首页 > 其他分享 >密钥分配和用户认证——基于对称加密的密钥分配

密钥分配和用户认证——基于对称加密的密钥分配

时间:2023-11-13 17:26:20浏览次数:33  
标签:加密 Kerberos 用户 认证 密钥 应用服务器 分配

基于对称加密的密钥分配(Symmetric Key Distribution using symmetric encryption)

  • 对于对称加密,加密双方必须共享同一密钥,且必须保护密钥不被他人窃取
  • 需要频繁地改变密钥,以减少攻击者可能知道密钥所带来的数据泄露

因此,任何密码系统的强度取决于密钥分配技术(密钥分发技术:传递密钥给希望交换数据的双方,且不允许其他人看见密钥的方法):

  1. A能够选定密钥,并通过物理方法传递给B
  2. 第三方能够选定密钥,并通过物理方法传递给A和B
  3. 如果A和B之前使用过一个密钥,一方可以把旧密钥加密成新密钥,再将其传递给另一方
  4. 如果A和B各自有一个跟第三方C的加密链路,那么C可以通过加密链路传递密钥给A和B

Kerberos

  • 是由麻省理工学院MIT开发的密钥分配和用户安全认证系统
  • 利用集中的认证服务器实现用户对服务器的认证和服务器对用户的认证
  • 完全依赖于对称加密体制,而不使用公钥加密体制

Kerberos版本4消息交换总结:

  1. 用户明文方式向AS(认证服务器)发送请求,获得TGS许可证
  2. AS返回证书,证书包含TGS的许可证和用户与TGS间的会话密钥,会话密钥以用户密钥加密传输
  3. 用户通过解密得到TGS许可证与用户与TGS会话密钥,用户使用TGS许可证与带时间戳的认证符(Authenticator) (认证符使用用户与TGS会话密钥加密),拿这两个去访问TGS服务器申请应用服务器访问许可证
  4. TGS服务器从许可证中取出会话密钥,解密认证符,验证认证符中时间的有效性,如果合法,则生成所要求的应用服务器许可证(Ticket),许可证包含新产生的用户与应用服务器之间的会话密钥,传回给用户
  5. 用户向应用服务器提交应用服务器的许可证和用户新产生的带时间戳的认证符(使用用户与应用服务器之间的会话密钥加密)
  6. 应用服务器从许可证中取出会话密钥,解密认证符,取出时间戳并检验有效性,然后向用户返回一个带时间戳的认证符,改认证符使用用户与应用服务器之间的会话密钥加密

Kerberos域

  • 共享同一个Kerberos数据库的一组受控节点
  • Kerberos数据库驻存于Kerberos 主计算机系统中,其放置在一个物理上安全的房间中
  • 一个只读的Kerberos数据库副本也可能驻存于其他Kerberos 计算机系统中
  • 对数据库的全部更改必须在主计算机系统中进行
  • 改变或访问Kerberos数据库中的内容需要Kerberos主口令

一个Kerberos环境包括:一台Kerberos服务器,若干客户端,若干应用服务器

  • Kerberos主体是对Kerberos系统已知的服务和用户。主体名 = 一个服务或用户名 + 一个实例名 + 一个域名。

标签:加密,Kerberos,用户,认证,密钥,应用服务器,分配
From: https://www.cnblogs.com/pppppx/p/17829592.html

相关文章

  • mysql 国密加密字段排序和模糊搜索
    双写加密字段和明文分别存到两个字段中,查询只对明文进行操作. (备注:这种只是应对检查或者设计的方式,对于程序没有实际意义)使用函数利用mysql已有加解密的函数,在排序和模糊搜索之前解密数据,再进行排序或者模糊搜索.(备注:查询速度受到很大影响,不能使......
  • Cocos Creator 「无侵入」资源加密方案
    前言CocosCreator打包后的素材资源,如:图片,声音等,默认是保持原始格式,只要遇到破解党,那么他们极有可能很简单就直接获取到这部分素材资源。针对这个问题,大部分同学都会有一种资源加密的需求,即对打包后的资源进行加密,让破解党不那么容易获取到资源。对啦!这里有个游戏开发交流小组......
  • es 开启重新分配和修改水位线
    出现如下图磁盘水平线报警问题会导致副本unassigned 定位问题:有两个datanode磁盘容量为90%以上。解决问题:将磁盘容量将低到80%以下后,自动平衡完成。开启重分配命令:复制curl-XPUT'localhost:9200/_cluster/settings'-d'{"transient":{"cluster.routing.allocation.e......
  • shellcode混淆加密(二)
    shellcode混淆加密(二)这篇笔记其实不光是加密的东西,还有学习到的各种免杀的小技巧,关于XOR的部分已经实现了一个小工具,可以看https://www.cnblogs.com/fdxsec/p/17809606.html,这里就不再写了。加密的东西可以套娃的,多加密几次起到一个欺骗杀软的效果。一、RC4利用未公开函数进行R......
  • PHP参数加密
    Header每次使用API所需要的Header設定值ParameterTypeValueDescriptionAuthorizationstringapitoken系統商TokenContent-Typestringmultipart/form-data除GET、DELETE方法外都需要Sign每次呼叫都必須在網址加上一個sign參數,而sign參數是以傳遞資料及APIKEY產生:先將參數陣列照......
  • 小程序可用emoji加密md5.js
    小程序的昵称有emoji表情,之前网上找的md5库加密后和php加密的md5不一样用下面的代码可以解决此问题//https://github.com/blueimp/JavaScript-MD5(function($){'usestrict'/***Addintegers,wrappingat2^32.*Thisuses16-bitoperationsinternallyt......
  • 哪些资源预分配了内存:e820
    在操作系统开始管理内存之前,首先要获取物理内存的信息,比如共有多少物理地址是可用的?有哪些物理地址是被ACPI(AdvancedConfigurationandPowerInterface)数据使用?这些信息从何而来?e820就是x86架构(包括x86_64)上的操作系统引导程序提供物理内存信息的功能。当请求BIOS中断号15H,......
  • 哪些资源预分配了内存:e820
    在操作系统开始管理内存之前,首先要获取物理内存的信息,比如共有多少物理地址是可用的?有哪些物理地址是被ACPI(AdvancedConfigurationandPowerInterface)数据使用?这些信息从何而来?e820就是x86架构(包括x86_64)上的操作系统引导程序提供物理内存信息的功能。当请求BIOS中断号15H,......
  • 哪些资源预分配了内存:e820
    在操作系统开始管理内存之前,首先要获取物理内存的信息,比如共有多少物理地址是可用的?有哪些物理地址是被ACPI(AdvancedConfigurationandPowerInterface)数据使用?这些信息从何而来?e820就是x86架构(包括x86_64)上的操作系统引导程序提供物理内存信息的功能。当请求BIOS中断号15H,......
  • 服务器配置ssh密钥免登录
    一、简介二、实操三、问题 一、简介当服务器登录使用账号密码比较麻烦时,就可以使用密钥ssh。二、实操1.生成公密钥。1.1windows生成命令行输入ssh-keygen1、输入命令后第一行是输入密钥保存地址,不输入就是默认文件地址 2......