PcANYWHERE32密钥交换协议概述与三阶段公钥协议详解.pdfVIP

PcANYWHERE32密钥交换协议

概述

PcANYWHERE32（像大多数CryptoAPI应用程序一样）使用公钥和对称学的组合。为了提

高速度，我们主要在会话中使用对称（密钥）方法。在会话初始化期间，我们使用公钥方法来安

全地协商会话中将使用的密钥。作为副作用，公钥方法还验证主机和的。基本概念在

CryptoAPI文档中有所讨论。本文档描述了会话初始化期间使用的公钥协议。

这里描述的所有协议都是CryptoAPI文档（以及其他许多地方）中描述的三阶

段协议的变体。通常，它被描述为一个“发送方”（通过发送第一个数据包启动协议）和一个

“接收方”。为了在pcANYWHERE32的上下文中更清晰，图表是用主机和来表示的。在某

些变体中，主机是“发送方”；而在其他变体中，是“发送方”。

三阶段协议允许主机和端都知道：

•对方将用于加密会话数据的密钥；

•对方确实是其所声称的（因为公钥操作有效）；

•对方且活跃，而不是预先录制的（因为随机生成的数据的哈希值匹配）。

在此上下文中，“哈希”是一种安全的单向函数，可以将多个数据块缩减为一个固定大小的数字

（类似于高级校验和）。相同的数据总是产生相同的哈希值；不同的数据几乎总是产生不同的哈

希值；并且无法从哈希值反向获取原始数据。我们使用CryptoAPI来获取学上安全的哈希值。

协议图显示

•处理每次传输（phase1()、phase2()等）的Crypto类成员函数的名称。

•发送的数据。中间列中的箭头显示传输的方向。所有数据在接收端都会进行验证和确认。

•哪些传输涉及公钥操作。中间列中的“RSA”表示公钥操作（pcANYWHERE32使用的公钥

类型为RSA）。大多数情况下，此操作是加密以确保性（使用接收方的公钥加密，使用接收

方的私钥）。在某些情况下，操作是数字签名（使用发送方的私钥加密，使用发送方的公钥

）。括号中的“Remote”或“Host”表示使用哪一方的密钥对，从而验证哪一方的。

截至本文撰写时（），的微软文档位于NT4.0ServicePack3开发工具包的

SP3.HLP中，该工具包在TOOLS卷上。这应该会在下一个MSDN版中得到更新。

PcANYWHERE32KeyEProtocols

Overview

PcANYWHERE32(likemostCryptoAPIapplications)usesacombinationofpublic-keyandsymmetric

cryptography.Weusesymmetric(secret-key)methodsforthebulkofthesession,forthesakeofspeed.

Weusepublic-keymethodsduringsessioninitialization,tosecurelynegotiatethesecretkeystobeused

duringthesession.Asasideeffect,thepublic-keymethodsalsoverifytheidentityofboththehostand

theremote.ThebasicconceptsarediscussedintheCryptoAPIdocumentation.This

documentdescribesthepublic-keyprotocolsusedduringsessioninitialization.

Alltheprotocolsdesc