关于密钥管理的几个设计原则

关于密钥管理的几个设计原则

网络安全有赖于密钥管理的有效性，即保证密码的产生，存储，传输和使用的安全性，这就要求对密钥进行有效的管理。

1，任何密码不以明文的方式进行存储，除非是放在足够安全的密码装置内。人工分配的密钥必须以密钥分量方式分别由不同的多个可信任的实体保管,不得直接以明文方式由单个实体掌握,对密码装置的任何操作均无法使得密钥以明文方式出现于密码装置之外;


2，保证密钥的分离性，不同通信实体之间使用不同的密钥，且这些密钥不能存在相关性，即一对通信实体之间的安全通信出现问题,不应引起另一对实体的安全通信,包含这四个实体中有两个实体相同的情况;


3，密钥需要具备一定的备份机制，当系统出现故障导致密钥的丢失，应该能通过对密钥备份的回复，来确保系统是可修复的，但密钥的备份不应该降低密钥管理的安全性。


4，密钥必须具备有效期，当旧密钥过期时，需要及时进行密钥的替换，同时，新密钥安全性和旧密钥的安全性应该分离,即旧密钥即使泄漏也不应该引起新密钥的安全性出现问题.


5，密钥管理需要具备层次性。

       网络要求每次交易的PIN保密.MAC的计算以及其它信息的加密所使用的密钥互不相同,作到一次一密.而为了保证交易的延续性,这些密钥均要由一个实体产生并安全地传输到另一个与之通信的实体, 这就要求通信双方必须共同使用一个加密密钥(KEK),以加密上述的各种工作密钥,KEK不能通过网络进行传输,而只能在系统使用前装入,或者通过两个实体各自分别产生一个相同的密钥作为KEK,有了KEK,便解决了会话密钥的传输问题。

       在网络中,商户、发卡行均需要与为数众多的实体进行安全通信,这就要求系统中具有大量的密钥(会话密钥和KEK),这些密钥无法全部保存在安全密码装置中,因此需要使用主密钥(MFK)对这些密钥加密存储于密码装置之外的主机数据库中。

   一级：MFK，主密钥，存储于密钥装作中，用于加密KEK和SK，以保存在密码装作外。
   二级：KEK，密钥加密密钥，用于SK的加密传送，每对通信实体都有一相同的KEK。

   三级：SK，会话密钥，用于加密PIN，产生MAC和验证MAC等。

6，密钥和密钥属性

       KEK和SK都具有密钥属性,用于功能分离和使用合法性检验,以提高系统的逻辑安全.密钥的属性包含此密钥的层次(标识KEK或SK).使用有效次数.MFK序号.密钥用途和密钥校验值等内容,密钥属性与密钥一起使用,密码装置根据密钥属性校验密钥使用的合法性.控制密钥的误用.密钥校验值由相应密钥值与属性在MFK的加密下产生.密钥属性仅与相应密钥的明文保存在主机中,也仅用于主机安全密码装置,不进行传输。