混合加密机制及其在DNSSEC中的应用

　　在数据加密/解密的处理效率方面，对称加密算法优于非对称加密算法，例如DES对称加密算法，其密钥长度只有56bit，可以用软硬件实现高速处理，在软件实现时其加密效率可以达到几兆字节/秒，适合于大量信息的快速加密解密。如RSA算法由于需要进行大数计算，其加密解密速度比DES 慢的多。

　　在密钥管理方面，非对称加密算法优于对称加密算法，例如RSA 算法可以将公钥公开，只需将自己的私钥保密，DES 算法的密钥更新较困难。

　　混合加密机制利用非对称加密算法加密对称加密算法的密钥，然后利用对称密钥对DNS 数据进行加解密处理，该混合加密机制结合了非对称加密算法密钥管理的快捷与对称加密算法加解密效率高、安全性好的优点，提高了DNSSEC 协议整体执行效率。

图5 混合加密机制在DNSSEC的应用流程

　　图5 为混合加密机制在DNSSEC 中的主要流程示意，用户发起对某个域名的解析请求后，用户本地DNS利用信任链得到域名权威服务器的公钥，ZONE 所属权威DNS 利用私钥加密对称密钥后发送给本地DNS，本地DNS利用之前获得的非对称公钥解密数据得到对称密钥，然后权威DNS利用对称密钥加密欲传送的DNS数据并发送给本地DNS，本地DNS 利用与发送方权威DNS 共享的对称密钥将接收到的数据进行解密并将解密后的DNS数据返回给请求用户，用户最终得到完整的正确的域名解析结果。此后本地DNS 与权威DNS 之间的域名解析通信就可以利用对称密钥快速处理。

　　性能分析

　　在安全性方面，目前来讲对称加密算法使用长密钥时破解困难，而非对称加密算法如RSA里的公钥和私钥是一对大素数函数，从一个公钥和密文中破解出明文的难度等价于分解两个大素数之积，而分解两个大素数之积到目前为止仍然无解。所以就目前来说，基于非对称加密算法与对称加密算法的混合加密机制是比较安全的。

　　在执行效率方面，对称加密算法时间复杂度为0(n)，空间复杂度为0(n)。非对称加密算法要加密对称加密算法的密钥，比如DES算法密钥采用一个64bit的伪随机数，其时间复杂度与空间复杂度为O(1)，因此混合加密算法的时间复杂度和空间复杂度都不超过O(n)。

　　因此，基于对称加密算法与非对称加密算法的混合加密机制可以在保证安全性的基础上提高DNSSEC 协议的整体运行效率。

　　下一步工作

　　DNSSEC已推出多年，但由于其基于公钥技术的技术方案实施复杂度大和对硬件要求高仍未被广泛采用，我们将一种结合对称加密算法加解密效率高与非对称加密算法密钥管理优势的混合加密机制引入DNSSEC并进行相关研究，该方案可以在保证安全性的基础上减小DNSSEC的整体计算复杂度，由于对称加密算法在破解难度上仍低于非对称加密算法，对称密钥一旦被破解则整个DNSSEC体系将面临威胁，双方通信内容将被窃听并可能遭篡改，因此在今后的研究工作中可以引入对称密钥生存周期概念，双方使用的对称密钥超过一定期限将被强制更新以保证DNSSEC 安全。

　　(作者单位为浙江大学信息中心)

（文章来源：《中国教育网络》杂志2011年2-3月合刊）