密钥协商是继加密和数字签名以后重要的密码学组件。应用密钥协商协定,参与者可以通过互换公开信息协商获得临时会话密钥,该密钥用于这些参与者随后的安全通讯。别的,安全的密钥协商协定也是构造复杂的高层综合通讯协定的基本模块。
如何构建安全和高效的密钥协商协议一直是研究热点。Diffie 和Hellman提出的著名的Diffie-Hellman 协议是第一个真正意义上的密钥协商协议, 这一协议也由于引入公钥密码体制而开创了现代密码学的新纪元。但原始的Diffie-Hellman 协议由于未对参与者的身份进行认证, 因此容易受到中间人攻击。为了弥补这一漏洞,学者们提出了认证密钥协商协议。认证密钥协商可以使在由敌手控制的不安全网络中通信的参与者在建立长期会话密钥的同时,保证除合法参与者之外的其它实体都无法获得关于本次会话密钥的任何相关信息。
近年来,适用于不同使用环境的密钥协商协议被提出,消息认证码、秘密共享、数字签名等密码学组件也被普遍用于安全的密钥协商协议的设计中。
依据参与者长期私钥的不同性质, 密钥协商协议主要包括:
(1)基于PKI的密钥协商协议;
(2)基于身份的密钥协商协议。
在基于PKI的密钥协商协议中,每个参与者都拥有一对长期公私钥对,也拥有一对临时公私钥对。协议假定每个参与者事前知晓其它参与者的长期公钥。 当协议开端后,参与者交换它们的临时公钥,并应用各自的长期私钥和临时私钥,经过某种方式的计算取得相同的会话密钥。基于PKI的密钥协商是目前使用最普遍的密钥协商方法。但是, PKI系统中证书的分发、管理、销毁等环节成本高、技术复杂不断被人们所诟病,也制约了基于证书的密钥协商的开展。针对这种状况,基于身份的密钥协商应运而生。
依据参与者个数的不同,密钥协商可分为:
(1)双方密钥协商(2AKA)协议;
(2)三方密钥协商(3AKA)协议;
(3)群密钥协商(GAKA)协议。
值得阐明的是,这里的三方密钥协商协议严厉来讲应该称为有第三方参与的单方密钥协商协议。与传统的单方密钥协商协议不同,有第三方参与的单方密钥协商协议中有一个可信或半可信的第三方用来协助单方参与者生成会话密钥。 这里,可信是指第三方不只忠实地执行协议流程,而且允许其掌握会话密钥;而半可信是指该第三方会忠实地执行协议流程,但不允许其取得会话密钥或可计算失掉会话密钥的相关信息。
