股票代码:832642

密码服务平台

当前位置:首页 > 产品中心 > 平台产品 > 密码服务平台 > 密码服务平台

产品背景
    目前我国电子政务、金融、医疗、电力等领域信息化已全面普及,对计算机网络的安全也越来越重视。密码安全作为信息安全的基础性核心技术,是信息保护和网络信任体系建设的基础,也是实行信息安全等级保护不可或缺的关键技术,充分利用密码技术能够有效地保障信息安全等级保护制度的落实,科学合理的利用密码技术及其产品,是落实信息安全体系建设最为有效、经济和便捷的手段。
    而随着大型信息系统的出现,应用对密码服务系统的工作性能(包括系统吞吐率、加解密速度、支持算法等方面)也提出了更高的要求,要求从体系结构设计上更好的支持密码服务系统性能、功能扩展,降低系统应用开发的复杂性,以构筑信息安全整体防护体系。
    针对上述需求,山东确信依据长期信息安全领域的经验,结合重点行业应用,研制开发了密码安全服务平台。通过屏蔽密码硬件的差异,为应用系统提供统一方便的密码运算开发接口及密码安全服务。密码硬件设备的管理和维护都在密码服务平台中进行,从而降低了密码设备管理和维护的成本,同时提供数据加密/解密、签名/验证、身份鉴别、摘要计算、密钥管理、数字签章、时间戳等全面信息安全服务,全面提升信息系统安全等级。
需求分析
    大型企事业单位信息系统较多,部分已经采用了基于国产密码算法的硬件设备,其目前的安全现状及存在的问题如下:
1)单个安全产品需求逐步减少,独立产品各自为营的局面不能实现整体的信息安全防护,而平台化的整合将是信息安全建设的思路和趋势。
2)业务系统较多,各自调用的硬件设备的类型不同,厂家也不同,导致管理和开发的复杂性。
3)每个业务系统由不同应用厂商开发,不同安全设备的接口不同,专业化程度不同,且与各自业务系统关联性强,导致设备管理分散,并且设备更换或升级复杂性高。
4)各业务系统数字证书、密钥、算法及安全协议管理分散,无法共用,更重要的是对于密钥的产生、传输、存储以及销毁等没有安全规范,存在安全隐患。     
    针对上述问题及需求,山东确信利用自身的密码技术优势,结合多年的信息安全服务经验,自主研制开发了密码安全服务平台,借鉴成熟的平台技术框架与技术理念并自主创新,作为业务系统安全防护的支撑平台。
平台简介   
    密码服务平台以商用密码为基础,结合国内安全需求与产业市场,借鉴成熟的平台技术框架与技术理念并自主创新,为安全应用的身份鉴别、数据完整性、数据机密性和不可否认性等提供密码支撑。
平台体系结构如下:

                      密码服务平台体系机构图

    平台根据高性能密码服务系统的应用和安全需求,结合密码设备集群系统可扩展性的特点,采用了基于集群系统的密码安全体系结构,通过密码接口引擎支持多密码设备、多密码算法并行,向上提供平台身份鉴别、数据完整性、数据机密性和不可否认性等安全服务。   
    平台由密码接口引擎、密码设备管理、密码服务管理及用户管理、安全管理、运行管理等管理模块组成。   
    密码接口引擎是平台的基础,它提供各种密码算法运算和安全协议的软硬件实现;提供统一的底层设备API接口完成对密码设备的调用,接口功能灵活,便于引擎对密码功能资源进行统一的管理和调度。
    密码设备管理是平台系统的核心,负责密码资源的管理与调度,包括几个主要功能部分:(1)密码设备安全管理引擎,完成设备访问控制、存储管理和密钥管理等安全功能;(2)协议实现引擎,用于对应用层安全协议的格式进行处理,转换成标准的数据格式;(3)资源管理器,实现底层安全模块中软/硬件算法单元的抽象处理,并注册密码运算可用资源;(4)作业调度管理器,针对请求作业(密码运算功能请求人物),根据调度策略分配可用资源进行处理。  
    密码服务管理是面向应用提供统一的密码服务API接口,按密码服务的类型可分为密码服务、信任服务、证书服务等。应用从平台中获得安全服务(如签名服务、数据加密服务等),而不是针对某个密码设备的密码函数功能,密码服务的实现对应用层完全透明。  
    平台的管理模块实现对平台自身的管理,运行管理实现平台系统的系统配置、网络配置等;用户管理实现平台用户的管理、平台应用资源的管理等;安全管理实现平台密钥管理、证书管理及内部安全协议的管理。
平台特点  
    以商用密码为基础,结合国内安全需求与产业市场,借鉴成熟的平台技术框架与技术理念并自主创新,作为业务系统安全防护的基础性支撑产品,具有下列特点:     
    1)密码设备的集中安全管理  
    将通用的密码安全设备,包括时间戳服务器、签名验证服务器、密码机、安全应用网关、电子签章系统等统一配置、统一管理,对平台内密钥的产生、分发、处理、存储以及销毁等生命周期的各个环节进行集中安全管理,将密钥、证书的安全管理流程化、制度化,提升整体安全性。  
    2)密码设备的资源共享  实现密码设备的应用共享,通过统一规范的密码服务接口,将密码设备提供多应用共享使用,最大程度的发挥密码设备的性能。通过不同的密钥ID及证书,互不影响。同时,设备的共享使用提高产品利用率,降低投资成本。  
    3)支持集群式部署  通过密码设备接口引擎(SM2引擎、SM3引擎、SM4引擎、随机数发生器、HMAC引擎、执行引擎及安全存储器等),支持密码设备双机热备、负载均衡部署,即针对应用调用密码设备时,实现处理的智能负载,保障处理性能的最大化。  
    4)密码服务的标准规范  支持国家密码管理局的密码功能与接口规范,针对不同业务系统提供密码服务时,提供统一的API接口(C、C++、JAVA及自定义接口),提高安全可靠性。同时,使业务系统与密码设备不必直接关联,降低了密码应用的开发难度。  
    5)可靠的运行机制  平台具备完善的运行管理机制,支持分布式部署,针对系统运行、各模块监控、业务操作等提供完整的日志记录,方便管理审计和故障排查。