李勇，楊華芬

（曲靖師范學院信息工程學院，云南　655011）

一種混合數(shù)據(jù)加密方法的應用研究

李勇，楊華芬

（曲靖師范學院信息工程學院，云南655011）

對于局域網(wǎng)內(nèi)的數(shù)據(jù)傳輸，傳統(tǒng)的DES、RSA加密算法在安全性和加密效率上都有所不足。提出一種基于3DES-DH混合的數(shù)據(jù)加密方法，旨在增強數(shù)據(jù)傳輸?shù)陌踩?，同時盡量減少數(shù)據(jù)加解密帶來的時間開銷對傳輸效率的影響。為證明該方法的有效性，設計局域網(wǎng)數(shù)據(jù)傳輸?shù)膽铆h(huán)境，實驗測試與分析證明，該方法是一種有效可行的局域網(wǎng)數(shù)據(jù)傳輸加密方案。

數(shù)據(jù)加密；3DES算法；DH算法；局域網(wǎng)

云南省自然科學基金（No.2013FZ114）

0　引言

二十一世紀是信息化的時代，以計算機網(wǎng)絡和通信技術為基礎發(fā)展起來的局域網(wǎng)技術，在企業(yè)內(nèi)部、部門員工內(nèi)部之間傳遞數(shù)據(jù)的應用越來越廣泛，它使人們在信息的獲取、存儲、傳輸和使用等方面與傳統(tǒng)的方式有很大的不同，具有數(shù)字化、一體化、共享等明顯的時代特性，且涉及的數(shù)據(jù)量大、通信頻繁。局域網(wǎng)內(nèi)所有用戶同處一個網(wǎng)段、用戶與用戶之間可以相互訪問，彼此之間傳遞的數(shù)據(jù)沒有隔離和保護措施，數(shù)據(jù)很容易被共享和獲取，數(shù)據(jù)的安全性得不到保證。因此,恰當有效的措施對于保障局域網(wǎng)內(nèi)數(shù)據(jù)的通信來講顯得十分必要。數(shù)據(jù)加密技術是信息一種保障信息安全的有效措施，近年來被廣泛應用在互聯(lián)網(wǎng)信息安全保障的各個領域。傳統(tǒng)的DES對稱加密強度不高，不適于加密保密要求高的數(shù)據(jù)。RSA非對稱加密速度慢，耗時長，不適于加密大數(shù)據(jù)的信息。因此，必須對傳統(tǒng)的對稱加密算法、非對稱加密算法進行改，綜合運用對稱加密速度快、非對稱加密保密性強度高的優(yōu)良特性來提出新的加密算法，使其既能快速完成數(shù)據(jù)加解密的過程，同時又能保證數(shù)據(jù)加密的安全性強度要求。近年來，國內(nèi)眾多學者和密碼學專家對數(shù)據(jù)學的應用進行了深入的研究和改進。榆林學院的袁飛云、西北工業(yè)大學的劉浩、夏國清運用密碼理論提出了密鑰管理體制，設計了一套綜合性的數(shù)字校園信息安全方案對校園敏感信息進行了加密保護，保證了數(shù)據(jù)在傳輸和存儲中的安全[1]。南京航空航天大學的周明星等人則結(jié)合橢圓曲線上的Tate配對和混合加密體制，提出了一種新的簽名加密算法，這種新的簽名加密算法集密鑰交換、數(shù)字簽名和數(shù)據(jù)加密解密功能于一體，解決了復雜的密鑰管理問題，加快了加密解密的速度，能有效地抵抗生日攻擊和重發(fā)密文攻擊，可以很好地適用于電子商務、銀行系統(tǒng)領域的應用[2]。阜陽師范學院的王茂華、郝云力、褚亞偉提出了一種具有隱私保護功能的數(shù)據(jù)加密算法，該算法的基本思想是將數(shù)字與操作符轉(zhuǎn)化為特殊的加密關鍵字，再將關鍵字輸入到布隆過濾器進行命中判定，實現(xiàn)數(shù)據(jù)間比較保護數(shù)據(jù)，最后通過實驗證明了該方法的高數(shù)據(jù)保密性和加密解密快的特性[3]。解放軍72850部隊的董軍利等人充分利用AES的高速安全與RSA的安全密鑰分發(fā)體制提出了一種基于AESRSA混合加密策略的硬盤分區(qū)加密技術，該方法采用驅(qū)動層加密，同時設計簡易的數(shù)字證書和密鑰生成模塊來解決用戶與密鑰一一配對的問題，既提高了數(shù)據(jù)加密的速度，又增強了系統(tǒng)的安全性[4]。除此之外，浙江大學的楊德山[5]、陜西師范大學的李順東[6]、山東省經(jīng)濟管理干部學院的石井[7]、河北工程技術高等?？茖W校的李愛寧[8]、廣東石油化工學院的項順伯[9]、北京化工大學的巫鐘興[10]等人都先后從不同角度對傳統(tǒng)數(shù)據(jù)加密算法進行了改進和應用研究，并且取得了豐碩的研究成果。

本文在研究傳統(tǒng)數(shù)據(jù)加密方法的基礎上，提出一種混合數(shù)據(jù)加密方法應用于局域網(wǎng)內(nèi)部數(shù)據(jù)傳輸，該方法既不影響局域網(wǎng)本身的通信特性，同時又可以保證數(shù)據(jù)的安全可靠、高效傳輸。

1　數(shù)據(jù)加密理論

數(shù)據(jù)加密是一種保障信息安全的重要措施之一，它的主要工作原理是通過一定的數(shù)學變換，把明文數(shù)據(jù)變換成密文數(shù)據(jù)，然后將密文數(shù)據(jù)通過通信傳輸系統(tǒng)發(fā)送給數(shù)據(jù)的接收方，接收方再使用相同的技術采用與加密方相反的逆變換，把密文數(shù)據(jù)解密還原成明文數(shù)據(jù)，從而降低明文數(shù)據(jù)直接在通信傳輸系統(tǒng)中直接傳輸被竊取、追蹤的風險性。這種數(shù)學變換關系可以表示成一個五元組（P，C，K，E，D），分別用數(shù)學公式（1）、（2）來描述[11]。

EK（P）=C（1）

DK（C）=P（2）

其中，明文用P表示；密文用C表示；密鑰用K表示；加密算法用E表示；解密算法用D表示。

按照密鑰K是否相同，數(shù)據(jù)加密算法可分為對稱加密算法和非對稱加密兩種。對稱加密算法以DES[12]算法為代表，優(yōu)點是簡單易實現(xiàn)、加解密運算速度快；缺點是數(shù)據(jù)加密的安全性完全依賴于密鑰的強度，并且每一對通信用戶使用一個密鑰進行數(shù)據(jù)的加解密，N個用戶就需要使用N（N－1）/2個不同的密鑰，當N的數(shù)量特別大時，管理密鑰需要花費大量時間、十分不方便。因此，類似于DES的對稱加密算法雖然可以加密傳輸局域網(wǎng)用戶之間的大量數(shù)據(jù)，但是加密的強度和安全性不夠。

非對稱加密算法又稱公鑰密鑰算法，以RSA[12]為代表，優(yōu)點是加密安全性高、密鑰管理方便，缺點是加解密速度慢、不適合局域網(wǎng)內(nèi)大數(shù)據(jù)量傳輸之間的加密。

因此，研究一種既可以保證局域網(wǎng)內(nèi)用戶之間快速傳遞大量數(shù)據(jù)，又可以保證數(shù)據(jù)加密的高安全性，同時也可以很方便地管理密鑰的算法顯得十分必要。

2　混合數(shù)據(jù)加密方法

鑒于傳統(tǒng)的對稱加密技術和非對稱加密技術都各有優(yōu)缺點，本文綜合利用傳統(tǒng)對稱加密技術和非對加密技術的優(yōu)點進行互相改進，提出一種新的基于3DES 與DH混合的數(shù)據(jù)加密方法（Hybrid Encryption Algorithm Based on 3DES and DH，簡稱3DES-DH），該方法的具體加密過程描述如圖1所示。

圖1　3DES-DH方法的加密過程

從上述加密過程來看，基于3DES-DH混合的方法相對傳統(tǒng)加密方法來講，主要進行了以下兩點改進。

改進策略（1）：以3DES非對稱加密技術對需要傳輸數(shù)據(jù)的內(nèi)容進行加密，可以保證數(shù)據(jù)的加密速度，盡量少對數(shù)據(jù)傳輸效率的影響。

改進策略（2）：以DH對稱加密算法對加密數(shù)據(jù)的密鑰進行二級加密，可以很方便的管理數(shù)據(jù)加密的密鑰，同時又可以提高整個數(shù)據(jù)加密系統(tǒng)的安全性。

3　混合數(shù)據(jù)加密方法的應用

3.1應用環(huán)境設計

局域網(wǎng)通信分兩種模型，一種是企業(yè)內(nèi)部部門與部門之間的通信，通信雙方不經(jīng)過Internet互連，而是通過企業(yè)內(nèi)部的局域網(wǎng)直接互連，簡稱為局域網(wǎng)內(nèi)部通信模型，如圖2所示。

圖2　局域網(wǎng)內(nèi)部通信模型

另一種是企業(yè)局域網(wǎng)與企業(yè)局域網(wǎng)之間、或者企業(yè)內(nèi)部分公司局域網(wǎng)與分公司局域網(wǎng)之間的通信，簡稱局域網(wǎng)間通信模型，如圖3所示。

圖3　局域網(wǎng)間通信模型

根據(jù)3DES-DH方法對數(shù)據(jù)的加密過程來分析，要將3DES-DH方法很好的應用于圖2和圖3所示的局域網(wǎng)通信環(huán)境，只需要在SSX31-B[9]加密卡上實現(xiàn)3DES-DH方法，然后將SSX31-B加密卡分別在圖2所示的局域網(wǎng)內(nèi)部通信模型的內(nèi)部網(wǎng)關服務器和圖3所示的局域網(wǎng)間通信模型的邊界網(wǎng)關服務器上，由SSX31-B加密卡來對進出局域網(wǎng)的IP數(shù)據(jù)包進行過濾截獲、加解密及數(shù)據(jù)轉(zhuǎn)發(fā)處理，而不是將數(shù)據(jù)加密軟件直接安裝在數(shù)據(jù)的發(fā)送方法和接收方、由數(shù)據(jù)的收發(fā)雙方一對一的單獨負責數(shù)據(jù)的加解密處理，這種軟硬件結(jié)合的方式安全性強又容易實現(xiàn)。

3.2應用測試與分析

在局域網(wǎng)通信系統(tǒng)中，數(shù)據(jù)傳輸效率的好壞可由數(shù)據(jù)傳輸所需要的總時間來衡量，而數(shù)據(jù)在局域網(wǎng)內(nèi)加密傳輸所需的總時間等于以下五種時間之和，即：

總時間=發(fā)送時間+傳播時間+處理時間+排隊等候時間+加解密時間。

在相同的通信環(huán)境中，數(shù)據(jù)傳輸所需的發(fā)送時間、傳播時間、處理時間、排隊等候時間都是相同的，因此，為了盡量減少對數(shù)據(jù)傳輸效率的影響，應盡量減少數(shù)據(jù)的加解密時間。

為進一步驗證DES、RSA、3DES-DH三種數(shù)據(jù)加密方法的加解密工作速率，在如圖2和圖3所示的局域網(wǎng)應用環(huán)境下，分別用DES、RSA、3DES-DH三種方法來加解密0.5G、1G、2G、5G、10G的數(shù)據(jù)量，并對加解密這五組數(shù)據(jù)所需要的平均時間進行多次實驗測試，統(tǒng)計用這三種方法來分別加解密這五組數(shù)據(jù)所需平均時間如表1所示，所需平均時間比如圖4所示。

表1　加解密所需平均時間比較（時間單位：s/秒）

圖4　所需平均時間比

從表1和圖4的結(jié)果來分析，隨著加解密數(shù)據(jù)量的急劇增大，RSA算法加解密數(shù)據(jù)所需平均時間是3DES-DH混合方法的100倍以上，3DES-DH方法加解密數(shù)據(jù)的效率遠優(yōu)于RSA算法。而使用3DES-DH混合方法與使用DES方法加解密數(shù)據(jù)所需平均時間比逐漸等于1，這表明，雖然3DES是在DES的基礎上經(jīng)過3次輪變換改進而來，算法本身比DES復雜，加解密所需平均比DES要長，但是由于3DES-DH在3DES的基礎上采了DH方法來分配和管理密鑰，分配和管理密鑰所需的時間比DES要短，這在一定程度上彌補了3DES需要3次輪變換增加的時間復雜度，因此，隨著加解密數(shù)據(jù)量的急劇增大，3DES-DH與DES加解密數(shù)據(jù)所需平均時間逐漸趨于相等，3DES-DH方法加解密數(shù)據(jù)的速度近似等效于DES算法。

安全性測試方面，先分別用DES、RSA、3DES-DH三種方法來加解密100K大小的文本文件、數(shù)據(jù)、圖片、多媒體視頻四種類型的文件，然后在圖2和圖3所示的局域網(wǎng)應用環(huán)境下使用FTP協(xié)議來傳輸加密后的四類文件的密文信息，在傳輸過程中借助第三方數(shù)據(jù)抓包工具Sniffer來截取這種這四類密文數(shù)據(jù)包進行蠻力破解，蠻力破解數(shù)據(jù)包密文的工作采用因特爾i5處理器的臺式電腦進行，最后在設定的10分鐘時限內(nèi)對其重復破解三次，結(jié)果如表2所示。

表2　被蠻力破解次數(shù)

從數(shù)據(jù)包密文被蠻力破解的次數(shù)來看，改進的3DES-DH數(shù)據(jù)加密方法對數(shù)據(jù)的保密性要高于DES、RSA算法。另外，從DES、RSA、3DES-DH這三種數(shù)據(jù)加密方法的實現(xiàn)原理上來分析，3DES-DH混合加密方法加密數(shù)據(jù)內(nèi)容時采用的是3重DES方法，強度高于DES算法。而從密鑰分配和管理的機制來看，3DES-DH混合加密方法采用DH算法來完成，DH算法的核心思想和RSA算法一樣，都是基于大素數(shù)不可分解質(zhì)因數(shù)的數(shù)學理論方法，但是3DES-DH混合加密方法相比RSA算法來講多了一層3DES數(shù)據(jù)內(nèi)容加密。因此，總的來講，3DES-DH混合加密方法的安全性要優(yōu)于DES 和RSA加密算法。

4　結(jié)語

局域網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)由于局域網(wǎng)本身的共享特性，很容易被追蹤和竊取。為了提高局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)陌踩?，本文在研究傳輸DES、RSA數(shù)據(jù)加密算法的基礎上，針對傳統(tǒng)DES、RSA加密算法的不足之處，提出了一種基于3DES與DH混合的數(shù)據(jù)加密方法，用該方法來加密局域網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)，給出了加密過程的詳細描述。最后,設計了局域網(wǎng)傳輸數(shù)據(jù)的通信應用環(huán)境，對3DES-DH混合加密方法對數(shù)據(jù)傳輸效率的影響進行了多實驗測試，測試結(jié)果分析證明，3DES-DH方法對數(shù)據(jù)傳輸在時間方面的影響優(yōu)于RSA算法、近似等效于DES算法，并且進一步分析表明，3DES-DH混合加密方法的安全性要優(yōu)于DES和RSA加密算法。

[1]袁飛云，劉浩，夏清國.數(shù)字校園數(shù)據(jù)加密研究與實現(xiàn)[J].計算機應用與軟件,2012,29（2）：155-158.

[2]周明星,周建江,楊小東等.一種基于AES_ECC和Tate配對的簽名加密算法[J].計算機應用與軟件,2008,25（3）：9-11.

[3]王茂華,郝云力，褚亞偉.具有隱私保護功能的數(shù)據(jù)加密算法[J].計算機工程與應用,2014,50（23）:87-90.

[4]董軍利,宋福剛，管文強等.基于AES_RSA混合加密策略的硬盤分區(qū)加密技術[J].微電子學與計算機,2012,29（1）:135-137.

[5]楊德山,陸魁軍.一種改進的RSA加密算法設計與實現(xiàn)[J].計算機應用與軟件,2007（10）:189-191.

[6]李順東,竇家維,王道順.同態(tài)加密算法及其在云安全中的應用[J].計算機研究與發(fā)展,2015,52（6）:1378-1388.

[7]石井,吳哲,譚璐等.RSA數(shù)據(jù)加密算法的分析與改進[J].濟南大學學報（自然科學版）,2013,27（3）:283-286.

[8]李愛寧,唐勇,孫曉輝等.基于Python語言的3DES算法優(yōu)化[J].計算機系統(tǒng)應用,2011:20（8）:184-187.

[9]項順伯.一種基于身份的DH密鑰交換協(xié)議[J].廣東石油化工學院學報,2011,21（6）:44-46.

[10]巫鐘興,李輝.一種數(shù)據(jù)加密傳輸方案的設計與實現(xiàn)[J].北京化工大學學報（自然科學版）,2011,38（2）:104-107.

[11]李蘋,李勇.一種基于異或運算的混合加密算法[J].曲靖師范學院學報,2013,32（3）:39-42.

[12]（美）Richard Spillman.經(jīng)典密碼學與現(xiàn)代密碼學[M].葉遠健，曹英，張長富譯.北京:清華大學出版社,2005.

Data Encryption;3DES Algorithm;DH Algorithm;Local Area Network

Research on the Application of a Hybrid Data Encryption Method

LI Yong，YANG Hua-feng

（School of Information Engineering,Qujing Normal University，Yunnan 655011）

For the data transmission in local area network,the traditional DES and RSA encryption algorithm are inadequate in security and efficiency.Presents a hybrid data encryption method based on the 3DES-DH,in order to enhance the security of data transmission and reduce the data encryption time cost and the effect of transmission efficiency.To demonstrate the effectiveness of the method,designs the application environment of the LAN data transmission.Test and analysis proves that this method is a feasible and effective LAN data transmission encryption scheme.

1007-1423（2016）32-0026-05

10.3969/j.issn.1007-1423.2016.32.006

李勇（1984－），男，江西分宜人，講師，碩士，研究方向為計算機網(wǎng)絡、算法設計與分析

楊華芬（1981－），女，碩士，副教授，研究方向為智能計算

2016-09-01

2016-10-20