密鑰管理

“密鑰管理”是指在通信中，通信雙方經過認證后，由雙方協商、交換、分發(fā)、保存、更新和銷毀密鑰的過程，以實現保護信息安全的一種技術。 密鑰管理是實現安全通信的重要組成部分，它可以使得雙方通信者可以相互認證，并且可以保證通信過程中的信息安全。密鑰管理的主要目的是實現安全通信，其實現的原理是通過密鑰來實現加密和解密，從而實現信息的安全傳輸。 密鑰管理的應用可以分為兩類：一類是對稱密鑰管理，即使用一個共享的密鑰，用于加密和解密；另一類是非對稱密鑰管理，它使用一對公鑰和私鑰，公鑰用于加密，私鑰用于解密。 對稱密鑰管理的主要特點是：雙方通信者可以使用一個共享的密鑰，用于加密和解密，這樣可以保證通信的安全性；但是，由于使用的是共享的密鑰，因此雙方的認證就變得比較困難，可能會導致安全性降低。 非對稱密鑰管理的主要特點是：雙方通信者可以使用一對公鑰和私鑰，公鑰用于加密，私鑰用于解密，這樣可以保證通信的安全性；而且，由于使用的是一對公鑰和私鑰，因此雙方的認證也變得比較容易，可以有效提高安全性。 總之，密鑰管理是實現安全通信的重要組成部分，可以使得雙方通信者可以相互認證，并且可以保證通信過程中的信息安全，有效防止信息的泄露和攻擊。

---

密鑰管理包括，從密鑰的產生到密鑰的銷毀的各個方面。

主要表現于管理體制、管理協議和密鑰的產生、分配、更換和注入等。對于軍用計算機網絡系統(tǒng)，由于用戶機動性強，隸屬關系和協同作戰(zhàn)指揮等方式復雜，因此，對密鑰管理提出了更高的要求。

 

流程

　�。�1）密鑰生成 　　密鑰長度應該足夠長。一般來說，密鑰長度越大，對應的密鑰空間就越大，攻擊者使用窮舉猜測密碼的難度就越大。 　　選擇好密鑰，避免弱密鑰。由自動處理設備生成的隨機的比特串是好密鑰，選擇密鑰時，應該避免選擇一個弱密鑰。 　　對公鑰密碼體制來說，密鑰生成更加困難，因為密鑰必須滿足某些數學特征。 　�。�2）密鑰分發(fā) 　　采用對稱加密算法進行保密通信，需要共享同一密鑰。通常是系統(tǒng)中的一個成員先選擇一個秘密密鑰，然后將它傳送另一個成員或別的成員。X9.17標準描述了兩種密鑰：密鑰加密密鑰和數據密鑰。密鑰加密密鑰加密其它需要分發(fā)的密鑰；而數據密鑰只對信息流進行加密。密鑰加密密鑰一般通過手工分發(fā)。為增強保密性，也可以將密鑰分成許多不同的部分然后用不同的信道發(fā)送出去。 　�。�3）驗證密鑰 　　密鑰附著一些檢錯和糾錯位來傳輸，當密鑰在傳輸中發(fā)生錯誤時，能很容易地被檢查出來，并且如果需要，密鑰可被重傳。 　　接收端也可以驗證接收的密鑰是否正確。發(fā)送方用密鑰加密一個常量，然后把密文的前2-4字節(jié)與密鑰一起發(fā)送。在接收端，做同樣的工作，如果接收端加密后的常數能與發(fā)端常數匹配，則傳輸無錯。 　�。�4）更新密鑰 　　當密鑰需要頻繁的改變時，頻繁進行新的密鑰分發(fā)的確是困難的事，一種更容易的解決辦法是從舊的密鑰中產生新的密鑰，有時稱為密鑰更新。可以使用單向函數進行更新密鑰。如果雙方共享同一密鑰，并用同一個單向函數進行操作，就會得到相同的結果。 　�。�5）密鑰存儲 　　密鑰可以存儲在腦子、磁條卡、智能卡中。也可以把密鑰平分成兩部分，一半存入終端一半存入ROM密鑰。還可采用類似于密鑰加密密鑰的方法對難以記憶的密鑰進行加密保存。 　�。�6）備份密鑰 　　密鑰的備份可以采用密鑰托管、秘密分割、秘密共享等方式。 　　最簡單的方法，是使用密鑰托管中心。密鑰托管要求所有用戶將自己的密鑰交給密鑰托管中心，由密鑰托管中心備份保管密鑰（如鎖在某個地方的保險柜里或用主密鑰對它們進行加密保存），一旦用戶的密鑰丟失（如用戶遺忘了密鑰或用戶意外死亡），按照一定的規(guī)章制度，可從密鑰托管中心索取該用戶的密鑰。另一個備份方案是用智能卡作為臨時密鑰托管。如Alice把密鑰存入智能卡，當Alice不在時就把它交給Bob，Bob可以利用該卡進行Alice的工作，當Alice回來后，Bob交還該卡，由于密鑰存放在卡中，所以Bob不知道密鑰是什么。 　　秘密分割把秘密分割成許多碎片，每一片本身并不代表什么，但把這些碎片放到一塊，秘密就會重現出來。 　　一個更好的方法是采用一種秘密共享協議。將密鑰K分成n塊，每部分叫做它的“影子”，知道任意m個或更多的塊就能夠計算出密鑰K，知道任意m-1個或更少的塊都不能夠計算出密鑰K，這叫做（m,n）門限（閾值）方案。目前，人們基于拉格朗日內插多項式法、射影幾何、線性代數、孫子定理等提出了許多秘密共享方案。 　　拉格朗日插值多項式方案是一種易于理解的秘密共享(m,n)門限方案。 　　秘密共享解決了兩個問題：一是若密鑰偶然或有意地被暴露，整個系統(tǒng)就易受攻擊；二是若密鑰丟失或損壞，系統(tǒng)中的所有信息就不能用了。 　�。�7）密鑰有效期 　　加密密鑰不能無限期使用，有以下有幾個原因：密鑰使用時間越長，它泄露的機會就越大；如果密鑰已泄露，那么密鑰使用越久，損失就越大；密鑰使用越久，人們花費精力破譯它的誘惑力就越大棗甚至采用窮舉攻擊法；對用同一密鑰加密的多個密文進行密碼分析一般比較容易。 　　不同密鑰應有不同有效期。 　　數據密鑰的有效期主要依賴數據的價值和給定時間里加密數據的數量。價值與數據傳送率越大所用的密鑰更換越頻繁。 　　密鑰加密密鑰無需頻繁更換，因為它們只是偶爾地用作密鑰交換。在某些應用中，密鑰加密密鑰僅一月或一年更換一次。 　　用來加密保存數據文件的加密密鑰不能經常地變換。通常是每個文件用唯一的密鑰加密，然后再用密鑰加密密鑰把所有密鑰加密，密鑰加密密鑰要么被記憶下來，要么保存在一個安全地點。當然，丟失該密鑰意味著丟失所有的文件加密密鑰。 　　公開密鑰密碼應用中的私鑰的有效期是根據應用的不同而變化的。用作數字簽名和身份識別的私鑰必須持續(xù)數年（甚至終身），用作拋擲硬幣協議的私鑰在協議完成之后就應該立即銷毀。即使期望密鑰的安全性持續(xù)終身，兩年更換一次密鑰也是要考慮的。舊密鑰仍需保密，以防用戶需要驗證從前的簽名。但是新密鑰將用作新文件簽名，以減少密碼分析者所能攻擊的簽名文件數目。 　�。�8）銷毀密鑰 　　如果密鑰必須替換，舊鑰就必須銷毀，密鑰必須物理地銷毀。 　�。�9）公開密鑰的密鑰管理 　　公開密鑰密碼使得密鑰較易管理。無論網絡上有多少人，每個人只有一個公開密鑰。 　　使用一個公鑰/私鑰密鑰對是不夠的。任何好的公鑰密碼的實現需要把加密密鑰和數字簽名密鑰分開。但單獨一對加密和簽名密鑰還是不夠的。象身份證一樣，私鑰證明了一種關系，而人不止有一種關系。如Alice分別可以以私人名義、公司的副總裁等名義給某個文件簽名。

抱歉，此頁面的內容受版權保護，復制需扣除次數，次數不足時需付費購買。

如需下載請點擊：點擊此處下載

關閉

掃碼付費即可復制
X

• 更多詳細解釋內容
• 在通信搜索中檢索“密鑰管理”

IMT-2000 | turnkey | 室內分布系統(tǒng) | NotePad2 | 凱瑟琳 | 內切 | 調查報告 | 耗電量 | parameter | 信道分配 | 年終獎 | 數據卡 |