密钥管理：保障信息安全的重要一环

密钥管理的内容十分丰富，覆盖了密钥的整个生命周期，所有管理过程都是为了正确地解决密钥从生成到最终销毁的整个过程中的安全性和实用性。密钥管理主要包括密钥生成、密钥储存和保护、密钥更新、密钥分配、密钥验证、密钥使用和密钥销毁等。

1.密钥的生成

不同种类的密钥产生的方法不同。基本密钥是控制和产生其他加密密钥的密钥，其安全性非常关键，须要保证其完全随机性、不可重复性和不可预测性。会话密钥可通过某种加密算法动态地产生，如用基本密钥控制下的非线性移位寄存器或主密钥控制下的DES算法产生。密钥加密密钥可由密钥生成器自动产生，常用的密钥生成器有随机比特发生器或伪随机数生成器，也可由主密钥控制下的某种算法产生。任何密钥生成器产生的密钥都有周期性和被预测的危险，不适宜作为主密钥。主密钥通常采用诸如掷硬币、掷骰子或从随机数表中选数等方式产生，以保证密钥的随机性，避免可预测性。

2.密钥的保存

密码系统中生成的密钥众多，且它们大多数时间处于静态，因此对密钥的保存是密钥管理的重要内容。密钥的存储必须保证密钥的机密性、认证性和完整性，防止密钥泄露和被篡改。

具体保存方法有人工记忆、外部记忆装置、密钥恢复、系统内部保存、把密钥存储在硬件的介质上等。这些方法中最简单最安全的方法是把自己的口令和密码记在脑子里，但使用不方便，必须有人工干预。另一种简单的密钥保存方法是使用一个容易记忆的口令来加密保存，使密钥永远不以未加密的方式出现在设备之外，可以提高实际使用密钥的安全强度。另外，比较好的存储方式是将密钥存于磁条卡，或嵌入ROM芯片中，这样用户在使用时自己都不知道密钥是什么；还可将密钥分为两半，即磁条卡上和终端机中各存一半。(www.xing528.com)

3.密钥的分配

密钥的分配是指使用者获得一个密钥的过程。典型的密钥分配主要有两种形式：集中式分配和分布式分配。集中式分配主要依靠密钥分配中心（KDC）根据用户要求来传送密钥，这时需要使用主密钥来保护会话密钥的传递，并通过安全渠道传递主密钥。分布式分配根据网络中各主机相互间的协商来分配密钥，例如可将密钥分解成多个部分，用秘密分享的方法传递，只要有部分到达就可以恢复，这种方法适用于在不安全的信道中传输密钥。

4.密钥的撤销

密钥都有一定的有效期，密钥的使用时间不宜过长，否则会增加泄露的机会。一旦泄露，使用这个密钥的时间越长，损失也相应地越大。因此，密钥在使用一段时间后，如果发现与密钥相关的系统出现安全问题，怀疑某一密钥已受到威胁或发现密钥的安全级别不够高等情况，该密钥应该被撤销并停止使用。在密钥销毁过程中，应找到在未用存储区上的密钥副本，并将它们删除，还要删除所有临时文件或交换文件的内容。对于写在纸上的密钥要用碎纸机粉碎，对于存在于介质上的密钥要多次冲写。