陳瑩瑩 ，張 庚 ，翟明岳 ，李 杰 ，黨美琳 ，邢桂蘭

（1.華北電力大學(xué) 北京 100282；2.中國(guó)電力科學(xué)研究院 北京 100192；3.國(guó)網(wǎng)四川省電力公司資陽(yáng)分公司 資陽(yáng) 641300）

1 引言

統(tǒng)一通信技術(shù)是把計(jì)算機(jī)技術(shù)與傳統(tǒng)通信技術(shù)融于一體，將眾多網(wǎng)絡(luò)融合成一個(gè)網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)電話、傳真、短信、數(shù)據(jù)傳輸、多媒體音視頻會(huì)議、即時(shí)通信等眾多通信服務(wù)的新型技術(shù)[1]。統(tǒng)一通信將數(shù)據(jù)網(wǎng)絡(luò)、語(yǔ)音網(wǎng)絡(luò)和視頻網(wǎng)絡(luò)融合在一起，通過(guò)基于IP的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)、語(yǔ)音及視頻等多業(yè)務(wù)的統(tǒng)一集成。數(shù)據(jù)網(wǎng)絡(luò)、語(yǔ)音網(wǎng)絡(luò)和視頻網(wǎng)絡(luò)之間彼此依存，互相影響，為用戶提供了多種服務(wù)支撐。在這些異構(gòu)的網(wǎng)絡(luò)環(huán)境中，通過(guò)統(tǒng)一的協(xié)議規(guī)范、加密以及防火墻等安全措施，使得在網(wǎng)絡(luò)環(huán)境內(nèi)部所進(jìn)行的通信，無(wú)論是可用性還是安全性，都得到了很好的保證。但在異構(gòu)網(wǎng)絡(luò)之間通信，為保證異構(gòu)網(wǎng)絡(luò)穿越的可用性，理論上必須犧牲一定的安全性。因此，有必要對(duì)異構(gòu)網(wǎng)絡(luò)穿越的安全算法進(jìn)行研究，以便于更好地提供網(wǎng)絡(luò)服務(wù)。

2 異構(gòu)網(wǎng)絡(luò)現(xiàn)狀

隨著電力通信新技術(shù)的發(fā)展，電力通信網(wǎng)作為保持電力系統(tǒng)安全穩(wěn)定運(yùn)行的支柱之一，發(fā)揮著不可忽視的作用。電力通信網(wǎng)是由光纖、微波及衛(wèi)星電路構(gòu)成主干線，各支路充分利用電力線載波、特種光纜等電力系統(tǒng)特有的通信方式，并采用明線、電纜、無(wú)線等多種通信手段及程控交換機(jī)、調(diào)度總機(jī)等設(shè)備組成的多用戶、多功能的綜合通信網(wǎng)。電力通信網(wǎng)分為一級(jí)通信網(wǎng)、二級(jí)通信網(wǎng)、三級(jí)通信網(wǎng)和四級(jí)通信網(wǎng)。而電力通信業(yè)務(wù)網(wǎng)主要由行政交換網(wǎng)、數(shù)據(jù)通信網(wǎng)、電視電話會(huì)議系統(tǒng)、網(wǎng)管系統(tǒng)、時(shí)鐘同步網(wǎng)組成。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，隨著智能電網(wǎng)的發(fā)展，移動(dòng)現(xiàn)場(chǎng)作業(yè)對(duì)無(wú)線網(wǎng)絡(luò)的需求越來(lái)越大，各種業(yè)務(wù)交叉，應(yīng)用廣泛，使得網(wǎng)絡(luò)的異構(gòu)性成為了通信發(fā)展的必然趨勢(shì)[2]。

為保證電力通信網(wǎng)異構(gòu)網(wǎng)絡(luò)之間的安全穿越，在現(xiàn)有不同類(lèi)型的網(wǎng)絡(luò)的基礎(chǔ)上，通過(guò)對(duì)各種網(wǎng)絡(luò)進(jìn)行融合、協(xié)同，并且通過(guò)統(tǒng)一的平臺(tái)管理和交互訪問(wèn)來(lái)提供多種業(yè)務(wù)，滿足用戶的多種多樣的需求。當(dāng)前的異構(gòu)網(wǎng)絡(luò)，主要存在以下特點(diǎn)。

（1）異構(gòu)性

作為異構(gòu)網(wǎng)絡(luò)的核心特性，其主要表現(xiàn)在以下幾點(diǎn):

·接入方式的異構(gòu)性，如有線、無(wú)線等，而有線和無(wú)線也分別有多種不同的接入方式；

·終端設(shè)備的異構(gòu)性，當(dāng)前的網(wǎng)絡(luò)接入，除了傳統(tǒng)的PC接入，更有PDA、手機(jī)、平板電腦以及多種專(zhuān)用接入設(shè)備，這些設(shè)備不僅功能各異，運(yùn)算和存儲(chǔ)能力也有很大的差別，特別是隨著云計(jì)算的發(fā)展，異構(gòu)網(wǎng)絡(luò)對(duì)終端設(shè)備的要求越來(lái)越低；

·業(yè)務(wù)類(lèi)型的異構(gòu)性，不同的業(yè)務(wù)類(lèi)型對(duì)應(yīng)著不同的需求。

（2）通信協(xié)議的統(tǒng)一性

為保證異構(gòu)網(wǎng)絡(luò)之間的安全穿越，進(jìn)而保證網(wǎng)絡(luò)之間的協(xié)同，統(tǒng)一的協(xié)議規(guī)范必須被應(yīng)用到異構(gòu)網(wǎng)絡(luò)之間的通信中。另外，在通信系統(tǒng)中，無(wú)論是接入網(wǎng)、傳輸網(wǎng)還是核心網(wǎng)，都逐漸向IP化進(jìn)行演變，基于IP傳輸已經(jīng)成為業(yè)務(wù)傳送的核心傳輸方式。通過(guò)將通信協(xié)議統(tǒng)一為IP，可以有效降低數(shù)據(jù)的傳輸成本，簡(jiǎn)化傳輸模式，增強(qiáng)QoS[3]。

（3）異構(gòu)網(wǎng)絡(luò)的融合

異構(gòu)網(wǎng)絡(luò)的融合主要可以分為網(wǎng)絡(luò)、業(yè)務(wù)和接入3個(gè)方面，3方面共同構(gòu)成了異構(gòu)網(wǎng)絡(luò)融合的主體。網(wǎng)絡(luò)融合顧名思義，表示在網(wǎng)絡(luò)層上保證異構(gòu)網(wǎng)絡(luò)之間的聯(lián)通，為網(wǎng)絡(luò)運(yùn)行的暢通提供最基本的保證；業(yè)務(wù)融合通常在最高層（即應(yīng)用層）實(shí)現(xiàn)，通過(guò)業(yè)務(wù)融合，消除業(yè)務(wù)之間的壁壘，使得在業(yè)務(wù)的應(yīng)用上能夠交叉使用，并且能夠互相協(xié)同；而接入融合則強(qiáng)調(diào)異構(gòu)網(wǎng)絡(luò)之間的通信，應(yīng)當(dāng)無(wú)視接入技術(shù)的不同，保證不同的接入技術(shù)對(duì)網(wǎng)絡(luò)暢通的影響達(dá)到最小。綜合網(wǎng)絡(luò)、業(yè)務(wù)、接入融合的要求和特點(diǎn)，都要求要實(shí)現(xiàn)無(wú)縫融合。異構(gòu)網(wǎng)絡(luò)的融合如圖1所示。

圖1 異構(gòu)網(wǎng)絡(luò)的融合

（4）透明性和開(kāi)放性

作為業(yè)務(wù)驅(qū)動(dòng)的網(wǎng)絡(luò)，異構(gòu)網(wǎng)絡(luò)的透明性和開(kāi)放性是一個(gè)必然的發(fā)展趨勢(shì)。透明性主要強(qiáng)調(diào)用戶對(duì)業(yè)務(wù)的透明，即用戶不需要關(guān)心網(wǎng)絡(luò)狀態(tài)、網(wǎng)絡(luò)類(lèi)型、接入方式、傳輸技術(shù)等，只需要關(guān)注具體的業(yè)務(wù)功能的實(shí)現(xiàn)。而開(kāi)放性則強(qiáng)調(diào)了業(yè)務(wù)和網(wǎng)絡(luò)的分離，也就是業(yè)務(wù)功能專(zhuān)注于業(yè)務(wù)的實(shí)現(xiàn)，而傳輸功能專(zhuān)注于網(wǎng)絡(luò)的安全和可靠的傳輸，使得多種業(yè)務(wù)可以靈活擴(kuò)展，也能進(jìn)一步實(shí)現(xiàn)業(yè)務(wù)的協(xié)同[4]。

3 密碼體制

為保證異構(gòu)網(wǎng)絡(luò)間信息的安全傳輸，需要在傳輸過(guò)程中進(jìn)行發(fā)方加密和收方解密過(guò)程。加密和解密算法的實(shí)現(xiàn)，通常是通過(guò)特定的密碼體制和密鑰共同完成的，密碼體制即加密和解密的方法，而密鑰是加密和解密的核心。安全傳輸?shù)暮诵脑谟冢ＷC攻擊者在不知道密鑰的情況下，無(wú)法根據(jù)加密和解密算法自己計(jì)算出密鑰從而進(jìn)行解密。

通常情況下，一個(gè)密碼體制由5個(gè)部分組成:明文信息空間M；密文信息空間C；密鑰空間K；加密變換Ek:M→C，其中 k∈K；解密空間 Dk→M，其中 k∈K。

按加密和解密密鑰的不同，主要分為對(duì)稱(chēng)密碼體制（私鑰密碼體制）和非對(duì)稱(chēng)密鑰密碼體制[4]。

3.1 對(duì)稱(chēng)密鑰密碼體制

對(duì)稱(chēng)密碼體制，又稱(chēng)私鑰密碼體制。顧名思義，就是加密和解密方法是對(duì)稱(chēng)的，也就是加密和解密采用了相同的密鑰，該密鑰又稱(chēng)私鑰。由于在加密和解密中，采用了共同的發(fā)方的私鑰，因此收發(fā)雙方必須擁有發(fā)方的私鑰，并且通信雙方都必須保證該私鑰不被泄露，才能保證通信的安全。在這種場(chǎng)合下，必須強(qiáng)調(diào)發(fā)送報(bào)文的機(jī)密性和完整性。

由于對(duì)稱(chēng)密碼體制要求雙方具有相同的私鑰，因此對(duì)于每2個(gè)用戶，需要1個(gè)密鑰，隨著用戶量的增加，由n個(gè)用戶組成的網(wǎng)絡(luò)中，為保證每2個(gè)用戶之間擁有一個(gè)安全的密鑰，一共則需要n(n-1)/2個(gè)密鑰，空間復(fù)雜度就成為O2。這種指數(shù)級(jí)的空間復(fù)雜度，在用戶數(shù)較小的情況下對(duì)整個(gè)網(wǎng)絡(luò)的影響不大，但是，當(dāng)用戶量比較大時(shí)，會(huì)給管理帶來(lái)極大的困難。

最經(jīng)典的對(duì)稱(chēng)加密算法是DES（data encryption standard，數(shù)據(jù)加密標(biāo)準(zhǔn)）算法，由美國(guó)國(guó)家標(biāo)準(zhǔn)局提出，現(xiàn)在已經(jīng)廣泛應(yīng)用于銀行、網(wǎng)絡(luò)傳輸?shù)雀鞣N領(lǐng)域，密鑰長(zhǎng)度為56 bit。在DES加密算法的基礎(chǔ)上，很多人對(duì)DES進(jìn)行了變換，對(duì)其復(fù)雜度進(jìn)行提高，通過(guò)增加復(fù)雜度，對(duì)算法的安全性也進(jìn)行了增強(qiáng)，比較著名的有triple DES（三重DES）、GDES（廣義 DES）、IDEA、FEAL N、TC5 等。

由于對(duì)稱(chēng)加密算法在每對(duì)用戶之間只是用了一個(gè)相同的密鑰且通常算法比較簡(jiǎn)單，容易實(shí)現(xiàn)，因此計(jì)算的開(kāi)銷(xiāo)很小，加密速度快，占用的空間也很小，成為當(dāng)前加密的主要算法和基本算法。但是，由于在用戶量比較大的情況下空間復(fù)雜度會(huì)急劇加大，并且不能進(jìn)行數(shù)字簽名，因此在應(yīng)用中也受到很大的限制。

3.2 非對(duì)稱(chēng)密鑰密碼體制

非對(duì)稱(chēng)密碼體制，又稱(chēng)公鑰加密技術(shù)，該密碼體制就是針對(duì)對(duì)稱(chēng)密碼體制的缺陷提出的。不同于對(duì)稱(chēng)密碼體制中收方和發(fā)方共用一個(gè)私鑰，在非對(duì)稱(chēng)密碼體制的加密和解密中，使用了不同的密鑰。發(fā)方的加密密鑰向公眾公開(kāi)，任何人都可以使用該加密密鑰，但是解密的密鑰只有收方知道，并且該解密的密鑰無(wú)法通過(guò)加密密鑰和加密算法推算出，因此保證了信息傳輸?shù)陌踩?。在這種情況下，一個(gè)人只需要公開(kāi)自己的公鑰，其他人就可以用這個(gè)公鑰對(duì)文件進(jìn)行加密，然后給這個(gè)人發(fā)文件，而這個(gè)人自己掌握著私鑰，因此只有他自己能夠進(jìn)行解密。通過(guò)公鑰加密技術(shù)，可以有效預(yù)防對(duì)稱(chēng)密碼體制中通信雙方的密鑰被截獲的可能，并且可以實(shí)現(xiàn)數(shù)字簽名和認(rèn)證[5]。

在非對(duì)稱(chēng)密碼體制中，當(dāng)一個(gè)網(wǎng)絡(luò)中有n個(gè)用戶時(shí)，只需要2n個(gè)密鑰 （公鑰）就可以保證整個(gè)網(wǎng)絡(luò)的安全傳輸，而不需要達(dá)到對(duì)稱(chēng)密碼體制中的n2個(gè)，空間復(fù)雜度大大降低。

當(dāng)然，在保證安全性和密鑰空間的同時(shí)，非對(duì)稱(chēng)密碼體制通常算法復(fù)雜度較高，加密的效率也較低。

公鑰密碼體制的算法主要有3類(lèi):基于有限域范圍內(nèi)計(jì)算離散對(duì)數(shù)的難度的算法（如Diffie-Hellman算法（世界上第一個(gè)公鑰加密算法）、EIGamal算法、數(shù)字簽名算法）、橢圓曲線密碼體制 （如Diffie-Hellman算法、EIGamal算法和 Schnon算法等）和RSA公鑰密碼算法。

其中，RSA公鑰密碼算法經(jīng)過(guò)多年的發(fā)展，成為當(dāng)前最主要的公鑰算法，并且由于其完備性較好，現(xiàn)在依然作為主流算法應(yīng)用在各大領(lǐng)域。

4 基于RSA算法和DES算法的混合加密算法

4.1 混合加密的原理

對(duì)稱(chēng)加密體制具有運(yùn)算開(kāi)銷(xiāo)少、速度快的優(yōu)點(diǎn)，但面臨通信雙方安全密鑰以及安全交換的局限性問(wèn)題時(shí)，在網(wǎng)絡(luò)傳輸中，密鑰可能發(fā)生泄露，給安全性帶來(lái)很大的隱患。此外，當(dāng)多個(gè)用戶之間需要進(jìn)行加密傳輸時(shí)，隨著用戶量的增加，需要的密鑰數(shù)量也隨著增加，在密鑰的分發(fā)和管理方面又面臨了新的問(wèn)題，并且增加了復(fù)雜度[6]。

非對(duì)稱(chēng)加密體制下，安全性得到了很大的提高，并且能夠適應(yīng)異構(gòu)網(wǎng)絡(luò)的開(kāi)放性、透明性等要求，但相對(duì)來(lái)說(shuō)，加密算法更為復(fù)雜、速度較慢，特別是對(duì)大數(shù)據(jù)和密集型數(shù)據(jù)的加密，效率相對(duì)很低，通常只適合于對(duì)業(yè)務(wù)分離之后的密鑰、數(shù)字簽名等核心內(nèi)容進(jìn)行加密。

對(duì)于對(duì)稱(chēng)密鑰和非對(duì)稱(chēng)密鑰體制各自的特點(diǎn)，可以對(duì)其進(jìn)行結(jié)合，互相彌補(bǔ)對(duì)方的缺陷。用對(duì)稱(chēng)密鑰對(duì)數(shù)據(jù)進(jìn)行加密，用非對(duì)稱(chēng)密鑰加密采用對(duì)稱(chēng)加密算法加密所使用的密鑰，既增強(qiáng)了安全性，又提高了加密效率，還能夠滿足業(yè)務(wù)分離的需求。

4.2 混合加密的實(shí)現(xiàn)

利用第4.1節(jié)提到的混合加密的思想進(jìn)行加密，算法過(guò)程如下。

加密算法的過(guò)程如下。

（1）在發(fā)送方的A處產(chǎn)生一個(gè)隨機(jī)數(shù)發(fā)生器，即一個(gè)56 bit的密鑰D-Key，采用DES加密算法對(duì)明文Q進(jìn)行加密，得到加密后的密文P1，并保存D-Key。

（2）A從密鑰管理中心獲取收方B的公鑰，對(duì)A產(chǎn)生的56 bit的DES密鑰D-Key進(jìn)行RSA加密，產(chǎn)生輔助密文P2。

（3）將P1和P2組合，進(jìn)行傳輸，完成了混合加密。

解密的過(guò)程與加密的過(guò)程相對(duì)應(yīng)，介紹如下。

（1）收方B獲取到密文 P1和 P2后，首先進(jìn)行拆分，識(shí)別出 P1和 P2。

（2）B用向密鑰管理中心注冊(cè)過(guò)的RSA私鑰對(duì)P2進(jìn)行解密，恢復(fù)A的DES密鑰D-Key。

（3）B利用D-Key對(duì)P1進(jìn)行解密，恢復(fù)初始的明文Q。

加密解密步驟如圖2所示。

圖2 基于RSA算法和DES算法的混合加密算法

4.3 安全性分析

加密算法的安全性，主要根據(jù)抵抗攻擊的能力來(lái)判定。針對(duì)異構(gòu)網(wǎng)絡(luò)的通信傳輸進(jìn)行攻擊，主要采用的方法是密文攻擊和算法攻擊。

采用密文攻擊，根據(jù)第4.2節(jié)的設(shè)計(jì)，假定攻擊者C能夠在通信過(guò)程中獲取到傳輸?shù)拿芪?，并能成功獲取到B的公鑰，想通過(guò)攻擊RSA算法來(lái)進(jìn)行攻擊。但是，RSA算法的復(fù)雜度決定了C無(wú)法使用暴力破解的方法獲取DES算法的密鑰，進(jìn)而無(wú)法獲取明文信息Q。并且，混合加密在傳輸中對(duì)密文進(jìn)行了組合，使得暴力破解的復(fù)雜度近似于RSA算法的復(fù)雜度與DES算法的復(fù)雜度之積，安全性得到了極大的增強(qiáng)。

采用算法攻擊，主要是針對(duì)DES的攻擊。對(duì)DES的算法攻擊主要有差分密碼分析法和線性密碼分析法，前者需要知道DES的大量的（明文，密文）匹配對(duì)，后者則是一種已知明文攻擊法。對(duì)于混合加密算法，由于明文的密鑰采用了RSA算法加密，而明文本身進(jìn)行了DES加密，因此上述兩種算法對(duì)混合加密算法的攻擊是無(wú)效的。

綜上，針對(duì)密鑰攻擊，混合加密的安全性得到了很大的提高。

5 實(shí)例分析

通過(guò)一個(gè)例子，對(duì)基于RSA算法和DES算法的混合加密算法進(jìn)行分析和驗(yàn)證。測(cè)試環(huán)境如下:英特爾酷睿2雙核處理器 P86002.4 GHz、內(nèi)存2 GB、Windows 7操作系統(tǒng)、Eclipse 3.4.1開(kāi)發(fā)環(huán)境。表1為DES算法和RSA算法的密鑰長(zhǎng)度。

表1 DES算法和RSA算法的密鑰長(zhǎng)度比較

由表1可得，RSA算法的密鑰長(zhǎng)，加密的實(shí)現(xiàn)復(fù)雜，在內(nèi)存和CPU中占用的時(shí)間、空間也多，復(fù)雜度很高。但區(qū)別于傳統(tǒng)的全文加密，只對(duì)DES算法加密后的密鑰進(jìn)行加密，因此所占的空間就很小，加密時(shí)間也很短。

因此，在實(shí)驗(yàn)中對(duì)加密時(shí)間進(jìn)行比較，可以很好地對(duì)加密效率進(jìn)行判斷。

對(duì)一個(gè)3 MB的數(shù)據(jù)信息分別采用DES算法、RSA算法和混合加密算法進(jìn)行加密，得到加密時(shí)間見(jiàn)表2。

表2 3種加密算法的加密時(shí)間對(duì)比

由表2可得，采用DES算法的加密效率非常高，平均只需要13.53 s，RSA加密的時(shí)間則很長(zhǎng)，平均需要301.66 s，混合加密算法需要23.94 s，所需時(shí)間比DES算法有所增加，但所需時(shí)間和DES算法處在同一個(gè)數(shù)量級(jí)。但是，通過(guò)混合加密，安全性得到了很大的提高。3種算法時(shí)間和密鑰長(zhǎng)度數(shù)值比對(duì)結(jié)果如圖3所示。

圖3 時(shí)間和密鑰長(zhǎng)度數(shù)值比對(duì)結(jié)果

6 結(jié)束語(yǔ)

本文基于異構(gòu)網(wǎng)絡(luò)穿越問(wèn)題和現(xiàn)狀，對(duì)對(duì)稱(chēng)密鑰密碼體制和非對(duì)稱(chēng)密鑰密碼體制進(jìn)行了研究，提出了基于RSA算法和改進(jìn)型DES算法的混合加密算法。實(shí)例分析表明，采用通過(guò)RSA算法對(duì)DES的密鑰進(jìn)行加密的混合加密算法，極大地提高了安全性，并且具有良好的效率。

1 張庚.統(tǒng)一通信技術(shù)在電網(wǎng)中的應(yīng)用.電信科學(xué),2012(12):243～247

2 袁偉.基于Java的數(shù)據(jù)加密傳輸方案的研究.天津大學(xué)碩士學(xué)位論文,2009

3 周偉.異構(gòu)網(wǎng)絡(luò)中的移動(dòng)管理和安全機(jī)制研究.中國(guó)科學(xué)技術(shù)大學(xué)碩士學(xué)位論文,2009

4 王飛.數(shù)據(jù)加密算法的分析改進(jìn)及應(yīng)用研究.山東大學(xué)碩士學(xué)位論文,2005

5 時(shí)華.基于AES和ECC混合加密系統(tǒng)的算法研究.西安工業(yè)大學(xué)博士學(xué)位論文,2008

6 卜曉燕,張根耀.組合算法在軟件加密系統(tǒng)中的實(shí)現(xiàn).計(jì)算機(jī)與數(shù)字工程,2012(8):21～23