密鑰協商

密鑰協商協議：會話密鑰由每個協議參與者分別產生的參數通過一定的計算得出。常見的密鑰協商協議，如IKE。

密鑰協商協議的生成方式：可分為證書型和無證書型。證書型是指在會話密鑰的產生過程中，由一個可信的證書中心（CA）給參與密鑰協商的各方各分發一個證書，此證書中含有此方的公鑰，ID及其他信息。證書型密鑰協商協議的優點是提供認證，PKI（公鑰密碼體制）廣泛部署，比較成熟，應用面廣，且由PKG管理公私鑰對有利於統一管理，缺點是計算代價大，需要一個可信的CA，同時證書還需要維護。無證書型是指各方在進行會話密鑰的協商過程中不需要證書的參與，這是密鑰協商協議的主流種類，優點是不需要CA的參與，減少了計算量，尤其是在低耗環境下應用的更多，同時安全性也不比證書型弱。幾乎沒有明顯的缺點，只是設計一個安全的更加低耗的無證書密鑰協商方案不是很容易。