密鑰管理是數(shù)據(jù)加密技術(shù)中的重要一環(huán)，密鑰管理的目的是確保密鑰的安全性（真實(shí)性和有效性）。為了數(shù)據(jù)使用的方便，數(shù)據(jù)加密在許多場(chǎng)合集中表現(xiàn)為密鑰的應(yīng)用，以達(dá)到保密的要求，因此密鑰往往是保密與竊密的主要對(duì)象。

由于系統(tǒng)的保密性主要取決于密鑰的安全性，所以在公開的網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個(gè)嚴(yán)峻的問題。

密鑰分散是上級(jí)的密鑰與本級(jí)的特征相結(jié)合形成本級(jí)的密鑰，其基本思想是用密鑰來保護(hù)密鑰。密鑰發(fā)散機(jī)制的優(yōu)點(diǎn)在于即使破解了密鑰，也不會(huì)對(duì)同級(jí)和上級(jí)的密鑰產(chǎn)生威脅。密鑰分散機(jī)制是保護(hù)密鑰安全的有效手段。

通過密鑰分散，使得每張加密卡交易時(shí)使用的密鑰都不同，實(shí)現(xiàn)了“一卡一密”，并要求在密鑰操作時(shí)和控制密鑰配合使用，提高密鑰使用的安全性。

分散過程簡(jiǎn)單描述如下：

密鑰分散算法簡(jiǎn)稱Diversify，是指將一個(gè)雙長(zhǎng)度(一個(gè)長(zhǎng)度密鑰為8個(gè)字節(jié))的主密鑰(MK)，對(duì)數(shù)據(jù)進(jìn)行分散處理，推導(dǎo)出一個(gè)雙長(zhǎng)度的DES加密密鑰(DK)。該算法廣泛應(yīng)用于現(xiàn)在的金融IC卡和其他對(duì)于安全要求高的行業(yè)。其DK推導(dǎo)過程如下：

推導(dǎo)DK左半部分的方法是：

1、將分散數(shù)據(jù)的最右8個(gè)字節(jié)作為輸入數(shù)據(jù)；

2、將MK作為加密密鑰；

3、用MK對(duì)輸入數(shù)據(jù)進(jìn)行3DES運(yùn)算，得到DK左半部分。

推導(dǎo)DK右半部分的方法是：

1、將分散數(shù)據(jù)的最右8個(gè)字節(jié)求反，作為輸入數(shù)據(jù)；

2、將MK作為加密密鑰；

3、用MK對(duì)輸入數(shù)據(jù)進(jìn)行3DES運(yùn)算，得到DK右半部分。

最后將DK的左右部分各8個(gè)字節(jié)合并成雙長(zhǎng)度的DK密鑰，即為分散所求得的待使用的3DES密鑰。

密鑰分散有助于保護(hù)密鑰，但是一個(gè)完整的密鑰管理系統(tǒng)應(yīng)該做到：

1、密鑰難以被竊取和復(fù)制；

2、即使竊取了密鑰也沒有用，密鑰有使用范圍和時(shí)間的限制；

3、密鑰的分配和更換過程對(duì)用戶透明，用戶不一定要親自掌管密鑰；

4、核心密鑰一定要采用分割負(fù)責(zé)的方式保存。

審核編輯：劉清