2. 密鑰的分配技術
密鑰的分配技術解決的是在網(wǎng)絡環(huán)境中需要進行安全通信的端實體之間建立共享的對稱密鑰問題。
密鑰分配中心方式KDC(Key Distribution Center)
這是當前一種主流方式。每個節(jié)點或用戶只需保管與KDC之間使用的密鑰加密密鑰,而KDC為每個用戶保管一個互不相同的密鑰加密密鑰。當兩個用戶需要通信時,需向KDC申請,KDC將工作密鑰(也稱會話密鑰)用這兩個用戶的密鑰加密密鑰分別進行加密后送給這兩個用戶。在這種方式下,用戶不用保存大量的工作密鑰,而且可以實現(xiàn)一報一密,但缺點是通信量大,而且需要有較好的鑒別功能,以識別KDC和用戶。
KDC方式還可以變形為電話號碼本方式,適用于非對稱密碼體制。通過建立用戶的公開密碼表,在密鑰的連通范圍內(nèi)進行散發(fā),也可以采用目錄方式進行動態(tài)查詢,用戶在進行保密通信前,首先產(chǎn)生一個工作密鑰并使用對方的公開密鑰加密傳輸,對方獲悉這個工作密鑰后,使用對稱密碼體制與其進行保密通信。
此外還有離散對數(shù)方法和智能卡方式,基本的思想是利用數(shù)學的方法使得別人無法獲得密鑰。
3. 公開密鑰的全局管理機制
公開密鑰體制主要針對開放型的大型互聯(lián)網(wǎng)絡的應用環(huán)境而設計的,這種網(wǎng)絡環(huán)境中需要有一個協(xié)調(diào)的公開密鑰管理機制,以保證公開密鑰的可靠性。
公開密鑰的管理一般基于公證機制,即需要一個通信的A、B雙方都信任的第三方N來證明A和B的公開密鑰的可靠性,這需要N分別對A和B的公開密鑰進行數(shù)字簽名,形成一個證明這個公開密鑰可靠性的證書。在一個大型網(wǎng)絡中,這樣的公證中心可以有多個,另外這些公證中心若存在信任關系,則用戶可以通過一個簽名鏈去設法驗證一個公證中心簽發(fā)的證書。
公開密鑰管理的另外一個重要方面是如何撤消過去簽發(fā),但是現(xiàn)在已經(jīng)失效的密鑰證書。
4.基于X.509證書的PKI(Public Key Infrastructure)
它是一種行業(yè)標準或者行業(yè)解決方案,在X.509方案中,默認的加密體制是公鑰密碼體制。為進行身份認證,X.509標準及公共密鑰加密系統(tǒng)提供了數(shù)字簽名的方案。用戶可生成一段信息及其摘要(亦稱作信息“指紋”)。用戶用專用密鑰對摘要加密以形成簽名,接收者用發(fā)送者的公共密鑰對簽名解密,并將之與收到的信息“指紋”進行比較,以確定其真實性。
PKI是提供公鑰加密和數(shù)字簽名服務的系統(tǒng)或平臺,目的是為了管理密鑰和證書。它能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所必需的密鑰和證書管理。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡環(huán)境。
PKIX(PublicKeyInfrastructureonX.509,簡稱PKIX)系列標準由IETFPKIX工作小組制定,定義了X.509證書在INTERNET上的使用,證書的生成、發(fā)布和獲取,各種產(chǎn)生和分發(fā)密鑰的機制,以及怎樣實現(xiàn)這些標準的輪廓結構等。
相關推薦:北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |