博客讨论了在信息安全中如何解决密钥管理问题,特别是中间人攻击的挑战。引入了证书授予权(CA)作为第三方,通过其私钥签署证书来确保公用密钥的安全交换。X.509标准的证书包含了颁发者、主体和公用密钥等信息,提供了一种不需要持续在线的KDC系统替代方案,同时防止CA访问个人私钥,保护通信隐私。
KDC(密钥分发中心)
针对密钥管理问题最流行的解决方案就是公用密钥加密(public key cryptography,PKC)。不过也存在一种只使用到目前为止所讨论的工具来解决密钥管理问题的措施。基本思想就是利用受信任的第三方,我们委托它对与我们通信的各方进行认证。这种第三方通常是由网络上某处一台安全的机器来实现的。这台机器被称做密钥分发中心(key distribution center,KDC)。每个需要保密通信安全的个人都与 KDC 共享一个密钥。当 Alice 想要与 Bob 进行通信时,她就给 KDC 发送消息,该消息以其与 KDC 共享的密钥加以保护,请求与 Bob 进行通信。KDC 产生了一个新的用于 Alice 与 Bob 之间进行通信的加密密钥,再将其放在一条称做许可证(ticket)的消息中返回。
一条许可证消息由两条消息组成。第一条消息是给 Alice 的,其中带有新密钥。第二条消息是给 Bob 的,用Bob的密钥进行加密,其中也包含新密钥。Alice 将许可证中 Bob 的那一部分转交给 Bob,现在 Alice 与 Bob 共享密钥。这种协议的基础版本是由 Needham 和chroeder[Needham 1978]发明的,但是部署最为广泛的变种为 Kerberos,在MIT 及其他地方大量应用于认证与加密(请参见[Miller1987])。
这种方案有两种主要缺点。首先,KDC 必须总是处于联机状态,因为如果它下线的话,就无法完成通信初始化。其次 KDC 能够读取任何两方之间传递的数据。它还能够伪造
针对密钥管理问题最流行的解决方案就是公用密钥加密(public key cryptography,PKC)。不过也存在一种只使用到目前为止所讨论的工具来解决密钥管理问题的措施。基本思想就是利用受信任的第三方,我们委托它对与我们通信的各方进行认证。这种第三方通常是由网络上某处一台安全的机器来实现的。这台机器被称做密钥分发中心(key distribution center,KDC)。每个需要保密通信安全的个人都与 KDC 共享一个密钥。当 Alice 想要与 Bob 进行通信时,她就给 KDC 发送消息,该消息以其与 KDC 共享的密钥加以保护,请求与 Bob 进行通信。KDC 产生了一个新的用于 Alice 与 Bob 之间进行通信的加密密钥,再将其放在一条称做许可证(ticket)的消息中返回。
一条许可证消息由两条消息组成。第一条消息是给 Alice 的,其中带有新密钥。第二条消息是给 Bob 的,用Bob的密钥进行加密,其中也包含新密钥。Alice 将许可证中 Bob 的那一部分转交给 Bob,现在 Alice 与 Bob 共享密钥。这种协议的基础版本是由 Needham 和chroeder[Needham 1978]发明的,但是部署最为广泛的变种为 Kerberos,在MIT 及其他地方大量应用于认证与加密(请参见[Miller1987])。
这种方案有两种主要缺点。首先,KDC 必须总是处于联机状态,因为如果它下线的话,就无法完成通信初始化。其次 KDC 能够读取任何两方之间传递的数据。它还能够伪造
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
