对称密钥的分配、公钥的分配

目录

密钥分配

1  对称密钥的分配

KDC 对会话密钥 KAB 的分配

对称密钥分配协议:Kerberos

2  公钥的分配

认证中心 CA (Certification Authority)

数字证书 (digital certificate)

已签名的 B 的数字证书的产生过程

X.509 数字证书

认证系统

证书链

证书撤销与更新


密钥分配

·安全性:完全基于密钥的安全保护上。

·密钥管理包括:密钥的产生、分配、注入、验证和使用。

·密钥分配是密钥管理中最大的问题。

·密钥必须通过最安全的通路进行分配。

·网外分配方式:派非常可靠的信使携带密钥分配给互相通信的用户。

·网内分配方式:密钥自动分配。

1  对称密钥的分配

·常用方式设立密钥分配中心 KDC (Key Distribution Center)。

·KDC 任务:给需要进行秘密通信的用户临时分配一个会话密钥(仅使用一次)。

·用户 A 和 B 都是 KDC 的登记用户,并已经在 KDC 的服务器上安装了各自和 KDC 进行通信的主密钥(master key)KA 和 KB。

·主密钥可简称为密钥。

KDC 对会话密钥 KAB 的分配

注意:在网络上传送密钥时,都是经过加密的。解密用的密钥都不在网上传送

·为防止重放攻击,KDC 还可在报文中加入时间戳

·会话密钥 KAB 是一次性的,因此保密性较高。

·KDC 分配给用户的密钥 KA 和 KB,应定期更换,以减少攻击者破译密钥的机会。

对称密钥分配协议:Kerberos

·目前最出名的是 Kerberos V5。

·既是鉴别协议,同时也是 KDC,是互联网建议标准

·使用比 DES 更加安全的高级加密标准 AES 进行加密。

·使用两个服务器:

        -鉴别服务器 AS (Authentication Server)

        -票据授予服务器 TGS (Ticket-Granting Server)。

·只用于客户与服务器之间的鉴别,不用于人对人的鉴别。

 Kerberos 工作原理

·Kerberos 要求所有使用 Kerberos 的主机必须在时钟上进行松散的同步

松散的同步:要求所有主机的时钟误差不能太大,例如,不能超过 5 分钟的数量级。这个要求是为了防止重放攻击。

2  公钥的分配

·在公钥密码体制中,如果每个用户都具有其他用户的公钥,就可实现安全通信。

·但不能随意公布用户的公钥,因为:

        无法防止假冒和欺骗。

        使用者也无法确定公钥的真正拥有者。

·方法:借助可信任的第三方机构。

认证中心 CA (Certification Authority)

·可信任的第三方机构。

·负责签发数字证书。

·一般由政府出资建立。

数字证书 (digital certificate)

·有时也简称为证书。 是对公钥与其对应的实体 (人或机器) 进行绑定的一个证明,因此它常称为公钥证书

·每个证书中写有公钥及其拥有者的标识信息(例如:人名、地址、电子邮件地址或 IP 地址等)。

·更重要的是:证书中有 CA 使用自己私钥的数字签名

·把 CA 的数字签名和未签名的 B 的证书放在一起,就最后构成了已签名的 B 的数字证书。

·证书被 CA 进行了数字签名,是不可伪造的。

·任何用户都可从可信任的地方(如代表政府的报纸)获得认证中心 CA 的公钥,以验证证书的真伪。

·数字证书是公开的,不需要加密

已签名的 B 的数字证书的产生过程

·核实:A 拿到 B 的数字证书后,使用数字证书上给出的 CA 的公钥,对数字证书中 CA 的数字签名进行 E 运算,得出一个数值。再对 B 的数字证书 (CA 数字签名除外的部分)  进行散列运算,又得出一个数值。比较这两个数值。若一致,则数字证书是真的。

X.509 数字证书

·数字证书的格式必须标准化。

·ITU-T 制定了 X.509 协议标准,描述证书的结构。

·IETF 采用 X.509 V3 作为互联网的建议标准。

·X.509 又称为互联网公钥基础结构 PKI (Public Key Infrastructure)。

认证系统

·X.509 提出:把多级认证中心链接起来的,构成一个树状的认证系统

·末端是用户。

·最高一级的认证中心都称为根认证中心 (Root CA),是公认可信的认证中心(或无条件信任的),且其公钥是公开的。

·可以有不止一个根 CA。

·从根 CA 向下的所有链接都称为信任链

证书链

·与信任链对应的是证书链

·最顶层的根证书的数字签名是自签名的(即自己的私钥给自己签名)。

证书撤销与更新

·证书不是永久有效,它可以过期,也可以被吊销。

·每一个 CA 应当有一个公布于众的、用本 CA 的私钥签名的证书撤销名单,并定期更新。

·有很多原因导致证书被吊销,例如:

        1.用户私钥被盗或遗失。

        2.用户不再被该 CA 认证。

        3.CA 签署用户证书的私钥被泄漏。

欢迎一起学习~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/393672.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

智慧农业一体化平台概述

智慧农业是以物联网为基础,以信息化技术为支撑通过对于科研、生产、物流、销售的各个农业生产环节的信息化管理,实现科学指导、高效生产、科学预测、精准销售、数据决策。因此,构建智慧农业一体化平台,完成对于农业科技管理、农业生产过程管理、农产品物流与商贸管理,从而…

记一个js原生 日期 时间 处理 格式化 对象 Intl 方法

具体对应搜搜。听说用空格分开能增加关键词搜到的概率 说起来最近好像越来越懒了

Quartz---基础

1.概述 Quartz是一个完全由Java编写的开源任务调度框架,通过触发器来设置作业定时运行规则,控制作业的运行时间。Quartz框架的主要核心组件包括调度器、触发器和作业。调度器作为作业的总指挥,触发器作为作业的操作者,而作业则为应…

有关光猫、路由器、交换机、网关的理解

前提 在了解计算机网络的过程中,出现了这四个名词:光猫、路由器、交换机、网络。有点模糊,查阅互联网相关资料,进行整理。如有错误,欢迎大家批评指正。 光猫 首先光猫是物理存在的,大家在家里应该都可以…

代码随想录day25--回溯的应用4

LeetCode491.非递减子序列 题目描述: 给你一个整数数组 nums ,找出并返回所有该数组中不同的递增子序列,递增子序列中 至少有两个元素 。你可以按 任意顺序 返回答案。 数组中可能含有重复元素,如出现两个整数相等,…

AI生图软件:让创意无限飞扬

随着科技的飞速发展,人工智能(AI)已经逐渐渗透到我们的日常生活之中,其中包括图像编辑。AI生图软件就是这样一种应用了AI技术的创新产品,它正在改变着图像编辑的方式,让我们能够以前所未有的方式创作和分享视觉内容。 一、什么是A…

300分钟吃透分布式缓存-01讲:业务数据访问性能太低怎么办?

这节课主要讲缓存的基本思想、缓存的优点、缓存的代价三个部分。 缓存的定义 先来看下缓存的定义。 & 缓存最初的含义,是指用于加速 CPU 数据交换的 RAM,即随机存取存储器,通常这种存储器使用更昂贵但快速的静态 RAM(SRAM&…

七、Mybatis缓存

缓存就是内存中的数据,常常来自对数据库查询结果的保存,使用缓存、可以避免频繁的与数据库进行交互,进而提高响应速度一级缓存是sqlSession级别的缓存,在操作数据库时需要构造sqlsession对象,在对象中有一个数据结构&a…

前端技巧之svg精灵图svg-sprite-loader

首先说明精灵图的必要性,其可以让我们只需要向服务器请求一次图片资源,就能加载很多图片,即能够减轻http请求造成的服务器压力。 然后这里要说明的是这个插件是webpack上面的,所以在vue2中比较好用,如果在vue3中&…

C语言—字符数组(3)

可能不是那么的完整,先凑合看吧,如果我学会如何修改以后,我慢慢回来修改的 1.编写程序实现对两个字符串的连接功能; 法一:不使用strcat函数,写程序直接实现,记得添加结束符,不然程序访问数组时候将变得不…

Vue路由

Vue路由 一、路由的基本使用二、组件的存放目录问题三、路由的封装抽离四、声明式导航-导航链接五、声明式导航-查询参数传参六、Vue路由-重定向七、编程式导航-两种路由跳转方式八、编程式导航-两种路径跳转传参九、多级路由十、缓存组件 一、路由的基本使用 1.目标 认识插件…

算法学习系列(三十五):贪心(杂)

目录 引言一、合并果子(Huffman树)二、排队打水(排序不等式)三、货仓选址(绝对值不等式)四、耍杂技的牛(推公式) 引言 上一篇文章也说过了这个贪心问题没有一个规范的套路和模板&am…

《白话C++》第10章 STL和boost,Page73~74 boost::scoped_array

当所要创建的具体类型必须在运行时才能确定,此时需要使用new来实现动态创建; 另外还有一种:当需要一次性创建多个对象,但到底是几个无法在写代码时知道,需要在运行时动态创建,这种情况下也需要动态创建。此…

大数据,对于生活的改变

谷歌通过对于疾病的查询量可以预测一个个h1n1病毒的大爆发, 大数据时代对于人的考验 用户的搜索记录就是一种信息,这种信息会满足其基础相关的词条与其有关的词条(最为原始的搜索机制,国内的搜索引擎都是采用这种基础原理。&…

柚见(伙伴匹配系统)第五期

后端个人信息接口 前端修改用户信息,点击提交;现在无法对接到后端,需要在后端新写一个接口/user/update。 控制层新增用户信息更新接口。 HttpServetRequest request: 前端的请求头中获取cookie,在后端查询登录态进行鉴权 User getLoginU…

化繁为简!用pytest编写接口自动化测试脚本的简易思路

引言 当今互联网时代,软件质量成为越来越重要的一个问题,而接口自动化测试是保障软件质量的一种关键手段。 在这个过程中,pytest成为了许多开发者的首选工具,既易于使用,又具有强大的功能。但是,对于初学…

C/C++ BM8 链表中倒数最后k个结点

文章目录 前言题目解决方案一1.1 思路阐述1.2 源码 解决方案二2.1 思路阐述2.2 源码 总结 前言 这道题和BM1中的思路有些许类似,整体不难。 题目 描述 输入一个长度为 n 的链表,设链表中的元素的值为 ai ,返回该链表中倒数第k个节点。 如果…

three.js 物体下落动画(重力加速度)

效果&#xff1a; <template><div><el-container><el-main><div class"box-card-left"><div id"threejs" style"border: 1px solid red"></div><el-button click"loopFun"> 物体下落…

效果图渲染为什么找「瑞云渲染」瑞云渲染邀请码WFQB

效果图的渲染可以通过个人的电脑&#xff0c;也可以通过第三方的云渲染平台&#xff0c;两者之间的区别很多人都知道是什么。如果用户需要使用个人电脑&#xff0c;通常需要搭配高性能的硬件&#xff0c;然而硬件中最贵的当数CPU、GPU&#xff0c;云渲染平台则是通过租用高配置…

day6:继承与多态

思维导图 2.编程题&#xff1a; 以下是一个简单的比喻&#xff0c;将多态概念与生活中的实际情况相联系&#xff1a;比喻&#xff1a;动物园的讲解员和动物表演 想象一下你去了一家动物园&#xff0c;看到了许多不同种类的动物&#xff0c;如狮子、大象、猴子等。现在&#xff…