密钥管理新进展.docxVIP

PAGE9 / NUMPAGES9 密钥管理系统的新进展 随着社会的信息化进程加速发展，尤其是计算机技术和网络技术的发展，使得人们越来越多地意识到信息安全在生产和生活中的重要性和紧迫性。基于密码学的信息安全解决方案是解决信息保密的可靠方式。加密技术广泛地运用于工作和生活之中，承担对军事、商业机密和个人隐私的保护任务。 保密信息的安全性取决于对密钥的保护，而不是对算法或硬件本身的保护。加密算法决定了密钥管理的机制，不同的密码系统，其密钥管理方法也不相同， 如签名密钥对的管理和加密密钥对的管理。在网络环境中，密钥管理的所有工作都是围绕着一个宗旨：确保使用的密钥是安全的。设计安全的密码算法和协议并不容易， 而密钥管理则更困难，因此，网络系统中的密钥管理就成为核心问题。 本文将从介绍密钥管理技术，并用单独的篇幅介绍密钥备份和密钥更新技术，同时研究其在一些领域内的进展。 密钥管理 目的及目标 密钥管理是指与保护、存储、备份和组织加密密钥有关的任务的管理。高端数据丢失和遵规要求刺激了企业使用加密技术的大幅度上升。问题是单个企业可以使用几十个不同的，可能不兼容的加密工具，结果就导致有成千上万个密钥——每一个都必须妥善的保存和保护。 密钥管理是数据加密技术中的重要一环，密钥管理的目的是确保密钥的安全性（真实性和有效性）。一个好的密钥管理系统应该做到： 1、密钥难以被窃取； 2、在一定条件下窃取了密钥也没有用，密钥有使用范围和时间的限制； 3、密钥的分配和更换过程对用户透明，用户不一定要亲自掌管密钥。 机构及其动作过程 1、对称密钥管理。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这样，对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。 2、公开密钥管理/数字证书。贸易伙伴间可以使用数字证书（公开密钥证书）来交换公开密钥。国际电信联盟（ITU）制定的标准X.509，对数字证书进行了定义该标准等同于国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的ISO/IEC 9594-8：195标准。数字证书通常包含有唯一标识证书所有者（即贸易方）的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构（CA），它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用，是目前电子商务广泛采用的技术之一。 3、密钥管理相关的标准规范。目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会（JTC1）已起草了关于密钥管理的国际标准规范。该规范主要由三部分组成：一是密钥管理框架；二是采用对称技术的机制；三是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段，并将很快成为正式的国际标准。 关键技术及流程 密钥管理包括，从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。层次化的密钥管理方式，用于数据加密的工作密钥需要动态产生；工作密钥由上层的加密密钥进行保护，最上层的密钥称为主密钥，是整个密钥管理系统的核心；多层密钥体制大大加强了密码系统的可靠性，因为用得最多的工作密钥常常更换，而高层密钥用的较少，使得破译者的难度增大。 从管理角度来说， 密钥管理应遵循如下原则：脱离密码设备的密钥数据应绝对保密；密码设备内部数据绝对不外泄， 一旦发现受到攻击应立即销毁密钥； 达到密钥生命期时应彻底销毁或更换。而管理中涉及到的技术则包括密钥生成技术、密钥分配技术、存储保护技术、备份恢复技术、密钥更新技术等， 其中密钥生成与分配技术是研究的主要内容，也是近几年研究的热点问题。 （1）密钥生成 密钥长度应该足够长。一般来说，密钥长度越大，对应的密钥空间就越大，攻击者使用穷举猜测密码的难度就越大。选择好密钥，避免弱密钥。由自动处理设备生成的随机的比特串是好密钥，选择密钥时，应该避免选择一个弱密钥。对公钥密码体制来说，密钥生成更加困难，因为密钥必须满足某些数学特征。密钥生成可以通过在线或离线的交互协商方式实现，如密码协议等。 传统密码算法（以RSA、AES 为代表）的密钥生成 RSA 是一种非对称加密算法，这种算法的密钥生成技术主要涉及通过素性检测随机生成一个大素数，此过程可由伪随机数发生器来完成。而后运用Rabin- Miller 算法检测素数，并在成功生成两个大素数之后， 运用欧几里德算法在默认公钥的前提下求得私钥， 然后就可运