面向智能终端及应用系统的密码管理服务平台
技术领域
本发明涉及信息安全领域,具体地说,是涉及一种面向智能终端及应用系统的密码管理服务平台。
背景技术
随着信息技术的不断发展,在给人们带来高效、信息共享的同时,也在给信息安全带来很多问题,网络上的信息安全逐渐变得尤其重要。特别是在智能终端、应用系统、金融行业中,小至用户的账户密码、个人资料,大至财务报表、研发数据等重要商业信息,一旦信息外泄都将造成严重的后果。同时由于企业内部的IT应用不断增多,企业对于IT的依赖性加强,这就导致信息外泄的渠道也大大增多,安全风险无处不在。于是,对于用于重要信息的安全传递的技术需求逐渐增加。
目前,应对此问题传统的方式主要是采用在应用系统层或操作系统内核层对数据实施加密保护,即系统中所有设备都在本地管理其密码,应用程序通过读取本地的配置文件,或者通过访问数据库中保存的密码来获取相应主机的操作系统密码,而密码在配置文件或者代码中以明文的形式保存。在这个过程中,最主要的问题是密钥的安全管理,涉及密钥生成、密钥更新等,传统的密钥管理不仅效率低,而且在对信息的加密保护方面也不够全面;同时,缺少平台系统的监控与运维,当系统出现问题错误时很难及时发现。
发明内容
本发明的目的在于提供一种面向智能终端及应用系统的密码管理服务平台,给智能终端和应用系统提供系统完善的密钥管理服务,给信息提供全面的加密保护,同时具有完善的系统运维监控,保障平台的正常运行。
为实现上述目的,本发明采用的技术方案如下:
面向智能终端及应用系统的密码管理服务平台,包括提供最高密钥的数据密码机、提供解密加密运算基础的运算服务器、用于存储密钥及其相关数据的数据库服务器、提供系统服务的平台服务器、时间同步服务器,还包括部署在平台服务器上用于给智能终端和应用系统提供密钥服务的密钥管理服务系统,所述数据密码机、运算服务器、数据库服务器、时间同步服务器分别与所述密钥管理服务系统相连,所述平台服务器设有用于密钥管理服务系统与智能终端和应用系统相连的接口;
所述密钥管理服务系统包括用于密钥生成、更新、应用的密钥管理模块,用于管理接入了所述接口的智能终端和应用系统的外围系统管理模块,用于提供所述密钥管理系统的管理员、操作员、审计员权限管理及其个人信息管理的服务人员管理模块,用于系统运维监控的系统运维监控模块;
所述密钥管理模块分别与所述数据库服务器、所述数据密码机、所述运算服务器相连;所述服务人员管理模块与所述数据库服务器相连;
所述外围系统管理模块与所述密钥管理模块相连,密钥管理模块向外围系统管理模块提供信息加密服务;
所述系统运维监控模块包括用于对智能终端和应用系统相关交易监控的应用交易监控模块,用于监控所述接口、平台服务器、数据密码机状态的心跳交易监控模块,用于对智能终端和应用系统相关状态进行监控的系统状态监控模块,用于对密钥管理服务系统同步进行监控的密钥同步监控模块,用于避免对智能终端和应用系统使用旧密钥运算进行监控的运算用旧密钥监控模块,以及监控显示模块;
所述监控显示模块分别与所述应用交易监控模块、心跳交易监控模块、系统状态监控模块、密钥同步监控模块、运算用旧密钥监控模块相连,并以图标的形式分别显示其监控状况;
所述应用交易监控模块与密钥管理模块相连接,以分类记录密钥管理系统对应用信息加密过程对密钥管理系统应用相关交易进行监控;所述心跳交易监控模块与所述平台服务器、数据密码机、接口相连接;所述系统状态监控模块与外围系统管理模块相接,以记录不同时间外围系统连接状态以及密钥管理系统应用进程状态进行监控;所述密钥同步监控模块与时间同步服务器以及密钥管理模块相连,以监控密钥管理模块中的密钥同步情况并对同步失败进行报警;
所述运算用旧密钥监控系统与密钥管理模块相连,以监控密钥管理模块中的密钥更新并对密钥更新失败进行报警;
其实现过程包括如下步骤:
(1)密钥管理服务系统的服务人员管理模块分配初始的管理员账号和密码,再由管理员在服务人员管理模块中分配操作员,由操作人员对密钥管理模块中的密钥进行相应的配置更新,而管理员账号信息、操作员账号信息存储在数据库服务器中;
(2)智能终端和应用系统接入所述接口,由管理员在外围系统管理模块中对其进行信息的录入和管理,智能终端和应用信息存储在数据库服务器中;
(3)密钥管理模块对接入的智能终端和应用系统提供账户密码二次加密、信息明文传输加密、密码键盘加密服务,运算服务器提供其加密算法运算;并且相关密钥存储在数据库服务器中,由操作员进行相关密钥统一的更新、生成管理;而对相关密钥进行再次加密的最高密钥存储在数据密码机中;
(4)所述系统运维监控模块对平台进行运维监控,将平台与智能终端和应用系统交易时的状况在所述显示模块中以图标的形式显示出来,由审计员进行相关管理操作。
进一步地,所述密钥管理模块包括用于信息传输中加密的公钥及其私钥生成、更新、增加的非对称密钥管理模块,用于明文加密传输中加密的传输密钥的生成、更新的加密传输密钥管理模块,用于智能终端和应用系统的账户密码二次加密中的MAC KEY和PIN KEY生成、更新的工作密钥管理模块,用于对密码键盘密钥生成、更新的密码键盘密钥管理模块。
进一步地,所述外围系统管理模块包括机构管理模块和移动应用管理模块。
进一步地,所述非对称密钥管理模块中加密算法包括RSA算法和SM2算法。
进一步地,所述加密传输密钥管理模块加密算法包括DES算法、3DES_128算法、3DES_192算法、SM4算法。
进一步地,所述工作密钥管理模块的工作密钥的加密算法包括DES算法、3DES_128算法、3DES_192算法、SM4算法。
进一步地,所述操作员包括用于系统配置的系统配置人员和用于系统日常运维的运维人员,所述密钥管理服务系统只允许一位系统配置人员在线进行操作。
进一步地,所述系统运维监控模块还包括统计分析模块,所述统计分析模块包括用于统计历史报警数据以及提供历史报警数据查询的历史报警查询模块、用于统计每天交易成功或者失败情况的报表数据统计模块;所述历史报警查询模块分别与所述应用交易监控模块、心跳交易监控模块、系统状态监控模块、密钥同步监控模块、运算用旧密钥监控模块相连,所述报表数据统计模块与所述应用交易监控模块相连。
进一步地,所述应用交易监控模块包括异常交易监控、交易成功率监控、长时间无交易监控。
进一步地,所述监控显示模块以绿色雷达图标表示该监控项正常、黄色圆形图标代表该项存在预警信息,同时声音报警,红色图标代表该项存在严重警告信息,同时声音报警。
与现有技术相比,本发明具有以下有益效果:
(1)本发明通过密钥管理模块中的非对称密钥管理模块、传输密钥管理模块、工作密钥管理模块和密码键盘密钥管理模块解决了对信息的加密问题,通过多种密钥以及加密方式给智能终端和应用系统内信息提供了安全保障。
(2)本发明通过设置数据密码机给密钥再次进行了加密,其加密密钥设置在数据密码机硬件上,其硬加密可防止密钥的泄露,进而保护了信息安全。
(3)本发明设置数据库服务器对密钥、服务人员以及智能终端和应用系统信息进行了统一的管理和储存,便于对相关信息的增、删、改等操作管理。
(4)本发明通过设置运算服务器给加密算法提供了运算基础保障,同时缩短了运算时间,有利于信息的及时传输,给智能终端和应用系统提供了更好的体验服务。
(5)本发明通过时间同步服务器和密钥同步监控模块解决了对密钥同步情况的监控问题,当密钥出现不同步情况时其密钥同步监控模块将进行报警,以便审计人员对此进行问题及时处理,避免了密钥不同步的情况发生。
(6)本发明通过应用交易监控模块对密钥运用交易时进行监控,异常交易监控模块、交易成功率监控模块、长时间无交易监控模块对密钥使用交易过程中的异常交易、交易的成功率、长时间无交易情况分别进行监控统计,确保密钥的正常使用交易。
(7)本发明通过系统状态监控模块对不同时间外联系统连接状态以及密钥管理系统应用进程状态进行监控,保证了外联系统与密钥管理系统连接正常。
(8)本发明通过心跳交易监控模块对密钥管理系统中的服务器、数据密码机、服务端口进行监控,确保了服务器、数据密码机、服务端口的正常运行。
(9)本发明通过运算用旧密钥监控模块对外围系统运用旧密钥运算进行报警,防止密钥更新失败等潜在的问题的发生。
(10)本发明通过设置监控显示模块以图标的形式显示其监控状况,更加直观明了,便于审计员对系统进行操作和管理。
附图说明
图1为本发明的整体结构示意图。
图2为本发明的系统运维监控模块的结构示意图。
具体实施方式
下面结合附图说明和实施例对本发明作进一步说明,本发明的方式包括但不仅限于以下实施例。
实施例
如图1和图2所示,本发明公开的面向智能终端及应用系统的密码管理服务平台,包括提供最高密钥的数据密码机、提供解密加密运算基础的运算服务器、用于存储密钥及其相关数据的数据库服务器、提供系统服务的平台服务器、时间同步服务器,还包括部署在平台服务器上用于给智能终端和应用系统提供密钥服务的密钥管理服务系统,所述数据密码机、运算服务器、数据库服务器、时间同步服务器分别与所述密钥管理服务系统相连,所述平台服务器设有用于密钥管理服务系统与智能终端和应用系统相连的接口;
所述密钥管理服务系统包括用于密钥生成、更新、应用的密钥管理模块,用于管理接入了所述接口的智能终端和应用系统的外围系统管理模块,用于提供所述密钥管理系统的管理员、操作员、审计员权限管理及其个人信息管理的服务人员管理模块,用于系统运维监控的系统运维监控模块;
所述密钥管理模块分别与所述数据库服务器、所述数据密码机、所述运算服务器相连;所述服务人员管理模块与所述数据库服务器相连;
所述外围系统管理模块与所述密钥管理模块相连,密钥管理模块向外围系统管理模块提供信息加密服务;
所述系统运维监控模块包括用于对智能终端和应用系统相关交易监控的应用交易监控模块,用于监控所述接口、平台服务器、数据密码机状态的心跳交易监控模块,用于对智能终端和应用系统相关状态进行监控的系统状态监控模块,用于对密钥管理服务系统同步进行监控的密钥同步监控模块,用于避免对智能终端和应用系统使用旧密钥运算进行监控的运算用旧密钥监控模块,以及监控显示模块;
所述应用交易监控模块与密钥管理模块相连接,以分类记录密钥管理系统对应用信息加密过程对密钥管理系统应用相关交易进行监控;所述心跳交易监控模块与所述平台服务器、数据密码机、接口相连接;所述系统状态监控模块与外围系统管理模块相接,以记录不同时间外围系统连接状态以及密钥管理系统应用进程状态进行监控;所述密钥同步监控模块与时间同步服务器以及密钥管理模块相连,以监控密钥管理模块中的密钥同步情况并对同步失败进行报警;
所述运算用旧密钥监控系统与密钥管理模块相连,以监控密钥管理模块中的密钥更新并对密钥更新失败进行报警;
所述监控显示模块分别与所述应用交易监控模块、心跳交易监控模块、系统状态监控模块、密钥同步监控模块、运算用旧密钥监控模块相连,并以图标的形式分别显示其监控状况。
所述密钥管理模块包括用于信息传输中加密的公钥及其私钥生成、更新、增加的非对称密钥管理模块,用于明文加密传输中加密的传输密钥的生成、更新的加密传输密钥管理模块,用于智能终端和应用系统的账户密码二次加密中的MAC KEY和PIN KEY生成、更新的工作密钥管理模块,用于对密码键盘密钥生成、更新的密码键盘密钥管理模块。
所述外围系统管理模块包括机构管理模块和移动应用管理模块。
所述非对称密钥管理模块中加密算法包括RSA算法和SM2算法。
所述加密传输密钥管理模块加密算法包括DES算法、3DES_128算法、3DES_192算法、SM4算法。
所述工作密钥管理模块的工作密钥的加密算法包括DES算法、3DES_128算法、3DES_192算法、SM4算法。
所述操作员包括用于系统配置的系统配置人员和用于系统日常运维的运维人员,所述密钥管理服务系统只允许一位系统配置人员在线进行操作。
所述系统运维监控模块还包括统计分析模块,所述统计分析模块包括用于统计历史报警数据以及提供历史报警数据查询的历史报警查询模块、用于统计每天交易成功或者失败情况的报表数据统计模块;所述历史报警查询模块分别与所述应用交易监控模块、心跳交易监控模块、系统状态监控模块、密钥同步监控模块、运算用旧密钥监控模块相连,所述报表数据统计模块与所述应用交易监控模块相连。
所述应用交易监控模块包括异常交易监控、交易成功率监控、长时间无交易监控。
所述监控显示模块以绿色雷达图标表示该监控项正常、黄色圆形图标代表该项存在预警信息,同时声音报警,红色图标代表该项存在严重警告信息,同时声音报警。
其实现过程包括如下步骤:
(1)密钥管理服务系统的服务人员管理模块分配初始的管理员账号和密码,再由管理员在服务人员管理模块中分配操作员,由操作人员对密钥管理模块中的密钥进行相应的配置更新,而管理员账号信息、操作员账号信息存储在数据库服务器中;
(2)智能终端和应用系统接入所述接口,由管理员在外围系统管理模块中对其进行信息的录入和管理,智能终端和应用信息存储在数据库服务器中;
(3)密钥管理模块对接入的智能终端和应用系统提供账户密码二次加密、信息明文传输加密、密码键盘加密服务,运算服务器提供其加密算法运算;并且相关密钥存储在数据库服务器中,由操作员进行相关密钥统一的更新、生成管理;而对相关密钥进行再次加密的最高密钥存储在数据密码机中;
(4)所述系统运维监控模块对平台进行运维监控,将平台与智能终端和应用系统交易时的状况在所述显示模块中以图标的形式显示出来,由审计员进行相关管理操作。
本发明通过上述设计,有效地解决了智能终端和应用系统信息安全的问题,给智能终端和应用系统提供了系统完善的密钥管理服务,同时具有完善的系统运维监控,保障平台的正常运行。
上述实施例仅为本发明的优选实施方式之一,不应当用于限制本发明的保护范围,但凡在本发明的主体设计思想和精神上作出的毫无实质意义的改动或润色,其所解决的技术问题仍然与本发明一致的,均应当包含在本发明的保护范围之内。