信息安全-信息加解密规范.doc

XXXXXX企业标准 Q/SL TEC-h－2002 XXXXXX油田信息加解密规范 1 适用范围 本规范规定了XXXXXX信息加解密标准。 本规范适用于XXXXXX油田（企业内部）信息加解密的实现。 2 规范解释权 本规范由XXXXXX油田石油管理局信息中心解释。 3 术语定义 3.1 加密体制 加密体制是安全机制中的一种，也是最核心、最基础的一种。加密就是把可懂的明文消息通过加密算法的变换变成不可懂的密文的过程。如下图所示： 密钥 明文 密文 破译者 3.2 明文和密文 原始数据或原始报文称之为明文，将明文加密后的信息称为密文。 3.3 密钥 一系列控制加解密操作的符号。 3.4 加密算法 实施一系列变换、使信息由明文变成密文的一组数学规则。 4 加密算法的分类 加密算法一般分为两类： 传统加密算法（对称加密算法）； 公开密钥加密算法（非对称加密算法）。 4.1 对称加密算法 也称为单钥加密算法。 算法特点 加密的加密密钥和解密密钥是对称的，也就是说加密和解密密钥是相同的。 加密和解密是利用数学方法以及密钥对信息内容进行计算和处理的过程。 被加密了的内容进行破译的难度主要取决于所使用密钥的长度（bit） 如下图所示： E1 E2 密文 明文 明文 K1 K2 图中： 明文----待加密的信息和解密后的信息； 密文----加密后的信息； 加密----加密装置或加密算法； 密钥----加密算法中可变的部分； 解密----密文输入在密钥控制下恢复明文。 在对称加密机制中，加密算法E1和解密算法E2是相同的，密钥K1和K2也是相同的。 4.2 非对称加密算法 非对称加密算法又称为公开密钥密码体制。 算法特点 它的加密密钥是公开的，解密密钥则不公开。 由公钥进行加密的信息内容，只能由与之配对的私钥才能进行解密。 公钥可以广泛地发放给各个与自己有关的通信者，而私钥则需要安全地保存起来。 算法比较复杂，需要大的计算工作和网上传输工作，不太适合对大信息量内容进行处理。 适合对重要信息进行加密。 如下图所示： E1 密文 E2 明文 明文 K1 K2 图中：E1和E2分别代表加密算法和解密算法，在非对称密码体制中它们是不相同的。K1是加密密钥，是公开的，而解密密钥K2则须保密。 5 数据加密在通信中的实现 一般的数据加密可以在通信的三个层次来实现: 链路加密、节点加密和端到端加密。 路加密 对于在两个网络节点间的某一次通信链路, 链路加密能为网上传输的数据提供安全保证。对于链路加密(又称在线加密), 所有消息在被传输之前进行加密, 在每一个节点对接收到的消息进行解密, 然后先使用下一个链路的密钥对消息进行加密, 再进行传输。在到达目的地之前, 一条消息可能要经过许多通信链路的传输。 链路加密通常用在点对点的同步或异步线路上, 它要求先对在链路两端的加密设备进行同步, 然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。 节点加密 节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密, 然后采用另一个不同的密钥进行加密, 这一过程是在节点上的一个安全模块中进行。 节点加密要求报头和路由信息以明文形式传输, 以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。 端到端加密 端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密), 消息在被传输时到达终点之前不进行解密, 因为消息在整个传输过程中均受到保护, 所以即使有节点被损坏也不会使消息泄露。 端