密钥分发与公钥认证:保障网络通信的安全

2024-08-27 05:44

本文主要是介绍密钥分发与公钥认证:保障网络通信的安全,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在网络通信中,密钥的安全分发和公钥的有效认证是确保系统安全的关键。本文将为基础小白介绍密钥分发与公钥认证的基本概念和实际应用,帮助大家更好地理解这些技术如何保障我们的网络通信安全。

1. 密钥分发与公钥认证的背景

由于密码算法是公开的,因此密钥系统的安全性依赖于密钥的安全保护。在对称密钥密码体制中,通信双方要共享一个秘密密钥,如何将密钥分发到通信的双方是一个需要解决的问题。显然密钥必须通过安全的通路进行分发。

1.1 网外分发与网内分发

一种方法是派非常可靠的信使携带密钥分发给互相通信的用户,这种方法称为网外分发。但随着用户的增多和通信量的增大,密钥更换频繁(密钥必须定期更换才能做到可靠),派信使的办法将不再适用。因此,必须解决网内密钥自动分发的问题。

1.2 公钥的发布

对于公钥密码体制,虽然不需要共享密钥,公钥可以发布在报纸或网站上,但如何验证该公钥确实是某实体真正的公钥仍然是一个问题。这些问题的解决可以通过使用一个可信的中介机构来实现。

2. 对称密钥的分发

对称密钥的分发问题在于如何让通信双方共享密钥。目前常用的对称密钥分发方式是设立密钥分发中心(Key Distribution Center,KDC) 。KDC是一个大家都信任的机构,其任务就是给需要进行秘密通信的用户临时分发一个会话密钥。

2.1 KDC的工作原理

image

图7—10展示了KDC进行密钥分发的基本过程。假定用户A和B都是KDC的登记用户,他们分别拥有与KDC通信的主密钥KA和KB。密钥分发的三个步骤如下:

  1. 用户A请求通信:用户A向KDC发送用自己私有的主密钥KA加密的报文E(A,B),说明想和用户B通信。
  2. KDC生成会话密钥:KDC用随机数产生一个“一次一密”密钥R供A和B这次的通信使用,然后向A发送回答报文,这个回答报文用A的主密钥KA加密,报文中有密钥R和请A转发给B的报文E(KB)(A,R),但报文E(KB)(A,R)是用B的主密钥KB加密的,因此A无法知道报文E(KB)(A,R)的内容。
  3. 用户A转发报文:用户A将报文E(KB)(A,R)转发给B。B收到后,用自己的主密钥KB解密,知道A要和它通信,同时也知道和A通信时所使用的密钥R。

此后,A和B就可使用这个一次一密的密钥进行本次通信了。

2.2 防止重放攻击

KDC还可在报文中加入时间戳,防止报文的截取者利用以前记录下的报文进行重放攻击。密钥R是一次性的,因此保密性较高。而KDC分配给用户的主密钥,如KA和KB,都应定期更换以减少攻击者破译密钥的机会。

3. 公钥的签发与认证

在公钥体制中,如果每个用户都具有其他用户的公钥,就可实现安全通信。这样看来好像可以随意公布用户的公钥。其实不然。

3.1 认证中心(CA)

为了确保公钥的真实性,需要有一个认证中心(Certification Authority, CA) 将公钥与其对应的实体(人或机器)绑定。认证中心一般由政府或权威机构出资建立,负责为用户的公钥签发证书。

3.2 CA签发证书的过程

  1. 验证身份:用户向CA申请证书,提交身份证明文件。CA核实用户的真实身份。
  2. 生成密钥对:CA为用户生成私钥和公钥对,并生成证书。证书中包含公钥及其拥有者的身份标识信息(如人名、公司名或IP地址)。
  3. 签名与发布:CA用自己的私钥对证书进行数字签名,确保证书的真实性。用户可以将证书通过网络发送给希望与之通信的实体,或存放在服务器供其他用户下载。

3.3 PKI层次结构

image

由一个CA来签发全世界所有的证书显然是不切实际的。这会带来负载过重和单点故障问题。一种解决方案是将许多CA组成一个层次结构的公钥基础设施(Public Key Infrastructure,PKI) ,在全球范围内为所有互联网用户提供证书的签发与认证服务。

下级CA的证书由上级CA签发和认证。顶级的根CA能验证所有1级CA的证书,各个1级CA可以在一个很大的地理区域或逻辑区域内运作,而2级CA可以在一个相对较小的区域内运作。

3.4 PKI的信任链

所有用户都信任该层次结构中顶级的CA,但可以信任也可以不信任中间的CA。用户可以在自己信任的CA获取个人证书,当要验证来自不信任CA签发的证书时,需要到上一级验证该CA的证书的真伪,如果上一级CA也不可信任,则需要到更上一级进行验证,一直追溯到可信任的一级CA。这一过程最终有可能一直追溯到根CA。

4. 密钥分发与公钥认证的实际应用

4.1 电子商务

在电子商务中,密钥分发与公钥认证确保了交易双方的身份验证和数据传输的机密性。例如,用户在进行网上支付时,支付平台使用公钥加密用户的支付信息,确保信息在传输过程中不被窃取或篡改。

4.2 企业内部通信

企业内部通信中,使用KDC分发对称密钥,可以确保员工之间的通信安全。通过CA认证,企业可以确保只有经过认证的员工设备才能接入内部网络。

4.3 物联网(IoT)

在物联网中,设备之间的通信安全至关重要。通过PKI,设备可以获得证书并相互认证,确保只有可信设备才能加入网络并进行通信。

访问控制策略

访问控制策略是保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制,确保网络资源不被非法使用和访问。

4.1 访问控制的基本概念

在信息系统中,用户通过身份鉴别进入系统后,只能访问授权范围内的资源。身份鉴别是信息系统的第一道安全防线,访问控制则是第二道安全防线,对合法用户进行监督和限制,解决“合法用户在系统中对各类资源以何种权限访问”的问题。

4.2 访问控制的基本要素

访问控制包括主体客体访问访问控制策略等基本要素:

  • 主体(Subject) :访问活动的发起者,可以是用户、进程、服务或设备。
  • 客体(Object) :被访问的对象,如信息、文件、设备、资源、服务等。
  • 访问:对资源的各种操作类型,如读取、修改、创建、删除、执行、发送、接收等。
  • 访问控制策略:系统的授权行为规则,限制主体对客体的访问类型,通常存储在系统的授权服务器中。

4.3 访问控制策略的类型

4.3.1 自主访问控制(DAC)

自主访问控制基于主客体的隶属关系,客体的拥有者可以自主决定其他主体的访问权限。尽管灵活,但存在缺陷:权限管理分散,容易出现漏洞,难以控制被攻击主体的破坏行为。

4.3.2 强制访问控制(MAC)

强制访问控制不允许一般主体设置访问权限,主体和客体被赋予安全级别,只有安全管理员可以设定。系统通过比较安全级别决定访问权限,防止木马等恶意程序的窃密攻击。

4.3.3 基于角色的访问控制(RBAC)

基于角色的访问控制旨在降低安全管理的复杂度,根据安全策略划分不同角色,用户通过角色与许可关联。一个用户可以拥有多个角色,一个角色也可以被赋予多个用户;角色与许可之间的关系比直接赋予用户权限更加稳定和可管理,有效降低授权复杂性。

5. 总结

密钥分发与公钥认证是保障网络通信安全的基石。通过对称密钥分发中心(KDC)和公钥认证中心(CA),可以有效解决密钥分发和公钥认证的问题,确保通信双方的身份真实性和数据传输的机密性。

图文来源:《计算机网络教程》第六版微课版

这篇关于密钥分发与公钥认证:保障网络通信的安全的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1110795

相关文章

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

多路转接之select(fd_set介绍,参数详细介绍),实现非阻塞式网络通信

目录 多路转接之select 引入 介绍 fd_set 函数原型 nfds readfds / writefds / exceptfds readfds  总结  fd_set操作接口  timeout timevalue 结构体 传入值 返回值 代码 注意点 -- 调用函数 select的参数填充  获取新连接 注意点 -- 通信时的调用函数 添加新fd到

企业安全之WiFi篇

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。 0×01  无线安全 很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一

Linux 安全弹出外接磁盘

命令行操作 首先,需要卸载硬盘上的所有分区,可以使用umount来卸载分区 清空系统缓存,将所有的数据写入磁盘 sync 列出已挂载的文件系统 使用lsblk或者df命令来查找要卸载的分区 lsblk or df -h 确保没有文件正在使用 使用lsof 命令来检查 sudo lsof |grep /dev/sdc 卸载分区 假设硬盘的分区是 /dev/sdc1,使用u

3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)

所谓的协议 协议只是一种规则,你不按规则来就无法和目标方进行你的工作 协议说白了只是人定的规则,任何人都可以定协议 我们不需要太了解细节,这些制定和完善协议的人去做的,我们只需要知道协议的一个大概 HTTPS 协议 1、概述 HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据

【小迪安全笔记 V2022 】信息打点9~11

第9天 信息打点-CDN绕过篇&漏洞回链8接口探针&全网扫指&反向件 知识点: 0、CDN知识-工作原理及阻碍 1、CDN配置-域名&区域&类型 2、CDN绕过-靠谱十余种技战法 3、CDN绑定-HOSTS绑定指向访问 CDN 是构建在数据网络上的一种分布式的内容分发网。 CDN的作用是采用流媒体服务器集群技术,克服单机系统输出带宽及并发能力不足的缺点,可极大提升系统支持的并发流数目,减少或避