安全架构-加密算法-对称加密

安全架构-加密算法-对称加密

本系列安全架构文章中，之前谈到了api接口签名防止数据篡改，但是关键数据在通讯过程中是不能明文传递的，这就涉及到另外的安全问题，数据加密传输。

---

加密算法根据加密秘钥的不同分为对称加密和非对称加密。加密和解密使用同一个秘钥时，称之为 对称加密。加密和解密使用不同的秘钥时，称之为非对称加密，如使用密钥对里的公钥加密，私钥解密。本文介绍对称加密算法，后续文章再来介绍非对称加密。

---

前言

对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥（mi yao）一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。

---

一、简介

指加密和解密使用相同密钥的加密算法。对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性。

二、特点

对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。
假设两个用户需要使用对称加密方法加密然后交换数据，则用户最少需要2个密钥并交换使用，如果企业内用户有n个，则整个企业共需要n×(n-1) 个密钥，密钥的生成和分发将成为企业信息部门的恶梦。

对称加密算法的安全性取决于加密密钥的保存情况，但要求企业中每一个持有密钥的人都保守秘密是不可能的，他们通常会有意无意的把密钥泄漏出去——如果一个用户使用的密钥被入侵者所获得，入侵者便可以读取该用户密钥加密的所有文档，如果整个企业共用一个加密密钥，那整个企业文档的保密性便无从谈起。

三、常见算法

常见的对称加密算法：DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES；
3DES其实是做三次DES。

最常用的：

DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合；

3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高；

AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高。

四、加密填充模式

加密模式(英文名称及简写) 中文名称
Electronic Code Book(ECB) 电子密码本模式
Cipher Block Chaining(CBC) 密码分组链接模式
Cipher Feedback Mode(CFB） 加密反馈模式
Output Feedback Mode(OFB) 输出反馈模式

ECB：最基本的加密模式，也就是通常理解的加密，相同的明文将永远加密成相同的密文，无初始向量，容易受到密码本重放攻击，一般情况下很少用。

CBC：明文被加密前要与前面的密文进行异或运算后再加密，因此只要选择不同的初始向量，相同的密文加密后会形成不同的密文，这是目前应用最广泛的模式。CBC加密后的密文是上下文相关的，但明文的错误不会传递到后续分组，但如果一个分组丢失，后面的分组将全部作废(同步错误)。

CFB：类似于自同步序列密码，分组加密后，按8位分组将密文和明文进行移位异或后得到输出同时反馈回移位寄存器，优点最小可以按字节进行加解密，也可以是n位的，CFB也是上下文相关的，CFB模式下，明文的一个错误会影响后面的密文(错误扩散)。

OFB：将分组密码作为同步序列密码运行，和CFB相似，不过OFB用的是前一个n位密文输出分组反馈回移位寄存器，OFB没有错误扩散问题。

五、加密算法的选择

由于非对称加密算法的运行速度比对称加密算法的速度慢很多，当我们需要加密大量的数据时，建议采用对称加密算法，提高加解密速度。

对称加密算法不能实现签名，因此签名只能非对称算法。

由于对称加密算法的密钥管理是一个复杂的过程，密钥的管理直接决定着他的安全性，因此当数据量很小时，我们可以考虑采用非对称加密算法。

在实际的操作过程中，我们通常采用的方式是：采用非对称加密算法管理对称算法的密钥，然后用对称加密算法加密数据，这样我们就集成了两类加密算法的优点，既实现了加密速度快的优点，又实现了安全方便管理密钥的优点。

那采用多少位的密钥呢？ RSA建议采用1024位的数字，ECC建议采用160位，AES采用128为即可。

六、加密算法的实现

各技术栈都有相对应算法的完善的类库

.NET

 /// <summary>
        /// DES加密
        /// </summary>
        /// <param name="source">要加密的源字符串</param>
        /// <param name="key">公钥</param>
        /// <returns></returns>
        public static string Encrypt(string source, string key)
        {
   
            DESCryptoServiceProvider provider = new DESCryptoServiceProvider();
            provider.Key = En