李勇，杨华芬

（曲靖师范学院信息工程学院，云南　655011）

一种混合数据加密方法的应用研究

李勇，杨华芬

（曲靖师范学院信息工程学院，云南655011）

对于局域网内的数据传输，传统的DES、RSA加密算法在安全性和加密效率上都有所不足。提出一种基于3DES-DH混合的数据加密方法，旨在增强数据传输的安全性，同时尽量减少数据加解密带来的时间开销对传输效率的影响。为证明该方法的有效性，设计局域网数据传输的应用环境，实验测试与分析证明，该方法是一种有效可行的局域网数据传输加密方案。

数据加密；3DES算法；DH算法；局域网

云南省自然科学基金（No.2013FZ114）

0　引言

二十一世纪是信息化的时代，以计算机网络和通信技术为基础发展起来的局域网技术，在企业内部、部门员工内部之间传递数据的应用越来越广泛，它使人们在信息的获取、存储、传输和使用等方面与传统的方式有很大的不同，具有数字化、一体化、共享等明显的时代特性，且涉及的数据量大、通信频繁。局域网内所有用户同处一个网段、用户与用户之间可以相互访问，彼此之间传递的数据没有隔离和保护措施，数据很容易被共享和获取，数据的安全性得不到保证。因此,恰当有效的措施对于保障局域网内数据的通信来讲显得十分必要。数据加密技术是信息一种保障信息安全的有效措施，近年来被广泛应用在互联网信息安全保障的各个领域。传统的DES对称加密强度不高，不适于加密保密要求高的数据。RSA非对称加密速度慢，耗时长，不适于加密大数据的信息。因此，必须对传统的对称加密算法、非对称加密算法进行改，综合运用对称加密速度快、非对称加密保密性强度高的优良特性来提出新的加密算法，使其既能快速完成数据加解密的过程，同时又能保证数据加密的安全性强度要求。近年来，国内众多学者和密码学专家对数据学的应用进行了深入的研究和改进。榆林学院的袁飞云、西北工业大学的刘浩、夏国清运用密码理论提出了密钥管理体制，设计了一套综合性的数字校园信息安全方案对校园敏感信息进行了加密保护，保证了数据在传输和存储中的安全[1]。南京航空航天大学的周明星等人则结合椭圆曲线上的Tate配对和混合加密体制，提出了一种新的签名加密算法，这种新的签名加密算法集密钥交换、数字签名和数据加密解密功能于一体，解决了复杂的密钥管理问题，加快了加密解密的速度，能有效地抵抗生日攻击和重发密文攻击，可以很好地适用于电子商务、银行系统领域的应用[2]。阜阳师范学院的王茂华、郝云力、褚亚伟提出了一种具有隐私保护功能的数据加密算法，该算法的基本思想是将数字与操作符转化为特殊的加密关键字，再将关键字输入到布隆过滤器进行命中判定，实现数据间比较保护数据，最后通过实验证明了该方法的高数据保密性和加密解密快的特性[3]。解放军72850部队的董军利等人充分利用AES的高速安全与RSA的安全密钥分发体制提出了一种基于AESRSA混合加密策略的硬盘分区加密技术，该方法采用驱动层加密，同时设计简易的数字证书和密钥生成模块来解决用户与密钥一一配对的问题，既提高了数据加密的速度，又增强了系统的安全性[4]。除此之外，浙江大学的杨德山[5]、陕西师范大学的李顺东[6]、山东省经济管理干部学院的石井[7]、河北工程技术高等专科学校的李爱宁[8]、广东石油化工学院的项顺伯[9]、北京化工大学的巫钟兴[10]等人都先后从不同角度对传统数据加密算法进行了改进和应用研究，并且取得了丰硕的研究成果。

本文在研究传统数据加密方法的基础上，提出一种混合数据加密方法应用于局域网内部数据传输，该方法既不影响局域网本身的通信特性，同时又可以保证数据的安全可靠、高效传输。

1　数据加密理论

数据加密是一种保障信息安全的重要措施之一，它的主要工作原理是通过一定的数学变换，把明文数据变换成密文数据，然后将密文数据通过通信传输系统发送给数据的接收方，接收方再使用相同的技术采用与加密方相反的逆变换，把密文数据解密还原成明文数据，从而降低明文数据直接在通信传输系统中直接传输被窃取、追踪的风险性。这种数学变换关系可以表示成一个五元组（P，C，K，E，D），分别用数学公式（1）、（2）来描述[11]。

EK（P）=C（1）

DK（C）=P（2）

其中，明文用P表示；密文用C表示；密钥用K表示；加密算法用E表示；解密算法用D表示。

按照密钥K是否相同，数据加密算法可分为对称加密算法和非对称加密两种。对称加密算法以DES[12]算法为代表，优点是简单易实现、加解密运算速度快；缺点是数据加密的安全性完全依赖于密钥的强度，并且每一对通信用户使用一个密钥进行数据的加解密，N个用户就需要使用N（N－1）/2个不同的密钥，当N的数量特别大时，管理密钥需要花费大量时间、十分不方便。因此，类似于DES的对称加密算法虽然可以加密传输局域网用户之间的大量数据，但是加密的强度和安全性不够。

非对称加密算法又称公钥密钥算法，以RSA[12]为代表，优点是加密安全性高、密钥管理方便，缺点是加解密速度慢、不适合局域网内大数据量传输之间的加密。

因此，研究一种既可以保证局域网内用户之间快速传递大量数据，又可以保证数据加密的高安全性，同时也可以很方便地管理密钥的算法显得十分必要。

2　混合数据加密方法

鉴于传统的对称加密技术和非对称加密技术都各有优缺点，本文综合利用传统对称加密技术和非对加密技术的优点进行互相改进，提出一种新的基于3DES 与DH混合的数据加密方法（Hybrid Encryption Algorithm Based on 3DES and DH，简称3DES-DH），该方法的具体加密过程描述如图1所示。

图1　3DES-DH方法的加密过程

从上述加密过程来看，基于3DES-DH混合的方法相对传统加密方法来讲，主要进行了以下两点改进。

改进策略（1）：以3DES非对称加密技术对需要传输数据的内容进行加密，可以保证数据的加密速度，尽量少对数据传输效率的影响。

改进策略（2）：以DH对称加密算法对加密数据的密钥进行二级加密，可以很方便的管理数据加密的密钥，同时又可以提高整个数据加密系统的安全性。

3　混合数据加密方法的应用

3.1应用环境设计

局域网通信分两种模型，一种是企业内部部门与部门之间的通信，通信双方不经过Internet互连，而是通过企业内部的局域网直接互连，简称为局域网内部通信模型，如图2所示。

图2　局域网内部通信模型

另一种是企业局域网与企业局域网之间、或者企业内部分公司局域网与分公司局域网之间的通信，简称局域网间通信模型，如图3所示。

图3　局域网间通信模型

根据3DES-DH方法对数据的加密过程来分析，要将3DES-DH方法很好的应用于图2和图3所示的局域网通信环境，只需要在SSX31-B[9]加密卡上实现3DES-DH方法，然后将SSX31-B加密卡分别在图2所示的局域网内部通信模型的内部网关服务器和图3所示的局域网间通信模型的边界网关服务器上，由SSX31-B加密卡来对进出局域网的IP数据包进行过滤截获、加解密及数据转发处理，而不是将数据加密软件直接安装在数据的发送方法和接收方、由数据的收发双方一对一的单独负责数据的加解密处理，这种软硬件结合的方式安全性强又容易实现。

3.2应用测试与分析

在局域网通信系统中，数据传输效率的好坏可由数据传输所需要的总时间来衡量，而数据在局域网内加密传输所需的总时间等于以下五种时间之和，即：

总时间=发送时间+传播时间+处理时间+排队等候时间+加解密时间。

在相同的通信环境中，数据传输所需的发送时间、传播时间、处理时间、排队等候时间都是相同的，因此，为了尽量减少对数据传输效率的影响，应尽量减少数据的加解密时间。

为进一步验证DES、RSA、3DES-DH三种数据加密方法的加解密工作速率，在如图2和图3所示的局域网应用环境下，分别用DES、RSA、3DES-DH三种方法来加解密0.5G、1G、2G、5G、10G的数据量，并对加解密这五组数据所需要的平均时间进行多次实验测试，统计用这三种方法来分别加解密这五组数据所需平均时间如表1所示，所需平均时间比如图4所示。

表1　加解密所需平均时间比较（时间单位：s/秒）

图4　所需平均时间比

从表1和图4的结果来分析，随着加解密数据量的急剧增大，RSA算法加解密数据所需平均时间是3DES-DH混合方法的100倍以上，3DES-DH方法加解密数据的效率远优于RSA算法。而使用3DES-DH混合方法与使用DES方法加解密数据所需平均时间比逐渐等于1，这表明，虽然3DES是在DES的基础上经过3次轮变换改进而来，算法本身比DES复杂，加解密所需平均比DES要长，但是由于3DES-DH在3DES的基础上采了DH方法来分配和管理密钥，分配和管理密钥所需的时间比DES要短，这在一定程度上弥补了3DES需要3次轮变换增加的时间复杂度，因此，随着加解密数据量的急剧增大，3DES-DH与DES加解密数据所需平均时间逐渐趋于相等，3DES-DH方法加解密数据的速度近似等效于DES算法。

安全性测试方面，先分别用DES、RSA、3DES-DH三种方法来加解密100K大小的文本文件、数据、图片、多媒体视频四种类型的文件，然后在图2和图3所示的局域网应用环境下使用FTP协议来传输加密后的四类文件的密文信息，在传输过程中借助第三方数据抓包工具Sniffer来截取这种这四类密文数据包进行蛮力破解，蛮力破解数据包密文的工作采用因特尔i5处理器的台式电脑进行，最后在设定的10分钟时限内对其重复破解三次，结果如表2所示。

表2　被蛮力破解次数

从数据包密文被蛮力破解的次数来看，改进的3DES-DH数据加密方法对数据的保密性要高于DES、RSA算法。另外，从DES、RSA、3DES-DH这三种数据加密方法的实现原理上来分析，3DES-DH混合加密方法加密数据内容时采用的是3重DES方法，强度高于DES算法。而从密钥分配和管理的机制来看，3DES-DH混合加密方法采用DH算法来完成，DH算法的核心思想和RSA算法一样，都是基于大素数不可分解质因数的数学理论方法，但是3DES-DH混合加密方法相比RSA算法来讲多了一层3DES数据内容加密。因此，总的来讲，3DES-DH混合加密方法的安全性要优于DES 和RSA加密算法。

4　结语

局域网内传输的数据由于局域网本身的共享特性，很容易被追踪和窃取。为了提高局域网内数据传输的安全性，本文在研究传输DES、RSA数据加密算法的基础上，针对传统DES、RSA加密算法的不足之处，提出了一种基于3DES与DH混合的数据加密方法，用该方法来加密局域网内传输的数据，给出了加密过程的详细描述。最后,设计了局域网传输数据的通信应用环境，对3DES-DH混合加密方法对数据传输效率的影响进行了多实验测试，测试结果分析证明，3DES-DH方法对数据传输在时间方面的影响优于RSA算法、近似等效于DES算法，并且进一步分析表明，3DES-DH混合加密方法的安全性要优于DES和RSA加密算法。

[1]袁飞云，刘浩，夏清国.数字校园数据加密研究与实现[J].计算机应用与软件,2012,29（2）：155-158.

[2]周明星,周建江,杨小东等.一种基于AES_ECC和Tate配对的签名加密算法[J].计算机应用与软件,2008,25（3）：9-11.

[3]王茂华,郝云力，褚亚伟.具有隐私保护功能的数据加密算法[J].计算机工程与应用,2014,50（23）:87-90.

[4]董军利,宋福刚，管文强等.基于AES_RSA混合加密策略的硬盘分区加密技术[J].微电子学与计算机,2012,29（1）:135-137.

[5]杨德山,陆魁军.一种改进的RSA加密算法设计与实现[J].计算机应用与软件,2007（10）:189-191.

[6]李顺东,窦家维,王道顺.同态加密算法及其在云安全中的应用[J].计算机研究与发展,2015,52（6）:1378-1388.

[7]石井,吴哲,谭璐等.RSA数据加密算法的分析与改进[J].济南大学学报（自然科学版）,2013,27（3）:283-286.

[8]李爱宁,唐勇,孙晓辉等.基于Python语言的3DES算法优化[J].计算机系统应用,2011:20（8）:184-187.

[9]项顺伯.一种基于身份的DH密钥交换协议[J].广东石油化工学院学报,2011,21（6）:44-46.

[10]巫钟兴,李辉.一种数据加密传输方案的设计与实现[J].北京化工大学学报（自然科学版）,2011,38（2）:104-107.

[11]李苹,李勇.一种基于异或运算的混合加密算法[J].曲靖师范学院学报,2013,32（3）:39-42.

[12]（美）Richard Spillman.经典密码学与现代密码学[M].叶远健，曹英，张长富译.北京:清华大学出版社,2005.

Data Encryption;3DES Algorithm;DH Algorithm;Local Area Network

Research on the Application of a Hybrid Data Encryption Method

LI Yong，YANG Hua-feng

（School of Information Engineering,Qujing Normal University，Yunnan 655011）

For the data transmission in local area network,the traditional DES and RSA encryption algorithm are inadequate in security and efficiency.Presents a hybrid data encryption method based on the 3DES-DH,in order to enhance the security of data transmission and reduce the data encryption time cost and the effect of transmission efficiency.To demonstrate the effectiveness of the method,designs the application environment of the LAN data transmission.Test and analysis proves that this method is a feasible and effective LAN data transmission encryption scheme.

1007-1423（2016）32-0026-05

10.3969/j.issn.1007-1423.2016.32.006

李勇（1984－），男，江西分宜人，讲师，硕士，研究方向为计算机网络、算法设计与分析

杨华芬（1981－），女，硕士，副教授，研究方向为智能计算

2016-09-01

2016-10-20