CN206364833U - 一种基于gdoi协议下大规模网络密钥管理系统 - Google Patents
一种基于gdoi协议下大规模网络密钥管理系统 Download PDFInfo
- Publication number
- CN206364833U CN206364833U CN201620557305.7U CN201620557305U CN206364833U CN 206364833 U CN206364833 U CN 206364833U CN 201620557305 U CN201620557305 U CN 201620557305U CN 206364833 U CN206364833 U CN 206364833U
- Authority
- CN
- China
- Prior art keywords
- key
- key management
- unit
- module
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本实用新型提供了一种基于GDOI协议下大规模网络密钥管理系统,所述管理系统包括密钥管理中心和密钥管理控制终端,所述密钥管理中心连接密钥管理控制终端,本实用新型基于GDOI协议提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP提供了可安全通信。
Description
技术领域
本实用新型属于网络安全技术领域,具体涉及一种基于GDOI协议下大规模网络密钥管理系统。
背景技术
全球互联网已经在人们的工作生活中不可或缺,但是网络的信息安全威胁却在逐年加剧。2013年网络安全领域著名的“棱镜门”事件中,现有的以交换机、路由器为核心的网络构架非常易于被监听。大量信息通过交换机和路由器泄漏,为所有网络使用者敲响了一个警钟。对于全球范围的大规模企业或政府部门的互联网络,其往往采用网络拓扑结构。整个网络分为三层,其中集团环网平台由若干个数据中心组成,数据中心之间由多个10G网络组成环网,为全集团提供应用业务访问,数据汇总等服务;区域中心平台,由若干个区域中心组成,区域中心根据地域汇总各地区公司的数据,并提供通向集团环网的数据通道;地区公司平台,由各地地区公司局域网或城域网组成,承载各地公司的基础应用的网络接入。为了便于实现上述网络中各对象间的相互寻址和数据交换,现有标准的TCP/IP协议在信道上采取明文传输的方式,大量的数据在没有任何安全保护的情况下被传输;网络的路由选择机制使不同地域、国家之间在网络虚拟空间没有“国门”,传输数据可以被任意的截取、重组,并还原出原始的数据信息导致数据信息泄漏。更加危险的是,现在国内使用的大多数交换机和路由器都是国外品牌,即使国内品牌也多使用国外核心芯片设计完成,造成国内传输网络数据可能被国外机构监听。因此,为保证网络内信息的安全传递,在系统互联互通中,需要使用大量自主研发的网络交换设备、数据加密设备、密钥管理设备、安全管理设备等。同时,互联网络中各种分布式计算、语音、视频等业务需要随时随地的在各分支机构间运行,传统意义上的Hub-Spoke、点对点的IPSec隧道解决方案不能满足用户的需求。GDOI(Group Domain ofInterpretation)协议提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP安全通信提供了可能。为此,开发GDOI协议下的大规模网络密钥管理中心具有重要的理论与实际意义。
实用新型内容
为了解决上述内容,本实用新型提供一种基于GDOI协议下大规模网络密钥管理系统,所述管理系统包括密钥管理中心和密钥管理控制终端,所述密钥管理中心连接密钥管理控制终端所述密钥管理中心包括设备管理模块、算法处理模块、密钥管理模块、通信处理模块、本地状态监控模块和集成管理模块;
进一步地,所述管理系统包括密钥管理中心和密钥管理控制终端,所述密钥管理中心连接密钥管理控制终端所述密钥管理中心包括设备管理模块、算法处理模块、密钥管理模块、通信处理模块、本地状态监控模块和集成管理模块;
进一步地,所述设备管理模块包括远程状态查询及监控单元、组策略处理单元和身份钥匙管理单元,所述身份钥匙管理单元包括注密钥匙和认证钥匙;
进一步地,所述密钥管理模块包括噪声码处理单元、本地关键数据存储保护单元、会话加密密钥(SEK)管理单元、组策略密钥加密密钥(KEK)管理单元和组策略传输加密工作密钥(TEK)管理单元;
进一步地,所述通信处理模块包括安管通信接口单元、GDOI协议处理单元和组播通信处理单元;
进一步地,所述管理模块包括密管中心管理单元和日志维护单元;
进一步地,所述密钥管理控制终端包括身份卡信息输入模块和公钥分发模块,所述密钥管理控制终端为密钥管理控制台;
本实用新型基于GDOI协议提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP提供了可安全通信。
附图说明
图1为本实用新型所述管理系统的硬件组成结构图。
具体实施方式
为了使本实用新型的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本实用新型进行进一步详细描述。应当理解,此处所描述的具体实施例仅仅用于解释本实用新型,并不用于限定本实用新型。相反,本实用新型涵盖任何由权利要求定义的在本实用新型的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本实用新型有更好的了解,在下文对本实用新型的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本实用新型。
下面结合附图和具体实施例对本实用新型作进一步说明,但不作为对本实用新型的限定。下面为本实用新型的举出最佳实施例:
如图1所示,本实用新型提供一种基于GDOI协议下大规模网络密钥管理系统,所述管理系统包括密钥管理中心和密钥管理控制终端,所述密钥管理中心为2U高度的服务器设备,所述服务器设备包括X86架构主板、专用PCI-E密码卡、存储组件、网卡、身份卡驱动器、身份卡读写器和电源,所述密钥管理中心设置在X86架构主板上,并在该主板上配置有Usb-KEY,用于系统开机时的本机身份认证、数据存储的加密保护、以及全网密码设备的身份钥匙管理,所述密钥管理中心子连接密钥管理控制终端,所述密钥管理控制终端用于全网所用密码机身份卡的登记和离线状态下的密钥管理中心的身份公钥分发。
所述密钥管理中心包括设备管理模块、算法处理模块、密钥管理模块、通信处理模块、本地状态监控模块和管理模块。
所述设备管理模块用于完成全网密码设备的的管理、状态监控、组密码策略的维护工作,实现全网身份钥匙的管理,所述设备管理模块包括远程状态查询及监控单元、组策略处理单元、身份钥匙管理单元。
所述远程状态查询及监控单元用于收集并监控密码设备的运行状态,如有异常及时向设备管理模块汇报,所述设备管理模块对异常状态的密码设备进行维护和管理。所述组策略处理单元用于实现组策略信息的维护,支持对组策略的密码设备成员进行增加和删除操作,全网支持的最多组策略条目不超过10000条,每个组策略支持的成员不超过1000个。所述身份钥匙管理单元包括注密钥匙和认证钥匙,所述注密钥匙用于实现密码设备的关键参数的初装注入,所述认证钥匙用于实现密码设备启动时的本地身份认证功能。
所述算法处理模块通过SM2、SM3和SM4算法处理,所述算法处理模块通过SM2、SM3和SM4算法对密码设备进行密钥信息计算,支持同时最多200个密码设备的注册认证。
所述密钥管理模块包括噪声码处理单元、本地关键数据存储保护单元、会话加密密钥(SEK)管理单元、组策略密钥加密密钥(KEK)管理单元和组策略传输加密工作密钥(TEK)管理单元,所述噪声码处理单元用以获取物理噪声源的噪声数据,对获取的噪声数据进行随机性检测,保证现制密钥的随机性。所述本地关键数据存储保护单元通过身份钥匙管理单元的认证钥匙实现本地的身份认证功能,获取存储保护密钥,实现本地敏感信息的存储保护。所述会话加密密钥(SEK)管理单元通过与密码设备进行IKE交换,实现与全网密码设备之间SEK密钥的维护与管理,完成对KEK数据的传输保护。所述组策略密钥加密密钥(KEK)管理单元根据组策略状态维护全网KEK密钥的更新和管理,实现对TEK数据的传输保护。所述组策略传输加密工作密钥(TEK)管理单元根据组策略状态和密钥更新周期维护TEK密钥数据的管理,实现对组策略数据的传输保护。
所述算法处理模块连接密钥管理模块,通过SM2、SM3及SM4算法,实现本地关键数据的存储保护,全网会话加密密钥、组策略密钥加密密钥及组策略传输加密工作密钥的维护和管理。
所述通信处理模块包括安管通信接口单元、GDOI协议处理单元和组播通信处理单元,所述通信处理模块用以实现所述密钥管理模块与密钥管理控制终端的通信连接、所述设备管理模块与密钥管理控制终端的通信连接以及密钥管理模块与所述设备管理模块的通信连接,所述通信处理模块对外统一提供GDOI协议接口,密钥的分发采用GDOI协议实施。所述安管通信接口单元用于实现密钥管理模块与设备管理模块的通信协议解析与处理、组策略信息的收集、设备管理模块命令解析以及信息上报。所述GDOI协议处理单元用于实现密钥管理控制终端与密钥管理之间的通信连接,并根据GDOI协议完成对IKE SA,KEK SA和TEK SA的建立和维护。所述组播通信处理单元用以实现设备管理模块和密钥管理控制终端的通信连接,对TEK密钥进行组播分发。
所述本地状态监控模块用于收集各单元的运行状态,检查关键数据的完整性,异常状态触发报警。
所述管理模块包括密管中心管理单元和日志维护单元,所述密管中心管理单元基于WEB方式的管理维护功能,对密钥管理中心进行参数配置,运行管理,所述日志维护单元用于收集密钥管理中心中运行的各类操作信息、状态信息、维护信息,并形成日志记录,便于检索和查询。
所述密钥管理控制终端包括身份卡信息输入模块和公钥分发模块,所述密钥管理控制终端为密钥管理控制台。
以上所述的实施例,只是本实用新型较优选的具体实施方式的一种,本领域的技术人员在本实用新型技术方案范围内进行的通常变化和替换都应包含在本实用新型的保护范围内。
Claims (6)
1.一种基于GDOI协议下大规模网络密钥管理系统,所述管理系统包括密钥管理中心和密钥管理控制终端,所述密钥管理中心连接密钥管理控制终端所述密钥管理中心包括设备管理模块、算法处理模块、密钥管理模块、通信处理模块、本地状态监控模块和集成管理模块,所述密钥管理中心为2U高度的服务器设备,所述服务器设备包括X86架构主板、专用PCI-E密码卡、存储组件、网卡、身份卡驱动器、身份卡读写器和电源,所述密钥管理中心设置在X86架构主板上。
2.根据权利要求1所述的管理系统,其特征在于,所述设备管理模块包括远程状态查询及监控单元、组策略处理单元和身份钥匙管理单元,所述身份钥匙管理单元包括注密钥匙和认证钥匙。
3.根据权利要求2所述的管理系统,其特征在于,所述密钥管理模块包括噪声码处理单元、本地关键数据存储保护单元、会话加密密钥(SEK)管理单元、组策略密钥加密密钥(KEK)管理单元和组策略传输加密工作密钥(TEK)管理单元。
4.根据权利要求3所述的管理系统,其特征在于,所述通信处理模块包括安管通信接口单元、GDOI协议处理单元和组播通信处理单元。
5.根据权利要求4所述的管理系统,其特征在于,所述管理模块包括密管中心管理单元和日志维护单元。
6.根据权利要求5所述的管理系统,其特征在于,所述密钥管理控制终端包括身份卡信息输入模块和公钥分发模块,所述密钥管理控制终端为密钥管理控制台。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201620557305.7U CN206364833U (zh) | 2016-06-10 | 2016-06-10 | 一种基于gdoi协议下大规模网络密钥管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201620557305.7U CN206364833U (zh) | 2016-06-10 | 2016-06-10 | 一种基于gdoi协议下大规模网络密钥管理系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN206364833U true CN206364833U (zh) | 2017-07-28 |
Family
ID=59368088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201620557305.7U Active CN206364833U (zh) | 2016-06-10 | 2016-06-10 | 一种基于gdoi协议下大规模网络密钥管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN206364833U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111815811A (zh) * | 2020-06-22 | 2020-10-23 | 北京智辉空间科技有限责任公司 | 一种电子锁安全系统 |
-
2016
- 2016-06-10 CN CN201620557305.7U patent/CN206364833U/zh active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111815811A (zh) * | 2020-06-22 | 2020-10-23 | 北京智辉空间科技有限责任公司 | 一种电子锁安全系统 |
| CN111815811B (zh) * | 2020-06-22 | 2022-09-06 | 合肥智辉空间科技有限责任公司 | 一种电子锁安全系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Luo et al. | Privacyprotector: Privacy-protected patient data collection in IoT-based healthcare systems | |
| CN105184935B (zh) | 一种可微信分享密码的蓝牙智能锁系统 | |
| CN106330868A (zh) | 一种高速网络加密存贮密钥管理系统及方法 | |
| US8583943B2 (en) | Method and system for providing data field encryption and storage | |
| US20070055893A1 (en) | Method and system for providing data field encryption and storage | |
| Chen et al. | An infrastructure framework for privacy protection of community medical internet of things: Transmission protection, storage protection and access control | |
| CN102111349A (zh) | 安全认证网关 | |
| CN101094056A (zh) | 无线工业控制网络安全系统及安全策略实现方法 | |
| CN107197041A (zh) | 一种安全云计算系统 | |
| CN103560911A (zh) | 一种金融自助设备主动预防维修维护的方法及系统 | |
| CN107517221A (zh) | 一种无中心的安全可信审计系统 | |
| CN107920089A (zh) | 一种智能网荷互动终端信息安全防护认证加密方法 | |
| US8401183B2 (en) | Method and system for keying and securely storing data | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
| CN105939353B (zh) | 一种基于gdoi协议下安全管理及信息反馈系统 | |
| CN104618317A (zh) | 一种基于信任的物联网数据安全系统 | |
| CN112989320B (zh) | 一种用于密码设备的用户状态管理系统及方法 | |
| CN206364833U (zh) | 一种基于gdoi协议下大规模网络密钥管理系统 | |
| CN105939354A (zh) | 一种基于gdoi协议下大规模网络密钥管理系统 | |
| CN206364832U (zh) | 一种基于gdoi协议下安全管理及信息反馈系统 | |
| KR100498747B1 (ko) | 사내망의 통합 보안 시스템 | |
| CN109194650A (zh) | 基于文件远距离加密传输系统的加密传输方法 | |
| CN107995086A (zh) | 一种基于vpdn和ipsec的智能制造物联中业务数据加密传输的方法 | |
| CN114422189A (zh) | 一种基于区块链技术的园区安防管理系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of utility model: Large-scale network key management system based on GDOI protocol Effective date of registration: 20190610 Granted publication date: 20170728 Pledgee: Haidian Beijing science and technology enterprise financing Company limited by guarantee Pledgor: Beijing shield Mdt InfoTech Ltd Registration number: 2019990000533 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20200610 Granted publication date: 20170728 Pledgee: Haidian Beijing science and technology enterprise financing Company limited by guarantee Pledgor: BEIJING SHUDUN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: 2019990000533 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of utility model: Large-scale network key management system based on GDOI protocol Effective date of registration: 20200612 Granted publication date: 20170728 Pledgee: Haidian Beijing science and technology enterprise financing Company limited by guarantee Pledgor: BEIJING SHUDUN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: Y2020990000603 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20210616 Granted publication date: 20170728 Pledgee: Haidian Beijing science and technology enterprise financing Company limited by guarantee Pledgor: BEIJING SHUDUN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: Y2020990000603 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |