数据加密系统核心保护对象

㈠ 数据库加密的实现技术

对数据进行加密，主要有三种方式：系统中加密、客户端(DBMS外层)加密、服务器端(DBMS内核层)加密。客户端加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输加密，这种加密方式通常利用数据库外层工具实现。而服务器端的加密需要对数据库管理系统本身进行操作，属核心层加密，如果没有数据库开发商的配合，其实现难度相对较大。此外，对那些希望通过ASP获得服务的企业来说，只有在客户端实现加解密，才能保证其数据的安全可靠。
1.常用数据库加密技术
信息安全主要指三个方面。一是数据安全，二是系统安全，三是电子商务的安全。核心是数据库的安全，将数据库的数据加密就抓住了信息安全的核心问题。
对数据库中数据加密是为增强普通关系数据库管理系统的安全性，提供一个安全适用的数据库加密平台，对数据库存储的内容实施有效保护。它通过数据库存储加密等安全方法实现了数据库数据存储保密和完整性要求，使得数据库以密文方式存储并在密态方式下工作，确保了数据安全。
1.1数据库加密技术的功能和特性
经过近几年的研究，我国数据库加密技术已经比较成熟。
一般而言，一个行之有效的数据库加密技术主要有以下6个方面的功能和特性。
(1)身份认证：
用户除提供用户名、口令外，还必须按照系统安全要求提供其它相关安全凭证。如使用终端密钥。
(2) 通信加密与完整性保护：
有关数据库的访问在网络传输中都被加密，通信一次一密的意义在于防重放、防篡改。
(3) 数据库数据存储加密与完整性保护：
数据库系统采用数据项级存储加密，即数据库中不同的记录、每条记录的不同字段都采用不同的密钥加密，辅以校验措施来保证数据库数据存储的保密性和完整性，防止数据的非授权访问和修改。
(4)数据库加密设置：
系统中可以选择需要加密的数据库列，以便于用户选择那些敏感信息进行加密而不是全部数据都加密。只对用户的敏感数据加密可以提高数据库访问速度。这样有利于用户在效率与安全性之间进行自主选择。
(5)多级密钥管理模式：
主密钥和主密钥变量保存在安全区域，二级密钥受主密钥变量加密保护，数据加密的密钥存储或传输时利用二级密钥加密保护，使用时受主密钥保护。
(6) 安全备份：
系统提供数据库明文备份功能和密钥备份功能。
1.2对数据库加密系统基本要求
(1) 字段加密;
(2) 密钥动态管理;
(3) 合理处理数据;
(4) 不影响合法用户的操作;
(5) 防止非法拷贝;
1.3数据库数据加密的实现
使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过系统中加密、DBMS内核层(服务器端)加密和DBMS外层(客户端)加密。
在系统中加密，在系统中无法辨认数据库文件中的数据关系，将数据先在内存中进行加密，然后文件系统把每次加密后的内存数据写入到数据库文件中去，读入时再逆方面进行解密就，这种加密方法相对简单，只要妥善管理密钥就可以了。缺点对数据库的读写都比较麻烦，每次都要进行加解密的工作，对程序的编写和读写数据库的速度都会有影响。
在DBMS内核层实现加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载，而且DBMS和加密器之间的接口需要DBMS开发商的支持。
在DBMS外层实现加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输，加密比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加解密处理。
采用这种加密方式进行加密，加解密运算可在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密，缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差。
数据库加密系统分成两个功能独立的主要部件：一个是加密字典管理程序，另一个是数据库加解密引擎。数据库加密系统将用户对数据库信息具体的加密要求以及基础信息保存在加密字典中，通过调用数据加解密引擎实现对数据库表的加密、解密及数据转换等功能。数据库信息的加解密处理是在后台完成的，对数据库服务器是透明的。
按以上方式实现的数据库加密系统具有很多优点：首先，系统对数据库的最终用户是完全透明的，管理员可以根据需要进行明文和密文的转换工作;其次，加密系统完全独立于数据库应用系统，无须改动数据库应用系统就能实现数据加密功能;第三，加解密处理在客户端进行，不会影响数据库服务器的效率。
数据库加解密引擎是数据库加密系统的核心部件，它位于应用程序与数据库服务器之间，负责在后台完成数据库信息的加解密处理，对应用开发人员和操作人员来说是透明的。数据加解密引擎没有操作界面，在需要时由操作系统自动加载并驻留在内存中，通过内部接口与加密字典管理程序和用户应用程序通讯。数据库加解密引擎由三大模块组成：加解密处理模块、用户接口模块和数据库接口模块。

㈡ 为什么要使用数据库加密系统

为什么要使用数据库加密系统？

可禁止MSSQL, MYQL,Oracle等数据库文件被非法拷贝下载，非法导出；实现数据库文件备份加密，远程销毁，实现数据库文件脱离运行环境无法打开等防泄密安全要求。

HL-DDS数据库加密软件分为管理端和控制程序，需要在安装MSSQL, MYSQL,Oracle数据库的机器上安装控制程序，可通过局域网内安装管理程序对HL-DDS软件进行远程操控，安装后，所有数据库文件将处于加密状态，即使将文件拷贝出去也无法使用。同时，通过MSSQL, MYSQL,Oracle企业管理器备份出来的数据也是加密的，离开本机环境将无法使用，HL-DDS可禁止MSSQL, MYSQL,Oracle组件导出数据。

㈢ 什么是数据加密

数据加密，最常见的就是对文件文档进行加密处理，如最常见的如AES256,512，SM2、SM3等高强度加密算法，或现在最常用的透明加密技术，一般分为驱动层及应用层透明加密，通过这些加密技术的结合，并开发出的透明加密软件，如红线防泄密系统，就完成了数据加密！

㈣ 如何保护数据库

数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次：

⑴ 网络系统层次；

⑵ 宿主操作系统层次；

⑶ 数据库管理系统层次。

这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。

2. 网络系统层次安全技术

从广义上讲，数据库的安全首先倚赖于网络系统。随着Internet的发展普及，越来越多的公司将其核心业务向互联网转移，各种基于网络的数据库应用系统如雨后春笋般涌现出来，面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。网络入侵试图破坏信息系统的完整性、机密性或可信任的任何网络活动的集合，具有以下特点：

a）没有地域和时间的限制，跨越国界的攻击就如同在现场一样方便；

b）通过网络的攻击往往混杂在大量正常的网络活动之中，隐蔽性强；

c）入侵手段更加隐蔽和复杂。

计算机网络系统开放式环境面临的威胁主要有以下几种类型：a)欺骗（Masquerade）；b)重发(Replay)；c)报文修改(Modification of message)；d)拒绝服务(Deny of service)；e)陷阱门(Trapdoor)；f)特洛伊木马(Trojan horse)；g)攻击如透纳攻击（Tunneling Attack）、应用软件攻击等。这些安全威胁是无时、无处不在的，因此必须采取有效的措施来保障系统的安全。

从技术角度讲，网络系统层次的安全防范技术有很多种，大致可以分为防火墙、入侵检测、协作式入侵检测技术等。

⑴防火墙。防火墙是应用最广的一种防范技术。作为系统的第一道防线，其主要作用是监控可信任网络和不可信任网络之间的访问通道，可在内部与外部网络之间形成一道防护屏障，拦截来自外部的非法访问并阻止内部信息的外泄，但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出，但无法动态识别或自适应地调整规则，因而其智能化程度很有限。防火墙技术主要有三种：数据包过滤器(packet filter)、代理(proxy)和状态分析(stateful inspection)。现代防火墙产品通常混合使用这几种技术。

⑵入侵检测。入侵检测(IDS-- Instrusion Detection System)是近年来发展起来的一种防范技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法，其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。1987年，Derothy Denning首次提出了一种检测入侵的思想，经过不断发展和完善，作为监控和识别攻击的标准解决方案，IDS系统已经成为安全防御系统的重要组成部分。

入侵检测采用的分析技术可分为三大类：签名、统计和数据完整性分析法。

①签名分析法。主要用来监测对系统的已知弱点进行攻击的行为。人们从攻击模式中归纳出它的签名，编写到IDS系统的代码里。签名分析实际上是一种模板匹配操作。

②统计分析法。以统计学为理论基础，以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。

③数据完整性分析法。以密码学为理论基础，可以查证文件或者对象是否被别人修改过。

IDS的种类包括基于网络和基于主机的入侵监测系统、基于特征的和基于非正常的入侵监测系统、实时和非实时的入侵监测系统等。

⑶协作式入侵监测技术

独立的入侵监测系统不能够对广泛发生的各种入侵活动都做出有效的监测和反应，为了弥补独立运作的不足，人们提出了协作式入侵监测系统的想法。在协作式入侵监测系统中，IDS基于一种统一的规范，入侵监测组件之间自动地交换信息，并且通过信息的交换得到了对入侵的有效监测，可以应用于不同的网络环境。

3. 宿主操作系统层次安全技术

操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows NT 和Unix，安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。

操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项[7]。具体可以体现在用户账户、口令、访问权限、审计等方面。

用户账户：用户访问系统的"身份证"，只有合法用户才有账户。

口令：用户的口令为用户访问系统提供一道验证。

访问权限：规定用户的权限。

审计：对用户的行为进行跟踪和记录，便于系统管理员分析系统的访问情况以及事后的追查使用。

安全管理策略是指网络管理员对系统实施安全管理所采取的方法及策略。针对不同的操作系统、网络环境需要采取的安全管理策略一般也不尽相同，其核心是保证服务器的安全和分配好各类用户的权限。

数据安全主要体现在以下几个方面：数据加密技术、数据备份、数据存储的安全性、数据传输的安全性等。可以采用的技术很多，主要有Kerberos认证、IPSec、SSL、TLS、VPN（PPTP、L2TP）等技术。

4. 数据库管理系统层次安全技术

数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，其安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。

由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉，分析和堵塞这种漏洞被认为是B2级的安全技术措施。

数据库管理系统层次安全技术主要是用来解决这一问题，即当前面两个层次已经被突破的情况下仍能保障数据库数据的安全，这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。

我们可以考虑在三个不同层次实现对数据库数据的加密，这三个层次分别是OS层、DBMS内核层和DBMS外层。

⑴在OS层加密。在OS层无法辨认数据库文件中的数据关系，从而无法产生合理的密钥，对密钥合理的管理和使用也很难。所以，对大型数据库来说，在OS层对数据库文件进行加密很难实现。

⑵在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/脱密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载，而且DBMS和加密器之间的接口需要DBMS开发商的支持。

定义加密要求工具

DBMS

数据库应用系统

加密器

（软件或硬件）

⑶在DBMS外层实现加密。比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加/脱密处理：

定义加密要求工具加密器

（软件或硬件）

DBMS

数据库应用系统

采用这种加密方式进行加密，加/脱密运算可在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密，缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差。

下面我们进一步解释在DBMS外层实现加密功能的原理：

数据库加密系统分成两个功能独立的主要部件：一个是加密字典管理程序，另一个是数据库加/脱密引擎。数据库加密系统将用户对数据库信息具体的加密要求以及基础信息保存在加密字典中，通过调用数据加/脱密引擎实现对数据库表的加密、脱密及数据转换等功能。数据库信息的加/脱密处理是在后台完成的，对数据库服务器是透明的。

加密字典管理程序

加密系统

应用程序

数据库加脱密引擎

数据库服务器

加密字典

用户数据

按以上方式实现的数据库加密系统具有很多优点：首先，系统对数据库的最终用户是完全透明的，管理员可以根据需要进行明文和密文的转换工作；其次，加密系统完全独立于数据库应用系统，无须改动数据库应用系统就能实现数据加密功能；第三，加解密处理在客户端进行，不会影响数据库服务器的效率。

数据库加/脱密引擎是数据库加密系统的核心部件，它位于应用程序与数据库服务器之间，负责在后台完成数据库信息的加/脱密处理，对应用开发人员和操作人员来说是透明的。数据加/脱密引擎没有操作界面，在需要时由操作系统自动加载并驻留在内存中，通过内部接口与加密字典管理程序和用户应用程序通讯。数据库加/脱密引擎由三大模块组成：加/脱密处理模块、用户接口模块和数据库接口模块，如图4所示。其中，"数据库接口模块"的主要工作是接受用户的操作请求，并传递给"加/脱密处理模块"，此外还要代替"加/脱密处理模块"去访问数据库服务器，并完成外部接口参数与加/脱密引擎内部数据结构之间的转换。"加/脱密处理模块"完成数据库加/脱密引擎的初始化、内部专用命令的处理、加密字典信息的检索、加密字典缓冲区的管理、SQL命令的加密变换、查询结果的脱密处理以及加脱密算法实现等功能，另外还包括一些公用的辅助函数。

数据加/脱密处理的主要流程如下：

1） 对SQL命令进行语法分析，如果语法正确，转下一步；如不正确，则转6），直接将SQL命令交数据库服务器处理。

2） 是否为数据库加/脱密引擎的内部控制命令？如果是，则处理内部控制命令，然后转7）；如果不是则转下一步。

3） 检查数据库加/脱密引擎是否处于关闭状态或SQL命令是否只需要编译？如果是则转6），否则转下一步。

4） 检索加密字典，根据加密定义对SQL命令进行加脱密语义分析。

5） SQL命令是否需要加密处理？如果是，则将SQL命令进行加密变换，替换原SQL命令，然后转下一步；否则直接转下一步。

6） 将SQL命令转送数据库服务器处理。

7） SQL命令执行完毕，清除SQL命令缓冲区。

以上以一个例子说明了在DBMS外层实现加密功能的原理。

㈤ 一个好的数据库加密系统一般应满足哪些方面的要求

您好，很高兴为您解答。

1．字段加密
----在目前条件下，加/脱密的粒度是每个记录的字段数据。如果以文件或列为单位进行加密，必然会形成密钥的反复使用，从而降低加密系统的可靠性或者因加脱密时间过长而无法使用。只有以记录的字段数据为单位进行加/脱密，才能适应数据库操作，同时进行有效的密钥管理并完成“一次一密”的密码操作。

2．密钥动态管理
数据库客体之间隐含着复杂的逻辑关系，一个逻辑结构可能对应着多个数据库物理客体，所以数据库加密不仅密钥量大，而且组织和存储工作比较复杂，需要对密钥实现动态管理。

3．合理处理数据 这包括几方面的内容。首先要恰当地处理数据类型，否则 DBMS将会因加密后的数据不符合定义的数据类型而拒绝加载；其次，需要处理数据的存储问题，实现数据库加密后，应基本上不增加空间开销。在目前条件下，数据库关系运算中的匹配字段，如表间连接码、索引字段等数据不宜加密。文献字段虽然是检索字段，但也应该允许加密，因为文献字段的检索处理采用了有别于关系数据库索引的正文索引技术。

4．不影响合法用户的操作
加密系统影响数据操作响应时间应尽量短，在现阶段，平均延迟时间不应超过1/10秒。此外，对数据库的合法用户来说,数据的录入、修改和检索操作应该是透明的,不需要考虑数据的加/脱密问题。

如若满意，请点击右侧【采纳答案】，如若还有问题，请点击【追问】

希望我的回答对您有所帮助，望采纳！

~ O(∩_∩)O~

㈥ 在一个加密解密系统中,什么是最重要的保护目标

• 保护好企事业单位的涉密信息、企业核心资料、财务信息、客户档案等办公文档安全是加密系统最重要的保护目标；

• 而绿盾加密系统能够提供对一些日常办公软件（MS-Office、WPS Office、永中 Office 和 PDF 等） 的安全防护，即使文件被非法获取也无法被使用，且不影响办公效率和办公人员的操 作习惯；

• 对内部相关涉密文档进行明确的规定和标识，指定相关人员有权查看；

• 支持对办公人员的打印操作行为进行监督和管控；

• 能够有效控制企业对外交互带来的二次扩散风险，既不影响与合作伙伴之间的交流方 式，又能够保证重要文档脱离企业办公环境后的使用控制；

• 能够控制 USB 移动存储介质的使用行为，防止使用 USB 移动存储介质非法拷贝涉密 文档；

• 能够提供外出办公的数据安全保护措施；

• 对内部办公系统的访问权限制定合理的管理策略，防止重要数据文件被直接访问或下 载，导致泄密；

• 支持 IOS、 Android 系统的移动设备在线阅读加密文件，比如：Mail、OA、CRM、 ERP 等加密附件在线阅读，方便办公；

• 能够有效控制办公人员使用 QQ、Email 等网络传输工具随意将涉密办公文档外发；

㈦ 数据加密的基本信息

和防火墙配合使用的数据加密技术，是为提高信息系统和数据的安全性和保密性，防止秘密数据被外部破译而采用的主要技术手段之一。在技术上分别从软件和硬件两方面采取措施。按照作用的不同，数据加密技术可分为数据传输加密技术、数据存储加密技术、数据完整性的鉴别技术和密钥管理技术。
数据传输加密技术的目的是对传输中的数据流加密，通常有线路加密与端—端加密两种。线路加密侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。端—端加密指信息由发送端自动加密，并且由TCP/IP进行数据包封装，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息到达目的地，将被自动重组、解密，而成为可读的数据。
数据存储加密技术的目的是防止在存储环节上的数据失密，数据存储加密技术可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。
数据完整性鉴别技术的目的是对介入信息传送、存取和处理的人的身份和相关数据内容进行验证，一般包括口令、密钥、身份、数据等项的鉴别。系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。
密钥管理技术包括密钥的产生、分配、保存、更换和销毁等各个环节上的保密措施。 数据加密的术语有 ：
明文，即原始的或未加密的数据。通过加密算法对其进行加密，加密算法的输入信息为明文和密钥；
密文，明文加密后的格式，是加密算法的输出信息。加密算法是公开的，而密钥则是不公开的。密文不应为无密钥的用户理解，用于数据的存储以及传输；
密钥，是由数字、字母或特殊符号组成的字符串，用它控制数据加密、解密的过程；
加密，把明文转换为密文的过程；
加密算法，加密所采用的变换方法；
解密，对密文实施与加密相逆的变换，从而获得明文的过程；
解密算法，解密所采用的变换方法。
加密技术是一种防止信息泄露的技术。它的核心技术是密码学，密码学是研究密码系统或通信安全的一门学科，它又分为密码编码学和密码分析学。
任何一个加密系统都是由明文、密文、算法和密钥组成。发送方通过加密设备或加密算法，用加密密钥将数据加密后发送出去。接收方在收到密文后，用解密密钥将密文解密，恢复为明文。在传输过程中，即使密文被非法分子偷窃获取，得到的也只是无法识别的密文，从而起到数据保密的作用。
例：明文为字符串：
AS KINGFISHERS CATCH FIRE
（为简便起见，假定所处理的数据字符仅为大写字母和空格符）。假定密钥为字符串：
ELIOT
加密算法为：
1) 将明文划分成多个密钥字符串长度大小的块（空格符以+表示）
AS+KI NGFIS HERS+ CATCH +FIRE
2) 用0~26范围的整数取代明文的每个字符，空格符=00，A=01，...，Z=26：
3) 与步骤2一样对密钥的每个字符进行取代：
0512091520
4) 对明文的每个块，将其每个字符用对应的整数编码与密钥中相应位置的字符的整数编码的和模27后的值（整数编码）取代：
举例：第一个整数编码为 (01+05)%27=06
5) 将步骤4的结果中的整数编码再用其等价字符替换：
FDIZB SSOXL MQ+GT HMBRA ERRFY
如果给出密钥，该例的解密过程很简单。问题是对于一个恶意攻击者来说，在不知道密钥的情况下，利用相匹配的明文和密文获得密钥究竟有多困难？对于上面的简单例子，答案是相当容易的，不是一般的容易，但是，复杂的加密模式同样很容易设计出。理想的情况是采用的加密模式使得攻击者为了破解所付出的代价应远远超过其所获得的利益。实际上，该目的适用于所有的安全性措施。这种加密模式的可接受的最终目标是：即使是该模式的发明者也无法通过相匹配的明文和密文获得密钥，从而也无法破解密文。 传统加密方法有两种，替换和置换。上面的例子采用的就是替换的方法：使用密钥将明文中的每一个字符转换为密文中的一个字符。而置换仅将明文的字符按不同的顺序重新排列。单独使用这两种方法的任意一种都是不够安全的，但是将这两种方法结合起来就能提供相当高的安全程度。数据加密标准（Data Encryption Standard，简称DES）就采用了这种结合算法，它由IBM制定，并在1977年成为美国官方加密标准。
DES的工作原理为：将明文分割成许多64位大小的块，每个块用64位密钥进行加密，实际上，密钥由56位数据位和8位奇偶校验位组成，因此只有56个可能的密码而不是64个。每块先用初始置换方法进行加密，再连续进行16次复杂的替换，最后再对其施用初始置换的逆。第i步的替换并不是直接利用原始的密钥K，而是由K与i计算出的密钥Ki。
DES具有这样的特性，其解密算法与加密算法相同，除了密钥Ki的施加顺序相反以外。 多年来，许多人都认为DES并不是真的很安全。事实上，即使不采用智能的方法，随着快速、高度并行的处理器的出现，强制破解DES也是可能的。公开密钥加密方法使得DES以及类似的传统加密技术过时了。公开密钥加密方法中，加密算法和加密密钥都是公开的，任何人都可将明文转换成密文。但是相应的解密密钥是保密的（公开密钥方法包括两个密钥，分别用于加密和解密），而且无法从加密密钥推导出，因此，即使是加密者若未被授权也无法执行相应的解密。
公开密钥加密思想最初是由Diffie和Hellman提出的，最着名的是Rivest、Shamir以及Adleman提出的，通常称为RSA（以三个发明者的首位字母命名）的方法，该方法基于下面的两个事实：
1) 已有确定一个数是不是质数的快速算法；
2) 尚未找到确定一个合数的质因子的快速算法。
RSA方法的工作原理如下：
1) 任意选取两个不同的大质数p和q，计算乘积r=p*q；
2) 任意选取一个大整数e，e与(p-1)*(q-1)互质，整数e用做加密密钥。注意：e的选取是很容易的，例如，所有大于p和q的质数都可用。
3) 确定解密密钥d：
(d * e) molo（p - 1）*（q - 1） = 1
根据e、p和q可以容易地计算出d。
4) 公开整数r和e，但是不公开d；
5) 将明文P (假设P是一个小于r的整数)加密为密文C，计算方法为：
C = P^e molo r
6) 将密文C解密为明文P，计算方法为：
P = C^d molo r
然而只根据r和e（不是p和q）要计算出d是不可能的。因此，任何人都可对明文进行加密，但只有授权用户（知道d）才可对密文解密。
下面举一简单的例子对上述过程进行说明，显然我们只能选取很小的数字。
例：选取p=3, q=5，则r=15，（p-1）*（q-1）=8。选取e=11（大于p和q的质数），通过（d*11）molo(8) = 1。
计算出d =3。
假定明文为整数13。则密文C为
C = P^e molo r
= 13^11 molo 15
= 1,792,160,394,037 molo 15
= 7
复原明文P为：
P = C^d molo r
= 7^3 molo 15
= 343 molo 15
= 13
因为e和d互逆，公开密钥加密方法也允许采用这样的方式对加密信息进行签名，以便接收方能确定签名不是伪造的。假设A和B希望通过公开密钥加密方法进行数据传输，A和B分别公开加密算法和相应的密钥，但不公开解密算法和相应的密钥。A和B的加密算法分别是ECA和ECB，解密算法分别是DCA和DCB，ECA和DCA互逆，ECB和DCB互逆。若A要向B发送明文P，不是简单地发送ECB（P），而是先对P施以其解密算法DCA，再用加密算法ECB对结果加密后发送出去。
密文C为：
C = ECB（DCA（P））
B收到C后，先后施以其解密算法DCB和加密算法ECA，得到明文P：
ECA（DCB（C））
= ECA（DCB（ECB（DCA（P））））
= ECA（DCA（P）） /*DCB和ECB相互抵消*/
= P /*DCB和ECB相互抵消*/
这样B就确定报文确实是从A发出的，因为只有当加密过程利用了DCA算法，用ECA才能获得P，只有A才知道DCA算法，没
有人，即使是B也不能伪造A的签名。 前言
随着信息化的高速发展，人们对信息安全的需求接踵而至，人才竞争、市场竞争、金融危机、敌特机构等都给企事业单位的发展带来巨大风险，内部窃密、黑客攻击、无意识泄密等窃密手段成为了人与人之间、企业与企业之间、国与国之间的安全隐患。
市场的需求、人的安全意识、环境的诸多因素促使着我国的信息安全高速发展，信息安全经历了从传统的单一防护如防火墙到信息安全整体解决方案、从传统的老三样防火墙、入侵检测、杀毒软件到多元化的信息安全防护、从传统的外部网络防护到内网安全、主机安全等。
传统数据加密技术分析
信息安全传统的老三样（防火墙、入侵检测、防病毒）成为了企事业单位网络建设的基础架构，已经远远不能满足用户的安全需求，新型的安全防护手段逐步成为了信息安全发展的主力军。例如主机监控、文档加密等技术。
在新型安全产品的队列中，主机监控主要采用外围围追堵截的技术方案，虽然对信息安全有一定的提高，但是因为产品自身依赖于操作系统，对数据自身没有有效的安全防护，所以存在着诸多安全漏洞，例如：最基础的手段拆拔硬盘、winpe光盘引导、USB引导等方式即可将数据盗走，而且不留任何痕迹；此技术更多的可以理解为企业资产管理软件，单一的产品无法满足用户对信息安全的要求。
文档加密是现今信息安全防护的主力军，采用透明加解密技术，对数据进行强制加密，不改变用户原有的使用习惯；此技术对数据自身加密，不管是脱离操作系统，还是非法脱离安全环境，用户数据自身都是安全的，对环境的依赖性比较小。市面上的文档加密主要的技术分为磁盘加密、应用层加密、驱动级加密等几种技术，应用层加密因为对应用程序的依赖性比较强，存在诸多兼容性和二次开发的问题，逐步被各信息安全厂商所淘汰。
当今主流的两大数据加密技术
我们所能常见到的主要就是磁盘加密和驱动级解密技术：
全盘加密技术是主要是对磁盘进行全盘加密，并且采用主机监控、防水墙等其他防护手段进行整体防护，磁盘加密主要为用户提供一个安全的运行环境，数据自身未进行加密，操作系统一旦启动完毕，数据自身在硬盘上以明文形式存在，主要靠防水墙的围追堵截等方式进行保护。磁盘加密技术的主要弊端是对磁盘进行加密的时间周期较长，造成项目的实施周期也较长，用户一般无法忍耐；磁盘加密技术是对磁盘进行全盘加密，一旦操作系统出现问题。需要对数据进行恢复也是一件让用户比较头痛的事情，正常一块500G的硬盘解密一次所需时间需要3-4个小时；市面上的主要做法是对系统盘不做加密防护，而是采用外围技术进行安全访问控制，大家知道操作系统的版本不断升级，微软自身的安全机制越来越高，人们对系统的控制力度越来越低，尤其黑客技术层层攀高，一旦防护体系被打破，所有一切将暴露无疑。另外，磁盘加密技术是对全盘的信息进行安全管控，其中包括系统文件，对系统的效率性能将大大影响。
驱动级技术是信息加密的主流技术，采用进程+后缀的方式进行安全防护，用户可以根据企事业单位的实际情况灵活配置，对重要的数据进行强制加密，大大提高了系统的运行效率。驱动级加密技术与磁盘加密技术的最大区别就是驱动级技术会对用户的数据自身进行保护，驱动级加密采用透明加解密技术，用户感觉不到系统的存在，不改变用户的原有操作，数据一旦脱离安全环境，用户将无法使用，有效提高了数据的安全性；另外驱动级加密技术比磁盘加密技术管理可以更加细粒度，有效实现数据的全生命周期管理，可以控制文件的使用时间、次数、复制、截屏、录像等操作，并且可以对文件的内部进行细粒度的授权管理和数据的外出访问控制，做到数据的全方位管理。驱动级加密技术在给用户的数据带来安全的同时，也给用户的使用便利性带来一定的问题，驱动级加密采用进程加密技术，对同类文件进行全部加密，无法有效区别个人文件与企业文件数据的分类管理，个人电脑与企业办公的并行运行等问题。

㈧ 数据加密的介绍

数据加密，是一门历史悠久的技术，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。