密钥分配&&认证中心&&证书原理

最新推荐文章于 2023-07-31 23:33:29 发布

LY_624

最新推荐文章于 2023-07-31 23:33:29 发布

阅读量2.5k

点赞数 1

分类专栏：考

本文链接：https://blog.csdn.net/LY_624/article/details/105877982

版权

考专栏收录该内容

12 篇文章 1 订阅

订阅专栏

一、密钥分配

密码算法是公开的，网络的安全性取决于密钥的安全保护上，因此密钥管理非常重要。包括：密钥的产生、分配、注入、验证和使用。分为网外分配方式（派非常可靠的信使）和网内分配方式（对密钥自动分配）。

1.对称密钥的分配

目前常用的密钥分配方式是设立密钥分配中心KDC（Key Distribution Center）。KDC是大家都信任的机构，其任务是给需要进行秘密通信的用户临时分配一个会话密钥（仅使用一次）。

过程：

1）假设用户A和B都是KDC的登记用户。A和B在KDC登记时就已经在KDC服务器上安装了各自和KDC进行通信的主密钥 $K_{A}$ 和 $K_{B}$ 。

2）用户A向KDC发送时用明文，说明想和用户B通信。在明文中给出A和B在KDC登记的身份。

3）KDC用随机数产生“一次一密”的会话密钥 $K_{AB}$ ，供A和B的这次会话使用，然后向A发送回答报文。这个回答报文用A的密钥 $K_{A}$ 加密。这个报文中包含这次会话使用的密钥 $K_{AB}$ 和请A转给B的一个票据，该票据包括A和B在KDC登记的身份，以及这次会话将要使用的密钥 $K_{AB}$ 。票据用B的密钥 $K_{B}$ 加密，A无法知道此票据的内容，因为A没有B的密钥 $K_{B}$ ，当然A也不需要知道此票据的内容。

4）当B收到A转来的票据并使用自己的密钥 $K_{B}$ 解密后，就知道A要和他通信，同时也知道KDC为这次和A通信所分配的会话密钥 $K_{AB}$ ，此后A和B就可使用会话密钥 $K_{AB}$ 进行这次通信了。

在网上传送密钥时，都是经过加密的。解密用的密钥都不在网上传送。

KDC还可在报文中加入时间戳，以防止报文的截取者利用以前已记录下的报文进行重放攻击。会话密钥 $K_{AB}$ （用于主机A和主机B之间通信）是一次性的，即“一次一密”，因此保密性较高。而KDC分配给用户的密钥 $K_{A}$ 和 $K_{B}$ 都应该定期更换，以减少攻击者破译密钥的机会。

目前最出名的密钥分配协议是Kerberos V5。既是鉴别协议，同时也是KDC。使用高级加密进行验证。TGS提供用于A和B通信的会话密钥 $K_{AB}$ 。Kerberos要求所有使用Kerberos的主机必须在时钟上进行“松散的”同步，即要求所有主机的时钟误差不能太大，为了防止重放攻击。TGS发出的票据都设置较短的有效期，超过有效期的票据标准AES加密。Kerberos使用两个服务器：鉴别服务器（AS）和票据授予服务器（TGS）。Kerberos只用于客户与服务器之间的鉴别，而不用于人对人的鉴别。AS就是KDC，掌握着各实体登记的身份和相应的口令，对用户的身份就作废了。因此入侵者即使截获了某个票据，也不能长期保留用来进行以后的重放攻击。

2.公钥的分配

需要一个值得信赖的机构来将公钥与对应的实体（人或机器）进行绑定（binding）。这样的机构叫做认证中心CA，它由政府出资建立。每个实体都有CA发来的证书，此证书被CA进行了数字签名。任何用户都可从可信的地方（如代表政府的报纸）获得认证中心CA的公钥，此公钥用来验证某个公钥是否为某个实体所拥有（通过向CA查询）。

互联网X.509公钥基础结构PKI（Public Key Infrastructure）。

二、认证中心及证书

1.什么是CA？

认证中心（Certification Authority）

为电子政务、电子商务等网络环境中各个实体颁发数字证书，以证明身份的真实性，并负责在交易中检验和管理证书。

CA对数字证书的签名使得第三者不能伪造和篡改证书。

它是电子商务和网上银行交易的权威性、可信赖性及公证性的第三方机构。（个人建立的CA认证中心，不可信）

2.CA电子商务网络示意图

银行的网是一个专网。

3.证书的内容

公钥证书的主要内容，对比身份证：

4.证书图标

5.CA的功能

1)证书的申请。在线申请或离线申请

2)证书的审批。在线审核或离线审核

3)证书的发放。在线发放或离线发放

4)证书的归档。

5)证书的撤销。

6)证书的更新。人工密钥更新或自动密钥更新。

7)证书废止列表CRL的管理。

8)CA本身的管理和CA自身密钥的管理。

6.使用证书提供的服务

Web认证和专有通道

签名和加密的信息传递

签名的事务和表单的签发

网络操作系统、主机和大型机认证

远程访问

虚拟专用网

文件加密

7.证书服务

分层次的证书颁发体系：

8.公钥基础设施（PKI）

PKI是用于开放公开密钥的一种渠道，包含了一系列的标准和算法。

包括三部分：

CA：认证中心，用于生成、分发和管理证书

RA：注册中心，用于受理用户，调用国家部门的相关数据库，验证用户身份的真实性

Directory：目录服务，用于查看通信的双方是否有证书等，需要大量的查询操作及少量的插入、删除和修改操作

三、应用

USBKey客户证书：

指的是一个带智能芯片、形状类似于闪存（即U盘）的实物硬件，是专门用于网上银行的安全通行证。

客户有关信息一经下载到USBKey客户证书内，即具有唯一性和不可复制性，网上所有涉及账户资金的对外转移都必须事先通过USBKey客户证书进行唯一认证，可以有效防范包括“假网站”和“木马”病毒在内的各类可能的风险。换句话说，用户只要将这一实体握在手中，无论诈骗花样怎么变，即使是银行卡号和密码不慎泄露，自己的资金也都将会安全无忧。