朱作付， 徐 超， 葛紅美

（徐州工業(yè)職業(yè)技術(shù)學(xué)院，江蘇 徐州 221000）

0 引言

目前的數(shù)據(jù)加密技術(shù)根據(jù)密鑰類型可分為私鑰加密(對(duì)稱加密)系統(tǒng)和公鑰加密(非對(duì)稱加密)系統(tǒng).對(duì)稱加密系統(tǒng)與非對(duì)稱加密相比，在加密、解密處理速度、防范能力、數(shù)字簽名和身份認(rèn)證等方面各有優(yōu)劣.對(duì)稱加密算法 DES和非對(duì)稱加密算法RSA的安全性都較好，還沒有在短時(shí)間內(nèi)破譯它們的有效方法，常常采用DES與RSA相結(jié)合的加密算法.在加密、解密的處理效率方面，DES算法優(yōu)于RSA算法.在密鑰的管理方面，RSA算法比DES算法更加優(yōu)越，DES算法從原理上不可能實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證.因此，本文將采用對(duì)稱加密DES算法、非對(duì)稱加密RSA算法相結(jié)合，實(shí)現(xiàn)數(shù)據(jù)加密數(shù)據(jù)加密傳輸系統(tǒng)。[1]

1 數(shù)據(jù)加密傳輸系統(tǒng)WDES的設(shè)計(jì)

1.1 系統(tǒng)的整體設(shè)計(jì)

研究網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)加密問題，首先需要建立一個(gè)可以進(jìn)行信息交互的數(shù)據(jù)傳輸環(huán)境，在該環(huán)境下進(jìn)行數(shù)據(jù)的加密傳輸才有意義，否則，脫離數(shù)據(jù)傳輸環(huán)境而研究數(shù)據(jù)加密技術(shù)是沒有任何意義的。[2]因此本文提出建立一個(gè)分布式入數(shù)據(jù)傳輸系統(tǒng)。系統(tǒng)的設(shè)計(jì)采用了分布式的結(jié)構(gòu)，各個(gè)分布式部件的設(shè)計(jì)采用了Agent的形式，每個(gè)Agent既可單獨(dú)運(yùn)行，同時(shí)又作為整個(gè)系統(tǒng)不可分割的一部分，受整個(gè)系統(tǒng)的調(diào)控，另一方面，由于采用了Agent的結(jié)構(gòu)，使得任何一個(gè)部件的故障對(duì)系統(tǒng)的負(fù)面影響達(dá)到最小，從而保證了整個(gè)系統(tǒng)運(yùn)行的健壯性。如下頁圖1所示。

1.2 數(shù)據(jù)加解密方案的設(shè)計(jì)

發(fā)送端將要發(fā)送的明文交給數(shù)據(jù)傳輸模塊，數(shù)據(jù)傳輸模塊根據(jù)要求使用特定的加密算法對(duì)明文進(jìn)行加密，然后將加密后的密文發(fā)送給接收端，接收端的數(shù)據(jù)傳輸模塊接收到相應(yīng)的密文后選擇相應(yīng)的解密函數(shù)進(jìn)行解密，解密后的明文再傳給接收端的應(yīng)用程序。[3]這個(gè)過程如圖2所示。

圖1 系統(tǒng)的整體框架

圖2 數(shù)據(jù)加密工作流程

1.3 DES和RSA算法設(shè)計(jì)

（1）對(duì)稱密碼體制算法的選擇和實(shí)現(xiàn)

對(duì)稱密碼體制中DES算法是一種采用傳統(tǒng)加密方法的區(qū)組密碼。在該數(shù)據(jù)傳輸模塊設(shè)計(jì)中，DES采用64位分組進(jìn)行加密，密鑰長(zhǎng)度為56位，對(duì)64位的數(shù)據(jù)塊進(jìn)行16輪自循環(huán)編碼。在每輪編碼時(shí)，48位的子密鑰由56位的完整密鑰經(jīng)過循環(huán)左移、置換選擇得出來。

為進(jìn)一步提高安全性，在數(shù)據(jù)傳輸模塊設(shè)計(jì)中使用 DES的改進(jìn)算法，這種方法用三個(gè)密鑰對(duì)明文進(jìn)行三次加密，假設(shè)三個(gè)密鑰是K1、K2和K3，P是明文，C是密文，則C=EK3［DK2［EK1［P］］］這要花費(fèi)原來三倍的時(shí)間，但是采用三重DES的168位密鑰是很“強(qiáng)壯”的加密方式了。DES算法的實(shí)現(xiàn)過程由密鑰生成、加密、解密三個(gè)部分組成。為了使算法具有良好的跨平臺(tái)性，選擇了標(biāo)準(zhǔn)C語言作為算法的實(shí)現(xiàn)語言，將這三個(gè)過程封裝成三個(gè)子函數(shù)，并在 Linux和Windows環(huán)境下對(duì)算法的正確性進(jìn)行檢驗(yàn)。由于采用軟件實(shí)現(xiàn)DES加解密，速度較硬件實(shí)現(xiàn)慢，但軟件實(shí)現(xiàn)方便、成本低，能夠滿足系統(tǒng)的要求。

（2）非對(duì)稱密碼體制算法的選擇

非對(duì)稱密碼體制中RSA算法是一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的加密算法。根據(jù)RSA算法的特點(diǎn)，可以使用RSA算法加密DES的加密密鑰，然后通過網(wǎng)絡(luò)傳遞經(jīng)加密以后的密文，可有效的提高系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩浴５?RSA加密算法僅適用于組件向控制臺(tái)注冊(cè)的過程。[4]

實(shí)現(xiàn)過程中采用標(biāo)準(zhǔn)C語言將RSA密鑰的生成、加密、解密過程封裝成三個(gè)子函數(shù)，并在Linux和Windows環(huán)境下對(duì)算法的正確性進(jìn)行檢驗(yàn)。實(shí)驗(yàn)表明RSA密鑰生成過程所需時(shí)間較長(zhǎng)，根據(jù)不同機(jī)器的性能大約需要2～3 min，能夠滿足分布式入侵檢測(cè)系統(tǒng)的要求。[5]

2 數(shù)據(jù)加密傳輸系統(tǒng)WDES的實(shí)現(xiàn)

2.1 數(shù)據(jù)傳輸模塊

數(shù)據(jù)傳輸模塊負(fù)責(zé)與中控器間的秘密數(shù)據(jù)傳輸。數(shù)據(jù)傳輸模塊的主要功能為：創(chuàng)建監(jiān)聽線程監(jiān)聽固定的端口，以便其它組件和中央控制器建立連接，發(fā)送信息給中央控制器；中央控制器和其它組件建立連接，發(fā)送信息給其它組件。數(shù)據(jù)傳輸模塊對(duì)應(yīng)的類為 CCommunicator。數(shù)據(jù)傳輸模塊包括發(fā)送和接收信息和信息處理兩個(gè)子模塊。發(fā)送和接收信息子模塊：將一定格式的信息發(fā)送到中控器、從中控器接收信息；信息處理子模塊：負(fù)責(zé)信息的處理，如處理注冊(cè)過程、事件信息、處理中控器發(fā)送到主防火墻的信息以及向中控器發(fā)送信息。

2.2 WDES的DES加解密模塊

（1）DES算法（見圖3）

DES算法的入口參數(shù)有三個(gè)：Key、Data、Mode。

其中Key為8個(gè)字節(jié)共64位，是DES算法的工作密鑰；Data是8個(gè)字節(jié)64位，是要被加密或被解密的數(shù)據(jù)；Mode為DES的工作方式，有兩種：加密或解密。

DES算法工作方式：如Mode為加密，則用Key 把數(shù)據(jù)Data進(jìn)行加密， 生成Data的密碼形式（64位）作為DES的輸出結(jié)果；如Mode為解密，則用Key去把密碼形式的數(shù)據(jù)Data解密，還原為Data的明碼形式（64位）作為DES的輸出結(jié)果。在數(shù)據(jù)傳輸網(wǎng)絡(luò)的兩端，雙方約定一致的Key，在數(shù)據(jù)傳輸?shù)脑袋c(diǎn)用Key對(duì)核心數(shù)據(jù)進(jìn)行DES加密，然后以密碼形式在網(wǎng)絡(luò)中傳輸?shù)綌?shù)據(jù)傳輸網(wǎng)絡(luò)的終點(diǎn)，數(shù)據(jù)到達(dá)目的地后，用同樣的Key對(duì)密碼數(shù)據(jù)進(jìn)行解密，便再現(xiàn)了明碼形式的核心數(shù)據(jù)。這樣，便保證了核心數(shù)據(jù)（如PIN、MAC等）在網(wǎng)絡(luò)中傳輸?shù)陌踩院涂煽啃浴6]

圖3 DES算法示意

（2）DES算法的實(shí)現(xiàn)

DES加解密算法主要由三個(gè)部分組成：密鑰生成、加密函數(shù)、解密函數(shù)。為了使算法具有良好的跨平臺(tái)性，選擇了標(biāo)準(zhǔn)C作為算法的實(shí)現(xiàn)語言。

（3）DES加密模塊發(fā)送、接收的實(shí)現(xiàn)

發(fā)送子模塊的作用是將加解密子模塊的輸出作為輸入，然后按照設(shè)計(jì)的協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后利用 TCP/IP協(xié)議將數(shù)據(jù)完整的發(fā)送出去。[7]

接收子模塊的作用是利用 TCP/IP協(xié)議從網(wǎng)絡(luò)接收完整的數(shù)據(jù)，然后按照協(xié)議對(duì)數(shù)據(jù)進(jìn)行解包，并將解包后的結(jié)果作為加解密子模塊的輸入，在完成解密后會(huì)將結(jié)果傳給上層的應(yīng)用。

為了確保數(shù)據(jù)傳輸?shù)臏?zhǔn)確、可靠，在發(fā)送、接收子模塊的具體實(shí)現(xiàn)中使用TCP協(xié)議作為低層的傳輸協(xié)議，同樣，為了使生成的代碼能運(yùn)行于不同的平臺(tái)，使用了標(biāo)準(zhǔn)C的套接字編程，經(jīng)過windows下的傳輸測(cè)試，一切工作良好。

2.3 WDES系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)

系統(tǒng)采用VC6.0開發(fā)，是采用面向?qū)ο蟮姆椒ㄔO(shè)計(jì)，所有的功能全部集成到每一個(gè)子模塊里了，每一個(gè)子模塊由很多類組成，每一個(gè)類執(zhí)行不同的功能。因此本系統(tǒng)的模塊圖層次很清楚，也很容易理解。系統(tǒng)由控制模塊、數(shù)據(jù)加密模塊、數(shù)字簽名模塊、數(shù)據(jù)數(shù)據(jù)傳輸模塊四個(gè)模塊組成，[8]模塊間的關(guān)系如圖4所示。

圖4 系統(tǒng)模塊的關(guān)系

系統(tǒng)控制模塊給加密模塊、簽名模塊和數(shù)據(jù)傳輸模塊發(fā)送指令，對(duì)他們進(jìn)行控制；數(shù)據(jù)加密模塊進(jìn)行數(shù)據(jù)的 DES加解密功能，簽名模塊進(jìn)行數(shù)字簽名的功能，數(shù)據(jù)傳輸模塊進(jìn)行數(shù)據(jù)傳輸功能，它有三種模式，第一是對(duì)話模式，考慮到數(shù)據(jù)傳輸雙方在傳送文件前可能進(jìn)行簡(jiǎn)單的對(duì)話，因此設(shè)計(jì)這個(gè)模式，可以將對(duì)話內(nèi)容直接顯示在屏幕上；二是明文傳送模式，[9]它可以傳送各種正規(guī)格式的文件，只要文件不含有亂碼，都可以使用這種模式傳送文件；第三種模式可以傳送含有不規(guī)則符號(hào)的文件，它是專門為傳送一些特殊文件設(shè)計(jì)，一般不使用。

3 結(jié)語

采用 DES、RSA和單程函數(shù)加密算法共同完成信息數(shù)據(jù)加、解密，提高了密文傳輸和認(rèn)證的安全性。RSA的加密解密處理速度快，單程函數(shù)加密算法對(duì)于密鑰的管理比較簡(jiǎn)單等特點(diǎn)，使其有很高的推廣價(jià)值。本文對(duì)網(wǎng)絡(luò)中數(shù)據(jù)傳輸過程中的加密設(shè)計(jì)方案進(jìn)行現(xiàn)實(shí)，并在分布式系統(tǒng)中進(jìn)行檢測(cè)，試驗(yàn)表明該數(shù)據(jù)傳輸方案可靠、穩(wěn)定、安全，能夠適應(yīng)網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)加密傳輸?shù)囊?。系統(tǒng)操作方便、簡(jiǎn)單。但是所謂的計(jì)算機(jī)數(shù)據(jù)傳輸網(wǎng)絡(luò)的安全不是絕對(duì)的，[10]也不可能是永久性的，隨著相關(guān)技術(shù)的發(fā)展，系統(tǒng)需要不斷完善和更新。

[1] 陳明舉,陳善學(xué).基于DES算法和RSA算法的數(shù)據(jù)加密方案[J].南昌工程學(xué)院學(xué)報(bào),2006,25(01):43-46.

[2] 吳昊.基于DES算法和RSA算法的數(shù)據(jù)加密方案[J].焦作工學(xué)院學(xué)報(bào):自然科學(xué)版,2002,21(05):396-397.

[3] 肖攸安,李臘元.數(shù)字簽名技術(shù)的研究[J].武漢理工大學(xué)學(xué)報(bào):交通科學(xué)與工程版,2002,26(06):737-739.

[4] 程一飛.RSA算法及其應(yīng)用[J].安慶師范學(xué)院學(xué)報(bào):自然科學(xué)版,2004,10(02):68-69.

[5] 程庭,張明慧.石國(guó)營(yíng)一種基于DES和RSA算法的數(shù)據(jù)加密方案及實(shí)現(xiàn)[J].河南教育學(xué)院學(xué)報(bào):自然科學(xué)版,2003,12(02):69-71.

[6] 楊波.現(xiàn)代密碼學(xué)[M].北京:清華大學(xué)出版社,2003:18-21.

[7] 章照止.現(xiàn)代密碼學(xué)基礎(chǔ)[M].北京:郵電大學(xué)出版社,2004:57-59.

[8] 徐向文.藍(lán)牙技術(shù)中的一種基于DES加密的安全策略[J].通信技術(shù),2008,41(11):150-152.

[9] 李海斌,周玉潔.一種抗 DPA攻擊的 DES設(shè)計(jì)[J].通信技術(shù),2007,40(11):277-279.

[10] 石新峰,董蘊(yùn)華,楊航.基于FPGA的3-DES雙向數(shù)據(jù)傳輸高速加/解密芯片設(shè)計(jì)[J].通信技術(shù),2009,42(05):230-232.