密钥管理系统(Key Management Service)为证书认证服务器提供用户加密密钥的生成及管理服务,包括用户加密密钥的生成、归档、恢复、作废等密钥管理功能。
系统支持HSM硬件加密设备,支持高强度的密钥及加密算法,实现了密钥黑盒管理,系统密钥不出主机加密服务器,拥有高强度的安全性和保密性。
- 密钥产生
- 密钥查询
- 密钥统计
- 密钥归档
- 密钥恢复
- 司法取证
- 权限管理
密钥管理系统的主要功能包括:
管理员可以通过此功能管理密钥产生计划,用于在系统运行不繁忙的时候预先产生密钥以作备用,在证书认证服务器申请密钥的时候可以提高密钥管理系统的工作效率。计划根据执行时间和在数据库中保存的最大数量来决定是否每天执行。
管理员可以执行添加、更新、删除、停止计划的操作。
证书认证服务器向密钥管理系统申请密钥并为用户签发证书成功后,申请的密钥对保存在密钥管理系统的在用密钥库中,超级管理员可以查看在用密钥的详细信息。
对系统中所有的备用、在用和归档密钥进行统计。根据统计条件,统计不同状态下的密钥对的数量。
证书认证服务器发起密钥归档消息后,在密钥管理系统将待归档密钥对标注为待归档状态,而后由密钥管理系统进行手工归档。
密钥恢复可以从密钥管理系统的数据库中提取出欲恢复密钥(私钥)并进行保存。
司法验证过程中,密钥管理系统根据在系统初始化阶段设定的M/N值(N个人中最少M个人到场)进行司法取证员的身份验证,验证通过后进行密钥恢复。
在密钥管理系统,对管理员采用基于数字证书的身份验证机制,管理员的管理权限与其证书进行绑定。系统采用分布式的基于角色的权限管理,管理员间权限分离,某一管理员只管理某一部分功能并受其他管理员监督。
密钥管理系统部署在CA系统密钥管理中心,为CA数字证书认证系统提供远程调用服务。
图 KM系统部署示意图
-
=============内容区4==============
