CN109218293B - 一种分布式密码服务平台密钥管理的使用方法 - Google Patents
一种分布式密码服务平台密钥管理的使用方法 Download PDFInfo
- Publication number
- CN109218293B CN109218293B CN201810953196.4A CN201810953196A CN109218293B CN 109218293 B CN109218293 B CN 109218293B CN 201810953196 A CN201810953196 A CN 201810953196A CN 109218293 B CN109218293 B CN 109218293B
- Authority
- CN
- China
- Prior art keywords
- node
- information
- encryption machine
- security
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
Abstract
本发明公开了一种分布式密码服务平台密钥管理的使用方法,主要解决现有技术中存在的密钥管理中心存在密码服务效率低,系统风险高、可扩展性弱的问题。该使用方法,包括第一步对kmc综合信息管理进行设置,第二步导入根证书,第三步对安全节点通讯进行设置,第四步证书下发,第五步对加密和解密进行设置。通过上述方案,本发明达到了密码服务效率高,系统风险低、可扩展性强等目的,具有很高的实用价值和推广价值。
Description
技术领域
本发明属于密钥管理领域,尤其涉及一种分布式密码服务平台密钥管理的使用方法。
背景技术
密钥管理中心(KMC),是公钥基础设施中的一个重要组成部分,负责为业务系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务,以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题。
一般来说,每一个业务中心都需要有一个KMC负责该业务区域内的密钥管理任务。KMC可以根据应用所需PKI规模的大小灵活设置,既可以建立单独的KMC,也可以采用镶嵌式KMC,让KMC模块直接运行在业务系统服务器上。
系统的存贮服务器,由大型数据库及目录服务器组成,负责用户证书、CRL及其它相关的信息的存贮。其中CA的密钥:CA(Certification Authority,证书认证中心)的密钥是整个系统的核心机密,它在系统安装时产生,生成之后加密存储在存储服务器的数据库或硬件主机加密服务器中,用户的密钥:用户的签名密钥由客户端产生,生成后加密存储在客户端本机文件或操作系统安全区中,但是现有密钥管理中心存在密码服务效率低,系统风险高、可扩展性弱等局限,不利于大规模推广。
发明内容
本发明的目的在于提供一种分布式密码服务平台密钥管理的使用方法,主要解决现有技术中存在的密钥管理中心存在密码服务效率低,系统风险高、可扩展性弱等问题。
为了实现上述目的,本发明采用的技术方案如下:
一种分布式密码服务平台密钥管理的使用方法,包括如下步骤:
(S1)对kmc综合信息管理进行设置;
(S2)导入根证书;
(S3)对安全节点通讯进行设置;
(S4)证书下发;
(S5)对加密和解密进行设置。
进一步地,所述步骤(S1)中包括对kmc基本信息、密钥信息、加密机信息进行统一的管理。
进一步地,所述步骤(S2)导入根证书的过程为将由CA签发的相关根证书导入密码服务平台。
进一步地,所述步骤(S3)安全节点通讯是通过节点之间的安全策略进行设置。
进一步地,所述步骤(S4)证书下发是当两个安全节点通信的时候,kmc会通过根证书识别到当前的安全节点1和安全节点2,并将相应的密钥信息进行下发。
具体地,所述步骤(S5)通过对安全节点1使用密钥对通信信息进行加密处理,加密过程调用安全插件,由安全插件调用加密机对信息进行加密处理,同样,安全节点2也会使用密钥和安全插件以及加密机进行解密处理。
与现有技术相比,本发明具有以下有益效果:
本发明的分布式密码服务平台具有密码服务高效、系统风险分散、可扩展性强等特性,能够为各个业务系统和平台提供安全、可靠、高效的密码服务,符合当前互联网信息安全系统设计的发展趋势。业务系统只需要调用密码服务平台提供的相关接口即可,不再需要对敏感信息加密和报文产生消息摘要等密码服务需求进行开发,降低了业务系统的开发成本。最终实现密码服务与业务系统分离,密钥和加密设备统一管理,使得整个信息系统架构体系变得更加清晰。
附图说明
图1为本发明的系统结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
实施例
如图1所示,本发明通过五个大的步骤对服务平台进行设置,步骤一对kmc综合信息管理,步骤二导入根证书,步骤三安全节点通讯,步骤四证书下发,步骤五加密和解密,并对五个步骤进行具体操作:
步骤一对kmc基本信息、密钥信息、加密机信息进行统一的管理,其中在“kmc基本信息”可实现对kmc基本信息进行新增、删除、修改、启用和停用5个功能进行设置;“密钥信息”包括对传输主密钥(ZMK)进行新增、更新、查询、删除以及启用与停用5个功能进行设置,对“节点密钥状态”、“节点种子状态”进行设置;最后对“加密机”进行设置,首先对“加密机池管理”的查询、新增、删除、启用与停用、修改5个功能进行修改,对“加密机管理”的新增、修改、查询、启用和停用、关联加密机与加密池进行功能设置,然后在“加密机与加密机池关系”中点击“关联加密机与加密机池”按钮进行关联,然后选择“启用”和“禁用”按钮来实现是否关联,在“节点与加密机池关系”中选择“节点与加密机池信息”以实现关联节点与加密机池,然后选择“启用”和“禁用”按钮来实现是否关联,并可通过“加密机状态信息查询”功能查询和删除加密机信息,此时基本功能信息设置完成。
步骤二将由CA签发的相关根证书导入密码服务平台,选择“根证书管理”菜单中的“根证书信息”,选择“导入根证书”并进行上传,该功能只能在IE8及其以下的版本中才能完成;对“CA配置”进行CAID、业务名称以及算法进行设置,点击“导入”按钮即设置成功。
步骤三通过节点之间的安全策略进行设置,在“节点策略”中选择“策略模板维护”,在“策略模板维护”界面有“新增单节点策略模快”、“新增AB策略模板”、“新增AK策略模板”、“删除策略模板”、“启用”、“停用”、“修改”按钮,根据实际情况通过上述按钮对“策略模板维护”进行设置,其中,新增的AB策略需要满足A节点号>B节点号才能进行设置,并且在新增AB策略界面显示的安全节点1与安全节点2的节点号必须一致。
步骤四当两个安全节点通信的时候,kmc会通过根证书识别到当前的安全节点1和安全节点2,并将相应的密钥信息进行下发。
步骤五安全节点1使用密钥对通信信息进行加密处理,加密过程调用安全插件,由安全插件调用加密机对信息进行加密处理,同样,安全节点2也会使用密钥和安全插件以及加密机进行解密处理。
上述实施例仅为本发明的优选实施例,并非对本发明保护范围的限制,但凡采用本发明的设计原理,以及在此基础上进行非创造性劳动而做出的变化,均应属于本发明的保护范围之内。
Claims (1)
1.一种分布式密码服务平台密钥管理的使用方法,其特征在于,包括如下步骤:
(S1)对kmc综合信息管理进行设置:包括对kmc基本信息、密钥信息、加密机信息进行统一的管理;其中在“kmc基本信息”可实现对kmc基本信息进行新增、删除、修改、启用和停用5个功能进行设置;“密钥信息”包括对传输主密钥进行新增、更新、查询、删除以及启用与停用5个功能进行设置,对“节点密钥状态”、“节点种子状态”进行设置;最后对“加密机”进行设置,首先对“加密机池管理”的查询、新增、删除、启用与停用、修改5个功能进行修改,对“加密机管理”的新增、修改、查询、启用和停用、关联加密机与加密池进行功能设置,然后在“加密机与加密机池关系”中点击“关联加密机与加密机池”按钮进行关联,然后选择“启用”和“禁用”按钮来实现是否关联,在“节点与加密机池关系”中选择“节点与加密机池信息”以实现关联节点与加密机池,然后选择“启用”和“禁用”按钮来实现是否关联,并可通过“加密机状态信息查询”功能查询和删除加密机信息,此时基本功能信息设置完成;
(S2)导入根证书:过程为将由CA签发的相关根证书导入密码服务平台;
(S3)对安全节点通讯进行设置:安全节点通讯是通过节点之间的安全策略进行设置;在“节点策略”中选择“策略模板维护”,在“策略模板维护”界面有“新增单节点策略模快”、“新增AB策略模板”、“新增AK策略模板”、“删除策略模板”、“启用”、“停用”、“修改”按钮,根据实际情况通过上述按钮对“策略模板维护”进行设置,其中,新增的AB策略需要满足A节点号>B节点号才能进行设置,并且在新增AB策略界面显示的安全节点1与安全节点2的节点号必须一致;
(S4)证书下发:证书下发是当两个安全节点通信的时候,kmc会通过根证书识别到当前的安全节点1和安全节点2,并将相应的密钥信息进行下发;
(S5)对加密和解密进行设置:通过对安全节点1使用密钥对通信信息进行加密处理,加密过程调用安全插件,由安全插件调用加密机对信息进行加密处理,同样,安全节点2也会使用密钥和安全插件以及加密机进行解密处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810953196.4A CN109218293B (zh) | 2018-08-21 | 2018-08-21 | 一种分布式密码服务平台密钥管理的使用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810953196.4A CN109218293B (zh) | 2018-08-21 | 2018-08-21 | 一种分布式密码服务平台密钥管理的使用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109218293A CN109218293A (zh) | 2019-01-15 |
| CN109218293B true CN109218293B (zh) | 2021-09-21 |
Family
ID=64989502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810953196.4A Active CN109218293B (zh) | 2018-08-21 | 2018-08-21 | 一种分布式密码服务平台密钥管理的使用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109218293B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013101286A1 (en) * | 2011-04-19 | 2013-07-04 | Authentify Inc. | Key management using quasi out of band authentication architecture |
| CN103916363A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 加密机的通讯安全管理方法和系统 |
| CN104158655A (zh) * | 2014-08-27 | 2014-11-19 | 融信信息科技有限公司 | 一种pos主密钥生成、分发管理系统及控制方法 |
| CN105634730A (zh) * | 2015-12-29 | 2016-06-01 | 中国建设银行股份有限公司 | 一种金融ic卡密钥管理系统 |
| CN107171796A (zh) * | 2017-06-27 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种多kmc密钥恢复方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2922702B1 (fr) * | 2007-10-17 | 2010-02-26 | Airbus France | Securisation de fichiers informatiques telechargeables sur un aeronef basee sur l'identite d'entites, procede d'authenfication, systeme et aeronef associes |
| CN103714638B (zh) * | 2013-03-15 | 2015-09-30 | 福建联迪商用设备有限公司 | 一种快速定位终端主密钥下载失败的方法及系统 |
| CN107800538B (zh) * | 2016-09-01 | 2021-01-29 | 中电长城(长沙)信息技术有限公司 | 一种自助设备远程密钥分发方法 |
-
2018
- 2018-08-21 CN CN201810953196.4A patent/CN109218293B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013101286A1 (en) * | 2011-04-19 | 2013-07-04 | Authentify Inc. | Key management using quasi out of band authentication architecture |
| CN103916363A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 加密机的通讯安全管理方法和系统 |
| CN104158655A (zh) * | 2014-08-27 | 2014-11-19 | 融信信息科技有限公司 | 一种pos主密钥生成、分发管理系统及控制方法 |
| CN105634730A (zh) * | 2015-12-29 | 2016-06-01 | 中国建设银行股份有限公司 | 一种金融ic卡密钥管理系统 |
| CN107171796A (zh) * | 2017-06-27 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种多kmc密钥恢复方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109218293A (zh) | 2019-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111783075B (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
| CN106874461B (zh) | 一种工作流引擎支持多数据源配置安全访问系统及方法 | |
| CN109587101B (zh) | 一种数字证书管理方法、装置及存储介质 | |
| Kohl et al. | The evolution of the Kerberos authentication service | |
| US20030081784A1 (en) | System for optimized key management with file groups | |
| CN102945356B (zh) | 云环境下搜索引擎的访问控制方法及系统 | |
| CN111783128B (zh) | 可验证的分布式数据库访问控制方法 | |
| CN112800439B (zh) | 一种面向安全存储的密钥管理协议设计方法及系统 | |
| CN105915338A (zh) | 生成密钥的方法和系统 | |
| CN111310225A (zh) | 一种基于区块链的去中心化的隐私数据授权的方法及系统 | |
| CN112712372A (zh) | 联盟链跨链系统和信息调用方法 | |
| CN115859362A (zh) | 基于区块链侧链的数据存储系统、方法、设备及介质 | |
| CN109218293B (zh) | 一种分布式密码服务平台密钥管理的使用方法 | |
| CN113162763A (zh) | 数据加密及存储方法、装置、电子设备及存储介质 | |
| CN112469039A (zh) | 一种基于安全芯片的移动终端安全授权方法 | |
| CN111539014B (zh) | 基于区块链的伦理文件存档方法 | |
| CN103905390B (zh) | 权限获取方法、装置、电子设备及系统 | |
| CN111464311A (zh) | 一种机固多节点一体授权管理的方法 | |
| CN117034213B (zh) | 一种数字作品nft加密保护的方法 | |
| CN106059759A (zh) | 一种cp‑abe密文访问控制的架构方法 | |
| CN113642041A (zh) | 一种实现合约隐私的数据处理与存储方法 | |
| CN112769805A (zh) | 云密码管理方法、系统和存储介质 | |
| CN110602126A (zh) | 特权账号群组同步改密的方法及装置 | |
| Fu et al. | A Design of Sharing Algorithm Based on Attribute–Based Encryption in Cloud Storage Environment | |
| Huang et al. | Consortium Blockchain Efficient Storage Access Control Solution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210615 Address after: Room 10701-7941, 7th floor, Ruiji building, 15 Gaoxin 2nd Road, Zhangba Street office, Gaoxin District, Xi'an City, Shaanxi Province, 710000 Applicant after: XI'AN DEAN INFORMATION TECHNOLOGY Co.,Ltd. Address before: Room 22101, unit 2, Huixin ibc1 building, No.1 zhangbayi Road, high tech Zone, Yanta District, Xi'an City, Shaanxi Province, 710061 Applicant before: XI'AN DEAN INFORMATION TECHNOLOGY Co.,Ltd. Applicant before: SHANDONG DEAN INFORMATION TECHNOLOGY Co.,Ltd. Applicant before: BEIJING DEAN INFORMATION TECHNOLOGY Co.,Ltd. Applicant before: SHAANXI YOUAN XINCHENG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |