CN109687956A - 一种统一给客户提供密钥管理和密钥运算服务系统 - Google Patents

一种统一给客户提供密钥管理和密钥运算服务系统 Download PDF

Info

Publication number
CN109687956A
CN109687956A CN201811510164.3A CN201811510164A CN109687956A CN 109687956 A CN109687956 A CN 109687956A CN 201811510164 A CN201811510164 A CN 201811510164A CN 109687956 A CN109687956 A CN 109687956A
Authority
CN
China
Prior art keywords
service
layer
key
configuration information
deployment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811510164.3A
Other languages
English (en)
Other versions
CN109687956B (zh
Inventor
樊笑冰
朱云
李元骅
李耀龙
李春晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shield Mdt Infotech Ltd
Original Assignee
Beijing Shield Mdt Infotech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shield Mdt Infotech Ltd filed Critical Beijing Shield Mdt Infotech Ltd
Priority to CN201811510164.3A priority Critical patent/CN109687956B/zh
Publication of CN109687956A publication Critical patent/CN109687956A/zh
Application granted granted Critical
Publication of CN109687956B publication Critical patent/CN109687956B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

一种统一给客户提供密钥管理和密钥运算服务系统,包括业务部署层、服务层和应用层,其中,所述的业务部署层由业务处理服务器和密码机构成,所述的服务层由统一密码服务集群、数据库、Redis集群构成,所述的应用层由用户、移动终端、应用服务、CA认证服务器、KMS管理、LAM服务器构成,所述的业务部署层、服务层和应用层通过路由器或交换机相连;该系统不需要用应用程序才参与密钥管理的工作,密管系统提供应用web节界面便于用户界面完成加解密工作,同时提供RESTFUL服务接口方便用户调用,达到了增强易用性的有益效果;对常见的web攻击的防御,密管系统外部密钥都是由SPK密钥保护、保护SPK的密钥在加密机硬件内部,达到了增强密钥的安全性的有益效果。

Description

一种统一给客户提供密钥管理和密钥运算服务系统
技术领域
本发明涉及计算机、信息技术领域,尤其是一种基于Rest API统一给客户提供密钥管理和密钥运算服务系统。
背景技术
传统方式一般都是将密管系统作为项目的一部分作为开发,这样有两个弊端,首先,增加项目开发难度,其次,降低了密管系统的安全性;密管系统是和密码紧密关联的,它做了两件事情,第一件是它做了密钥管理的工作,第二件它做了密码运算的工作,这些工作都属于专业性、安全性非常高的专业,如果让应用程序去完成,加大应用实现的难度和复杂性,在从安全性上讲,将安全级别非常高的部分和普通项目放在一起,从而降低了密钥管理和密码运算的安全性。
发明内容
为了解决现有技术的不足,本发明提供了一种统一给客户提供密钥管理和密钥运算服务系统,该一种统一给客户提供密钥管理和密钥运算服务系统在从密钥生成、绑定、运算、生命周期结束、归档统一由密管系统完成,不需要用应用程序才参与密钥管理的工作,密管系统提供应用web节界面便于用户界面完成加解密工作,同时提供RESTFUL服务接口方便用户调用,达到了增强易用性的目的;对常见的web攻击的防御, 通讯安全性采用ssl/tls通讯方式,身份鉴别采用第三方认证方式对用户身份进行鉴别,密管系统外部密钥都是由SPK密钥保护、保护SPK的密钥在加密机硬件内部,达到了增强密钥的安全性的目的。
本发明解决其问题的技术方案是,包括业务部署层、服务层和应用层,其中,所述的业务部署层由业务处理服务器和密码机构成,所述的服务层由统一密码服务集群、数据库、Redis集群构成,所述的应用层由用户、移动终端、应用服务、CA认证服务器、KMS管理、LAM服务器构成,所述的业务部署层、服务层和应用层通过路由器或交换机相连;
该一种统一给客户提供密钥管理和密钥运算服务系统是这样实现的:
A、系统最初需要完成加密机初装工作,部署完成加密机后,需要用专用工具产生KEK和NPK,KEK用来保护SPK,KEK不出加密机,NPK为节点公钥,用来同步节点的SPK;产生KEK、NPK并需要用专用工具将同步到其它加密机上面,做加密机内部的KEK和NPK全节点一致;
B、创建数据库,完成数据库的安装,主备参数配置,单节点的数据库主要使用主备的方式部署,并创建表结构,测试数据库创建是否成功,初始化sql数据;
C、创建Redis集群,安装Redis,配置Redis集群,Redis采用主备方式,由keeplive监控并切换主备redis服务;
D、安装密码管理服务,配置信息,包括Redis的配置信息,Zookeeper的配置信息,数据库的配置信息,然后启动密码管理服务;
E、安装密码统一服务,配置信息,包括Redis的配置信息,Zookeeper的配置信息,数据库的配置信息,然后启动密码管接口服务;
F、安装Ngnix服务,配置信息,包括密码服务的IP以及其它相关的配置信息后, 启动Ngnix服务;
G、安装ELK服务,在每台需要收集的日志的服务器上配置好filebeat做为收集日志收集端,在在日志收集中心部署Elasticsearch和Kibana用日志的收集、分析、展示,完成以上部署后启动。
本发明的有益效果是:该一种统一给客户提供密钥管理和密钥运算服务系统在从密钥生成、绑定、运算、生命周期结束、归档统一由密管系统完成,不需要用应用程序才参与密钥管理的工作,密管系统提供应用web节界面便于用户界面完成加解密工作,同时提供RESTFUL服务接口方便用户调用,达到了增强易用性的有益效果;对常见的web攻击的防御,通讯安全性采用ssl/tls通讯方式,身份鉴别采用第三方认证方式对用户身份进行鉴别,密管系统系统外部密钥都是由SPK密钥保护、保护SPK的密钥在加密机硬件内部,达到了增强密钥的安全性的有益效果。
附图说明:
图1为本发明系统部署架构图。
下面结合附图对本发明进一步说明。
具体实施方式:
本发明的具体实施方式是,参照图1,包括业务部署层、服务层和应用层,其中,所述的业务部署层由业务处理服务器和密码机构成,所述的服务层由统一密码服务集群、数据库、Redis集群构成,所述的应用层由用户、移动终端、应用服务、CA认证服务器、KMS管理、LAM服务器构成,所述的业务部署层、服务层和应用层通过路由器或交换机相连;
参照图1,该一种统一给客户提供密钥管理和密钥运算服务系统是这样实现的:
A、系统最初需要完成加密机初装工作,部署完成加密机后,需要用专用工具产生KEK和NPK,KEK用来保护SPK,KEK不出加密机,NPK为节点公钥,用来同步节点的SPK;产生KEK、NPK并需要用专用工具将同步到其它加密机上面,做加密机内部的KEK和NPK全节点一致;
B、创建数据库,完成数据库的安装,主备参数配置,单节点的数据库主要使用主备的方式部署,并创建表结构,测试数据库创建是否成功,初始化sql数据;
C、创建Redis集群,安装Redis,配置Redis集群,Redis采用主备方式,由keeplive监控并切换主备redis服务;
D、安装密码管理服务,配置信息,包括Redis的配置信息,Zookeeper的配置信息,数据库的配置信息,然后启动密码管管理服务;
E、安装密码统一服务,配置信息,包括Redis的配置信息,Zookeeper的配置信息,数据库的配置信息,然后启动密码管接口服务;
F、安装Ngnix服务,配置信息,包括密码服务的IP以及其它相关的配置信息后, 启动Ngnix服务;
G、安装ELK服务,在每台需要收集的日志的服务器上配置好filebeat做为收集日志收集端,在在日志收集中心部署Elasticsearch和Kibana用日志的收集、分析、展示,完成以上部署后启动。
上述实施例仅为本发明较佳的实施例,是提供给本领域技术人员来实现和使用本发明的,本领域技术人员可在不脱离本发明的发明思想的情况下,对上述实施例做出种种修改或变 化,因而本发明的发明范围并不被上述实施例所限,任何基于本发明思想的修改或变化均在本发明保护范围内。

Claims (2)

1.一种统一给客户提供密钥管理和密钥运算服务系统,包括业务部署层、服务层和应用层,其特征是:所述的业务部署层由业务处理服务器和密码机构成,所述的服务层由统一密码服务集群、数据库、Redis集群构成,所述的应用层由用户、移动终端、应用服务、CA认证服务器、KMS管理、LAM服务器构成,所述的业务部署层、服务层和应用层通过路由器或交换机相连。
2.据权利要求1所述的一种统一给客户提供密钥管理和密钥运算服务系统,其特征是:该一种统一给客户提供密钥管理和密钥运算服务系统是这样实现的:
A、系统最初需要完成加密机初装工作,部署完成加密机后,需要用专用工具产生KEK和NPK,KEK用来保护SPK,KEK不出加密机,NPK为节点公钥,用来同步节点的SPK;产生KEK、NPK并需要用专用工具将同步到其它加密机上面,做加密机内部的KEK和NPK全节点一致;
B、创建数据库,完成数据库的安装,主备参数配置,单节点的数据库主要使用主备的方式部署,并创建表结构,测试数据库创建是否成功,初始化sql数据;
C、创建Redis集群,安装Redis,配置Redis集群,Redis采用主备方式,由keeplive监控并切换主备redis服务;
D、安装密码管理服务,配置信息,包括Redis的配置信息,Zookeeper的配置信息,数据库的配置信息,然后启动密码管管理服务;
E、安装密码统一服务,配置信息,包括Redis的配置信息,Zookeeper的配置信息,数据库的配置信息,然后启动密码管接口服务;
F、安装Ngnix服务,配置信息,包括密码服务的IP以及其它相关的配置信息后, 启动Ngnix服务;
G、安装ELK服务,在每台需要收集的日志的服务器上配置好filebeat做为收集日志收集端,在在日志收集中心部署Elasticsearch和Kibana用日志的收集、分析、展示,完成以上部署后启动。
CN201811510164.3A 2018-12-11 2018-12-11 一种统一给客户提供密钥管理和密钥运算服务系统 Active CN109687956B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811510164.3A CN109687956B (zh) 2018-12-11 2018-12-11 一种统一给客户提供密钥管理和密钥运算服务系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811510164.3A CN109687956B (zh) 2018-12-11 2018-12-11 一种统一给客户提供密钥管理和密钥运算服务系统

Publications (2)

Publication Number Publication Date
CN109687956A true CN109687956A (zh) 2019-04-26
CN109687956B CN109687956B (zh) 2023-02-10

Family

ID=66187350

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811510164.3A Active CN109687956B (zh) 2018-12-11 2018-12-11 一种统一给客户提供密钥管理和密钥运算服务系统

Country Status (1)

Country Link
CN (1) CN109687956B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541664A (zh) * 2020-04-14 2020-08-14 北京数盾信息科技有限公司 统一密码服务管理平台
CN112713994A (zh) * 2020-12-30 2021-04-27 北京数盾信息科技有限公司 复杂网络下分布式密钥分级管理系统
CN113127907A (zh) * 2021-04-29 2021-07-16 江苏信数科技有限公司 一种基于应用的权限校验系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101877157A (zh) * 2010-02-09 2010-11-03 北京江南博仁科技有限公司 银行终端安全设备密钥管理系统及方法
CN102710605A (zh) * 2012-05-08 2012-10-03 重庆大学 一种云制造环境下的信息安全管控方法
CN104021335A (zh) * 2014-06-05 2014-09-03 中国人民解放军国防科学技术大学 基于可扩展密码服务框架的密码服务方法
CN104202421A (zh) * 2014-09-19 2014-12-10 浪潮电子信息产业股份有限公司 一种基于云计算的密码服务系统
CN108259175A (zh) * 2017-12-28 2018-07-06 成都卫士通信息产业股份有限公司 一种分布式密码服务方法和系统
US20180337772A1 (en) * 2017-05-22 2018-11-22 Microsoft Technology Licensing, Llc High integrity logs for distributed software services

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101877157A (zh) * 2010-02-09 2010-11-03 北京江南博仁科技有限公司 银行终端安全设备密钥管理系统及方法
CN102710605A (zh) * 2012-05-08 2012-10-03 重庆大学 一种云制造环境下的信息安全管控方法
CN104021335A (zh) * 2014-06-05 2014-09-03 中国人民解放军国防科学技术大学 基于可扩展密码服务框架的密码服务方法
CN104202421A (zh) * 2014-09-19 2014-12-10 浪潮电子信息产业股份有限公司 一种基于云计算的密码服务系统
US20180337772A1 (en) * 2017-05-22 2018-11-22 Microsoft Technology Licensing, Llc High integrity logs for distributed software services
CN108259175A (zh) * 2017-12-28 2018-07-06 成都卫士通信息产业股份有限公司 一种分布式密码服务方法和系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541664A (zh) * 2020-04-14 2020-08-14 北京数盾信息科技有限公司 统一密码服务管理平台
CN112713994A (zh) * 2020-12-30 2021-04-27 北京数盾信息科技有限公司 复杂网络下分布式密钥分级管理系统
CN113127907A (zh) * 2021-04-29 2021-07-16 江苏信数科技有限公司 一种基于应用的权限校验系统及方法

Also Published As

Publication number Publication date
CN109687956B (zh) 2023-02-10

Similar Documents

Publication Publication Date Title
US10880732B2 (en) Authentication of phone caller identity
US10819521B2 (en) Providing low risk exceptional access
US11363454B2 (en) Providing low risk exceptional access with verification of device possession
US8027472B2 (en) Using a trusted-platform-based shared-secret derivation and WWAN infrastructure-based enrollment to establish a secure local channel
KR102159461B1 (ko) 데이터 백업 방법 및 장치, 저장 매체 그리고 서버
US20070083918A1 (en) Validation of call-out services transmitted over a public switched telephone network
CN109687956A (zh) 一种统一给客户提供密钥管理和密钥运算服务系统
CN111212426B (zh) 终端的接入方法及终端、微基站、接入系统
US10999073B2 (en) Secure network communication method
CN108881189A (zh) 基于联盟链的用户数据匿名共享系统
CN109688116A (zh) 一种支持动态扩展算法和运算能力的密管系统
CN113923655A (zh) 基于相邻节点的数据解密接收方法及装置
CN104519055A (zh) Vpn业务实现方法、装置和vpn服务器
CN108156112B (zh) 数据加密方法、电子设备及网络侧设备
Hoepman Privately (and unlinkably) exchanging messages using a public bulletin board
Ermiş et al. A comparative study on the scalability of dynamic group key agreement protocols
Aydemir et al. A strong user authentication protocol for GSM
Liu et al. Research on Secure Access Technology of Electric Power Wireless Private Network Based on Hybrid Encryption
CN113747431B (zh) 一种移动设备的数据加密系统及其数据加密方法
CN113067951B (zh) 终端通信管理方法、装置、计算机设备及可读存储介质
Ng Short Message Service (SMS) security solution for mobile devices
Choudhary et al. Edge computing based An Efficient Lightweight authentication protocol for Smart Grid communication
CN109155913A (zh) 网络连接方法、安全节点的确定方法及装置
Teng et al. Defending Against Attack on the Cloned: In-Band Active Man-in-the-Middle Detection for the Signal Protocol
CN114880704A (zh) 数据的匹配方法、系统、识别设备、图像采集设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: 100070 901, Floor 9, Building 7, Yard 8, Auto Museum East Road, Fengtai District, Beijing

Patentee after: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD.

Address before: 6th Floor, Building 4, District 3, Hanwei International, South Fourth Ring West Road, Fengtai District, Beijing 100070

Patentee before: BEIJING SHUDUN INFORMATION TECHNOLOGY CO.,LTD.

CP02 Change in the address of a patent holder