密钥分发中心
在密码学中, 密钥分发中心(key distribution center, KDC)是加密系统的一部分,旨在降低交换密钥所固有的风险。 KDC往往在这样的系统中发挥作用,即一些用户可以在某些时间拥有使用特定服务的权限,其他时间则没有。
安全概述
例如,某管理员可能建立了仅某些用户可以备份到磁带的策略。 许多操作系统可以通过“系统服务”控制对磁带设备的访问。 如果该系统服务进一步做限制,当用户想要使用磁带机时,只授权给那些能够提交服务授权票证的用户,那么剩下的任务就是将这些票证分发给适当允许的用户。如果票证是(或包括)一个密钥,则可以使用将其分配给KDC的机制。 通常,在这种情况下,KDC本身也作为系统服务运行。
操作方式
使用KDC进行的典型操作涉及用户的请求以使用某些服务。KDC将使用加密技术来验证请求用户的身份。它还将检查单个用户是否有权访问所请求的服务。如果经过身份验证的用户符合所有规定的条件,则KDC可发出允许访问的票证。
KDC主要使用对称加密进行操作。
在大多数(但不是全部)情况下,KDC 与所有其他各方共享一个密钥。
服务器可以验证提交的票证并向提交它的用户授予访问权限。
使用 KDC 的安全系统包括Kerberos。(实际上, Kerberos将KDC的功能分成两个部分:身份验证服务器(Authentication Server,AS)和票据授予服务(Ticket Granting Service,TGS)。)
外部链接
- Kerberos 身份验证协议 (页面存档备份,存于互联网档案馆)
- Microsoft:Kerberos 密钥分发中心 - TechNet (页面存档备份,存于互联网档案馆)
- Microsoft:密钥分发中心 - MSDN (页面存档备份,存于互联网档案馆)