密钥的分配一般要解决两个问题:一是采用密钥的自动分配机制,以提高系统的效率;二是减少密钥在系统中驻留的量。根据不同的用户要求和网络系统的大小,有不同的解决方法。根据密钥信息的交换方式,密钥分配可以分成3类:人工密钥分发;基于可倍第三方的密钥分发;基于认证的密钥分发。
1.人工密钥分发
在很多情况下,用人工的方式给每个用户发送一次密钥。通信过程中的信息用这个密钥加密后,再进行传送。对一些保密要求很高的部门,采用人工分配是可取的,只要密钥分配人员是忠诚的,并且实施的计划周密,则人工分配密钥是安全的。随着计算机通信技术的发展,人工分配密钥的安全性将会加强。然而,人工分配密钥存在着不适应现代计算机网络的发展需要。利用计算机网络的数据处理和数据传输能力实现密钥分配自动化,有利于密钥安全。
2.基于可信第三方的密钥分发
基于可信第三方的密钥分发中可信的第三方在其中扮演两种角色。
(1)密钥分发中心(KDC)
(2)密钥转换中心(KTC)
此方案优势在于用户知道密钥和KDC的公钥,就可以通过密钥分发中心获取他将要进行通信的他方的公钥,从而建立正确的保密通信。大多数的密钥分发方法都适合于特定的应用和情景。例如,依赖于时间戳的密钥分发方案比较适合本地认证环境,因为在这种环境中,所有的用户都可访问大家都信任的时钟服务器。
3.基于认证的密钥分发
基于认证的密钥分发也可以用来进行建立成对的密钥。基于认证的密钥分发技术分为两类。
(1)用公开密钥加密系统,对本地产生的加密密钥进行加密。
(2)秘密密钥有本地和远端密钥管理实体一起合作产生密钥。这个技术称为密钥交换或密钥协议。
