计算机网络 密钥分配
- 由于密码算法是公开的,网络的安全性就完全基于密钥的安全保护上。因此在密码学中出现了一个重要的分支——密钥管理。
- 密钥管理包括:密钥的产生、分配、注入、验证和使用。本节只讨论 密钥的分配。
- 密钥分配是密钥管理中最大的问题。
- 密钥必须通过最安全的通路进行 分配。
- 网外分配方式:派非常可靠的信使携带密钥分配给互相通信的各用户。
- 网内分配方式:密钥自动分配。
但随着用户的增多和网络流量的增大,密钥更换频繁(密钥必须定期更换才能做到可靠),派信使的办法已不再适用,而应采用网内分配方式。
对称密钥的分配
- 目前常用的密钥分配方式是设立密钥分配中心 KDC (Key Distribution Center)。
- KDC 是大家都信任的机构,其任务就是给需要进行秘密通信的用户临时分配一个会话密钥(仅使用一次)。
- 假设用户 A 和 B 都是 KDC 的登记用户,并已经在 KDC 的服务器上安装了各自和 KDC 进行通信的主密钥(master key)KA 和 KB。 “主密钥”可简称为“密钥”。
对称密钥的分配
对称密钥的分配说明
- 为防止重放攻击,KDC 还可在报文中加入时间戳。
- 会话密钥 KAB 是一次性的,因此保密性较高。
- KDC 分配给用户的密钥 KA 和 KB,应定期更换,以减少攻击者破译密钥的机会。
Kerberos
- 目前最出名的密钥分配协议是 Kerberos V5。
- Kerberos 既是鉴别协议,同时也是 KDC,它已经变得很普及,现 在是互联网建议标准。
- Kerberos 使用比 DES 更加安全的高级加密标准 AES 进行加密。
Kerberos密钥分配说明
- A 用明文(包括登记的身份)向鉴别服务器 AS 表明自己的身份。
- AS 向 A 发送用 A 的对称密钥 KA 加密的报文,这个报文包含 A 和 TGS 通信的会话密钥 KS ,以及 AS 要发送给 TGS 的票据(这个票据是用 TGS 的对称密钥 KTG 加密的)。
- A 向 TGS 发送三个项目:
- 转发鉴别服务器 AS 发来的票据。
- 服务器 B 的名字。这表明 A 请求 B 的服务。请注意,现在 A 向 TGS 证明自己的身份并非通过键入口令(因为入侵者能够从网上截获明文口令),而是通过转发 AS 发出的票据(只有 A 才能提取出)。票据是加密的,入侵者伪造不了。
- 用 KS 加密的时间戳 T 。它用来防止入侵者的重放攻击。
- TGS 发送两个票据,每一个都包含 A 和 B 通信的会话密钥 KAB 。给 A 的票据用 KS 加密;给 B 的票据用 B 的密钥 KB 加密。请注意,现在入侵者不能提取 KAB ,因为不知道 KA 和 KB 。入侵者也不能重放步骤 3,因为入侵者不能把时间戳更换为一个新的(因为不知道 KS )。
- 7A 向 B 转发 TGS 发来的票据,同时发送用 KAB 加密的时间戳 T。
B 把时间戳 T 加 1 来证实收到了票据。B 向 A 发送的报文用密钥
KAB 加密。 - 以后,A 和 B 就使用 TGS 给出的会话密钥 KAB 进行通信。
公钥的分配
- 在公钥密码体制中,如果每个用户都具有其他用户的公钥,就可实现安全通信。
- 但不能随意公布用户的公钥,因为无法防止假冒和欺骗。使用者也无法确定公钥的真正拥有者。
- 需要有一个值得信赖的机构——即认证中心 CA (Certification Authority),来将公钥与其对应的实体(人或机器)进行绑定 (binding)。
- 认证中心一般由政府出资建立。
- 每个实体都有 CA 发来的证书 (certificate),里面有公钥及其拥有者的标识信息。
- 此证书被 CA 进行了数字签名,是不可伪造的,可以信任。
- 证书是一种身份证明,用于解决信任问题。
- 任何用户都可从可信的地方(如代表政府的报纸)获得认证中心 CA 的公钥,此公钥用来验证某个公钥是否为某个实体所拥有(通过向 CA 查询)。
- 有的大公司也提供认证中心服务。
CA 证书
- CA 证书具有统一的格式,ITU-T 制定了 X.509 协议标准,用来描述证书的结构。
- IETF接受了 X.509,仅做了少量的改动,给出了互联网 X.509 公钥基础结构 PKI (Public Key Infrastructure)。
CA 证书的吊销
- 证书不是永久有效,它可以过期,也可以被吊销。
- 有很多原因导致证书被吊销,例如:
- 用户的私钥已被泄漏
- 该用户不再被该 CA 认证
- CA 签署用户证书的私钥已被泄漏
- CA 建立并维护一个证书吊销列表。
计算机网络 密钥分配相关推荐
- 网络工程师笔记——密钥分配
密钥分配 密钥分配分为对称密钥分配和公钥分配体制. 1.对称密钥分配 Kerberos一词来源于希腊神话"三个头的狗--地狱之门守护者". Kerberos协议主 ...
- 【网络信息安全】鉴别和密钥分配协议
鉴别和密钥分配 主要内容 7.1 鉴别协议 7.1.1 Needham-Schroeder双向鉴别协议 N-S协议的双向鉴别和密钥分配过程: 较难实现的重放攻击 7.1.2 改进的Needham-Sc ...
- 基于对称加密的密钥分配和Kerberos认证
基于对称加密的密钥分配和Kerberos认证 对于对称加密,加密双方必须共享同一密钥,而且必须保护密钥不被他人读取.此外,常常需要频繁地改变密钥来减少某个攻击者可能知道密钥带来的数据泄露.因此,任何密 ...
- 对称密码的集中式密钥分配协议(C语言)
目录 实验内容 实验原理 对称密码的集中式密钥分配协议 step1 step2 step3 step4 step5 DES算法 ECB(电码本模式) 代码实现 用户结构体的声明 全局变量的声明 fin ...
- 浅谈量子密钥分配技术
项目背景 在学校和导师的的大力支持,我们进过一年的努力,终于到了项目结题,我们的研究方向本身难度较高,并且是个全新的领域,这对我们来说是个严峻的挑战,好在有导师的及时引导,团队也努力配合,让我们找到了 ...
- 对称密码技术的密钥分配
目录 分类 集中式 分布式 物理分配 链路层加密 端到端加密 分类 集中式 分布式 物理分配(物理层的分配) 集中式 所谓集中式,就是只有一个 KDC(密钥分配中心)作为可信赖的第三方协助通信双方 A ...
- 计算机网络IP分配大题,2018年IP分片网络大题
[知识回顾] (1)分片的数据长度必须是8B的整数倍 (2)路由器端口号也需要占用该子网中的一个IP地址. [真题] 第一问:IP地址 [解析]因为192.168.1.0/24这个IP均分给两个部门, ...
- 【渝粤题库】陕西师范大学164107 电子商务信息安全 作业(高起专)
<电子商务信息安全(高起专)>作业 一.单选题 以下那个不是杀毒软件的正确使用方法( ). A. 定期对病毒库进行升级 B. 经常针对电脑进行全盘扫描 C. 设置开机自动运行杀毒软件 D. ...
- 渝粤题库 陕西师范大学 电子商务安全作业
电子商务安全作业 一.单选题 1. 以下那个不是杀毒软件的正确使用方法( ). A. 定期对病毒库进行升级 B. 经常针对电脑进行全盘扫描 C. 设置开机自 ...
最新文章
- el-table数据不显示_数据透视表,一篇就够了
- 《『若水新闻』客户端开发教程》——01.课程介绍
- python中cmd全称_【转】Python中执行cmd的三种方式
- André Weil | 数学史:为什么,怎么看
- Redis 有哪些数据类型?
- Canalys:2021年第四季度苹果智能手机出货量占全球总量的22%
- 椒盐噪声 Python实现
- C程序设计,贪吃蛇程序
- 在线html解压,javascript实现网页端解压并查看zip文件
- 多体动力学ANCF方法简单介绍
- ROS ros::NodeHandle nh(“~“)
- 爬虫初识(爬取dytt电影列表及下载地址)
- CVPR2014 tracking
- c程序设计语言第五单元,一年级语文下册第五单元教案
- 京东运营 不错的帖子
- 一张图了解华为云服务
- idea编辑区左侧行号背景颜色修改
- 原来你叫“派森”(一)
- java使用谷歌api翻译读写Excel
- Linux系列:给网卡添加IP地址方法