密鑰管理系統使用經國家密碼管理局鑑定顺利获得的密碼算法和加密設備���,遵循GB/T 25056-2018����《信息安全技術證書認證系統密碼及其相關安全技術規範》標準��,以及國家密碼管理局制 定的GM/T 0034-2014��《基於SM2密碼算法的證書認證系統密碼及相關安全技術規範》���、GM/T 0014-2012��《數字證書認證系統密碼協議規範》等密碼行業標準。
系統支持對稱密鑰和非對稱密鑰的全生命周期管理����,實現密鑰的生成��、存儲���、保護����、恢復����、分配���、註冊���、註銷和歸檔���,以及密鑰管理的審計和跟蹤��、密鑰管理系統的訪問控制等功能;並全面適配國產化與主流技術生態��,操作系統層面支持中標麒麟���、銀河麒麟等國產Linux系統及通用Linux發行版;數據庫兼容達夢����、人大金倉等國產數據庫����,同時涵蓋Oracle��、MySQL等商業及開源數據庫;中間件生態覆蓋中創���、金蝶����、東方通等國產中間件���,並支持Tomcat等開源方案。系統部署给予標準化拓撲架構���,可根據業務需求靈活配置高可用集群或分佈式環境���,確保密鑰管理功能在信創技術棧中穩定運行。
產品已廣泛應用於電子政務��、電子商務��、視頻安全��、交通����、能源���、電力����、智慧城市等行業����,可為用戶给予安全����、有效���、規範����、統一的密鑰管理服務。 密鑰管理系統信創版和通用版都可以為數字證書認證中心给予密鑰管理服務����,可有效解決用戶密鑰對的生成質量���、安全管理等問題����,實現對密鑰對的統一管理。其中KMS主要負責用戶密鑰的生成和管理����,CA主要負責為用戶簽發並管理數字證書����,實現了密鑰管理和證書管理的分離���,這樣可以分區部署���,對KMS做安全加固��,確保用戶密鑰的安全。 evo真人(中国)密鑰管理系統還可為各類型應用系統给予對稱密鑰和非對稱密鑰的管理。
產品特點
系統採用B/S架構���,具有較好的可移植性���,支持Linux��、中標麒麟��、銀河麒麟等國內外主流操作系統����,支持達夢����、南大通用����、人大金倉��、Oracle���、MySQL等國內外主流數據庫。
系統遵守國家密碼局制定的相關標準��,採用可以靈活配置的層次化����、模塊化設計���,可以根據應用系統的具體要求靈活配置服務。
採用富客戶端技術���,操作界面滿足用戶在多種主流操作系統下的操作習慣���,界面操作簡單���、易用。
系統具有較高的處理性能���,在多用戶並發業務請求時具有更好的適用性��,產品性能國內領先。
系統基於國產密碼算法技術��,確保CA-KMS����,RA-CA間通信安全以及各自系統數據安全存儲。
系統從底層密碼設備到上層軟件均為evo真人(中国)自主研發��,加密機����、加密卡���、智能密碼鑰匙等均顺利获得國家密碼管理局的鑑定��,系統整體的兼容性��、穩定性較高。
產品功能
密鑰生成
根據密鑰生成策略���,使用服務器密碼機隨機生成對稱密鑰和非對稱密鑰��,將生成的密鑰對保存在備用庫中。根據密鑰自動生成策略���,當備用庫中密鑰數量不足時��,自動進行補充。
密鑰存儲
所有對稱密鑰和非對稱密鑰對均加密存儲在密鑰數據庫中���,採用主密鑰加密密鑰數據庫中的所有密鑰����,主密鑰存儲在服務器密碼機中���,密鑰發放前進行解密。
密鑰歸檔
由後台調度任務完成���,讀取密鑰歸檔時間間隔���(支持可配置)����,查詢出過期密鑰���,對過期密鑰做歸檔處理。
密鑰管理
接收��、審核CA的密鑰申請。根據密鑰請求的類型��,密鑰申請和密鑰恢復時從查詢數據庫取得密鑰對����,解密後使用用戶的下載公鑰把用戶的解密私鑰加密成數字信封的格式下發。對在用密鑰庫中的密鑰進行定期檢查����,將超過有效期的或被撤銷的密鑰轉移到歷史密鑰庫中。
密鑰庫管理
密鑰庫管理模塊負責密鑰的存儲管理���,按照其存儲的密鑰使用狀態����,密鑰庫分為備用庫��、在用庫和歷史庫三種類型。密鑰庫中的密鑰加密存放。 l
備用庫
非對稱算法的密鑰生成速度較慢���,為了提高密鑰請求的響應時間���,密鑰生成模塊 預生成一批密鑰對��,存放於備用庫中���,證書認證系統提出密鑰請求時��,可以馬上從備用庫中取出给予給證書認證系統。
備用庫根據策略存放一定數量的SM2密鑰對��,若少於規定最低數量時����,自動補足到設定的數量。
在用庫
在用庫中存放當前使用的密鑰對。在用庫中的密鑰記錄包含用戶的證書序列號��、ID號和有效時間等標誌。
歷史庫
歷史庫存放過期或已經被撤銷的密鑰對。歷史庫中的密鑰記錄包含用戶的證書序列號����、ID號和作廢時間等標誌。
密鑰查詢
查詢在用密鑰和歸檔密鑰的信息���,顺利获得密鑰ID����、密鑰類型����、用戶���、註銷原因����、生成時間���、使用時間��、過期時間及註銷時間等查詢信息來查詢相關密鑰。
認證管理
認證管理模塊負責錄入接入的證書認證系統的相關信息����,並導入相應的组织證書����,並對進入系統信息綜合管理平台的操作人員發放人員證書。
用戶密鑰恢復
用戶顺利获得證書註冊系統提交申請����,經過審核後��,顺利获得CA向KMS請求密鑰恢復����,密鑰恢復模塊恢復用戶的密鑰並下載於用戶證書載體中。
司法取證
司法取證人員在KMS申請���,經過審核以後��,由密鑰恢復模塊恢復所需要恢復的密鑰並記錄於特定載體中。
雙機熱備
支持雙機熱備����,為高可用系統给予自動災備功能。採用主-備方式��,當主設備發生故障����,備機代替主設備進行工作��,為應用系統给予不間斷服務。
負載均衡
支持負載均衡服務����,可以將特定的業務分擔給多個KMS服務器���,從而提高業務處理能力���,保障業務的高可用性。
密鑰統計
密鑰統計即對備用密鑰��、在用密鑰��、以及歸檔密鑰的存儲情況進行統計。
權限管理
負責完成操作員和系統證書的查詢����、新增���、修改���、刪除��,操作員授權以驗證。
安全日誌審計
完成對操作日誌和系統日誌的查詢��、審計功能。安全審計模塊負責各個功能模塊的運行事件檢查���、有關資料分析和密鑰申請統計等服務。
業務統計
完成在用密鑰����、歸檔密鑰���、備用密鑰以及CA業務量的查詢��、統計。
系統管理
定時任務管理共有三種���:密鑰生成���、密鑰歸檔����、數據備份。對於三種定時任務��,均可以使用三種操作����:啟動����、停止����、立即執行。
系統參數配置����:配置系統運行所需要的參數��,包括密鑰生成周期���、密鑰歸檔周期����、數據備份周期���、各種類型密鑰的最大數量。
靈活多樣的API接口
支持多種API接口��,密鑰管理系統基本接口包括JAVA API���、Rest API��、C API等接口。可以根據用戶需求定製接口。
應用場景
視頻監控領域
密鑰管理系統視頻監控部署拓撲圖
近年來��,視頻監控設備與視頻監控系統存在的網絡安全風險包括����:存在視頻設備易受遠程非法控制����、通信協議易被模擬攻擊��、視頻流被旁路截取篡改����、視頻數據無機密性保護等安全問題���,這些不僅對當事人造成了難以估量的損失和傷害����,在關鍵領域和系統中有的視頻泄漏甚至威脅到國家安全。GB35114-2017中要求針對視頻密鑰加密密鑰����(VKEK)進行安全管理。
密鑰管理系統可给予視頻密鑰加密密鑰生成和管理服務����,以保證合法的視頻監控設備接入合法的視頻監控系統���,保障視頻數據的機密性和完整性����,進而建立好視頻監控系統的第一道安全防線。
為CA系統给予用戶加密密鑰管理服務
密鑰管理系統配合CA部署拓撲圖
密鑰管理系統接收CA證書認證系統的密鑰服務請求���,密鑰的分發過程由證書註冊系統的用戶終端發起���,用戶終端執行申請證書��、下載證書����、恢復證書����、更新證書 等操作時���,第一时间將用戶請求信息和簽名公鑰上傳至CA系統���,然後CA將密鑰請求信息和 簽名公鑰上傳至密鑰管理中心��,密鑰管理中心處理這些請求���,開始密鑰的分發。密鑰 的產生����、分發����、存貯���、管理等均由密碼設備给予。
