現(xiàn)代密碼學(xué)除了包括密碼編碼學(xué)和密碼分析學(xué)兩個(gè)學(xué)科之外，還包括近幾年才形成的新分支——密鑰密碼學(xué)，它是以密鑰（現(xiàn)代密碼學(xué)的核心）及密鑰管理作為研究對(duì)象的學(xué)科。密鑰管理作為現(xiàn)代密碼學(xué)的一個(gè)重要分支，就是在授權(quán)各方之間實(shí)現(xiàn)密鑰關(guān)系的建立和維護(hù)的一整套技術(shù)和程序，也是現(xiàn)代密碼學(xué)中最重要、最困難的部分。

密鑰設(shè)計(jì)一系列的規(guī)程，包括密鑰的產(chǎn)生、分配、存儲(chǔ)、使用、備份/恢復(fù)、更新、撤消和銷毀等環(huán)節(jié)。在現(xiàn)代密碼學(xué)中，密鑰管理作為作為提供數(shù)據(jù)保密性、數(shù)據(jù)完整性、可用性、可靠性、可審查性和不可抵賴性等安全技術(shù)的基礎(chǔ)，在保密系統(tǒng)中是至關(guān)重要的。8/12/20251現(xiàn)代密碼體制要求加密和解密算法是可以公開評(píng)估的，整個(gè)密碼系統(tǒng)的安全性并不取決于對(duì)密碼算法的保密或是對(duì)加密設(shè)備等的保護(hù)（盡管這樣有利于提高整個(gè)密碼系統(tǒng)的安全程度，但這種提高是相對(duì)而言的），而是取決于密鑰的安全性，一旦密鑰泄露，也就不再具有保密功能。密碼算法可以公開，密碼設(shè)備可以丟失，但它們都不危及密碼體制的安全性；但當(dāng)密鑰丟失時(shí)，非法用戶將有可能竊取保密信息。此外，密鑰作為密碼系統(tǒng)中的可變部分，在考慮密碼系統(tǒng)的設(shè)計(jì)時(shí)（特別是在商用系統(tǒng)的設(shè)計(jì)時(shí)），需要解決的核心問(wèn)題是密鑰管理問(wèn)題，而不是密碼算法問(wèn)題（例如商用系統(tǒng)可以使用公開了的、經(jīng)過(guò)大量評(píng)估分析認(rèn)為抗攻擊能力比較強(qiáng)的算法）。由此，可以看出密鑰管理在整個(gè)密碼系統(tǒng)中是極其重要的。8/12/202529.1密鑰管理概述

密鑰管理是一門綜合性的技術(shù)，它除了技術(shù)性的因素之外，它還與人的因素有關(guān)，例如密鑰的行政管理制度以及人員的素質(zhì)密切相關(guān)。再好的技術(shù)，如果失去了必要的管理支持，終將使技術(shù)毫無(wú)意義。

密碼系統(tǒng)的安全強(qiáng)度總是由系統(tǒng)中最薄弱的環(huán)節(jié)決定的。但作為一個(gè)好的密鑰管理系統(tǒng)應(yīng)當(dāng)盡量不依賴于人的因素，這不僅是為了提高密鑰管理的自動(dòng)化水平，最終目的還是為了提高系統(tǒng)的安全程度。對(duì)密鑰管理系統(tǒng)一般應(yīng)滿足：

①密鑰難以被非法竊?。虎谠谝欢l件下竊取了密鑰也沒(méi)有用；③密鑰的分配和更換過(guò)程在用戶看來(lái)是透明的，用戶不一定要親自掌握密鑰。8/12/202539.2密鑰的結(jié)構(gòu)和分類為了適應(yīng)密鑰管理系統(tǒng)的要求，目前在現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的密鑰管理系統(tǒng)的設(shè)計(jì)中，大都采用了層次化的密鑰結(jié)構(gòu)。這種層次化的密鑰結(jié)構(gòu)與整個(gè)系統(tǒng)的密鑰控制關(guān)系是對(duì)應(yīng)的。按照密鑰的作用與類型及它們之間的相互控制關(guān)系，可以將不同類型的密鑰劃分為1級(jí)密鑰、2級(jí)密鑰、…n級(jí)密鑰，從而組成一個(gè)n層密鑰系統(tǒng)，如下圖所示。密鑰的結(jié)構(gòu)8/12/202548/12/20255在左圖中，系統(tǒng)使用一級(jí)密鑰通過(guò)算法保護(hù)二級(jí)密鑰（一級(jí)密鑰使用物理方法或其他的方法進(jìn)行保護(hù)），使用二級(jí)密鑰通過(guò)算法保護(hù)三級(jí)密鑰，以此類推，直到最后使用級(jí)密鑰通過(guò)算法保護(hù)明文數(shù)據(jù)。

隨著加密過(guò)程的進(jìn)行，各層密鑰的內(nèi)容動(dòng)態(tài)變化，而這種變化的規(guī)則由相應(yīng)層次的密鑰協(xié)議控制。在左圖中，最下層的密鑰也叫工作密鑰，或數(shù)據(jù)加密密鑰，它直接作用于對(duì)明文數(shù)據(jù)的加解密。

所有上層密鑰可稱為密鑰加密密鑰，它們的作用是保護(hù)數(shù)據(jù)加密密鑰或作為其他更低層次密鑰的加密密鑰。最上面一層的密鑰也叫主密鑰，通常主密鑰是整個(gè)密鑰管理系統(tǒng)的核心，應(yīng)該采用最安全的方式來(lái)進(jìn)行保護(hù)。8/12/20256數(shù)據(jù)加密密鑰（即工作密鑰）在平時(shí)并不存在，在進(jìn)行數(shù)據(jù)的加解密時(shí)，工作密鑰將在上層密鑰的保護(hù)下動(dòng)態(tài)地產(chǎn)生（如，在上層密鑰的保護(hù)下，通過(guò)密鑰協(xié)商產(chǎn)生本次數(shù)據(jù)通信所使用的數(shù)據(jù)加密密鑰；或在文件加密時(shí)，產(chǎn)生一個(gè)新的數(shù)據(jù)加密密鑰，在使用完畢后，立即使用上層密鑰進(jìn)行加密后存儲(chǔ)。這樣，除了加密部件外，密鑰僅以密文的形式出現(xiàn)在密碼系統(tǒng)其余部分中）；數(shù)據(jù)加密密鑰在使用完畢后，將立即清除，不再以明的形式出現(xiàn)在密碼系統(tǒng)中。

8/12/20257

層次化的密鑰結(jié)構(gòu)意味著以密鑰來(lái)保護(hù)密鑰。這樣，大量的數(shù)據(jù)可以通過(guò)少量動(dòng)態(tài)產(chǎn)生的數(shù)據(jù)加密密鑰（工作密鑰）進(jìn)行保護(hù)，而數(shù)據(jù)加密密鑰又可以由更少量的、相對(duì)不變（使用期較長(zhǎng)）的密鑰加密密鑰來(lái)保護(hù)。同理，在最后第二層的密鑰加密密鑰可以由主密鑰進(jìn)行保護(hù)，從而保證了除了主密鑰可以以明文的形式存儲(chǔ)在有嚴(yán)密物理保護(hù)的主機(jī)密碼器件中，其他密鑰則以加密后的密文形式存儲(chǔ)，這樣，就改善了密鑰的安全性。

具體來(lái)說(shuō)，層次化的密鑰結(jié)構(gòu)具有以下優(yōu)點(diǎn)：

（1）安全性強(qiáng)：位于層次化密鑰結(jié)構(gòu)中的底層密鑰更換得越快，最底層密鑰可以做到每加密一份報(bào)文就更換一次；在少量最初處于最高層的主密鑰注入系統(tǒng)后，下層各密鑰的那樣可以按照某種協(xié)議不斷地變化（如可以使用安全算法以及高層密鑰產(chǎn)生低層密鑰；另外，下層密鑰的泄露不會(huì)影響上層密鑰的安全。（2）進(jìn)一步提高了密鑰管理的自動(dòng)化.

從具體的功能來(lái)看，在一般的密碼系統(tǒng)中，密鑰可以分為基本密鑰、會(huì)話密鑰（數(shù)據(jù)加密密鑰）、密鑰加密密鑰和主密鑰。（1）基本密鑰（BaseKey）：又稱為初始密鑰（primarykey）或用戶密鑰（userkey）。它是由用戶選定或由系統(tǒng)分配給用戶的，可以在較長(zhǎng)時(shí)間內(nèi)（相對(duì)于會(huì)話密鑰）由一對(duì)用戶（例如密鑰分配中心與某一用戶之間，或者兩個(gè)用戶之間）所專用的密鑰。在某種程度上，基本密鑰還起到了標(biāo)識(shí)用戶的作用。（2）會(huì)話密鑰（SessionKey）：也稱為數(shù)據(jù)加密密鑰，是在一次通信或數(shù)據(jù)交換中，用戶之間所使用的密鑰，它可由通信用戶之間進(jìn)行協(xié)商得到。它一般是動(dòng)態(tài)地、僅在需要進(jìn)行會(huì)話數(shù)據(jù)加密時(shí)產(chǎn)生，并在使用完畢后立即清除（或由用戶雙方進(jìn)行預(yù)先約定）。密鑰的分類8/12/20259

會(huì)話密鑰可以使大家不必很頻繁地去更換基本密鑰，而是通過(guò)密鑰分配或者密鑰協(xié)商的方法得到某次數(shù)據(jù)通信所使用的數(shù)據(jù)加密密鑰這樣就可以做到一次一密，從而大大提高通信的安全性，并方便密鑰的管理。（3）密鑰加密密鑰（KeyEncryptingKey）：用來(lái)對(duì)傳送的會(huì)話密鑰或文件加密密鑰進(jìn)行加密時(shí)所采用的密鑰，另外也可以稱為二級(jí)密鑰。密鑰加密密鑰所保護(hù)的對(duì)象是用來(lái)保護(hù)通信或文件數(shù)據(jù)的會(huì)話密鑰或者文件加密密鑰。

在通信網(wǎng)中，一般在每個(gè)節(jié)點(diǎn)都分配有一個(gè)這類密鑰。同時(shí)，為了安全，各節(jié)點(diǎn)的密鑰加密密鑰應(yīng)互不相同。節(jié)點(diǎn)之間進(jìn)行密鑰協(xié)商時(shí)，應(yīng)用各節(jié)點(diǎn)的密鑰加密密鑰加以完成。8/12/202510（4）主密鑰（MasterKey）：對(duì)應(yīng)于層次化密鑰結(jié)構(gòu)中的最上面一層，它是對(duì)密鑰加密密鑰進(jìn)行加密的密鑰，通常主密鑰都受到了嚴(yán)格的保護(hù)。在實(shí)際應(yīng)用中，除了上述幾種密鑰外，還有其他類型的密鑰，例如：算法更換密鑰（AlgorithmChangingKey）等。如果從廣義的角度來(lái)看，它的某些作用是完全可以歸結(jié)為上述幾類密鑰的作用。8/12/2025119.3密鑰管理

密鑰管理涉包括管理方式、密鑰的生成、使用、存儲(chǔ)、備份與恢復(fù)、更新、銷毀以及密鑰的撤消等，涵蓋了密鑰的整個(gè)生存周期。1．管理方式層次化的密鑰管理方式，用于數(shù)據(jù)加密的工作密鑰需要?jiǎng)討B(tài)產(chǎn)生；工作密鑰由上層的加密密鑰來(lái)保護(hù)，最上層的密鑰成為主密鑰，是整個(gè)密鑰管理系統(tǒng)的核心。8/12/2025122．密鑰的生成假如使用一個(gè)弱的密鑰產(chǎn)生方法，那么整個(gè)系統(tǒng)動(dòng)將是弱的。數(shù)據(jù)加密標(biāo)準(zhǔn)DES有56位密鑰，正常情況下任何56位的數(shù)據(jù)串都可以成為密鑰，所以共有256種可能的密鑰。在具體實(shí)現(xiàn)中，一般僅允許使用ASCII碼的密鑰，并強(qiáng)制每一字節(jié)的最高位為零。在一些實(shí)現(xiàn)中甚至只將大寫字母轉(zhuǎn)換成小寫字母，這些密鑰程序使得DES的攻擊難度比正常情況下低上萬(wàn)倍。因此，在現(xiàn)代加密技術(shù)中，密鑰的生成方法必須高度重視。在ANSIX9.17標(biāo)準(zhǔn)中規(guī)定了一種密鑰生成法，這種方法適合于在系統(tǒng)中產(chǎn)生會(huì)話密鑰或偽隨機(jī)數(shù)，是密碼強(qiáng)度較高的偽隨機(jī)數(shù)生成器之一，目前已經(jīng)在PGP等許多應(yīng)用中得到了廣泛使用。

其中用來(lái)生成密鑰的加密算法采用的是三重DES。設(shè)k主密鑰，Wi為一個(gè)保密的64比特的隨機(jī)數(shù)種子，Ti為時(shí)間戳，Ek為加密算法，見下圖所示。

圖中Ri=Ek(Ek(Ti)Wi)；Wi+1=Ek(Ek(Ti)Ri)

Ri為每次生成的密鑰。

8/12/2025143．密鑰的使用密鑰的使用是指從存儲(chǔ)介質(zhì)上獲得密鑰進(jìn)行加密和解密的技術(shù)活動(dòng)。在密鑰的使用過(guò)程中，要防止密鑰被泄露，同時(shí)也要在密鑰過(guò)了使用期更換新的密鑰。例如。。。4．密鑰的存儲(chǔ)密鑰的存儲(chǔ)分為無(wú)介質(zhì)、記錄介質(zhì)和物理介質(zhì)等幾種。無(wú)介質(zhì)就是不存儲(chǔ)密鑰，或者說(shuō)靠記憶來(lái)存儲(chǔ)密鑰。這種方法也許是最安全的，也許是最不安全的。但是一旦遺忘了密鑰，其結(jié)果就可想而知了。但對(duì)于只使用短時(shí)間通信的密鑰而言，也許并不需要存儲(chǔ)密鑰。記錄介質(zhì)就是把密鑰存儲(chǔ)在計(jì)算機(jī)等的磁盤上。當(dāng)然這要求存儲(chǔ)密鑰的計(jì)算機(jī)只有授權(quán)人才可以使用，否則不是安全的，但如果有非授權(quán)的人要使用該計(jì)算機(jī)，對(duì)存儲(chǔ)密鑰的文件進(jìn)行加密或許也是一個(gè)不錯(cuò)的選擇。物理介質(zhì)是指把密鑰存儲(chǔ)在一個(gè)特殊介質(zhì)上，如IC卡等，顯然這種物理介質(zhì)存儲(chǔ)密鑰便于攜帶、安全、方便。5．密鑰的備份與恢復(fù)由于密鑰在保密通信中具有重要的地位，應(yīng)盡全力對(duì)密鑰進(jìn)行保護(hù)密鑰備份是指在密鑰使用期內(nèi)，存儲(chǔ)一個(gè)受保護(hù)的拷貝，用于恢復(fù)遭到破壞的密鑰。密鑰的恢復(fù)是指當(dāng)一個(gè)密鑰由于某種原因被破壞了，在還沒(méi)有被泄露出去以前，從它的一個(gè)備份重新得到密鑰的過(guò)程。密鑰的備份與恢復(fù)保證了即使密鑰丟失，由該密鑰加密保護(hù)的信息也能夠恢復(fù)。密鑰托管技術(shù)就能夠滿足這種需求的一種有效的技術(shù)。6．密鑰的更新在密鑰有效期快要結(jié)束時(shí)，如果需要繼續(xù)對(duì)該密鑰加的內(nèi)容進(jìn)行保護(hù)，該密鑰需要由一個(gè)新的密鑰來(lái)代替，這就是密鑰的更新。密鑰更新可以通過(guò)再生密鑰來(lái)取代原有密鑰的方式來(lái)實(shí)現(xiàn)。7．密鑰的銷毀密鑰必須定期更換，更換密鑰后原來(lái)的密鑰必須銷毀。密鑰不再使用時(shí)，該密鑰的所有拷貝都必須刪除，生成或構(gòu)造該密鑰的所有信息也應(yīng)該被全部刪除。8．密鑰的撤消在密鑰正常的生命周期結(jié)束之前，有時(shí)需要對(duì)密鑰進(jìn)行撤消，比如密鑰的安全受到威脅時(shí)或?qū)嶓w發(fā)生組織關(guān)系變動(dòng)等。密鑰的撤消包括撤消相應(yīng)的證書。9.4密鑰托管技術(shù)(略)密鑰托管技術(shù)簡(jiǎn)介

密鑰托管提供了一種密鑰備份與恢復(fù)的途徑，也稱為托管加密。其目的是政府機(jī)關(guān)希望在需要時(shí)可通過(guò)密鑰托管提供（解密）一些特定信息，在用戶的密鑰丟失或損壞的情況下可通過(guò)密鑰托管技術(shù)恢復(fù)出自己的密鑰。密鑰托管技術(shù)的實(shí)現(xiàn)手段通常是把加密的數(shù)據(jù)和數(shù)據(jù)恢復(fù)密鑰聯(lián)系起來(lái)，數(shù)據(jù)恢復(fù)密鑰不一定是直接解密的密鑰，但由它可以得到解密密鑰。

理論上數(shù)據(jù)恢復(fù)密鑰由所信賴的委托人持有（委托人可以是政府機(jī)構(gòu)、法院或有合同的私人組織）。

一個(gè)密鑰也有可能被折分成多個(gè)分量，分別由多個(gè)委托人持有。8/12/202520自從這種技術(shù)出現(xiàn)以來(lái)，許多人對(duì)此頗有爭(zhēng)議，他們認(rèn)為密鑰托管技術(shù)侵犯?jìng)€(gè)人隱私。盡管如此，由于這種密鑰備用與恢復(fù)手段不僅對(duì)政府機(jī)關(guān)有用，也對(duì)用戶自己有用，為此許多國(guó)家都制定了相關(guān)的法律法規(guī)。

美國(guó)政府1993年4月頒布了EES標(biāo)準(zhǔn)（EscrowEncryptionStandard,托管加密標(biāo)準(zhǔn)），該標(biāo)準(zhǔn)體現(xiàn)了一種新思想，即對(duì)密鑰實(shí)行法定托管代理的機(jī)制。該標(biāo)準(zhǔn)使用的托管加密技術(shù)不僅提供了加密功能，同時(shí)也使政府可以在實(shí)施法律許可下的監(jiān)聽（如果向法院提供的證據(jù)表明，密碼使用者是利用密碼在進(jìn)行危及國(guó)家安全和違反法律規(guī)定的事，經(jīng)過(guò)法院許可，政府可以從托管代理機(jī)構(gòu)取來(lái)密鑰參數(shù)，經(jīng)過(guò)合成運(yùn)算，就可以直接偵聽通信。）。8/12/202521該標(biāo)準(zhǔn)的加密算法使用的是Skipjack。其后（1994年2月），美國(guó)政府進(jìn)一步改進(jìn)提出了密鑰托管標(biāo)準(zhǔn)KES（KeyEscrowStandard）政策，希望用這種辦法加強(qiáng)政府對(duì)密碼使用的調(diào)控管理。目前，在美國(guó)有許多組織都參加了KES和EES的開發(fā)工作，系統(tǒng)的開發(fā)者是司法部門（DOJ），國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）和基金自動(dòng)化系統(tǒng)分部對(duì)初始的托管（Escrow）代理都進(jìn)行了研究，國(guó)家安全局（NSA）負(fù)責(zé)KES產(chǎn)品的生產(chǎn)，聯(lián)邦調(diào)查局（FBI）被指定為最初的合法性強(qiáng)制用戶。8/12/202522

密鑰托管技術(shù)是通過(guò)一個(gè)防竄擾的托管加密芯片（Clipper芯片）來(lái)實(shí)現(xiàn)，該技術(shù)包括兩個(gè)主要的核心內(nèi)容：（1）Skipjack加密算法是由NSA設(shè)計(jì)的，用于加解密用戶之間通信的信息。它是一個(gè)對(duì)稱密碼分組加密算法，密鑰長(zhǎng)為80bits，輸入和輸出分組長(zhǎng)度均為64bits。

該算法的實(shí)現(xiàn)方式采用供DES使用的聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPSPUB81和FIPSPUB81）中定義的4種實(shí)現(xiàn)方式。

這4種實(shí)現(xiàn)方式為：電碼本（ECB）、密碼分組鏈接（CBC）、64比特輸出反饋（OFB）和1、8、16、32或64比特密碼反饋（CFB）模式。密鑰托管技術(shù)研究的內(nèi)容8/12/202523

該算法于1998年3月公布。據(jù)密碼專家們推算，如果采用價(jià)值一百萬(wàn)美元的機(jī)器攻破56比特的密鑰需要3.5小時(shí)，而攻破80比特的密鑰則需要2000年；如果采用價(jià)值十億美元的機(jī)器攻破56比特的密鑰需要13秒，而攻破80比特的密鑰則需要6.7年。雖然一些密碼學(xué)家認(rèn)為Skipjack有陷門，但對(duì)目前任何已知的攻擊方法還不存在任何風(fēng)險(xiǎn)，該算法可以在不影響政府合法監(jiān)視的環(huán)境下為保密通信提供加密工具。

（2）LEAF（LawEnforcementAccessField，法律實(shí)施訪問(wèn)域）通過(guò)這個(gè)訪問(wèn)域，法律實(shí)施部門可以在法律授權(quán)的情況下，實(shí)現(xiàn)對(duì)用戶之間通信的監(jiān)聽（解密或無(wú)密鑰）。這也看成是一個(gè)“后門”。8/12/202524-密鑰托管技術(shù)的具體實(shí)施該密鑰托管技術(shù)具體實(shí)施時(shí)有3個(gè)主要環(huán)節(jié)：生產(chǎn)托管Clipper芯片、用芯片加密通信和無(wú)密鑰存取。（1）生產(chǎn)托管Clipper芯片Clipper芯片主要包含：Skipjack加密算法、80比特的族密鑰KF（FamilyKey，同一芯片的族密鑰相同）、芯片單元標(biāo)識(shí)符UID（UniqueIdentifier）、80比特的芯片單元密鑰KU(UniqueKey，由兩個(gè)80比特的芯片單元密鑰分量(KU1，KU2)異或而成）和控制軟件。以上這些內(nèi)容都是固化在Clipper芯片上。8/12/202525（2）用芯片加密通信通信雙方為了通信，都必須有一個(gè)裝有Clipper芯片的安全防竄擾設(shè)備，該設(shè)備主要實(shí)現(xiàn)建立安全信道所需的協(xié)議，包括協(xié)商或分配用于加密通信的80比特秘密會(huì)話密鑰KS。（3）無(wú)密鑰存取在需要對(duì)加密的通信進(jìn)行解密監(jiān)控時(shí)（即在無(wú)密鑰且合法的情況下），可通過(guò)一個(gè)安裝好的同樣的密碼算法、族密鑰KF和密鑰加密密鑰K的解密設(shè)備來(lái)實(shí)現(xiàn)。由于被監(jiān)控的通信雙方使用相同的會(huì)話密鑰，解密設(shè)備不需要都取出通信雙方的LEAF及芯片的單元密鑰，而只需取出被監(jiān)聽一方的LEAF及芯片的單元密鑰。

8/12/202526對(duì)于每個(gè)數(shù)據(jù)加密密鑰，S或R都有可能要求DRC或KEC有一次相互作用，其中對(duì)數(shù)據(jù)加密密鑰要求DRC與KEC之間的聯(lián)系是在線的，以支持當(dāng)每次會(huì)話密鑰改變時(shí)的實(shí)時(shí)解密。

如果托管代理機(jī)構(gòu)把部分密鑰返回給DRC時(shí)，DRC必須使用窮舉搜索以確定密鑰的其余部分。此外，DRC還使用技術(shù)、操作和法律等保護(hù)手段來(lái)控制什么是可以解密的，比如可以對(duì)數(shù)據(jù)恢復(fù)進(jìn)行嚴(yán)格的時(shí)間限制。這些保護(hù)措施提供了KEC傳送密鑰時(shí)所要求的限制，而且認(rèn)證機(jī)構(gòu)也可以防止DRC用密鑰產(chǎn)生偽消息。8/12/202527密鑰托管是具有備份解密密鑰的加密技術(shù)，它允許獲得授權(quán)者（包括用戶、民間組織和政府機(jī)構(gòu)）在特定的條件下，借助于一個(gè)以上持有數(shù)據(jù)恢復(fù)密鑰可信賴的委托人的支持來(lái)解密密文。

所謂數(shù)據(jù)恢復(fù)密鑰，它不同于常用的加密、解密密鑰，它只是為確定數(shù)據(jù)加密/解密提供了一種方法。而所謂密鑰托管就是指存儲(chǔ)這些數(shù)據(jù)恢復(fù)密鑰的方案。密鑰托管在邏輯上分為3個(gè)主要的模塊（如上圖所示）：USC（UserSecurityComponent，用戶安全模塊）、KEC（KeyEscrowComponent，密鑰托管模塊）和DRC（DataRecoveryComponent，數(shù)據(jù)恢復(fù)模塊）。這些邏輯模塊是密切相關(guān)的，對(duì)其中的一個(gè)設(shè)計(jì)將影響著其他模塊。密鑰托管系統(tǒng)的組成8/12/202528下圖所示的是這幾個(gè)模塊的相互關(guān)系：USC用密鑰K加密明文，并且在傳送的同時(shí)傳送一個(gè)數(shù)據(jù)恢復(fù)域DRF（DataRecoveryField），DRC則從KEC提供的和DRF中包含的信息中恢復(fù)出密鑰K來(lái)解密密文。8/12/2025291)USC（UserSecurityComponent，用戶安全模塊）USC由軟件、硬件組成（一般情況下，硬件比軟件安全、不易發(fā)生竄擾），提供數(shù)據(jù)加密/解密的能力，執(zhí)行支持?jǐn)?shù)據(jù)恢復(fù)的操作，同時(shí)也支持密鑰托管。這種支持體現(xiàn)在將數(shù)據(jù)恢復(fù)域（DRF）附加到數(shù)據(jù)上。USC的功能表現(xiàn)在以下幾個(gè)方面：

（1）提供具有數(shù)據(jù)加解密能力的算法及支持密鑰托管功能的硬件或相關(guān)軟件。（2）提供通信（包括電話、電子郵件及其他類型的通信，由相關(guān)部門在法律許可的條件下對(duì)通信的監(jiān)聽后并執(zhí)行對(duì)突發(fā)事件的解密）和數(shù)據(jù)存儲(chǔ)的密鑰托管。8/12/202530（3）提供突發(fā)解密的識(shí)別符（包括用戶或USC的識(shí)別符、密鑰的識(shí)別符、KEC或托管代理機(jī)構(gòu)的識(shí)別符）和密鑰（包括屬于芯片單元密鑰KEC所使用的全局系統(tǒng)密鑰，密鑰還可以是公鑰或私鑰，私鑰的備份以托管的方式由托管機(jī)構(gòu)托管）。當(dāng)用密鑰K加密時(shí)，USC必須將密文和密鑰與一個(gè)或多個(gè)數(shù)據(jù)恢復(fù)密鑰建立起聯(lián)系，比如在加密數(shù)據(jù)上加一個(gè)DRF，以建立用戶（收發(fā)雙方）托管代理機(jī)構(gòu)和密鑰K的密鑰聯(lián)系。

DRF一般由一個(gè)或多個(gè)數(shù)據(jù)恢復(fù)密鑰（如KEC的主密鑰、產(chǎn)品密鑰、收發(fā)雙方的公鑰等）加密的K組成。

此外，DRF還包括一些識(shí)別符（用于標(biāo)識(shí)數(shù)據(jù)恢復(fù)密鑰、托管代理機(jī)構(gòu)或KEC、加密算法及運(yùn)行方式、DRF的產(chǎn)生方法等）和托管認(rèn)證符（用于驗(yàn)證DRF的完整性）。8/12/2025312)KEC（KeyEscrowComponent，密鑰托管模塊）

可以作為公鑰證書密鑰管理系統(tǒng)的組成部分，也可以作為通用密鑰管理的基礎(chǔ)部分。它由密鑰管理機(jī)構(gòu)控制，主要用于向DRC提供所需的數(shù)據(jù)和服務(wù)，管理著數(shù)據(jù)恢復(fù)密鑰的存儲(chǔ)、傳送和使用。

數(shù)據(jù)恢復(fù)密鑰主要用于生成數(shù)據(jù)加密密鑰，因此在使用托管密碼加密時(shí)，所有的托管加密數(shù)據(jù)都應(yīng)與被托管的數(shù)據(jù)恢復(fù)密鑰聯(lián)系起來(lái)。

數(shù)據(jù)恢復(fù)密鑰主要由以下內(nèi)容組成：

（1）密鑰選項(xiàng)：包括數(shù)據(jù)加密密鑰（由會(huì)話密鑰和文件加密密鑰組成，可以由KDC產(chǎn)生、分配和托管）、產(chǎn)品密鑰（每一個(gè)USC只有惟一的產(chǎn)品密鑰）、用戶密鑰（用于建立數(shù)據(jù)加密密鑰的公鑰和私鑰，KEC可以擔(dān)任用戶的公鑰證書機(jī)構(gòu)，為用戶發(fā)放公鑰數(shù)字證書）、主密鑰（與KEC相關(guān)，可由多個(gè)USC共享）。8/12/202532

（2）密鑰分割：一個(gè)數(shù)據(jù)恢復(fù)密鑰可以分割成多個(gè)密鑰分量，每個(gè)分量由一個(gè)托管代理機(jī)構(gòu)托管。在密鑰恢復(fù)時(shí)，就需要全部密鑰托管機(jī)構(gòu)參與或采用（n,k）門限方案。密鑰分割應(yīng)保證所有托管機(jī)構(gòu)或其中一些聯(lián)合起來(lái)能恢復(fù)數(shù)據(jù)的密鑰恢復(fù)。（3）密鑰的產(chǎn)生和分配：數(shù)據(jù)恢復(fù)密鑰可以由KEC或USC產(chǎn)生。USC產(chǎn)生的密鑰可使用可驗(yàn)證的密鑰分割方案分割并托管，使得托管代理機(jī)構(gòu)在不知數(shù)據(jù)恢復(fù)密鑰的情況下驗(yàn)證自己所托管的密鑰分量是否有效。數(shù)據(jù)恢復(fù)密鑰可以由KEC和USC聯(lián)合產(chǎn)生。密鑰的產(chǎn)生應(yīng)使得用戶不能夠在被托管的密鑰中隱藏另一密鑰。（4）密鑰托管時(shí)間：密鑰托管可在產(chǎn)品的生產(chǎn)、系統(tǒng)或產(chǎn)品的初始化階段或用戶注冊(cè)階段進(jìn)行。假如托管的是用戶的私鑰，則可在將相應(yīng)的公鑰加入到公鑰基礎(chǔ)設(shè)施并發(fā)放公鑰證書時(shí)進(jìn)行托管。USC只能把經(jīng)托管機(jī)構(gòu)簽署了公鑰證書的那些用戶發(fā)送已加密的數(shù)據(jù)。8/12/202533（5）密鑰更新：某些系統(tǒng)可能會(huì)允許數(shù)據(jù)恢復(fù)密鑰，但只能按規(guī)則進(jìn)行。（6）密鑰的全部和部分：某些系統(tǒng)托管的是密鑰的一部分，在數(shù)據(jù)恢復(fù)密鑰時(shí)，未托管的部分可使用窮舉搜索法來(lái)確定。（7）密鑰存儲(chǔ)：在線或不在線都可以存儲(chǔ)密鑰。

KEC在向DRC提供諸如托管的密鑰等服務(wù)時(shí)，服務(wù)包括如下部分：

（1）授權(quán)過(guò)程：對(duì)操作或使用DRC的用戶進(jìn)行身份認(rèn)證和對(duì)訪問(wèn)加密數(shù)據(jù)的授權(quán)證明。

（2）傳送數(shù)據(jù)恢復(fù)密鑰（主密鑰不提供）：如果數(shù)據(jù)恢復(fù)密鑰是會(huì)話密鑰或產(chǎn)品密鑰，KEC向DRC直接傳送數(shù)據(jù)恢復(fù)密鑰。密鑰傳送時(shí)和有效期一起傳送，有效期過(guò)后，密鑰將被自動(dòng)銷毀。8/12/202534

（3）傳送派生密鑰：KEC向DRC提供由數(shù)據(jù)恢復(fù)密鑰導(dǎo)出的另一密鑰（派生密鑰）。比如受時(shí)間限制的密鑰，被加密的數(shù)據(jù)僅能在一個(gè)特定的有效時(shí)間段內(nèi)被解密。（4）解密密鑰：如果在DRF中使用主密鑰加密數(shù)據(jù)加密密鑰時(shí)，KEC只向DRC發(fā)送解密密鑰，而不發(fā)送主密鑰。（5）執(zhí)行門限解密：每個(gè)托管機(jī)構(gòu)向DRC提供自己的解密結(jié)果，由DRC合成這些結(jié)果并得到明文。（6）數(shù)據(jù)傳輸：KEC和DRC之間的數(shù)據(jù)傳輸可以是人工的也可以是電子的。此外，KEC還應(yīng)對(duì)托管的密鑰提供保護(hù)以防其泄露或丟失，保護(hù)手段可以是技術(shù)的、程序的或法律的。例如，可采用校驗(yàn)、任務(wù)分割、秘密分割、物理安全、密碼技術(shù)、冗余度、計(jì)算機(jī)安全和托管體制等措施。8/12/2025353)DRC（DataRecoveryComponent，數(shù)據(jù)恢復(fù)模塊）由算法、協(xié)議和設(shè)備組成。DRC利用KEC所提供的和在DRF中包含的信息中恢復(fù)出數(shù)據(jù)加密密鑰，進(jìn)而解密密文，得到明文。僅僅在執(zhí)行指定的已授權(quán)的數(shù)據(jù)恢復(fù)時(shí)使用。為了解密數(shù)據(jù)，DRC必須采用下列方法來(lái)獲得數(shù)據(jù)加密密鑰：從發(fā)送方S或接收方R接入。

首先要確定與S或R相關(guān)的數(shù)據(jù)恢復(fù)密鑰能否恢復(fù)密鑰K。如果只能利用S的托管機(jī)構(gòu)持有的子密鑰才能獲得K，當(dāng)各個(gè)用戶分別向?qū)ｉT的用戶傳送消息，尤其是在多個(gè)用戶散布在不同的國(guó)家或使用不同的托管機(jī)構(gòu)時(shí)，DRC一定得獲取密鑰托管數(shù)據(jù)后才能進(jìn)行實(shí)時(shí)解密；

相反，當(dāng)只有利用R的托管機(jī)構(gòu)所持的子密鑰才能獲得K時(shí)，就不可能實(shí)時(shí)解密專門用戶傳送出的消息。

如果利用托管機(jī)構(gòu)的子集所持的密鑰也可以進(jìn)行數(shù)據(jù)恢復(fù)，那么一旦獲得了K，則DRC就可以實(shí)時(shí)解密從USC發(fā)出或送入的消息。該系統(tǒng)就可以為雙向?qū)崟r(shí)通信提供這種能力，但這要求通信雙方使用相同的K。8/12/2025369.5密鑰協(xié)商與密鑰分配9.5.1密鑰協(xié)商

密鑰協(xié)商實(shí)際上是一個(gè)協(xié)議，它通過(guò)兩個(gè)或多個(gè)成員在一個(gè)公開的信道上通信聯(lián)合地建立一個(gè)秘密密鑰。一般情況下。一個(gè)密鑰協(xié)商方案的密鑰是某個(gè)函數(shù)的值，其輸入量由通信雙方提供，協(xié)商過(guò)程是由一系列順序步驟完成的。8/12/2025371．Diffie-Hellman密鑰交換協(xié)議Diffie-Hellman密鑰交換協(xié)議是第一個(gè)被提出的密鑰協(xié)商方案，是美國(guó)斯坦福大學(xué)的W.Diffie和M.E.Hellman于1976年提出的，它是第一個(gè)發(fā)表的公鑰密碼體制。Diffie-Hellman算法的惟一目的就是使兩個(gè)用戶能安全地交換密鑰，從而得到一個(gè)共享的會(huì)話密鑰（秘密密鑰）。需要注意的是該算法本身不能用于加、解密。Diffie-Hellman密鑰交換協(xié)議在Diffie-Hellman這種體制（基本模式）下（如下頁(yè)圖9-4所示），如果主動(dòng)攻擊者C截獲一對(duì)通信用戶A和B之間的消息，然后用自己的消息代替它們（如下頁(yè)圖9-5所示）。

在協(xié)議結(jié)束時(shí)，用戶A、B與攻擊者C之間將分別形成各自的新密鑰：

當(dāng)用戶A加密一個(gè)消息打算發(fā)給B時(shí)，攻擊者C就能夠進(jìn)行解密（而用戶B卻無(wú)法解密；同理，當(dāng)用戶B發(fā)送一個(gè)加密消息給用戶A時(shí)，將發(fā)生類似的情況）。圖4Diffie-Hellman密鑰交換協(xié)議的基本模式圖5有攻擊的Diffie-Hellman密鑰交換協(xié)議顯然，用戶A與用戶B必須能夠確認(rèn)所形成的密鑰正是在兩者之間形成的，而不是與其他人（如攻擊者）共同建立的。這樣，在密鑰建立的時(shí)候，密鑰協(xié)商協(xié)議就需要同時(shí)認(rèn)證參加者的身份（身份識(shí)別過(guò)程必須與密鑰協(xié)商過(guò)程緊密結(jié)合，以避免在身份識(shí)別過(guò)程后仍然有可能被人獲取密鑰而產(chǎn)生