对称密钥在网络安全中的应用

对称密钥在网络信息安全中的应用

[摘要]

信息安全是一个直接面向工程，面向实践应用的专业领域。为了提升信息安全专业本科学生的综合实践能力，文中以现代密码学的重要内容之一——对称密钥分组密码为例，阐述在加密机日常使用过程中可能引入的安全风险以及相应的控制手段和方法。

[关键词]

对称密钥，网络信息安全，加密算法

引言：

1996 年以来，美国发明并启用PKI进行网络身份认证，2000 年以来我国引进了美国的PKI 技术，由于建立CA数字认证中心费用太高，每年还要收取高额的服务费，影响了PKI的普及，美军方约200多万人使用PKI，国防部也认为：PKI不成熟，维护费用负担重。2001年一种代替PKI的新技术IBE诞生，IBE是将标识作为公钥，私钥由密钥中心生产配发的新体制，不需要建立CA 这第三方认证体制，降低了建设成本，但是，启用IBE也不能从根本上解决问题，IBE认证效率与PKI一样都很低。IBE模式的网络身份认证技术国内没有引进，有部分欧盟国家使用。

PKI和IBE的共同的特点是基于公钥体制，采用非对称算法对证书及参数进行加解密，并通过在线对比证书或参数库来实现身份识别，都存在认证效率低，管理客户量小，维护费用高，运营负担重的弱点。在蓬勃发展的网络应用中网络用户不断增加，我国的网络用户总人数已超过到1亿人，要设计一种公共安全平台既能达到PKI和IBE的安全标准，又能提高认证效率，大大降低成本，并能管理超大规模网络用户，人们开始把目光转向了对称密码技术。

1 网络信息安全问题

网络信息安全作为现代社会各国关注的问题它有其自己的特性：

1.1 相对性。网络上没有绝对的安全,只有相对的安全。

1.2 综合性。网络安全并非一个单纯的技术层面的问题,它还涉及到管理、意识和国家法律等各个层面。因此,网络安全是一个综合性的问题,它的各个环节紧密衔接在一起。

1.3 产品单一性。如防黑客的产品不能用来防病毒等。

1.4 动态性。因为网络的攻防是此消彼长,道高一尺、魔高一丈的事情。在前一段时间看来是较为安全的问题随着黑客技术的发展也会暴露出原来未经检测到的漏洞。需要对黑客的行为模式不断研究,尽量作到技术上的及时跟进和维护支持。

1.5 不易管理性。显然,安全保护越好就越不方便,然而我们不能因此放弃利用网络带来的优势。因此投资、安全和便捷之间需要一个平衡,通过将不同技术的控制手段和管理相互结合来实现最佳效果。

1.6 黑盒性。网络的不安全性是相对透明的,而网络安全则是黑盒性的。网络安全工具和设备在运行时对用户是不可见的,到底能防多少黑客、系统会受到多少伤害、是否带来新的不安全因素等,包括整个安全体系都是很模糊的,用户不知如何管理。

网络计算机网络安全的层次上大致可分为:物理安全、安全控制、安全服务三个方面。

物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。对于计算机网络设备、设施等等免于遭受自然或人为的破坏。主要有环境安全,是指自然环境对计算机网络设备与设施的影响;设备安全,是指防止设备被盗窃、毁坏、电磁辐射、电磁干扰、窃听等;媒体安全,是指保证媒体本身以及媒体所载数据的安全性。

安全控制是指在网络信息系统中对存储和传输辐射信息的操作和进程进行控制和管理。在网络信息处理层次上对信息进行安全保护。

安全服务是指在应用程序层对网络信息的保密性、完整性和真实性进行保护和鉴别,防止各种安全威胁和攻击,其可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务主要内容包括:安全机制、安全连接、安全协议、安全策略等。

下面讨论数据加密技术中的对称密钥加密技术在网络信息安全中的应用。

2 对称密钥加密技术

目前国内在商用密码领域中使用的加解密算法普遍使用对称密钥算法，主要是由于其运算速度快，算法公开，技术成熟。对称密钥算法又以DES 算法或3DES 算法运用更为普遍。在对称密钥算法中为了保证密钥的安全，均采用三层密钥体系来进行保护。三层密钥体系由主密钥( MK) 、区域/成员主密钥( MMK) 和通信/数据密钥( PIK/MAK) 构成。

2.1对称密码的技术优势

所谓对称密码技术就是密钥采用单钥体制，即加密和解密都使用同一组密钥，对称算法分：分组算法和序列算法，对称密码算法相对非对称密码算法而言，算法简单，运行占用资源少，不像非对称算法那样是基于数学模型如：大整数分解和椭圆曲线的算法结构，需要密钥较长，运算时间长，运行占用资源多，抗攻击力弱，如：在1995年密钥长度为512位的RSA非对称算法就能够被破译，而对称算法结构简单，需要的密钥长度较短，加解密速度快( 大约为非对称算法的10%)，抗集团攻击力强等优势。

3 对称算法进行身份认证的可行性分析

对称密钥的管理是实现身份认证的前提。对称算法的密钥管理成本高是国际公认事实，要想使用对称算法来进行网络身份认证，必须解决对称密钥的管理难题，不解决对称密钥管理的瓶颈，采用对称算法实现身份认证就成为空话。对称密钥的管理包括：密钥的生产、存储、分发和更新等环节，必须保证对称密钥生产随机，存储安全，分发便捷，更新廉价。

3.1 采用先进的对称密钥管理方法

3.1.1密钥“种子”的建立由随机数产生，采用现有的随机数产品发生器或软件系统中的伪随机数生成函数产生用户的密钥“种子”，来保证随机生产密钥。

3.1.2密钥“种子”的安全存储，将客户端的用户密钥“种子”存放在带有CPU芯片的密码钥匙中，将全体用户的密钥“种子”以密文的形式存放在网络认证服务器端的硬盘存储区，来保证安全存储密钥“种子”——即密钥的集合。

3.1.3密钥“种子”集中生成，分散存放的模式，有利于对密钥的控制和管理，既安全也节约资源，并通过分发密码钥匙硬件设备来保证便捷分发密钥。

3.1.4对称密钥组合生成，通过密钥生成算法从密钥“种子”中组合生成密钥，即不需要人工干预由算法自动生成，来保证更新密钥无成本。

3.2 密钥和认证口令一次一变保证认证协议安

全可靠对称密钥不变化也能进行用户身份或通信设备之间的认证，若只保证拟被加密的随机数一次一变，而对称密钥不变是很危险的，因为，这就给破译者提供了已知对称加密算法，密钥不变，而明文每次都变的条件，该条件为破译者分析该密码系统是十分有利的，也降低了系统的安全性能。通过密钥生成算法来组合生成密钥，达到一次一变，使得每次加密随机数产生的认证口令一次一变，从而，保证身份认证过程安全可靠。

3.3 能管理的用户规模不受限制

管理超大规模用户的认证技术，才是成熟实用的技术，市场上常见的PKI技术不成熟，目前只能解决10亿级规模用户的认证技术，而通过密钥组合生成技术彻底解决了规模化问题即：能够管理2128规模的用户量。

4 安全风险

4.1密钥泄漏

4.1.1通过区域/ 成员主密钥明文获取PIN