密钥管理系统使用经国家密码管理局鉴定通过的密码算法和加密设备,遵循GB/T 25056-2018《信息安全技术证书认证系统密码及其相关安全技术规范》标准,以及国家密码管理局制 定的GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及相关安全技术规范》、GM/T 0014-2012《数字证书认证系统密码协议规范》等密码行业标准。
系统支持对称密钥和非对称密钥的全生命周期管理,实现密钥的生成、存储、保护、恢复、分配、注册、注销和归档,以及密钥管理的审计和跟踪、密钥管理系统的访问控制等功能;并全面适配国产化与主流技术生态,操作系统层面支持中标麒麟、银河麒麟等国产Linux系统及通用Linux发行版;数据库兼容达梦、人大金仓等国产数据库,同时涵盖Oracle、MySQL等商业及开源数据库;中间件生态覆盖中创、金蝶、东方通等国产中间件,并支持Tomcat等开源方案。系统部署提供标准化拓扑架构,可根据业务需求灵活配置高可用集群或分布式环境,确保密钥管理功能在信创技术栈中稳定运行。
产品已广泛应用于电子政务、电子商务、视频安全、交通、能源、电力、智慧城市等行业,可为用户提供安全、有效、规范、统一的密钥管理服务。 密钥管理系统信创版和通用版都可以为数字证书认证中心提供密钥管理服务,可有效解决用户密钥对的生成质量、安全管理等问题,实现对密钥对的统一管理。其中KMS主要负责用户密钥的生成和管理,CA主要负责为用户签发并管理数字证书,实现了密钥管理和证书管理的分离,这样可以分区部署,对KMS做安全加固,确保用户密钥的安全。 渔翁密钥管理系统还可为各类型应用系统提供对称密钥和非对称密钥的管理。
产品特点
系统采用B/S架构,具有较好的可移植性,支持Linux、中标麒麟、银河麒麟等国内外主流操作系统,支持达梦、南大通用、人大金仓、Oracle、MySQL等国内外主流数据库。
系统遵守国家密码局制定的相关标准,采用可以灵活配置的层次化、模块化设计,可以根据应用系统的具体要求灵活配置服务。
采用富客户端技术,操作界面满足用户在多种主流操作系统下的操作习惯,界面操作简单、易用。
系统具有较高的处理性能,在多用户并发业务请求时具有更好的适用性,产品性能国内领先。
系统基于国产密码算法技术,确保CA-KMS,RA-CA间通信安全以及各自系统数据安全存储。
系统从底层密码设备到上层软件均为渔翁自主研发,加密机、加密卡、智能密码钥匙等均通过国家密码管理局的鉴定,系统整体的兼容性、稳定性较高。
产品功能
密钥生成
根据密钥生成策略,使用服务器密码机随机生成对称密钥和非对称密钥,将生成的密钥对保存在备用库中。根据密钥自动生成策略,当备用库中密钥数量不足时,自动进行补充。
密钥存储
所有对称密钥和非对称密钥对均加密存储在密钥数据库中,采用主密钥加密密钥数据库中的所有密钥,主密钥存储在服务器密码机中,密钥发放前进行解密。
密钥归档
由后台调度任务完成,读取密钥归档时间间隔(支持可配置),查询出过期密钥,对过期密钥做归档处理。
密钥管理
接收、审核CA的密钥申请。根据密钥请求的类型,密钥申请和密钥恢复时从查询数据库获得密钥对,解密后使用用户的下载公钥把用户的解密私钥加密成数字信封的格式下发。对在用密钥库中的密钥进行定期检查,将超过有效期的或被撤销的密钥转移到历史密钥库中。
密钥库管理
密钥库管理模块负责密钥的存储管理,按照其存储的密钥使用状态,密钥库分为备用库、在用库和历史库三种类型。密钥库中的密钥加密存放。 l
备用库
非对称算法的密钥生成速度较慢,为了提高密钥请求的响应时间,密钥生成模块 预生成一批密钥对,存放于备用库中,证书认证系统提出密钥请求时,可以马上从备用库中取出提供给证书认证系统。
备用库根据策略存放一定数量的SM2密钥对,若少于规定最低数量时,自动补足到设定的数量。
在用库
在用库中存放当前使用的密钥对。在用库中的密钥记录包含用户的证书序列号、ID号和有效时间等标志。
历史库
历史库存放过期或已经被撤销的密钥对。历史库中的密钥记录包含用户的证书序列号、ID号和作废时间等标志。
密钥查询
查询在用密钥和归档密钥的信息,通过密钥ID、密钥类型、用户、注销原因、生成时间、使用时间、过期时间及注销时间等查询信息来查询相关密钥。
认证管理
认证管理模块负责录入接入的证书认证系统的相关信息,并导入相应的机构证书,并对进入系统信息综合管理平台的操作人员发放人员证书。
用户密钥恢复
用户通过证书注册系统提交申请,经过审核后,通过CA向KMS请求密钥恢复,密钥恢复模块恢复用户的密钥并下载于用户证书载体中。
司法取证
司法取证人员在KMS申请,经过审核以后,由密钥恢复模块恢复所需要恢复的密钥并记录于特定载体中。
双机热备
支持双机热备,为高可用系统提供自动灾备功能。采用主-备方式,当主设备发生故障,备机代替主设备进行工作,为应用系统提供不间断服务。
负载均衡
支持负载均衡服务,可以将特定的业务分担给多个KMS服务器,从而提高业务处理能力,保障业务的高可用性。
密钥统计
密钥统计即对备用密钥、在用密钥、以及归档密钥的存储情况进行统计。
权限管理
负责完成操作员和系统证书的查询、新增、修改、删除,操作员授权以验证。
安全日志审计
完成对操作日志和系统日志的查询、审计功能。安全审计模块负责各个功能模块的运行事件检查、有关资料分析和密钥申请统计等服务。
业务统计
完成在用密钥、归档密钥、备用密钥以及CA业务量的查询、统计。
系统管理
定时任务管理共有三种:密钥生成、密钥归档、数据备份。对于三种定时任务,均可以使用三种操作:启动、停止、立即执行。
系统参数配置:配置系统运行所需要的参数,包括密钥生成周期、密钥归档周期、数据备份周期、各种类型密钥的最大数量。
灵活多样的API接口
支持多种API接口,密钥管理系统基本接口包括JAVA API、Rest API、C API等接口。可以根据用户需求定制接口。
应用场景
视频监控领域
密钥管理系统视频监控部署拓扑图
近年来,视频监控设备与视频监控系统存在的网络安全风险包括:存在视频设备易受远程非法控制、通信协议易被模拟攻击、视频流被旁路截取篡改、视频数据无机密性保护等安全问题,这些不仅对当事人造成了难以估量的损失和伤害,在关键领域和系统中有的视频泄漏甚至威胁到国家安全。GB35114-2017中要求针对视频密钥加密密钥(VKEK)进行安全管理。
密钥管理系统可提供视频密钥加密密钥生成和管理服务,以保证合法的视频监控设备接入合法的视频监控系统,保障视频数据的机密性和完整性,进而建立好视频监控系统的第一道安全防线。
为CA系统提供用户加密密钥管理服务
密钥管理系统配合CA部署拓扑图
密钥管理系统接收CA证书认证系统的密钥服务请求,密钥的分发过程由证书注册系统的用户终端发起,用户终端执行申请证书、下载证书、恢复证书、更新证书 等操作时,首先将用户请求信息和签名公钥上传至CA系统,然后CA将密钥请求信息和 签名公钥上传至密钥管理中心,密钥管理中心处理这些请求,开始密钥的分发。密钥 的产生、分发、存贮、管理等均由密码设备提供。
