网络传输中 XML 敏感信息的加密

核心提示：假设有如下场景：XML 文件需要在客户端和服务器端进行传输，文件的内容分为两类：敏感信息 ( 如密码，网络传输中 XML 敏感信息的加密，证书内容 ) 和普通信息，客户端和服务器端都可以独立获得应用程序的 USERID 和 PASSWORD，AES 算法的具体实现并不是本文的重点，互联网上已经存在了很多用各种语言实现的

假设有如下场景：XML 文件需要在客户端和服务器端进行传输，文件的内容分为两类：敏感信息 ( 如密码，证书内容 ) 和普通信息。客户端和服务器端都可以独立获得应用程序的 USERID 和 PASSWORD。传输方式不限 (SSL 通常建立在 TCP 之上 )。

AES 加密算法

数据的安全性跟一个好的密码算法是紧密相连的。一般的，加密算法有两种：对称加密算法和非对称加密算法。前者使用同一个密钥进行加解密，而后者则使用不同的加解密钥。根据我们的场景，客户端和服务器端都可以获得类似的信息，再通过计算可以得到相同的加密密钥，而无需通过不安全的网络进行直接传输，这样入侵者就无法直接利用网络监听来破获加密密钥，所以本文使用对称加密算法。

在过去的 20 多年中，国际上最常用的对称加密算法是数据加密标准 (data encryption standard,DES), 该算法已经被美国国家标准和技术协会 (NIST) 采用。但是，到 2001 年 4 月为止，DES 在许多应用领域中被认为是不安全的，因为它采用的密钥长度为 56 位，许多拥有中等计算资源的计算机就可以用穷尽法搜索出正确的密钥。因此，NIST 采用了另一种新的加密算法来代替 DES，该算法被称为高级加密标准 (advanced encryption standard,AES)。AES 一般具有 128 位的分组长度，密钥长度可分别为 128,192,256 位， 单就安全性而言，AES 的 128 位密钥比 DES 的 56 位密钥强 1021 倍还多。AES 是基于代替 - 置换网络设计的，不管用软 件还是硬件实现都非常高效。AES 算法的具体实现并不是本文的重点，互联网上已经存在了很多用各种语言实现的可用代码。 关于各种对称加密算法的比较分析可以参见参考文献中秦志光教授的《密码算法的现状和发展研究》。