CN102111264A - 非对称密钥管理系统 - Google Patents
非对称密钥管理系统 Download PDFInfo
- Publication number
- CN102111264A CN102111264A CN2009102009067A CN200910200906A CN102111264A CN 102111264 A CN102111264 A CN 102111264A CN 2009102009067 A CN2009102009067 A CN 2009102009067A CN 200910200906 A CN200910200906 A CN 200910200906A CN 102111264 A CN102111264 A CN 102111264A
- Authority
- CN
- China
- Prior art keywords
- key
- module
- unsymmetrical
- management
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了非对称密钥管理系统,该系统包括客户端模块和服务器端模块,客户端模块通过认证与权限验证模块控制配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块实现对系统运行的控制;所述服务模块通过CA认证模块鉴别接入的CA系统,并通过密钥分发模块、密钥恢复模块以及密钥销毁模块对其提供相应的服务。本发明符合中国PKI机制和密码产品管理政策,并解决了密钥管理的安全性要求高、建设复杂问题。
Description
技术领域:
本发明涉及一种网络安全技术,特别涉及一种非对称密钥管理系统。
背景技术:
随着计算机技术的不断进步,计算机网络已经被广泛地应用到日常工作、学习、生活的各个领域。信息技术的应用提高了工作的效率,最终促进了整个社会的发展。但信息安全的保障问题却在阻碍电子商务、电子政务等网络化应用的广泛开展。所以,要采用有效的措施来保障信息化的完全发展。
数字证书是有效解决信息安全的技术手段,通过建立数字证书认证中心(CA中心),发放数字证书,广泛开展数字证书的安全应用,CA认证体系,可以实现保障信息化安全建设的需求。而数字证书认证中心的建设中,密钥管理作为CA认证体系中重要的组成部分,为数字证书认证中心提供密钥服务,是不可缺少的部分,需要着重进行建设。
为此,CA体系中的密钥管理体系——密钥管理中心,是CA体系中重点建设的项目。密钥管理中心作为CA体系中的核心部份,将负责CA体系中加密密钥的整个生命周期的管理,承担CA体系的信任体系基础的职能。
在国家密码管理机构的认可和推动下,双证书机制是当前中国PKI体系建设的主流模式。使用加密证书进行密钥的交换和保护,使用签名证书进行身份认证,既使PKI技术在应用中发挥其基于非对称密钥所带来的优势,又满足了国家对PKI应用进行审计监管的需要,是国家密码管理机构对PKI证书应用的基本要求。
发明内容:
本发明为了解决现有网络通信所存在的安全问题,并符合符合中国PKI机制和密码产品管理政策,提供一种非对称密钥管理系统。该系统符合中国PKI机制和密码产品管理政策,并解决了密钥管理的安全性要求高、建设复杂问题。
为达到上述目的,本发明采用如下的技术方案:
非对称密钥管理系统,该系统包括客户端模块和服务器端模块,所述服务器端模块包括服务模块、管理模块、加密机引擎模块以及密钥库库管理模块,所述服务模块包括密钥分发模块、密钥恢复模块、密钥销毁模块、密钥生成模块、密钥保护模块、密钥归档模块以及负责鉴别接入的CA系统的CA认证模块;所述管理模块包括认证与权限验证模块、配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块;所述客户端模块通过认证与权限验证模块控制配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块实现对系统运行的控制;所述服务模块通过CA认证模块鉴别接入的CA系统,并通过密钥分发模块、密钥恢复模块以及密钥销毁模块对其提供相应的服务;所述服务模块还通过密钥生成模块、密钥保护模块以及密钥归档模块调用加密机引擎模块以实现相应的产生密钥对、密钥保护、密钥归档功能。
所述密钥库库管理模块负责密钥的存储管理,按照其存储的密钥的状态,密钥库分为备用密钥库、在用密钥库和历史密钥库三种类型。
所述密钥库中的密钥数据加密存放。
所述加密机引擎模块为多种类型的加密机在高层提供统一的调用接口,实现系统可通过统一的参数来初始化某一种类型的加密机,并调用其统一的接口实现对称、非对称密钥的产生,对称、非对称的加解密,签名验证等功能。
所述CA认证模块鉴别接入的CA系统,经过鉴别,CA认证模块根据不同的CA系统的密钥请求向密钥生成模块产生不同的密钥生成服务。
所述配置管理模块实现对系统的动态参数配置,可以对敏感数据进行加密存储,该模块可以控制日志输出、服务端口、加密机配置、数据库配置等信息。
所述密钥管理模块负责接收、审核CA系统的密钥申请,并调用备用密钥库中的密钥对,向CA系统发送密钥对;对调用的备用密钥库中的密钥对进行处理,并将其转移到在用密钥库;对在用密钥库中的密钥进行定期检查。
所述密钥查询统计模块为能够提供查询各CA系统对密钥的使用情况,单个密钥的变动历史,以及密钥申请统计表、密钥使用统计表等多个统计报表的功能模块。
所述CA控制模块中提供了CA系统的控制功能。
所述审计模块包括管理操作审计模块和密钥服务审计模块。
所述报表管理模块为系统提供各种报表。
根据上述技术方案得到的本发明符合中国PKI机制和密码产品管理政策,其能够解决密钥管理的安全性要求高、建设复杂问题,对中国国内密钥安全类产品管理的规范性和双证书应用的快速增长起到积极的推动作用。
本发明完全符合国密局标准,现有符合国密局CA接口设计标准的认证系统能够轻松接入,无须对接口进行任何改造,只需要在密钥管理中心对其进行一次授权操作即可。
本发明采用J2EE架构,结构清晰维护方便,可轻松实现跨平台运行;安装部署方便快捷,经过培训的实施人员对系统的安装部署可以在十分钟内完成;内嵌自行开发的高性能可处理多并发的服务,性能和稳定性更有保证。
附图说明:
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明的系统框架图。
具体实施方式:
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明提供的非对称密钥管理系统采用在线服务的方式为一个或者多个CA系统同时提供密钥服务,通过专线保证相互之间的信息传输安全。非对称密钥管理系统实现制定和审批密钥使用的总体策略、管理所有认证机构、签发并管理密钥,实现密钥的产生、分发、存储、撤销、归档。整个非对称密钥管理系统基于J2EE架构,采用C/S(客户端/服务器端)模式对各CA系统提供服务
非对称密钥管理系统主要负责密钥的管理,包括密钥的产生、分发、存储、撤销、查询、归档、恢复等的管理。
非对称密钥管理系统中密钥的产生采用国家密码管理局规定的主机加密服务器(以下也简称加密机)来完成。同时,由于非对称密钥管理系统需要与CA系统进行通信,在通信的过程中应该是安全的,因此非对称密钥管理系统采用了安全通信协议与CA系统进行数据通信,非对称密钥管理系统与CA系统之间通过专线连接。
非对称密钥管理系统要为各个CA系统保存数字证书的加密密钥,同时还将产生的加密密钥提供给各个CA中心,满足各个CA中心签发数字证书的需要。它要实时在线的来满足各CA中心的提取密钥对的请求。
参见图1,本发明提供的非对称密钥管理系统主要分为客户端模块和服务器端模块两部分。
客户端模块运行于系统管理客户端平台,其主要功能是实现对密钥的管理,使管理员能够进行安全登陆,保证通讯的安全性。
服务器端模块主要包括服务模块和管理模块,但还包括加密机引擎模块和密钥库库管理模块。
其中密钥库库管理模块负责密钥的存储管理,按照其存储的密钥的状态,密钥库分为备用密钥库、在用密钥库和历史密钥库(以下也简称历史库)三种类型,密钥库中的密钥数据加密存放。
加密机引擎模块为多种类型的加密机在高层提供统一的调用接口,相关的业务系统可以通过统一的参数来初始化某一种类型的加密机,然后调用其统一的接口实现对称、非对称密钥的产生,对称、非对称的加解密,签名验证等功能。
服务器端模块中的服务模块是系统的核心,对外提供密钥分发、密钥恢复和密钥销毁功能,内部提供密钥的生成、主密钥保护、密钥归档等服务。
为此,该模块包括密钥分发模块、密钥恢复模块、密钥销毁模块、密钥生成模块、密钥保护模块、密钥归档模块以及负责鉴别接入的CA系统的CA认证模块。这样使得服务模块通过CA认证模块鉴别接入的CA系统,并通过密钥分发模块、密钥恢复模块以及密钥销毁模块对其提供密钥分发、密钥恢复和密钥销毁的服务;服务模块同时还通过密钥生成模块、密钥保护模块以及密钥归档模块调用加密机引擎模块以实现相应的产生密钥对、密钥保护、密钥归档功能。
其中CA认证模块是非对称密钥管理系统与多个CA系统的核心交互模块,非对称密钥管理系统通过认证模块鉴别非对称密钥管理系统所服务的CA系统,经过鉴别,认证模块根据不同的CA系统的密钥请求向密钥生成模块产生不同的密钥生成服务。
服务器端模块中的管理模块提供了对整个系统的WEB方式的管理功能,可以控制整个系统的运行。
该管理模块主要包括认证与权限验证模块、配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块;相关的管理员通过客户端模块登录该系统,并由认证与权限验证模块对其身份和权限进行认证,并提供相应的控制权限。使得相关的管理人员能够通过控制配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块实现对系统运行的控制。
其中配置管理模块使用统一系统配置管理框架实现了动态的参数配置功能,可以对敏感数据进行加密存储,该模块可以控制日志输出、服务端口、加密机配置、数据库配置等信息。
密钥管理模块主要负责接收、审核CA系统的密钥申请;调用备用密钥库中的密钥对;向CA系统发送密钥对;对调用的备用密钥库中的密钥对进行处理,并将其转移到在用密钥库(以下也简称在用库);对在用密钥库中的密钥进行定期检查等。
密钥查询统计模块是非对称密钥管理系统提供给非对称密钥管理系统中心的管理人员查询各CA系统对密钥的使用情况,单个密钥的变动历史,以及密钥申请统计表、密钥使用统计表等多个统计报表的功能模块。
通过该模块功能,管理人员可以从宏观上掌握非对称密钥管理系统的使用情况,根据查询和统计结果及时调整系统的配置策略和参数。
CA控制模块中提供了CA系统的控制功能。
CA系统提供自己的身份证书给非对称密钥管理系统,非对称密钥管理系统对其身份证书进行注册,同时设置CA系统能够使用的各种类型的密钥的数量。在非对称密钥管理系统中,使用CA系统的身份证书来唯一确认某一个CA系统是否被信任,在非对称密钥管理系统向CA系统提供服务前会使用保存在非对称密钥管理系统中的CA系统身份证书验证CA系统的业务签名,验证通过后方可提供服务。
另外,CA控制模块还提供了CA系统的冻结、解冻、废止、恢复(可选)操作,用来对已经接入的CA系统进行控制。
审计模块是对非对称密钥管理系统所有的服务器与系统进行审计与分析,为非对称密钥管理系统的管理、决策提供支撑。
包括管理操作审计和密钥服务审计,操作审计的对象是各个管理员的操作,服务审计的对象是密钥管理系统为CA提供的服务事件。
报表管理模块提供了灵活的报表产生方式,能够按照需要产生各种报表如密钥库状态报表、系统操作报表、密钥服务报表等,便于管理员迅速准确的获取各类所需信息。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.非对称密钥管理系统,该系统包括客户端模块和服务器端模块,其特征在于,所述服务器端模块包括服务模块、管理模块、加密机引擎模块以及密钥库库管理模块,所述服务模块包括密钥分发模块、密钥恢复模块、密钥销毁模块、密钥生成模块、密钥保护模块、密钥归档模块以及负责鉴别接入的CA系统的CA认证模块;所述管理模块包括认证与权限验证模块、配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块;所述客户端模块通过认证与权限验证模块控制配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块实现对系统运行的控制;所述服务模块通过CA认证模块鉴别接入的CA系统,并通过密钥分发模块、密钥恢复模块以及密钥销毁模块对其提供相应的服务;所述服务模块还通过密钥生成模块、密钥保护模块以及密钥归档模块调用加密机引擎模块以实现相应的产生密钥对、密钥保护、密钥归档功能。
2.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述密钥库库管理模块负责密钥的存储管理,按照其存储的密钥的状态,密钥库分为备用密钥库、在用密钥库和历史密钥库三种类型。
3.根据权利要求2所述的非对称密钥管理系统,其特征在于,所述密钥库中的密钥数据加密存放。
4.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述加密机引擎模块为多种类型的加密机在高层提供统一的调用接口,实现系统可通过统一的参数来初始化某一种类型的加密机,并调用其统一的接口实现对称、非对称密钥的产生,对称、非对称的加解密,签名验证等功能。
5.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述CA认证模块鉴别接入的CA系统,经过鉴别,CA认证模块根据不同的CA系统的密钥请求向密钥生成模块产生不同的密钥生成服务。
6.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述配置管理模块实现对系统的动态参数配置,可以对敏感数据进行加密存储,该模块可以控制日志输出、服务端口、加密机配置、数据库配置等信息。
7.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述密钥管理模块负责接收、审核CA系统的密钥申请,并调用备用密钥库中的密钥对,向CA系统发送密钥对;对调用的备用密钥库中的密钥对进行处理,并将其转移到在用密钥库;对在用密钥库中的密钥进行定期检查。
8.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述密钥查询统计模块为能够提供查询各CA系统对密钥的使用情况,单个密钥的变动历史,以及密钥申请统计表、密钥使用统计表等多个统计报表的功能模块。
9.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述CA控制模块中提供了CA系统的控制功能。
10.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述审计模块包括管理操作审计模块和密钥服务审计模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102009067A CN102111264A (zh) | 2009-12-25 | 2009-12-25 | 非对称密钥管理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102009067A CN102111264A (zh) | 2009-12-25 | 2009-12-25 | 非对称密钥管理系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102111264A true CN102111264A (zh) | 2011-06-29 |
Family
ID=44175299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009102009067A Pending CN102111264A (zh) | 2009-12-25 | 2009-12-25 | 非对称密钥管理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102111264A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103475624A (zh) * | 2012-06-06 | 2013-12-25 | 中兴通讯股份有限公司 | 一种物联网密钥管理中心系统、密钥分发系统和方法 |
CN103546421A (zh) * | 2012-07-10 | 2014-01-29 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密系统及其实现方法 |
CN105678156A (zh) * | 2016-01-04 | 2016-06-15 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化技术的云密码服务平台及其工作流程 |
CN107818265A (zh) * | 2017-10-23 | 2018-03-20 | 中国银行股份有限公司 | 加密方法、装置和系统 |
CN108270566A (zh) * | 2016-12-30 | 2018-07-10 | 航天信息股份有限公司 | 一种用于时间戳服务器的数据库表构建方法 |
CN109688116A (zh) * | 2018-12-11 | 2019-04-26 | 北京数盾信息科技有限公司 | 一种支持动态扩展算法和运算能力的密管系统 |
CN113132980A (zh) * | 2021-04-02 | 2021-07-16 | 四川省计算机研究院 | 应用于北斗导航系统的密钥管理系统方法和装置 |
-
2009
- 2009-12-25 CN CN2009102009067A patent/CN102111264A/zh active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103475624A (zh) * | 2012-06-06 | 2013-12-25 | 中兴通讯股份有限公司 | 一种物联网密钥管理中心系统、密钥分发系统和方法 |
CN103546421A (zh) * | 2012-07-10 | 2014-01-29 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密系统及其实现方法 |
CN103546421B (zh) * | 2012-07-10 | 2016-08-24 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密系统及其实现方法 |
CN105678156A (zh) * | 2016-01-04 | 2016-06-15 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化技术的云密码服务平台及其工作流程 |
CN105678156B (zh) * | 2016-01-04 | 2019-06-28 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化技术的云密码服务平台及其工作流程 |
CN108270566A (zh) * | 2016-12-30 | 2018-07-10 | 航天信息股份有限公司 | 一种用于时间戳服务器的数据库表构建方法 |
CN107818265A (zh) * | 2017-10-23 | 2018-03-20 | 中国银行股份有限公司 | 加密方法、装置和系统 |
CN107818265B (zh) * | 2017-10-23 | 2020-04-24 | 中国银行股份有限公司 | 加密方法、装置和系统 |
CN109688116A (zh) * | 2018-12-11 | 2019-04-26 | 北京数盾信息科技有限公司 | 一种支持动态扩展算法和运算能力的密管系统 |
CN109688116B (zh) * | 2018-12-11 | 2022-09-02 | 北京数盾信息科技有限公司 | 一种支持动态扩展算法和运算能力的密管系统 |
CN113132980A (zh) * | 2021-04-02 | 2021-07-16 | 四川省计算机研究院 | 应用于北斗导航系统的密钥管理系统方法和装置 |
CN113132980B (zh) * | 2021-04-02 | 2023-10-13 | 四川省计算机研究院 | 应用于北斗导航系统的密钥管理系统方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102111264A (zh) | 非对称密钥管理系统 | |
CN105991278B (zh) | 一种基于cp-abe的密文访问控制方法 | |
CN107483491A (zh) | 一种云环境下分布式存储的访问控制方法 | |
CN106789029B (zh) | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 | |
CN110324180A (zh) | 变电站自动化设备广域运维安全设计方法 | |
CN104392405A (zh) | 电子病历安全系统 | |
CN111010430B (zh) | 一种基于双链结构的云计算安全数据共享方法 | |
CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
CN104683351A (zh) | 基于属性的匿名就医和医疗信息安全访问控制系统及方法 | |
CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
CN105471901A (zh) | 一种工业信息安全认证系统 | |
CN115766181B (zh) | 基于区块链的空间环境地面模拟装置数据共享架构及方法 | |
CN102611681A (zh) | 一种基于云架构的企事业单位防信息泄密方法 | |
CN1992714B (zh) | 基于可信计算平台的权限委托方法 | |
CN1953366B (zh) | 智能密钥装置的密码管理方法和系统 | |
CN104468491A (zh) | 一种基于安全信道的虚拟桌面系统及方法 | |
CN113591103A (zh) | 一种电力物联网智能终端间的身份认证方法和系统 | |
CN116388986B (zh) | 一种基于后量子签名的证书认证系统及认证方法 | |
CN102487502A (zh) | 一种集群通信安全方法 | |
Zhang et al. | High-speed railway environmental monitoring data identity authentication scheme based on consortium blockchain | |
Ma et al. | Research on data security and privacy protection of smart grid based on alliance chain | |
Zhang et al. | Blockchain-based power digital asset security management framework | |
CN109104402A (zh) | 信息物理融合系统的信息保护方法、设备、介质及架构 | |
CN113672655A (zh) | 一种基于区块链的档案协查的方法与装置 | |
CN108964913A (zh) | 用于校园一卡通的密钥管理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110629 |
|
WD01 | Invention patent application deemed withdrawn after publication |