因公钥能公开无泄露风险,因此用非对称密码技术可简化密钥管理。非对称密钥管理技术可分为以下两种模式。
1.无中心模式
每对用户借交换得到对方公钥。当两个用户间要保密通信时,可直接用对方的公钥加密数据,对方收到密文后用自己的私钥解密;也可随机产生一个对称密钥,用对称密钥加密数据,再用对方的公钥加密对称密钥,对方收到密文后,先用自己的私钥解密得到的对称密钥,再用该对称密钥解密数据。
无中心模式有以下特点:
(1)公钥交换次数随用户数目呈指数增长。N个用户时,公钥交换次数共需N(N-1)/2。如,N=6时为15次交换,N=1000时为500000次交换。
(2)每个用户需保存全部用户的公钥。N个用户时,每个用户保管N-1个公钥。
因公钥交换次数随用户数呈指数增长,且每个用户都得管理全部用户的公钥,因此该模式只适用于小规模用户。
该模式如今较成熟的应用是PGP模式,互联网上有许多独立的个体内部用。
2.有中心模式
有一个独立的密钥管理中心,每个用户均它。该中心为每个用户分配一个公钥,并存储和管理全部的用户公钥。分配密钥时,用户自己可产生公钥与私钥,只把公钥给密钥管理中心;也可由该中心给用户产生公钥与私钥,把两个密钥均安全传递给用户,但只保存公钥。当某用户的私钥泄露后,密钥管理中心标记该用户的公钥失效。
当两个用户间要保密通信时,需由密钥管理中心动态验证对方公钥的是否失效或是否是当前用户的。
有中心模式有以下特点:
(1)公钥分配次数与用户数目呈线性关系。N个用户时,公钥分配次数为N,且每个用户只保管1个私钥与公钥。
(2)因公钥是随机产生的,不能判断是哪个用户的,因此密钥管理中心得保存公钥与用户的映射关系,有该关系被篡改的安全风险。
(3)用户间保密通信时,要由密钥管理中心动态验证对方公钥的合法性,既不能进行脱机保密通信,又容易造成该中心的性能瓶颈。
因密钥管理中心需存储全部公钥与用户的映射关系,且要在线验证公钥的合法性,因此该模式对大规模的公众服务领域不适用。
