(1)金鑰的分發(對稱密碼學)
對稱密碼學的一個缺點就是需要通訊雙方事先對金鑰達成一致協議。採用的`解決方案是使用雙方都信任的金鑰分發中心。金鑰分發中心(KDC)是一個獨立的可信網路實體。是一個服務器,知道每個使用者的祕密金鑰,每個使用者通過這個祕密金鑰與KDC進行安全通訊。
(2)金鑰的認證(公共金鑰)
對於公共金鑰加密,通訊實體必須先交換公共金鑰。一個使用者可以通過多種方式公佈其公共金鑰。為保證不會收到第三方的主動攻擊,需要使用一個可信媒介——認證中心。認證中心(CA)驗證一個公共金鑰是否屬於一個特殊實體。簡單地說,CA就是認證這個公鑰是屬於誰的。
認證中心(CA)負責將公共金鑰和特定實體進行繫結,其工作就是證明身份的真實性和發放證書。CA具有以下作用。
①CA驗證實體(個人、路由器)的身份
②一旦CA驗證了實體的身份,就產生一個證書,將這個公共金鑰和身份進行繫結。證書中包括公共金鑰和金鑰所有者的全球惟一的標識資訊。這個證書由認證中心進行數字簽名。
國際電信聯盟(ITU)和IETF制定了認證中心的標準。ITUX.509[ITU1993]不但定義了認證服務,還定義了認證的特定語法。
