1、.NET中加密和解密的實現方法 2003-04-22· ·陶剛編譯··YESKY 1 2 3 下一頁.NET將原來獨立的API和SDK合并到一個框架中，這對于程序開發人員非常有利。它將CryptoAPI改編進.NET的System.Security.Cryptography名字空間，使密碼服務擺脫了SDK平臺的神秘性，變成了簡單的.NET名字空間的使用。由于隨著整個框架組件一起共享，密碼服務更容易實現了，現在僅僅需要學習System.Security.Cryptography名字空間的功能和用于解決特定方案的類。加密和解密的算法System.Securi

2、ty.Cryptography名字空間包含了實現安全方案的類，例如加密和解密數據、管理密鑰、驗證數據的完整性并確保數據沒有被篡改等等。本文重點討論加密和解密。加密和解密的算法分為對稱（symmetric）算法和不對稱（asymmetric）算法。對稱算法在加密和解密數據時使用相同的密鑰和初始化矢量，典型的有DES、 TripleDES和Rijndael算法，它適用于不需要傳遞密鑰的情況，主要用于本地文檔或數據的加密。不對稱算法有兩個不同的密鑰，分別是公共密鑰和私有密鑰，公共密鑰在網絡中傳遞，用于加密數據，而私有密鑰用于解密數據。不對稱算法主要有RSA、DSA等，主要用于網絡數據的加密。加密和解

3、密本地文檔下面的例子是加密和解密本地文本，使用的是Rijndael對稱算法。對稱算法在數據流通過時對它進行加密。因此首先需要建立一個正常的流（例如I/O流）。文章使用FileStream類將文本文件讀入字節數組，也使用該類作為輸出機制。接下來定義相應的對象變量。在定義SymmetricAlgorithm抽象類的對象變量時我們可以指定任何一種對稱加密算法提供程序。代碼使用的是Rijndael算法，但是很容易改為DES或者TripleDES算法。.NET使用強大的隨機密鑰設置了提供程序的實例，選擇自己的密鑰是比較危險的，接受計算機產生的密鑰是一個更好的選擇，文中的代碼使用的是計算機產生的密鑰。下一

4、步，算法實例提供了一個對象來執行實際數據傳輸。每種算法都有CreateEncryptor和CreateDecryptor兩個方法，它們返回實現ICryptoTransform接口的對象。最后，現在使用BinaryReader的ReadBytes方法讀取源文件，它會返回一個字節數組。BinaryReader讀取源文件的輸入流，在作為CryptoStream.Write方法的參數時調用ReadBytes方法。指定的CryptoStream實例被告知它應該操作的下層流，該對象將執行數據傳遞，無論流的目的是讀或者寫。下面是加密和解密一個文本文件的源程序片斷：namespace com.billdaws

5、on.cryptoclass TextFileCryptpublic static void Main(string args)string file = args0;string tempfile = Path.GetTempFileName();/打開指定的文件FileStream fsIn = File.Open(file,FileMode.Open,FileAccess.Read);FileStream fsOut = File.Open(tempfile, FileMode.Open,FileAccess.Write);/定義對稱算法對象實例和接口SymmetricAlgorithm

6、 symm = new RijndaelManaged();ICryptoTransform transform = symm.CreateEncryptor();CryptoStream cstream = new CryptoStream(fsOut,transform,ryptoStreamMode.Write);BinaryReader br = new BinaryReader(fsIn);/ 讀取源文件到cryptostream cstream.Write(br.ReadBytes(int)fsIn.Length),0,(int)fsIn.Length);cstream.Flush

7、FinalBlock();cstream.Close();fsIn.Close();fsOut.Close();Console.WriteLine("created encrypted file 0", tempfile);Console.WriteLine("will now decrypt and show contents");/ 反向操作-解密剛才加密的臨時文件fsIn = File.Open(tempfile,FileMode.Open,FileAccess.Read);transform = symm.CreateDecryptor();cs

8、tream = new CryptoStream(fsIn,transform,CryptoStreamMode.Read);StreamReader sr = new StreamReader(cstream);Console.WriteLine("decrypted file text: " + sr.ReadToEnd();fsIn.Close(); 加密網絡數據如果我有一個只想自己看到的文檔，我不會簡單的通過e-mail發送給你。我將使用對稱算法加密它；如果有人截取了它，他們也不能閱讀該文檔，因為他們沒有用于加密的唯一密鑰。但是你也沒有密鑰。我需要使用某種方式將密鑰

9、給你，這樣你才能解密文檔，但是不能冒密鑰和文檔被截取的風險。非對稱算法就是一種解決方案。這類算法使用的兩個密鑰有如下關系：使用公共密鑰加密的信息只能被相應的私有密鑰解密。因此，我首要求你給我發送你的公共密鑰。在發送給我的途中可能有人會截取它，但是沒有關系，因為他們只能使用該密鑰給你的信息加密。我使用你的公共密鑰加密文檔并發送給你。你使用私有密鑰解密該文檔，這是唯一可以解密的密鑰，并且沒有通過網絡傳遞。不對稱算法比對稱算法計算的花費多、速度慢。因此我們不希望在線對話中使用不對稱算法加密所有信息。相反，我們使用對稱算法。下面的例子中我們使用不對稱加密來加密對稱密鑰。接著就使用對稱算法加密了。實際上

10、安全接口層（SSL）建立服務器和瀏覽器之間的安全對話使用的就是這種工作方式。示例是一個TCP程序，分為服務器端和客戶端。服務器端的工作流程是： 從客戶端接收公共密鑰。 使用公共密鑰加密未來使用的對稱密鑰。 將加密了的對稱密鑰發送給客戶端。 給客戶端發送使用該對稱密鑰加密的信息。代碼如下：namespace com.billdawson.cryptopublic class CryptoServerprivate const int RSA_KEY_SIZE_BITS = 1024;private const int RSA_KEY_SIZE_BYTES = 252;private const

11、int TDES_KEY_SIZE_BITS = 192;public static void Main(string args)int port;string msg;TcpListener listener;TcpClient client;SymmetricAlgorithm symm;RSACryptoServiceProvider rsa;/獲取端口tryport = Int32.Parse(args0);msg = args1;catchConsole.WriteLine(USAGE);return;/建立監聽trylistener = new TcpListener(port);

12、listener.Start();Console.WriteLine("Listening on port 0.",port);client = listener.AcceptTcpClient();Console.WriteLine("connection.");catch (Exception e)Console.WriteLine(e.Message);Console.WriteLine(e.StackTrace);return;try rsa = new RSACryptoServiceProvider();rsa.KeySize = RSA_K

13、EY_SIZE_BITS;/ 獲取客戶端公共密鑰rsa.ImportParameters(getClientPublicKey(client);symm = new TripleDESCryptoServiceProvider();symm.KeySize = TDES_KEY_SIZE_BITS;/使用客戶端的公共密鑰加密對稱密鑰并發送給客。encryptAndSendSymmetricKey(client, rsa, symm);/使用對稱密鑰加密信息并發送encryptAndSendSecretMessage(client, symm, msg);catch (Exception e)C

14、onsole.WriteLine(e.Message);Console.WriteLine(e.StackTrace);finallytryclient.Close();listener.Stop();catch/錯誤Console.WriteLine("Server exiting.");private static RSAParameters getClientPublicKey(TcpClient client)/ 從字節流獲取串行化的公共密鑰，通過串并轉換寫入類的實例byte buffer = new byteRSA_KEY_SIZE_BYTES;NetworkSt

15、ream ns = client.GetStream();MemoryStream ms = new MemoryStream();BinaryFormatter bf = new BinaryFormatter();RSAParameters result;int len = 0;int totalLen = 0;while(totalLen (len = ns.Read(buffer,0,buffer.Length)>0)totalLen+=len;ms.Write(buffer, 0, len);ms.Position=0; result = (RSAParameters)bf.D

16、eserialize(ms);ms.Close();return result;private static void encryptAndSendSymmetricKey(TcpClient client,RSACryptoServiceProvider rsa,SymmetricAlgorithm symm)/ 使用客戶端的公共密鑰加密對稱密鑰byte symKeyEncrypted;byte symIVEncrypted;NetworkStream ns = client.GetStream();symKeyEncrypted = rsa.Encrypt(symm.Key, false)

17、;symIVEncrypted = rsa.Encrypt(symm.IV, false);ns.Write(symKeyEncrypted, 0, symKeyEncrypted.Length);ns.Write(symIVEncrypted, 0, symIVEncrypted.Length); private static void encryptAndSendSecretMessage(TcpClient client,SymmetricAlgorithm symm,string secretMsg)/ 使用對稱密鑰和初始化矢量加密信息并發送給客戶端byte msgAsBytes;Ne

18、tworkStream ns = client.GetStream();ICryptoTransform transform =symm.CreateEncryptor(symm.Key,symm.IV);CryptoStream cstream =new CryptoStream(ns, transform, CryptoStreamMode.Write);msgAsBytes = Encoding.ASCII.GetBytes(secretMsg);cstream.Write(msgAsBytes, 0, msgAsBytes.Length);cstream.FlushFinalBlock

19、(); 客戶端的工作流程是： 建立和發送公共密鑰給服務器。 從服務器接收被加密的對稱密鑰。 解密該對稱密鑰并將它作為私有的不對稱密鑰。 接收并使用不對稱密鑰解密信息。代碼如下：namespace com.billdawson.cryptopublic class CryptoClient private const int RSA_KEY_SIZE_BITS = 1024;private const int RSA_KEY_SIZE_BYTES = 252;private const int TDES_KEY_SIZE_BITS = 192;private const int TDES_KEY

20、_SIZE_BYTES = 128;private const int TDES_IV_SIZE_BYTES = 128;public static void Main(string args)int port;string host;TcpClient client;SymmetricAlgorithm symm;RSACryptoServiceProvider rsa;if (args.Length!=2)Console.WriteLine(USAGE);return;tryhost = args0;port = Int32.Parse(args1); catchConsole.Write

21、Line(USAGE);return;try /連接client = new TcpClient();client.Connect(host,port);catch(Exception e)Console.WriteLine(e.Message);Console.Write(e.StackTrace);return;tryConsole.WriteLine("Connected. Sending public key.");rsa = new RSACryptoServiceProvider();rsa.KeySize = RSA_KEY_SIZE_BITS;sendPub

22、licKey(rsa.ExportParameters(false),client);symm = new TripleDESCryptoServiceProvider();symm.KeySize = TDES_KEY_SIZE_BITS;MemoryStream ms = getRestOfMessage(client);extractSymmetricKeyInfo(rsa, symm, ms);showSecretMessage(symm, ms);catch(Exception e)Console.WriteLine(e.Message);Console.Write(e.StackT

23、race);finallytryclient.Close();catch /錯誤private static void sendPublicKey(RSAParameters key,TcpClient client)NetworkStream ns = client.GetStream();BinaryFormatter bf = new BinaryFormatter();bf.Serialize(ns,key);private static MemoryStream getRestOfMessage(TcpClient client)/獲取加密的對稱密鑰、初始化矢量、秘密信息。對稱密鑰用

24、公共RSA密鑰/加密，秘密信息用對稱密鑰加密MemoryStream ms = new MemoryStream(); NetworkStream ns = client.GetStream();byte buffer = new byte1024;int len=0;/ 將NetStream 的數據寫入內存流while(len = ns.Read(buffer, 0, buffer.Length)>0)ms.Write(buffer, 0, len);ms.Position = 0;return ms;private static void extractSymmetricKeyInf

25、o(RSACryptoServiceProvider rsa,SymmetricAlgorithm symm,MemoryStream msOrig) MemoryStream ms = new MemoryStream();/ 獲取TDES密鑰-它被公共RSA密鑰加密，使用私有密鑰解密byte buffer = new byteTDES_KEY_SIZE_BYTES;msOrig.Read(buffer,0,buffer.Length);symm.Key = rsa.Decrypt(buffer,false);/ 獲取TDES初始化矢量buffer = new byteTDES_IV_SIZE_BYTES;msOrig.Read(buffer, 0, buffer.Length);symm.IV = rsa.Decrypt(buffer,false);private static void showSecretMe