文章详细阐述了密钥的生命周期,包括生成、储存、导入导出、分发、使用、备份恢复、归档和销毁。对称密钥管理涉及点到点和密钥中心结构,而公钥基础设施(PKI)介绍了PKI系统组件、数字证书结构及其生命周期。重点强调了证书的产生、使用、撤销、更新和归档过程,以及双证书体系的应用。
目录
密钥生命周期管理
不同的密钥有不同的生命周期∶签名密钥对可能有数年的生命周期;而一些临时密钥(如IPSec 协议中的会话密钥)的生命周期为单次会话,使用完毕后立即销毁。一般而言,使用频率越高
的密钥要求其生命周期尽量短。
1.密钥生成
方式一:随机数直接生成,一般通过特定的随机数发生器。
方式二:密钥派生函数KDF生成(也叫随机数间接生成)。
1.在密钥协商过程中从共享秘密派生密钥。
2.从主密钥派生密钥(如生活中的各种IC卡等等)。
2.密钥储存
方式一:存储在核准的密码产品中。
方式二:保存在通用存储设备中。
3.密钥导入导出
密钥导入导出的对象是密码产品,其方式包括加密传输和知识拆分。
4.密钥分发
方式一:人工分发,效率较低,一般用于根密钥等少量密钥分发
方式二:自动分发
5.密钥使用
密钥一般只能在核准的密码产品内部使用。用于核准的密码算法的密钥,不能再被非核准的密码算法使用,因为这些算法可能导致密钥泄露。一个密钥不能用于不同用途。
6.密钥备份或恢复
密钥备份的主要目的是保护密钥的可用性,作为密钥存储的补充以防止密钥的 意外损坏。密钥备份时一般将备份的密钥存储在外部存储介质中,需要有安全机制保证仅有密钥拥有者才能恢复出密钥明文。
7.密钥归档
密钥归档是在密钥的生命周期外(销毁之后)对密钥进行保存,在现有系统中该密钥已经不再使用;而密钥备份则针对仍在生命周期内的密钥,签名密钥的私钥是不归档的。
8.密钥销毁
正常销毁、应急销毁
对称密钥管理
对称密钥常用于门禁系统,金融系统等,例如门禁系统通常通过一个根密钥,再结合各个门禁卡的唯一标识发散成子密钥,实现一卡一密。
最低0.47元/天 解锁文章
扫一扫
726
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
