经过身份验证的密钥交换

本部分仅适用于 Windows Server 2003 SP1 及更高版本,以及 Windows XP SP2 及更高版本。

下图显示了通过身份验证和密钥交换建立安全连接。 首先,视频微型端口驱动程序向应用程序提供图形硬件证书。 接下来,应用程序从图形硬件证书中提取公钥。 应用程序生成数据完整性密钥 (kDI) 后,应用程序使用公钥对包含数据完整性密钥的序列进行加密,并将序列提供给驱动程序。

命令和状态消息随后未加密传递;但是,对于每条消息,MAC 都是使用数据完整性键创建的。

diagram illustrating authentication and key exchange.

有关 MAC 的详细信息,请参阅 COPP 使用的加密基元

下表描述了上图中的值。

说明

rGH

驱动程序生成的 128 位随机数。

CertGH

图形硬件使用的长度可变的数字证书。

PGH (rGHkDI、status_start、command_start)

安全通道的启动序列,由以下项连接在一起:

  • 驱动程序生成的 128 位随机数。

  • 应用程序生成的 128 位随机数据完整性会话密钥。

  • 应用程序生成的 32 位随机启动状态序列号。

  • 应用程序生成的 32 位随机启动命令序列号。

应用程序使用从图形硬件证书获取的公钥来加密序列。 序列长度为 2,048 位;序列的其余部分用 0 填充。