在現代的信息系統中,對信息進行保密通常採用加解密技術,而對於一個完善的密碼系統而言,密碼體制、密碼算法是能公開的,加解密用的密鑰卻一定要是保密的。因此,信息的安全性由對密鑰的安全保護來決定,只要密鑰未被泄露,保密信息還是安全的。而密鑰如果丟掉或出現錯誤,不只是非法用戶存在會竊取信息的可能,而且合法用戶也無法正確提取信息。密鑰管理已是信息安全系統中的關鍵問題之一,若無一套完善的密鑰管理方法,那麼困難性與危險性不可思議。

密鑰管理主要指安全保密管理用的密鑰的生命周期的全過程。主要體現在管理體制、協議與密鑰的產生、分配、更換及注入等。

根據密鑰類型,密鑰管理技術有以下內容。

(1)對稱密鑰管理。

對稱加密是基於一起維護秘密完成的。用對稱加密技術的貿易兩方一定得確保用一樣的密鑰,要確保雙方密鑰的交換是安全的。利用公開密鑰加密技術管理對稱密鑰,使相應管理更簡單與安全,而且也搞定了純對稱密鑰模式里的可靠性與鑑別問題。

交換信息生成對稱密鑰,使用公開密鑰加密該密鑰,之後再把加密以後的密鑰與拿此密鑰加密的信息共同發給對應的貿易方。因給每次信息交換均對應生成了僅一把密鑰,所以各貿易方則無需再維護密鑰及害怕密鑰的泄露或過期。此方式的另一好處為儘管泄露了一把密鑰也僅會影響一筆交易,而不會影響到貿易兩方之間全部的交易關係。該方式還向貿易方之間發佈對稱密鑰給出了一種安全途徑。

(2)公開密鑰管理/數字證書

貿易夥伴之間能藉助數字證書進行交換公開密鑰。證書發佈者通常叫做證書管理组织,它為貿易各方均信任的组织。數字證書可標識貿易方,是如今電子商務普遍利用的技術之一。