金融行业常见的几种密钥体系

金融行业对于数据安全的要求比较高，因此金融行业常用密钥体系是有比较强的安全性和参考性，可以作为云厂商或者其他业务的参考，简单整理了下金融行业集中常见的密钥体系。

1.参考资料

《商业银行密码技术应用》作者：张明德

2.密钥体系

2.1.对称密钥体系ZMK

图2.1 对称密钥管理体系

2.2.非对称密钥体系

图2.2非对称密钥体系

3.业界密钥体系

3.1.对称密钥体系--存在中心节点

中心节点与每个机构之间约定的各层密钥都要求具有唯一性。

各层密钥的结构、生成方法、加密解密对象、存储地点、长度、被保护方式等如下表所示：

表1 各层密钥表

3.2.商业银行密钥体系

图3.2商业银行密钥提示

传统商业银行密钥体系采用三层密钥体系，如图3.2所示。

4.密钥管理设计原则

密钥管理的设计主要遵循以下基本原则。

4.1.保证密钥自身的机密性

除非对称公钥外，用于加、解密的密钥和用于生成密钥的敏感资料必须保持机密，不允许任何人知道任何密钥。

4.2.限制密钥的存在形式

除非对称公钥外，用于加、解密的密钥只允许以以下集中存在形式：

（1）密钥明码（Cleartext）只能存在硬件加密设备中。

（2）在硬件加密设备中，密钥必须加密存储。

（3）在硬件加密设备外的密钥成分（用于合成密钥），必须保证双重控制、多人掌握。

4.3.密钥分发

用于加解密的密钥，在进行分发时必须保证在切实可信、最少数目的地点进行。

4.4.密钥隔离

用于加、解密的密钥，在产生和使用时必须用于其最初设计的目的。

4.5.密钥同步

必须提供机制来保证和验证已分发密钥的正确性，且该密钥的使用不会影响到其他密钥的安全性。

4.6.活动日志

密钥管理的所有活动必须记录到活动日志中，且该日志库必须保护自身管理的安全性。