金鑰分發中心(kdc)
基本思想就是利用受信任的第三方,我們委託它對與我們通訊的各方進行認證。這種第三方通常是由網路上某處一台安全的機器來實現的。這台機器被稱做金鑰分發中心(keydistribution center,kdc)。每個需要保密通訊安全的個人都與 kdc 共享乙個金鑰。
過程:當 alice 想要與 bob 進行通訊時,她就給 kdc 傳送訊息,該訊息以其與 kdc 共享的金鑰ka加以保護,請求與 bob 進行通訊。kdc 產生了乙個新的用於alice 與 bob 之間進行通訊的加密金鑰ks,再將其放在一條稱做許可證(ticket)的訊息中返回。一條許可證訊息由兩條訊息組成。第一條訊息是給alice 的,其中帶有新金鑰。第二條訊息是給 bob 的,用bob的金鑰進行加密,其中也包含新金鑰。alice將許可證中 bob 的那一部分轉交給 bob,現在alice 與 bob 共享金鑰ks。
這種方案有兩種主要缺點。首先,kdc 必須總是處於聯機狀態,因為如果它下線的話,就無法完成通訊初始化。其次kdc 能夠讀取任何兩方之間傳遞的資料。它還能夠偽造兩方之間的通訊。更糟的是,如果 kdc 被攻克的話,任何兩個 kdc 使用者之間的通訊均將遭難。
公用金鑰加密
基本思想:在加密和解密時使用不同金鑰的函式。你公開自己的加密金鑰(公用金鑰),但解密金鑰(私用金鑰)要保密。(由於公用與私用金鑰的不同,公用金鑰加密有時被稱做非對稱加密,而共享金鑰加密有時被稱做對稱加密)。這意味著無需碰面,任何人都能夠給你傳送保密資訊。這在消除需要預先共享金鑰的不方便之處的同時也解決了其中的保密性的問題。
你的私用金鑰可以用來建立某種稱作數字簽名的東西,它與 mac 之間的關係如同公用金鑰加密與秘密金鑰加密之間的關係一樣。你使用私用金鑰對訊息進行簽名,而接收方使用你的公用金鑰來驗證你的簽名。注意,數字簽名具有一項mac 所不具備的重要屬性:不可抵賴性(nonrepudiation)。傳送方和接收方都可以產生 mac,但是只有簽名者才能夠產生簽名。這樣,接收者就可以證明傳送方對訊息進行了簽名而傳送方無法抵賴。
缺點:請問各方是如何得到彼此的公用金鑰的。如果這些金鑰是以電子形式發表的,或是通訊各方通過交換得到的話,那麼攻擊者就能夠在這些金鑰傳遞給接收者的過程中進行篡改。當兩方打算進行通訊時,攻擊者截獲他們的金鑰,並代之再將自己的金鑰傳送給每一方。這樣每一方都會按照攻擊者的要求來進行加密,而攻擊者根據真正的接收者重新進行加密,這被稱作中間人攻擊(man-in-the-middleattack)。然而,如果將金鑰以物理方式印刷出來,則很不方便。
證書(ca)
解決方案(還是)就是通過稱之為證書授予權(certificateauthority,ca)的第三方。ca對包含金鑰屬主及其公用金鑰的單一資訊進行簽名。這些資訊一般被稱作證書(certificate),證書授予權因而得名。
優點:涉及證書的公用金鑰解決方案仍然要包含受信的第三方(即 ca),但是它們的確修正了我們前面所描述的基於 kdc 系統的主要問題。由於同乙個證書可以用來向任何人證明其公用金鑰,所以 ca 沒有必要為了讓 alice 與bob 進行通訊,而始終處於聯機狀態。同時因為 ca無法訪問任何人的私用金鑰,所以它也不能讀取任何資訊。
C a 與 a 的區別
c a 與 a 的區別 執行環境 window7 64bit,netframework4.61,c 6.0 編者 烏龍哈里 2017 02 21 查資料時看到別人的寫法 while a示例1 int n 3 int a 0 while a n console.writeline final cons...
CA(載波聚合)與DC(雙連線)區別
二者本質上是相同的 都是通過第二個 第三個或更多的小區來為同乙個ue提供服務,以提公升使用者體驗。區別 ca僅限於同一種無線接入技術 eutra 內,大多數時候是同乙個巨集站下的不同小區聚合,可以看做lte內的dc dc是lte和其他3gpp無線接入技術間的,現在最著名en dc eutran nr...
ca證書 linux 匯入 CA搭建與證書申請
一 建立私有ca openssl的配置檔案 etc pki tls openssl.cnf 根據此配置檔案建立ca certs 證書存放目錄 etc pki ca certs database 資料庫檔案 etc pki ca index.txt new certs dir 新頒發證書存放路徑 et...