朱作付，徐超，，錢俊

（1.徐州工業(yè)職業(yè)技術(shù)學(xué)院信息工程系，江蘇 徐州221000；2.武漢大學(xué)計(jì)算機(jī)學(xué)院，湖北 武漢430072）

一種分布式數(shù)據(jù)加密傳輸系統(tǒng)的算法設(shè)計(jì)

朱作付1，徐超1，2，錢俊2

（1.徐州工業(yè)職業(yè)技術(shù)學(xué)院信息工程系，江蘇 徐州221000；2.武漢大學(xué)計(jì)算機(jī)學(xué)院，湖北 武漢430072）

通過對(duì)DES和RSA加密技術(shù)進(jìn)行分析，建立一個(gè)包括信息交換格式、交換協(xié)議和加解密算法的數(shù)據(jù)傳輸系統(tǒng).系統(tǒng)的整體設(shè)計(jì)建立于現(xiàn)在流行的分布式系統(tǒng)的基礎(chǔ)上，由于采用agent的結(jié)構(gòu)，使得任何一個(gè)部件的故障對(duì)系統(tǒng)的負(fù)面影響達(dá)到最小，從而保證整個(gè)系統(tǒng)運(yùn)行的健壯性.即保證各個(gè)agent與中央控制器進(jìn)行安全數(shù)據(jù)傳輸，具有良好的可操作性，能夠適用于不同的應(yīng)用環(huán)境.

算法；傳輸系統(tǒng)；數(shù)據(jù)加密；分布式系統(tǒng)

目前對(duì)稱加密算法DES和非對(duì)稱加密算法RSA的安全性都較好，還沒有在短時(shí)間內(nèi)破譯它們的有效方法，常常采用DES與RSA相結(jié)合的加密算法.在加密、解密的處理效率方面，DES算法優(yōu)于RSA算法.在密鑰的管理方面，RSA算法比DES算法更加優(yōu)越，DES算法從原理上不可能實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證.因此，本文中將采用對(duì)稱加密DES算法、非對(duì)稱加密RSA算法相結(jié)合，實(shí)現(xiàn)數(shù)據(jù)加密傳輸系統(tǒng)［1］.

1 數(shù)據(jù)加密傳輸系統(tǒng)WDES的設(shè)計(jì)

1.1 系統(tǒng)的整體設(shè)計(jì) 首先需要建立一個(gè)可以進(jìn)行信息交互的數(shù)據(jù)傳輸環(huán)境，在該環(huán)境下進(jìn)行數(shù)據(jù)的加密傳輸才有意義，否則，脫離數(shù)據(jù)傳輸環(huán)境而研究數(shù)據(jù)加密技術(shù)是沒有任何意義的［2］.本文中提出建立一個(gè)分布式數(shù)據(jù)傳輸系統(tǒng).系統(tǒng)的設(shè)計(jì)采用分布式結(jié)構(gòu)，各個(gè)分布式部件的設(shè)計(jì)采用agent的形式，每個(gè)agent既可單獨(dú)運(yùn)行，同時(shí)又作為整個(gè)系統(tǒng)不可分割的一部分，受整個(gè)系統(tǒng)的調(diào)控，另一方面，由于采用agent的結(jié)構(gòu)，使得任何一個(gè)部件的故障對(duì)系統(tǒng)的負(fù)面影響達(dá)到最小，從而保證整個(gè)系統(tǒng)運(yùn)行的健壯性.如圖1所示.

圖1 系統(tǒng)的整體框架

1.2 數(shù)據(jù)加解密方案的設(shè)計(jì) 發(fā)送端將要發(fā)送的明文交給數(shù)據(jù)傳輸模塊，數(shù)據(jù)傳輸模塊根據(jù)要求使用特定的加密算法對(duì)明文進(jìn)行加密，然后將加密后的密文發(fā)送給接收端，接收端的數(shù)據(jù)傳輸模塊接收到相應(yīng)的密文后選擇相應(yīng)的解密函數(shù)進(jìn)行解密，解密后的明文再傳給接收端的應(yīng)用程序［3］.這個(gè)過程如圖2所示.

圖2 數(shù)據(jù)加密工作流程

對(duì)正文的加密和解密運(yùn)算均采用56位DES算法，而DES算法的密鑰則由RSA算法進(jìn)行加密.假設(shè)數(shù)據(jù)的發(fā)送方和接收方分別稱為A和B.在A端進(jìn)行加密時(shí)，首先采用RSA算法，用A的私用密鑰SA對(duì)DES的加密密鑰K進(jìn)行第一次加密，然后用加密后的結(jié)果加上自己的帳號(hào)作為下一次加密的原始明文，再用B的公開密鑰PB進(jìn)行第二次RSA加密.接收方B接到報(bào)文后，采用相反的方向進(jìn)行解密.即先用其私用密鑰SB對(duì)密文進(jìn)行RSA解密，便可得到一包含發(fā)送方帳號(hào)的明文，有了發(fā)送方的帳號(hào)，B就知道報(bào)文為A所發(fā)，故去掉此帳號(hào)后，再用A的公開密鑰PA解密，便得到DES算法的密鑰K.對(duì)DES算法的密鑰K進(jìn)行加密的過程如圖3所示.最后使用解得的DES算法密鑰K對(duì)后面?zhèn)鬟^來的報(bào)文進(jìn)行DES解密，便可得到最終的明文文件.數(shù)據(jù)接收方在接收到數(shù)據(jù)并進(jìn)行身份認(rèn)證正確后，應(yīng)向數(shù)據(jù)發(fā)送方發(fā)回一簽收確認(rèn)信號(hào).

上述加解密過程可以實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證的功能.用戶B可以確信報(bào)文是用戶A所發(fā)，因?yàn)槌擞脩鬉本人，其他任何人都無法用明文K產(chǎn)生出密文ESA（K），所以就相當(dāng)于用戶A落下了他自己的簽名.用戶A的私用密鑰規(guī)定只能由他本人保存和使用，無疑具有“專一性”，因此由他處理的信息K經(jīng)2次加密后的EPB（ESA（K）＋A）自然就隱含了用戶A的個(gè)人特征.一般情況下，倘若有第三方也能制造出同樣的數(shù)字信息，那么最大的可能是用戶A有意或無意地泄露了他自己私人保存的私用密鑰SA，所以責(zé)任要由其自己承擔(dān).由此可見，這種數(shù)字簽名方法能起到和手工簽名一樣的效果.接收方在第一次解密后就可以了解到是誰發(fā)來的報(bào)文，而且用其他人的公開密鑰對(duì)EPB（ESA（K））解密也將無得到有效的DES密鑰K，因此用這種方法還可以對(duì)發(fā)送方的身份進(jìn)行認(rèn)證.

正文和DES密鑰應(yīng)分開進(jìn)行傳輸.正文數(shù)據(jù)文件可以加密傳送，也可以不加密傳送.加密過的報(bào)文需解密處理，而未經(jīng)加密的報(bào)文則不需解密處理.每一個(gè)用戶的RSA密鑰長(zhǎng)期有效，但在每次通信過程中，DES的加密密鑰K由數(shù)據(jù)發(fā)送方動(dòng)態(tài)生成，而且只在當(dāng)次通信中有效.因此，整個(gè)系統(tǒng)保密的關(guān)鍵就在于RSA的私用密鑰是否安全［5］.

圖3 用RSA算法對(duì)DES算法的密鑰K進(jìn)行加密的過程

2 數(shù)據(jù)加密傳輸系統(tǒng)WDES的實(shí)現(xiàn)

2.1 數(shù)據(jù)傳輸模塊 數(shù)據(jù)傳輸模塊負(fù)責(zé)與中控器間的秘密數(shù)據(jù)傳輸.數(shù)據(jù)傳輸模塊的主要功能為：創(chuàng)建監(jiān)聽線程監(jiān)聽固定的端口，以便其他組件和中央控制器建立連接，發(fā)送信息給中央控制器；中央控制器和其他組件建立連接，發(fā)送信息給其他組件.數(shù)據(jù)傳輸模塊對(duì)應(yīng)的類為CCommunicator.數(shù)據(jù)傳輸模塊包括發(fā)送、接收信息和信息處理2個(gè)子模塊.發(fā)送、接收信息子模塊是將一定格式的信息發(fā)送到中控器，從中控器接收信息；信息處理子模塊是負(fù)責(zé)信息的處理，如處理注冊(cè)過程、事件信息、處理中控器發(fā)送到主防火墻的信息以及向中控器發(fā)送信息.

2.2 WDES的DES加解密模塊

2.2.1 DES算法 DES算法的入口參數(shù)有3個(gè)：Key、Data、Mode.

其中Key為8個(gè)字節(jié)共64位，是DES算法的工作密鑰；Data是8個(gè)字節(jié)64位，是要被加密或被解密的數(shù)據(jù)；Mode為DES的工作方式，有2種：加密和解密.

DES算法工作方式：如Mode為加密，則用Key把數(shù)據(jù)Data進(jìn)行加密，生成Data的密碼形式（64位）作為DES的輸出結(jié)果；如Mode為解密，則用Key把密碼形式的數(shù)據(jù)Data解密，還原為Data的明碼形式（64位）作為DES的輸出結(jié)果.在數(shù)據(jù)傳輸網(wǎng)絡(luò)的兩端，雙方約定一致的Key，在數(shù)據(jù)傳輸?shù)脑袋c(diǎn)用Key對(duì)核心數(shù)據(jù)進(jìn)行DES加密，然后以密碼形式在網(wǎng)絡(luò)中傳輸?shù)綌?shù)據(jù)傳輸網(wǎng)絡(luò)的終點(diǎn)，數(shù)據(jù)到達(dá)目的地后，用同樣的Key對(duì)密碼數(shù)據(jù)進(jìn)行解密，便再現(xiàn)了明碼形式的核心數(shù)據(jù).這樣，便保證了核心數(shù)據(jù)（如PIN、MAC等）在網(wǎng)絡(luò)中傳輸?shù)陌踩院涂煽啃裕?］.

2.2.2 DES算法的實(shí)現(xiàn) DES加解密算法主要由3個(gè)部分組成：密鑰生成、加密函數(shù)、解密函數(shù).為了使算法具有良好的跨平臺(tái)性，選擇了標(biāo)準(zhǔn)C作為算法的實(shí)現(xiàn)語言.其算法示意圖如圖4.

DES密鑰結(jié)構(gòu)：

2.2.3 DES加密模塊發(fā)送、接收信息的實(shí)現(xiàn) 發(fā)送子模塊的作用是將加解密子模塊的輸出作為輸入，然后按照設(shè)計(jì)的協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后利用TCP/IP協(xié)議將數(shù)據(jù)完整的發(fā)送出去［7］.

接收子模塊的作用是利用TCP/IP協(xié)議從網(wǎng)絡(luò)接收完整的數(shù)據(jù)，然后按照協(xié)議對(duì)數(shù)據(jù)進(jìn)行解包，并將解包后的結(jié)果作為加解密子模塊的輸入，在完成解密后會(huì)將結(jié)果傳給上層的應(yīng)用.

為了確保數(shù)據(jù)傳輸?shù)臏?zhǔn)確、可靠，在發(fā)送、接收子模塊的具體實(shí)現(xiàn)中使用TCP協(xié)議作為低層的傳輸協(xié)議，同樣，為了使生成的代碼能運(yùn)行于不同的平臺(tái)，使用了標(biāo)準(zhǔn)C的套接字編程，經(jīng)過在windows下的傳輸測(cè)試，一切工作良好.

2.3 WDES系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)

2.3.1 系統(tǒng)主要模塊流程圖 由于系統(tǒng)設(shè)計(jì)采用模塊化設(shè)計(jì)，系統(tǒng)也調(diào)用了MFC類庫(kù).本系統(tǒng)也是采用標(biāo)準(zhǔn)準(zhǔn)類庫(kù)設(shè)計(jì)，每一個(gè)模塊由幾個(gè)類組成，也調(diào)用了部分MFC標(biāo)準(zhǔn)類.如圖5、6所示.

圖4 DES算法示意圖

圖5 系統(tǒng)模塊流程圖1

圖6 系統(tǒng)模塊流程圖2

圖7 系統(tǒng)功能模塊圖

2.3.2 系統(tǒng)實(shí)現(xiàn) 系統(tǒng)采用VC6.0開發(fā)，是采用面向?qū)ο蟮姆椒ㄔO(shè)計(jì)，所有的功能全部集成到每一個(gè)子模塊里，每一個(gè)子模塊由很多類組成，每一個(gè)類執(zhí)行不同的功能.因此本系統(tǒng)的模塊圖層次很清楚，也很容易理解.系統(tǒng)由控制模塊、數(shù)據(jù)加密模塊、數(shù)字簽名模塊、數(shù)據(jù)傳輸模塊4個(gè)組成［8］，模塊間的關(guān)系如圖7所示.

系統(tǒng)控制模塊給加密模塊、簽名模塊和數(shù)據(jù)傳輸模塊發(fā)送指令，對(duì)他們進(jìn)行控制；數(shù)據(jù)加密模塊進(jìn)行數(shù)據(jù)的DES加解密功能，簽名模塊進(jìn)行數(shù)字簽名的功能，數(shù)據(jù)傳輸模塊進(jìn)行數(shù)據(jù)傳輸功能，它有3種模式，第一是對(duì)話模式，考慮到數(shù)據(jù)傳輸雙方在傳送文件前可能進(jìn)行簡(jiǎn)單的對(duì)話，因此設(shè)計(jì)這個(gè)模式，可以將對(duì)話內(nèi)容直接顯示在屏幕上；二是明文傳送模式［9］，它可以傳送各種正規(guī)格式的文件，只要文件不含有亂碼，都可以使用這種模式傳送文件；第三種模式可以傳送含有不規(guī)則符號(hào)的文件，它是專門為傳送一些特殊文件設(shè)計(jì)，一般不使用.

3 結(jié)束語

采用DES、RSA和單程函數(shù)加密算法共同完成信息數(shù)據(jù)加、解密，提高密文傳輸和認(rèn)證的安全性.RSA的加、解密處理速度快，單程函數(shù)加密算法對(duì)于密鑰的管理比較簡(jiǎn)單等特點(diǎn)，使其有很高的推廣價(jià)值.系統(tǒng)操作方便、簡(jiǎn)單.但是所謂的計(jì)算機(jī)數(shù)據(jù)傳輸網(wǎng)絡(luò)的安全不是絕對(duì)的［10］，也不可能是永久性的，隨著相關(guān)技術(shù)的發(fā)展，系統(tǒng)需要不斷完善和更新.

［1］陳明舉，陳善學(xué).基于 DES算法和 RSA算法的數(shù)據(jù)加密方案［J］.南昌工學(xué)院學(xué)報(bào)，2006，25（1）：23-24.

［2］吳昊.基于 DES算法和 RSA算法的數(shù)據(jù)加密方案［J］.焦作工學(xué)院學(xué)報(bào)：自然科學(xué)版，2002，21（5）：396-397.

［3］肖攸安，李臘元.數(shù)字簽名技術(shù)的研究［J］.武漢理工大學(xué)學(xué)報(bào)：交通科學(xué)與工程版，2002，26（6）：737-739.

［4］程一飛.RSA算法及其應(yīng)用［J］.安慶師范學(xué)院學(xué)報(bào)：自然科學(xué)版，2004，10（2）：68-69.

［5］程庭，張明慧，石國(guó)營(yíng).一種基于DES和RSA算法的數(shù)據(jù)加密方案及實(shí)現(xiàn)［J］.河南教育學(xué)院學(xué)報(bào)：自然科學(xué)版，2003，12（2）：69-71.

［6］楊波.現(xiàn)代密碼學(xué)［M］.北京：清華大學(xué)出版社，2003（2）：18-21.

［7］章照止.現(xiàn)代密碼學(xué)基礎(chǔ)［M］.北京：郵電大學(xué)出版社，2004（2）：57-59.

［8］徐向文.藍(lán)牙技術(shù)中的一種基于DES加密的安全策略［J］.通信技術(shù)，2008，41（11）：19-21.

［9］孫駿，韓澤耀.一種抗 DPA攻擊的 DES設(shè)計(jì)［J］.中國(guó)集成電路，2006，84（5）：28-31.

［10］石新峰，董蘊(yùn)華，楊航.基于FPGA的3-DES雙向數(shù)據(jù)傳輸高速加/解密芯片設(shè)計(jì)［J］.通信技術(shù)，2009，42（5）：230-232.

A distributed data encryption algorithm for transmission system design

ZHU Zuofu1，XU Chao1，2，QIAN Jun2
（1.Department of Information Engineering，Xuzhou College of Industrial Technology，Xuzhou 221000，China；2.School of Computer，Wuhan University，Wuhan 430072，China）

By analysising DES and RSA encryption technology，a data transmission system including information exchange ormats，exchange protocol and processing the data decryption algorithm had been established.The overall design of system established on the basis of structure of the popular distributed system.By using the agent structure in this system，it made a component with failure minimize the negative impact and ensured the system robustness.Namely，this ensured that all of the agens and the central controller had a secure data transmission and a good operability.It could be applied to different applications.

algorithm；transmission system；data encryption；distributed system

TP392

A

1000-2375（2011）03-0366-04

2011-03-01

朱作付（1968-），男，碩士，副教授

（責(zé)任編輯 趙燕）