前言

由于客户网络安全限制，连接到互联网的设备不能访问内网。

需要先从客户端应用中导出数据到文件，再将文件复制到U盘，最后通过内网机器上传数据。

如何保证，在复制、传输过程中，文件的安全性？

思路

首先想到的是对文件进行加密。但是文件本身可能非常大，因此只能采取对称加密（AES）。

如果将对称加密的密钥存储在客户端的应用里，可能导致密钥泄露。

最好是每次加密都使用不同的AES密钥。

现在的关键是，如何将这个随机AES密钥传输给解密方？

根据我们在《请收藏！这可能是目前最安全的数据加密传输解决方案》中的思路，我们可以采用RSA公钥加密AES密钥，并将其作为文件的一部分发给解密方。

加密文件将由以下几个部分组成：

• 256字节RSA加密后的AES密钥
• 16字节初始化向量
• AES加密的文件数据

解密方首先读取并使用RSA私钥解密出AES密钥，再用AES密钥解密出实际的文件数据。

实现

理清了思路，让我们来看一下实现。

首先是加密代码：

(byte[]aesKey,byte[]aesIV)=AesHelper.Create();
using(varorigFileStream=File.OpenRead("原始文件"))
{
using(varencryptFileStream=File.Create("加密文件"))
{
awaitencryptFileStream.WriteAsync(RSAHelper.Encrypt(aesKey));
awaitencryptFileStream.WriteAsync(aesIV);
using(varcryptoStream=AesHelper.CreateWriteStream(encryptFileStream,aesKey,aesIV))
{
awaitorigFileStream.CopyToAsync(cryptoStream);
}
}
}

然后是解密代码：

using(vardecryptFileStream=File.OpenRead("解密文件"))
{
using(varencryptFileStream=File.OpenRead("加密文件"))
{
varaesKeyData=newbyte[256];
awaitencryptFileStream.ReadAsync(aesKeyData,0,aesKeyData.Length);
varaesKey=RSAHelper.Decrypt(aesKeyData);
varaesIVData=newbyte[16];
awaitencryptFileStream.ReadAsync(aesIVData,0,aesIVData.Length);
varaesIV=aesIVData;
using(varcryptoStream=AesHelper.CreateReadStream(encryptFileStream,aesKey,aesIV))
{
awaitcryptoStream.CopyToAsync(decryptFileStream);
}
}
}

结论

通过使用RSA+AES，同时保证了密钥和数据的安全性。

如果你也碰到了类似需求，不妨试试本文的实现方案。