一種基于硬件指紋的混合加密文件保護系統

（淮南師范學院，安徽 淮南 232038）

引言

隨著計算機和互聯網技術的快速發展與普及，每個人都在享受著科技進步帶來的紅利。但萬事都有相反的一面，人們也深受信息安全問題的困擾[1,2]。比如，個人隱私信息的泄露、黑客的入侵等。因此，如何保護個人隱私已成為計算機領域研究的熱點，人們迫切地需要一種技術來保護自己的信息不被他人非法的獲取和訪問。這時，信息加密技術就顯得尤為重要，本文綜合運用密碼學原理設計了一個文件保護系統來實現對文件的加密和解密，從而解決實際生活、工作中的有關信息安全的問題。

1 密碼學基礎知識

1.1 3DES算法

對稱密鑰加密系統是一種傳統密碼體制，也稱為私鑰密碼體制。在對稱加密系統中，加密和解密采用相同的密鑰。因為加解密密鑰相同，需要通信的雙方必須選擇和保存他們共同的密鑰，各方必須信任對方不會將密鑰泄密出去，這樣就可以實現數據的機密性和完整性。[1]

3DES又稱Triple-DES，是一種典型的對稱加密算法，它是DES加密算法的一種改進模式，它使用3條56位的密鑰對數據進行三次加密[3]。假設Ek()和Dk()代表DES算法的加密和解密過程，K代表DES算法使用的密鑰，M代表明文，C代表密文，則其具體實現過程如下：

3DES加密過程為：C=Ek3(Dk2(Ek1(M)))

3DES解密過程為：M=Dk1(EK2(Dk3(C)))

K1、K2、K3決定了整個算法的安全性，若三個密鑰互不相同，本質上就相當于用一個長為168位的密鑰進行加密。若數據對安全性要求不那么高，K1可以等于K3，在這種情況下，密鑰的有效長度為112位。

1.2 RSA算法

與對稱密鑰加密系統相對的是非對稱密鑰密碼系統，也稱公開密鑰體制。在此加密系統中需要兩個密鑰，分別是公開密鑰（public key）和私有密鑰（private key）。相對于對稱密鑰密碼體系，其最大的特點在于加密和解密使用不同的密鑰。

RSA加密算法是一種非對稱加密算法，它的密鑰一般是成對生成，從加密密鑰推導出解密密鑰在計算上是不可行的。RSA算法的可靠性取決于對極大整數做因數分解的難度[4,5]，到目前為止，世界上還沒有任何可靠的攻擊RSA算法的方式。只要其密鑰的長度足夠長，用RSA加密的信息實際上是不能被解破的。

假設Ek()和Dk()代表RSA算法的加密和解密過程，PK代表加密密鑰，SK代表解密密鑰，M代表明文，C代表密文，則其具體實現過程如下：

RSA加密過程為：C=Epk(M)

RSA解密過程為：M=Dsk(C)

1.3 MD5算法

MD5算法是一種特殊的單向散列函數，是一種可以將任意長度的消息壓縮到某一固定長度輸出的函數[6]。散列值的空間通常遠小于輸入的空間，不同的輸入可能會散列成相同的輸出，而不可能從散列值來唯一的確定輸入值。MD5算法一般不用作加密，因為單向函數加密的信息不能進行解密，一般用于產生消息摘要配合其他算法一起使用[7,8]。

2 文件保護系統的設計原理

為了保證用戶個人數據和隱私安全，人們利用各種技術手段在不同層面進行防護，在一定程度上防止了部分安全威脅。但是，即使在操作系統、數據庫等層層防護之下，仍然無法保證數據的安全性，因為各種數據最終是以文件的形式存儲在計算機介質上的，而大部分用戶仍然可通過讀寫方式對文件進行相關操作。一旦網絡不法分子通過某種途徑進入計算機系統就可以直接讀取各種數據文件，從而竊取用戶數據和其他隱私信息。因此，如何保護數據文件的安全已經成為計算機領域研究的熱點問題。對文件進行加密是一種有效且可行的保護用戶隱私安全的方法，基于此，文章綜合利用相關知識設計了一種文件保護系統。

首先，為了保護用戶信息未經授權的加密和解密，系統采用了硬件指紋技術，即利用U盤序列碼和U盤具體信息(如U盤大小、卷標等）的MD5值作為硬件指紋，唯一性的標識U盤，使U盤充當加密狗的功能，防止非法用戶破壞用戶信息的機密性和可用性。只有通過了硬件檢查，才能進行后續操作。

其次，在進行信息加密時，采用了3DES對稱加密技術，可以相對高效地完成數據文件的加密與解密操作，充分發揮了對稱密碼體制效率高的特點。3DES加密算法是一種分組加密算法，是以DES加密算法為基礎進行的改進，在加密強度上比DES算法提高很多。

考慮到對稱加密算法的密鑰保存和分發容易受到黑客的攻擊，系統又使用了RSA非對稱加密算法對3DES算法的密鑰進行了二次加密，并進行自動保存，進一步提高了安全性。RSA算法加密后的密鑰再通過隨機算法插入數量不等的字符，即使密鑰文件被不法分子確定，也無法準確提取出正確的解密密鑰。

最后，為了防止U盤和密碼的丟失，增加了管理員權限，管理員登陸后可以自動解密文件。這樣不僅達到了多重方法保護文件的目的，而且更加的人性化，促進了人與技術的和諧發展。

3 文件保護系統的設計過程

3.1 總體框架

系統是基于Windows環境下的可執行程序，通過Windows下圖形界面窗口，提供用戶交互操作。當用戶需要加密或解密文件時，先插入系統預先設置的合法U盤，U盤與系統設定的信息匹配成功后方可進一步使用文件保護系統。同時系統設計了兩類用戶模式，分別為管理員模式和普通用戶模式，各模式具有不同的操作權限。

在系統設計的過程中使用的關鍵技術有：密鑰生成、密鑰管理、加密服務、解密服務、散列算法等。當用戶需要對數據文件進行加密時首先插入合法的U盤，通過檢查后輸入相應的加密密鑰，這時會對密鑰的長度和復雜度進行檢測，只有達到相應規則的要求才能進行后續的加密操作，這就防止了用戶的誤操作和惡意用戶的不當加密。具體的加密流程分別如下：

圖1 文件加密流程

文件解密的過程也是要進行硬件檢查，U盤不合法直接拒絕解密操作。當解密密鑰是正常用戶手動輸入時，密鑰正確則解密成功，否則解密失敗；當用戶忘記密碼時可以啟用管理員權限進行自動解密，程序會自動搜索RSA加密后的3DES密鑰，并自動剔除通過隨機算法加入的字符，完成相應數據文件的正常解密。具體的解密流程分別如下：

圖2 文件加密流程

3.2 具體實現

系統開發以Microsoft Visual Studio2015為平臺，采用C＃語言實現軟件編程，主要函數有：

voidEncryptFile(stringinFile,stringoutFile,string passwd)，3DES加密函數，參數分別是待加密文件、加密后的文件和加密密鑰；

voidDecryptFile(stringinFile,stringoutFile,string passwd)，3DES解密函數，參數分別是待解密文件、解密后的文件和解密密鑰；

string RSAEncrypt(string publickey,string content),RSA加密函數，參數分別是加密公鑰和待加密文件；

string RSADecrypt(string privatekey,string content)，RSA解密函數，參數分別是解密私鑰和待解密文件；

RSAKeyPairGeneratorRSAKeys(int n),生成指定長度的RSA公鑰私鑰對；

stringGetDetailsFromUSB()，獲取U盤序列碼和其他基本信息充當硬件指紋；

string GetMD5FromString(string input)，實現MD5加密，

string GetRandomNumOrCharacter(int n)，獲取 n個隨機數字或字符。

3.3 功能測試

1)打開軟件，主界面如下：

圖3 文件保護系統主界面

2)未檢測到U盤或U盤不合法，拒絕操作。

圖4 加密時檢測U盤合法性

3)硬件設備合法后，實現文件加密。

圖5 實現文件加密

4)硬件檢測不合法，拒絕解密。

圖6 解密時檢測U盤合法性

5)多次嘗試破解密鑰，會被禁止操作。

圖7 防暴力破解

6)登錄管理員賬戶，進行自動解密操作。

圖8 管理員登錄

7)管理員權限登陸后，可自動解密相應文件，防止密碼丟失。

圖9 自動解密功能

4 結論

利用普通U盤和業界上公認的經典加解密算法，實現了簡單、安全、高效、靈活的文件保護系統。通過對U盤信息的讀取，利用軟件編程實現了軟件與硬件的結合，只有通過了硬件合法性檢測才能進行后續的文件加密和解密操作，提高了文件信息的保護強度。系統設計的優點：①基于硬件指紋，防止未經授權的加密和解密；②硬件指紋包含U盤序列碼和U盤具體信息，稍作修改即可改變指紋，操作簡單，實現了U盤的復用；③3DES對稱加密速度快，RSA非對稱算法對3DES密鑰進行加密，綜合了二者的優點，安全性高；④加密操作可以進行多輪，且每輪加密密鑰不同可以提升安全等級；⑤增加了管理員權限，自動解密文件，防止密碼遺失。

編輯：董剛