基于統一通信技術的異構網絡穿越安全算法研究

陳瑩瑩 ，張 庚 ，翟明岳 ，李 杰 ，黨美琳 ，邢桂蘭

（1.華北電力大學 北京 100282；2.中國電力科學研究院 北京 100192；3.國網四川省電力公司資陽分公司 資陽 641300）

1 引言

統一通信技術是把計算機技術與傳統通信技術融于一體，將眾多網絡融合成一個網絡平臺，實現電話、傳真、短信、數據傳輸、多媒體音視頻會議、即時通信等眾多通信服務的新型技術[1]。統一通信將數據網絡、語音網絡和視頻網絡融合在一起，通過基于IP的基礎網絡平臺，實現數據、語音及視頻等多業務的統一集成。數據網絡、語音網絡和視頻網絡之間彼此依存，互相影響，為用戶提供了多種服務支撐。在這些異構的網絡環境中，通過統一的協議規范、加密以及防火墻等安全措施，使得在網絡環境內部所進行的通信，無論是可用性還是安全性，都得到了很好的保證。但在異構網絡之間通信，為保證異構網絡穿越的可用性，理論上必須犧牲一定的安全性。因此，有必要對異構網絡穿越的安全算法進行研究，以便于更好地提供網絡服務。

2 異構網絡現狀

隨著電力通信新技術的發展，電力通信網作為保持電力系統安全穩定運行的支柱之一，發揮著不可忽視的作用。電力通信網是由光纖、微波及衛星電路構成主干線，各支路充分利用電力線載波、特種光纜等電力系統特有的通信方式，并采用明線、電纜、無線等多種通信手段及程控交換機、調度總機等設備組成的多用戶、多功能的綜合通信網。電力通信網分為一級通信網、二級通信網、三級通信網和四級通信網。而電力通信業務網主要由行政交換網、數據通信網、電視電話會議系統、網管系統、時鐘同步網組成。網絡結構復雜，隨著智能電網的發展，移動現場作業對無線網絡的需求越來越大，各種業務交叉，應用廣泛，使得網絡的異構性成為了通信發展的必然趨勢[2]。

為保證電力通信網異構網絡之間的安全穿越，在現有不同類型的網絡的基礎上，通過對各種網絡進行融合、協同，并且通過統一的平臺管理和交互訪問來提供多種業務，滿足用戶的多種多樣的需求。當前的異構網絡，主要存在以下特點。

（1）異構性

作為異構網絡的核心特性，其主要表現在以下幾點:

·接入方式的異構性，如有線、無線等，而有線和無線也分別有多種不同的接入方式；

·終端設備的異構性，當前的網絡接入，除了傳統的PC接入，更有PDA、手機、平板電腦以及多種專用接入設備，這些設備不僅功能各異，運算和存儲能力也有很大的差別，特別是隨著云計算的發展，異構網絡對終端設備的要求越來越低；

·業務類型的異構性，不同的業務類型對應著不同的需求。

（2）通信協議的統一性

為保證異構網絡之間的安全穿越，進而保證網絡之間的協同，統一的協議規范必須被應用到異構網絡之間的通信中。另外，在通信系統中，無論是接入網、傳輸網還是核心網，都逐漸向IP化進行演變，基于IP傳輸已經成為業務傳送的核心傳輸方式。通過將通信協議統一為IP，可以有效降低數據的傳輸成本，簡化傳輸模式，增強QoS[3]。

（3）異構網絡的融合

異構網絡的融合主要可以分為網絡、業務和接入3個方面，3方面共同構成了異構網絡融合的主體。網絡融合顧名思義，表示在網絡層上保證異構網絡之間的聯通，為網絡運行的暢通提供最基本的保證；業務融合通常在最高層（即應用層）實現，通過業務融合，消除業務之間的壁壘，使得在業務的應用上能夠交叉使用，并且能夠互相協同；而接入融合則強調異構網絡之間的通信，應當無視接入技術的不同，保證不同的接入技術對網絡暢通的影響達到最小。綜合網絡、業務、接入融合的要求和特點，都要求要實現無縫融合。異構網絡的融合如圖1所示。

圖1 異構網絡的融合

（4）透明性和開放性

作為業務驅動的網絡，異構網絡的透明性和開放性是一個必然的發展趨勢。透明性主要強調用戶對業務的透明，即用戶不需要關心網絡狀態、網絡類型、接入方式、傳輸技術等，只需要關注具體的業務功能的實現。而開放性則強調了業務和網絡的分離，也就是業務功能專注于業務的實現，而傳輸功能專注于網絡的安全和可靠的傳輸，使得多種業務可以靈活擴展，也能進一步實現業務的協同[4]。

3 密碼體制

為保證異構網絡間信息的安全傳輸，需要在傳輸過程中進行發方加密和收方解密過程。加密和解密算法的實現，通常是通過特定的密碼體制和密鑰共同完成的，密碼體制即加密和解密的方法，而密鑰是加密和解密的核心。安全傳輸的核心在于，保證攻擊者在不知道密鑰的情況下，無法根據加密和解密算法自己計算出密鑰從而進行解密。

通常情況下，一個密碼體制由5個部分組成:明文信息空間M；密文信息空間C；密鑰空間K；加密變換Ek:M→C，其中 k∈K；解密空間 Dk→M，其中 k∈K。

按加密和解密密鑰的不同，主要分為對稱密碼體制（私鑰密碼體制）和非對稱密鑰密碼體制[4]。

3.1 對稱密鑰密碼體制

對稱密碼體制，又稱私鑰密碼體制。顧名思義，就是加密和解密方法是對稱的，也就是加密和解密采用了相同的密鑰，該密鑰又稱私鑰。由于在加密和解密中，采用了共同的發方的私鑰，因此收發雙方必須擁有發方的私鑰，并且通信雙方都必須保證該私鑰不被泄露，才能保證通信的安全。在這種場合下，必須強調發送報文的機密性和完整性。

由于對稱密碼體制要求雙方具有相同的私鑰，因此對于每2個用戶，需要1個密鑰，隨著用戶量的增加，由n個用戶組成的網絡中，為保證每2個用戶之間擁有一個安全的密鑰，一共則需要n(n-1)/2個密鑰，空間復雜度就成為O2。這種指數級的空間復雜度，在用戶數較小的情況下對整個網絡的影響不大，但是，當用戶量比較大時，會給管理帶來極大的困難。

最經典的對稱加密算法是DES（data encryption standard，數據加密標準）算法，由美國國家標準局提出，現在已經廣泛應用于銀行、網絡傳輸等各種領域，密鑰長度為56 bit。在DES加密算法的基礎上，很多人對DES進行了變換，對其復雜度進行提高，通過增加復雜度，對算法的安全性也進行了增強，比較著名的有triple DES（三重DES）、GDES（廣義 DES）、IDEA、FEAL N、TC5 等。

由于對稱加密算法在每對用戶之間只是用了一個相同的密鑰且通常算法比較簡單，容易實現，因此計算的開銷很小，加密速度快，占用的空間也很小，成為當前加密的主要算法和基本算法。但是，由于在用戶量比較大的情況下空間復雜度會急劇加大，并且不能進行數字簽名，因此在應用中也受到很大的限制。

3.2 非對稱密鑰密碼體制

非對稱密碼體制，又稱公鑰加密技術，該密碼體制就是針對對稱密碼體制的缺陷提出的。不同于對稱密碼體制中收方和發方共用一個私鑰，在非對稱密碼體制的加密和解密中，使用了不同的密鑰。發方的加密密鑰向公眾公開，任何人都可以使用該加密密鑰，但是解密的密鑰只有收方知道，并且該解密的密鑰無法通過加密密鑰和加密算法推算出，因此保證了信息傳輸的安全性。在這種情況下，一個人只需要公開自己的公鑰，其他人就可以用這個公鑰對文件進行加密，然后給這個人發文件，而這個人自己掌握著私鑰，因此只有他自己能夠進行解密。通過公鑰加密技術，可以有效預防對稱密碼體制中通信雙方的密鑰被截獲的可能，并且可以實現數字簽名和認證[5]。

在非對稱密碼體制中，當一個網絡中有n個用戶時，只需要2n個密鑰 （公鑰）就可以保證整個網絡的安全傳輸，而不需要達到對稱密碼體制中的n2個，空間復雜度大大降低。

當然，在保證安全性和密鑰空間的同時，非對稱密碼體制通常算法復雜度較高，加密的效率也較低。

公鑰密碼體制的算法主要有3類:基于有限域范圍內計算離散對數的難度的算法（如Diffie-Hellman算法（世界上第一個公鑰加密算法）、EIGamal算法、數字簽名算法）、橢圓曲線密碼體制 （如Diffie-Hellman算法、EIGamal算法和 Schnon算法等）和RSA公鑰密碼算法。

其中，RSA公鑰密碼算法經過多年的發展，成為當前最主要的公鑰算法，并且由于其完備性較好，現在依然作為主流算法應用在各大領域。

4 基于RSA算法和DES算法的混合加密算法

4.1 混合加密的原理

對稱加密體制具有運算開銷少、速度快的優點，但面臨通信雙方安全密鑰以及安全交換的局限性問題時，在網絡傳輸中，密鑰可能發生泄露，給安全性帶來很大的隱患。此外，當多個用戶之間需要進行加密傳輸時，隨著用戶量的增加，需要的密鑰數量也隨著增加，在密鑰的分發和管理方面又面臨了新的問題，并且增加了復雜度[6]。

非對稱加密體制下，安全性得到了很大的提高，并且能夠適應異構網絡的開放性、透明性等要求，但相對來說，加密算法更為復雜、速度較慢，特別是對大數據和密集型數據的加密，效率相對很低，通常只適合于對業務分離之后的密鑰、數字簽名等核心內容進行加密。

對于對稱密鑰和非對稱密鑰體制各自的特點，可以對其進行結合，互相彌補對方的缺陷。用對稱密鑰對數據進行加密，用非對稱密鑰加密采用對稱加密算法加密所使用的密鑰，既增強了安全性，又提高了加密效率，還能夠滿足業務分離的需求。

4.2 混合加密的實現

利用第4.1節提到的混合加密的思想進行加密，算法過程如下。

加密算法的過程如下。

（1）在發送方的A處產生一個隨機數發生器，即一個56 bit的密鑰D-Key，采用DES加密算法對明文Q進行加密，得到加密后的密文P1，并保存D-Key。

（2）A從密鑰管理中心獲取收方B的公鑰，對A產生的56 bit的DES密鑰D-Key進行RSA加密，產生輔助密文P2。

（3）將P1和P2組合，進行傳輸，完成了混合加密。

解密的過程與加密的過程相對應，介紹如下。

（1）收方B獲取到密文 P1和 P2后，首先進行拆分，識別出 P1和 P2。

（2）B用向密鑰管理中心注冊過的RSA私鑰對P2進行解密，恢復A的DES密鑰D-Key。

（3）B利用D-Key對P1進行解密，恢復初始的明文Q。

加密解密步驟如圖2所示。

圖2 基于RSA算法和DES算法的混合加密算法

4.3 安全性分析

加密算法的安全性，主要根據抵抗攻擊的能力來判定。針對異構網絡的通信傳輸進行攻擊，主要采用的方法是密文攻擊和算法攻擊。

采用密文攻擊，根據第4.2節的設計，假定攻擊者C能夠在通信過程中獲取到傳輸的密文，并能成功獲取到B的公鑰，想通過攻擊RSA算法來進行攻擊。但是，RSA算法的復雜度決定了C無法使用暴力破解的方法獲取DES算法的密鑰，進而無法獲取明文信息Q。并且，混合加密在傳輸中對密文進行了組合，使得暴力破解的復雜度近似于RSA算法的復雜度與DES算法的復雜度之積，安全性得到了極大的增強。

采用算法攻擊，主要是針對DES的攻擊。對DES的算法攻擊主要有差分密碼分析法和線性密碼分析法，前者需要知道DES的大量的（明文，密文）匹配對，后者則是一種已知明文攻擊法。對于混合加密算法，由于明文的密鑰采用了RSA算法加密，而明文本身進行了DES加密，因此上述兩種算法對混合加密算法的攻擊是無效的。

綜上，針對密鑰攻擊，混合加密的安全性得到了很大的提高。

5 實例分析

通過一個例子，對基于RSA算法和DES算法的混合加密算法進行分析和驗證。測試環境如下:英特爾酷睿2雙核處理器 P86002.4 GHz、內存2 GB、Windows 7操作系統、Eclipse 3.4.1開發環境。表1為DES算法和RSA算法的密鑰長度。

表1 DES算法和RSA算法的密鑰長度比較

由表1可得，RSA算法的密鑰長，加密的實現復雜，在內存和CPU中占用的時間、空間也多，復雜度很高。但區別于傳統的全文加密，只對DES算法加密后的密鑰進行加密，因此所占的空間就很小，加密時間也很短。

因此，在實驗中對加密時間進行比較，可以很好地對加密效率進行判斷。

對一個3 MB的數據信息分別采用DES算法、RSA算法和混合加密算法進行加密，得到加密時間見表2。

表2 3種加密算法的加密時間對比

由表2可得，采用DES算法的加密效率非常高，平均只需要13.53 s，RSA加密的時間則很長，平均需要301.66 s，混合加密算法需要23.94 s，所需時間比DES算法有所增加，但所需時間和DES算法處在同一個數量級。但是，通過混合加密，安全性得到了很大的提高。3種算法時間和密鑰長度數值比對結果如圖3所示。

圖3 時間和密鑰長度數值比對結果

6 結束語

本文基于異構網絡穿越問題和現狀，對對稱密鑰密碼體制和非對稱密鑰密碼體制進行了研究，提出了基于RSA算法和改進型DES算法的混合加密算法。實例分析表明，采用通過RSA算法對DES的密鑰進行加密的混合加密算法，極大地提高了安全性，并且具有良好的效率。

1 張庚.統一通信技術在電網中的應用.電信科學,2012(12):243～247

2 袁偉.基于Java的數據加密傳輸方案的研究.天津大學碩士學位論文,2009

3 周偉.異構網絡中的移動管理和安全機制研究.中國科學技術大學碩士學位論文,2009

4 王飛.數據加密算法的分析改進及應用研究.山東大學碩士學位論文,2005

5 時華.基于AES和ECC混合加密系統的算法研究.西安工業大學博士學位論文,2008

6 卜曉燕,張根耀.組合算法在軟件加密系統中的實現.計算機與數字工程,2012(8):21～23