創建起一個密鑰。這個密鑰可以在後續的通訊中作為對稱密鑰來加密通訊內容。公鑰交換的概念最早由瑞夫·墨克（Ralph C. Merkle）提出，而這個密鑰交換方法，由惠特菲爾德·迪菲（Bailey Whitfield Diffie）和馬丁·赫爾曼（Martin Edward Hellman）在1976年發表，也是在公開文獻中發布的第一個非對稱方案。

Diffie–Hellman 演算法的有效性是建立在計算離散對數很困難的基礎上。簡單地說，我們可如下定義離散對數。首先定義素數 p 的本原跟。素數 p 的本原根是一個整數，且其冪可以產生 1 到 p-1 之間所有整數，也就是說若 a 是素數 p 的本原根，則

a mod p, a 2 mod p,..., a p-1 mod p 各不相同，它是整數 1 到 p-1 的一個置換。

對任意整數 b 和素數 p 的本原跟 a，我們可以找到唯一的指數 i 使得

b ≡ a i (mod p) 其中 0 <= i <= p-1

其中 a, b, p 這些是公開的，i 是私有的，破解難度就是計算 i 的難度。

Elgamal

1985年，T.Elgamal 提出了一種基於離散對數的公開密鑰體制，一種與 Diffie-Hellman 密鑰分配體制密切相關。Elgamal 密碼體系應用於一些技術標准中，如數字簽名標准(DSS) 和 S/MIME 電子郵件標准。

基本原理就是利用 Diffie–Hellman 進行密鑰交換，假設交換的密鑰為 K，然後用 K 對要發送的消息 M，進行加密處理。

所以 Elgamal 的安全系數取決於 Diffie–Hellman 密鑰交換。

另外 Elgamal 加密後消息發送的長度會增加一倍。

RSA

MIT 的羅納德·李維斯特（Ron Rivest）、阿迪·薩莫爾（Adi Shamir）和倫納德·阿德曼（Leonard Adleman）在 1977 年提出並於 1978 年首次發表的演算法。RSA 是最早滿足要求的公鑰演算法之一，自誕生日起就成為被廣泛接受且被實現的通用的公鑰加密方法。

RSA 演算法的有效性主要依據是大數因式分解是很困難的。

原理請參考： 加密技術03-非對稱加密-RSA原理

ECC

大多數使用公鑰密碼學進行加密和數字簽名的產品和標准都使用 RSA 演算法。我們知道，為了保證 RSA 使用的安全性，最近這些年來密鑰的位數一直在增加，這對使用 RSA 的應用是很重的負擔，對進行大量安全交易的電子商務更是如此。近來，出現的一種具有強大競爭力的橢圓曲線密碼學（ECC）對 RSA 提出了挑戰。在標准化過程中，如關於公鑰密碼學的 IEEE P1363 標准中，人們也已考慮了 ECC。

與 RSA 相比，ECC 的主要誘人之處在於，它可以使用比 RSA 短得多的密鑰得到相同安全性，因此可以減少處理負荷。

ECC 比 RSA 或 Diffie-Hellman 原理復雜很多，本文就不多闡述了。

演算法對比

公鑰密碼體制的應用

密碼分析所需計算量（ NIST SP-800-57 ）

註：L=公鑰的大小，N=私鑰的大小

散列函數是一種將長消息轉換為短散列值的技術，用於確保消息的完整性。在散列演算法方面，SHA-1 曾被廣泛使用，但由於人們已經發現了一些針對該演算法理論上可行的攻擊方式，因此該演算法不應再被用於新的用途。今後我們應該主要使用的演算法包括目前已經在廣泛使用的 SHA-2，以及具有全新結構的 SHA-3 演算法。散列函數可以單獨使用，也可以作為消息認證、數字簽名以及偽隨機數生成器等技術的組成元素來使用。

主要應用

主要演算法

MD5

MD5消息摘要演算法（英語：MD5 Message-Digest Algorithm），一種被廣泛使用的密碼散列函數，可以產生出一個 128 位（ 16 位元組，被表示為 32 位十六進制數字）的散列值（hash value），用於確保信息傳輸完整一致。MD5 由美國密碼學家羅納德·李維斯特（Ronald Linn Rivest）設計，於 1992 年公開，用以取代 MD4 演算法。這套演算法的程序在 RFC 1321 中被加以規范。

2009年，中國科學院的謝濤和馮登國僅用了 2 20.96 的碰撞演算法復雜度，破解了MD5的碰撞抵抗，該攻擊在普通計算機上運行只需要數秒鍾。2011年，RFC 6151 禁止MD5用作密鑰散列消息認證碼。

原理請參考： 加密技術04-哈希演算法-MD5原理

SHA-1

SHA-1（英語：Secure Hash Algorithm 1，中文名：安全散列演算法1）是一種密碼散列函數，美國國家安全局設計，並由美國國家標准技術研究所（NIST）發布為聯邦資料處理標准（FIPS）。SHA-1可以生成一個被稱為消息摘要的160位（20位元組）散列值，散列值通常的呈現形式為40個十六進制數。

2005年，密碼分析人員發現了對SHA-1的有效攻擊方法，這表明該演算法可能不夠安全，不能繼續使用，自2010年以來，許多組織建議用SHA-2或SHA-3來替換SHA-1。Microsoft、Google以及Mozilla都宣布，它們旗下的瀏覽器將在2017年停止接受使用SHA-1演算法簽名的SSL證書。

2017年2月23日，CWI Amsterdam與Google宣布了一個成功的SHA-1碰撞攻擊，發布了兩份內容不同但SHA-1散列值相同的PDF文件作為概念證明。

2020年，針對SHA-1的選擇前綴沖突攻擊已經實際可行。建議盡可能用SHA-2或SHA-3取代SHA-1。

原理請參考： 加密技術05-哈希演算法-SHA系列原理

SHA-2

SHA-2，名稱來自於安全散列演算法2（英語：Secure Hash Algorithm 2）的縮寫，一種密碼散列函數演算法標准，由美國國家安全局研發，由美國國家標准與技術研究院（NIST）在2001年發布。屬於SHA演算法之一，是SHA-1的後繼者。其下又可再分為六個不同的演算法標准，包括了：SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。

SHA-2 系列的演算法主要思路和 SHA-1 基本一致

原理請參考： 加密技術05-哈希演算法-SHA系列原理

SHA-3

SHA-3 第三代安全散列演算法(Secure Hash Algorithm 3)，之前名為 Keccak 演算法。

Keccak 是一個加密散列演算法，由 Guido Bertoni，Joan Daemen，Michaël Peeters，以及 Gilles Van Assche 在 RadioGatún 上設計。

2012年10月2日，Keccak 被選為 NIST 散列函數競賽的勝利者。SHA-2 目前沒有出現明顯的弱點。由於對 MD5、SHA-0 和 SHA-1 出現成功的破解，NIST 感覺需要一個與之前演算法不同的，可替換的加密散列演算法，也就是現在的 SHA-3。

SHA-3 在2015年8月5日由 NIST 通過 FIPS 202 正式發表。

原理請參考： 加密技術05-哈希演算法-SHA系列原理

演算法對比

4. 資料庫加密的實現技術

對數據進行加密，主要有三種方式：系統中加密、客戶端(DBMS外層)加密、伺服器端(DBMS內核層)加密。客戶端加密的好處是不會加重資料庫伺服器的負載，並且可實現網上的傳輸加密，這種加密方式通常利用資料庫外層工具實現。而伺服器端的加密需要對資料庫管理系統本身進行操作，屬核心層加密，如果沒有資料庫開發商的配合，其實現難度相對較大。此外，對那些希望通過ASP獲得服務的企業來說，只有在客戶端實現加解密，才能保證其數據的安全可靠。
1.常用資料庫加密技術
信息安全主要指三個方面。一是數據安全，二是系統安全，三是電子商務的安全。核心是資料庫的安全，將資料庫的數據加密就抓住了信息安全的核心問題。
對資料庫中數據加密是為增強普通關系資料庫管理系統的安全性，提供一個安全適用的資料庫加密平台，對資料庫存儲的內容實施有效保護。它通過資料庫存儲加密等安全方法實現了資料庫數據存儲保密和完整性要求，使得資料庫以密文方式存儲並在密態方式下工作，確保了數據安全。
1.1資料庫加密技術的功能和特性
經過近幾年的研究，我國資料庫加密技術已經比較成熟。
一般而言，一個行之有效的資料庫加密技術主要有以下6個方面的功能和特性。
(1)身份認證：
用戶除提供用戶名、口令外，還必須按照系統安全要求提供其它相關安全憑證。如使用終端密鑰。
(2) 通信加密與完整性保護：
有關資料庫的訪問在網路傳輸中都被加密，通信一次一密的意義在於防重放、防篡改。
(3) 資料庫數據存儲加密與完整性保護：
資料庫系統採用數據項級存儲加密，即資料庫中不同的記錄、每條記錄的不同欄位都採用不同的密鑰加密，輔以校驗措施來保證資料庫數據存儲的保密性和完整性，防止數據的非授權訪問和修改。
(4)資料庫加密設置：
系統中可以選擇需要加密的資料庫列，以便於用戶選擇那些敏感信息進行加密而不是全部數據都加密。只對用戶的敏感數據加密可以提高資料庫訪問速度。這樣有利於用戶在效率與安全性之間進行自主選擇。
(5)多級密鑰管理模式：
主密鑰和主密鑰變數保存在安全區域，二級密鑰受主密鑰變數加密保護，數據加密的密鑰存儲或傳輸時利用二級密鑰加密保護，使用時受主密鑰保護。
(6) 安全備份：
系統提供資料庫明文備份功能和密鑰備份功能。
1.2對資料庫加密系統基本要求
(1) 欄位加密;
(2) 密鑰動態管理;
(3) 合理處理數據;
(4) 不影響合法用戶的操作;
(5) 防止非法拷貝;
1.3資料庫數據加密的實現
使用資料庫安全保密中間件對資料庫進行加密是最簡便直接的方法。主要是通過系統中加密、DBMS內核層(伺服器端)加密和DBMS外層(客戶端)加密。
在系統中加密，在系統中無法辨認資料庫文件中的數據關系，將數據先在內存中進行加密，然後文件系統把每次加密後的內存數據寫入到資料庫文件中去，讀入時再逆方面進行解密就，這種加密方法相對簡單，只要妥善管理密鑰就可以了。缺點對資料庫的讀寫都比較麻煩，每次都要進行加解密的工作，對程序的編寫和讀寫資料庫的速度都會有影響。
在DBMS內核層實現加密需要對資料庫管理系統本身進行操作。這種加密是指數據在物理存取之前完成加解密工作。這種加密方式的優點是加密功能強，並且加密功能幾乎不會影響DBMS的功能，可以實現加密功能與資料庫管理系統之間的無縫耦合。其缺點是加密運算在伺服器端進行，加重了伺服器的負載，而且DBMS和加密器之間的介面需要DBMS開發商的支持。
在DBMS外層實現加密的好處是不會加重資料庫伺服器的負載，並且可實現網上的傳輸，加密比較實際的做法是將資料庫加密系統做成DBMS的一個外層工具，根據加密要求自動完成對資料庫數據的加解密處理。
採用這種加密方式進行加密，加解密運算可在客戶端進行，它的優點是不會加重資料庫伺服器的負載並且可以實現網上傳輸的加密，缺點是加密功能會受到一些限制，與資料庫管理系統之間的耦合性稍差。
資料庫加密系統分成兩個功能獨立的主要部件：一個是加密字典管理程序，另一個是資料庫加解密引擎。資料庫加密系統將用戶對資料庫信息具體的加密要求以及基礎信息保存在加密字典中，通過調用數據加解密引擎實現對資料庫表的加密、解密及數據轉換等功能。資料庫信息的加解密處理是在後台完成的，對資料庫伺服器是透明的。
按以上方式實現的資料庫加密系統具有很多優點：首先，系統對資料庫的最終用戶是完全透明的，管理員可以根據需要進行明文和密文的轉換工作;其次，加密系統完全獨立於資料庫應用系統，無須改動資料庫應用系統就能實現數據加密功能;第三，加解密處理在客戶端進行，不會影響資料庫伺服器的效率。
資料庫加解密引擎是資料庫加密系統的核心部件，它位於應用程序與資料庫伺服器之間，負責在後台完成資料庫信息的加解密處理，對應用開發人員和操作人員來說是透明的。數據加解密引擎沒有操作界面，在需要時由操作系統自動載入並駐留在內存中，通過內部介面與加密字典管理程序和用戶應用程序通訊。資料庫加解密引擎由三大模塊組成：加解密處理模塊、用戶介面模塊和資料庫介面模塊。

5. 請簡述數字加密的過程

在對稱加密中，數據發送方將明文（原始數據）和加密密鑰一起經過特殊加密演算法處理後，使其變成復雜的加密密文發送出去。

接收方收到密文後，若想解讀原文，則需要使用加密密鑰及相同演算法的逆演算法對密文進行解密，才能使其恢復成可讀明文。在對稱加密演算法中，使用的密鑰只有一個，發收信雙方都使用這個密鑰對數據進行加密和解密。

(5)綜合加密技術的步驟解釋擴展閱讀：

數字加密注意事項：

通過TCP三次握手進行連接，然後客戶端發送hello包到服務端，服務端回應一個hello包，如果客戶端需要再次發送數字證書， 則發送數字證書到客戶端。

客戶端得到伺服器的證書後通過CA服務驗證真偽、驗證證書的主體與訪問的主體是否一致，驗證證書是否在吊銷證書列表中。如果全部通過驗證則與伺服器端進行加密演算法的協商。

用證書中伺服器的公鑰加密對稱秘鑰發送給伺服器端，對稱秘鑰只能用伺服器的私鑰進行解密，當伺服器通過私鑰解密對稱秘鑰後。使用對稱秘鑰將客戶端請求的數據發送到客戶端，客戶端在用對稱秘鑰進行解密，從而得到想要的數據。

6. 混合加密系統的過程

本問題所要求的加密，以此為前提：在發送方向接受方發送信息，或接收方向發送方請求信息時，發送方和接收方會在信道上傳遞信息而不希望第三者知道該信息的真正意義。發送方和接收方留存的、不放在信道的傳播的信息是安全的，不會為第三者所知的；放在信道上傳播的信息是不安全的，會被第三者截獲的。

「混合」加密系統，是混合了對稱加密方法和非對稱加密方法的加密通信手段。要解釋混合加密系統，必須以理解對稱加密和非對稱加密為前提。

混合加密系統融合了對稱加密和非對稱加密的優勢，並補足了兩者的缺點。對稱加密速度快，但安全性難以保證；非對稱加密安全性高，但速度慢，無法滿足大量信息的加密傳送。對於兩者的詳述，請參考網路的解釋。為防止喧賓奪主，這里不展開描述。

對稱加密非對稱加密

在此處首先定義三個概念以方便闡述：

1.對稱密鑰：即可用於加密明文，又可用於解密密文。

2.非對稱私鑰：可用於解密密文。

3.非對稱公鑰：可用於加密明文，但無法用於解密密文。

混合加密系統的工作流程，以乙向單方面甲要求信息為例，至於雙向信息交流由同理易得，不做贅述。

1.乙向甲發送請求，希望得到信息。

2.乙創建非對稱私鑰和非對稱公鑰，將非對稱公鑰發送給甲。

3.甲創建明文、對稱公鑰，以對稱公鑰加密明文得到密文，再用非對稱公鑰加密對稱公鑰得到加密後的對稱公鑰。甲再將加密後的對稱公鑰和密文發送給乙。

4.乙用非對稱私鑰解密加密後的對稱公鑰，得到對稱公鑰。乙再用對稱公鑰解密密文，得到所要的明文。

在斜體加粗所標明的，在傳播過程中被第三者截獲的信息有：非對稱公鑰、加密後的對稱公鑰、密文。第三者欲破解密文，必須有對稱公鑰；欲破解加密後的對稱公鑰，必須有非對稱私鑰。而私鑰被乙方保留，第三者無從獲得。故第三者無法得到明文。至此，乙得到了向甲要求的信息，而第三者無從得到信息的真正含義。

這種做法既具有非對稱加密的安全性，因為非對稱密鑰是保密的；又具有對稱加密的高效率，因為用非對稱加密方法加密的是相對短小的對稱密鑰而非要傳輸的大量信息。

從其他角度進行的，更加詳盡的表述請參閱其他文章：

混合加密1混合加密2混合加密3混合加密4

混合加密5

7. 文件系統加密的技術原理是什麼，簡單解釋下就行

在資料庫加密技術中，除了從前端應用及資料庫自身角度實現資料庫加密外，基於資料庫底層依賴的文件系統或存儲硬體，也可以實現資料庫加密。文件系統加密技術是在操作系統的文件管理子系統層面上對文件進行加密，大多是通過對與文件管理子系統相關的操作系統內核驅動程序進行改造實現的。不同於文件加密只對單個文件設置訪問口令，或對單個文件的內容進行加密轉換，文件系統加密提供了一種加密文件系統格式（類似於ext4、xfs等文件系統格式），通過把磁碟存儲卷或其上的目錄設置為該文件加密系統格式，達到對存儲於卷或卷上目錄中文件進行加密的目的。文件系統加密技術本質上並不是資料庫加密技術，但可以用於對資料庫的數據文件進行存儲層面的加密。關於加密產品你咨詢安華金和就可以了，業內權威的加密廠商。