單密鑰算法也就是我們經(jīng)常說的對(duì)稱加密算法。特點(diǎn)是要求發(fā)送方和接收方有一個(gè)共同的密鑰。并且在數(shù)據(jù)加密/解密的處理效率方面，對(duì)稱加密算法是很有優(yōu)勢(shì)的。

例如DES對(duì)稱加密算法，可以用軟硬件實(shí)現(xiàn)高速處理，在軟件實(shí)現(xiàn)時(shí)其加密效率可以達(dá)到幾兆字節(jié)/秒，適合于大量信息的快速加密解密。但是RSA算法由于需要進(jìn)行大數(shù)計(jì)算，其加密解密速度比DES 慢的多。在密鑰管理方面，非對(duì)稱加密算法優(yōu)于對(duì)稱加密算法，例如RSA 算法可以將公鑰公開，只需將自己的私鑰保密，DES 算法的密鑰更新較困難。

混合加密機(jī)制利用非對(duì)稱加密算法加密對(duì)稱加密算法的密鑰，然后利用對(duì)稱密鑰對(duì)DNS 數(shù)據(jù)進(jìn)行加解密處理，該混合加密機(jī)制結(jié)合了非對(duì)稱加密算法密鑰管理的快捷與對(duì)稱加密算法加解密效率高、安全性好的優(yōu)點(diǎn)，提高了DNSSEC 協(xié)議整體執(zhí)行效率。

圖中為混合加密機(jī)制在DNSSEC 中的主要流程示意。用戶發(fā)起對(duì)某個(gè)域名的解析請(qǐng)求后，用戶本地DNS利用信任鏈得到域名權(quán)威服務(wù)器的公鑰，ZONE 所屬權(quán)威DNS 利用私鑰加密對(duì)稱密鑰后發(fā)送給本地DNS，本地DNS利用之前獲得的非對(duì)稱公鑰解密數(shù)據(jù)得到對(duì)稱密鑰，然后權(quán)威DNS利用對(duì)稱密鑰加密欲傳送的DNS數(shù)據(jù)并發(fā)送給本地DNS，本地DNS 利用與發(fā)送方權(quán)威DNS 共享的對(duì)稱密鑰將接收到的數(shù)據(jù)進(jìn)行解密并將解密后的DNS數(shù)據(jù)返回給請(qǐng)求用戶，用戶最終得到完整的正確的域名解析結(jié)果。此后本地DNS 與權(quán)威DNS 之間的域名解析通信就可以利用對(duì)稱密鑰快速處理。

cc

收藏 海報(bào)分享