密钥管理中常用的措施有哪些.docxVIP

PAGE 1 PAGE 1 密钥管理中常用的措施有哪些 1.密钥管理的方法有哪些3.1） 什么是密钥管理 密钥管理密钥是一种读取、修改或验证保护数据的保密代码或数字。密钥与算法（一个数学过程）结合在一起以保护数据。Windows XP 自动处理密钥生成并执行以下可以最大化保护的密钥属性：  动态重生成密钥  IPSec 策略通过一种称为动态重新加密的方法来控制通讯期间生成新密钥的频率。通讯是以块的形式发送的，每个数据块都使用不同的密钥来加以保护。这样可防止已经获取部分通讯与相应的会话密钥的攻击者获取其余部分的通讯。该请求安全协商与自动密钥管理服务是通过使用 RFC 2409 中定义的“Internet 密钥交换 （IKE）”来提供的。  IPSec 策略允许您控制生成新密钥的频率。如果未配置值，则以默认时间间隔自动重新生成密钥。  密钥长度  每当密钥的长度增加一位，可能的密钥数会加倍，使得破解密钥的难度也会成倍加大。IPSec 策略提供了多种允许使用短的或长的密钥长度的算法。  密钥材料生成：Diffie-Hellman 算法  要启用安全通讯，两台计算机必须能够获取相同的共享密钥（会话密钥），而不必通过网络发送密钥，也不会泄密。  Diffie-Hellman 算法 （DH） 先于 Rivest-Shamir-Adleman (RSA) 加密出现，可提供较好的性能。它是用于密钥交换的最古老且最安全的算法之一。双方可以公开交换密钥信息，而 Windows XP 还通过哈希功能签名对该信息进行进一步保护。任何一方都不交换实际密钥，但是，在交换密钥材料之后，每一方都能够生成相同的共享密钥。  双方交换的 DH 密钥材料可以基于 768 位或 1024 位密钥材料，即 DH 组。DH 组提供的安全性与从 DH 交换计算的密钥提供的安全性相称。提供很强安全性的 DH 组与较长的密钥长度结合使用，增加了试图确定密钥的计算难度。  IPSec 使用 DH 算法为所有其他加密密钥提供密钥材料。DH 不提供验证。在 Windows XP IPSec 实施中，进行 DH 交换之后，会对标识进行验证，以防中间人 （man-in-the-middle） 攻击。 4.社会保障卡密钥载体安全管理办法的内容有哪些 第一章 总则 第一条为加强对中华人民共和国社会保障卡（以下简称社会保障卡）的安全管理，确保社会保障卡密钥载体在管理和使用中的安全，根据《“中华人民共和国社会保障卡”管理办法》（人社部发〔2021〕47号）及国家商用密码管理的有关规定，制定本办法。  第二条社会保障卡密钥载体是指社会保障卡密钥管理体系中，存储有社会保障卡根密钥数据的设备或系统，包括加密机、密钥卡（密钥母卡、传输密钥卡、主控密钥卡）、社会保障卡密钥管理信息系统（以下简称密钥管理系统）、实现社会保障卡与读写终端认证的安全访问控制模块（以下简称社会保障PSAM卡）。 第三条 各级人力资源社会保障部门的信息化综合管理机构负责本地区社会保障卡密钥载体的安全管理。  第四条 本办法适用于各省（自治区、直辖市）和新疆生产建设兵团、市地级人力资源社会保障部门按照《社会保障卡发行管理流程》（人社厅发〔2021〕20号）完成密钥申领、社会保障PSAM卡申领后，对密钥载体的安全管理。 第二章 密钥载体管理人员 第五条各地信息化综合管理机构应指派在编人员作为社会保障卡密钥载体管理人员，负责密钥载体的管理、使用等各环节的操作、监督、检查。  每地区至少配备两人，以适应关键岗位双人操作的管理要求。 第六条密钥载体管理人员应掌握计算机及信息加密基础知识，具备计算机和加密设备的基本操作技能，熟悉社会保障卡密钥管理体系，具有较强的工作责任心和纪律观念。  第七条 各地信息化综合管理机构应与密钥载体管理人员签署保密协议，并建立相应的人员安全管理档案。调离岗位前，应妥善办理交接手续。  第三章 密钥载体管理的通用要求 第八条 各地在交接密钥载体时，应检查其数量、质量、是否完好等，确认后由交接双方签署交接记录。 第九条密钥载体的运输，原则上实行双人押运。  短途运输密钥载体应采用专人专车的方式，长途运输应通过机要邮局邮寄或专人运送的方式。专人运送时，密钥载体需随身保管，不得丢失、遗漏、损坏。  第十条加密机、密钥卡、密钥管理系统应在人力资源社会保障部门管理区域内存放并管理，不得移交给卡商等第三方保管或使用。 因批量发卡等原因已将加密机交由卡商等第三方保管的，应签署保密协议，加强监管，并明确收回期限。  第十一条密钥载