一、基於對稱加密的對稱密鑰分發
對於對稱加密來說,通信雙方必須使用相同的密鑰,並且該密鑰對其他人保密,在限制攻擊者攻陷密鑰所需要的數據總數時,頻繁的密鑰交換是安全的。
任何密碼系統的強度取決於密鑰分發技術,即在想要交換數據的兩者之間傳遞密鑰不被其他人知道的方法。
密鑰分發中心(KDC)
密鑰分發方案:
層次密鑰控制:
同一個本地域的兩個實體間通信由本地KDC複雜密鑰分發。
不同域的兩個實體則需要一個共享密鑰,此共享密鑰由兩個相對應的本地KDC通過全局KDC協商產生,這種情況下,這三個KDC中的任何一個都可以選擇密鑰。
層次的概念可以依據用戶的規模以及網絡的地理範圍擴展到三個或者更多的層。
層次策略使得主密鑰分發的開銷最小化,因爲大部分的主密鑰是由本地KDC及其實體所共享的,而且該策略將有缺陷的或者被破壞的KDC的危害限制在本地域中。
會話密鑰生命週期:
面向連接的自動密鑰分發協議:
分佈式密鑰分發:
控制密鑰:
二、基於非對稱加密的對稱密鑰分發
混合方案:KDC和每個用戶共享一個主密鑰,用主密鑰加密要分發的會話密鑰,公鑰方案被用於分發主密鑰。
三、公鑰分發
- 公開發布
- 公開可訪問目錄
- 公鑰授權
- 公鑰證書
無控制的公鑰分發:
![在這裏插入圖片描述]()
公鑰的分佈:
![在這裏插入圖片描述]()
公鑰的分發:
![在這裏插入圖片描述]()
公鑰證書的交換:
![在這裏插入圖片描述]()
四、公鑰基礎設施
PKI系統是由硬件、軟件、人、策略和程序構成的一整套體系,這些程序是用來創建、管理、存儲、分發和撤銷建立在非對稱密碼算法之上的數字證書。
創建PKI的主要目的是用來安全、便捷、高效地獲得公鑰。
