当前,金融业大规模采用密码技术为关键信息资产提供保密性、完整性和可用性的保护。但是很多金融系统是在普通的软件应用中实现密钥管理,无法提供足够的安全机制,或是已建设的金融密钥管理中心只支持国际算法,缺乏国产密码算法的支持。海泰方圆针对金融领域业务特点,设计研发了密钥集中管理平台(HT-KMP),为金融系统提供密钥全生命周期的安全管理。
密钥集中管理平台主要是针对金融等领域提供的一套对称密钥体系的集中密钥管理系统,提供密钥的生成、分发、更新、存储、注销和使用的全生命周期管理,实现了密钥、密钥使用策略和密码设备的集中管理,为不同的业务系统提供统一和高性能的密钥服务。
密钥集中管理平台从逻辑上分为三层:平台接口层、平台服务层和平台设备层。平台接口层主要为业务系统提供各种统一的开发接口;平台服务层是整个系统的核心层,负责在平台接口层和平台设备层之间搭建一个信息处理通道;平台设备层集中管理平台所调用的所有密码设备,并且动态调用密码设备进行密钥的管理操作。
图1 密钥集中管理平台逻辑结构
密钥集中管理平台采用三级密钥体系对密钥进行管理,包括本地主密钥(LMK)、传输主密钥(ZMK、TMK等)和工作密钥(ZPK、ZAK、TPK、TAK等)。其中本地主密钥用于加密密钥交换密钥和工作密钥作本地存储;传输主密钥也成为密钥加密密钥(KEK),用于加密在网络中需要传递的工作密钥,从而实现数据密钥的自动分配,不同的两个通讯网点使用不同的密钥加密密钥(,从而实现密钥的分工管理;工作密钥用于应用系统与终端(机构)之间的PIN转换、MAC校验、报文加解密等。
图2 密钥集中管理平台的三级密钥体系管理
密钥集中管理平台对外提供的接口功能主要包括:传输主密钥的生成和更新、工作密钥的生成和更新、密钥的重置和注销、PIN转换、MAC生成和校验等。
密钥集中管理平台具有以下特点:
·实现密钥的生成、分发、更新、存储、注销和使用的全生命周期的管理。
·使用三级对称密钥体系,包括本地主密钥、传输主密钥和工作密钥。
·提供简单易用的密钥服务接口。
·实现密钥以及密钥使用策略的集中管理和密钥的安全存储。
·实现了密码设备的集中管理。
·支持国家密码管理局公布的SM3和SM4算法。
海泰方圆自主研发的密钥集中管理平台不但实现了密钥以及密钥使用策略的集中管理,还实现了对密码设备的集中管理。主要包括密码设备的动态添加和删除;对密码设备的调用进行负载均衡;密码设备运行状态以及压力情况的实时监控。在支持国际通用密码算法的基础上,全面支持国家密码管理局公布的SM3和SM4等国产密码算法,为银行信息安全建设提供必不可少的安全保障体系。
标签: UKEY管理, USBKEY管理, 密钥, 密钥管理, 密钥集中管理, 密钥集中管理平台, 海泰方圆