通信工程師互聯(lián)網(wǎng)技術(shù)培訓(xùn)密鑰管理

9.3.3 密鑰管理

按照Kerckhoffs原則，密碼體制的安全性僅僅依賴于密鑰的保密，從而對密鑰的保護(hù)就成了密碼應(yīng)用安全的根本保證。然而，密鑰需要分發(fā)到合法用戶，需要使用、存儲、更新、銷毀等，這就是密鑰管理，密鑰管理是一項復(fù)雜和困難的技術(shù)，是現(xiàn)代密碼應(yīng)用技術(shù)的核心問題之一。

密鑰管理包含了一系列的技術(shù)問題，也包含了行政管理人員的素質(zhì)問題，對于密鑰的產(chǎn)生、分配、存儲、更換、銷毀、使用和管理等一系列環(huán)節(jié)，必須都注意到。每個具體系統(tǒng)的密鑰管理必須與具體的使用環(huán)境和保密要求相結(jié)合，常用的、絕對安全的密鑰管理系統(tǒng)是不存在的。實踐表明，從密鑰管理渠道竊取密鑰比單純從破譯途徑竊取密鑰要容易得多，代價也要小得多。

依據(jù)應(yīng)用對象的不同，密鑰管理方式也不相同。如對于物理層加密，由于只在鄰節(jié)點之間進(jìn)行，因此密鑰管理比較簡單；而對于運(yùn)輸層以上（端/端）的加密，密鑰管理就比較復(fù)雜；單節(jié)點構(gòu)成的網(wǎng)絡(luò)系統(tǒng)比多節(jié)點構(gòu)成的分布式網(wǎng)絡(luò)系統(tǒng)，密鑰的管理就更加復(fù)雜。這里，主要介紹端端加密的密鑰管理辦法，這些方法適用于主機(jī)和多終端系統(tǒng)，既能保護(hù)網(wǎng)絡(luò)中通信的數(shù)據(jù)，也能保護(hù)網(wǎng)絡(luò)中存儲的數(shù)據(jù)。

一個良好的密鑰管理系統(tǒng)，應(yīng)盡可能不依賴人的因素，這不僅是為了提島密鑰管理的自動化水平，同時也是為了提高系統(tǒng)的安全程度。為此，密鑰管理系統(tǒng)有以下具體要求：

密鑰難以被非法竊?。?/p>

在一定條件下，竊取了密鑰也沒有用：

密鑰的分配和更換過程對用戶是透明的。

一個密鑰管理系統(tǒng)設(shè)計時，要先明確解決什么問題，要考慮哪些因素。一般有以下幾方面的因素必須考慮：

系統(tǒng)對保密的強(qiáng)度要求：

系統(tǒng)中哪些地方需要密鑰，密鑰采用何種方式預(yù)置或裝入保密組件；

一個密鑰的生命周期是多長：

系統(tǒng)安全對用戶承受能力的影響。

上述因素中有些是技術(shù)性的，有些則是非技術(shù)性的，只要對這些因素作認(rèn)真考慮，就能設(shè)計出一個符合需求的密鑰管理系統(tǒng)。

返回目錄：通信工程師互聯(lián)網(wǎng)技術(shù)培訓(xùn)網(wǎng)絡(luò)安全匯總

編輯相關(guān)推薦：

互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點匯總

通信工程師互聯(lián)網(wǎng)技術(shù)考試網(wǎng)絡(luò)操作系統(tǒng)

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)交換技術(shù)教程