透過對稱加密分發對稱金鑰
要求
- 雙方使用相同的key
- 只有雙方知道密鑰
- 需要頻繁的修改key: 減少洩漏資料量
- 透過密鑰分發技術,修改key並且安全的分發
分發方式
- A選key,實體分發給B
- A請求第三方由實體key分發給B
- A使用先前的key加密傳給B 新key
- 由第三方選擇key並透過加密連線分發給A, B
Kerberos
- Authentication: 讓Server與client驗證彼此身份
- Ticket: 用於認證Client的資訊
- key distribution center (KDC): 分發key的可信任第三方
- Authentication Service (AS): 用於認證使用者身份的服務
- Ticket Granting Service (TGS): 製作服務提供者驗證用的資訊
- Kerberos realm: 請求本身 KDC 管轄以外的服務,KDC 之間互信以請求另一服務許可
Kerberos 流程
- 使用者對 AS 要求 Ticket
- AS 確認 Client 身份回傳 Ticket (被 TGS 的 key 加密的內容)
- 對 TGS 透過先前的 Ticket 請求特定服務許可
- TGS 根據 Ticket 提供許可 (許可為 TGS 選定的 key 加密的內容)
- client 透過 TGS 回傳資訊請求 server
- Server 驗證 Client 之後回傳 Session key
非對稱分發
要求
- 如何取得有效的public key
- 公鑰加密法 加密 對稱加密的key
證書
透過可信賴第三發發行證書。
- 擁有者的資訊
- 擁有者的公鑰
- 認證者的資訊 CA
- CA 私鑰加密以上資料的Hash
認證時,透過CA的public解密並且比較Hash值
X.509證書:
- 有效期間
- X.509 Hierarchy: 證書的從屬認證, 溯原以認證簽章的正確性
保護
- 撤銷證書服務
公鑰基礎設施
- End entity:
- CA:
- RA:
- CRL issuer:
- Repository:
管理
- Registration:
- initialization:
- certification:
- key pair recovery:
- key pair update:
- revocation request:
Network Security Information Security Cryptography