密钥管理系统实践

时间:2022-07-23 03:44:51

导语:密钥管理系统实践一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

密钥管理系统实践

1总体布局

密钥管理系统设计的总体布局如图1所示,密钥管理系统可以同时提供非对称密钥服务和对称密钥服务,可以按照级联模式根据应用需求扩展成二级或者三级对称密钥和非对称密钥管理体系。密钥管理系统也可以按照《数字证书认证系统密码协议规范》,改造证书认证和数字签名中通用的安全协议流程、数据格式和密码函数接口[5],与其他CA系统通信,系统本身作为一个非对称密钥库,与CA结合形成证书系统,也可以作为对称密钥库,与对称密钥管理系统前台管理系统配合提供对称密钥全生命周期服务[6]。

2逻辑层次承载层和数据层提供密钥管理系统运行的承载网

络及机房与配套设施,为密钥管理系统提供物理运行环境,提供冗余和备份与恢复服务器、备份磁带机、磁盘阵列等密钥的数据存储手段。安全防护层按照等级保护要求,采用介质安全、防火墙、入侵检测、主机加固、病毒防护、安全审计等技术手段,为密钥管理系统的网络部署提供基本的安全防护手段,保证密钥管理服务器的安全。密钥管理服务层提供核心密钥管理服务,非对称密钥管理和对称密钥管理模块提供非对称密钥和对称密钥的证书模版管理、应用策略管理、密钥全生命周期管理、密钥库管理。设备监控模块在线监测密码设备运行情况,检查密码设备的算法类型、密钥长度、密码设备基本信息(厂商、类型、设备编号、IP地址)与录入时是否一致,对密钥管理系统密码设备之间的安全通信协议、密码设备支持算法是否符合国家密码管理局标准规定进行在线监控和异常报警[7-8]。综合管理层保证密钥管理系统支持各级系统管理员经授权后以B/S模式对该系统进行全面管理和可视化展示,支持浏览、统计、查询等操作,掌握和了解本级密钥管理系统密钥使用情况、密码设备配用情况和运行情况、密码应用详细信息,支持对该系统的密码设备和拓扑进行管理和展示,支持配置系统操作员、管理员的不同权限,级联模式下可对各级密码设备进行录入、注册、配置、认证及基本信息管理。综合管理层还支持管理员监控操作日志、监控日志和运行日志。

3系统拓扑

从图上可以看出,密钥管理系统支持二级和更多级级联,如果系统的密钥管理服务配合密码服务接口与第三方CA系统连接,可以作为第三方CA的密钥管理中心。系统内部各模块之间通讯直接调用密码机硬件加密算法进行身份认证和数据加密传输,算法模块支持Windows、JAVA等各种平台[9]。密码设备监控机制通过在密码机部署的软件实现,软件针对密码机的操作系统开发,和密钥管理服务的设备监控模块以客户端-服务器方式实现监管[10],密码设备的算法有效性、密码设备基本信息(厂商、类型、设备编号、IP地址)事先在综合管理平台录入基准值,密钥管理系统运行时,软件定期监测密码设备,对密码设备基本信息等固定值的检查通过采集并比对基准值方式监测。算法有效性的检查通过计算实现,软件首先调用密码机取随机值,通过对称密钥、非对称密钥计算,并计算哈希值,形成基准值,和明文一起通过服务端服务器的公钥证书加密发送至设备监控服务端,服务端收到后解密并计算明文哈希值,如果与收到的哈希值相同,说明软件所在密码机算法正确,如果不正确则告警[11-12]。设备监控软件还支持密钥分发功能,当二级密钥管理系统,例如非对称密钥管理模块需要分发密钥时,综合管理服务模块向下级密码设备的软件发起密钥分发通知,软件接收通知后,主动连接综合管理服务模块,综合管理服务模块将要分配的密钥下发给软件,完成密码设备的密钥分发操作。

4系统扩展

当密钥管理系统只提供对称密钥和非对称密钥核心密钥管理服务,与其他系统例如CA系统整合时,作为密钥管理中心,需要定义非对称密钥管理模块和CA模块之间的互联互通密码认证协议[13]。非对称密钥服务包括申请密钥对、恢复密钥对和撤销密钥对,每个服务都按照请求-响应的步骤执行:请求:请求由CA提出,发送到密钥管理系统。CA在生成用户加密证书、更新加密证书或者撤销加密证书时,首先组织密钥服务请求,发送到密钥管理系统,并延缓自身的事务处理过程,等待密钥管理系统响应返回。响应:响应由密钥管理系统发起,发送到CA。密钥管理系统在接收到来自CA的请求后,检查确定请求合法性,处理服务请求,并将结果返回给CA。整个服务过程如图4所示。请求:密钥服务请求,包含CA请求的类型、性质以及特性数据等,该请求将被发送到密钥管理系统并得到服务。服务请求包括如下数据:协议版本、服务请求标识符、CA标识符、扩展的请求信息、请求信息的签名[14]。

5结束语

文中设计了一种同时支持对称密钥管理和非对称密钥管理的密钥管理系统,支持对密码设备的算法有效性和设备基本配置的实时监控,其核心密钥管理模块还支持与第三方CA系统和对称密钥管理系统对接,作为CA系统和对称密钥管理系统的密钥管理中心服务,是一种采用模块化设计的配置灵活的密钥管理系统。

作者:陈亚东张涛曾荣费稼轩华晔叶云工作单位:中国电力科学研究院