(转)关于密钥管理的几个设计原则
来源:互联网 发布:淘宝外包美工多少钱 编辑:程序博客网 时间:2024/06/05 10:22
转载自:http://blog.csdn.net/tenfyguo/article/details/15813521
关于密钥管理的几个设计原则
网络安全有赖于密钥管理的有效性,即保证密码的产生,存储,传输和使用的安全性,这就要求对密钥进行有效的管理。
2,保证密钥的分离性,不同通信实体之间使用不同的密钥,且这些密钥不能存在相关性,即一对通信实体之间的安全通信出现问题,不应引起另一对实体的安全通信,包含这四个实体中有两个实体相同的情况;
3,密钥需要具备一定的备份机制,当系统出现故障导致密钥的丢失,应该能通过对密钥备份的回复,来确保系统是可修复的,但密钥的备份不应该降低密钥管理的安全性。
4,密钥必须具备有效期,当旧密钥过期时,需要及时进行密钥的替换,同时,新密钥安全性和旧密钥的安全性应该分离,即旧密钥即使泄漏也不应该引起新密钥的安全性出现问题.
5,密钥管理需要具备层次性。
网络要求每次交易的PIN保密.MAC的计算以及其它信息的加密所使用的密钥互不相同,作到一次一密.而为了保证交易的延续性,这些密钥均要由一个实体产生并安全地传输到另一个与之通信的实体, 这就要求通信双方必须共同使用一个加密密钥(KEK),以加密上述的各种工作密钥,KEK不能通过网络进行传输,而只能在系统使用前装入,或者通过两个实体各自分别产生一个相同的密钥作为KEK,有了KEK,便解决了会话密钥的传输问题。
在网络中,商户、发卡行均需要与为数众多的实体进行安全通信,这就要求系统中具有大量的密钥(会话密钥和KEK),这些密钥无法全部保存在安全密码装置中,因此需要使用主密钥(MFK)对这些密钥加密存储于密码装置之外的主机数据库中。
二级:KEK,密钥加密密钥,用于SK的加密传送,每对通信实体都有一相同的KEK。
三级:SK,会话密钥,用于加密PIN,产生MAC和验证MAC等。
6,密钥和密钥属性
KEK和SK都具有密钥属性,用于功能分离和使用合法性检验,以提高系统的逻辑安全.密钥的属性包含此密钥的层次(标识KEK或SK).使用有效次数.MFK序号.密钥用途和密钥校验值等内容,密钥属性与密钥一起使用,密码装置根据密钥属性校验密钥使用的合法性.控制密钥的误用.密钥校验值由相应密钥值与属性在MFK的加密下产生.密钥属性仅与相应密钥的明文保存在主机中,也仅用于主机安全密码装置,不进行传输。
- (转)关于密钥管理的几个设计原则
- 关于密钥管理的几个设计原则
- 关于对象设计的几个原则
- 数据库设计的几个原则
- 设计模式的几个原则
- 架构的几个设计原则
- 数据库设计的几个原则
- 几个基本的设计原则
- 几个交互设计的原则
- 设计模式的几个原则
- 关于refactor的几个原则
- 对于测试管理的几个原则和感悟 (一)
- 互联网架构设计的几个原则
- 面向对象设计的几个原则
- 设计模式的几个重要原则
- 网络通讯服务设计的几个原则
- 简谈设计模式的几个原则
- 4.几个设计原则的浅陋理解
- bash学习
- 小程序wx.request https TLS1.2环境配置
- 有两个序列A和B,A=(a1,a2,...,ak),B=(b1,b2,...,bk),A和B都按升序排列。对于1<=i,j<=k,求k个最小的(ai+bj)。要求算法尽量高效。
- 需求分析Tips
- 关于c#实现计算机音频接口输出固定频率波形的一些问题
- (转)关于密钥管理的几个设计原则
- [00100] 字符串和文本
- redis.sentinel选择指定数据库
- Git教程学习(五)—远程仓库
- MacOS下rvm安装新版本ruby时报curl SSL证书错误的解决
- C语言专题精讲篇_4.3.指针才是C语言的精髓
- android中打开相机、打开相册进行图片的获取
- Android数据库优化
- POI 操作EXCEL(一)解析EXCEL 自动识别xls和xlsx