導語：密鑰管理系統(tǒng)實踐一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1總體布局

密鑰管理系統(tǒng)設計的總體布局如圖1所示，密鑰管理系統(tǒng)可以同時提供非對稱密鑰服務和對稱密鑰服務，可以按照級聯(lián)模式根據(jù)應用需求擴展成二級或者三級對稱密鑰和非對稱密鑰管理體系。密鑰管理系統(tǒng)也可以按照《數(shù)字證書認證系統(tǒng)密碼協(xié)議規(guī)范》，改造證書認證和數(shù)字簽名中通用的安全協(xié)議流程、數(shù)據(jù)格式和密碼函數(shù)接口［5］，與其他CA系統(tǒng)通信，系統(tǒng)本身作為一個非對稱密鑰庫，與CA結(jié)合形成證書系統(tǒng)，也可以作為對稱密鑰庫，與對稱密鑰管理系統(tǒng)前臺管理系統(tǒng)配合提供對稱密鑰全生命周期服務［6］。

2邏輯層次承載層和數(shù)據(jù)層提供密鑰管理系統(tǒng)運行的承載網(wǎng)

絡及機房與配套設施，為密鑰管理系統(tǒng)提供物理運行環(huán)境，提供冗余和備份與恢復服務器、備份磁帶機、磁盤陣列等密鑰的數(shù)據(jù)存儲手段。安全防護層按照等級保護要求，采用介質(zhì)安全、防火墻、入侵檢測、主機加固、病毒防護、安全審計等技術手段，為密鑰管理系統(tǒng)的網(wǎng)絡部署提供基本的安全防護手段，保證密鑰管理服務器的安全。密鑰管理服務層提供核心密鑰管理服務，非對稱密鑰管理和對稱密鑰管理模塊提供非對稱密鑰和對稱密鑰的證書模版管理、應用策略管理、密鑰全生命周期管理、密鑰庫管理。設備監(jiān)控模塊在線監(jiān)測密碼設備運行情況，檢查密碼設備的算法類型、密鑰長度、密碼設備基本信息(廠商、類型、設備編號、IP地址)與錄入時是否一致，對密鑰管理系統(tǒng)密碼設備之間的安全通信協(xié)議、密碼設備支持算法是否符合國家密碼管理局標準規(guī)定進行在線監(jiān)控和異常報警［7－8］。綜合管理層保證密鑰管理系統(tǒng)支持各級系統(tǒng)管理員經(jīng)授權后以B/S模式對該系統(tǒng)進行全面管理和可視化展示，支持瀏覽、統(tǒng)計、查詢等操作，掌握和了解本級密鑰管理系統(tǒng)密鑰使用情況、密碼設備配用情況和運行情況、密碼應用詳細信息，支持對該系統(tǒng)的密碼設備和拓撲進行管理和展示，支持配置系統(tǒng)操作員、管理員的不同權限，級聯(lián)模式下可對各級密碼設備進行錄入、注冊、配置、認證及基本信息管理。綜合管理層還支持管理員監(jiān)控操作日志、監(jiān)控日志和運行日志。

3系統(tǒng)拓撲

從圖上可以看出，密鑰管理系統(tǒng)支持二級和更多級級聯(lián)，如果系統(tǒng)的密鑰管理服務配合密碼服務接口與第三方CA系統(tǒng)連接，可以作為第三方CA的密鑰管理中心。系統(tǒng)內(nèi)部各模塊之間通訊直接調(diào)用密碼機硬件加密算法進行身份認證和數(shù)據(jù)加密傳輸，算法模塊支持Windows、JAVA等各種平臺［9］。密碼設備監(jiān)控機制通過在密碼機部署的軟件實現(xiàn)，軟件針對密碼機的操作系統(tǒng)開發(fā)，和密鑰管理服務的設備監(jiān)控模塊以客戶端－服務器方式實現(xiàn)監(jiān)管［10］，密碼設備的算法有效性、密碼設備基本信息(廠商、類型、設備編號、IP地址)事先在綜合管理平臺錄入基準值，密鑰管理系統(tǒng)運行時，軟件定期監(jiān)測密碼設備，對密碼設備基本信息等固定值的檢查通過采集并比對基準值方式監(jiān)測。算法有效性的檢查通過計算實現(xiàn)，軟件首先調(diào)用密碼機取隨機值，通過對稱密鑰、非對稱密鑰計算，并計算哈希值，形成基準值，和明文一起通過服務端服務器的公鑰證書加密發(fā)送至設備監(jiān)控服務端，服務端收到后解密并計算明文哈希值，如果與收到的哈希值相同，說明軟件所在密碼機算法正確，如果不正確則告警［11－12］。設備監(jiān)控軟件還支持密鑰分發(fā)功能，當二級密鑰管理系統(tǒng)，例如非對稱密鑰管理模塊需要分發(fā)密鑰時，綜合管理服務模塊向下級密碼設備的軟件發(fā)起密鑰分發(fā)通知，軟件接收通知后，主動連接綜合管理服務模塊，綜合管理服務模塊將要分配的密鑰下發(fā)給軟件，完成密碼設備的密鑰分發(fā)操作。

4系統(tǒng)擴展

當密鑰管理系統(tǒng)只提供對稱密鑰和非對稱密鑰核心密鑰管理服務，與其他系統(tǒng)例如CA系統(tǒng)整合時，作為密鑰管理中心，需要定義非對稱密鑰管理模塊和CA模塊之間的互聯(lián)互通密碼認證協(xié)議［13］。非對稱密鑰服務包括申請密鑰對、恢復密鑰對和撤銷密鑰對，每個服務都按照請求－響應的步驟執(zhí)行:請求:請求由CA提出，發(fā)送到密鑰管理系統(tǒng)。CA在生成用戶加密證書、更新加密證書或者撤銷加密證書時，首先組織密鑰服務請求，發(fā)送到密鑰管理系統(tǒng)，并延緩自身的事務處理過程，等待密鑰管理系統(tǒng)響應返回。響應:響應由密鑰管理系統(tǒng)發(fā)起，發(fā)送到CA。密鑰管理系統(tǒng)在接收到來自CA的請求后，檢查確定請求合法性，處理服務請求，并將結(jié)果返回給CA。整個服務過程如圖4所示。請求:密鑰服務請求，包含CA請求的類型、性質(zhì)以及特性數(shù)據(jù)等，該請求將被發(fā)送到密鑰管理系統(tǒng)并得到服務。服務請求包括如下數(shù)據(jù):協(xié)議版本、服務請求標識符、CA標識符、擴展的請求信息、請求信息的簽名［14］。

5結(jié)束語

文中設計了一種同時支持對稱密鑰管理和非對稱密鑰管理的密鑰管理系統(tǒng)，支持對密碼設備的算法有效性和設備基本配置的實時監(jiān)控，其核心密鑰管理模塊還支持與第三方CA系統(tǒng)和對稱密鑰管理系統(tǒng)對接，作為CA系統(tǒng)和對稱密鑰管理系統(tǒng)的密鑰管理中心服務，是一種采用模塊化設計的配置靈活的密鑰管理系統(tǒng)。

作者：陳亞東張濤曾榮費稼軒華曄葉云工作單位：中國電力科學研究院