密钥管理系统是北京创原天地科技有限公司独立自主研发的高性能、高安全性的密钥管理系统,符合国家密码管理局颁布的GM/T 0038-2014《证书认证密钥管理系统检测规范》、GM/T 0051-2016 《密码设备管理对称密钥管理技术规范》,通过国家密码管理局商用密码检测中心检测认证和国产化适配,并获得商用密码产品认证证书。
密钥管理系统基于国家密码管理局鉴定并批准的密码设备(如服务器密码机),全面支持国产商密码算法和国际标准算法,密码运算和密钥生成均由密码设备实现,保证密码运算安全和密钥生成、存储安全,为用户提供合规、安全、高效的密钥管理服务。
密钥管理系统具有完善的对称密钥和非对称密钥管理体系,支持SM1/2/3/4、RSA、AES、SHA256等算法,提供CA证书密钥管理、分散密钥管理、对称密钥管理和非对称密钥管理等服务,实现密钥的生成、更新、存储、分发、归档、备份、恢复和销毁等全生命周期管理,保障密钥生命周期中各环节的安全。
密钥管理系统负责整个密码服务基础设施的核心数据-密钥的安全管理,为平台服务商、密码使用单位/个人等用户提供密钥管理相关安全服务,如密钥生成服务、密钥分发服务、密钥安全隔离和存储服务、密钥安全访问服务、密钥策略控制服务、基于托管密钥的加解密服务、密钥使用的日志记录服务、密钥高可用服务等,满足用户密钥管理、密钥托管等需求。
对称密钥管理提供对称密钥生成、存储、备份、恢复、获取、更新和销毁等全生命周期管理,为数据加密系统、密码机等密码产品及业务系统提供对称密钥服务。
支持生成SM1、SM4、AES、3DES等对称密钥,支持批量生成或单个索引生成。支持密钥长度和算法的选择;调用密码设备随机生成对称密钥,通过密钥保护密钥加密保存在密钥管理系统中。支持制定密钥生成与密钥更新策略,密钥更新后旧密钥迁移至历史密钥库。
非对称密钥管理提供非对称密钥生成、存储、备份、恢复、获取、更新和销毁等全生命周期管理,为密码产品和业务系统提供非对称密钥服务。
支持批量生成或者单个索引生成SM2、RSA密钥对,每一对密钥占用一个密钥索引号。支持根据密钥用途生成签名密钥、加密密钥等。密钥生成时可选择密钥算法、密钥模长和密钥用途等。通过密码卡随机生成非对称密钥对,并使用密钥保护密钥加密保存在密钥管理系统中。密钥更新后旧密钥迁移至历史密钥库。
证书密钥管理提供证书密钥生成、存储、备份、恢复、获取、更新和销毁等全生命周期管理,配套数字证书认证系统(CA)使用。
支持CA系统的添加、删除、启停等管理。支持配置CA服务器证书。支持密钥生成计划设置,提供SM2、RSA算法密钥预生成。
派生密钥管理是指使用分散因子实现密钥的派生,提供密钥更新策略配置、密钥绑定和密钥分发等功能。
支持时间周期、一次一密和固定密钥三种密钥更新策略。
支持按证书密钥、派生密钥、对称密钥及非对称密钥等密钥类型,对系统中在用密钥库、历史密钥库和备用密钥库的密钥数量、新增密钥数量等进行统计。支持密钥使用情况的统计,可按照时间周期统计密钥使用次数。
根据司法取证需要,司法取证员可查询密钥管理系统密钥信息,并通过司法取证及管理员UKEY可将密钥加密导出到安全介质。
实现对调用密钥管理系统的应用系统进行添加、删除、修改。根据在系统配置的应用标识和应用证书,对密钥管理SDK的合法性进行安全认证。支持多个应用系统调用,在密钥管理系统完成应用添加后即可使用密钥服务。
系统提供可视化管理控制台,可查看操作内容、操作时间、操作结果、操作人员等密钥管理的日志记录,具有日志查询、导出、审计等功能。支持对操作日志和业务日志进行安全审计,防止日志记录被篡改。
系统采用“三权”分立机制保证系统安全性,管理用户分为管理员、操作员、审计员三类角色,按照角色类型配置相应的权限列表。管理员权限包括用户管理、系统管理等。操作员可依照分配的权限对密钥的全生命周期进行管理。审计员权限包括日志查看、日志审计等。系统支持管理员采用数字证书(USBKEY)进行身份鉴别。
版权:北京创原天地科技有限公司All Rights Reserved