導(dǎo)語：密鑰管理系統(tǒng)實(shí)踐一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1總體布局

密鑰管理系統(tǒng)設(shè)計(jì)的總體布局如圖1所示，密鑰管理系統(tǒng)可以同時(shí)提供非對稱密鑰服務(wù)和對稱密鑰服務(wù)，可以按照級聯(lián)模式根據(jù)應(yīng)用需求擴(kuò)展成二級或者三級對稱密鑰和非對稱密鑰管理體系。密鑰管理系統(tǒng)也可以按照《數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范》，改造證書認(rèn)證和數(shù)字簽名中通用的安全協(xié)議流程、數(shù)據(jù)格式和密碼函數(shù)接口［5］，與其他CA系統(tǒng)通信，系統(tǒng)本身作為一個(gè)非對稱密鑰庫，與CA結(jié)合形成證書系統(tǒng)，也可以作為對稱密鑰庫，與對稱密鑰管理系統(tǒng)前臺管理系統(tǒng)配合提供對稱密鑰全生命周期服務(wù)［6］。

2邏輯層次承載層和數(shù)據(jù)層提供密鑰管理系統(tǒng)運(yùn)行的承載網(wǎng)

絡(luò)及機(jī)房與配套設(shè)施，為密鑰管理系統(tǒng)提供物理運(yùn)行環(huán)境，提供冗余和備份與恢復(fù)服務(wù)器、備份磁帶機(jī)、磁盤陣列等密鑰的數(shù)據(jù)存儲手段。安全防護(hù)層按照等級保護(hù)要求，采用介質(zhì)安全、防火墻、入侵檢測、主機(jī)加固、病毒防護(hù)、安全審計(jì)等技術(shù)手段，為密鑰管理系統(tǒng)的網(wǎng)絡(luò)部署提供基本的安全防護(hù)手段，保證密鑰管理服務(wù)器的安全。密鑰管理服務(wù)層提供核心密鑰管理服務(wù)，非對稱密鑰管理和對稱密鑰管理模塊提供非對稱密鑰和對稱密鑰的證書模版管理、應(yīng)用策略管理、密鑰全生命周期管理、密鑰庫管理。設(shè)備監(jiān)控模塊在線監(jiān)測密碼設(shè)備運(yùn)行情況，檢查密碼設(shè)備的算法類型、密鑰長度、密碼設(shè)備基本信息(廠商、類型、設(shè)備編號、IP地址)與錄入時(shí)是否一致，對密鑰管理系統(tǒng)密碼設(shè)備之間的安全通信協(xié)議、密碼設(shè)備支持算法是否符合國家密碼管理局標(biāo)準(zhǔn)規(guī)定進(jìn)行在線監(jiān)控和異常報(bào)警［7－8］。綜合管理層保證密鑰管理系統(tǒng)支持各級系統(tǒng)管理員經(jīng)授權(quán)后以B/S模式對該系統(tǒng)進(jìn)行全面管理和可視化展示，支持瀏覽、統(tǒng)計(jì)、查詢等操作，掌握和了解本級密鑰管理系統(tǒng)密鑰使用情況、密碼設(shè)備配用情況和運(yùn)行情況、密碼應(yīng)用詳細(xì)信息，支持對該系統(tǒng)的密碼設(shè)備和拓?fù)溥M(jìn)行管理和展示，支持配置系統(tǒng)操作員、管理員的不同權(quán)限，級聯(lián)模式下可對各級密碼設(shè)備進(jìn)行錄入、注冊、配置、認(rèn)證及基本信息管理。綜合管理層還支持管理員監(jiān)控操作日志、監(jiān)控日志和運(yùn)行日志。

3系統(tǒng)拓?fù)?/p>

從圖上可以看出，密鑰管理系統(tǒng)支持二級和更多級級聯(lián)，如果系統(tǒng)的密鑰管理服務(wù)配合密碼服務(wù)接口與第三方CA系統(tǒng)連接，可以作為第三方CA的密鑰管理中心。系統(tǒng)內(nèi)部各模塊之間通訊直接調(diào)用密碼機(jī)硬件加密算法進(jìn)行身份認(rèn)證和數(shù)據(jù)加密傳輸，算法模塊支持Windows、JAVA等各種平臺［9］。密碼設(shè)備監(jiān)控機(jī)制通過在密碼機(jī)部署的軟件實(shí)現(xiàn)，軟件針對密碼機(jī)的操作系統(tǒng)開發(fā)，和密鑰管理服務(wù)的設(shè)備監(jiān)控模塊以客戶端－服務(wù)器方式實(shí)現(xiàn)監(jiān)管［10］，密碼設(shè)備的算法有效性、密碼設(shè)備基本信息(廠商、類型、設(shè)備編號、IP地址)事先在綜合管理平臺錄入基準(zhǔn)值，密鑰管理系統(tǒng)運(yùn)行時(shí)，軟件定期監(jiān)測密碼設(shè)備，對密碼設(shè)備基本信息等固定值的檢查通過采集并比對基準(zhǔn)值方式監(jiān)測。算法有效性的檢查通過計(jì)算實(shí)現(xiàn)，軟件首先調(diào)用密碼機(jī)取隨機(jī)值，通過對稱密鑰、非對稱密鑰計(jì)算，并計(jì)算哈希值，形成基準(zhǔn)值，和明文一起通過服務(wù)端服務(wù)器的公鑰證書加密發(fā)送至設(shè)備監(jiān)控服務(wù)端，服務(wù)端收到后解密并計(jì)算明文哈希值，如果與收到的哈希值相同，說明軟件所在密碼機(jī)算法正確，如果不正確則告警［11－12］。設(shè)備監(jiān)控軟件還支持密鑰分發(fā)功能，當(dāng)二級密鑰管理系統(tǒng)，例如非對稱密鑰管理模塊需要分發(fā)密鑰時(shí)，綜合管理服務(wù)模塊向下級密碼設(shè)備的軟件發(fā)起密鑰分發(fā)通知，軟件接收通知后，主動連接綜合管理服務(wù)模塊，綜合管理服務(wù)模塊將要分配的密鑰下發(fā)給軟件，完成密碼設(shè)備的密鑰分發(fā)操作。

4系統(tǒng)擴(kuò)展

當(dāng)密鑰管理系統(tǒng)只提供對稱密鑰和非對稱密鑰核心密鑰管理服務(wù)，與其他系統(tǒng)例如CA系統(tǒng)整合時(shí)，作為密鑰管理中心，需要定義非對稱密鑰管理模塊和CA模塊之間的互聯(lián)互通密碼認(rèn)證協(xié)議［13］。非對稱密鑰服務(wù)包括申請密鑰對、恢復(fù)密鑰對和撤銷密鑰對，每個(gè)服務(wù)都按照請求－響應(yīng)的步驟執(zhí)行:請求:請求由CA提出，發(fā)送到密鑰管理系統(tǒng)。CA在生成用戶加密證書、更新加密證書或者撤銷加密證書時(shí)，首先組織密鑰服務(wù)請求，發(fā)送到密鑰管理系統(tǒng)，并延緩自身的事務(wù)處理過程，等待密鑰管理系統(tǒng)響應(yīng)返回。響應(yīng):響應(yīng)由密鑰管理系統(tǒng)發(fā)起，發(fā)送到CA。密鑰管理系統(tǒng)在接收到來自CA的請求后，檢查確定請求合法性，處理服務(wù)請求，并將結(jié)果返回給CA。整個(gè)服務(wù)過程如圖4所示。請求:密鑰服務(wù)請求，包含CA請求的類型、性質(zhì)以及特性數(shù)據(jù)等，該請求將被發(fā)送到密鑰管理系統(tǒng)并得到服務(wù)。服務(wù)請求包括如下數(shù)據(jù):協(xié)議版本、服務(wù)請求標(biāo)識符、CA標(biāo)識符、擴(kuò)展的請求信息、請求信息的簽名［14］。

5結(jié)束語

文中設(shè)計(jì)了一種同時(shí)支持對稱密鑰管理和非對稱密鑰管理的密鑰管理系統(tǒng)，支持對密碼設(shè)備的算法有效性和設(shè)備基本配置的實(shí)時(shí)監(jiān)控，其核心密鑰管理模塊還支持與第三方CA系統(tǒng)和對稱密鑰管理系統(tǒng)對接，作為CA系統(tǒng)和對稱密鑰管理系統(tǒng)的密鑰管理中心服務(wù)，是一種采用模塊化設(shè)計(jì)的配置靈活的密鑰管理系統(tǒng)。

作者：陳亞東張濤曾榮費(fèi)稼軒華曄葉云工作單位：中國電力科學(xué)研究院