对密钥的管理覆盖了其完整的生命周期。对于一个给定的实体,密钥管理涉及到的阶段主要包括以下阶段。
1.用户登记
在此阶段,用户被授权,这包括借助安全的、一次性技术获取、创建或交换初始密钥材料。
2.系统和用户初始化
系统初始化包括建立、配置一个用来安全操作的系统。用户初始化通过一个实体初始化其加密应用,它含有用户或其登记过程中获取的初始密钥材料的安装。
3.密钥材料的安装
密钥材料安装的安全性是整个系统的核心。在这个阶段,密钥材料于一个实体的软硬件里安装为了方便使用。安装时可使用的技术包括:手工输进口令或PIN、磁盘交换、ROM设备、芯片卡或别的硬件设备。初始密钥材料可建立安全的在线会话完成建立工作密钥。当上述项目首次建立时,新的密钥材料要加入到已有的密钥材料中或已有密钥材料需被代替时,要安装密钥材料。
4.密钥的生成
密钥的生成应包括一定的措施来确保用于目标应用或算法的必要属性,也含可预见概率的随机性。一个实体能产生自己的密钥,还能在可信的系统的地方得到。
5.密钥的登记
在密钥登记过程中,密钥材料被登记下来,且和一定实体的信息与属性绑定起来。
6.密钥的使用
密钥管理生命周期为的便是要方便密钥材料的使用。一般情况下,密钥于有效期内均能用用。这里也可以细分,例如公钥对,某种情况下公钥可能无法再用于加密,不过对应的私钥还可保留进行解密。
7.密钥材料的备份
在独立的、安全存储媒体中的密钥材料的副本给出了数据源进行密钥恢复。8.密钥的存档
密钥的存档,是为了方便在某种情况下特别需要时能够对其进行检索。存档指长时间离线存储超过有效期范围的密钥。
9.密钥的更新
在密钥有效期即将过时,若继续对该密钥加密的内容保护的需要,该密钥需通过一个新的密钥替代,即密钥的更新。密钥更新可利用再生密钥代替原有密钥的手段实现。
10.密钥的恢复
在备份或档案里检索密钥材料的过程叫密钥恢复。若密钥材料丢失,也不存在安全威胁的风险,则可从原有的安全备份中恢复密钥。
11.密钥的取消登记与销毁
当无需再保留密钥材料或维护它和某实体的联系的时候,该密钥应该被取消登记,即全部密钥材料及相关记录应从现有密钥的正式记录里去除,所有的密钥备份应被销毁。应安全删除存储密钥材料的任何介质以删除密钥材料的所有信息,使它不可被物理的或电子的方式恢复。
12.密钥的撤销
密钥撤销有时是必要的,这借助通知全部可能用此密钥材料的实体实现,通知应含有密钥材料的完整ID、撤销的日期及原因等。针对基于证书分发的公钥,密钥的撤销包括撤销对应的证书。基于提供的撤销信息,其他实体可决定怎样处理被撤销密钥保护的信息。
密钥管理的所有阶段可分为不同的状态,这与它们的可用性密切相关。一种密钥状态的分类如下。
·使用前状态:此状态的密钥还不能用于正常的密码操作。
·使用状态:这个状态的密钥可用,并是正常的。
·使用后状态:此状态的键不再正常使用,不过为达某个目的离线访问密钥是可行的。
·过期状态:此状态的键可以重复使用,全部密钥记录已被删除。
