KMI/PKI及SPK密钥管理

KMI/PKI及SPK密钥管理

密钥管理技术是信息安全的核心技术之一。在美国“信息保险技术框架”中定义了深层防御战略的两个支持构架：密钥管理构架/公钥构架（KMI/PKI）和入侵检测/响应技术。当前，密钥管理体制主要有三种：一是适用于封闭网的技术，以传统的密钥管理中心为代表的KMI机制；二是适用于开放网的PKI机制；另一种是适用于规模化专用网的SPK。
一、KMI技术
    KMI(密钥管理中心)经历了从静态分发到动态分发的发展历程，目前仍然是密钥管理的主要手段。无论是静态分发或是动态分发，都基于秘密通道（物理通道）进行。
1．静态分发
静态分发是预配置技术，大致有以下几种：
1） 对点配置：可用单钥实现，也可用双钥实现。单钥分发是最简单而有效的密钥管理技术，单钥为鉴别提供可靠的参数，但不能提供不可否认性服务。有数字签名要求时则用双钥实现。
2）一对多配置：可用单钥双钥实现，是点对点分发的扩展，只是在中心保留所有各端的密钥，而各端只保留自己的密钥即可。一对多的密钥分配在银行清算、军事指挥、数据库系统中仍为主流技术，也是建立秘密通道的主要方法。
3）格状网配置：可以用单密钥实现，也可以用双钥实现。格状网的密钥配置也称端端密钥。其密钥配置量为全网n个终端用户中选2的组和数；KERBEROS曾排过25万用户的密钥。格状网是网络化的信息交换网，因此一般都要求提供数字签名服务，因此多数用双钥实现，即各端保留自己的私钥和所有终端的公钥。如果用户量为25万个，则每一个终端用户要保留25万个公钥。
2．动态分发
    动态分发是“请求、分发”机制，即与物理分发相对应的电子分发，在KMI下在已在秘密通道的基础上进行，一般用于建立实时通信中的会话密钥，在一定意义上缓解了密钥管理规模化的矛盾。
1）基于单钥的单钥分发
设一个中心C 和两个交信双方A（发起者）和B（相应者）。在用单密钥实现时