一种统一管理的密码服务支撑系统的制作方法

本发明涉及银行数据安全技术领域，具体涉及一种统一管理的密码服务支撑系统。

背景技术：

目前我国银行业务系统的数据安全现状及存在的主要问题如下：问题1，业务系统众多，各自调用加密机类型不同；问题2，各自开发api，开发重复，存在安全隐患；问题3，加密机数量多，业务关联强，设备管理分散；问题4，密钥独自管理，管理分散且存在泄密的风险。

为了切实解决上述问题，多数银行提出如下安全需求：(1)密码设备监控需求，包括密码设备的多应用系统共享、设备的热备份或负载均衡、设备的集中统一管理、设备的透明上线替换、在线设备增加、删除和故障设备自动卸载、设备健康状态的实时监控；(2)应用开发接口需求，包括统一的应用层开发接口、应用系统直接选用api、设备无关性(密钥体系、指令格式)、密钥属性无关性；(3)密钥集中管理需求，包括密钥集中管理(产生、分发、使用、存放、销毁等)、密钥管理方法一致性、安全性(将密钥使用和安全管理分离)、动态配置密钥属性；(4)多版本密钥的支持，包括对称密钥、非对称密钥。

技术实现要素：

本发明的目的是提供一种彻底解决银行业务系统数据安全问题、为银行规划和建设整体数据安全提供保障的统一管理的密码服务支撑系统。

为了达到上述目的，本发明通过以下技术方案来实现：

一种统一管理的密码服务支撑系统，包括安全服务子系统、密钥管理子系统和监控子系统，密钥管理子系统为安全服务子系统提供密钥信息，监控子系统监控安全服务子系统和密钥管理子系统；

所述安全服务子系统，从密钥库提取密钥，支持多类密码机及其他安全设备的接入，通过安全网关设置不同安全报文接入应用系统；

所述密钥管理子系统，从密钥档案和管理配置数据库提取密钥相关信息，支持密码机的接入，通过密钥管理web端连接密钥管理界面和运维界面，密钥管理界面由管理人员操作，密钥管理界面连接密钥打印终端并通过密码机实现密钥信封的打印，运维界面由it运维人员操作；

所述监控子系统，通过监控界面供it监控人员操作。

进一步地，所述安全服务子系统包括监控服务模块、服务接入模块和安全服务模块，监控服务模块向监控子系统提供密钥存储中心的各类管理、运行状态的监控信息，服务接入模块向业务系统提供服务通讯接入服务的功能，安全服务模块完成各类安全服务的处理，并可随业务场景的变化进行扩展。

进一步地，所述密钥管理子系统包括监控服务模块、配置管理模块、密钥自动更新模块、本地密钥管理服务模块、远程密钥更新服务模块、密钥同步服务模块、密钥更新模块、密钥同步请求模块和密钥部署请求模块，密钥同步请求模块包括实时同步请求模块和延迟同步请求模块；密钥管理子系统设有密钥同步服务通道、密钥部署服务通道、密钥更新服务通道和监控服务通道，密钥同步服务通道用于缓存密钥管理子系统向其它密钥管理中心发送的密钥同步请求，密钥部署服务通道用于缓存密钥管理子系统向密钥存储中心发送的密钥存储请求，密钥更新服务通道用于缓冲要更新的密钥，监控服务通道用于缓存密钥管理子系统向监控子系统发送的监控请求。

进一步地，所述监控子系统包括加密机监控模块、加密机监控代理模块和监控web应用模块；加密机监控模块通过tcp/ip协议向加密机监控代理模块和web应用模块提供服务，通知支持不通过加密机监控代理模块直接检测加密机并收集加密机实时运行数据；加密机监控代理模块监控代理负责完成加密机监控配置获取，并根据加密机监控配置实时收集加密机的运行状态数据，收集到的数据实时发送给加密机监控系统；监控web应用模块向不同角色用户提供监控子系统的配置管理、实时数据监控功能。

进一步地，所述安全服务子系统分别预留分类服务扩展插槽和服务元扩展插槽。

进一步地，所述密钥分为设备主密钥、主机类密钥、传输密钥和工作密钥，各类密钥都具有包括产生、分发、使用、更新、存储、恢复、销毁的密钥生命周期，密钥管理子系统对密钥生命周期的每个环节进行有效控制。

进一步地，所述监控子系统采用标准对接接口。

一种统一管理的密码服务支撑方法，包括如下步骤：

s1)密钥产生

人工产生或加密机随机产生密钥；

s2)密钥分发、更新与保存

密钥管理子系统通过传输密钥分发或同步到安全服务子系统，密钥管理子系统根据更新策略自动更新密钥并同步到安全服务子系统；安全服务子系统通过传输密钥分发到业务系统；密钥管理子系统和安全服务子系统的密钥库存放所有密钥；

s3)密钥使用

所有密钥集中在安全服务子系统中使用，由安全服务子系统提供安全接口api或者安全报文协议方式供业务系统调用；

s4)密钥废弃

对于已经不再使用的密钥采用废弃操作。

进一步地，密钥管理子系统和安全服务子系统设置策略对密钥进行灵活备份。

本发明与现有技术相比，具有以下优点：

本发明一种统一管理的密码服务支撑系统，将各业务系统的关键敏感信息进行集中管理，同时通过联机服务接口提供标准、统一的密码安全服务；针对不同业务系统提供密码服务时，提供一个统一的应用接口，提高安全可靠性，同时使业务系统与加密机不必直接关联，减少业务系统了解加密机制和复杂的密码机指令，降低开发难度；

通过本系统自带的密钥管理系统，实现对全行所有密钥按照密钥生命周期(密钥注册、产生、分发、启用、停用、保存、备份、废弃)为主线进行管理，并且所有涉及人工操作的步骤都必须经过审核人员的授权或审批，确保所有操作都在系统框架内按照密钥管理规范等要求进行操作；系统提供了以应用为对象的监控系统，包括监控自身的健康状态以及所使用的加密机设备，能够实时反映监控对象的状态，同时监控系统还具备监控对象的档案管理，如加密机的采购时间、维保期限、所属应用系统、相关联系人(应用系统和服务厂商)等信息，便于在运维人员需要时，及时和对方取得联系；

系统具备完善的日志功能，针对系统运行、各模块监控等提供完整的日志记录，方便管理审计和故障排查；系统设计充分考虑到自身的稳定性、安全性，具有自我维护进程，充分保障系统的健壮性；

系统可以借助双机热备软件支持ha工作方式，并自动维护两个系统之间的密钥同步、配置同步，保障业务系统的连续性，同时该系统的动态数据(配置信息、密钥)等均存放在数据库中，而用数据库直接采用成熟的共享磁盘阵列等方式，因此该系统可以直接采用集群方式部署，系统对自身使用的加密机设备采取负载均衡模式调用，在设备出现问题时，会自动切换到同组内其他可用的加密机上继续处理业务请求。

附图说明

图1是本发明的系统整体架构示意图；

图2是本发明的安全功能中心的构成示意图；

图3是本发明的基于服务元的安全功能实现层次结构设计示意图；

图4是本发明的基于安全对象模板的层次结构设计示意图；

图5是本发明的密钥生命周期流程示意图；

图6是本发明的密钥自动分发流程示意图；

图7是本发明的密钥存储中心的构成示意图；

图8是本发明的密钥管理中心的构成示意图；

图9是本发明的生成密钥/重置密钥的功能示意图；

图10是本发明的生成密钥/重置密钥的流程示意图；

图11是本发明的更新密钥的功能示意图；

图12是本发明的更新密钥的流程示意图；

图13是本发明的同步密钥的功能示意图；

图14是本发明的同步密钥的流程示意图；

图15是本发明的延迟同步密钥的流程示意图；

图16是本发明的接收同步密钥的功能示意图；

图17是本发明的接收同步密钥的流程示意图；

图18是本发明的发起密钥的功能示意图；

图19是本发明的发起密钥的流程示意图；

图20是本发明的密钥读取的功能示意图；

图21是本发明的密钥读取的流程示意图；

图22是本发明的密钥自动更新的功能示意图；

图23是本发明的密钥自动更新的流程示意图；

图24是本发明的部署密钥的功能示意图；

图25是本发明的部署密钥的流程示意图；

图26是本发明的远程打印密钥信封的功能示意图；

图27是本发明的远程打印密钥信封的流程示意图；

图28是本发明的密钥存储的功能示意图；

图29是本发明的密钥存储的流程示意图；

图30是本发明的监控子系统的构成示意图；

图31是本发明的密钥体系示意图；

图32是本发明的密钥传输保护的示意图。

具体实施方式

下面结合附图，对本发明的实施例作进一步详细的描述。

本发明一种统一管理的密码服务支撑系统，系统的各组成中心之间通过服务进行耦合，每个中心的各模块之间通过服务进行耦合，实现对全行密钥的统一管理。

如图1所示，一种统一管理的密码服务支撑系统，包括安全服务子系统、密钥管理子系统和监控子系统。图1中设有箭头连线，表示两点之间的互联关系，双向箭头线表示两点之间数据传递是双向的，单向箭头线表示两点之间数据传递是单向的，箭头的方向是数据的传递方向，从监控子系统出发的单向箭头线表示监控子系统与监控对象的数据传送线路。

1、安全服务子系统

1.1密码服务功能

面向所有业务系统(应用)，提供安全功能服务，如各类pin功能、mac功能、签名/验签功能等。安全功能中心由以下部分组成：

安全功能中心软件：完成安全功能中心的核心功能，使用的密钥从密钥存储中心取用；

密码机(hsm)：用于完成各类加密、签名、验签等涉及密钥的运算；

其它安全设备：用于完成各类专门的安全功能，例如动态口令的验证等；

安全服务规范：业务系统与安全功能中心之间的服务约定，业务系统通过该规范向安全功能中心提出服务申请，安全功能中心通过该规范，向业务系统提供各类服务。

如图2所示，安全功能中心包括如下模块：

监控服务模块：向监控中心提供密钥存储中心的各类管理、运行状态等监控信息。

服务接入模块：向业务系统(应用系统)提供服务通讯接入服务功能。

安全服务模块：完成各类安全服务的处理，包括多类安全服务模块，每一类提供不同类型的服务，安全服务模块可以随着业务场景的扩展而进行扩展。

1.2安全功能扩展设计

如图3所示，考虑到未来业务发展的要求，为快捷、可靠实现新的安全功能的开发，在如下两个层次上分别预留了扩展接口。

在分类服务插槽层，预留了分类服务扩展插槽，用于扩展全新应用场景的安全功能需求，例如扩展动态令牌安全功能需求、证书安全功能需求等。

在服务元插槽层，预留了服务元扩展插槽，用于在系统已支持的既有场景中，扩展新的安全功能需求，例如扩展支持客户密码长度、客户密码包含字母等。

1.3服务分类扩展设计

在设计上，系统将每类服务集成为一个可以独立运行、独立部署的模块。分类服务的扩展，采用横向扩展的设计思路。每个分类服务模块，都可以通过配置进行装载、拆卸，都可以独立进行升级。每个分类服务模块，功能上对其它分类服务模块完全透明，任何一个模块的装载、拆卸、升级，对其它任何一个分类服务模块都不会产生任何功能方面的影响。

1.4安全对象扩展设计

如图4所示，考虑到未来业务发展的要求，为快捷、可靠实现支持新类型的安全对象，两个层次上分别预留了扩展接口：在模板定义层，用户通过配置，可定义新类型的安全对象，例如：外部证书模板等；在模板属性层，用户可以扩展新的模板属性。扩展了模板、模板属性之后，即可以通过增加新的服务元，或升级原来的服务元的方式，使用新扩展的模板或模板属性。

1.5统一服务接口

统一各业务系统的加密接口后，更易实现加密标准化，使得应用系统能够按照安全规范来实现业务功能。应用开发商只需专注于业务逻辑的实现，不用再涉及不太擅长的安全领域，这样可以降低前期开发、后期维护、升级改造的工作量。

1.6密码机接入方案

支持多类密码机的接入，根据密码机的不同特点，采用不同的接入方式。

指令公开的密码机：支持密码机通过tcp/ip方式接入到本系统中，由本系统直接调用密码机指令，实现对密码机的负载均衡调用，并可实现动态(不停系统)对密码机的增加、卸载操作。

指令不公开的密码机：支持采用透明转发方式将请求报文直接发送到密码机中，对于当前业务未实现负载均衡调用密码机的业务，通过本系统的接入可以实现对密码机的负载均衡调用，也可以实现动态(不停系统)对密码机的增加、卸载操作，支持加密机分组，将不同加密机组应用到不同业务系统中，并且每个组中加密机实现负载均衡。

1.7系统接入方案

支持各类业务系统的接入，根据业务系统是否进行改造等特点，将采用不同的接入方式。

对于不进行任何改造的业务系统：由于特殊原因(如业务系统的服务商暂时没有技术人员提供服务等)业务系统不能进行任何改造的情况下，接入本系统的方式可以采用透明转发方式实现，将业务系统中与安全有关的报文直接通过本系统转发到密码机中完成处理，随后如系统可以进行改造时，再调用本系统提供的加密接口统一接入。

对于有条件进行改造的业务系统：对于可以进行改造的业务系统，只需将原有的与安全有关的处理改为调用本系统提供的加密接口，实现统一接入，这种方式也是建设本系统的目的。

对于采用大机编程语言的业务系统：对于采用大机编程语言(如cobol)的系统，我们有两种方式，一种是我们提供c语言源码，由大机编程语言借助第三方库方式来调用c语言函数库；另一种是我们提供报文方式，可以由业务系统根据安全报文格式直接与本系统进行通讯，实现加解密服务功能。

1.8支持密码机清单

对于采用tcp/ip方式的密码机理论上本系统都能支持其接入，但根据具体情况我们的接入方式或者接入程度有所不同。

指令公开：对于这类密码机我们可以直接无缝接入，且能对外提供所有相关的服务，且可以对其进行深度监控。

指令不公开：对于这类密码机我们采用透明转发方式接入，监控系统只能对其网络层监控。目前本系统已经接入和使用过的此类主要产商密码机有：数据所(大小额支付密码机)、信雅达(全系列型号加密机)、56所(海关总署ca系列密码机)。

1.9安全网关

因为所有业务系统密钥都集中存储在本系统中，因此必须控制各级密钥的使用，确保每类密钥只能由对应的系统进行访问，如atm系统不允许访问核心类密钥(验证pin、修改pin密钥)，因此本系统为安全服务功能中心提供密钥访问控制、交易路由、负载均衡等功能。

2、密钥管理子系统

2.1密钥管理功能设计

对于采用公开算法的安全体系，最重要的资源则是密钥，因此对于密钥管理的成功与否直接决定了安全系统的可用性。

因此本系统对密钥所处的密钥生命周期中(产生、分发、使用、更新、存储、恢复/恢复、销毁)的每个环节，能通过对其状态进行有效控制，也能及时阻止非授权的密钥操作(如密钥设置有效期，超过有效期的密钥本系统将拒绝其使用，这样可以强制要求业务系统定期更换密钥；而对于核心级别的密钥，前端系统如atm要访问的话，本系统也将会给予拒绝，仅允许核心业务系统访问核心级别的密钥)。

按照用户角色划分，对各类密钥的管理操作实行权限控制。系统功能应以业务层面展示，使得业务人员能够易学易用，不依赖于it技术人员即可完成其职责范围内的操作，确保职权分离能有效实行。

2.2密钥生命周期

如图5所示，为密钥生命周期过程的整个流程展示图。

(1)与密钥有直接关系的密钥关联方有：

应用系统：最终需要使用密钥的系统。

密钥录入人员：对于不能任意更改的密钥(如cvk、pvk)，必须由人工负责录入，每把密钥必须保证由两位以上由不同部门指派的密钥录入人员负责录入，且密钥成分必须有纸质备份。

安全服务子系统：密钥使用单元，受理业务系统发起的加密服务请求，其加密服务最终通过密钥经过加密算法运算完成，此处仅加密机的设备主密钥mk在此录入。按照各业务安全需求设计安全方案，只有等级的业务系统才能使用安全服务，实现对业务接入进行准入控制。

密钥管理子系统：作为密钥的整个管理入口，此处的功能包括密钥录入、密钥同步以及密钥状态控制等功能，同时建立和保存所有密钥的档案信息(包括密钥的录入人员、使用的业务系统名称、密钥启用时间以及使用时长等)。此系统通过划分用户角色以及不同权限来控制对密钥的操作权限。

(2)根据密钥的功能，密钥主要分为四大类：

设备主密钥：本方案主要指加密机主密钥，也称为mk，每台设备只有一把，至少由3个分量组成。在加密机第一次投产时，必须录入设备主密钥，是否录入全新的主密钥取决于使用这台新设备的业务系统是否共享已有设备的主密钥。因为设备主密钥属于基础密钥，其具有不可随时更换的特点，所以必须有纸质记录方式保存。

主机类密钥：属于核心系统使用的密钥，如pvk(pin验证密钥)、cvk(卡片验证密钥)，由于这类密钥加密的数据或保存在数据库中(如用户pin密文)或保存在用户卡片上(如cvv)，所以这类密钥也不可随意更改，否则将造成必须对所有已存的加密数据进行迁移(由旧密钥加密转为新密钥加密)。其密钥分量(至少两个分量)明文由密钥管理子系统调用加密机负责打印，然后交由对应的密钥管理人员录入到安全服务子系统的加密机中。

传输密钥：敏感业务数据流经两个机构或者两个应用节点时，必须约定使用相同的密钥进行加密，而任何密钥都不能在网络上明文传送，所以标准的做法是采用另外再设置一把传输密钥(也称保护密钥kek)，由传输密钥负责加密约定的密钥发送到对端，将问题转移到解决传输密钥如何约定上，在两个独立法人机构之间的传输密钥目前基本是通过人工方式约定，在同一机构内部的两应用节点之间传输密钥的约定方法，既有通过人工约定也可以通过其他方式(如pki)做到无需人工参与完成约定，前一种方式需要保管大量的传输密钥，而后一种方式因为可以做到随时更换传输密钥，所以不再需要保管此类密钥，可大大减少管理工作量。

工作密钥：直接对业务数据进行加解密操作的密钥称之为工作密钥(也称数据密钥)，这类密钥因为有传输密钥负责保护下发，因此可以随时更新，所以无需保管，也无需人工参与录入。

特点：从附图我们可以看到，只有设备主密钥、主机主密钥、与行外机构约定的密钥需要人工录入以及保管，其他密钥都无需再人工保管甚至录入。所有的密钥录入、产生、同步、密钥状态控制等都是在密钥管理子系统发起，它会记录相应的操作，并且每个操作的前提是前置步骤已经完成，比如cvk录入的前提是，必须先有设备主密钥录入人员在密钥管理子系统中确定已完成录入，并经审批人员批准，方可进行。以此做到所有的密钥管理操作及责任都可以落实到人，且只能按照设定好的密钥管理流程进行管理和操作。

2.3密钥产生

密钥产生分为两类：人工产生和加密机随机产生，除加密机设备主密钥需要人工产生外(在密钥管理子系统加密机已投产后，其他加密机主密钥也可以由加密机打印产生)，其他的密钥产生可以都有加密机负责完成，这又分成两类：一类是必须通过人工录入的则需要通过加密机打印明文分量，另一类是业务系统使用的工作密钥需要定期更新，这是由安全服务子系统或者密钥管理子系统后面挂接的加密机随机产生得到。对于设备主密钥和主机密钥、与行外机构约定的传输密钥需要纸质备份以外，其他密钥都可以随时产生，所以无需纸质备份。所有经过密钥管理子系统完成的功能，都会有相应的记录信息供后续审查用。

2.4密钥分发

密钥分发分为两类：

一类是密钥管理子系统分发或同步到安全服务子系统，密钥管理子系统和安全服务子系统会约定一把传输密钥，所有需要同步到安全服务子系统的密钥，都经过这把传输密钥加密后送到安全服务子系统完成同步工作。

另一类是安全服务子系统分发到对端业务系统(终端为主)，对于传输密钥将采用pki方式(对无法改造的特殊设备还是保持打印密码信封方式，但无需保管此类纸质信封)，完成远程分发工作。传输密钥分发完成后，工作密钥的分发由业务系统发起请求完成。

2.5密钥更新

在密钥管理子系统上设置工作密钥更新策略(比如密钥一天一变)，到达时间后触发策略将自动产生密钥，同时自动同步到安全服务子系统。此操作也可由安全服务子系统发起请求，密钥管理子系统接受请求并完成更新密钥及同步密钥操作。

2.6密钥保存

在密钥管理子系统、安全服务子系统中都有一份密钥库，里面安全存放了所有密钥的密文(被加密机内部lmk对3des加密)。密钥库支持主流数据库(oracle，db2等)。

2.7密钥使用

所有的密钥使用集中在安全服务子系统中，由它提供安全接口api或者安全报文协议的方式供业务系统调用，完成数据加密功能。

2.8密钥备份与恢复

密钥管理子系统和安全服务子系统提供了密钥的备份和恢复功能，可以设置策略对密钥进行灵活备份，恢复可以选择多个版本的备份原件进行恢复操作，同时除了备份在本地以外，还可以备份到远端的密钥服务器中。

2.9密钥废弃

对于已经不再使用的密钥即可采用废弃操作，比如某台终端或者柜面撤离，则对应的密钥可以置为废弃标志，其密钥值则无法再继续使用。

2.10密钥自动分发

对于诸如远端密钥自动分发，主要针对主密钥，工作密钥一般借助系统自动完成更新。远程密钥一般分为远程终端、远程系统，下面以远程终端为例介绍：

如图6所示，对于远程终端包括pos设备、atm、查询机等具有操作系统、不依赖于其他设备即可主动发起交易的终端设备，由于这类设备远离银行行政单位，对其的安全控制考虑采用pki体系，引入非对称算法来完成：

(1)产生公私钥对：后台密钥管理子系统产生一对公私钥，私钥存放在加密机中，并将公私钥同步到安全服务子系统中，用以标识后台身份。

(2)注册登记：atm等自助设备出库时，在密钥管理子系统登记设备编号以及机器唯一标识码(如网卡mac地址)，完成绑定工作。

(3)远程发布初始化程序：自助设备安装到位后，通过自助终端自由系统的远程发布功能，完成初始化程序的安装工作。

(4)下载公钥：自助设备系统启动后，判断是否存在公钥，如果没有公钥则自动向自助设备前置申请，自助设备前置向安全服务子系统申请公钥，安全服务子系统判断机器唯一标识码是否存在绑定关系后，然后将公钥下发到自助终端中。

(5)初始化：自助终端系统启动后判断是否存在终端主密钥，如果不存在，则根据安全要求自动产生一把主密钥，然后用公钥加密发送到后台自助设备前置系统中。前置系统转发到安全服务子系统，此时先判断自助终端的机器唯一标识码，之后安全服务子系统用私钥解密这把主密钥，同时调用加密机产生一把新的主密钥，用上送的主密钥加密新主密钥下发到终端。

(6)更新tmk：终端收到新主密钥后，用刚才自身产生的主密钥解密，核对校验值成功后，存放在终端中。完成tmk的更新工作。

(7)更新tak，tpk：在有了tmk以后，即可在日常交易过程中，随时更新工作密钥。并且处理持卡人的交易。

(8)动态更新tmk：对于tmk使用时长到达后，后台密钥管理子系统会随之产生一把新的tmk，并用旧tmk加密下发，动态完成tmk的更新工作。

通过本方案，对于以往采用纸质密钥信封并且需要多人陪同前往自助设备进行密钥灌录工作已经一去不复返，借鉴pki体系完全采用了自动化方式，在保证安全级别没有降低的情况下，减少人员支出以及提高工作效率。

2.11哑终端设备远程密钥分发

对于诸如密码键盘等不能自主发起交易、必须由pc等设备通过调用方式使用的终端设备，我们称之为哑终端，对于这类终端，我们在出库前通过将哑终端设备接入到密钥管理子系统客户端(pc机，串口或usb口方式)对其直接灌入主密钥，而在将来，需要更新主密钥时，直接由密钥管理子系统采用当前版本主密钥加密新的主密钥下发，完成主密钥更新操作。

2.12全行密钥管理整合

密钥管理子系统作为全行密钥管理的统一入口，其提供密钥服务，为安全服务子系统协作完成全行的数据加解密处理业务。

目前行内已经部署一套符合pboc2.0标准的ic卡密钥管理系统，根据前述密钥管理原则，要建设成符合安全标准的密钥管理系统，我们根据考虑在业务逻辑上进行分离，即确保现有的pboc2.0密钥管理从属于全行密钥管理系统，使其具有清晰的分界线。

因此可以看到密钥管理子系统和安全服务子系统在本方案中是作为独立模块使用，并且可根据业务需要，两个子系统可以部署多套(如有分行模式的情况下)，在有多套子系统的情况下，它们的关系依然保持从属关系。

2.13与现有管理流程整合

目前，一般做法是行内形成密钥管理制度，然后由人工方式根据密钥管理制度对业务系统的密钥进行相应的管理，此方法的特点主要是建立在对人员的信任基础上，即主要依赖于人的作用，而安全设计的主要原则为视所有人为不可信，特别是内部人员，因此本系统通过it系统控制流程的方式来代替传统的人工管理方式。例如：原来一套系统的投产，密钥管理制度因为只有纸面的制度，在实际操作上可能完全只由业务开发人员即完成了密钥的灌录工作，整个过程无法受到有效的监管。而通过本系统提供的业务投产流程，整个过程必须由不同的角色人员的控制下才能完成密钥灌录工作，将保证密钥灌录有据可查，也不会出现灌录的明文丢失的问题。

2.14系统组成

(1)密钥管理中心：统一的密钥管理，提供密钥的设计、管理、使用、审计等全方位的密钥管理服务，例如密钥初始化、销毁、启用、停用、更新等等。自动执行各种预定义的密钥更新策略，并将更新后的密钥同步到密钥存储中心。密钥管理中心，由以下部分组成：

密钥档案：保存密钥的历史数据；

管理配置数据库：保存用于设计、管理、审计等各类辅助功能的配置数据；

密码机(hsm)：用于完成密钥的生成、转加密等各种运算。

(2)密钥存储中心：是生产密钥数据中心，保存了所有的生产密钥，向其它组件提供密钥存储与使用服务。密钥存储中心可以由多个物理存储中心构成，每个物理中心部署在不同的机器上，每个物理中心存储了部分密钥数据，共同构成一个逻辑存储中心。密钥存储中心包括以下几部分：

密钥存储中心软件：提供密钥的保存、读取服务；

远程密钥分发：提供远程终端主密钥的自动推送、分发功能。替代了传统的打印纸质密钥信封的形式，减少人员支出、提高了新终端设备铺设的流程申请速度；

生成密钥库：保存密钥数据；密钥以密文形式保存，密钥密文采用密钥存储中心的密码机的lmk对加密；

密码机(hsm)：用于完成密钥密文的转加密。

(3)密钥管理服务中心：面向各类管理人员、业务人员，提供密钥的设计、管理、使用、审计等全方位的密钥管理操作。由以下部分组成：

密钥管理服务接入软件：完成核心的密钥管理功能；

密钥管理界面：提供给业务人员、管理人员使用，这几类人员，通过该界面，完成各类密钥管理操作；

密钥打印终端：接入在密钥管理界面一端，完成密钥信封的打印。

(4)运维中心：面向it运维人员，向他们提供运行参数的配置维护服务。运维中心由以下部分组成：

运维中心软件：完成在管理界面与被管理的中心之间进行配置维护服务转发的功能；

运维管理界面：提供给it运维人员，通过该界面，完成各类配置、维护操作。

2.15密钥存储中心功能描述

如图7所示，密钥存储中心由以下几类模块组成：

监控服务模块：向监控中心提供密钥存储中心的各类管理、运行状态等监控信息；

密钥使用服务模块：向安全功能中心提供密钥取用服务。

密钥部署模块：向密钥管理中心提供密钥存储服务。

密钥存储中心还建有内部服务通道，用于完成本中心内部各模块之间的信息交换，建立了一类服务通道，即监控服务通道，用于缓存本中心要向监控中心发送的监控请求。

如图8所示，密钥管理中心由以下几类模块组成：

监控服务模块：向监控中心提供各类管理、运行状态、等等监控信息。

配置管理模块：向运行维护中心提供配置管理服务。

密钥自动更新模块：根据预定义的策略，自动更新密钥。

本地密钥管理服务模块：向密钥管理服务中心提供密钥管理服务。

远程密钥更新服务模块：向其它系统提供更新密钥服务接口。

密钥同步服务模块：处理其它密钥管理中心，向本中心同步密钥的请求。

密钥更新模块：完成实际的密钥更新服务。

密钥同步请求模块，共2个：(1)“实时”同步请求模块：请求其它密钥管理中心处理本中心的密钥同步请求；(2)“延迟”同步请求模块：请求其它密钥管理中心处理本中心的密钥同步请求，这些同步请求，是之前向其它中心申请处理失败的同步请求。

密钥部署请求模块：请求密钥存储中心存储密钥。

密钥存储中心还建有内部服务通道，用于完成本中心内部各模块之间的信

息交换，建立了四类服务通道：

密钥同步服务通道：用于缓存本中心要向其它密钥管理中心发送的密钥同步请求。

密钥部署服务通道：用于缓存本中心要向密钥存储中心发送的密钥存储请求。

密钥更新服务通道：用于缓冲要更新的密钥。

监控服务通道：用于缓存本中心要向监控中心发送的监控请求。

3、密钥管理服务功能

3.1安全功能中心请求密钥管理中心生成密钥/重置密钥功能

如图9所示，为安全功能中心请求密钥管理中心生成密钥/重置密钥的功能示意图。如图10所示，安全功能中心请求密钥管理中心生成密钥/重置密钥的流程示意图。

3.2密钥管理中心密钥更新功能

如图11所示，为密钥管理中心更新密钥的功能示意图。如图12所示，为密钥管理中心更新密钥的流程示意图。

3.3密钥管理中心向其它密钥管理中心同步密钥功能

如图13所示，为密钥管理中心向其它密钥管理中心同步密钥的功能示意图。如图14所示，为密钥管理中心向其它密钥管理中心同步密钥的流程示意图。如图15所示，为密钥管理中心向其它密钥管理中心延迟同步密钥的流程示意图。

3.4密钥管理中心接收其它密钥管理中心同步密钥功能

如图16所示，为密钥管理中心接收其它密钥管理中心同步密钥的功能示意图。如图17所示，为密钥管理中心接收其它密钥管理中心同步密钥的流程示意图。

3.5密钥管理界面向密钥管理中心发起密钥功能

如图18所示，为密钥管理界面向密钥管理中心发起密钥的功能示意图。如图19所示，为密钥管理界面向密钥管理中心发起密钥的流程示意图。

3.6密钥管理中心密钥读取功能

如图20所示，为密钥管理中心密钥读取的功能示意图。如图21所示，为密钥管理中心密钥读取的流程示意图。

3.7密钥管理中心密钥自动更新功能

如图22所示，为密钥管理中心密钥自动更新的功能示意图。如图23所示，为密钥管理中心密钥自动更新的流程示意图。

3.8密钥管理中心部署密钥功能

如图24所示，为密钥管理中心部署密钥的功能示意图。如图25所示，为密钥管理中心部署密钥的流程示意图。

3.9远程打印密钥信封功能

如图26所示，为远程打印密钥信封的功能示意图。如图27所示，为远程打印密钥信封的流程示意图。

3.10密钥管理中心发起密钥存储服务功能

如图28所示，为密钥管理中心发起密钥存储服务的功能示意图。如图29所示，为密钥管理中心发起密钥存储服务的流程示意图。

4、监控子系统

4.1监控管理功能设计

监控管理子系统，主要是面向生产运维人员，向他们提供实时监控。监控子系统的功能为：

(1)实时监控加密机的运行状态：监控系统通过旁路监控的方式实时收集加密机硬件资源占用、网络、服务指令处理等监控数据，监控系统对收集的数据实时进行分析处理并通过实时监控页面、邮件、短信等方式将加密机的运行状态实时反馈给监控人员或者运维人员。相关人员能在加密机出现故障时能及时发现并根据监控系统反馈的恢复建议等信息快速的恢复加密机的正常运行。

(2)增强对金融数据加密机的系统监控和问题诊断能力：通过分析加密机监控数据，可以为解决因网络故障、加密机硬件故障、加密机系统资源等引起的交易系统故障，提供或增强的问题诊断的能力。

(3)确保金融数据加密机相关重要业务系统的安全稳定运行：在有加密机监控系统的协助下，可以为出现和即将出现的加密机故障提供报警处理，为解决交易故障提供快速定位问题及解决问题提供依据，从而为加密机相关的业务系统提供安全稳定运行提供相应的保障。

(4)建立加密机健康状态档案和详细运维档案监控系统为所有加密机出现过的故障、异常建立一份详细的健康状态档案，以方便进行加密机健康状态的预警与提醒。同时为所有加密机建立一份详细的运维档案用于帮助运维人员通过监控系统设置必要的运维提醒以及在排查故障时可以根据运维档案进行协助分析。

4.2支持密码机清单

对于采用tcp/ip方式的密码机理论上本系统都能支持其接入，但根据具体情况我们的接入方式决定了其监控程度有所不同：

(1)指令公开

对于这类密码机我们可以直接无缝接入，且可以对其进行深度监控。目前本系统已经接入和使用过的主要产商机型号密码机有：信雅达(sjj1316、sjj1111、sjj1418)、56所(sjl06、sjj0808、sjj0902系列密码机的金卡、racal指令版本)、30所(sjl05的金卡、racal指令版本密码机)、歌盟(sjl22racal指令版本密码机)。

(2)指令不公开

对于这类密码机我们采用透明转发方式接入，监控系统只能对其网络层监控。目前本系统已经接入和使用过的此类主要产商密码机有：数据所(大小额支付密码机)、信雅达(全系列型号加密机)、56所(海关总署ca系列密码机)。

4.3与现有监控流程整合

本监控系统具有标准的对接接口，支持如syslog等主流日志等采集协议，同时在现有实施的客户处已经和他们现有的监控系统、oa系统进行成功对接，只需要提供对接系统的api或报文方式，本监控系统即可进行相应的定制开发，完成对接，实现与现有的监控流程整合。

4.4系统架构

如图30所示，监控子系统由以下部分组成：

(1)加密机监控系统(监控服务器端)：监控服务器端是加密机监控系统核心组成部分，其负责向监控代理和web应用提供各种服务，通知支持不通过监控代理直接检测加密机并收集加密机实时运行数据。监控服务器通过tcp/ip协议向监控代理和web应用提供服务。

(2)加密机监控代理：监控代理负责完成加密机监控配置获取，并根据加密机监控配置实时收集加密机的运行状态数据，收集到的数据实时发送给监控服务器端。

(3)监控web应用：web应用负责向不同角色用户提供监控系统的配置管理功能、实时数据监控功能。

加密机监控系统为开放平台预留了接口，可提供加密机监控数据由统一监控平台完成展示以及通知。本方案的监控系统也可以直接使用行内的邮件服务器和短信平台在系统监控到报警信息时直接通过邮件、短信的方式通知相关的联系人。

5、系统安全

5.1密钥安全

密钥是系统存储与使用的核心数据，密钥的安全，是系统安全设计的考虑重点问题。

如图31所示，为密钥体系，保护密钥的存储安全与传输安全。图中，点虚线表示了密钥保护需求：(1)连接2个方框的点虚线，表示在两个方框之间传输密钥数据时，使用一个传输保护主密钥保护要传输的密钥数据，点虚线上的名称，即保护时，采用的保护密钥的标识。粉红色的点虚线，表示采用的保护密钥，是业务系统设计的密钥。绿色的点虚线，表示采用的保护密钥，是系统设计的密钥。(2)数据库框上的点虚线，表示密钥存储在数据库中时，采用一组本地主密钥加密密钥数据。

5.2密钥存储安全

系统采用密码机(hsm)的本地主密钥对以保证密钥的存储安全。

设计了两类本地主密钥对，以保证密钥的存储安全。

(1)sc-lmkpair，即安全功能中心的hsm的本地主密钥对，密钥在密钥存储中心的密钥库存储时，使用这个密钥对加密。

(2)kms-lmkpair，即密钥管理中心的hsm的本地主密钥对，在密钥管理中心存储时，使用这个密钥对加密。

5.3密钥传输安全

系统内部设计了两类区域主密钥，以保证密钥的传输安全。

(1)kss-zmk，是密钥存储中心与密钥管理中心约定的zmk，当密钥管理中心向密钥存储中心部署密钥时，使用这个密钥加密要部署的密钥。密钥存储中心与每个安全功能中心，约定不同的kss-zmk。kss-zmk可以根据业务安全需求定期(一年或者两年等)进行更换，更换时使用数字信封技术保证密钥更新的安全。更新流程说明如下：

密钥管理中心产生中心的rsa对，公钥分发给每个安全功能中心；

更新时，安全功能中心先调用安全模块随机产生一个会话密钥，并用密钥管理中心的公钥加密该密钥传输到密钥管理中心；

密钥管理中心调用安全模块使用私钥解密得到会话密钥，并随机产生新的kss-zmk，并使用会话密钥加密新的kss-zmk，返回会话密钥加密的新的kss-zmk密文到安全功能中心；

安全功能中心将新的kss-zmk密文由会话密钥加密转加密为密码机主密钥加密，并存储新的kss-zmk密文到密钥库，最终完成kss-zmk的更换。

(2)kpt-zmk，是密钥管理中心与密钥打印终端约定的zmk，当执行远程密钥打印时，密钥管理中心使用这个密钥加密要打印的密钥，传输给密钥打印终端。密钥管理中心与每个密钥打印终端，约定不同的kpt-zmk。kpt-zmk可以根据业务安全需求定期(一年或者两年等)进行更换，更换时使用数字信封技术保证密钥更新的安全。更新流程说明如下：

密钥管理中心产生中心的rsa对，公钥分发给每个密钥打印终端；

更新时，密钥打印终端先调用安全模块随机产生一个会话密钥，并用密钥管理中心的公钥加密该密钥传输到密钥管理中心；

密钥管理中心调用安全模块使用私钥解密得到会话密钥，并随机产生新的kpt-zmk，并使用会话密钥加密新的kpt-zmk，返回会话密钥加密的新的kpt-zmk密文到密钥打印终端；

密钥打印终端将新的kpt-zmk密文由会话密钥加密转加密为指定的安全密钥加密后，安全存储新的kpt-zmk，最终完成密kpt-zmk的更新。

当业务密钥需要在安全功能中心与业务系统(应用系统)之间传输时，或者业务密钥需要在安全功能中心与密钥管理系统之间传输时，直接使用业务系统设计的区域主密钥(app-zmk)加密要传输的密钥。

如图32所示，密钥在传输时，直接使用目标节点的区域主密钥加密，密钥报文经过的中间节点，不会对密钥的密文进行转换。图中，虚线表示了一类密钥传输途径，虚线上的文字描述了密钥传输时的加密方式。

5.4网络安全

密钥管理中心、安全功能中心，要部署在生产网段，其网络安全级别要与核心业务系统保持一致。

运维中心、监控中心，要部署在运维管理网段。

在密钥管理中心与密钥管理客户端之间，架设专门的密钥管理web服务器，以对管理域与生产域进行安全隔离。

5.5系统安全

安全功能中心、密钥管理中心，只允许指定ip的系统，通过指定的端口，指定的mac地址接入。

密钥管理中心、运维中心的操作员，要通过签名认证才能登录管理界面，进行各类操作。

密钥管理中心、运维中心的操作员，通过管理界面进行的各类操作时，请求的报文数据由管理界面调用安全模块加密后发送。后台系统返回管理界面的请求应答，由后台系统调用安全模块加密后发送。

5.6用户权限设置

设置了多个用户权限级别，为每个级别的用户配置了：

界面层：不同功能的操作界面。

服务层：不同的授权功能集合。

数据层：不同的可视数据，不同的可修改数据。

可通过权限控制，随时撤销对某一级别的某一具体操作的授权。

设置了用户与管理机构的绑定关系，一个用户只能见到所属管理机构的数据。对于属于总行的用户，可以通过设置，让指定的总行用户见到全行所有的数据。

以上所述仅是本发明优选实施方式，应当指出，对于本技术领域的普通技术人员，在不脱离本发明构思的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明保护范围内。