基于混合加密機制的DNSSEC

對稱加密算法在加密和解密中共享同一密鑰，也稱為單密鑰算法。它要求發(fā)送方和接收方在安全通信之前共同商定一個密鑰。對稱加密算法的安全性依賴于共享密鑰，對稱加密算法的優(yōu)點是算法公開、計算量小、加密速度快、加密效率高。

圖 對稱加密算法流程

圖中是典型的對稱加密算法，其中發(fā)送方和接收方使用相同的密鑰K 對信息進行加密和解密。

混合加密機制及其在DNSSEC中的應用

在數(shù)據(jù)加密/解密的處理效率方面，對稱加密算法優(yōu)于非對稱加密算法，例如DES對稱加密算法，其密鑰長度只有56bit，可以用軟硬件實現(xiàn)高速處理，在軟件實現(xiàn)時其加密效率可以達到幾兆字節(jié)/秒，適合于大量信息的快速加密解密。如RSA算法由于需要進行大數(shù)計算，其加密解密速度比DES 慢的多。在密鑰管理方面，非對稱加密算法優(yōu)于對稱加密算法，例如RSA 算法可以將公鑰公開，只需將自己的私鑰保密，DES 算法的密鑰更新較困難。

混合加密機制利用非對稱加密算法加密對稱加密算法的密鑰，然后利用對稱密鑰對DNS 數(shù)據(jù)進行加解密處理，該混合加密機制結(jié)合了非對稱加密算法密鑰管理的快捷與對稱加密算法加解密效率高、安全性好的優(yōu)點，提高了DNSSEC 協(xié)議整體執(zhí)行效率。

圖 混合加密機制在DNSSEC的應用流程

圖中為混合加密機制在DNSSEC 中的主要流程示意。用戶發(fā)起對某個域名的解析請求后，用戶本地DNS利用信任鏈得到域名權威服務器的公鑰，ZONE 所屬權威DNS 利用私鑰加密對稱密鑰后發(fā)送給本地DNS，本地DNS利用之前獲得的非對稱公鑰解密數(shù)據(jù)得到對稱密鑰，然后權威DNS利用對稱密鑰加密欲傳送的DNS數(shù)據(jù)并發(fā)送給本地DNS，本地DNS 利用與發(fā)送方權威DNS 共享的對稱密鑰將接收到的數(shù)據(jù)進行解密并將解密后的DNS數(shù)據(jù)返回給請求用戶，用戶最終得到完整的正確的域名解析結(jié)果。此后本地DNS 與權威DNS 之間的域名解析通信就可以利用對稱密鑰快速處理。

該方案可以在保證安全性的基礎上減小DNSSEC的整體計算復雜度，由于對稱加密算法在破解難度上仍低于非對稱加密算法，對稱密鑰一旦被破解則整個DNSSEC體系將面臨威脅，雙方通信內(nèi)容將被竊聽并可能遭篡改，因此在今后的研究工作中可以引入對稱密鑰生存周期概念，雙方使用的對稱密鑰超過一定期限將被強制更新以保證DNSSEC 安全。

更多相關資料請閱讀：

淺析基于公鑰技術的DNSSEC

淺析基于公鑰技術的技術方案實施復雜度

【編輯推薦】

1. 生成和交換預共享密鑰
2. PKI基礎內(nèi)容介紹（1）
3. 破解你的密碼需要多長時間？
4. 信息安全的核心之密碼技術 上
5. 揭露維基解密竊取機密信息新手段
6. 防御網(wǎng)絡威脅UTM技術解密（圖示）