密鑰管理系統實踐

時間:2022-07-23 03:44:51

導語:密鑰管理系統實踐一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

密鑰管理系統實踐

1總體布局

密鑰管理系統設計的總體布局如圖1所示,密鑰管理系統可以同時提供非對稱密鑰服務和對稱密鑰服務,可以按照級聯模式根據應用需求擴展成二級或者三級對稱密鑰和非對稱密鑰管理體系。密鑰管理系統也可以按照《數字證書認證系統密碼協議規范》,改造證書認證和數字簽名中通用的安全協議流程、數據格式和密碼函數接口[5],與其他CA系統通信,系統本身作為一個非對稱密鑰庫,與CA結合形成證書系統,也可以作為對稱密鑰庫,與對稱密鑰管理系統前臺管理系統配合提供對稱密鑰全生命周期服務[6]。

2邏輯層次承載層和數據層提供密鑰管理系統運行的承載網

絡及機房與配套設施,為密鑰管理系統提供物理運行環境,提供冗余和備份與恢復服務器、備份磁帶機、磁盤陣列等密鑰的數據存儲手段。安全防護層按照等級保護要求,采用介質安全、防火墻、入侵檢測、主機加固、病毒防護、安全審計等技術手段,為密鑰管理系統的網絡部署提供基本的安全防護手段,保證密鑰管理服務器的安全。密鑰管理服務層提供核心密鑰管理服務,非對稱密鑰管理和對稱密鑰管理模塊提供非對稱密鑰和對稱密鑰的證書模版管理、應用策略管理、密鑰全生命周期管理、密鑰庫管理。設備監控模塊在線監測密碼設備運行情況,檢查密碼設備的算法類型、密鑰長度、密碼設備基本信息(廠商、類型、設備編號、IP地址)與錄入時是否一致,對密鑰管理系統密碼設備之間的安全通信協議、密碼設備支持算法是否符合國家密碼管理局標準規定進行在線監控和異常報警[7-8]。綜合管理層保證密鑰管理系統支持各級系統管理員經授權后以B/S模式對該系統進行全面管理和可視化展示,支持瀏覽、統計、查詢等操作,掌握和了解本級密鑰管理系統密鑰使用情況、密碼設備配用情況和運行情況、密碼應用詳細信息,支持對該系統的密碼設備和拓撲進行管理和展示,支持配置系統操作員、管理員的不同權限,級聯模式下可對各級密碼設備進行錄入、注冊、配置、認證及基本信息管理。綜合管理層還支持管理員監控操作日志、監控日志和運行日志。

3系統拓撲

從圖上可以看出,密鑰管理系統支持二級和更多級級聯,如果系統的密鑰管理服務配合密碼服務接口與第三方CA系統連接,可以作為第三方CA的密鑰管理中心。系統內部各模塊之間通訊直接調用密碼機硬件加密算法進行身份認證和數據加密傳輸,算法模塊支持Windows、JAVA等各種平臺[9]。密碼設備監控機制通過在密碼機部署的軟件實現,軟件針對密碼機的操作系統開發,和密鑰管理服務的設備監控模塊以客戶端-服務器方式實現監管[10],密碼設備的算法有效性、密碼設備基本信息(廠商、類型、設備編號、IP地址)事先在綜合管理平臺錄入基準值,密鑰管理系統運行時,軟件定期監測密碼設備,對密碼設備基本信息等固定值的檢查通過采集并比對基準值方式監測。算法有效性的檢查通過計算實現,軟件首先調用密碼機取隨機值,通過對稱密鑰、非對稱密鑰計算,并計算哈希值,形成基準值,和明文一起通過服務端服務器的公鑰證書加密發送至設備監控服務端,服務端收到后解密并計算明文哈希值,如果與收到的哈希值相同,說明軟件所在密碼機算法正確,如果不正確則告警[11-12]。設備監控軟件還支持密鑰分發功能,當二級密鑰管理系統,例如非對稱密鑰管理模塊需要分發密鑰時,綜合管理服務模塊向下級密碼設備的軟件發起密鑰分發通知,軟件接收通知后,主動連接綜合管理服務模塊,綜合管理服務模塊將要分配的密鑰下發給軟件,完成密碼設備的密鑰分發操作。

4系統擴展

當密鑰管理系統只提供對稱密鑰和非對稱密鑰核心密鑰管理服務,與其他系統例如CA系統整合時,作為密鑰管理中心,需要定義非對稱密鑰管理模塊和CA模塊之間的互聯互通密碼認證協議[13]。非對稱密鑰服務包括申請密鑰對、恢復密鑰對和撤銷密鑰對,每個服務都按照請求-響應的步驟執行:請求:請求由CA提出,發送到密鑰管理系統。CA在生成用戶加密證書、更新加密證書或者撤銷加密證書時,首先組織密鑰服務請求,發送到密鑰管理系統,并延緩自身的事務處理過程,等待密鑰管理系統響應返回。響應:響應由密鑰管理系統發起,發送到CA。密鑰管理系統在接收到來自CA的請求后,檢查確定請求合法性,處理服務請求,并將結果返回給CA。整個服務過程如圖4所示。請求:密鑰服務請求,包含CA請求的類型、性質以及特性數據等,該請求將被發送到密鑰管理系統并得到服務。服務請求包括如下數據:協議版本、服務請求標識符、CA標識符、擴展的請求信息、請求信息的簽名[14]。

5結束語

文中設計了一種同時支持對稱密鑰管理和非對稱密鑰管理的密鑰管理系統,支持對密碼設備的算法有效性和設備基本配置的實時監控,其核心密鑰管理模塊還支持與第三方CA系統和對稱密鑰管理系統對接,作為CA系統和對稱密鑰管理系統的密鑰管理中心服務,是一種采用模塊化設計的配置靈活的密鑰管理系統。

作者:陳亞東張濤曾榮費稼軒華曄葉云工作單位:中國電力科學研究院