密鑰協商

密鑰協商協定：會話密鑰由每個協定參與者分別產生的參數通過一定的計算得出。常見的密鑰協商協定，如IKE。

密鑰協商協定的生成方式：可分為證書型和無證書型。證書型是指在會話密鑰的產生過程中，由一個可信的證書中心（CA）給參與密鑰協商的各方各分發一個證書，此證書中含有此方的公鑰，ID及其他信息。證書型密鑰協商協定的優點是提供認證，目前PKI（公鑰密碼體制）廣泛部署，比較成熟，套用面廣，且由PKG管理公私鑰對有利於統一管理，缺點是計算代價大，需要一個可信的CA，同時證書還需要維護。無證書型是指各方在進行會話密鑰的協商過程中不需要證書的參與，這是目前密鑰協商協定的主流種類，優點是不需要CA的參與，減少了計算量，尤其是在低耗環境下套用的更多，同時安全性也不比證書型弱。幾乎沒有明顯的缺點，只是設計一個安全的更加低耗的無證書密鑰協商方案不是很容易。