密钥分层结构

于 2025-01-15 17:32:47 发布
阅读量720 收藏 5
点赞数 11
分类专栏: 密码学原理 密钥管理 密钥 文章标签: 安全 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ze_qian/article/details/145164804
版权

一、密钥等级分类

密钥分类目的:更好地管理和保护密钥。

密钥层次结构作用:

  1. 提高安全性:不同层次的密钥具有不同的安全级别和权限,只有经过授权的用户才能访问和使用。有助于防止密钥的泄露和滥用。

  2. 便于管理:使得密钥的管理更加有序和高效。管理员可以根据需要生成、分配和更新密钥,同时确保密钥的机密性和完整性。

  3. 降低更新成本:当根密钥需要更新时,只需要解密和重新加密主密钥即可。由于主密钥的数量远远小于工作密钥的数量,这大大降低了更新成本和对系统性能的影响。

下图为主流的密钥分类形式:

二、分类后密钥的功能和生成源头

  • 根密钥:是密钥管理的最高层次,用于生成和管理下一级密钥。通常由系统管理员或安全管理员创建和维护。

  • 主密钥:是根密钥下一级的密钥,用于保护和管理应用程序的密钥。可以由根密钥衍生生成,也可以由用户选定或系统分配。

  • 工作密钥:是主密钥下一级的密钥,用于保护应用程序中的数据。由主密钥衍生生成,通常由应用程序本身动态生成和管理。

  • 会话密钥:是工作密钥下一级的密钥,用于保护应用程序会话中的数据。由工作密钥动态生成和管理,其生命周期通常与会话期限相同,在会话结束后销毁。

三、分类后密钥的功能

  • 根密钥

    • 提高整体安全性:因为根密钥的安全性要求极高,一般采用复杂的数学算法生成,确保无法被轻易破解。因此,根密钥的存在大大提高了整个系统的安全性。

    • 加密密钥:根密钥通过加密上层密钥来确保其机密性,从而防止未经授权的访问和泄露。

  • 主密钥

    • 密钥管理:负责管理和维护其他密钥的生命周期,通过主密钥的管理,可以确保密钥的安全性和有效性,从而保障整个加密系统的稳定运行。

    • 网络安全:用于生成和管理VPN、SSL/TLS等加密通信所需的密钥,确保网络通信的安全性。

    • 数据保护:用于加密存储的敏感数据,如用户密码、个人信息等,防止数据泄露。

    • 身份认证:用于生成和管理数字证书和私钥等,确保身份认证过程的准确性和安全性。

    • 加密密钥:可对工作密钥进行加密,保证会话密钥的安全性。

  • 工作密钥

    • 数据加密:用于加密敏感数据,确保数据在传输和存储过程中的机密性。

    • 数据完整性保护:对数据进行签名和验签处理,保证数据的完整性。

    • 身份认证:用于生成和验证消息认证码(MAC),从而确保交易信息的来源是合法的。

    • 加密密钥:可对会话密钥进行加密,保证会话密钥的安全性。

  • 会话密钥

    • 数据安全:用于两个通信终端用户的交换数据进行加密,保证数据的安全性。

四、总结

对密钥进行分类,可更好的管理密钥的使用,同时也保障了密钥在未经授权的情况下不同角色可使用的密钥类型不同,保障了密钥的安全性。不同层次的密钥分工不同也大幅提升了密钥在参与使用时的工作效率。

密钥安全性讨论之密钥分层管理结构
CHYabc123456hh的博客
11-09 8817
密钥分层管理结构 密钥安全管理通常采用层次化的保护方法。密钥管理分层管理机制将密钥分为三层,即密钥密钥加密密钥和工作密钥 下层密钥为上层密钥提供加密保护,采用分层的密钥结构有助于密钥的管理满足本规范的要求 工作密钥 工作密钥对本地保存的敏感数据和需要在不安全信道上传输的数据提供机密性、完整性保护,还可提供认证和签名等密码学服务。工作密钥直接被上层应用程序所使用,包括存储加密使用的密钥、预共享密钥、MAC密钥、签名私钥等 密钥加密密钥 对工作密钥提供机密性保护的密钥,其自身受到密钥的保护。
密钥管理系统(KMS)详细说明书
最新发布
zhuralll112的博客
04-26 890
密钥生成和管理系统(Key Management System, KMS)是一套用于安全生成、存储、分发、轮换和销毁密钥的全生命周期管理平台,支持对称密钥(如AES)、非对称密钥(如RSA/ECC)及哈希密钥(如HMAC),满足企业级、金融级、政务级等场景的密钥安全需求,符合等保三级、PCI-DSS、ISO 27001等合规标准。:本系统通过“生成-存储-分发-轮换-销毁-审计”的全链路管控,结合硬件安全、加密算法和权限策略,为企业提供了可落地的密钥安全解决方案。
密码学密钥管理:③密钥的保护、存储、备份、撤销、过期、销毁
qq_39780701的博客
08-12 920
本文介绍了密钥的分级保护、存储、备份、撤销、过期和销毁在密钥管理中的概念是什么?如何实现的。
密钥管理系统架构图
01-19
密钥管理系统概述  密钥管理系统由部级密钥系统和城市级密钥系统组成。两级密钥系统基于不同的侧重点分别产生不同用途的应用密钥。部级密钥系统和城市级密钥系统间通过密钥母卡或硬件加密机的方式传递密钥密钥管理系统必须具备密钥的备份机制和密钥一旦泄露后的密钥紧急更新机制,密钥产生后的转移、复制、分散等环节一般应通过加密机或智能IC卡进行,并能保证密钥安全。  密钥管理系统是各商业银行的金融IC卡联合试点中,各级银行对密钥安全控制和管理,是应用系统安全的关键。密钥管理系统采用3DES加密算法,运用中国人民银行总行、人民银行地区分行(商业银行总行)、成员银行三级管理体制,安全共享公共主密钥的,实现卡
【网络安全技术】密钥管理
TheSysy的博客
12-04 682
密钥管理、X.509标准
信息安全——密钥管理
琅琊之榜
08-31 3395
证书的获取可以有多种方式,如发送者发送签名信息时附加发送自己的证书,或以另外的单独信息发送证书,或可以通过访问证书发布的目录服务器来获得,或直接从证书相关的实体处获得。在一个PKI系统中,维护密钥对的备份至关重要,如果没有这种措施,当密钥丢失后,将意味着加密数据的完全丢失,对于- -些重要数据,这将是灾难性的。在一个典型、完整和有效的PKI系统应该包含证书的创建和发布以及证书的撤销,一个可用的PKI产品还必须提供相应的密钥管理服务,包括密钥的备份、恢复和更新等。证书的撤销涉及CRL的管理。
《计算机系统与网络安全》 第六章 密钥管理
猫头虎技术团队:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作+:Libin9iOak ,万粉变现+:CSDNWF,猫头虎承诺每年免费为100名C站创作者做账号流量诊断服务!全网搜:猫头虎技术团队,点击文章底部名片或直接私信我一切皆可谈,快找虎哥!
06-27 4356
首先看密钥管理的概述,近代密码体制基于密钥的保密性,一切的秘密寓于密钥,密码体制的安全性就取决于密钥安全性。攻击者通常有两种手段可以攻击密码体制,一种是通过破译的方法,破译密码算法,另外一种就是窃取密钥,窃取密钥,它的代价或者说它的难度是远低于上面那种破译密码算法。窃取密钥可以通过在目标系统当中置入木马或者后门,来获取密钥,也可以通过社会工程攻击,然后来获取密钥
密码学系列之九:密钥管理
聚集机器学习、信息安全
11-21 1万+
密钥管理是密码系统不可缺少的重要组成部分,也是密码系统中最重要、最困难的部分。它负责密钥从初始产生到最终销毁的整个过程,包括密钥的生成、存储、分发与协商使用、备份与恢复、更新、撤销和销毁等内容。密钥管理相当复杂,既有技术问题,也有管理策略问题。本文从理论和技术角度讨论密钥管理中的若干重要问题,主要包括:密钥的生命周期、分发、协商、托管和秘密共享等内容。
【考研—密码学】密码协议、数字证书、公钥基础措施、密钥管理
高斯的博客
10-13 2087
复习自用
第十章 密钥管理
m0_56696378的博客
02-12 1199
第十章 密钥管理
应用密码学第6章——第七章
mingyqf的博客
12-06 5149
1)为什么要进行密钥管理? 再好的技术,如果失去了必要管理的支持,终将使技术毫无意义 2)为什么在密钥管理中要引入层次结构 为了简化密钥管理工作,采用密钥分级策略 3)密钥管理的原则是什么? 1.区分密钥管理的策略和机制 2.全程安全原则 3.最小权力原则 4.责任分离原则 5.密钥分级原则 6.密钥更新原则 7.密钥应当有足够的长度 8.密码体制不同,密钥管理也不同 第六章。 6.3 特殊数字签名 1.不可否认签名:签名生成算法,签名的验证协议和签名的否认协议 2.盲数字签名2个显著特点:(1)消息内容对
密钥管理
三木君的博客
05-15 1916
密钥管理既是对于密钥进行管理的行为,如,加密,解密,破解等。 密钥: 当前密钥管理,至少要两层。严格一些需要三层。 密钥顶层工作密钥,实际应用到。 二层密钥用来加密工作密钥密钥不需要加密,是负责加密上层密钥的。生成方式3DES方式。 密钥生命周日: 生成--分发--使用--更新--存储--销毁。 每一个部分有漏洞,都会影响到整个系统。 生成: 需要安全的随机函数。比如java.security.secureRandom。 分发:分发过程中,需要注意通道的安全,使用加密通..
网络安全系列 之 密钥安全管理
weixin_34228662的博客
11-07 1652
目录 0. 基本概念 1. 密钥分层管理结构 2. 密钥生命周期安全管理 2.1 生成 2.2 分发 2.3 使用 2.4 存储 2.5 更新 2.6 备份 2.7 销毁 2.8 可审核...
网络安全概论——防火墙原理与设计
yyj173637的博客
04-13 803
采用单密钥加密,在通信过程中,数据发送方将原始数据分割成固定大小的块,经过密钥和加密算法逐个加密后,发送给接收方;而密钥通常来说是通过双方协商,以物理的方式传递给对方,或者利用第三方平台传递给对方,且这过程出现了密钥泄露,不怀好意的人就能结合相应的算法拦截解密出其加密传输的内容。接收方在收到加密的报文后进行解密,将解密获取到的明文使用相同的单向加密算法进行加密,得出加密后的密文串。公钥和私钥是成对存在,公钥是从私钥中提取产生公开给所有人的,如果使用公钥对数据进行加密,那么只有对应的私钥才能解密,反之亦然。
《现代密码学》学习笔记——第七章 密钥管理[一]
YSL_Lsy_的博客
07-08 2537
  即使密码系统的任何细节已为人悉知,只要密钥未泄漏,它也应是安全的。  密钥管理就是在授权各方之间实现密钥关系的建立和维护的一整套技术和程序。在一定的安全策略指导下完成密钥从产生到最终销毁的整个过程,包括密钥的生成、建立(分配和协商)、存储、使用、备份/恢复、撤销、更新、存档和销毁等。  密钥生成是密钥生命周期的基础阶段: (1)密钥的生成一般首先通过密钥生成器借助于某种噪声源产生具有较好统计分析特性的序列,以 保障生成密钥的随机性和不可预测性,然后再对这些序列进行各种随机性检验以确保其具有较好的密码特性
HSM加密机 (分级密钥管理)
jason_cuijiahui的博客
05-08 1万+
参考自 三级密钥体制示意图 主密钥用于加密密钥交换密钥和数据密钥作本地存储; 密钥交换密钥用于加密数据密钥作网络传输; 数据密钥用于对数据进行加解密。 三级密钥体制说明 1. 第一层,LMK为本地主密钥,,它是存放在HSM机内的,它的作用是对所有在本地存放的其它密钥和加密数据进行加密,不同对的LMK用于加密不同的数据或密钥。由于本地存放的其它密钥和加密数据,都是在LMK...
一文讲透:2G/3G/4G/5G移动通信的身份认证与鉴权机制
热门推荐
Ango_的专栏
03-26 2万+
通信网的身份认证 运营商移动通信网的接入认证是蜂窝通信的服务基础,为用户接入通信网提供了基础的准入保障。纵观历代移动通信网鉴权技术,从鉴权方向上看主要是两大类:单向鉴权→双向鉴权。这里的单向鉴权主要指通信网络对用户的鉴权,而不是反过来;双向鉴权就是用户和移动通信网络双向鉴权。 一,2G时代的认证与鉴权 第一代模拟通信系统(就是常见的大哥大),基本上是没有安全防护机制的。到了2G GSM时代,模拟通信系统变成了数字通信系统,增加了很多安全能力。包括,空口信息加密、身份认证鉴权、身份标识码和过期用户过滤。
密钥分存技术(现代虎符)-如何把密钥存在不同的地方
TCP/IP
04-21 2万+
虎符 上周的一天午后散步,和同事聊起了古代的虎符,就下面这玩意儿: 这玩意儿作为调动军队的凭证在古代发挥了巨大的作用,现代美国依然是采用了类似的方式调动军队,可见,这种将权力分开存储的思想在古今中外是殊途同归的。   那么,作为互联网安全基,现代密码学中是如何应用这种思想的呢?这里就用到了密钥分存的技术,该技术是如何实现把一个密钥拆开来分别保存在各处的呢?本文来解答。   进入话题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值