一種混合數據加密方法的應用研究

李勇，楊華芬

（曲靖師范學院信息工程學院，云南　655011）

一種混合數據加密方法的應用研究

李勇，楊華芬

（曲靖師范學院信息工程學院，云南655011）

對于局域網內的數據傳輸，傳統的DES、RSA加密算法在安全性和加密效率上都有所不足。提出一種基于3DES-DH混合的數據加密方法，旨在增強數據傳輸的安全性，同時盡量減少數據加解密帶來的時間開銷對傳輸效率的影響。為證明該方法的有效性，設計局域網數據傳輸的應用環境，實驗測試與分析證明，該方法是一種有效可行的局域網數據傳輸加密方案。

數據加密；3DES算法；DH算法；局域網

云南省自然科學基金（No.2013FZ114）

0　引言

二十一世紀是信息化的時代，以計算機網絡和通信技術為基礎發展起來的局域網技術，在企業內部、部門員工內部之間傳遞數據的應用越來越廣泛，它使人們在信息的獲取、存儲、傳輸和使用等方面與傳統的方式有很大的不同，具有數字化、一體化、共享等明顯的時代特性，且涉及的數據量大、通信頻繁。局域網內所有用戶同處一個網段、用戶與用戶之間可以相互訪問，彼此之間傳遞的數據沒有隔離和保護措施，數據很容易被共享和獲取，數據的安全性得不到保證。因此,恰當有效的措施對于保障局域網內數據的通信來講顯得十分必要。數據加密技術是信息一種保障信息安全的有效措施，近年來被廣泛應用在互聯網信息安全保障的各個領域。傳統的DES對稱加密強度不高，不適于加密保密要求高的數據。RSA非對稱加密速度慢，耗時長，不適于加密大數據的信息。因此，必須對傳統的對稱加密算法、非對稱加密算法進行改，綜合運用對稱加密速度快、非對稱加密保密性強度高的優良特性來提出新的加密算法，使其既能快速完成數據加解密的過程，同時又能保證數據加密的安全性強度要求。近年來，國內眾多學者和密碼學專家對數據學的應用進行了深入的研究和改進。榆林學院的袁飛云、西北工業大學的劉浩、夏國清運用密碼理論提出了密鑰管理體制，設計了一套綜合性的數字校園信息安全方案對校園敏感信息進行了加密保護，保證了數據在傳輸和存儲中的安全[1]。南京航空航天大學的周明星等人則結合橢圓曲線上的Tate配對和混合加密體制，提出了一種新的簽名加密算法，這種新的簽名加密算法集密鑰交換、數字簽名和數據加密解密功能于一體，解決了復雜的密鑰管理問題，加快了加密解密的速度，能有效地抵抗生日攻擊和重發密文攻擊，可以很好地適用于電子商務、銀行系統領域的應用[2]。阜陽師范學院的王茂華、郝云力、褚亞偉提出了一種具有隱私保護功能的數據加密算法，該算法的基本思想是將數字與操作符轉化為特殊的加密關鍵字，再將關鍵字輸入到布隆過濾器進行命中判定，實現數據間比較保護數據，最后通過實驗證明了該方法的高數據保密性和加密解密快的特性[3]。解放軍72850部隊的董軍利等人充分利用AES的高速安全與RSA的安全密鑰分發體制提出了一種基于AESRSA混合加密策略的硬盤分區加密技術，該方法采用驅動層加密，同時設計簡易的數字證書和密鑰生成模塊來解決用戶與密鑰一一配對的問題，既提高了數據加密的速度，又增強了系統的安全性[4]。除此之外，浙江大學的楊德山[5]、陜西師范大學的李順東[6]、山東省經濟管理干部學院的石井[7]、河北工程技術高等?？茖W校的李愛寧[8]、廣東石油化工學院的項順伯[9]、北京化工大學的巫鐘興[10]等人都先后從不同角度對傳統數據加密算法進行了改進和應用研究，并且取得了豐碩的研究成果。

本文在研究傳統數據加密方法的基礎上，提出一種混合數據加密方法應用于局域網內部數據傳輸，該方法既不影響局域網本身的通信特性，同時又可以保證數據的安全可靠、高效傳輸。

1　數據加密理論

數據加密是一種保障信息安全的重要措施之一，它的主要工作原理是通過一定的數學變換，把明文數據變換成密文數據，然后將密文數據通過通信傳輸系統發送給數據的接收方，接收方再使用相同的技術采用與加密方相反的逆變換，把密文數據解密還原成明文數據，從而降低明文數據直接在通信傳輸系統中直接傳輸被竊取、追蹤的風險性。這種數學變換關系可以表示成一個五元組（P，C，K，E，D），分別用數學公式（1）、（2）來描述[11]。

EK（P）=C（1）

DK（C）=P（2）

其中，明文用P表示；密文用C表示；密鑰用K表示；加密算法用E表示；解密算法用D表示。

按照密鑰K是否相同，數據加密算法可分為對稱加密算法和非對稱加密兩種。對稱加密算法以DES[12]算法為代表，優點是簡單易實現、加解密運算速度快；缺點是數據加密的安全性完全依賴于密鑰的強度，并且每一對通信用戶使用一個密鑰進行數據的加解密，N個用戶就需要使用N（N－1）/2個不同的密鑰，當N的數量特別大時，管理密鑰需要花費大量時間、十分不方便。因此，類似于DES的對稱加密算法雖然可以加密傳輸局域網用戶之間的大量數據，但是加密的強度和安全性不夠。

非對稱加密算法又稱公鑰密鑰算法，以RSA[12]為代表，優點是加密安全性高、密鑰管理方便，缺點是加解密速度慢、不適合局域網內大數據量傳輸之間的加密。

因此，研究一種既可以保證局域網內用戶之間快速傳遞大量數據，又可以保證數據加密的高安全性，同時也可以很方便地管理密鑰的算法顯得十分必要。

2　混合數據加密方法

鑒于傳統的對稱加密技術和非對稱加密技術都各有優缺點，本文綜合利用傳統對稱加密技術和非對加密技術的優點進行互相改進，提出一種新的基于3DES 與DH混合的數據加密方法（Hybrid Encryption Algorithm Based on 3DES and DH，簡稱3DES-DH），該方法的具體加密過程描述如圖1所示。

圖1　3DES-DH方法的加密過程

從上述加密過程來看，基于3DES-DH混合的方法相對傳統加密方法來講，主要進行了以下兩點改進。

改進策略（1）：以3DES非對稱加密技術對需要傳輸數據的內容進行加密，可以保證數據的加密速度，盡量少對數據傳輸效率的影響。

改進策略（2）：以DH對稱加密算法對加密數據的密鑰進行二級加密，可以很方便的管理數據加密的密鑰，同時又可以提高整個數據加密系統的安全性。

3　混合數據加密方法的應用

3.1應用環境設計

局域網通信分兩種模型，一種是企業內部部門與部門之間的通信，通信雙方不經過Internet互連，而是通過企業內部的局域網直接互連，簡稱為局域網內部通信模型，如圖2所示。

圖2　局域網內部通信模型

另一種是企業局域網與企業局域網之間、或者企業內部分公司局域網與分公司局域網之間的通信，簡稱局域網間通信模型，如圖3所示。

圖3　局域網間通信模型

根據3DES-DH方法對數據的加密過程來分析，要將3DES-DH方法很好的應用于圖2和圖3所示的局域網通信環境，只需要在SSX31-B[9]加密卡上實現3DES-DH方法，然后將SSX31-B加密卡分別在圖2所示的局域網內部通信模型的內部網關服務器和圖3所示的局域網間通信模型的邊界網關服務器上，由SSX31-B加密卡來對進出局域網的IP數據包進行過濾截獲、加解密及數據轉發處理，而不是將數據加密軟件直接安裝在數據的發送方法和接收方、由數據的收發雙方一對一的單獨負責數據的加解密處理，這種軟硬件結合的方式安全性強又容易實現。

3.2應用測試與分析

在局域網通信系統中，數據傳輸效率的好壞可由數據傳輸所需要的總時間來衡量，而數據在局域網內加密傳輸所需的總時間等于以下五種時間之和，即：

總時間=發送時間+傳播時間+處理時間+排隊等候時間+加解密時間。

在相同的通信環境中，數據傳輸所需的發送時間、傳播時間、處理時間、排隊等候時間都是相同的，因此，為了盡量減少對數據傳輸效率的影響，應盡量減少數據的加解密時間。

為進一步驗證DES、RSA、3DES-DH三種數據加密方法的加解密工作速率，在如圖2和圖3所示的局域網應用環境下，分別用DES、RSA、3DES-DH三種方法來加解密0.5G、1G、2G、5G、10G的數據量，并對加解密這五組數據所需要的平均時間進行多次實驗測試，統計用這三種方法來分別加解密這五組數據所需平均時間如表1所示，所需平均時間比如圖4所示。

表1　加解密所需平均時間比較（時間單位：s/秒）

圖4　所需平均時間比

從表1和圖4的結果來分析，隨著加解密數據量的急劇增大，RSA算法加解密數據所需平均時間是3DES-DH混合方法的100倍以上，3DES-DH方法加解密數據的效率遠優于RSA算法。而使用3DES-DH混合方法與使用DES方法加解密數據所需平均時間比逐漸等于1，這表明，雖然3DES是在DES的基礎上經過3次輪變換改進而來，算法本身比DES復雜，加解密所需平均比DES要長，但是由于3DES-DH在3DES的基礎上采了DH方法來分配和管理密鑰，分配和管理密鑰所需的時間比DES要短，這在一定程度上彌補了3DES需要3次輪變換增加的時間復雜度，因此，隨著加解密數據量的急劇增大，3DES-DH與DES加解密數據所需平均時間逐漸趨于相等，3DES-DH方法加解密數據的速度近似等效于DES算法。

安全性測試方面，先分別用DES、RSA、3DES-DH三種方法來加解密100K大小的文本文件、數據、圖片、多媒體視頻四種類型的文件，然后在圖2和圖3所示的局域網應用環境下使用FTP協議來傳輸加密后的四類文件的密文信息，在傳輸過程中借助第三方數據抓包工具Sniffer來截取這種這四類密文數據包進行蠻力破解，蠻力破解數據包密文的工作采用因特爾i5處理器的臺式電腦進行，最后在設定的10分鐘時限內對其重復破解三次，結果如表2所示。

表2　被蠻力破解次數

從數據包密文被蠻力破解的次數來看，改進的3DES-DH數據加密方法對數據的保密性要高于DES、RSA算法。另外，從DES、RSA、3DES-DH這三種數據加密方法的實現原理上來分析，3DES-DH混合加密方法加密數據內容時采用的是3重DES方法，強度高于DES算法。而從密鑰分配和管理的機制來看，3DES-DH混合加密方法采用DH算法來完成，DH算法的核心思想和RSA算法一樣，都是基于大素數不可分解質因數的數學理論方法，但是3DES-DH混合加密方法相比RSA算法來講多了一層3DES數據內容加密。因此，總的來講，3DES-DH混合加密方法的安全性要優于DES 和RSA加密算法。

4　結語

局域網內傳輸的數據由于局域網本身的共享特性，很容易被追蹤和竊取。為了提高局域網內數據傳輸的安全性，本文在研究傳輸DES、RSA數據加密算法的基礎上，針對傳統DES、RSA加密算法的不足之處，提出了一種基于3DES與DH混合的數據加密方法，用該方法來加密局域網內傳輸的數據，給出了加密過程的詳細描述。最后,設計了局域網傳輸數據的通信應用環境，對3DES-DH混合加密方法對數據傳輸效率的影響進行了多實驗測試，測試結果分析證明，3DES-DH方法對數據傳輸在時間方面的影響優于RSA算法、近似等效于DES算法，并且進一步分析表明，3DES-DH混合加密方法的安全性要優于DES和RSA加密算法。

[1]袁飛云，劉浩，夏清國.數字校園數據加密研究與實現[J].計算機應用與軟件,2012,29（2）：155-158.

[2]周明星,周建江,楊小東等.一種基于AES_ECC和Tate配對的簽名加密算法[J].計算機應用與軟件,2008,25（3）：9-11.

[3]王茂華,郝云力，褚亞偉.具有隱私保護功能的數據加密算法[J].計算機工程與應用,2014,50（23）:87-90.

[4]董軍利,宋福剛，管文強等.基于AES_RSA混合加密策略的硬盤分區加密技術[J].微電子學與計算機,2012,29（1）:135-137.

[5]楊德山,陸魁軍.一種改進的RSA加密算法設計與實現[J].計算機應用與軟件,2007（10）:189-191.

[6]李順東,竇家維,王道順.同態加密算法及其在云安全中的應用[J].計算機研究與發展,2015,52（6）:1378-1388.

[7]石井,吳哲,譚璐等.RSA數據加密算法的分析與改進[J].濟南大學學報（自然科學版）,2013,27（3）:283-286.

[8]李愛寧,唐勇,孫曉輝等.基于Python語言的3DES算法優化[J].計算機系統應用,2011:20（8）:184-187.

[9]項順伯.一種基于身份的DH密鑰交換協議[J].廣東石油化工學院學報,2011,21（6）:44-46.

[10]巫鐘興,李輝.一種數據加密傳輸方案的設計與實現[J].北京化工大學學報（自然科學版）,2011,38（2）:104-107.

[11]李蘋,李勇.一種基于異或運算的混合加密算法[J].曲靖師范學院學報,2013,32（3）:39-42.

[12]（美）Richard Spillman.經典密碼學與現代密碼學[M].葉遠健，曹英，張長富譯.北京:清華大學出版社,2005.

Data Encryption;3DES Algorithm;DH Algorithm;Local Area Network

Research on the Application of a Hybrid Data Encryption Method

LI Yong，YANG Hua-feng

（School of Information Engineering,Qujing Normal University，Yunnan 655011）

For the data transmission in local area network,the traditional DES and RSA encryption algorithm are inadequate in security and efficiency.Presents a hybrid data encryption method based on the 3DES-DH,in order to enhance the security of data transmission and reduce the data encryption time cost and the effect of transmission efficiency.To demonstrate the effectiveness of the method,designs the application environment of the LAN data transmission.Test and analysis proves that this method is a feasible and effective LAN data transmission encryption scheme.

1007-1423（2016）32-0026-05

10.3969/j.issn.1007-1423.2016.32.006

李勇（1984－），男，江西分宜人，講師，碩士，研究方向為計算機網絡、算法設計與分析

楊華芬（1981－），女，碩士，副教授，研究方向為智能計算

2016-09-01

2016-10-20