发明内容
本发明的目的是提供一种面向大规模网络的分布式密码设备管理系统及构建方法,通过分布式的管理方式提高管理能力,同时对特定区域异构繁多的密码设备进行统一管理,实现实时、准确、安全的通信和管理功能,通过多服务器节点达到对天、空、海、陆中密码设备的有效管理。
为实现上述目的,本发明的技术方案如下:
一种面向大规模网络的分布式密码设备管理系统,该系统包括密码设备管理总中心及数个分级设置的密码设备管理分中心,一级密码设备管理分中心连接密码设备管理总中心,各级密码设备管理分中心依次连接;所述密码设备管理总中心包括客户端、服务器、密码设备及管理平台,在所述密码设备上安装客户端,所述管理平台搭建在服务器上,客户端与服务器建立有安全信道;所述密码设备管理分中心包括客户端、服务器、至少一台密码设备及管理平台,密码设备上安装有客户端,所述管理平台搭建在服务器上;
所述管理平台包括密码设备中心管理模块、用户权限管理模块、设备状态管理模块及密钥管理模块;其中:
密码设备中心管理模块,负责在各级密码设备管理中心之间建立安全信道,构建分级管理;能够根据密码设备管理中心所处物理位置进行区域划分,实现分区管理;其中,所述密码设备管理中心为密码设备管理总中心或密码设备管理分中心;
用户权限管理模块,负责用户权限的管理,根据用户类型的不同进行分类,同时将用户权限分为查询权限和管理权限,并维护用户口令,实现分域管理;
设备状态管理模块,负责在密码设备管理中心与密码设备之间建立安全信道,实现密码设备状态实时监控,及时显示密码设备状态信息;
密钥管理模块,用于维护密码设备产生的密钥,对密码设备管理中心管辖范围下密码设备的密钥全生命周期进行管理;
所述客户端负责采集密码设备状态和密钥,实时向建立连接的服务器传送数据;
密码设备管理总中心能够进行权限初始化设置,查看并管理所有密码设备管理分中心;密码设备管理分中心具有上下级关系,上级能够查看并管理下级密码设备、用户和密钥,而下级不能查看上级的任何信息。
所述各级密码设备管理中心之间建立安全信道,包括如下步骤:
步骤11)启动服务器,安装管理平台建立密码设备管理总中心和分中心;
步骤12)生成密码设备管理总中心数字证书;
步骤13)密码设备管理总中心将数字证书颁发给密码设备管理分中心;
步骤14)密码设备管理分中心导入数字证书,输入数字证书口令,请求连接密码设备管理总中心,认证成功则进入下一步,否则返回连接失败;
步骤15)管理平台接收密码设备管理分中心的连接结果,连接成功,正常访问密码设备管理分中心,连接失败,则无法访问密码设备管理分中心。
所述密码设备管理中心与密码设备之间建立安全信道,包括如下步骤:
步骤21)启动服务器,安装管理平台建立密码设备管理中心;
步骤22)为密码设备安装客户端;
步骤23)生成密码设备管理中心数字证书;
步骤24)密码设备管理中心将数字证书颁发给密码设备;
步骤25)密码设备导入数字证书,输入数字证书口令,请求连接密码设备管理中心,认证成功则进入下一步,否则返回连接失败;
步骤26)管理平台接收密码设备的连接结果,连接成功,正常访问密码设备,连接失败,则无法访问该密码设备。
一种面向大规模网络的分布式密码设备管理系统的构建方法,其方法步骤如下:
(1)启动服务器,安装管理平台并进行初始化设置,从而建立密码设备管理总中心;
(2)启动分中心服务器,安装管理平台,根据密码设备管理分中心所处的物理位置进行区域划分,并通过密码设备中心管理模块在总中心添加密码设备管理分中心;根据需求通过密码设备中心管理模块在密码设备管理分中心添加下一级密码设备管理分中心;
(3)根据用户类别,通过用户权限管理模块将底层密码设备管理分中心进行划分;
(4)为密码设备安装客户端;
(5)各级密码设备管理中心与密码设备之间建立安全连接,并通过设备状态管理模块进行密码设备状态的实时监控;
(6)密钥管理模块对密码设备管理中心管辖范围下的密码设备的密钥进行全生命周期的管理,形成面向大规模网络的分布式密码设备管理系统。
本发明中,设备管理总中心和设备管理分中心都启动了服务器,搭建了管理平台,每个密码设备都需要通过数字证书认证的方式首次连接到设备管理中心,认证通过后,管理平台可以实时监控密码设备状态,收集密码设备中的密钥。
管理平台具有设备中心管理功能,上级管理中心可以查看并管理下级管理中心的密码设备、用户和密钥,而下级管理中心不能查看上级管理中心的任何信息。
管理平台具有用户权限管理功能,不同用户域的用户具有不同的用户权限级别。根据用户类型的不同进行分类。同时将权限进行划分,分为查询权限、管理权限。可通过设备管理总中心为不同用户域的用户设置不同的权限。
管理平台具有密钥管理功能,对密钥全生命周期管理,可以进行密钥分发、密钥更新、备份密钥和密钥销毁的管理操作。
与现有技术相比,本发明的有益效果是:
本发明提供一种面向大规模网络的分布式密码设备管理系统及构建方法,为密码设备管理中心划分区域,每个密码设备管理中心都可以作为服务器对下级设备进行管理,通过分布式的方法扩大设备管理总中心的管理能力,设备管理总中心设置用户权限,从而实现了对大规模密码设备的管理,再通过密码设备管理功能和密钥管理功能实现了完整的面向大规模网络的分布式密码设备管理。
具体实施方式
以下结合附图及实施例对本发明做进一步的阐述。
如图1所示,本发明提出一种面向大规模网络的分布式密码设备管理系统,包括客户端、服务器、密码设备及管理平台,在密码设备上安装所述客户端,所述管理平台搭建在所述服务器上,所述若干个密码设备上均安装有客户端,所述密码设备管理总中心、若干个密码设备管理分中心上均设置有服务器,所述管理平台包括以下功能模块:
密码设备中心管理模块:具有数字证书颁发功能,负责在各级密码设备管理中心之间建立安全信道,实现上层管理中心对下层管理中心的管理,实现分级管理,根据管理中心所处物理位置进行区域划分,实现分区管理。
用户权限管理模块:负责用户权限的管理,根据用户类型的不同进行分类,同时将用户权限分为查询权限和管理权限,定义了完整的用户权限模型,通过密码设备管理总中心可以进行用户权限设置,各级分中心可以管理用户基本信息并维护用户口令,实现分域管理。
设备状态管理模块:具有数字证书颁发功能,负责在密码设备管理中心与密码设备之间建立安全信道,对密码设备状态实时监控,及时反馈密码设备状态,对密码设备故障进行提示。
密钥管理模块:收集和维护密码设备产生的密钥,对密码设备管理中心管辖范围下密码设备的密钥全生命周期进行管理,具有密钥生成、更新、销毁和备份的功能。
如图2所示,本发明所述一种面向大规模网络的分布式密码设备管理系统,包括设备管理总中心、若干个设备管理分中心和若干个密码设备,首先建立密码设备管理总中心,对用户权限进行初始化设置,通过密码设备中心管理模块和设备状态管理模块,建立起所示的网络结构,形成大规模网络。
如图3所示,本具体实施例中,一种面向大规模网络的分布式密码设备管理系统包括若干台服务器、若干个密码设备,服务器用于安装管理平台,密码设备用于安装客户端。以国家电网为例,系统投入工作过程包含如下步骤:
1.启动服务器,安装管理平台并进行权限初始化设置,从而建立密码设备管理总中心。
2.启动分中心服务器,安装管理平台,根据密码设备管理分中心所处的物理位置进行区域划分,并通过密码设备中心管理模块在总中心与密码设备管理分中心建立安全连接,划分为华北分部密码设备管理分中心、华东分部密码设备管理分中心等分中心。
3.根据用户类别,并通过用户权限管理模块将底层密码设备管理分中心划分为华北发展策划部密码设备管理分中心、华东运维检修部密码设备管理分中心等分中心。
4.为密码设备安装客户端。
5.通过设备状态管理模块在各级密码设备管理中心与密码设备建立安全连接,实现对密码设备状态的实时监控。
6.密钥管理模块可对密码设备管理中心管辖范围下的密码设备的密钥进行全生命周期的管理,形成面向大规模网络的分布式密码设备管理系统。
一种面向大规模网络的分布式密码设备管理系统及构建方法,其系统包括密码设备管理总中心及数个分级设置的密码设备管理分中心,一级密码设备管理分中心连接密码设备管理总中心,各级密码设备管理分中心依次连接;所述密码设备管理总中心包括客户端、服务器、密码设备及管理平台,在所述密码设备上安装客户端,所述管理平台搭建在服务器上,客户端与服务器建立有安全信道;所述密码设备管理分中心包括客户端、服务器、至少一台密码设备及管理平台,密码设备上安装有客户端,管理平台搭建在服务器上;所述管理平台包括密码设备中心管理模块、用户权限管理模块、设备状态管理模块及密钥管理模块。本发明设计并实现了一种面向大规模网络的分布式密码设备管理系统,采用多服务器节点的分布式管理方式,能够通过具体应用场景部署密码设备管理中心,根据需求分配用户权限,实时监控密码设备状态,实现了密钥管理,有效提高了密码设备管理效率和安全性。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而不是对本发明的实施方式的限定。本行业的技术人员应当了解,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。