一種基于gdoi協(xié)議下大規(guī)模網(wǎng)絡(luò)密鑰管理系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于GDOI協(xié)議下大規(guī)模網(wǎng)絡(luò)密鑰管理系統(tǒng)����,所述管理系統(tǒng)包括密鑰管理中心和密鑰管理控制終端,所述密鑰管理中心連接密鑰管理控制終端��,本發(fā)明基于GDOI協(xié)議提出了密鑰管理服務(wù)器和組成員(GM)的組加密部署模型�,整網(wǎng)協(xié)商機(jī)制(Group SA),使用Group SA加解密節(jié)點(diǎn)間的流量�����,為任意節(jié)點(diǎn)IP提供了可安全通信�����。
【專利說明】
一種基于GDOI協(xié)議下大規(guī)模網(wǎng)絡(luò)密鑰管理系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,具體涉及一種基于GDOI協(xié)議下大規(guī)模網(wǎng)絡(luò)密鑰管理系統(tǒng)。
【背景技術(shù)】
[0002 ]全球互聯(lián)網(wǎng)已經(jīng)在人們的工作生活中不可或缺�����,但是網(wǎng)絡(luò)的信息安全威脅卻在逐年加劇。2013年網(wǎng)絡(luò)安全領(lǐng)域著名的“棱鏡門”事件中���,現(xiàn)有的以交換機(jī)���、路由器為核心的網(wǎng)絡(luò)構(gòu)架非常易于被監(jiān)聽。大量信息通過交換機(jī)和路由器泄漏����,為所有網(wǎng)絡(luò)使用者敲響了一個(gè)警鐘。對(duì)于全球范圍的大規(guī)模企業(yè)或政府部門的互聯(lián)網(wǎng)絡(luò)�����,其往往采用網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�。整個(gè)網(wǎng)絡(luò)分為三層,其中集團(tuán)環(huán)網(wǎng)平臺(tái)由若干個(gè)數(shù)據(jù)中心組成�,數(shù)據(jù)中心之間由多個(gè)1G網(wǎng)絡(luò)組成環(huán)網(wǎng),為全集團(tuán)提供應(yīng)用業(yè)務(wù)訪問�����,數(shù)據(jù)匯總等服務(wù)�����;區(qū)域中心平臺(tái),由若干個(gè)區(qū)域中心組成�,區(qū)域中心根據(jù)地域匯總各地區(qū)公司的數(shù)據(jù),并提供通向集團(tuán)環(huán)網(wǎng)的數(shù)據(jù)通道;地區(qū)公司平臺(tái)����,由各地地區(qū)公司局域網(wǎng)或城域網(wǎng)組成,承載各地公司的基礎(chǔ)應(yīng)用的網(wǎng)絡(luò)接入���。為了便于實(shí)現(xiàn)上述網(wǎng)絡(luò)中各對(duì)象間的相互尋址和數(shù)據(jù)交換�,現(xiàn)有標(biāo)準(zhǔn)的TCP/IP協(xié)議在信道上采取明文傳輸?shù)姆绞?�,大量的?shù)據(jù)在沒有任何安全保護(hù)的情況下被傳輸�����;網(wǎng)絡(luò)的路由選擇機(jī)制使不同地域�、國(guó)家之間在網(wǎng)絡(luò)虛擬空間沒有“國(guó)門”,傳輸數(shù)據(jù)可以被任意的截取���、重組�,并還原出原始的數(shù)據(jù)信息導(dǎo)致數(shù)據(jù)信息泄漏。更加危險(xiǎn)的是�����,現(xiàn)在國(guó)內(nèi)使用的大多數(shù)交換機(jī)和路由器都是國(guó)外品牌����,即使國(guó)內(nèi)品牌也多使用國(guó)外核心芯片設(shè)計(jì)完成��,造成國(guó)內(nèi)傳輸網(wǎng)絡(luò)數(shù)據(jù)可能被國(guó)外機(jī)構(gòu)監(jiān)聽����。因此,為保證網(wǎng)絡(luò)內(nèi)信息的安全傳遞����,在系統(tǒng)互聯(lián)互通中,需要使用大量自主研發(fā)的網(wǎng)絡(luò)交換設(shè)備�����、數(shù)據(jù)加密設(shè)備�、密鑰管理設(shè)備、安全管理設(shè)備等�����。同時(shí),互聯(lián)網(wǎng)絡(luò)中各種分布式計(jì)算����、語(yǔ)音、視頻等業(yè)務(wù)需要隨時(shí)隨地的在各分支機(jī)構(gòu)間運(yùn)行����,傳統(tǒng)意義上的Hub-Spoke、點(diǎn)對(duì)點(diǎn)的IPSec隧道解決方案不能滿足用戶的需求����。GDOI(Group Domain of Interpretat1n)協(xié)議提出了密鑰管理服務(wù)器和組成員(GM)的組加密部署模型,整網(wǎng)協(xié)商機(jī)制(Group SA)�,使用Group SA加解密節(jié)點(diǎn)間的流量,為任意節(jié)點(diǎn)IP安全通信提供了可能�����。為此�,開發(fā)GDOI協(xié)議下的大規(guī)模網(wǎng)絡(luò)密鑰管理中心具有重要的理論與實(shí)際意義。
【發(fā)明內(nèi)容】
[0003]為了解決上述內(nèi)容�,本發(fā)明提供一種基于GDOI協(xié)議下大規(guī)模網(wǎng)絡(luò)密鑰管理系統(tǒng),所述管理系統(tǒng)包括密鑰管理中心和密鑰管理控制終端�����,所述密鑰管理中心連接密鑰管理控制終端;
進(jìn)一步地���,所述密鑰管理中心用于所述管理系統(tǒng)的本機(jī)身份認(rèn)證、數(shù)據(jù)存儲(chǔ)的加密保護(hù)��、以及全網(wǎng)密碼設(shè)備的身份鑰匙管理�����,所述密鑰管理控制終端用于密鑰信息輸入和離線狀態(tài)下的密鑰管理中心的身份公鑰的分發(fā)�����;
進(jìn)一步地����,所述密鑰管理中心包括設(shè)備管理模塊、算法處理模塊�����、密鑰管理模塊�����、通信處理模塊、本地狀態(tài)監(jiān)控模塊和集成管理模塊��,其中��; 設(shè)備管理模塊��,所述設(shè)備管理模塊用于全網(wǎng)密碼設(shè)備的的管理���、狀態(tài)監(jiān)控和身份鑰匙的管理以及組密碼策略的維護(hù)�;
算法處理模塊����,所述算法處理模塊通過SM2、SM3和SM4算法對(duì)密碼設(shè)備進(jìn)行密鑰信息計(jì)算�����;
密鑰管理模塊���,所述密鑰管理模塊連接算法處理模塊����,通過算法處理模塊中SM2、SM3和SM4算法對(duì)本地關(guān)鍵數(shù)據(jù)的存儲(chǔ)保護(hù)以及對(duì)全網(wǎng)會(huì)話加密密鑰���、組策略密鑰加密密鑰和組策略傳輸加密工作密鑰進(jìn)行維護(hù)和管理�����;
通信處理模塊����,所述通信處理模塊用以實(shí)現(xiàn)所述密鑰管理模塊與密鑰管理控制終端���、所述設(shè)備管理模塊與密鑰管理控制終端以及密鑰管理模塊與所述設(shè)備管理模塊的通信連接,所述通信處理模塊對(duì)外統(tǒng)一提供GDOI協(xié)議接口��,密鑰的分發(fā)采用GDOI協(xié)議實(shí)施��;
本地狀態(tài)監(jiān)控模塊�,所述本地狀態(tài)監(jiān)控模塊用于收集設(shè)備管理模塊、算法處理模塊�����、密鑰管理模塊���、集成管理模塊和通信處理模塊的運(yùn)行狀態(tài)�,檢查關(guān)鍵數(shù)據(jù)的完整性,異常狀態(tài)觸發(fā)報(bào)警�����;
集成管理模塊�,所述集成管理模塊基于WEB方式對(duì)設(shè)備管理模塊、算法處理模塊�����、密鑰管理模塊�、通信處理模塊和本地狀態(tài)監(jiān)控模塊進(jìn)行管理和維護(hù),并對(duì)操作信息����、狀態(tài)信息和維護(hù)信息記錄形成日志;
進(jìn)一步地���,所述設(shè)備管理模塊包括遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元�����、組策略處理單元和身份鑰匙管理單元�,
遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元,所述遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元用于收集并監(jiān)控密碼設(shè)備的運(yùn)行狀態(tài)����;
組策略處理單元,所述組策略處理單元用于實(shí)現(xiàn)組策略信息的維護(hù)�,包括對(duì)組策略的密碼設(shè)備成員進(jìn)行增加和刪除操作;
身份鑰匙管理單元�����,所述身份鑰匙管理單元包括注密鑰匙和認(rèn)證鑰匙����,所述注密鑰匙用于實(shí)現(xiàn)密碼設(shè)備的關(guān)鍵參數(shù)的初裝注入�,所述認(rèn)證鑰匙用于實(shí)現(xiàn)密碼設(shè)備啟動(dòng)時(shí)的本地身份認(rèn)證功能;
進(jìn)一步地���,所述所述密鑰管理模塊包括噪聲碼處理單元���、本地關(guān)鍵數(shù)據(jù)存儲(chǔ)保護(hù)單元、會(huì)話加密密鑰(SEK)管理單元���、組策略密鑰加密密鑰(KEK)管理單元和組策略傳輸加密工作密鑰(TEK)管理單元�����,其中�;
噪聲碼處理單元,所述噪聲碼處理單元用以獲取和隨機(jī)檢測(cè)物理噪聲源的噪聲數(shù)據(jù)�����;本地關(guān)鍵數(shù)據(jù)存儲(chǔ)保護(hù)單元����,所述本地關(guān)鍵數(shù)據(jù)存儲(chǔ)保護(hù)單元通過身份鑰匙管理單元的認(rèn)證鑰匙實(shí)現(xiàn)本地的身份認(rèn)證功能,獲取存儲(chǔ)保護(hù)密鑰���,對(duì)本地敏感信息進(jìn)行存儲(chǔ)保護(hù)�;會(huì)話加密密鑰(SEK)管理單元�����,所述會(huì)話加密密鑰(SEK)管理單元通過與密碼設(shè)備進(jìn)行IKE交換�����,對(duì)全網(wǎng)密碼設(shè)備之間SEK密鑰進(jìn)行維護(hù)和管理����;
組策略密鑰加密密鑰(KEK)管理單元����,所述組策略密鑰加密密鑰(KEK)管理單元根據(jù)設(shè)備管理模塊的組策略狀態(tài)對(duì)全網(wǎng)KEK密鑰進(jìn)行更新和管理����;
組策略傳輸加密工作密鑰(TEK)管理單元,所述組策略傳輸加密工作密鑰(TEK)管理單元根據(jù)組策略狀態(tài)和密鑰更新周期�����,對(duì)TEK密鑰數(shù)據(jù)維護(hù)和管理��;
進(jìn)一步地��,所述通信處理模塊包括安全管理通信接口單元����、GDOI協(xié)議處理單元和組播通信處理單元�����,其中�; 安全管理通信接口單元�����,所述安全管理通信接口單元用于對(duì)密鑰管理模塊與設(shè)備管理模塊的通信協(xié)議進(jìn)行解析與處理��、對(duì)組策略信息進(jìn)行收集��、以及對(duì)設(shè)備管理模塊進(jìn)行命令解析和信息上報(bào)����;
⑶OI協(xié)議處理單元���,所述⑶OI協(xié)議處理單元用于實(shí)現(xiàn)密鑰管理控制終端與密鑰管理之間的通信連接�,并根據(jù)⑶OI協(xié)議對(duì)IKE SA,KEK SA和TEK SA的建立和維護(hù)��;
組播通信處理單元�,所述組播通信處理單元用以實(shí)現(xiàn)設(shè)備管理模塊和密鑰管理控制終端的通信連接,對(duì)TEK密鑰進(jìn)行組播分發(fā)����;
進(jìn)一步地,所述管理模塊包括密碼管理中心管理單元和日志維護(hù)單元�����,其中;
密碼管理中心管理單元��,所述密碼管理中心管理單元基于WEB方式對(duì)密鑰管理中心各類單元進(jìn)行參數(shù)配置和運(yùn)行管理����;
日志維護(hù)單元,所述日志維護(hù)單元用于收集密鑰管理中心各類單元的操作信息�����、狀態(tài)信息�、維護(hù)信息,并形成日志記錄����,供檢索和查詢;
進(jìn)一步地��,�����,所述密鑰管理控制終端包括身份卡信息輸入模塊和公鑰分發(fā)模塊���,所述密鑰管理控制終端為密鑰管理控制臺(tái)��;
本發(fā)明基于GDOI協(xié)議提出了密鑰管理服務(wù)器和組成員(GM)的組加密部署模型�,整網(wǎng)協(xié)商機(jī)制(Group SA)���,使用Group SA加解密節(jié)點(diǎn)間的流量����,為任意節(jié)點(diǎn)IP提供了可安全通信�。
【附圖說明】
[0004]圖1為本發(fā)明所述管理系統(tǒng)的硬件組成結(jié)構(gòu)圖;
圖2為本發(fā)明【背景技術(shù)】中所述全球范圍內(nèi)大規(guī)?;ヂ?lián)網(wǎng)絡(luò)的拓?fù)涫疽鈭D。
【具體實(shí)施方式】
[0005]為了使本發(fā)明的目的����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí)施例�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)描述。應(yīng)當(dāng)理解�,此處所描述的具體實(shí)施例僅僅用于解釋本發(fā)明,并不用于限定本發(fā)明��。相反����,本發(fā)明涵蓋任何由權(quán)利要求定義的在本發(fā)明的精髓和范圍上做的替代�、修改����、等效方法以及方案。進(jìn)一步���,為了使公眾對(duì)本發(fā)明有更好的了解�����,在下文對(duì)本發(fā)明的細(xì)節(jié)描述中���,詳盡描述了一些特定的細(xì)節(jié)部分。對(duì)本領(lǐng)域技術(shù)人員來(lái)說沒有這些細(xì)節(jié)部分的描述也可以完全理解本發(fā)明�����。
[0006]下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明�����,但不作為對(duì)本發(fā)明的限定���。下面為本發(fā)明的舉出最佳實(shí)施例:
如圖1-圖2所示�,本發(fā)明提供一種基于GDOI協(xié)議下大規(guī)模網(wǎng)絡(luò)密鑰管理系統(tǒng)��,所述管理系統(tǒng)包括密鑰管理中心和密鑰管理控制終端��,所述密鑰管理中心為2U高度的服務(wù)器設(shè)備����,所述服務(wù)器設(shè)備包括X86架構(gòu)主板、專用PC1-E密碼卡�����、存儲(chǔ)組件�、網(wǎng)卡、身份卡驅(qū)動(dòng)器�����、身份卡讀寫器和電源�����,所述密鑰管理中心設(shè)置在X86架構(gòu)主板上�����,并在該主板上配置有Usb-KEY,用于系統(tǒng)開機(jī)時(shí)的本機(jī)身份認(rèn)證���、數(shù)據(jù)存儲(chǔ)的加密保護(hù)�����、以及全網(wǎng)密碼設(shè)備的身份鑰匙管理���,所述密鑰管理中心子連接密鑰管理控制終端,所述密鑰管理控制終端用于全網(wǎng)所用密碼機(jī)身份卡的登記和離線狀態(tài)下的密鑰管理中心的身份公鑰分發(fā)�����。
[0007]所述密鑰管理中心包括設(shè)備管理模塊�����、算法處理模塊����、密鑰管理模塊、通信處理模塊�����、本地狀態(tài)監(jiān)控模塊和管理模塊。
[0008]所述設(shè)備管理模塊用于完成全網(wǎng)密碼設(shè)備的的管理���、狀態(tài)監(jiān)控、組密碼策略的維護(hù)工作����,實(shí)現(xiàn)全網(wǎng)身份鑰匙的管理,所述設(shè)備管理模塊包括遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元��、組策略處理單元�����、身份鑰匙管理單元�����。
[0009]所述遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元用于收集并監(jiān)控密碼設(shè)備的運(yùn)行狀態(tài)�����,如有異常及時(shí)向設(shè)備管理模塊匯報(bào)����,所述設(shè)備管理模塊對(duì)異常狀態(tài)的密碼設(shè)備進(jìn)行維護(hù)和管理����。所述組策略處理單元用于實(shí)現(xiàn)組策略信息的維護(hù)�����,支持對(duì)組策略的密碼設(shè)備成員進(jìn)行增加和刪除操作�,全網(wǎng)支持的最多組策略條目不超過10000條,每個(gè)組策略支持的成員不超過1000個(gè)����。所述身份鑰匙管理單元包括注密鑰匙和認(rèn)證鑰匙,所述注密鑰匙用于實(shí)現(xiàn)密碼設(shè)備的關(guān)鍵參數(shù)的初裝注入����,所述認(rèn)證鑰匙用于實(shí)現(xiàn)密碼設(shè)備啟動(dòng)時(shí)的本地身份認(rèn)證功能。
[0010]所述算法處理模塊通過SM2����、SM3和SM4算法處理,所述算法處理模塊通過SM2���、SM3和SM4算法對(duì)密碼設(shè)備進(jìn)行密鑰信息計(jì)算�,支持同時(shí)最多200個(gè)密碼設(shè)備的注冊(cè)認(rèn)證。
[0011]所述密鑰管理模塊包括噪聲碼處理單元���、本地關(guān)鍵數(shù)據(jù)存儲(chǔ)保護(hù)單元����、會(huì)話加密密鑰(SEK)管理單元��、組策略密鑰加密密鑰(KEK)管理單元和組策略傳輸加密工作密鑰(TEK)管理單元����,所述噪聲碼處理單元用以獲取物理噪聲源的噪聲數(shù)據(jù)����,對(duì)獲取的噪聲數(shù)據(jù)進(jìn)行隨機(jī)性檢測(cè),保證現(xiàn)制密鑰的隨機(jī)性�。所述本地關(guān)鍵數(shù)據(jù)存儲(chǔ)保護(hù)單元通過身份鑰匙管理單元的認(rèn)證鑰匙實(shí)現(xiàn)本地的身份認(rèn)證功能,獲取存儲(chǔ)保護(hù)密鑰���,實(shí)現(xiàn)本地敏感信息的存儲(chǔ)保護(hù)�。所述會(huì)話加密密鑰(SEK)管理單元通過與密碼設(shè)備進(jìn)行IKE交換���,實(shí)現(xiàn)與全網(wǎng)密碼設(shè)備之間SEK密鑰的維護(hù)與管理�,完成對(duì)KEK數(shù)據(jù)的傳輸保護(hù)。所述組策略密鑰加密密鑰(KEK)管理單元根據(jù)組策略狀態(tài)維護(hù)全網(wǎng)KEK密鑰的更新和管理��,實(shí)現(xiàn)對(duì)TEK數(shù)據(jù)的傳輸保護(hù)�。所述組策略傳輸加密工作密鑰(TEK)管理單元根據(jù)組策略狀態(tài)和密鑰更新周期維護(hù)TEK密鑰數(shù)據(jù)的管理,實(shí)現(xiàn)對(duì)組策略數(shù)據(jù)的傳輸保護(hù)��。
[0012]所述算法處理模塊連接密鑰管理模塊����,通過SM2、SM3及SM4算法����,實(shí)現(xiàn)本地關(guān)鍵數(shù)據(jù)的存儲(chǔ)保護(hù),全網(wǎng)會(huì)話加密密鑰��、組策略密鑰加密密鑰及組策略傳輸加密工作密鑰的維護(hù)和管理��。
[0013]所述通信處理模塊包括安全管理通信接口單元����、GDOI協(xié)議處理單元和組播通信處理單元,所述通信處理模塊用以實(shí)現(xiàn)所述密鑰管理模塊與密鑰管理控制終端的通信連接��、所述設(shè)備管理模塊與密鑰管理控制終端的通信連接以及密鑰管理模塊與所述設(shè)備管理模塊的通信連接,所述通信處理模塊對(duì)外統(tǒng)一提供GDOI協(xié)議接口�����,密鑰的分發(fā)采用GDOI協(xié)議實(shí)施�。所述安全管理通信接口單元用于實(shí)現(xiàn)密鑰管理模塊與設(shè)備管理模塊的通信協(xié)議解析與處理、組策略信息的收集�、設(shè)備管理模塊命令解析以及信息上報(bào)。所述GDOI協(xié)議處理單元用于實(shí)現(xiàn)密鑰管理控制終端與密鑰管理之間的通信連接����,并根據(jù)⑶OI協(xié)議完成對(duì)IKE SA,KEK SA和TEK SA的建立和維護(hù)。所述組播通信處理單元用以實(shí)現(xiàn)設(shè)備管理模塊和密鑰管理控制終端的通信連接�,對(duì)TEK密鑰進(jìn)行組播分發(fā)。
[0014]所述本地狀態(tài)監(jiān)控模塊用于收集各單元的運(yùn)行狀態(tài)���,檢查關(guān)鍵數(shù)據(jù)的完整性,異常狀態(tài)觸發(fā)報(bào)警��。
[0015]所述管理模塊包括密碼管理中心管理單元和日志維護(hù)單元����,所述密碼管理中心管理單元基于WEB方式的管理維護(hù)功能,對(duì)密鑰管理中心進(jìn)行參數(shù)配置��,運(yùn)行管理,所述日志維護(hù)單元用于收集密鑰管理中心中運(yùn)行的各類操作信息����、狀態(tài)信息、維護(hù)信息�,并形成日志記錄,便于檢索和查詢���。
[0016]所述密鑰管理控制終端包括身份卡信息輸入模塊和公鑰分發(fā)模塊���,所述密鑰管理控制終端為密鑰管理控制臺(tái)。
[0017]以上所述的實(shí)施例����,只是本發(fā)明較優(yōu)選的【具體實(shí)施方式】的一種����,本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案范圍內(nèi)進(jìn)行的通常變化和替換都應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)�。
【主權(quán)項(xiàng)】
1.一種基于⑶OI協(xié)議下大規(guī)模網(wǎng)絡(luò)密鑰管理系統(tǒng)���,所述管理系統(tǒng)包括密鑰管理中心和密鑰管理控制終端�����,所述密鑰管理中心連接密鑰管理控制終端。2.根據(jù)權(quán)利要求1所述的管理系統(tǒng)�����,其特征在于�����,所述密鑰管理中心用于所述管理系統(tǒng)的本機(jī)身份認(rèn)證�、數(shù)據(jù)存儲(chǔ)的加密保護(hù)、以及全網(wǎng)密碼設(shè)備的身份鑰匙管理��,所述密鑰管理控制終端用于密鑰信息輸入和離線狀態(tài)下的密鑰管理中心的身份公鑰的分發(fā)��。3.根據(jù)權(quán)利要求2所述的管理系統(tǒng)�����,其特征在于�,所述密鑰管理中心包括設(shè)備管理模塊����、算法處理模塊、密鑰管理模塊���、通信處理模塊��、本地狀態(tài)監(jiān)控模塊和集成管理模塊�,其中; 設(shè)備管理模塊���,所述設(shè)備管理模塊用于全網(wǎng)密碼設(shè)備的的管理�、狀態(tài)監(jiān)控和身份鑰匙的管理以及組密碼策略的維護(hù)�����; 算法處理模塊����,所述算法處理模塊通過SM2、SM3和SM4算法對(duì)密碼設(shè)備進(jìn)行密鑰信息計(jì)算��; 密鑰管理模塊����,所述密鑰管理模塊連接算法處理模塊,通過算法處理模塊中SM2�����、SM3和SM4算法對(duì)本地關(guān)鍵數(shù)據(jù)的存儲(chǔ)保護(hù)以及對(duì)全網(wǎng)會(huì)話加密密鑰、組策略密鑰加密密鑰和組策略傳輸加密工作密鑰進(jìn)行維護(hù)和管理����; 通信處理模塊,所述通信處理模塊用以實(shí)現(xiàn)所述密鑰管理模塊與密鑰管理控制終端�、所述設(shè)備管理模塊與密鑰管理控制終端以及密鑰管理模塊與所述設(shè)備管理模塊的通信連接,所述通信處理模塊對(duì)外統(tǒng)一提供GDOI協(xié)議接口��,密鑰的分發(fā)采用GDOI協(xié)議實(shí)施���; 本地狀態(tài)監(jiān)控模塊����,所述本地狀態(tài)監(jiān)控模塊用于收集設(shè)備管理模塊����、算法處理模塊、密鑰管理模塊���、集成管理模塊和通信處理模塊的運(yùn)行狀態(tài)���,檢查關(guān)鍵數(shù)據(jù)的完整性��,異常狀態(tài)觸發(fā)報(bào)警; 集成管理模塊��,所述集成管理模塊基于WEB方式對(duì)設(shè)備管理模塊��、算法處理模塊����、密鑰管理模塊、通信處理模塊和本地狀態(tài)監(jiān)控模塊進(jìn)行管理和維護(hù)�,并對(duì)操作信息、狀態(tài)信息和維護(hù)信息記錄形成日志����。4.根據(jù)權(quán)利要求3所述的管理系統(tǒng),其特征在于�����,所述設(shè)備管理模塊包括遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元���、組策略處理單元和身份鑰匙管理單元��, 遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元��,所述遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元用于收集并監(jiān)控密碼設(shè)備的運(yùn)行狀態(tài)�����; 組策略處理單元����,所述組策略處理單元用于實(shí)現(xiàn)組策略信息的維護(hù),包括對(duì)組策略的密碼設(shè)備成員進(jìn)行增加和刪除操作�; 身份鑰匙管理單元,所述身份鑰匙管理單元包括注密鑰匙和認(rèn)證鑰匙�����,所述注密鑰匙用于實(shí)現(xiàn)密碼設(shè)備的關(guān)鍵參數(shù)的初裝注入����,所述認(rèn)證鑰匙用于實(shí)現(xiàn)密碼設(shè)備啟動(dòng)時(shí)的本地身份認(rèn)證功能。5.根據(jù)權(quán)利要求4所述的管理系統(tǒng)�����,其特征在于�,所述所述密鑰管理模塊包括噪聲碼處理單元、本地關(guān)鍵數(shù)據(jù)存儲(chǔ)保護(hù)單元���、會(huì)話加密密鑰(SEK)管理單元���、組策略密鑰加密密鑰(KEK)管理單元和組策略傳輸加密工作密鑰(TEK)管理單元����,其中�����; 噪聲碼處理單元�����,所述噪聲碼處理單元用以獲取和隨機(jī)檢測(cè)物理噪聲源的噪聲數(shù)據(jù)��; 本地關(guān)鍵數(shù)據(jù)存儲(chǔ)保護(hù)單元��,所述本地關(guān)鍵數(shù)據(jù)存儲(chǔ)保護(hù)單元通過身份鑰匙管理單元的認(rèn)證鑰匙實(shí)現(xiàn)本地的身份認(rèn)證功能��,獲取存儲(chǔ)保護(hù)密鑰�����,對(duì)本地敏感信息進(jìn)行存儲(chǔ)保護(hù)��; 會(huì)話加密密鑰(SEK)管理單元���,所述會(huì)話加密密鑰(SEK)管理單元通過與密碼設(shè)備進(jìn)行IKE交換��,對(duì)全網(wǎng)密碼設(shè)備之間SEK密鑰進(jìn)行維護(hù)和管理����; 組策略密鑰加密密鑰(KEK)管理單元�,所述組策略密鑰加密密鑰(KEK)管理單元根據(jù)設(shè)備管理模塊的組策略狀態(tài)對(duì)全網(wǎng)KEK密鑰進(jìn)行更新和管理; 組策略傳輸加密工作密鑰(TEK)管理單元�,所述組策略傳輸加密工作密鑰(TEK)管理單元根據(jù)組策略狀態(tài)和密鑰更新周期,對(duì)TEK密鑰數(shù)據(jù)維護(hù)和管理���。6.根據(jù)權(quán)利要求5所述的管理系統(tǒng)����,其特征在于���,所述通信處理模塊包括安全管理通信接口單元���、GDOI協(xié)議處理單元和組播通信處理單元,其中�����; 安全管理通信接口單元,所述安全管理通信接口單元用于對(duì)密鑰管理模塊與設(shè)備管理模塊的通信協(xié)議進(jìn)行解析與處理����、對(duì)組策略信息進(jìn)行收集、以及對(duì)設(shè)備管理模塊進(jìn)行命令解析和信息上報(bào)��; ⑶OI協(xié)議處理單元���,所述⑶OI協(xié)議處理單元用于實(shí)現(xiàn)密鑰管理控制終端與密鑰管理之間的通信連接,并根據(jù)⑶OI協(xié)議對(duì)IKE SA,KEK SA和TEK SA的建立和維護(hù)����; 組播通信處理單元,所述組播通信處理單元用以實(shí)現(xiàn)設(shè)備管理模塊和密鑰管理控制終端的通信連接�����,對(duì)TEK密鑰進(jìn)行組播分發(fā)�。7.根據(jù)權(quán)利要求6所述的管理系統(tǒng),其特征在于�����,所述管理模塊包括密碼管理中心管理單元和日志維護(hù)單元,其中���; 密碼管理中心管理單元�����,所述密碼管理中心管理單元基于WEB方式對(duì)密鑰管理中心各類單元進(jìn)行參數(shù)配置和運(yùn)行管理�; 日志維護(hù)單元��,所述日志維護(hù)單元用于收集密鑰管理中心各類單元的操作信息�����、狀態(tài)信息�����、維護(hù)信息�,并形成日志記錄,供檢索和查詢�。8.根據(jù)權(quán)利要求7所述的管理系統(tǒng),其特征在于���,所述密鑰管理控制終端包括身份卡信息輸入模塊和公鑰分發(fā)模塊����,所述密鑰管理控制終端為密鑰管理控制臺(tái)。
【文檔編號(hào)】H04L9/08GK105939354SQ201610405993
【公開日】2016年9月14日
【申請(qǐng)日】2016年6月10日
【發(fā)明人】朱云, 李元驊, 張曉囡
【申請(qǐng)人】北京數(shù)盾信息科技有限公司