密鑰的分散機(jī)制和分層保護(hù)的思想

文章出處：http://www.xianjuhong.com 作者： 人氣： 發(fā)表時(shí)間：2012年09月25日

    目前主流的IC卡應(yīng)用系統(tǒng)所采用的密鑰管理體系主要有基于公開密鑰基礎(chǔ)設(shè)施的密鑰管理和基于對稱算法的密鑰管理。

    PKI是一種以公開密鑰算法為基礎(chǔ)，統(tǒng)一解決密鑰發(fā)布、管理和使用的系統(tǒng)。它不是一個(gè)單一的對象或者軟件，而是由許多互相聯(lián)系的組件共同協(xié)作來提供一套服務(wù)，這些服務(wù)使得用戶能夠簡單方便地使用公開密鑰系統(tǒng)來解決存在的安全問題。

    分層產(chǎn)生密鑰基本思想是用密鑰來保護(hù)密鑰。即用第i層的密鑰Ki來保護(hù)第i+1層的密鑰Ki+1，同時(shí)i受第i-1層密鑰Ki-1的保護(hù)。采用這種分層的方法可以大大提高系統(tǒng)的安全性。由于下層的密鑰可以按照設(shè)計(jì)成某種協(xié)議不斷變化，從而使得整個(gè)的密鑰管理系統(tǒng)表現(xiàn)為一種動(dòng)態(tài)的特性。

    密鑰的分散算法是固定的，在建設(shè)事業(yè)或PBOC等標(biāo)準(zhǔn)上有相應(yīng)的算法流程圖。密鑰分散機(jī)制是保護(hù)密鑰安全的有效手段，通過密鑰分散，使得每張IC卡交易時(shí)使用的密鑰都不同，實(shí)現(xiàn)了“一卡一密”，并要求在密鑰操作時(shí)和控制密鑰配合使用，提高密鑰使用的安全性。

    基于對稱算法的密鑰管理 對稱算法要求通信雙方共享一個(gè)秘密數(shù)據(jù)作為加密密鑰，對密鑰的管理與交換變得稍微復(fù)雜。對稱算法還經(jīng)常應(yīng)用于身份鑒別協(xié)議，在此過程中密鑰管理也基于對稱算法。在基于對稱算法的密鑰管理體系中，借助IC卡能夠產(chǎn)生硬件隨機(jī)數(shù)等特點(diǎn)，可以在身份鑒別過程中同一個(gè)用戶ID每一次鑒別都使用變化的PW，從而使重放攻擊失效。

    相對于公開密鑰算法，對稱算法具有運(yùn)算速度快，占用資源少的優(yōu)點(diǎn)，因此在IC卡應(yīng)用系統(tǒng)中，得到了廣泛的應(yīng)用。密鑰的分散機(jī)制和分層保護(hù)的思想也源自于對稱密鑰管理方式。