基于HMAC 算法的網絡通信安全數據傳輸系統設計

艾雪瑞，許 放，張 濤，程方圓，曹 瑾

（北京中電飛華通信有限公司，北京 100000）

網絡通信作為一種不受限的、開放的通信工具，能夠有效提高人們日常工作生活交流的效率。由于電子信息不能像傳統文件信息那樣進行安全防護，在傳輸、處理、存儲的過程中存在一定的泄露風險。為了保證網絡通信數據安全，通過對傳輸過程進行加密來確保信息的接收者能夠確定信息的來源和完整性，只有接收者可以獲得并且解密，進而保障信息不會被泄露。

文獻[1]設計具有實時嵌入型缺陷的遠程監控通信系統，通過HMAC 算法保證內外部安全性，進一步保證信息來源的安全性和完整性，但應用范圍較局限。文獻[2]結合網絡通信特點，在Windows 系統下構建數據加密系統，結合RSA 與三重DES，實現網絡通信數據加密，但這種方法的傳輸穩定性不高。

目前的網絡通信安全數據傳輸系統穩定性較差，導致通信質量下降。因此，采用HMAC 算法設計一種新的網絡通信安全數據傳輸系統。

1 網絡通信安全數據傳輸模塊

1.1 加密模塊

由于公用密鑰與私用密鑰算法相比更加便于傳遞與保管，而私用密鑰算法比公用密鑰算法的加密速度更快。因此，在對網絡通信數據進行傳輸加密時，可利用公用密鑰算法和私用密鑰算法相結合的混合算法進行加密處理。加密過程如下：

發送方用其私人密鑰對網絡通信數據進行密鑰簽名后，接收方從中介方獲得由發送方傳遞的公開密鑰，同時發送方獲得接收方的公開密鑰對需傳輸的數據進行簽名加密，將數據傳輸給接收方。接收方通過對傳輸的數據進行解密，同時通過獲得的公開密鑰進行驗證，最終獲得私人密鑰[3-4]。

在上述過程中，為防止因數據重新發送從而降低安全性，所以需要加上時間標記。如此，接收方通過加密模塊精準安全獲得三重密鑰，可對接收到的網絡通信數據進行解密，匹配接收方與發送方的身份認證結果并分析發送方的簽名信息，進一步增強了數據傳輸安全性[5-6]。

1.2 解密模塊

在完成網絡通信數據的加密模塊設計后，接收方使用其私人密鑰將傳輸的數據進行解密。為了提升數據安全等級，接收方使用密鑰進行加密。一次密鑰長度約56 位，調整密鑰次數，進行三次密鑰加工后，密鑰長度約112 位，匹配接收方與發送方的加密-解密-加密模式，對比傳統加密解密模式的速率和強度，進一步判斷新型的加密-解密-加密模式下的信息安全性，將上述模塊應用至實際中，接收方與雙方還可定時地交換彼此的加密密鑰，對雙方授權進行相關檢查，保證在加密-解密-加密模式下的信息安全[7-8]。

1.3 身份認證模塊

在上述加密模塊和解密模塊中，增加了角色與用戶ID、管理密鑰ID 確保數據安全高效地被傳輸。按照各個ID 在傳統通信模塊上的定義，通過HMAC算法及時對該類型字段的含義進行延伸，以此保證數據安全性。設計的網絡通信安全數據傳輸系統的字段含義可表示如下：

1）角色ID：只能讀不能寫的監視員用0j01 表示；既可以寫也可以讀的操作員用0j02表示；維修管理系統用戶的密碼信息的管理員用0j03表示；監視網絡安全、修正網絡參數的安全管理員用0j04 表示。只有將該字段填寫為0 后才能進行身份驗證[9-10]。

2）用戶ID：類似于設計系統的工作人員ID，唯一可識別系統用戶的真實信息。只有將該字段填寫為1 后才能進行身份驗證。

3）臨時密鑰ID：利用HMAC 算法獲取新的認證碼，將臨時密鑰ID 轉化為HMAC 認證碼，調節該字段的ID 號，確保新生成的HMAC 認證碼的臨時密鑰ID 能夠包含原始數據與管理密鑰ID。即新生成的HMAC 認證碼=MD5（管理密鑰ID+原始數據）。

4）管理密鑰ID：利用管理密鑰ID 對身份認證進行識別，或對臨時密鑰ID 進行更新，分析傳輸的數據是否為101 規約數據，是則就將管理密鑰ID 字段自動填寫為0，否則為1[11-12]。

5）同步碼：根據發送方將所傳輸的數據包大小以及生成時間轉化為同步碼，結合臨時密鑰ID 與管理密鑰ID 對數據訪問進行認證，有效降低數據受到攻擊的概率。

1.4 邏輯發生器

在完成加密模塊、解密模塊以及通信模塊設計后，將需傳輸的網絡通信數據進行HMAC 計算處理。為了有效提高數據傳輸過程中的安全性，引入Logistic 映射和Chebyshev 映射，避免數據傳輸過程中受到偽造消息的攻擊，在混沌映射過程中構建仍能隨機產生序列的邏輯發生器，處理攻擊者發出的偽造數據，加強邏輯發生器對攻擊的監測和處理力度，達到保證數據傳輸安全性的目的[13-14]。Logistic映射用下述公式表示：

當0 ＜Ln＜1 時，構建的隨機數列邏輯發生器處于混沌狀態。而Chebyshev 映射用下述公式表示：

當-1 ＜Cn＜1 且y＞2 時，構建的隨機數列邏輯發生器處于混沌狀態，其中y為Chebyshev 映射函數的階數。

根據Logistic 映射和Chebyshev 映射后，構建隨機產生序列的邏輯發生器，集中處理偽造信息攻擊的參數，按照不同用戶使用的參數令HMAC 算法處理不同類型的數據，并及時記錄邏輯發生器處理之后輸出的數據。其中邏輯發生器如圖1 所示。

圖1 邏輯發生器

觀察圖1 可知，根據邏輯發生器處理傳輸的數據以及加密模塊和解密模塊中使用的密鑰，將其轉化為混沌狀態下的映射參數，并將迭代之后的數值反饋到系統，Logistic 映射迭代后的數值錄入邏輯發生器中會轉化為初始運算序列的循環移位。經過一系列的混合運算后，分析經邏輯發生器處理后的輸出數據，將其作為兩種映射的迭代初值和控制參數，加強網絡通信安全數據運輸的安全性，保證數據完整性，控制外來偽造消息攻擊系統以及避免數據在傳輸過程中出現混亂[15]。

2 網絡通信安全數據傳輸程序

基于HMAC 算法設計網絡通信安全數據傳輸系統，通過加密解密模塊加強信息的安全性，身份認證模塊驗證身份信息的完整性，邏輯發生器以及混沌映射擴大消息的傳播安全性和不可逆轉性，有效防止外來偽造信息的攻擊。HMAC 算法的具體步驟如圖2 所示。

圖2 網絡通信安全數據傳輸流程

步驟1：利用消息分塊，將任意長度的數據轉化為便于傳輸的信息塊，以此實現信息長度的調節。獲取經處理后的消息塊，將其劃分為字節更小的消息組。在分析邏輯函數過程中，將消息組變為更小字節的二進制序列，將Logistic 映射和Chebyshev 映射作為迭代函數，用于描述迭代算法中的更新過程，加大邏輯取值的靈活范圍。

迭代結果計算公式如下：

其中，t(v)為迭代初值；a表示數據初始值。

步驟2：利用上一步驟獲得的迭代初值和控制參數，使用邏輯處理器調節數據傳輸的迭代次數以及消息塊數目，最終獲得相應的十進制數。

監測參數表達式如下：

式中，m表示傳輸規律參數；f表示監測點與監測線的差值；L表示傳輸參數；C表示數據最大值。

步驟3：輸出經邏輯處理器迭代處理后的數據，截取其中的二進制數據，調節線性移位后的初始值，確保能令其參與下一次迭代。

步驟4：重復邏輯處理器中的迭代過程，獲取經過幾輪迭代后的消息塊，截取輸出數據中的二進制序列，計算二進制序列中的兩位十進制數，劃分不同的循環移位最終輸出兩組序列，即HMAC 算法的序列值，以此獲取消息塊實現網絡通信安全數據傳輸[16]。

3 實驗研究

為了驗證基于HMAC 算法的網絡通信安全數據傳輸系統的實際應用效果，選用傳統的基于數據加密的傳輸系統和基于遠程分析的傳輸系統與所設計系統進行實驗對比。

設定傳輸信道如圖3 所示。

圖3 傳輸信道

將ARM 作為實驗環境，以C 語言為開發語言，對三種傳輸系統進行實驗對比。將數據波動情況作為衡量傳輸過程數據穩定性的重要指標，具體比較結果如圖4 所示。

圖4 通信數據波動情況

三種方法的通信數據樣本傳輸情況如表1所示。

表1 通信數據樣本傳輸情況

穩定性等于成功傳輸過去的數據樣本數量與發送的數據樣本的比率，三種方法的傳輸穩定性對比結果如表2 所示。

表2 傳輸穩定性對比結果

根據圖4 和表2 可知，基于HMAC 算法的網絡通信安全數據傳輸系統的傳輸穩定性在99%以上，傳輸質量較高。該系統的加密模塊、解密模塊、身份認證模塊、邏輯發生器具有獨立的、完整的功能，提高系統的數據傳輸效率。

同時選用提出的傳輸系統與傳統傳輸系統進行實驗對比，設定三次故障侵襲，故障狀態下傳輸效果如表3 所示。

表3 故障狀態下傳輸效果

根據表3 可知，在不同故障狀態下，所設計的系統能夠保證正常通信，具有極好的通信質量，可以實現數據包的順利傳輸。

4 結束語

利用HMAC 算法設計網絡通信安全數據傳輸系統，以期進一步加強信息傳輸的安全性。實驗結果表明，該系統在實際應用中效果良好，但依舊存在一些不足之處，主要表現在傳統傳輸方式的基礎上加入了臨時密鑰ID 與管理密鑰ID 等，對工作人員的能力要求較高，未來將進一步加強這一方面的研究。