为了增强密钥的安全性,通常根据使用场合将密钥分成很多不同的种类,并对不同种类的密钥用不同的管理策略。从密钥用途和功能的角度可把密钥分为:机密性的加/解密密钥、完整性论证密钥、数字签名密钥和密钥协商密钥等;但从密钥管理的角度一般把密钥分为如下几种:
(1)初始密钥。初始密钥由用户选定或系统分配,可在较长时间内有效。通常用它启动与控制密钥生成器,得到通信时用的会话密钥。因此初始密钥使用的频率不高,且不直接用于保密通信过程,有助于初始密钥与整个系统的安全。
(2)会话密钥。会话密钥是在通信中2个终端用户真正用的密钥,它主要是被用来加密传输中的数据,因此也叫数据加密密钥。会话密钥可让用户没有必要多次更换主密钥等其他密钥,便于密钥的安全与管理。会话密钥用的时间较短,约束了攻击者能获取的同一密钥加密的密文量,加大了密码分析的难度,有利于数据的安全。另外,在不慎将会话密钥丢失的情况下,受影响的密文数量有限而能减少损失。会话密钥一般是在一次会话开始时按需通过协议自动建立并分发,也因此减小了密钥管理的难度。
(3)密钥加密密钥。在密钥分配协议中,用来对传输中的会话密钥等其他密钥加密的密钥叫密钥加密密钥,也叫密钥传送密钥。通信网中的每个结点均得配备这样的密钥,且各不同,每台主机均应存储其他有关主机的密钥加密密钥。
(4)主密钥。主密钥是给密钥加密密钥实施保护的密钥。其层次最高,一般不通过密码学措施保护,通过手工分配,或在初始阶段通过过程控制在物理或电子隔离情况下安装。
从密钥使用的有效期上看,在上述四种密钥中,会话密钥一定是短期密钥,初始密钥与主密钥的有效期通常比较长,而密钥加密密钥的有效期可能是长期的,也可能是暂时的。这种分层的密钥结构使每个密钥被使用的次数都不太多,同一密钥得到的密文数量不是很大,可被密码分析者用的信息较少,有助于系统的安全。
