非对称密码技术的密钥分配要求私钥仅通信一方知道,而其他方均不知道,与私钥匹配用的公钥是公开的,任何人均能用该公钥与拥有私钥的一方进行保密通信。此方案主要包括以下两方面的内容:
1)公钥的分配
非对称密码技术使密钥分配变得较容易,但也有一些问题。无论网络系统中有多少人,每个人只有一个公钥。有几种方法可以获取公钥,包括公开发布公共目录、公钥权限和公钥证书。
(1)公开发布。公开发布指用户把其公钥发至另一参与者,或向涉及的人群进行广播。不过这种方法有个非常明显的不足:任何人均可伪造一个公钥冒充他人。
(2)公用目录。公用目录由一个可信任的系统/组织建立、管理与维护,公共目录维护一个公共动态目录,每个目录项的信息均须通过安全认证。任何一个人均能从此得到需要保密通信的公钥。比较于公开发布公钥,此方法的安全性较高。但也有一个致命的不足,若攻击者顺利取得目录管理机构的私钥,则能伪造公钥,并发给他人进行欺骗。
(3)公钥机构。为保证公钥的安全性,需要满足:每个用户均能安全地了解管理机构的公钥,且仅管理机构了解自己的私钥,这样任意通信双方都均从该管理机构得到他想要的任何其他通信方的公钥,通过该管理机构的公钥就能判断其得到的其他通信方公钥的可信度。这种方法比简单的公共目录更安全,但这种方法也有缺点:因每个用户若要与他人通信均需通过公钥管理机构,因此管理机构可能会变成系统的瓶颈,和管理组织维护的公共目录也容易受到攻击者的攻击。
(4)公钥证书。为克服公开密钥管理机构的阻碍,可利用公钥证书。也就是用公钥证书实现公钥分配,可不与公钥管理机构通信,同时还可以体现其他通信各方的公钥可信度,事实上克服了公开发布与公用目录的安全问题。
2)利用非对称密码技术进行对称密码技术密钥的分配
用非对称密码技术保密通信可不错地确保数据的安全性。但但由于加密和解密速度很慢,实际上更多时候非对称密码技术是用于分配对称密码技术密钥。这种分配方式把非对称密码技术和对称密码技术的优点整合在一起,即用非对称密码技术保护对称密码技术密钥的传送,确保了对称密码技术密钥的安全性。用对称密码技术保密通信,由于密钥是安全的,因而通信的信息也是安全的,同时还利用了对称密码技术加密速度快的特点,所以这种方法有非常强的适应性,在现实应用中被普遍采用。
