一種基于網(wǎng)絡(luò)的文件加密方法的研究與實(shí)現(xiàn)*

何文才,關(guān)少華,2,薛 晗,2,劉培鶴

(1.北京電子科技學(xué)院通信工程系,北京100070;2.西安電子科技大學(xué)通信工程學(xué)院,陜西西安710071)

一種基于網(wǎng)絡(luò)的文件加密方法的研究與實(shí)現(xiàn)*

何文才1,關(guān)少華1,2,薛 晗1,2,劉培鶴1

(1.北京電子科技學(xué)院通信工程系,北京100070;2.西安電子科技大學(xué)通信工程學(xué)院,陜西西安710071)

當(dāng)今社會(huì)互聯(lián)網(wǎng)已完全融入到人們的日常生活和工作當(dāng)中,網(wǎng)絡(luò)極大地方便了人們獲取和傳遞信息。為了讓數(shù)據(jù)加密適應(yīng)網(wǎng)絡(luò)時(shí)代更多應(yīng)用場(chǎng)景的需求,在Visual Studio 2010平臺(tái)上構(gòu)建了一種網(wǎng)絡(luò)文件加密系統(tǒng),系統(tǒng)采用C/S架構(gòu),客戶端完成用戶界面和用戶操作處理功能,服務(wù)端實(shí)現(xiàn)具體的加解密功能。系統(tǒng)應(yīng)用于OSI參考模型的應(yīng)用層上,采用了端到端的加密方式,文件在網(wǎng)絡(luò)上以密文形式傳輸,確保了文件在傳輸過(guò)程中的安全性。

文件加密 NOEKEON RSA 網(wǎng)絡(luò)編程 USBKey

0 引 言

近年來(lái),隨著云計(jì)算發(fā)展的突飛猛進(jìn),越來(lái)越多的核心業(yè)務(wù)以及重要的數(shù)據(jù)被存放在了云端,這樣一來(lái)就使得這些機(jī)密數(shù)據(jù)的安全性就只能單方面依靠云服務(wù)供應(yīng)商了。目前而言,確保云端私有數(shù)據(jù)安全性的最佳方法之一就是對(duì)傳輸?shù)臄?shù)據(jù)和存儲(chǔ)的數(shù)據(jù)進(jìn)行加密處理,這樣可以讓私有數(shù)據(jù)保密于其他用戶甚至云計(jì)算服務(wù)供應(yīng)商。因此我們可以引入作為第三方的云加密服務(wù)供應(yīng)商,將要存儲(chǔ)在云計(jì)算服務(wù)供應(yīng)商的數(shù)據(jù)進(jìn)行相關(guān)加密處理,以此來(lái)確保數(shù)據(jù)的安全性、機(jī)密性。

在云計(jì)算、云加密的大背景下,我們?cè)O(shè)計(jì)了該網(wǎng)絡(luò)文件加密系統(tǒng),該系統(tǒng)實(shí)現(xiàn)了通過(guò)網(wǎng)絡(luò)傳輸將客戶端上的待加密文件上傳到服務(wù)端進(jìn)行加密,再通過(guò)網(wǎng)絡(luò)將密文回傳給客戶端。該系統(tǒng)還利用了USBKey,對(duì)用戶進(jìn)行身份認(rèn)證以及對(duì)加密密鑰進(jìn)行保存。

1 預(yù)備知識(shí)介紹

1.1 RSA算法

RSA算法[1]是公開(kāi)密鑰加密算法中的代表算法,以發(fā)明者的名字命名:R.Rivest,A.Shamir和L.Adleman。RSA算法利用數(shù)論的基本知識(shí),其安全性是基于大整數(shù)因式分解這一數(shù)學(xué)難題,能夠抵抗到目前為止已知的所有密碼的攻擊。

(1)密鑰生成

A.產(chǎn)生兩個(gè)大素?cái)?shù)p和q,p和q是保密的;

B.計(jì)算n=p·q,歐拉函數(shù)φ(n)=(p-1)·(q-1),n是公開(kāi)的;

C.隨機(jī)選擇滿足條件gcd(e,φ(n))=1的e,即e與φ(n)互素,e作為公鑰是公開(kāi)的,加密密鑰就是(e,n);

D.計(jì)算滿足e·d≡1(modφ(n))的d作為私鑰,d是保密的,解密密鑰即為(d,n)。

(2)加解密

A.加密運(yùn)算:使用公鑰e和要加密的明文m進(jìn)行c=me(modn)運(yùn)算即得密文;

B.解密運(yùn)算:使用私鑰d和要解密的密文c進(jìn)行m=cd(modn)運(yùn)算即得明文。

1.2 NOEKEON算法

NOEKEON[2]是由比利時(shí)的Joan Daemen、Michael Peeters、Gilles Van Assche和Vincent Rijmen共同設(shè)計(jì)的一個(gè)分組密碼,其密鑰長(zhǎng)度和分組長(zhǎng)度均為128 bit,整體結(jié)構(gòu)采用的是16輪SP網(wǎng)路,它的每個(gè)基本模塊都是對(duì)合的,這樣可以使加解密過(guò)程相似,另外設(shè)計(jì)者還使用了Serpent的“Bit-Slice”技術(shù),相當(dāng)于使用4×4的S盒。目前最好的理論分析結(jié)果是可以構(gòu)造9輪的線性逼近,其優(yōu)勢(shì)為2-62。該加密算法可以在各種平臺(tái)上安全而有效的實(shí)現(xiàn),在Pentium II(200 MHz)系統(tǒng)下,NOEKEON的軟件加密速度可達(dá)49 Mbit/s,該算法的高效性、高安全性使其能夠很好地適用于文件加密的需要。

(1)加密函數(shù)

(2)解密函數(shù)

(3)輪函數(shù)

(4)各功能模塊

這里Key代表輪密鑰,State代表128比特中間變量,Roundct為輪常數(shù),取自以下十六進(jìn)制數(shù)80、1B、36、6C、D8、AB、4D、9A、2F、5E、BC、63、C6、97、35、6A、D4,加密時(shí)從左向右依次選取,解密時(shí)從右向左依次選取。Gamma為非線性模塊,Theta為密鑰相關(guān)模塊,Pi1和Pi2為移位運(yùn)算模塊,其中Theta、Pi1和Pi2為擴(kuò)散層函數(shù)。

1.3 USBKey認(rèn)證技術(shù)

本系統(tǒng)采用了基于數(shù)字簽名技術(shù)[3]的挑戰(zhàn)/響應(yīng)(又作沖擊/響應(yīng))式認(rèn)證方式,它是一種單向認(rèn)證的認(rèn)證方式,挑戰(zhàn)-響應(yīng)式的認(rèn)證簡(jiǎn)便易行,安全性高,認(rèn)證的過(guò)程對(duì)用戶透明。

傳統(tǒng)的數(shù)字簽名技術(shù),密鑰保存在計(jì)算機(jī)的硬盤中,因此很容易被竊取。攻擊者竊取了用戶的簽名密鑰后,就可以冒充用戶進(jìn)行簽名,使得數(shù)字簽名的安全性大大降低。在挑戰(zhàn)/響應(yīng)式的認(rèn)證中,用于數(shù)字簽名的密鑰保存在用戶的USBKey內(nèi),由于USBKey硬件設(shè)計(jì)的特殊性,攻擊者不能通過(guò)網(wǎng)絡(luò)上的計(jì)算機(jī)獲取存儲(chǔ)在用戶持有的USBKey內(nèi)的密鑰。即使攻擊者獲取了用戶持有的USBKey,由于USBKey內(nèi)置保護(hù)電路,攻擊者不能物理地獲取用戶的密鑰。這就保證了數(shù)字簽名的安全性,也保證了認(rèn)證的安全性[4]。

其具體過(guò)程如下所示:當(dāng)用戶需要登錄系統(tǒng)進(jìn)行加解密操作時(shí),客戶端首先需要對(duì)服務(wù)端提出登錄請(qǐng)求。服務(wù)端維護(hù)著一個(gè)密鑰庫(kù),其中保存著所有用戶各自對(duì)應(yīng)的公鑰信息,當(dāng)服務(wù)端接收到客戶端的驗(yàn)證請(qǐng)求后,在本端隨機(jī)生成一個(gè)隨機(jī)數(shù),之后利用該用戶的公鑰對(duì)它進(jìn)行加密,并將所得結(jié)果發(fā)送給客戶端,即該認(rèn)證方式的“沖擊”。當(dāng)客戶端接收到該數(shù)據(jù)后,便將其傳入U(xiǎn)SBKey,USBKey使用內(nèi)部存儲(chǔ)的該用戶對(duì)應(yīng)的RSA私鑰對(duì)該數(shù)進(jìn)行解密運(yùn)算,并將解密的結(jié)果傳送給服務(wù)端,即該認(rèn)證方式的“響應(yīng)”。當(dāng)服務(wù)端接收到客戶端發(fā)送的解密結(jié)果后,就將該數(shù)與原始隨機(jī)數(shù)進(jìn)行比對(duì),如果比對(duì)結(jié)果一致,則認(rèn)為該用戶是合法用戶。如果比對(duì)結(jié)果不一致,則認(rèn)為該用戶為非法用戶。

2 網(wǎng)絡(luò)文件加密系統(tǒng)的設(shè)計(jì)

2.1 系統(tǒng)的整體結(jié)構(gòu)設(shè)計(jì)

系統(tǒng)運(yùn)行流程如圖1所示。

圖1 系統(tǒng)運(yùn)行流程Fig.1 Flow chart of system operation

本系統(tǒng)由客戶端(Client)以及服務(wù)端(Sever)組成。需要加密的用戶向客戶端提供待加密文件,通過(guò)客戶端添加文件、設(shè)置輸出目錄并生成密文文件。對(duì)于需要加密的用戶來(lái)說(shuō),系統(tǒng)的客戶端與服務(wù)端是一體的,客戶端完成用戶界面和用戶操作處理功能,服務(wù)端完成具體的加密步驟。在文件加密服務(wù)過(guò)程中,服務(wù)端返回處理結(jié)果,客戶端與服務(wù)端均可應(yīng)用于不同的主機(jī)實(shí)體上。為了確保數(shù)據(jù)在傳輸線路上的安全性,在數(shù)據(jù)發(fā)送之前將會(huì)利用NOEKEON算法進(jìn)行加密,并且在對(duì)端接收到數(shù)據(jù)之后再利用相同密鑰對(duì)其進(jìn)行NOEKEON解密使數(shù)據(jù)還原進(jìn)而進(jìn)行下一步操作,其中所使用的傳輸密鑰由收發(fā)兩端提前協(xié)商確定并集成在程序中。

2.2 系統(tǒng)的客戶端

客戶端實(shí)現(xiàn)的主要功能包括USB串口通信、加密文件選擇、保存路徑選擇、加密選項(xiàng)、解密選項(xiàng),詳細(xì)功能描述如下:

1)USB串口通信:實(shí)現(xiàn)客戶端與USBKey的數(shù)據(jù)交互。

2)文件選擇:調(diào)用文件系統(tǒng)中文件對(duì)話框里選擇文件的功能,以對(duì)話框、列表等形式導(dǎo)入待加密的文件。

3)加密選項(xiàng):通過(guò)點(diǎn)擊客戶端的加密按鈕,啟動(dòng)服務(wù)端的加密程序,彈出待加密文件選擇對(duì)話框以及加密后文件保存路徑選擇對(duì)話框。

4)解密選項(xiàng):通過(guò)點(diǎn)擊客戶端的解密按鈕,啟動(dòng)服務(wù)端的解密程序,彈出待解密文件選擇對(duì)話框以及解密后文件保存路徑選擇對(duì)話框。

5)傳輸模塊:加密傳輸,利用NOEKEON算法將待傳送的數(shù)據(jù)進(jìn)行加密并發(fā)往服務(wù)端,或?qū)⒔邮盏降膩?lái)自服務(wù)端的數(shù)據(jù)利用NOEKEON算法進(jìn)行解密。

2.3 系統(tǒng)的服務(wù)端

服務(wù)端主要由以下模塊構(gòu)成,傳輸模塊、NOEKEON文件加解密模塊、RSA加解密模塊,詳細(xì)功能描述如下:

1)傳輸模塊:利用與客戶端協(xié)商的傳輸密鑰進(jìn)行數(shù)據(jù)的NOEKEON加密傳輸;將客戶端發(fā)送過(guò)來(lái)的消息進(jìn)行處理使其成為準(zhǔn)確的指令。

2)NOEKEON加解密模塊:從客戶端獲取用戶的NOEKEON根密鑰(保存在用戶的USBKey中);對(duì)接收到的數(shù)據(jù)進(jìn)行NOEKEON加解密操作。

3)身份認(rèn)證模塊:利用random函數(shù)生成隨機(jī)數(shù)R,并使用服務(wù)端保存的用戶公鑰對(duì)該隨機(jī)數(shù)進(jìn)行

RSA加密;將接收到的客戶端解密后的隨機(jī)數(shù)R′與

R進(jìn)行比對(duì),相等則通過(guò)驗(yàn)證。

2.4 USBKey

USBKey具有獨(dú)立的CPU和存儲(chǔ)結(jié)構(gòu),因此為USBKey和密碼技術(shù)結(jié)合帶來(lái)可能。它在本系統(tǒng)中需具備如下幾點(diǎn)功能:存儲(chǔ)用戶RSA私鑰、存儲(chǔ)用戶NOEKEON根密鑰、實(shí)現(xiàn)RSA算法、對(duì)用戶登錄的PIN值進(jìn)行驗(yàn)證。

3 網(wǎng)絡(luò)文件加密系統(tǒng)的實(shí)現(xiàn)

3.1 C/S模式下網(wǎng)絡(luò)程序的Socket通信

Windows Sockets[5]提供了對(duì)傳輸層(OSI第4層)的直接訪問(wèn),為了保證傳輸?shù)目煽啃?本系統(tǒng)采用的是基于TCP(面向連接)的socket編程。

3.1.1 服務(wù)端程序流程

1)創(chuàng)建套接字(socket)。

2)將套接字綁定到一個(gè)本地地址和端口上(bind)。

3)將套接字設(shè)為監(jiān)聽(tīng)模式,準(zhǔn)備接收客戶請(qǐng)求(listen)。

4)等待客戶請(qǐng)求到來(lái);當(dāng)請(qǐng)求到來(lái)后,接受連接請(qǐng)求,返回一個(gè)新的對(duì)應(yīng)于此次連接的套接字(accept)。

5)用返回的套接字和客戶端進(jìn)行通信(send/ recv),為了保證傳輸數(shù)據(jù)的安全性,通信數(shù)據(jù)利用NOEKEON算法進(jìn)行加密。

6)關(guān)閉套接字。

3.1.2 客戶端程序流程

1)創(chuàng)建套接字(socket)。

2)向服務(wù)端發(fā)出連接請(qǐng)求(connect)。

3)和服務(wù)端進(jìn)行通信(send/recv),同樣,為了保證傳輸數(shù)據(jù)的安全性,通信數(shù)據(jù)利用NOEKEON算法進(jìn)行加密。

4)關(guān)閉套接字。

客戶端應(yīng)用程序必須能夠定位和識(shí)別一個(gè)服務(wù)端的socket,服務(wù)端應(yīng)用程序通過(guò)對(duì)自己的socket命名來(lái)建立其身份識(shí)別,這樣客戶端才能夠引用它,從而建立socket連接。一個(gè)TCP/IP的socket名稱包含IP地址、端口號(hào)以及協(xié)議。客戶端能夠通過(guò)Windows Sockets的服務(wù)名函數(shù)找到服務(wù)端的標(biāo)準(zhǔn)端口號(hào),而且,如果知道服務(wù)端的主機(jī)名,利用Win-dows Sockets的主機(jī)名解析函數(shù),可以很容易地找到服務(wù)端的IP地址。

3.2 客戶端與USBKey的串口通信

利用VS2010的Mscomm控件在客戶端編寫串口通信程序,實(shí)現(xiàn)與USBKey的信息交互。

1)利用CreateFile函數(shù)逐一打開(kāi)客戶端的串口,根據(jù)返回的句柄值判斷是否為有效端口,進(jìn)而自動(dòng)識(shí)別已插入U(xiǎn)SBKey的串口號(hào)。

2)定義CMscomm類的對(duì)象,并且對(duì)串口屬性進(jìn)行初始化,打開(kāi)串口。

3)利用put_Output函數(shù)向USBKey發(fā)送數(shù)據(jù)。

4)接收串口到達(dá)的來(lái)自USBKey的數(shù)據(jù):串口通信采用事件驅(qū)動(dòng)方式,利用MSComm控件的On-Comm事件可以捕獲相應(yīng)通訊事件(如串口有數(shù)據(jù)到達(dá)),并且可以在OnComm事件處理函數(shù)中加入與該通訊事件相對(duì)應(yīng)的處理代碼,對(duì)來(lái)自USBKey的消息進(jìn)行正確及時(shí)的響應(yīng)。

4 結(jié) 語(yǔ)

本文提出的基于網(wǎng)絡(luò)的文件加密系統(tǒng)已成功實(shí)現(xiàn)了服務(wù)端對(duì)客戶端進(jìn)行遠(yuǎn)程加解密操作,并且通過(guò)使用USBKey,服務(wù)端成功對(duì)用戶進(jìn)行了身份認(rèn)證,確保了操作人的合法性。后續(xù)還會(huì)加上對(duì)服務(wù)端的合法性認(rèn)證,使其成為雙向身份認(rèn)證進(jìn)一步提高系統(tǒng)安全性。

隨著大數(shù)據(jù)時(shí)代的到來(lái),數(shù)據(jù)正以指數(shù)速度迅速膨脹,其中包括大量敏感數(shù)據(jù)、隱私數(shù)據(jù)。對(duì)于大數(shù)據(jù),現(xiàn)有的加密系統(tǒng)在加密效率上已無(wú)法滿足需要,因此可以在該系統(tǒng)的基礎(chǔ)上進(jìn)行改進(jìn),將數(shù)據(jù)分段上傳到多個(gè)云加密服務(wù)提供商進(jìn)行多Key加密,這樣就極大的提高了大數(shù)據(jù)文件的加密效率以及安全性。

[1] 盧秀慧.基于RSA快速加密算法的網(wǎng)絡(luò)文件加密系統(tǒng)設(shè)計(jì)[D].太原:中北大學(xué),2013.

LU Xiu-hui.File Encryption Based on RSA Encryption Algorithm Fast Network System Design[D].Taiyuan:U-niversity of North,2013.

[2] 吳文玲,張?jiān)铝?關(guān)于NOEKEON分組密碼[J].中國(guó)科學(xué)院研究生院學(xué)報(bào),2002,19(02):168-171.

WU Wen-ling,ZHANG Yue-ling.About NOEKEON Block Cipher[J].Journal of Graduate School of Chinese Academy of Sciences,2002,19(2):168-171.

[3] 劉傳領(lǐng),范建華.RSA非對(duì)稱加密算法在數(shù)字簽名中的應(yīng)用研究[J].通信技術(shù),2009,42(03):192-193.

LIU Chuan-ling,FAN Jian-hua.RSA Asymmetric Encryption Algorithm in The Application of Digital Signature Research[J].Journal of Communications Technology, 2009(3):192-193.

[4] 王俊鋒.USBKey認(rèn)證研究與實(shí)現(xiàn)[D].武漢:華中科技大學(xué),2009.

WANG Jun-feng.Research And Implementation of USBKey Authentication[D].Wuhan:Huazhong University of Science and Technology,2009.

[5] 王廣偉,李維釗.Windows Sockets網(wǎng)絡(luò)編程[J].計(jì)算機(jī)應(yīng)用研究,2000,17(08):51-54.

WANG Guang-wei,LI Wei-zhao.Windows Sockets Network Programming[J].Computer Application Research, 2000,17(8):51-54.

HE Wen-cai(1956-),male,professor,M.Sci.,mainly working at wireless data communication,network security,coding theory.

關(guān)少華(1987—),男,學(xué)士,主要研究方向?yàn)樾畔踩?

GUAN Shao-hua(1987-),male,B.Sci.,majoring in information security.

薛 晗(1989—),男,學(xué)士,主要研究方向?yàn)樾畔踩?

XUE Han(1989-),male,B.Sci.,majoring in information security.

劉培鶴(1972—),男,學(xué)士,主要研究方向?yàn)樾畔踩?/p>

LIU Pei-he(1972-),male,B.Sci.,majoring in information security.

Research and Implementation of A File Encryption Method based on Network

HE Wen-cai1,GUAN Shao-hua1,2,XUE Han1,2,LIU Pei-he1
(1.Beijing Electronic Science&Technology Institute,Beijing 100070,China;2.Xidian University,Xian Shaanxi 710071,China)

Nowadays,the Internet has completely integrated into people's daily life and work,and it is greatly convenient for people to obtain and transmit information.In order to make data encryption to meet the needs of more application scenario,a network file encryption system is built in Visual Studio 2010 platform.The system uses C/S architecture,the client completes the function of user interface and user operation,and the server implements specific encryption step.The system is applied to the application layer of the OSI reference model,with the end-to-end encryption.Files on the network are transmitted in the form of cipher text,thus to ensure the file security in the transmission process.

file encryption;NOEKEON;RSA;network programming;USBKey

TP309.7

A

1002-0802(2014)08-0946-05

10.3969/j.issn.1002-0802.2014.08.021

何文才(1956—),男,教授,碩士,主要研究方向?yàn)闊o(wú)線數(shù)據(jù)通信、網(wǎng)絡(luò)安全、編碼理論;

2014-05-09;

2014-06-09 Received date：2014-05-09;Revised date：2014-06-09