一種對(duì)稱密鑰的密鑰管理方法及系統(tǒng)

韓少聰 萬(wàn)明 王琪 余龍飛

摘要：對(duì)于現(xiàn)代信息安全技術(shù)來(lái)講，密碼技術(shù)在現(xiàn)階段的信息發(fā)展之中處于一種十分先進(jìn)的核心技術(shù)階段，尤其就密鑰管理技術(shù)來(lái)講，在密碼技術(shù)當(dāng)中占據(jù)著舉足輕重的影響地位所在。無(wú)論是對(duì)于密鑰在哪方面的應(yīng)用階段管理當(dāng)中，都具備足夠的安全性能。尤其就安防視頻監(jiān)控系統(tǒng)來(lái)講，對(duì)稱密鑰加密在其中的視頻傳輸當(dāng)中有著極為優(yōu)異的加密應(yīng)用，但在現(xiàn)階段的對(duì)稱密鑰管理當(dāng)中仍舊存在過(guò)多的繁瑣性問(wèn)題與安全性問(wèn)題等，因此，本文則基于對(duì)對(duì)稱密鑰的管理方法提出詳細(xì)闡述，并結(jié)合TCP服務(wù)端系統(tǒng)應(yīng)用于對(duì)稱密鑰管理與安全性能的提升做出進(jìn)一步總結(jié)，望能夠幫助到更多應(yīng)用對(duì)稱密鑰的行業(yè)領(lǐng)域。

關(guān)鍵詞：信息安全技術(shù)；密碼技術(shù)；對(duì)稱密鑰管理；TCP服務(wù)端系統(tǒng)

信息技術(shù)的發(fā)展促進(jìn)了許多行業(yè)的新生，同時(shí)，密碼技術(shù)在其中的應(yīng)用范圍變得十分廣泛，就密鑰管理而言，每一個(gè)訪問(wèn)用戶在創(chuàng)造密碼的同時(shí)也在系統(tǒng)內(nèi)部創(chuàng)造了密鑰，而系統(tǒng)信息安全則主要對(duì)用戶的密鑰做好最為基本的密鑰管理，比如從用戶在密鑰的生成階段與更新階段、存儲(chǔ)階段、備份階段以及最后的密鑰銷毀等階段中，均需要優(yōu)異的密鑰管理技術(shù)來(lái)提供安全支持，而所謂對(duì)稱密鑰又被稱私鑰加密，指的是用戶與系統(tǒng)兩端利用同樣一個(gè)密鑰來(lái)進(jìn)行加密與解密，對(duì)稱密鑰無(wú)論是在占用空間還是在加解密速度當(dāng)中均處于出類拔萃的地步，但是其管理與分發(fā)難度過(guò)大，引起眾多信息安全技術(shù)人員的廣泛探究與分析，本文的目的同樣如此。

一、對(duì)稱密鑰管理方法

對(duì)于傳統(tǒng)密鑰管理來(lái)講，主要由四大模塊所組成，分別為密鑰權(quán)限模塊、數(shù)據(jù)庫(kù)模塊、加密硬件模塊以及綜合管理平臺(tái)模塊，其中就密鑰權(quán)限模塊來(lái)講，主要能夠控制用戶在訪問(wèn)客戶端的同時(shí)可以對(duì)密鑰訪問(wèn)權(quán)限做出有效控制，確保用戶密鑰訪問(wèn)的安全性[1]；而數(shù)據(jù)庫(kù)模塊則負(fù)責(zé)用戶的數(shù)據(jù)安全以及密鑰安全，確保數(shù)據(jù)庫(kù)中將這些數(shù)據(jù)與密鑰做好最為基本的存儲(chǔ)需求；加密硬件模塊則可以使用戶在創(chuàng)建密鑰的同時(shí)生成對(duì)稱密鑰，對(duì)于對(duì)稱密鑰的解密運(yùn)算進(jìn)行合理運(yùn)行；而綜合管理平臺(tái)模塊則為管理員提供較為人性化的后臺(tái)密鑰管理功能，需要管理人員來(lái)在其中的界面控件中輸入對(duì)應(yīng)的用戶名與密碼，進(jìn)入后臺(tái)管理，修改部分用戶的密鑰數(shù)據(jù)，對(duì)其開展密鑰查看、分組、生成以及刪除等功能應(yīng)用。也正因?yàn)槿绱?，在服?wù)用戶的同時(shí)，便于用戶在訪問(wèn)客戶端之際確保良好的密鑰得以高效地生成、應(yīng)用，起到充分的保護(hù)功能，其對(duì)稱密鑰管理方案設(shè)計(jì)又由五大階段所組成，包括密鑰的生成階段、存儲(chǔ)階段、密鑰有效期管理階段、密鑰權(quán)限管理階段以及密鑰銷毀階段等。在密鑰生成階段中，利用國(guó)密算法SM1、SM4或者DES、AES等數(shù)據(jù)加密標(biāo)準(zhǔn)來(lái)幫助用戶生成對(duì)應(yīng)的密鑰；在存儲(chǔ)階段當(dāng)中，可以幫助用戶們將眾多對(duì)稱密鑰均進(jìn)行加密并存儲(chǔ)于服務(wù)器的龐大數(shù)據(jù)庫(kù)當(dāng)中，在這里要區(qū)分一個(gè)概念，即主密鑰與次密鑰，次密鑰即用戶的對(duì)稱密鑰，而主密鑰則負(fù)責(zé)對(duì)用戶的次密鑰起到加密與保護(hù)功能，并可以在數(shù)據(jù)庫(kù)當(dāng)中利用密鑰ID方便進(jìn)行索引與應(yīng)用；而所謂密鑰有效期管理則可以密碼對(duì)稱密鑰因?yàn)榇嬖跁r(shí)間過(guò)長(zhǎng)引起的安全性問(wèn)題，對(duì)對(duì)稱密鑰定期更新一次，提高其安全性能；對(duì)于密鑰權(quán)限管理來(lái)講，其對(duì)于密鑰的保護(hù)具有兩種狀態(tài)，即活躍狀態(tài)與非活躍狀態(tài)，一來(lái)在活躍狀態(tài)中使密鑰可以確保其應(yīng)用性能，二來(lái)在失去時(shí)效的非活躍狀態(tài)下，用戶失去密鑰的應(yīng)用功能，管理員可以對(duì)該非活躍密鑰進(jìn)行后臺(tái)訪問(wèn)與處理；在密鑰銷毀階段中，可以等待密鑰在設(shè)置固定的有效期結(jié)束后自動(dòng)進(jìn)行銷毀，以便于密鑰的不斷更新與生成循環(huán)反復(fù)。

二、TCP服務(wù)端系統(tǒng)加密方案

上述的各個(gè)對(duì)稱密鑰管理階段離不開TCP服務(wù)端系統(tǒng)的支持與應(yīng)用，對(duì)此，在TCP服務(wù)端系統(tǒng)當(dāng)中，主要由如下幾個(gè)模塊所組成：

圖1中的TCP服務(wù)模塊的功能在于可以幫助客戶端與用戶之間的密鑰請(qǐng)求進(jìn)行服務(wù)，根據(jù)管理員的設(shè)置來(lái)設(shè)定指定的密鑰類型或者密鑰長(zhǎng)度，TCP服務(wù)模塊幫助密鑰生成ID輸送給客戶端，同時(shí)利用ID來(lái)請(qǐng)求輸送給服務(wù)器，服務(wù)器在繼續(xù)產(chǎn)生對(duì)稱密鑰輸送給客戶端[2]，完成密鑰應(yīng)用功能；同時(shí)，在這其中的身份驗(yàn)證與密鑰傳輸均需要嚴(yán)格的加密處理，因此在身份認(rèn)證當(dāng)中其中會(huì)利用HT-TPS超文本傳輸安全協(xié)議幫助進(jìn)行安全認(rèn)證，在密鑰傳輸當(dāng)中則利用TLS幫助輸送的數(shù)據(jù)包進(jìn)行加密，確保其中數(shù)據(jù)包在傳輸當(dāng)中處于絕對(duì)安全的局面；最后，因?yàn)榫钟蚓W(wǎng)的各個(gè)實(shí)體均需要數(shù)字證書驗(yàn)證身份，所以無(wú)論是客戶端還是服務(wù)端，在對(duì)稱密鑰的加密與傳輸當(dāng)中均處于十分安全的解密應(yīng)用，更好地區(qū)服務(wù)于用戶。

三、結(jié)束語(yǔ)

總之，對(duì)稱密碼學(xué)的發(fā)展促進(jìn)了對(duì)稱密鑰管理質(zhì)量的提升，在許許多多行業(yè)領(lǐng)域的安全系統(tǒng)當(dāng)中已經(jīng)逐漸應(yīng)用到了對(duì)稱密鑰管理，比如安防監(jiān)控系統(tǒng)，其中的監(jiān)控?cái)z像頭會(huì)根據(jù)拍攝到的內(nèi)容來(lái)生成對(duì)應(yīng)的對(duì)稱密鑰，幫助視頻內(nèi)容進(jìn)行加密，再將其轉(zhuǎn)化為數(shù)據(jù)包輸送給監(jiān)控網(wǎng)絡(luò)中，服務(wù)端在對(duì)應(yīng)的主密鑰解密下將視頻內(nèi)容提取出來(lái)，這樣一來(lái)傳輸當(dāng)中不會(huì)避免拍攝內(nèi)容被銷毀或者流入其他用途，其安全性能顯著可見，本文所提及到的TCP服務(wù)系統(tǒng)即可以幫助這樣的領(lǐng)域得到更加安全的密鑰管理應(yīng)用。

參考文獻(xiàn)：

[1]蘇威積， 湯敬浩， 李劍. 一種對(duì)稱密鑰的密鑰管理方法及系統(tǒng)[J]. 信息安全研究， 2018（1）：80-83.

[2]蘇文龍， 孟陸強(qiáng)， 姚承勇， et al. 密鑰管理方法及系統(tǒng)：.

（作者單位：南京南瑞信息通信科技有限公司）