NET将原来独立的API和SDK合并到一个框架中这对于程序开发人员非常有利它将CryptoAPI改编进NET的SystemSecurityCryptography名字空间使密码服务摆脱了SDK平台的神秘性变成了简单的NET名字空间的使用由于随着整个框架组件一起共享密码服务更容易实现了现在仅仅需要学习SystemSecurityCryptography名字空间的功能和用于解决特定方案的类
加密和解密的算法
SystemSecurityCryptography名字空间包含了实现安全方案的类例如加密和解密数据管理密钥验证数据的完整性并确保数据没有被篡改等等本文重点讨论加密和解密
加密和解密的算法分为对称(symmetric)算法和不对称(asymmetric)算法对称算法在加密和解密数据时使用相同的密钥和初始化矢量典型的有DES TripleDES和Rijndael算法它适用于不需要传递密钥的情况主要用于本地文档或数据的加密不对称算法有两个不同的密钥分别是公共密钥和私有密钥公共密钥在网络中传递用于加密数据而私有密钥用于解密数据不对称算法主要有RSADSA等主要用于网络数据的加密
加密和解密本地文档
下面的例子是加密和解密本地文本使用的是Rijndael对称算法
对称算法在数据流通过时对它进行加密因此首先需要建立一个正常的流(例如I/O流)文章使用FileStream类将文本文件读入字节数组也使用该类作为输出机制
接下来定义相应的对象变量在定义SymmetricAlgorithm抽象类的对象变量时我们可以指定任何一种对称加密算法提供程序代码使用的是Rijndael算法但是很容易改为DES或者TripleDES算法NET使用强大的随机密钥设置了提供程序的实例选择自己的密钥是比较危险的接受计算机产生的密钥是一个更好的选择文中的代码使用的是计算机产生的密钥
下一步算法实例提供了一个对象来执行实际数据传输每种算法都有CreateEncryptor和CreateDecryptor两个方法它们返回实现ICryptoTransform接口的对象
最后现在使用BinaryReader的ReadBytes方法读取源文件它会返回一个字节数组BinaryReader读取源文件的输入流在作为CryptoStreamWrite方法的参数时调用ReadBytes方法指定的CryptoStream实例被告知它应该操作的下层流该对象将执行数据传递无论流的目的是读或者写
下面是加密和解密一个文本文件的源程序片断
namespace combilldawsoncrypto{class TextFileCrypt{public static void Main(string[] args){string file = args[];string tempfile = PathGetTempFileName();//打开指定的文件FileStream fsIn = FileOpen(fileFileModeOpenFileAccessRead);FileStream fsOut = FileOpen(tempfile FileModeOpenFileAccessWrite);//定义对称算法对象实例和接口SymmetricAlgorithm symm = new RijndaelManaged();ICryptoTransform transform = symmCreateEncryptor();CryptoStream cstream = new CryptoStream(fsOuttransformryptoStreamModeWrite);BinaryReader br = new BinaryReader(fsIn);// 读取源文件到cryptostream cstreamWrite(brReadBytes((int)fsInLength)(int)fsInLength);cstreamFlushFinalBlock();cstreamClose();fsInClose();fsOutClose();ConsoleWriteLine(created encrypted file {} tempfile);ConsoleWriteLine(will now decrypt and show contents);// 反向操作解密刚才加密的临时文件fsIn = FileOpen(tempfileFileModeOpenFileAccessRead);transform = symmCreateDecryptor();cstream = new CryptoStream(fsIntransformCryptoStreamModeRead);StreamReader sr = new StreamReader(cstream);ConsoleWriteLine(decrypted file text: + srReadToEnd());fsInClose();}}}
加密网络数据
如果我有一个只想自己看到的文档我不会简单的通过email发送给你我将使用对称算法加密它如果有人截取了它他们也不能阅读该文档因为他们没有用于加密的唯一密钥但是你也没有密钥我需要使用某种方式将密钥给你这样你才能解密文档但是不能冒密钥和文档被截取的风险
非对称算法就是一种解决方案这类算法使用的两个密钥有如下关系使用公共密钥加密的信息只能被相应的私有密钥解密因此我首要求你给我发送你的公共密钥在发送给我的途中可能有人会截取它但是没有关系因为他们只能使用该密钥给你的信息加密我使用你的公共密钥加密文档并发送给你你使用私有密钥解密该文档这是唯一可以解密的密钥并且没有通过网络传递
不对称算法比对称算法计算的花费多速度慢因此我们不希望在线对话中使用不对称算法加密所有信息相反我们使用对称算法下面的例子中我们使用不对称加密来加密对称密钥接着就使用对称算法加密了实际上安全接口层(SSL)建立服务器和浏览器之间的安全对话使用的就是这种工作方式
示例是一个TCP程序分为服务器端和客户端服务器端的工作流程是
从客户端接收公共密钥
使用公共密钥加密未来使用的对称密钥
将加密了的对称密钥发送给客户端
给客户端发送使用该对称密钥加密的信息
代码如下
namespace combilldawsoncrypto{public class CryptoServer{private const int RSA_KEY_SIZE_BITS = ;private const int RSA_KEY_SIZE_BYTES = ;private const int TDES_KEY_SIZE_BITS = ;public static void Main(string[] args){int port;string msg;TcpListener listener;TcpClient client;SymmetricAlgorithm symm;RSACryptoServiceProvider rsa;//获取端口try{port = IntParse(args[]);msg = args[];}catch{ConsoleWriteLine(USAGE);return;}//建立监听try{listener = new TcpListener(port);listenerStart();ConsoleWriteLine(Listening on port {}port);client = listenerAcceptTcpClient();ConsoleWriteLine(connection);}catch (Exception e){ConsoleWriteLine(eMessage);ConsoleWriteLine(eStackTrace);return;}try{ rsa = new RSACryptoServiceProvider();rsaKeySize = RSA_KEY_SIZE_BITS;// 获取客户端公共密钥rsaImportParameters(getClientPublicKey(client));symm = new TripleDESCryptoServiceProvider();symmKeySize = TDES_KEY_SIZE_BITS;//使用客户端的公共密钥加密对称密钥并发送给客encryptAndSendSymmetricKey(client rsa symm);//使用对称密钥加密信息并发送encryptAndSendSecretMessage(client symm msg);}catch (Exception e){ConsoleWriteLine(eMessage);ConsoleWriteLine(eStackTrace);}finally{try{clientClose();listenerStop();}catch{//错误}ConsoleWriteLine(Server exiting);}}private static RSAParameters getClientPublicKey(TcpClient client){// 从字节流获取串行化的公共密钥通过串并转换写入类的实例byte[] buffer = new byte[RSA_KEY_SIZE_BYTES];NetworkStream ns = clientGetStream();MemoryStream ms = new MemoryStream();BinaryFormatter bf = new BinaryFormatter();RSAParameters result;int len = ;int totalLen = ;while(totalLen (len = nsRead(bufferbufferLength))>){totalLen+=len;msWrite(buffer len);}msPosition=; result = (RSAParameters)bfDeserialize(ms);msClose();return result;}private static void encryptAndSendSymmetricKey(TcpClient clientRSACryptoServiceProvider rsaSymmetricAlgorithm symm){// 使用客户端的公共密钥加密对称密钥byte[] symKeyEncrypted;byte[] symIVEncrypted;NetworkStream ns = clientGetStream();symKeyEncrypted = rsaEncrypt(symmKey false);symIVEncrypted = rsaEncrypt(symmIV false);nsWrite(symKeyEncrypted symKeyEncryptedLength);nsWrite(symIVEncrypted symIVEncryptedLength); }private static void encryptAndSendSecretMessage(TcpClient clientSymmetricAlgorithm symmstring secretMsg){// 使用对称密钥和初始化矢量加密信息并发送给客户端byte[] msgAsBytes;NetworkStream ns = clientGetStream();ICryptoTransform transform =symmCreateEncryptor(symmKeysymmIV);CryptoStream cstream =new CryptoStream(ns transform CryptoStreamModeWrite);msgAsBytes = EncodingASCIIGetBytes(secretMsg);cstreamWrite(msgAsBytes msgAsBytesLength);cstreamFlushFinalBlock(); } }
客户端的工作流程是
建立和发送公共密钥给服务器
从服务器接收被加密的对称密钥
解密该对称密钥并将它作为私有的不对称密钥
接收并使用不对称密钥解密信息
代码如下
namespace combilldawsoncrypto{public class CryptoClient {private const int RSA_KEY_SIZE_BITS = ;private const int RSA_KEY_SIZE_BYTES = ;private const int TDES_KEY_SIZE_BITS = ;private const int TDES_KEY_SIZE_BYTES = ;private const int TDES_IV_SIZE_BYTES = ;public static void Main(string[] args){int port;string host;TcpClient client;SymmetricAlgorithm symm;RSACryptoServiceProvider rsa;if (argsLength!=){ConsoleWriteLine(USAGE);return;}try{host = args[];port = IntParse(args[]); }catch{ConsoleWriteLine(USAGE);return;}try //连接{client = new TcpClient();clientConnect(hostport);}catch(Exception e){ConsoleWriteLine(eMessage);ConsoleWrite(eStackTrace);return;}try{ConsoleWriteLine(Connected Sending public key);rsa = new RSACryptoServiceProvider();rsaKeySize = RSA_KEY_SIZE_BITS;sendPublicKey(rsaExportParameters(false)client);symm = new TripleDESCryptoServiceProvider();symmKeySize = TDES_KEY_SIZE_BITS;MemoryStream ms = getRestOfMessage(client);extractSymmetricKeyInfo(rsa symm ms);showSecretMessage(symm ms);}catch(Exception e){ConsoleWriteLine(eMessage);ConsoleWrite(eStackTrace);}finally{try{clientClose();}catch { //错误}}}private static void sendPublicKey(RSAParameters keyTcpClient client){NetworkStream ns = clientGetStream();BinaryFormatter bf = new BinaryFormatter();bfSerialize(nskey);}private static MemoryStream getRestOfMessage(TcpClient client){//获取加密的对称密钥初始化矢量秘密信息对称密钥用公共RSA密钥//加密秘密信息用对称密钥加密MemoryStream ms = new MemoryStream(); NetworkStream ns = clientGetStream();byte[] buffer = new byte[];int len=;// 将NetStream 的数据写入内存流while((len = nsRead(buffer bufferLength))>){msWrite(buffer len);}msPosition = ;return ms;}private static void extractSymmetricKeyInfo(RSACryptoServiceProvider rsaSymmetricAlgorithm symmMemoryStream msOrig) {MemoryStream ms = new MemoryStream();// 获取TDES密钥它被公共RSA密钥加密使用私有密钥解密byte[] buffer = new byte[TDES_KEY_SIZE_BYTES];msOrigRead(bufferbufferLength);symmKey = rsaDecrypt(bufferfalse);// 获取TDES初始化矢量buffer = new byte[TDES_IV_SIZE_BYTES];msOrigRead(buffer bufferLength);symmIV = rsaDecrypt(bufferfalse);}private static void showSecretMessage(SymmetricAlgorithm symmMemoryStream msOrig){//内存流中的所有数据都被加密了byte[] buffer = new byte[];int len = msOrigRead(bufferbufferLength);MemoryStream ms = new MemoryStream();ICryptoTransform transform =symmCreateDecryptor(symmKeysymmIV);CryptoStream cstream =new CryptoStream(ms transform CryptoStreamModeWrite);cstreamWrite(buffer len);cstreamFlushFinalBlock();// 内存流现在是解密信息是字节的形式将它转换为字符串msPosition = ;len = msRead(buffer(int) msLength);msClose();string msg = EncodingASCIIGetString(bufferlen);ConsoleWriteLine(The host sent me this secret message:);ConsoleWriteLine(msg); } } }
结论使用对称算法加密本地数据时比较适合在保持代码通用时我们可以选择多种算法当数据通过特定的CryptoStream时算法使用转换对象加密该数据需要将数据通过网络发送时首先使用接收的公共不对称密钥加密对称密钥
