在现代的信息系统中,对信息进行保密通常采用加解密技术,而对于一个完善的密码系统而言,密码体制、密码算法是能公开的,加解密用的密钥却一定要是保密的。因此,信息的安全性由对密钥的安全保护来决定,只要密钥未被泄露,保密信息还是安全的。而密钥如果丢掉或出现错误,不只是非法用户存在会窃取信息的可能,而且合法用户也无法正确提取信息。密钥管理已是信息安全系统中的关键问题之一,若无一套完善的密钥管理方法,那么困难性与危险性不可思议。
密钥管理主要指安全保密管理用的密钥的生命周期的全过程。主要体现在管理体制、协议与密钥的产生、分配、更换及注入等。
根据密钥类型,密钥管理技术有以下内容。
(1)对称密钥管理。
对称加密是基于一起维护秘密完成的。用对称加密技术的贸易两方一定得确保用一样的密钥,要确保双方密钥的交换是安全的。利用公开密钥加密技术管理对称密钥,使相应管理更简单与安全,而且也搞定了纯对称密钥模式里的可靠性与鉴别问题。
交换信息生成对称密钥,使用公开密钥加密该密钥,之后再把加密以后的密钥与拿此密钥加密的信息共同发给对应的贸易方。因给每次信息交换均对应生成了仅一把密钥,所以各贸易方则无需再维护密钥及害怕密钥的泄露或过期。此方式的另一好处为尽管泄露了一把密钥也仅会影响一笔交易,而不会影响到贸易两方之间全部的交易关系。该方式还向贸易方之间发布对称密钥给出了一种安全途径。
(2)公开密钥管理/数字证书
贸易伙伴之间能借助数字证书进行交换公开密钥。证书发布者通常叫做证书管理机构,它为贸易各方均信任的机构。数字证书可标识贸易方,是如今电子商务普遍利用的技术之一。