安全密管系统方案合编.doc

安全密钥管理系统 建设方案  背景 本系统采用独立的密钥管理体系，依托系统可以完成应用系统所使用的主控密钥、维护密钥、业务操作密钥的整个生命周期的全过程管理（密钥的产生、存放、分发、下装、使用、备份、更新、销毁等）以及业务交易数据的合法性认证等操作。 本方案以相关应用规范和业务标准为基本，结合应用系统的业务需求，设计如下安全密钥管理系统方案。 需求分析 安全密钥管理系统功能需求如下： 提供密钥管理功能，包括创建、导入、导出、删除密钥，支持DES、3DES、AES和ECC密钥； 支持在Windows和Linux下运行； 负责管理所有密钥的生命周期； 负责分发各类密钥到CMS、AMS等应用系统； 可支持批量和单个服务； 其它与密钥管理相关的功能需求，如密钥操作审计，密钥操作权限限制的等功能。 根据实际系统规模，密管系统与HSM密码机可以是一对一、一对多或多对多的关系，HSM支持负载均衡。 方案设计 系统整体设计架构 密钥管理中心系统结构如下图所示。主要由密钥管理服务器、密码机、密钥管理数据库以及密钥卡组成。密钥管理中心系统提供接口（基于TCP/IP的服务协议）同各个业务子系统（如CMS、AMS等）连接。 图 1 系统整体设计架构 其中密钥管理服务器与HSM密码机可以是一对一、一对多或多对多的关系，HSM支持多机热备和负载均衡，可根据实际业务需求进行灵活配置。 模块设计 密管系统为业务系统提供密钥生成、密钥存储、鉴别等功能，系统的模块组成如下图，其中双向箭头表示模块间有交互。 图2：系统模块组成图 业务系统主要是指与密钥管理系统对接的应用系统，如AMS、CMS等系统。密管系统，业务系统与密钥管理系统采用TCP/IP请求报文进行通信。密钥管理系统的后台采用金融数据密码机做为系统主密钥的载体，以及提供密钥分散、加解密功能。 系统功能说明 安全密钥管理系统 密钥管理系统提供了一个应用层的密钥管理平台。密码机主要是对密钥的安全性进行控制，密钥管理系统则主要从管理上对密钥进行控制，避免人为使用密钥产生的错误，安全性得到增强。 系统按照安全数据对象的概念来进行设计，例如密钥对象、证书对象，把密钥作为对象来进行管理。首先通过系统定义密钥方案、密钥模板、节点模板等，在模板基础上定义对象，再对对象进行实例化操作。 密钥体系 密钥层次 密钥的层次关系需要根据实际应用系统需求而定。 密钥种类 具体的密钥类别需要根据实际应用系统需求而定。 密钥载体 本系统中密钥载体主要为各类卡片，卡片如何分类需要根据实际应用系统而定。 密钥管理机制 密钥管理系统的主要功能是在保证安全性的基础上，实现对密钥的生成、导入、备份、恢复、更新、导出、下载和销毁等整个生命周期的管理。 密钥生成 需要存储在密码机的初始密钥需要在密码机管理界面进行操作，一般是采用输入分量合成密钥的方式进行。 其他系统密钥生成时需要密钥管理员登录系统，通过输入键盘输入密钥分量，系统生成所需密钥。另外工作密钥生成可以通过密管系统接口由应用程序来实现调用。这些密钥生成后由密码机主密钥加密后保存在密管系统的数据库中。 密钥备份与恢复 密钥备份和恢复都需要双人操作。 密钥备份，通常用来备份系统已经生成的密钥，以备将来密钥丢失的时候，可以恢复相应的密钥，进行灾难恢复。通过系统“密钥备份”操作将系统一个应用的密钥备份出来并分割存放到指定备份卡上 密钥恢复，是指利用备份的密钥，恢复系统中遭到破坏或丢失的密钥，以恢复系统的正常使用和服务。通过系统“密钥恢复”操作将密钥备份卡上的密钥恢复到系统加密服务器中。 密钥导入 密钥导入，是指导入其他系统准备好的密钥到本系统中。密钥导入是密钥传输的重要组成部分，导入需要双人操作。系统提供两种密钥导入方式： 密钥管理员登录系统后，启动密钥导入服务，通过服务器导入接口将外部密钥导入密码机中。 密钥管理员登录系统后，进行“密钥传入”操作，通过两张密钥传输卡，将密钥传入密码机中。 密钥导出 密钥导出，是指导出系统生成的密钥到其他系统中或业务系统的IC卡卡片中。密钥管理员登录系统后，进行“密钥导出”操作，通过两张密钥传输卡，将密钥出到传输卡中。具体的导出方式可以根据实际应用需求而定。 密钥销毁 密钥销毁，是指销毁系统中已经存在的密钥，这一过程也意味着该密钥生命周期的结束，是密钥生命周期管理和安全控制的重要组成部分。 密钥管理系统内保存的各种应用密钥等密钥的销毁需要双人操作。 密钥销毁，需要在密钥载体中彻底抹去密钥值的残留痕迹，不允许任何手段可以重新恢复该密钥并窃取相应密钥数据。所以销毁的密钥的同时也要一起销毁掉备份的密钥数据。对于导出过的密钥，其导出时使用的导出密钥在导出完成后，建议销毁这个密钥，下次密钥导出时，重新生存传输密钥。 用户管理设计 广义的密钥管理系统用户