前言
由于客戶網絡安全限制,連接到互聯網的設備不能訪問內網。
需要先從客戶端應用中導出數據到文件,再將文件復制到U盤,最后通過內網機器上傳數據。
如何保證,在復制、傳輸過程中,文件的安全性?
思路
首先想到的是對文件進行加密。但是文件本身可能非常大,因此只能采取對稱加密(AES)。
如果將對稱加密的密鑰存儲在客戶端的應用里,可能導致密鑰泄露。
最好是每次加密都使用不同的AES密鑰。
現在的關鍵是,如何將這個隨機AES密鑰傳輸給解密方?
根據我們在《請收藏!這可能是目前最安全的數據加密傳輸解決方案》中的思路,我們可以采用RSA公鑰加密AES密鑰,并將其作為文件的一部分發給解密方。
加密文件將由以下幾個部分組成:
- 256字節RSA加密后的AES密鑰
- 16字節初始化向量
- AES加密的文件數據
解密方首先讀取并使用RSA私鑰解密出AES密鑰,再用AES密鑰解密出實際的文件數據。
實現
理清了思路,讓我們來看一下實現。
首先是加密代碼:
(byte[] aesKey, byte[] aesIV) = AesHelper.Create();
using (var origFileStream = File.OpenRead("原始文件"))
{
using (var encryptFileStream = File.Create("加密文件"))
{
await encryptFileStream.WriteAsync(RSAHelper.Encrypt(aesKey));
await encryptFileStream.WriteAsync(aesIV);
using (var cryptoStream = AesHelper.CreateWriteStream(encryptFileStream, aesKey, aesIV))
{
await origFileStream.CopyToAsync(cryptoStream);
}
}
}
然后是解密代碼:
using (var decryptFileStream = File.OpenRead("解密文件"))
{
using (var encryptFileStream = File.OpenRead("加密文件"))
{
var aesKeyData = new byte[256];
await encryptFileStream.ReadAsync(aesKeyData, 0, aesKeyData.Length);
var aesKey = RSAHelper.Decrypt(aesKeyData);
var aesIVData = new byte[16];
await encryptFileStream.ReadAsync(aesIVData, 0, aesIVData.Length);
var aesIV = aesIVData;
using (var cryptoStream = AesHelper.CreateReadStream(encryptFileStream, aesKey, aesIV))
{
await cryptoStream.CopyToAsync(decryptFileStream);
}
}
}
結論
通過使用RSA+AES,同時保證了密鑰和數據的安全性。
如果你也碰到了類似需求,不妨試試本文的實現方案。
