5.3 密鑰生存周期的一般模型

5.3.1密鑰生存周期的定義

一個密鑰將經歷一系列狀態，這些狀態確定了其生存周期。有三種主要狀態：

• a) 待激活：在待激活狀態，密鑰已生成，但尚未激活使用。

• b) 激活：在激活狀態，密鑰用于加密數據、解密或驗證數據。

• c) 掛起：在掛起狀態，密鑰僅可用于解密或驗證。

若明確某個密鑰已受到威脅后，應立刻將該密鑰狀態變為掛起狀態，之后該密鑰僅可用于解密或驗證狀態變化前收到的數據，不可用于其它用途。需要注意的是是，確定受到威脅的密鑰不能被再次激活，所以圖1中密鑰由掛起狀態經再激活變為激活狀態是有條件的可選操作。

當密鑰確定受到未授權訪問或控制時，可認為該密鑰受到威脅。

這些狀態及相應的轉換如圖1所示，該圖給出了一個密鑰生存周期的一般模型，其它生存周期模型可能附有上述三種狀態的子狀態。大多數生存周期需歸檔，根據生存周期的特定細節，這種歸檔可以和所有狀態相關聯。

圖1 密鑰生存周期

5.3.2 密鑰狀態間的轉換

如圖1，當密鑰從一個狀態遷移到另一個狀態時，需經歷下列轉換：

a) “生成”：密鑰生成過程。密鑰生成應根據指定的密鑰生成規則進行，該過程可能包括測試程序以驗證是否遵守這些規則。需要注意的是，在密鑰生成過程中使用不可預測的隨機數是極其重要的，否則，即使使用最強的密碼算法也不能提供足夠的保護。關于隨機數生成的方法，見ISO/IEC 18031；

• b) “激活”：使密鑰有效，可用于密碼運算；

• c) “釋放”：限制密鑰的使用，密鑰過期或已被撤銷都會發生這種情況；

• d) “再激活”：允許掛起的密鑰可重新用于密碼運算；

• e) “銷毀”：終止密鑰的生存周期，包括對密鑰的邏輯銷毀，也可包括物理銷毀；

轉換可由下列事件觸發：例如需要新密鑰、密鑰受威脅、密鑰過期、密鑰生存周期結束等。所有這些轉換都包括一系列的密鑰管理服務。

5.3.3密鑰狀態的轉換與服務

用于特定密碼技術的密鑰在它的生存周期內將使用不同的服務組合：

對于對稱加密技術，密鑰生成后，從待激活狀態到激活狀態的轉換包括密鑰安裝，也可包括密鑰的注冊和分發。在某些情況下，安裝可涉及到派生一個特殊的密鑰。密鑰的生存周期應限制在一個固定的期限內。釋放終止激活狀態，通常是因為密鑰過期。如果發現處于激活狀態的密鑰受到威脅，撤銷該密鑰也可使它進入掛起狀態。一個處于掛起狀態的密鑰可被歸檔。如果在某些條件下需再次使用已歸檔的密鑰，它將被再激活，在它完全激活前，可能需再次安裝和分發；否則，釋放后，密鑰可能會被注銷和銷毀；

對于非對稱加密技術，一對密鑰(公鑰和私鑰)生成后，這對密鑰都會進入待激活狀態。注意，這對密鑰的生存周期有關聯但不相同。在私鑰進入激活狀態之前，注冊和分發給用戶是可選的，但安裝則是必需的。私鑰在激活狀態和掛起狀態間的轉換，包括釋放，再激活和銷毀，與上述對稱密鑰的情形類似。當簽發公鑰時，通常由CA生成一個包含公鑰的證書，以確保公鑰的有效性和所有權。該公鑰證書可放在目錄中或其它類似服務中用于分發，或傳回給所有者進行分發。當所有者發送用其私鑰簽名的數據時，也可附上其證書。一旦公鑰被驗證，該密鑰對就進入激活狀態。當密鑰對用于數字簽名時，在私鑰釋放或銷毀后，其相應的公鑰可能不定期地處于激活狀態或掛起狀態。為了驗證相關私鑰在原定的有效期之內產生的數字簽名，可能需要訪問公鑰。當采用非對稱技術實現保密服務，且用于加密的密鑰已釋放或被銷毀時，密鑰對中所對應的密鑰仍可能處于激活或掛起態以用于其后的解密。

對于簽名密鑰，其對應的公開密鑰將處于激活或掛起狀態，對于加密密鑰，其對應的私有密鑰將處于激活或掛起狀態。

密鑰的使用或應用可決定與它相關的服務。例如，系統可決定不注冊會話密鑰，因為注冊過程的時間可能比其生存周期還長。