一種混合數(shù)據(jù)加密方法的應(yīng)用研究

李勇，楊華芬

（曲靖師范學(xué)院信息工程學(xué)院，云南　655011）

一種混合數(shù)據(jù)加密方法的應(yīng)用研究

李勇，楊華芬

（曲靖師范學(xué)院信息工程學(xué)院，云南655011）

對于局域網(wǎng)內(nèi)的數(shù)據(jù)傳輸，傳統(tǒng)的DES、RSA加密算法在安全性和加密效率上都有所不足。提出一種基于3DES-DH混合的數(shù)據(jù)加密方法，旨在增強數(shù)據(jù)傳輸?shù)陌踩裕瑫r盡量減少數(shù)據(jù)加解密帶來的時間開銷對傳輸效率的影響。為證明該方法的有效性，設(shè)計局域網(wǎng)數(shù)據(jù)傳輸?shù)膽?yīng)用環(huán)境，實驗測試與分析證明，該方法是一種有效可行的局域網(wǎng)數(shù)據(jù)傳輸加密方案。

數(shù)據(jù)加密；3DES算法；DH算法；局域網(wǎng)

云南省自然科學(xué)基金（No.2013FZ114）

0　引言

二十一世紀(jì)是信息化的時代，以計算機(jī)網(wǎng)絡(luò)和通信技術(shù)為基礎(chǔ)發(fā)展起來的局域網(wǎng)技術(shù)，在企業(yè)內(nèi)部、部門員工內(nèi)部之間傳遞數(shù)據(jù)的應(yīng)用越來越廣泛，它使人們在信息的獲取、存儲、傳輸和使用等方面與傳統(tǒng)的方式有很大的不同，具有數(shù)字化、一體化、共享等明顯的時代特性，且涉及的數(shù)據(jù)量大、通信頻繁。局域網(wǎng)內(nèi)所有用戶同處一個網(wǎng)段、用戶與用戶之間可以相互訪問，彼此之間傳遞的數(shù)據(jù)沒有隔離和保護(hù)措施，數(shù)據(jù)很容易被共享和獲取，數(shù)據(jù)的安全性得不到保證。因此,恰當(dāng)有效的措施對于保障局域網(wǎng)內(nèi)數(shù)據(jù)的通信來講顯得十分必要。數(shù)據(jù)加密技術(shù)是信息一種保障信息安全的有效措施，近年來被廣泛應(yīng)用在互聯(lián)網(wǎng)信息安全保障的各個領(lǐng)域。傳統(tǒng)的DES對稱加密強度不高，不適于加密保密要求高的數(shù)據(jù)。RSA非對稱加密速度慢，耗時長，不適于加密大數(shù)據(jù)的信息。因此，必須對傳統(tǒng)的對稱加密算法、非對稱加密算法進(jìn)行改，綜合運用對稱加密速度快、非對稱加密保密性強度高的優(yōu)良特性來提出新的加密算法，使其既能快速完成數(shù)據(jù)加解密的過程，同時又能保證數(shù)據(jù)加密的安全性強度要求。近年來，國內(nèi)眾多學(xué)者和密碼學(xué)專家對數(shù)據(jù)學(xué)的應(yīng)用進(jìn)行了深入的研究和改進(jìn)。榆林學(xué)院的袁飛云、西北工業(yè)大學(xué)的劉浩、夏國清運用密碼理論提出了密鑰管理體制，設(shè)計了一套綜合性的數(shù)字校園信息安全方案對校園敏感信息進(jìn)行了加密保護(hù)，保證了數(shù)據(jù)在傳輸和存儲中的安全[1]。南京航空航天大學(xué)的周明星等人則結(jié)合橢圓曲線上的Tate配對和混合加密體制，提出了一種新的簽名加密算法，這種新的簽名加密算法集密鑰交換、數(shù)字簽名和數(shù)據(jù)加密解密功能于一體，解決了復(fù)雜的密鑰管理問題，加快了加密解密的速度，能有效地抵抗生日攻擊和重發(fā)密文攻擊，可以很好地適用于電子商務(wù)、銀行系統(tǒng)領(lǐng)域的應(yīng)用[2]。阜陽師范學(xué)院的王茂華、郝云力、褚亞偉提出了一種具有隱私保護(hù)功能的數(shù)據(jù)加密算法，該算法的基本思想是將數(shù)字與操作符轉(zhuǎn)化為特殊的加密關(guān)鍵字，再將關(guān)鍵字輸入到布隆過濾器進(jìn)行命中判定，實現(xiàn)數(shù)據(jù)間比較保護(hù)數(shù)據(jù)，最后通過實驗證明了該方法的高數(shù)據(jù)保密性和加密解密快的特性[3]。解放軍72850部隊的董軍利等人充分利用AES的高速安全與RSA的安全密鑰分發(fā)體制提出了一種基于AESRSA混合加密策略的硬盤分區(qū)加密技術(shù)，該方法采用驅(qū)動層加密，同時設(shè)計簡易的數(shù)字證書和密鑰生成模塊來解決用戶與密鑰一一配對的問題，既提高了數(shù)據(jù)加密的速度，又增強了系統(tǒng)的安全性[4]。除此之外，浙江大學(xué)的楊德山[5]、陜西師范大學(xué)的李順東[6]、山東省經(jīng)濟(jì)管理干部學(xué)院的石井[7]、河北工程技術(shù)高等專科學(xué)校的李愛寧[8]、廣東石油化工學(xué)院的項順伯[9]、北京化工大學(xué)的巫鐘興[10]等人都先后從不同角度對傳統(tǒng)數(shù)據(jù)加密算法進(jìn)行了改進(jìn)和應(yīng)用研究，并且取得了豐碩的研究成果。

本文在研究傳統(tǒng)數(shù)據(jù)加密方法的基礎(chǔ)上，提出一種混合數(shù)據(jù)加密方法應(yīng)用于局域網(wǎng)內(nèi)部數(shù)據(jù)傳輸，該方法既不影響局域網(wǎng)本身的通信特性，同時又可以保證數(shù)據(jù)的安全可靠、高效傳輸。

1　數(shù)據(jù)加密理論

數(shù)據(jù)加密是一種保障信息安全的重要措施之一，它的主要工作原理是通過一定的數(shù)學(xué)變換，把明文數(shù)據(jù)變換成密文數(shù)據(jù)，然后將密文數(shù)據(jù)通過通信傳輸系統(tǒng)發(fā)送給數(shù)據(jù)的接收方，接收方再使用相同的技術(shù)采用與加密方相反的逆變換，把密文數(shù)據(jù)解密還原成明文數(shù)據(jù)，從而降低明文數(shù)據(jù)直接在通信傳輸系統(tǒng)中直接傳輸被竊取、追蹤的風(fēng)險性。這種數(shù)學(xué)變換關(guān)系可以表示成一個五元組（P，C，K，E，D），分別用數(shù)學(xué)公式（1）、（2）來描述[11]。

EK（P）=C（1）

DK（C）=P（2）

其中，明文用P表示；密文用C表示；密鑰用K表示；加密算法用E表示；解密算法用D表示。

按照密鑰K是否相同，數(shù)據(jù)加密算法可分為對稱加密算法和非對稱加密兩種。對稱加密算法以DES[12]算法為代表，優(yōu)點是簡單易實現(xiàn)、加解密運算速度快；缺點是數(shù)據(jù)加密的安全性完全依賴于密鑰的強度，并且每一對通信用戶使用一個密鑰進(jìn)行數(shù)據(jù)的加解密，N個用戶就需要使用N（N－1）/2個不同的密鑰，當(dāng)N的數(shù)量特別大時，管理密鑰需要花費大量時間、十分不方便。因此，類似于DES的對稱加密算法雖然可以加密傳輸局域網(wǎng)用戶之間的大量數(shù)據(jù)，但是加密的強度和安全性不夠。

非對稱加密算法又稱公鑰密鑰算法，以RSA[12]為代表，優(yōu)點是加密安全性高、密鑰管理方便，缺點是加解密速度慢、不適合局域網(wǎng)內(nèi)大數(shù)據(jù)量傳輸之間的加密。

因此，研究一種既可以保證局域網(wǎng)內(nèi)用戶之間快速傳遞大量數(shù)據(jù)，又可以保證數(shù)據(jù)加密的高安全性，同時也可以很方便地管理密鑰的算法顯得十分必要。

2　混合數(shù)據(jù)加密方法

鑒于傳統(tǒng)的對稱加密技術(shù)和非對稱加密技術(shù)都各有優(yōu)缺點，本文綜合利用傳統(tǒng)對稱加密技術(shù)和非對加密技術(shù)的優(yōu)點進(jìn)行互相改進(jìn)，提出一種新的基于3DES 與DH混合的數(shù)據(jù)加密方法（Hybrid Encryption Algorithm Based on 3DES and DH，簡稱3DES-DH），該方法的具體加密過程描述如圖1所示。

圖1　3DES-DH方法的加密過程

從上述加密過程來看，基于3DES-DH混合的方法相對傳統(tǒng)加密方法來講，主要進(jìn)行了以下兩點改進(jìn)。

改進(jìn)策略（1）：以3DES非對稱加密技術(shù)對需要傳輸數(shù)據(jù)的內(nèi)容進(jìn)行加密，可以保證數(shù)據(jù)的加密速度，盡量少對數(shù)據(jù)傳輸效率的影響。

改進(jìn)策略（2）：以DH對稱加密算法對加密數(shù)據(jù)的密鑰進(jìn)行二級加密，可以很方便的管理數(shù)據(jù)加密的密鑰，同時又可以提高整個數(shù)據(jù)加密系統(tǒng)的安全性。

3　混合數(shù)據(jù)加密方法的應(yīng)用

3.1應(yīng)用環(huán)境設(shè)計

局域網(wǎng)通信分兩種模型，一種是企業(yè)內(nèi)部部門與部門之間的通信，通信雙方不經(jīng)過Internet互連，而是通過企業(yè)內(nèi)部的局域網(wǎng)直接互連，簡稱為局域網(wǎng)內(nèi)部通信模型，如圖2所示。

圖2　局域網(wǎng)內(nèi)部通信模型

另一種是企業(yè)局域網(wǎng)與企業(yè)局域網(wǎng)之間、或者企業(yè)內(nèi)部分公司局域網(wǎng)與分公司局域網(wǎng)之間的通信，簡稱局域網(wǎng)間通信模型，如圖3所示。

圖3　局域網(wǎng)間通信模型

根據(jù)3DES-DH方法對數(shù)據(jù)的加密過程來分析，要將3DES-DH方法很好的應(yīng)用于圖2和圖3所示的局域網(wǎng)通信環(huán)境，只需要在SSX31-B[9]加密卡上實現(xiàn)3DES-DH方法，然后將SSX31-B加密卡分別在圖2所示的局域網(wǎng)內(nèi)部通信模型的內(nèi)部網(wǎng)關(guān)服務(wù)器和圖3所示的局域網(wǎng)間通信模型的邊界網(wǎng)關(guān)服務(wù)器上，由SSX31-B加密卡來對進(jìn)出局域網(wǎng)的IP數(shù)據(jù)包進(jìn)行過濾截獲、加解密及數(shù)據(jù)轉(zhuǎn)發(fā)處理，而不是將數(shù)據(jù)加密軟件直接安裝在數(shù)據(jù)的發(fā)送方法和接收方、由數(shù)據(jù)的收發(fā)雙方一對一的單獨負(fù)責(zé)數(shù)據(jù)的加解密處理，這種軟硬件結(jié)合的方式安全性強又容易實現(xiàn)。

3.2應(yīng)用測試與分析

在局域網(wǎng)通信系統(tǒng)中，數(shù)據(jù)傳輸效率的好壞可由數(shù)據(jù)傳輸所需要的總時間來衡量，而數(shù)據(jù)在局域網(wǎng)內(nèi)加密傳輸所需的總時間等于以下五種時間之和，即：

總時間=發(fā)送時間+傳播時間+處理時間+排隊等候時間+加解密時間。

在相同的通信環(huán)境中，數(shù)據(jù)傳輸所需的發(fā)送時間、傳播時間、處理時間、排隊等候時間都是相同的，因此，為了盡量減少對數(shù)據(jù)傳輸效率的影響，應(yīng)盡量減少數(shù)據(jù)的加解密時間。

為進(jìn)一步驗證DES、RSA、3DES-DH三種數(shù)據(jù)加密方法的加解密工作速率，在如圖2和圖3所示的局域網(wǎng)應(yīng)用環(huán)境下，分別用DES、RSA、3DES-DH三種方法來加解密0.5G、1G、2G、5G、10G的數(shù)據(jù)量，并對加解密這五組數(shù)據(jù)所需要的平均時間進(jìn)行多次實驗測試，統(tǒng)計用這三種方法來分別加解密這五組數(shù)據(jù)所需平均時間如表1所示，所需平均時間比如圖4所示。

表1　加解密所需平均時間比較（時間單位：s/秒）

圖4　所需平均時間比

從表1和圖4的結(jié)果來分析，隨著加解密數(shù)據(jù)量的急劇增大，RSA算法加解密數(shù)據(jù)所需平均時間是3DES-DH混合方法的100倍以上，3DES-DH方法加解密數(shù)據(jù)的效率遠(yuǎn)優(yōu)于RSA算法。而使用3DES-DH混合方法與使用DES方法加解密數(shù)據(jù)所需平均時間比逐漸等于1，這表明，雖然3DES是在DES的基礎(chǔ)上經(jīng)過3次輪變換改進(jìn)而來，算法本身比DES復(fù)雜，加解密所需平均比DES要長，但是由于3DES-DH在3DES的基礎(chǔ)上采了DH方法來分配和管理密鑰，分配和管理密鑰所需的時間比DES要短，這在一定程度上彌補了3DES需要3次輪變換增加的時間復(fù)雜度，因此，隨著加解密數(shù)據(jù)量的急劇增大，3DES-DH與DES加解密數(shù)據(jù)所需平均時間逐漸趨于相等，3DES-DH方法加解密數(shù)據(jù)的速度近似等效于DES算法。

安全性測試方面，先分別用DES、RSA、3DES-DH三種方法來加解密100K大小的文本文件、數(shù)據(jù)、圖片、多媒體視頻四種類型的文件，然后在圖2和圖3所示的局域網(wǎng)應(yīng)用環(huán)境下使用FTP協(xié)議來傳輸加密后的四類文件的密文信息，在傳輸過程中借助第三方數(shù)據(jù)抓包工具Sniffer來截取這種這四類密文數(shù)據(jù)包進(jìn)行蠻力破解，蠻力破解數(shù)據(jù)包密文的工作采用因特爾i5處理器的臺式電腦進(jìn)行，最后在設(shè)定的10分鐘時限內(nèi)對其重復(fù)破解三次，結(jié)果如表2所示。

表2　被蠻力破解次數(shù)

從數(shù)據(jù)包密文被蠻力破解的次數(shù)來看，改進(jìn)的3DES-DH數(shù)據(jù)加密方法對數(shù)據(jù)的保密性要高于DES、RSA算法。另外，從DES、RSA、3DES-DH這三種數(shù)據(jù)加密方法的實現(xiàn)原理上來分析，3DES-DH混合加密方法加密數(shù)據(jù)內(nèi)容時采用的是3重DES方法，強度高于DES算法。而從密鑰分配和管理的機(jī)制來看，3DES-DH混合加密方法采用DH算法來完成，DH算法的核心思想和RSA算法一樣，都是基于大素數(shù)不可分解質(zhì)因數(shù)的數(shù)學(xué)理論方法，但是3DES-DH混合加密方法相比RSA算法來講多了一層3DES數(shù)據(jù)內(nèi)容加密。因此，總的來講，3DES-DH混合加密方法的安全性要優(yōu)于DES 和RSA加密算法。

4　結(jié)語

局域網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)由于局域網(wǎng)本身的共享特性，很容易被追蹤和竊取。為了提高局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)陌踩裕疚脑谘芯總鬏擠ES、RSA數(shù)據(jù)加密算法的基礎(chǔ)上，針對傳統(tǒng)DES、RSA加密算法的不足之處，提出了一種基于3DES與DH混合的數(shù)據(jù)加密方法，用該方法來加密局域網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)，給出了加密過程的詳細(xì)描述。最后,設(shè)計了局域網(wǎng)傳輸數(shù)據(jù)的通信應(yīng)用環(huán)境，對3DES-DH混合加密方法對數(shù)據(jù)傳輸效率的影響進(jìn)行了多實驗測試，測試結(jié)果分析證明，3DES-DH方法對數(shù)據(jù)傳輸在時間方面的影響優(yōu)于RSA算法、近似等效于DES算法，并且進(jìn)一步分析表明，3DES-DH混合加密方法的安全性要優(yōu)于DES和RSA加密算法。

[1]袁飛云，劉浩，夏清國.數(shù)字校園數(shù)據(jù)加密研究與實現(xiàn)[J].計算機(jī)應(yīng)用與軟件,2012,29（2）：155-158.

[2]周明星,周建江,楊小東等.一種基于AES_ECC和Tate配對的簽名加密算法[J].計算機(jī)應(yīng)用與軟件,2008,25（3）：9-11.

[3]王茂華,郝云力，褚亞偉.具有隱私保護(hù)功能的數(shù)據(jù)加密算法[J].計算機(jī)工程與應(yīng)用,2014,50（23）:87-90.

[4]董軍利,宋福剛，管文強等.基于AES_RSA混合加密策略的硬盤分區(qū)加密技術(shù)[J].微電子學(xué)與計算機(jī),2012,29（1）:135-137.

[5]楊德山,陸魁軍.一種改進(jìn)的RSA加密算法設(shè)計與實現(xiàn)[J].計算機(jī)應(yīng)用與軟件,2007（10）:189-191.

[6]李順東,竇家維,王道順.同態(tài)加密算法及其在云安全中的應(yīng)用[J].計算機(jī)研究與發(fā)展,2015,52（6）:1378-1388.

[7]石井,吳哲,譚璐等.RSA數(shù)據(jù)加密算法的分析與改進(jìn)[J].濟(jì)南大學(xué)學(xué)報（自然科學(xué)版）,2013,27（3）:283-286.

[8]李愛寧,唐勇,孫曉輝等.基于Python語言的3DES算法優(yōu)化[J].計算機(jī)系統(tǒng)應(yīng)用,2011:20（8）:184-187.

[9]項順伯.一種基于身份的DH密鑰交換協(xié)議[J].廣東石油化工學(xué)院學(xué)報,2011,21（6）:44-46.

[10]巫鐘興,李輝.一種數(shù)據(jù)加密傳輸方案的設(shè)計與實現(xiàn)[J].北京化工大學(xué)學(xué)報（自然科學(xué)版）,2011,38（2）:104-107.

[11]李蘋,李勇.一種基于異或運算的混合加密算法[J].曲靖師范學(xué)院學(xué)報,2013,32（3）:39-42.

[12]（美）Richard Spillman.經(jīng)典密碼學(xué)與現(xiàn)代密碼學(xué)[M].葉遠(yuǎn)健，曹英，張長富譯.北京:清華大學(xué)出版社,2005.

Data Encryption;3DES Algorithm;DH Algorithm;Local Area Network

Research on the Application of a Hybrid Data Encryption Method

LI Yong，YANG Hua-feng

（School of Information Engineering,Qujing Normal University，Yunnan 655011）

For the data transmission in local area network,the traditional DES and RSA encryption algorithm are inadequate in security and efficiency.Presents a hybrid data encryption method based on the 3DES-DH,in order to enhance the security of data transmission and reduce the data encryption time cost and the effect of transmission efficiency.To demonstrate the effectiveness of the method,designs the application environment of the LAN data transmission.Test and analysis proves that this method is a feasible and effective LAN data transmission encryption scheme.

1007-1423（2016）32-0026-05

10.3969/j.issn.1007-1423.2016.32.006

李勇（1984－），男，江西分宜人，講師，碩士，研究方向為計算機(jī)網(wǎng)絡(luò)、算法設(shè)計與分析

楊華芬（1981－），女，碩士，副教授，研究方向為智能計算

2016-09-01

2016-10-20