艾爾肯·艾則孜

(烏魯木齊職業(yè)大學(xué)，新疆 烏魯木齊 830002)

0 引言

隨著計(jì)算機(jī)技術(shù)、信息通信技術(shù)、互聯(lián)網(wǎng)技術(shù)的發(fā)展及普及，辦公電子化、無(wú)紙化、網(wǎng)絡(luò)化趨勢(shì)進(jìn)一步加強(qiáng)，網(wǎng)絡(luò)信息安全問(wèn)題日益突出。一方面，從技術(shù)上，互聯(lián)網(wǎng)采用面向無(wú)連接的分組交換技術(shù)，提供“盡力而為”的數(shù)據(jù)傳送能力，QoS問(wèn)題、安全問(wèn)題一直是互聯(lián)網(wǎng)需要解決的主要問(wèn)題。另一方面，人為惡意破壞威脅網(wǎng)絡(luò)安全，特別是某些人員利用黑客技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞，包括對(duì)網(wǎng)站主頁(yè)面進(jìn)行修改;向系統(tǒng)服務(wù)器發(fā)送大量信息，使整個(gè)網(wǎng)絡(luò)陷于癱瘓;利用局域網(wǎng)郵件服務(wù)器轉(zhuǎn)發(fā)各種有害信息等。此外，在實(shí)際網(wǎng)絡(luò)信息管理過(guò)程中，人們往往更加重視網(wǎng)絡(luò)自身安全問(wèn)題，包括采用防火墻、系統(tǒng)防護(hù)軟件等，但對(duì)信息文件的惡意拷貝等通常較為忽視，相關(guān)的安全保護(hù)機(jī)制相對(duì)較少。針對(duì)以上情況，論文側(cè)重設(shè)計(jì)基于信息文件的通用加密算法，實(shí)現(xiàn)對(duì)單機(jī)、在線信息文件的加密及傳輸，具有較強(qiáng)的參考價(jià)值。

1 DES和RSA信息加密算法

DES(Data Encryption Standard)信息加密算法是應(yīng)用較為廣泛的一種算法，其基本思想是通過(guò)密鑰對(duì)文本進(jìn)行代替和移位技術(shù)，密鑰可以是任意的56位數(shù)。DES加密算法基于分級(jí)密碼結(jié)構(gòu)，每次加密64位明文分組，從加密算法的輸入端輸入后生成64位加密密文，DES加密密鑰的長(zhǎng)度通常為56位。DES加密算法明文處理基本步驟為:

第1步:利用初始置換IP，對(duì)64位明文分組進(jìn)行置換，經(jīng)過(guò)置換重組后形成經(jīng)過(guò)置換的輸入端。

第2步:生成加密明文和加密密鑰的函數(shù)，該函數(shù)需要對(duì)同一函數(shù)進(jìn)行16次的循環(huán)，由64位組成，該函數(shù)既包括替代函數(shù)又包括置換函數(shù)。

第3步:通過(guò)初始置換的逆置換，生成64位加密密文。56位密鑰的使用方式中密鑰首先通過(guò)一個(gè)置換函數(shù)，接著對(duì)于每一個(gè)循環(huán)都通過(guò)一個(gè)循環(huán)左移操作和一個(gè)置換操作的組合產(chǎn)生一個(gè)子密鑰Ki。對(duì)每個(gè)循環(huán)來(lái)說(shuō)，置換函數(shù)是相同的，但由于密鑰比特的重復(fù)移位，產(chǎn)生的子密鑰并不相同。

DES加密算法包括16個(gè)循環(huán)，每個(gè)循環(huán)過(guò)程具體如下:假定64位加密明文組，M=M1M2M3…M64。密鑰K 也為64位，K=K1K2K3…K64，其中K只有56位有效，其中8位可以用做奇偶檢驗(yàn)或者任意設(shè)置。Li－1和 Ri－1分別是第 i－1 次迭代結(jié)果的左右兩部分，其處理過(guò)程可以總結(jié)為下列公式:

RSA加密算法是目前應(yīng)用最廣泛的公開密鑰加密算法之一，其算法數(shù)學(xué)基礎(chǔ)是歐拉定理，其加密的過(guò)程可以概括為:

1)取兩個(gè)素?cái)?shù)p和q(p、q均要保密)，且素?cái)?shù)p和q要求足夠大，同時(shí)素?cái)?shù)p和q的長(zhǎng)度要求完全相同，以使加密算法具有最大的加密、解密安全可靠性，并計(jì)算n=p*q(n為公開值)。

2)選擇整數(shù) e，其中 gcd(φ(n)，e)=1;1 ＜e＜φ(n)，計(jì)算 d≡e－1modφ(n)。

3)生成公開密鑰為KU={e，n}，私有密鑰為KR={d，n}。

4)加密過(guò)程及解密過(guò)程:假定加密消息明文M，首先需要將其分成多個(gè)數(shù)據(jù)分組，該數(shù)據(jù)分組要求比n，并選取小于n的2的最大次冪，利用加密算法C=Me(mod n)，解密算法為M=Cd(mod n)。

相比DES加密算法，RSA公鑰加密算法在加密、解密過(guò)程中均需要進(jìn)行大量的數(shù)值計(jì)算，數(shù)值運(yùn)算時(shí)間進(jìn)一步加長(zhǎng)，算法的開銷也進(jìn)一步擴(kuò)大，進(jìn)而明顯限制了RSA公鑰加密算法的應(yīng)用領(lǐng)域和應(yīng)用范圍。RSA加密算法的算法完整性和安全性仍需進(jìn)一步完善和提高。

2 信息文件的數(shù)字簽名算法設(shè)計(jì)

結(jié)合DES算法、RSA算法對(duì)數(shù)字簽名方案進(jìn)行優(yōu)化，提出基于3DES的數(shù)字簽名方案，基本步驟為:

第1步:產(chǎn)生報(bào)文摘要，主要是通過(guò)HASH函數(shù)實(shí)現(xiàn);在此基礎(chǔ)上，對(duì)明文生成加密密文，主要是通過(guò)3DES加密算法加密實(shí)現(xiàn)。

第2步:通過(guò)RSA公鑰密碼，利用發(fā)送方用戶的私有密碼對(duì)報(bào)文摘要進(jìn)行加密，并利用3DES密鑰實(shí)現(xiàn)第2次加密。

第3步:用戶發(fā)送方將通過(guò)3DES加密算法加密后的加密密文、實(shí)現(xiàn)二次加密后的密文數(shù)據(jù)發(fā)送至用戶接收方，實(shí)現(xiàn)整個(gè)數(shù)字簽名過(guò)程。

基于3DES的數(shù)字簽名方案主要包括報(bào)文摘要的生成、加密明文、明文加密密鑰的傳輸及身份驗(yàn)證等3個(gè)主要環(huán)節(jié)，各環(huán)節(jié)具體設(shè)計(jì)如下:

1)報(bào)文摘要的生成。生成報(bào)文摘要的核心是構(gòu)造一個(gè)特殊單向函數(shù)，以計(jì)算明文消息所得到的值。為提高數(shù)字簽名方案的安全性，本方案引入3DES加密算法來(lái)構(gòu)建HASH加密單向函數(shù)，并利用該HASH加密單向函數(shù)來(lái)生成報(bào)文摘要，HASH加密單向函數(shù)設(shè)計(jì)如圖1所示。

圖1 HASH加密函數(shù)設(shè)計(jì)示意圖

通過(guò)圖1可以看出，HASH加密單向函數(shù)隨M的變化而劇烈波動(dòng)，且無(wú)法恢復(fù)，通過(guò)該HASH加密單向函數(shù)生成的報(bào)文摘要，可以較好地符合數(shù)字簽名的需要。

2)明文加密。利用3DES加密算法實(shí)現(xiàn)對(duì)明文M的加密，3DES加密算法以DES加密技術(shù)為基礎(chǔ)，對(duì)加密數(shù)據(jù)實(shí)現(xiàn)3次DES運(yùn)算，3DES加密算法密鑰是128位的，3DES加密算法采用2個(gè)不同的加密密鑰K1和K2，大大提高信息加密的安全性和抗攻擊性。同時(shí)，私有密碼實(shí)現(xiàn)加密的速度要比公鑰加密更快。3DES算法加密和解密過(guò)程如圖2、圖3所示。

圖2 3DES加密算法加密示意圖

圖3 3DES加密算法解密示意圖

3)通過(guò)RSA算法實(shí)現(xiàn)密鑰加密傳輸。為提供加密密鑰的安全傳輸問(wèn)題，采用RSA來(lái)實(shí)現(xiàn)3DES加密密鑰的傳輸，并利用發(fā)送方的RSA私鑰和接收方的RSA公鑰進(jìn)行對(duì)用戶發(fā)送方和用戶接收方身份的驗(yàn)證。通過(guò)RSA算法實(shí)現(xiàn)密鑰加密傳輸示意圖如圖4所示。

圖4 通過(guò)RSA算法實(shí)現(xiàn)密鑰加密傳輸

3 信息文件的加密/解密方案設(shè)計(jì)

在具體實(shí)現(xiàn)環(huán)節(jié)，主要是在優(yōu)化后加密算法基礎(chǔ)上，能夠較好地識(shí)別文件異常操作并進(jìn)行綁定，并識(shí)別信息文件的加密及解密，各功能實(shí)現(xiàn)如下:

3.1 文件異常操作識(shí)別與綁定

首先需要讀取系統(tǒng)目錄下的文件異常操作識(shí)別與綁定規(guī)則文件，主要是通過(guò)在文件結(jié)尾的最后一個(gè)字節(jié)存放的文件的長(zhǎng)度，防止文件異常操作或者被擅自改動(dòng)。文件異常操作識(shí)別與綁定規(guī)則加載實(shí)現(xiàn)流程如圖5所示。

對(duì)于系統(tǒng)讀寫文件的監(jiān)控、檢測(cè)主要通過(guò)文件監(jiān)視器進(jìn)行，檢測(cè)和識(shí)別系統(tǒng)頻繁、持續(xù)進(jìn)行讀寫操作的重點(diǎn)文件，并將這部分重點(diǎn)文件添加到規(guī)則文件之中，如果用戶對(duì)這些重點(diǎn)核心文件進(jìn)行異常操作，需要進(jìn)行信息安全驗(yàn)證。如果驗(yàn)證信息沒(méi)有通過(guò)，便進(jìn)行告誡提示，提示信息文件打開失敗。此外，由于操作系統(tǒng)會(huì)頻繁地讀寫各種文件，通用加密模塊效率將會(huì)降低，采用開頭字母路徑鏈接表的方式，建立地址索引表，以大大提高通用加密模塊實(shí)現(xiàn)效率。文件異常操作識(shí)別與綁定具體實(shí)現(xiàn)過(guò)程為:

圖5 文件異常操作識(shí)別與綁定規(guī)則加載實(shí)現(xiàn)流程

1)利用系統(tǒng)提供的系統(tǒng)函數(shù)注冊(cè)回調(diào)函數(shù)。

2)創(chuàng)建過(guò)濾設(shè)備對(duì)象，并將該過(guò)濾設(shè)備對(duì)象附加到卷或文件系統(tǒng)堆棧上，具體通過(guò)IoCreateDevice例程來(lái)實(shí)現(xiàn)。

3)判斷接收到的IRP是否需要發(fā)送，通過(guò)識(shí)別IRP中的Major Function Code代碼實(shí)現(xiàn)，判斷Major Function Code代碼是否為IRP_MJ_FILE_SYSTEM_CONTROL，當(dāng)系統(tǒng)發(fā)現(xiàn)新的存儲(chǔ)媒質(zhì)，便生成Volume文件系統(tǒng)，并執(zhí)行IRP發(fā)出動(dòng)作。

4)判斷存儲(chǔ)媒質(zhì)是否需要實(shí)現(xiàn)綁定，通過(guò)識(shí)別IRP中的Minor Function Code代碼實(shí)現(xiàn)，判斷Minor Function Code是否與IRP_MN_MOUNT相一致，如果保持一致，即可實(shí)現(xiàn)對(duì)存儲(chǔ)媒質(zhì)的綁定。

5)將過(guò)濾設(shè)備對(duì)象附加到目標(biāo)設(shè)備對(duì)象之上。

3.2 文件加密操作實(shí)現(xiàn)

文件加密操作功能實(shí)現(xiàn)首先要考慮現(xiàn)有Windows操作系統(tǒng)采用的緩存機(jī)制，判斷IRP標(biāo)志，當(dāng)符合加密條件時(shí)，即可實(shí)現(xiàn)加密操作。文件加密操作實(shí)現(xiàn)詳細(xì)過(guò)程如下:

1)判斷是否需要實(shí)行數(shù)據(jù)加密操作，通過(guò)判斷IRP－＞flags的標(biāo)志實(shí)現(xiàn)，具體判斷條件為是否含有 IRP_NOCACHE，IRP_PAGING_IO，如果判斷條件滿足，即需要執(zhí)行加密操作，并向存儲(chǔ)器上寫入數(shù)據(jù)。

2)具體執(zhí)行時(shí)，在已完成的例程中，調(diào)用加密算法對(duì)寫入數(shù)據(jù)實(shí)現(xiàn)加密，并以新建的內(nèi)存內(nèi)容，替換已經(jīng)保存的MdlAddress數(shù)據(jù)，該步驟與讀取數(shù)據(jù)解密過(guò)程基本相同。

3)加密操作執(zhí)行結(jié)束。

3.3 文件解密操作過(guò)程

文件解密操作過(guò)程是文件加密操作的逆過(guò)程，具體實(shí)現(xiàn)過(guò)程如下:

1)判斷是否對(duì)加密數(shù)據(jù)執(zhí)行解密操作，也是通過(guò)判斷IRP－＞flags標(biāo)志實(shí)現(xiàn)，具體看IRP－＞flags是否包括IRP_SYNCHRONOUS_PAGING_IO、IRP_NOCACHE或者 IRP_PAGING_IO，如果標(biāo)志判斷滿足條件，便執(zhí)行文件解密操作。

2)在具體執(zhí)行過(guò)程中，首先是新建保存IRP的MdlAddress的內(nèi)存，替換原來(lái)IRP內(nèi)存，并通過(guò)IOCallDriver完成例程，調(diào)用解密算法實(shí)現(xiàn)解密。

3)解密操作執(zhí)行結(jié)束。

4 結(jié)語(yǔ)

隨著信息安全問(wèn)題的凸顯和加劇，針對(duì)信息安全技術(shù)的研究得到加強(qiáng)。論文重點(diǎn)針對(duì)信息文件加密和傳送問(wèn)題，提出了基于3DES的數(shù)字簽名方案，該方案通過(guò)3DES加密算法對(duì)明文進(jìn)行加密，進(jìn)而生成加密密文，并利用3DES加密算法和HASH函數(shù)加密密文進(jìn)行二次加密，實(shí)現(xiàn)數(shù)字簽名過(guò)程。

［1］李響.RSA算法在教學(xué)管理數(shù)據(jù)庫(kù)加密中的應(yīng)用［J］.科學(xué)咨詢:決策管理，2010(5):34 －38.

［2］張潔，朱麗娟.DES加密算法分析與實(shí)現(xiàn)［J］.軟件導(dǎo)刊，2007(3):21－25.

［3］吳迪.一種改進(jìn)的RSA算法的研究［J］.科技信息，2010(26):16－18.

［4］石瑩瑩，李濤.RSA公開密鑰算法在 Visual C++下的實(shí)現(xiàn)［J］.計(jì)算機(jī)安全，2008(6):31 －34.

［5］劉冰.AES和RSA相結(jié)合的數(shù)據(jù)加密方案［J］.計(jì)算機(jī)安全，2006(6):26－28.