戴正科
(湖南文理学院 电气与信息工程学院,湖南 常德 415000)
在安全组通信系统中,密钥管理起着重要的作用。目前,根据组密钥的协商方式以及密钥的分发获得方式的不同,安全组通信密钥管理方案可以分为:集中式密钥管理、分散式密钥管理、分布式密钥管理3类。
(1)集中式组通信密钥管理。在集中式密钥管理中,由单一通信实体充当中央控制节点,密钥分发中心全权负责组通信密钥的创建、分发和组成员关系发生变化时的密钥更新。集中式密钥管理方案可以分为平面管理模式和层次树管理模式两种类型。层次树管理方案采用密钥逻辑树对密钥进行管理,提高了密钥管理方案的可扩展性和高效性。在基本LKH方案的基础上,通过对诸多特性间进行权衡和改进(如通过减小密钥更新消息长度以提高网络传输效率、提高密钥协商机制的可靠性、增加密钥信息自恢复能力等)可得到许多变种的管理方案。
(2)分散式组通信密钥管理。分散式组密钥协商管理方案中,整个通信组分成若干子组,每个子组中会产生一个称为子组控制器的节点来管理整个子组的密钥生成和分发。所有子组之间可以是分布式的关系,也可以是由一个中央控制节点在最高层进行集中控制。根据通信组中是否拥有唯一的组会话密钥GK,分散式管理方案可以分为密钥分发服务器模式和重加密服务器模式。在密钥分发服务器模式中,具有唯一的组密钥GK,而在重加密服务器模式中,不具有唯一的组密钥GK。
(3)分布式组通信密钥管理。在分布式密钥管理方案中,没有任何中央控制节点,所有组成员提供自己的密钥生成信息,根据某种算法将收到的其他成员的密钥生成信息进行计算得到整个通信组的会话密钥。在集中式方案的基础之上,改进原有方案得到了很多适合分布式应用的分布式密钥管理方案,在分布式LKH方案中,整个通信组的会话密钥是通过子组密钥树的协商得到的。同时,在分布式OFT协商方案中,不存在中央控制节点,每一个节点获得其他节点的密钥后通过一个单向函数得到组密钥。在基于协商的分布式方案中,出现了基于两方密钥交换协议的改进协议,并在实际应用中得到广泛应用。
(1)常规安全策略应用方法。安全组通信密钥协商是以密码学理论为基础的,如对称加密算法,公钥密码技术,数字签名技术,认证技术等保证了密钥协商中的保密性,数据完整性等安全性能。
加密技术。组通信密钥协商常用到的加密算法有两种:对称加密算法与公钥加密算法。对称加密算法又称为私钥加密算法、单钥加密算法,它要求加密密钥和解密密钥相同,即加密过程和解密过程使用同一个密钥。公钥加密算法也称为非对称加密算法,加密过程和解密过程使用不同的密钥,两个密钥,一个用来加密,称为公开密钥,一个用来解密,称为私有密钥,从一个密钥很难推导计算出另一个密钥。
在安全组通信中,由于环境的开放性,存在着各种攻击威胁,这也为系统的安全性提出了更高的要求。公钥加密技术的计算开销较对称加密技术大。通常在密钥协商中使用公钥技术来加密数据建立对称密钥。然后组内使用对称密钥加密组内的通信数据,即组密钥。组内成员使用这一密钥加密数据发送,接收方也使用这一密钥进行解密。针对不同的实际应用,可以采用不同的加密技术,或者采用两者的结合。
数字签名技术。数字签名是建立在公钥密码体制上的一种应用,它在网络安全,包括身份认证、数据完整性、不可否认以及匿名方面有着重要的应用。数字签名通常是为了验证数据发送方的身份以及保证信息在传输过程中没有被非法篡改。为了防止仿造和保证数字签名的唯一性,通常数字签名方案是基于公钥密码算法的。密钥协商协议中数字签名技术主要是用来对组用户成员的身份认证,对消息发送者身份或者是消息源的认证。验证消息确实来自所声称的发送源,即源认证。还可以对消息的完整性提供保证,确保消息在传输过程中不能被非法篡改等。由于数字签名也需要大量的数据传输与计算,所以寻找适合组密钥协商的高效的数字签名技术也是该领域目前的研究热点。
(2)面向Web服务的通信安全策略应用探究。随着网络技术的发展,当前Web服务已经成为网络通信中的主要应用模式,因此必须要探讨面向Web服务的通信安全策略才具有实际应用价值。
在Web服务通信中,除非入站的消息经过确认和证明,可以安全检查地做进一步处理,否则不应该接收。入站消息可能是客户端请求,也可能是响应消息。这些消息可能包含恶意内容或来自未授权的XML消息,对服务提供者造成威胁。消息检查器就是通过解析入站内容对XML消息进行预处理和后处理,实现方法是通过检查和验证处理需求,然后根据消息的发送者或接收者做出认证和授权的决策。因此,消息检查器实现检查消息的功能,以确定发送者并验证发送者是否符合其身份,该身份是否有权发送信息、内容在传输中是否安全且没有被篡改、内容是否合法且不包含任何恶意信息。
Web服务通信中,每个消息处理器都代表一种功能,如对进站的请求或出站的响应进行预处理或后处理。每个处理器都可以支持配置的一种安全操作,这种操作与服务请求者、服务提供者或者两者相关联。在运行阶段,处理器能够访问消息头或消息体,并采取检查、验证或修改目标消息的操作。多个消息处理器可以组成一个有序组,有序组是一系列消息处理的操作和共享数据。消息处理器需要使用一个专用的错误处理器,错误处理器捕获由各个操作引起的所有错误和异常并返回响应,响应对异常进行处理,使其不会泄露内部功能和故障。所有的消息器都是无状态的,不缓存任何操作结果或客户以后可能需要的数据。
网络技术特别是Internet的发展,网络通信已经深入到社会生活的各个方面,而Web服务作为新的分布式计算模式,由于其平台无关性、松散耦合性等优点,在电子商务等领域展示了广阔的应用前景,受到了各界的关注。随着对Web服务的研究和应用越来越深入,安全性成为Web服务研究的重要课题之一,通信安全作为Web服务安全的基础成为研究热点之一。文章对于分布式网络通信安全的探究,只是对网络安全通信的一次粗浅尝试,更多安全策略的应用有赖于广大网络工作者的共同努力,才能最终实现网络通信的可靠安全。