(30)-7.4秘钥分发与公钥认证_第1页
(30)-7.4秘钥分发与公钥认证_第2页
(30)-7.4秘钥分发与公钥认证_第3页
(30)-7.4秘钥分发与公钥认证_第4页
(30)-7.4秘钥分发与公钥认证_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

7.4秘钥分发与公钥认证密钥分发和公钥认证由于密码算法是公开的,密钥系统的安全性依赖于密钥的安全保护。在对称密钥密码体制中,通信双方要共享同一个秘密的密钥,如何将密钥分发到通信的双方是一个需要解决的问题。对于公钥密码体制,虽然不需要共享密钥,公钥可以发布在报纸或网站上,但如何验证该公钥确实是某实体真正的公钥仍然是一个问题。这些问题的解决都可以通过使用一个可信的中介机构得到解决。对称密钥的分发目前常用的密钥分发方式是设立密钥分发中心KDC(KeyDistributionCenter)。KDC是大家都信任的机构,其任务就是给需要进行秘密通信的用户临时分配一个会话密钥(仅使用一次)。用户A和B都是KDC的登记用户,并已经在KDC的服务器上安装了各自和KDC进行通信的主密钥(masterkey)KA和KB对称密钥的分发AB密钥分配中心KDCA,B,KABKB

……用户专用主密钥用户主密钥

A

KAB

KB

A,B,KABKABKB

KA,时间

A,B对称密钥的分发KDC还可以在报文中加入时间戳,防止攻击者窃取报文进行重放攻击。KDC分配给用户的主秘钥也应当定期进行更换以防止泄露。目前最著名的、使用最广泛的秘钥分发协议是麻省理工学院开发的Kerberos协议。对称密钥的分发虽然Kerberos非常成功,但也存在一些明显的缺陷:(1)单点失败问题(2)Kerberos要求参与通信的主机的时钟同步(3)Kerberos管理协议并没有标准化(4)所有用户使用的密钥都存储于中心服务器中,危及服务器的安全的行为将危及所有用户的密钥。公钥的签发与认证需要有一个值得信赖的机构——即认证中心CA(CertificationAuthority),来将公钥与其对应的实体(人或机器)进行绑定(binding)。认证中心一般由政府出资建立。每个实体都有CA发来的证书(certificate),里面有公钥及其拥有者的标识信息。此证书被CA进行了数字签名。任何用户都可从可信的地方获得认证中心CA的公钥,此公钥用来验证某个公钥是否为某个实体所拥有。有的大公司也提供认证中心服务。公钥基础设施PKI下级CA的证书由其上级CA签发和认证,所有用户都信任该层次结构中最顶级的CA,但可以信任也可以不信任中间的CA。公钥基础设施PKI例如,当用户需要验证张三的身份的时候,首先去询问存放张三证书的CA,如果用户信任这个CA,则进行验证,如果不信任这个CA,就去找它的上一级CA,先利用上一级CA验证张三所在CA的合法性,再验证张三。更进一步,如果用户连上一级CA也不信任,则继续去询问更上一级的CA,不断的追溯下去直到根CA。由于所有的用户都是信任根CA的,最终所有的验证问题都能得到解决。公钥基础设施PKIPKI的起源其实和电子商务的发展有着密切的联系(1)保密性问题(2)完整性问题(3)身份认证与授权问题

人人文库> 全部分类> 教育资料 > 中学教育

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论