密鑰的分散機制和分層保護的思想

文章出處：http://psychicreadingswithdeb.com 作者： 人氣： 發(fā)表時(shí)間：2012年09月25日

    目前主流的IC卡應用系統所采用的密鑰管理體系主要有基于公開(kāi)密鑰基礎設施的密鑰管理和基于對稱(chēng)算法的密鑰管理。

    PKI是一種以公開(kāi)密鑰算法為基礎，統一解決密鑰發(fā)布、管理和使用的系統。它不是一個(gè)單一的對象或者軟件，而是由許多互相聯(lián)系的組件共同協(xié)作來(lái)提供一套服務(wù)，這些服務(wù)使得用戶(hù)能夠簡(jiǎn)單方便地使用公開(kāi)密鑰系統來(lái)解決存在的安全問(wèn)題。

    分層產(chǎn)生密鑰基本思想是用密鑰來(lái)保護密鑰。即用第i層的密鑰Ki來(lái)保護第i+1層的密鑰Ki+1，同時(shí)i受第i-1層密鑰Ki-1的保護。采用這種分層的方法可以大大提高系統的安全性。由于下層的密鑰可以按照設計成某種協(xié)議不斷變化，從而使得整個(gè)的密鑰管理系統表現為一種動(dòng)態(tài)的特性。

    密鑰的分散算法是固定的，在建設事業(yè)或PBOC等標準上有相應的算法流程圖。密鑰分散機制是保護密鑰安全的有效手段，通過(guò)密鑰分散，使得每張IC卡交易時(shí)使用的密鑰都不同，實(shí)現了“一卡一密”，并要求在密鑰操作時(shí)和控制密鑰配合使用，提高密鑰使用的安全性。

    基于對稱(chēng)算法的密鑰管理 對稱(chēng)算法要求通信雙方共享一個(gè)秘密數據作為加密密鑰，對密鑰的管理與交換變得稍微復雜。對稱(chēng)算法還經(jīng)常應用于身份鑒別協(xié)議，在此過(guò)程中密鑰管理也基于對稱(chēng)算法。在基于對稱(chēng)算法的密鑰管理體系中，借助IC卡能夠產(chǎn)生硬件隨機數等特點(diǎn)，可以在身份鑒別過(guò)程中同一個(gè)用戶(hù)ID每一次鑒別都使用變化的PW，從而使重放攻擊失效。

    相對于公開(kāi)密鑰算法，對稱(chēng)算法具有運算速度快，占用資源少的優(yōu)點(diǎn)，因此在IC卡應用系統中，得到了廣泛的應用。密鑰的分散機制和分層保護的思想也源自于對稱(chēng)密鑰管理方式。