对于给定的实体,密钥管理主要有几个阶段:
(1)用户登记
在本阶段,一个实体成为某个安全域中的授权成员。包括由安全的、一次性技术获取、创建或交换初始密钥材料。
(2)系统和用户初始化
系统初始化包括建立、配置一个安全操作的系统。用户初始化由一个实体初始化它的加密应用,它包括用户或其登记期间所取得的初始密钥材料的安装。
(3)密钥材料的安装
密钥材料安装的安全性是系统的关键。在本阶段,为方便使用密钥材料在一个实体的软件、硬件中安装。安装时有手工进入口令或PIN、磁盘交换、ROM设备、芯片卡或别的硬件设备等可用的技术。初始密钥材料能建立安全的在线会话完成工作密钥的建立。当上述项目首次建立时,新的密钥材料要加入到现有的材料中或现有密钥材料被取代时,需安装密钥材料。
(4)密钥的生成
密钥的生成应含一定的措施来保证目标应用或算法的必要属性,也含可预见概率的随机性。一个实体可产生自己的密钥,也可从可靠的系统那里得到。
(5)密钥的登记
密钥登记期间,密钥材料被登记,并绑定一些实体的信息和属性。典型地包含与密钥材料相关的实体身份,但也可含认证信息或指定信任级别。如认证生成公钥、公钥证书,并由一个公开目录或其他方式来对别人可用。
(6)密钥的使用
通常情况下,密钥在有效期内都可以使用。这里还可以细分,如一个公钥对中,某种情况下公钥可能不能再用于加密,但对应的私钥还可以保留用于解密。
(7)密钥材料的备份
在独立的、安全存储媒体中的密钥材料为密钥的恢复给了数据源。备份是指在操作使用期间的短期存储。
(8)密钥的存档
当密钥材料不是正常使用时对其存档,方便在特别需要时能对其检索。存档是对超过有效期的密钥长期离线保存。
(9)密钥的更新
密钥快要结束有效期时,若有继续保护该密钥加密内容的需求,该密钥需由新的密钥取代,这就是密钥更新。它可由再生密钥取代原有密钥来实现。
(10)密钥的恢复
从备份或档案中检索密钥材料的过程叫做密钥恢复。如果密钥材料由某原因丢失,同时又没有安全风险,则可从原有的安全备份中恢复密钥。
(11)密钥的取消登记与销毁
不再需要留下密钥材料或保持它与某实体的联系时,该密钥应被取消登记,即应从现有密钥的正式记录中清除全部密钥材料及其相关的记录,全部密钥备份应被销毁。任何存储过密钥材料的媒体应被安全删除,使得它不被物理或电子的方式恢复。
(12)密钥的撤销
在密钥正常的生命周期结束之前,将密钥撤销有时是必要的。借助通知全部可能用该密钥材料的实体来完成,通知应含密钥材料的完整ID,撤销的日期时间和原因等。基于证书分发的公钥,密钥的撤销包含相应的证书。对于所给予的撤销信息,其他实体能够决定该如何解决收到撤销密钥保护的信息。