一种基于gdoi协议下大规模网络密钥管理系统的制作方法
【专利摘要】本发明提供了一种基于GDOI协议下大规模网络密钥管理系统,所述管理系统包括密钥管理中心和密钥管理控制终端,所述密钥管理中心连接密钥管理控制终端,本发明基于GDOI协议提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP提供了可安全通信。
【专利说明】
一种基于GDOI协议下大规模网络密钥管理系统
技术领域
[0001]本发明属于网络安全技术领域,具体涉及一种基于GDOI协议下大规模网络密钥管理系统。
【背景技术】
[0002 ]全球互联网已经在人们的工作生活中不可或缺,但是网络的信息安全威胁却在逐年加剧。2013年网络安全领域著名的“棱镜门”事件中,现有的以交换机、路由器为核心的网络构架非常易于被监听。大量信息通过交换机和路由器泄漏,为所有网络使用者敲响了一个警钟。对于全球范围的大规模企业或政府部门的互联网络,其往往采用网络拓扑结构。整个网络分为三层,其中集团环网平台由若干个数据中心组成,数据中心之间由多个1G网络组成环网,为全集团提供应用业务访问,数据汇总等服务;区域中心平台,由若干个区域中心组成,区域中心根据地域汇总各地区公司的数据,并提供通向集团环网的数据通道;地区公司平台,由各地地区公司局域网或城域网组成,承载各地公司的基础应用的网络接入。为了便于实现上述网络中各对象间的相互寻址和数据交换,现有标准的TCP/IP协议在信道上采取明文传输的方式,大量的数据在没有任何安全保护的情况下被传输;网络的路由选择机制使不同地域、国家之间在网络虚拟空间没有“国门”,传输数据可以被任意的截取、重组,并还原出原始的数据信息导致数据信息泄漏。更加危险的是,现在国内使用的大多数交换机和路由器都是国外品牌,即使国内品牌也多使用国外核心芯片设计完成,造成国内传输网络数据可能被国外机构监听。因此,为保证网络内信息的安全传递,在系统互联互通中,需要使用大量自主研发的网络交换设备、数据加密设备、密钥管理设备、安全管理设备等。同时,互联网络中各种分布式计算、语音、视频等业务需要随时随地的在各分支机构间运行,传统意义上的Hub-Spoke、点对点的IPSec隧道解决方案不能满足用户的需求。GDOI(Group Domain of Interpretat1n)协议提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP安全通信提供了可能。为此,开发GDOI协议下的大规模网络密钥管理中心具有重要的理论与实际意义。
【发明内容】
[0003]为了解决上述内容,本发明提供一种基于GDOI协议下大规模网络密钥管理系统,所述管理系统包括密钥管理中心和密钥管理控制终端,所述密钥管理中心连接密钥管理控制终端;
进一步地,所述密钥管理中心用于所述管理系统的本机身份认证、数据存储的加密保护、以及全网密码设备的身份钥匙管理,所述密钥管理控制终端用于密钥信息输入和离线状态下的密钥管理中心的身份公钥的分发;
进一步地,所述密钥管理中心包括设备管理模块、算法处理模块、密钥管理模块、通信处理模块、本地状态监控模块和集成管理模块,其中; 设备管理模块,所述设备管理模块用于全网密码设备的的管理、状态监控和身份钥匙的管理以及组密码策略的维护;
算法处理模块,所述算法处理模块通过SM2、SM3和SM4算法对密码设备进行密钥信息计算;
密钥管理模块,所述密钥管理模块连接算法处理模块,通过算法处理模块中SM2、SM3和SM4算法对本地关键数据的存储保护以及对全网会话加密密钥、组策略密钥加密密钥和组策略传输加密工作密钥进行维护和管理;
通信处理模块,所述通信处理模块用以实现所述密钥管理模块与密钥管理控制终端、所述设备管理模块与密钥管理控制终端以及密钥管理模块与所述设备管理模块的通信连接,所述通信处理模块对外统一提供GDOI协议接口,密钥的分发采用GDOI协议实施;
本地状态监控模块,所述本地状态监控模块用于收集设备管理模块、算法处理模块、密钥管理模块、集成管理模块和通信处理模块的运行状态,检查关键数据的完整性,异常状态触发报警;
集成管理模块,所述集成管理模块基于WEB方式对设备管理模块、算法处理模块、密钥管理模块、通信处理模块和本地状态监控模块进行管理和维护,并对操作信息、状态信息和维护信息记录形成日志;
进一步地,所述设备管理模块包括远程状态查询及监控单元、组策略处理单元和身份钥匙管理单元,
远程状态查询及监控单元,所述远程状态查询及监控单元用于收集并监控密码设备的运行状态;
组策略处理单元,所述组策略处理单元用于实现组策略信息的维护,包括对组策略的密码设备成员进行增加和删除操作;
身份钥匙管理单元,所述身份钥匙管理单元包括注密钥匙和认证钥匙,所述注密钥匙用于实现密码设备的关键参数的初装注入,所述认证钥匙用于实现密码设备启动时的本地身份认证功能;
进一步地,所述所述密钥管理模块包括噪声码处理单元、本地关键数据存储保护单元、会话加密密钥(SEK)管理单元、组策略密钥加密密钥(KEK)管理单元和组策略传输加密工作密钥(TEK)管理单元,其中;
噪声码处理单元,所述噪声码处理单元用以获取和随机检测物理噪声源的噪声数据;本地关键数据存储保护单元,所述本地关键数据存储保护单元通过身份钥匙管理单元的认证钥匙实现本地的身份认证功能,获取存储保护密钥,对本地敏感信息进行存储保护;会话加密密钥(SEK)管理单元,所述会话加密密钥(SEK)管理单元通过与密码设备进行IKE交换,对全网密码设备之间SEK密钥进行维护和管理;
组策略密钥加密密钥(KEK)管理单元,所述组策略密钥加密密钥(KEK)管理单元根据设备管理模块的组策略状态对全网KEK密钥进行更新和管理;
组策略传输加密工作密钥(TEK)管理单元,所述组策略传输加密工作密钥(TEK)管理单元根据组策略状态和密钥更新周期,对TEK密钥数据维护和管理;
进一步地,所述通信处理模块包括安全管理通信接口单元、GDOI协议处理单元和组播通信处理单元,其中; 安全管理通信接口单元,所述安全管理通信接口单元用于对密钥管理模块与设备管理模块的通信协议进行解析与处理、对组策略信息进行收集、以及对设备管理模块进行命令解析和信息上报;
⑶OI协议处理单元,所述⑶OI协议处理单元用于实现密钥管理控制终端与密钥管理之间的通信连接,并根据⑶OI协议对IKE SA,KEK SA和TEK SA的建立和维护;
组播通信处理单元,所述组播通信处理单元用以实现设备管理模块和密钥管理控制终端的通信连接,对TEK密钥进行组播分发;
进一步地,所述管理模块包括密码管理中心管理单元和日志维护单元,其中;
密码管理中心管理单元,所述密码管理中心管理单元基于WEB方式对密钥管理中心各类单元进行参数配置和运行管理;
日志维护单元,所述日志维护单元用于收集密钥管理中心各类单元的操作信息、状态信息、维护信息,并形成日志记录,供检索和查询;
进一步地,,所述密钥管理控制终端包括身份卡信息输入模块和公钥分发模块,所述密钥管理控制终端为密钥管理控制台;
本发明基于GDOI协议提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP提供了可安全通信。
【附图说明】
[0004]图1为本发明所述管理系统的硬件组成结构图;
图2为本发明【背景技术】中所述全球范围内大规模互联网络的拓扑示意图。
【具体实施方式】
[0005]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。相反,本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
[0006]下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。下面为本发明的举出最佳实施例:
如图1-图2所示,本发明提供一种基于GDOI协议下大规模网络密钥管理系统,所述管理系统包括密钥管理中心和密钥管理控制终端,所述密钥管理中心为2U高度的服务器设备,所述服务器设备包括X86架构主板、专用PC1-E密码卡、存储组件、网卡、身份卡驱动器、身份卡读写器和电源,所述密钥管理中心设置在X86架构主板上,并在该主板上配置有Usb-KEY,用于系统开机时的本机身份认证、数据存储的加密保护、以及全网密码设备的身份钥匙管理,所述密钥管理中心子连接密钥管理控制终端,所述密钥管理控制终端用于全网所用密码机身份卡的登记和离线状态下的密钥管理中心的身份公钥分发。
[0007]所述密钥管理中心包括设备管理模块、算法处理模块、密钥管理模块、通信处理模块、本地状态监控模块和管理模块。
[0008]所述设备管理模块用于完成全网密码设备的的管理、状态监控、组密码策略的维护工作,实现全网身份钥匙的管理,所述设备管理模块包括远程状态查询及监控单元、组策略处理单元、身份钥匙管理单元。
[0009]所述远程状态查询及监控单元用于收集并监控密码设备的运行状态,如有异常及时向设备管理模块汇报,所述设备管理模块对异常状态的密码设备进行维护和管理。所述组策略处理单元用于实现组策略信息的维护,支持对组策略的密码设备成员进行增加和删除操作,全网支持的最多组策略条目不超过10000条,每个组策略支持的成员不超过1000个。所述身份钥匙管理单元包括注密钥匙和认证钥匙,所述注密钥匙用于实现密码设备的关键参数的初装注入,所述认证钥匙用于实现密码设备启动时的本地身份认证功能。
[0010]所述算法处理模块通过SM2、SM3和SM4算法处理,所述算法处理模块通过SM2、SM3和SM4算法对密码设备进行密钥信息计算,支持同时最多200个密码设备的注册认证。
[0011]所述密钥管理模块包括噪声码处理单元、本地关键数据存储保护单元、会话加密密钥(SEK)管理单元、组策略密钥加密密钥(KEK)管理单元和组策略传输加密工作密钥(TEK)管理单元,所述噪声码处理单元用以获取物理噪声源的噪声数据,对获取的噪声数据进行随机性检测,保证现制密钥的随机性。所述本地关键数据存储保护单元通过身份钥匙管理单元的认证钥匙实现本地的身份认证功能,获取存储保护密钥,实现本地敏感信息的存储保护。所述会话加密密钥(SEK)管理单元通过与密码设备进行IKE交换,实现与全网密码设备之间SEK密钥的维护与管理,完成对KEK数据的传输保护。所述组策略密钥加密密钥(KEK)管理单元根据组策略状态维护全网KEK密钥的更新和管理,实现对TEK数据的传输保护。所述组策略传输加密工作密钥(TEK)管理单元根据组策略状态和密钥更新周期维护TEK密钥数据的管理,实现对组策略数据的传输保护。
[0012]所述算法处理模块连接密钥管理模块,通过SM2、SM3及SM4算法,实现本地关键数据的存储保护,全网会话加密密钥、组策略密钥加密密钥及组策略传输加密工作密钥的维护和管理。
[0013]所述通信处理模块包括安全管理通信接口单元、GDOI协议处理单元和组播通信处理单元,所述通信处理模块用以实现所述密钥管理模块与密钥管理控制终端的通信连接、所述设备管理模块与密钥管理控制终端的通信连接以及密钥管理模块与所述设备管理模块的通信连接,所述通信处理模块对外统一提供GDOI协议接口,密钥的分发采用GDOI协议实施。所述安全管理通信接口单元用于实现密钥管理模块与设备管理模块的通信协议解析与处理、组策略信息的收集、设备管理模块命令解析以及信息上报。所述GDOI协议处理单元用于实现密钥管理控制终端与密钥管理之间的通信连接,并根据⑶OI协议完成对IKE SA,KEK SA和TEK SA的建立和维护。所述组播通信处理单元用以实现设备管理模块和密钥管理控制终端的通信连接,对TEK密钥进行组播分发。
[0014]所述本地状态监控模块用于收集各单元的运行状态,检查关键数据的完整性,异常状态触发报警。
[0015]所述管理模块包括密码管理中心管理单元和日志维护单元,所述密码管理中心管理单元基于WEB方式的管理维护功能,对密钥管理中心进行参数配置,运行管理,所述日志维护单元用于收集密钥管理中心中运行的各类操作信息、状态信息、维护信息,并形成日志记录,便于检索和查询。
[0016]所述密钥管理控制终端包括身份卡信息输入模块和公钥分发模块,所述密钥管理控制终端为密钥管理控制台。
[0017]以上所述的实施例,只是本发明较优选的【具体实施方式】的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
【主权项】
1.一种基于⑶OI协议下大规模网络密钥管理系统,所述管理系统包括密钥管理中心和密钥管理控制终端,所述密钥管理中心连接密钥管理控制终端。2.根据权利要求1所述的管理系统,其特征在于,所述密钥管理中心用于所述管理系统的本机身份认证、数据存储的加密保护、以及全网密码设备的身份钥匙管理,所述密钥管理控制终端用于密钥信息输入和离线状态下的密钥管理中心的身份公钥的分发。3.根据权利要求2所述的管理系统,其特征在于,所述密钥管理中心包括设备管理模块、算法处理模块、密钥管理模块、通信处理模块、本地状态监控模块和集成管理模块,其中; 设备管理模块,所述设备管理模块用于全网密码设备的的管理、状态监控和身份钥匙的管理以及组密码策略的维护; 算法处理模块,所述算法处理模块通过SM2、SM3和SM4算法对密码设备进行密钥信息计算; 密钥管理模块,所述密钥管理模块连接算法处理模块,通过算法处理模块中SM2、SM3和SM4算法对本地关键数据的存储保护以及对全网会话加密密钥、组策略密钥加密密钥和组策略传输加密工作密钥进行维护和管理; 通信处理模块,所述通信处理模块用以实现所述密钥管理模块与密钥管理控制终端、所述设备管理模块与密钥管理控制终端以及密钥管理模块与所述设备管理模块的通信连接,所述通信处理模块对外统一提供GDOI协议接口,密钥的分发采用GDOI协议实施; 本地状态监控模块,所述本地状态监控模块用于收集设备管理模块、算法处理模块、密钥管理模块、集成管理模块和通信处理模块的运行状态,检查关键数据的完整性,异常状态触发报警; 集成管理模块,所述集成管理模块基于WEB方式对设备管理模块、算法处理模块、密钥管理模块、通信处理模块和本地状态监控模块进行管理和维护,并对操作信息、状态信息和维护信息记录形成日志。4.根据权利要求3所述的管理系统,其特征在于,所述设备管理模块包括远程状态查询及监控单元、组策略处理单元和身份钥匙管理单元, 远程状态查询及监控单元,所述远程状态查询及监控单元用于收集并监控密码设备的运行状态; 组策略处理单元,所述组策略处理单元用于实现组策略信息的维护,包括对组策略的密码设备成员进行增加和删除操作; 身份钥匙管理单元,所述身份钥匙管理单元包括注密钥匙和认证钥匙,所述注密钥匙用于实现密码设备的关键参数的初装注入,所述认证钥匙用于实现密码设备启动时的本地身份认证功能。5.根据权利要求4所述的管理系统,其特征在于,所述所述密钥管理模块包括噪声码处理单元、本地关键数据存储保护单元、会话加密密钥(SEK)管理单元、组策略密钥加密密钥(KEK)管理单元和组策略传输加密工作密钥(TEK)管理单元,其中; 噪声码处理单元,所述噪声码处理单元用以获取和随机检测物理噪声源的噪声数据; 本地关键数据存储保护单元,所述本地关键数据存储保护单元通过身份钥匙管理单元的认证钥匙实现本地的身份认证功能,获取存储保护密钥,对本地敏感信息进行存储保护; 会话加密密钥(SEK)管理单元,所述会话加密密钥(SEK)管理单元通过与密码设备进行IKE交换,对全网密码设备之间SEK密钥进行维护和管理; 组策略密钥加密密钥(KEK)管理单元,所述组策略密钥加密密钥(KEK)管理单元根据设备管理模块的组策略状态对全网KEK密钥进行更新和管理; 组策略传输加密工作密钥(TEK)管理单元,所述组策略传输加密工作密钥(TEK)管理单元根据组策略状态和密钥更新周期,对TEK密钥数据维护和管理。6.根据权利要求5所述的管理系统,其特征在于,所述通信处理模块包括安全管理通信接口单元、GDOI协议处理单元和组播通信处理单元,其中; 安全管理通信接口单元,所述安全管理通信接口单元用于对密钥管理模块与设备管理模块的通信协议进行解析与处理、对组策略信息进行收集、以及对设备管理模块进行命令解析和信息上报; ⑶OI协议处理单元,所述⑶OI协议处理单元用于实现密钥管理控制终端与密钥管理之间的通信连接,并根据⑶OI协议对IKE SA,KEK SA和TEK SA的建立和维护; 组播通信处理单元,所述组播通信处理单元用以实现设备管理模块和密钥管理控制终端的通信连接,对TEK密钥进行组播分发。7.根据权利要求6所述的管理系统,其特征在于,所述管理模块包括密码管理中心管理单元和日志维护单元,其中; 密码管理中心管理单元,所述密码管理中心管理单元基于WEB方式对密钥管理中心各类单元进行参数配置和运行管理; 日志维护单元,所述日志维护单元用于收集密钥管理中心各类单元的操作信息、状态信息、维护信息,并形成日志记录,供检索和查询。8.根据权利要求7所述的管理系统,其特征在于,所述密钥管理控制终端包括身份卡信息输入模块和公钥分发模块,所述密钥管理控制终端为密钥管理控制台。
【文档编号】H04L9/08GK105939354SQ201610405993
【公开日】2016年9月14日
【申请日】2016年6月10日
【发明人】朱云, 李元骅, 张晓囡
【申请人】北京数盾信息科技有限公司