专利名称:非对称密钥管理系统的制作方法
技术领域:
本发明涉及一种网络安全技术,特别涉及一种非对称密钥管理系统。
背景技术:
随着计算机技术的不断进步,计算机网络已经被广泛地应用到日常工作、学习、生 活的各个领域。信息技术的应用提高了工作的效率,最终促进了整个社会的发展。但信息 安全的保障问题却在阻碍电子商务、电子政务等网络化应用的广泛开展。所以,要采用有效 的措施来保障信息化的完全发展。数字证书是有效解决信息安全的技术手段,通过建立数字证书认证中心(CA中 心),发放数字证书,广泛开展数字证书的安全应用,CA认证体系,可以实现保障信息化安 全建设的需求。而数字证书认证中心的建设中,密钥管理作为CA认证体系中重要的组成部 分,为数字证书认证中心提供密钥服务,是不可缺少的部分,需要着重进行建设。为此,CA体系中的密钥管理体系——密钥管理中心,是CA体系中重点建设的项 目。密钥管理中心作为CA体系中的核心部份,将负责CA体系中加密密钥的整个生命周期 的管理,承担CA体系的信任体系基础的职能。在国家密码管理机构的认可和推动下,双证书机制是当前中国PKI体系建设的主 流模式。使用加密证书进行密钥的交换和保护,使用签名证书进行身份认证,既使PKI技术 在应用中发挥其基于非对称密钥所带来的优势,又满足了国家对PKI应用进行审计监管的 需要,是国家密码管理机构对PKI证书应用的基本要求。
发明内容
本发明为了解决现有网络通信所存在的安全问题,并符合符合中国PKI机制和密 码产品管理政策,提供一种非对称密钥管理系统。该系统符合中国PKI机制和密码产品管 理政策,并解决了密钥管理的安全性要求高、建设复杂问题。为达到上述目的,本发明采用如下的技术方案非对称密钥管理系统,该系统包括客户端模块和服务器端模块,所述服务器端模 块包括服务模块、管理模块、加密机引擎模块以及密钥库库管理模块,所述服务模块包括密 钥分发模块、密钥恢复模块、密钥销毁模块、密钥生成模块、密钥保护模块、密钥归档模块以 及负责鉴别接入的CA系统的CA认证模块;所述管理模块包括认证与权限验证模块、配置管 理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块;所述客 户端模块通过认证与权限验证模块控制配置管理模块、密钥管理模块、密钥查询统计模块、 审计模块、报表管理模块、CA控制模块实现对系统运行的控制;所述服务模块通过CA认证 模块鉴别接入的CA系统,并通过密钥分发模块、密钥恢复模块以及密钥销毁模块对其提供 相应的服务;所述服务模块还通过密钥生成模块、密钥保护模块以及密钥归档模块调用加 密机引擎模块以实现相应的产生密钥对、密钥保护、密钥归档功能。所述密钥库库管理模块负责密钥的存储管理,按照其存储的密钥的状态,密钥库分为备用密钥库、在用密钥库和历史密钥库三种类型。所述密钥库中的密钥数据加密存放。所述加密机引擎模块为多种类型的加密机在高层提供统一的调用接口,实现系统 可通过统一的参数来初始化某一种类型的加密机,并调用其统一的接口实现对称、非对称 密钥的产生,对称、非对称的加解密,签名验证等功能。所述CA认证模块鉴别接入的CA系统,经过鉴别,CA认证模块根据不同的CA系统 的密钥请求向密钥生成模块产生不同的密钥生成服务。所述配置管理模块实现对系统的动态参数配置,可以对敏感数据进行加密存储, 该模块可以控制日志输出、服务端口、加密机配置、数据库配置等信息。所述密钥管理模块负责接收、审核CA系统的密钥申请,并调用备用密钥库中的密 钥对,向CA系统发送密钥对;对调用的备用密钥库中的密钥对进行处理,并将其转移到在 用密钥库;对在用密钥库中的密钥进行定期检查。所述密钥查询统计模块为能够提供查询各CA系统对密钥的使用情况,单个密钥 的变动历史,以及密钥申请统计表、密钥使用统计表等多个统计报表的功能模块。所述CA控制模块中提供了 CA系统的控制功能。所述审计模块包括管理操作审计模块和密钥服务审计模块。所述报表管理模块为系统提供各种报表。根据上述技术方案得到的本发明符合中国PKI机制和密码产品管理政策,其能够 解决密钥管理的安全性要求高、建设复杂问题,对中国国内密钥安全类产品管理的规范性 和双证书应用的快速增长起到积极的推动作用。本发明完全符合国密局标准,现有符合国密局CA接口设计标准的认证系统能够 轻松接入,无须对接口进行任何改造,只需要在密钥管理中心对其进行一次授权操作即可。本发明采用J2EE架构,结构清晰维护方便,可轻松实现跨平台运行;安装部署方 便快捷,经过培训的实施人员对系统的安装部署可以在十分钟内完成;内嵌自行开发的高 性能可处理多并发的服务,性能和稳定性更有保证。
以下结合附图和具体实施方式
来进一步说明本发明。
图1为本发明的系统框架图。
具体实施例方式为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结 合具体图示,进一步阐述本发明。本发明提供的非对称密钥管理系统采用在线服务的方式为一个或者多个CA系统 同时提供密钥服务,通过专线保证相互之间的信息传输安全。非对称密钥管理系统实现制 定和审批密钥使用的总体策略、管理所有认证机构、签发并管理密钥,实现密钥的产生、分 发、存储、撤销、归档。整个非对称密钥管理系统基于J2EE架构,采用C/S (客户端/服务器 端)模式对各CA系统提供服务非对称密钥管理系统主要负责密钥的管理,包括密钥的产生、分发、存储、撤销、查询、归档、恢复等的管理。非对称密钥管理系统中密钥的产生采用国家密码管理局规定的主机加密服务器 (以下也简称加密机)来完成。同时,由于非对称密钥管理系统需要与CA系统进行通信,在 通信的过程中应该是安全的,因此非对称密钥管理系统采用了安全通信协议与CA系统进 行数据通信,非对称密钥管理系统与CA系统之间通过专线连接。非对称密钥管理系统要为各个CA系统保存数字证书的加密密钥,同时还将产生 的加密密钥提供给各个CA中心,满足各个CA中心签发数字证书的需要。它要实时在线的 来满足各CA中心的提取密钥对的请求。参见图1,本发明提供的非对称密钥管理系统主要分为客户端模块和服务器端模 块两部分。客户端模块运行于系统管理客户端平台,其主要功能是实现对密钥的管理,使管 理员能够进行安全登陆,保证通讯的安全性。服务器端模块主要包括服务模块和管理模块,但还包括加密机引擎模块和密钥库 库管理模块。其中密钥库库管理模块负责密钥的存储管理,按照其存储的密钥的状态,密钥库 分为备用密钥库、在用密钥库和历史密钥库(以下也简称历史库)三种类型,密钥库中的密 钥数据加密存放。加密机引擎模块为多种类型的加密机在高层提供统一的调用接口,相关的业务系 统可以通过统一的参数来初始化某一种类型的加密机,然后调用其统一的接口实现对称、 非对称密钥的产生,对称、非对称的加解密,签名验证等功能。服务器端模块中的服务模块是系统的核心,对外提供密钥分发、密钥恢复和密钥 销毁功能,内部提供密钥的生成、主密钥保护、密钥归档等服务。为此,该模块包括密钥分发模块、密钥恢复模块、密钥销毁模块、密钥生成模块、密 钥保护模块、密钥归档模块以及负责鉴别接入的CA系统的CA认证模块。这样使得服务模块 通过CA认证模块鉴别接入的CA系统,并通过密钥分发模块、密钥恢复模块以及密钥销毁模 块对其提供密钥分发、密钥恢复和密钥销毁的服务;服务模块同时还通过密钥生成模块、密 钥保护模块以及密钥归档模块调用加密机引擎模块以实现相应的产生密钥对、密钥保护、 密钥归档功能。其中CA认证模块是非对称密钥管理系统与多个CA系统的核心交互模块,非对称 密钥管理系统通过认证模块鉴别非对称密钥管理系统所服务的CA系统,经过鉴别,认证模 块根据不同的CA系统的密钥请求向密钥生成模块产生不同的密钥生成服务。服务器端模块中的管理模块提供了对整个系统的TOB方式的管理功能,可以控制 整个系统的运行。该管理模块主要包括认证与权限验证模块、配置管理模块、密钥管理模块、密钥查 询统计模块、审计模块、报表管理模块、CA控制模块;相关的管理员通过客户端模块登录该 系统,并由认证与权限验证模块对其身份和权限进行认证,并提供相应的控制权限。使得相 关的管理人员能够通过控制配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、 报表管理模块、CA控制模块实现对系统运行的控制。其中配置管理模块使用统一系统配置管理框架实现了动态的参数配置功能,可以对敏感数据进行加密存储,该模块可以控制日志输出、服务端口、加密机配置、数据库配置
^fn 息。密钥管理模块主要负责接收、审核CA系统的密钥申请;调用备用密钥库中的密钥 对;向CA系统发送密钥对;对调用的备用密钥库中的密钥对进行处理,并将其转移到在用 密钥库(以下也简称在用库);对在用密钥库中的密钥进行定期检查等。密钥查询统计模块是非对称密钥管理系统提供给非对称密钥管理系统中心的管 理人员查询各CA系统对密钥的使用情况,单个密钥的变动历史,以及密钥申请统计表、密 钥使用统计表等多个统计报表的功能模块。通过该模块功能,管理人员可以从宏观上掌握非对称密钥管理系统的使用情况, 根据查询和统计结果及时调整系统的配置策略和参数。CA控制模块中提供了 CA系统的控制功能。CA系统提供自己的身份证书给非对称密钥管理系统,非对称密钥管理系统对其身 份证书进行注册,同时设置CA系统能够使用的各种类型的密钥的数量。在非对称密钥管理 系统中,使用CA系统的身份证书来唯一确认某一个CA系统是否被信任,在非对称密钥管理 系统向CA系统提供服务前会使用保存在非对称密钥管理系统中的CA系统身份证书验证CA 系统的业务签名,验证通过后方可提供服务。另外,CA控制模块还提供了 CA系统的冻结、解冻、废止、恢复(可选)操作,用来 对已经接入的CA系统进行控制。审计模块是对非对称密钥管理系统所有的服务器与系统进行审计与分析,为非对 称密钥管理系统的管理、决策提供支撑。包括管理操作审计和密钥服务审计,操作审计的对象是各个管理员的操作,服务 审计的对象是密钥管理系统为CA提供的服务事件。报表管理模块提供了灵活的报表产生方式,能够按照需要产生各种报表如密钥库 状态报表、系统操作报表、密钥服务报表等,便于管理员迅速准确的获取各类所需信息。以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术 人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本 发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变 化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其 等效物界定。
权利要求
1.非对称密钥管理系统,该系统包括客户端模块和服务器端模块,其特征在于,所述服 务器端模块包括服务模块、管理模块、加密机引擎模块以及密钥库库管理模块,所述服务模 块包括密钥分发模块、密钥恢复模块、密钥销毁模块、密钥生成模块、密钥保护模块、密钥归 档模块以及负责鉴别接入的CA系统的CA认证模块;所述管理模块包括认证与权限验证模 块、配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模 块;所述客户端模块通过认证与权限验证模块控制配置管理模块、密钥管理模块、密钥查询 统计模块、审计模块、报表管理模块、CA控制模块实现对系统运行的控制;所述服务模块通 过CA认证模块鉴别接入的CA系统,并通过密钥分发模块、密钥恢复模块以及密钥销毁模块 对其提供相应的服务;所述服务模块还通过密钥生成模块、密钥保护模块以及密钥归档模 块调用加密机引擎模块以实现相应的产生密钥对、密钥保护、密钥归档功能。
2.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述密钥库库管理模块 负责密钥的存储管理,按照其存储的密钥的状态,密钥库分为备用密钥库、在用密钥库和历 史密钥库三种类型。
3.根据权利要求2所述的非对称密钥管理系统,其特征在于,所述密钥库中的密钥数 据加密存放。
4.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述加密机引擎模块为 多种类型的加密机在高层提供统一的调用接口,实现系统可通过统一的参数来初始化某一 种类型的加密机,并调用其统一的接口实现对称、非对称密钥的产生,对称、非对称的加解 密,签名验证等功能。
5.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述CA认证模块鉴别接 入的CA系统,经过鉴别,CA认证模块根据不同的CA系统的密钥请求向密钥生成模块产生 不同的密钥生成服务。
6.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述配置管理模块实现 对系统的动态参数配置,可以对敏感数据进行加密存储,该模块可以控制日志输出、服务端 口、加密机配置、数据库配置等信息。
7.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述密钥管理模块负责 接收、审核CA系统的密钥申请,并调用备用密钥库中的密钥对,向CA系统发送密钥对;对调 用的备用密钥库中的密钥对进行处理,并将其转移到在用密钥库;对在用密钥库中的密钥 进行定期检查。
8.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述密钥查询统计模块 为能够提供查询各CA系统对密钥的使用情况,单个密钥的变动历史,以及密钥申请统计 表、密钥使用统计表等多个统计报表的功能模块。
9.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述CA控制模块中提供 了 CA系统的控制功能。
10.根据权利要求1所述的非对称密钥管理系统,其特征在于,所述审计模块包括管理 操作审计模块和密钥服务审计模块。
全文摘要
本发明公开了非对称密钥管理系统,该系统包括客户端模块和服务器端模块,客户端模块通过认证与权限验证模块控制配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块实现对系统运行的控制;所述服务模块通过CA认证模块鉴别接入的CA系统,并通过密钥分发模块、密钥恢复模块以及密钥销毁模块对其提供相应的服务。本发明符合中国PKI机制和密码产品管理政策,并解决了密钥管理的安全性要求高、建设复杂问题。
文档编号H04L9/32GK102111264SQ20091020090
公开日2011年6月29日 申请日期2009年12月25日 优先权日2009年12月25日
发明者曾政, 杨茂江, 许俊 申请人:上海格尔软件股份有限公司