密钥管理系统实现对称密钥与非对称密钥的全生命周期管理,为应用系统提供安全便捷的密钥托管服务。可实现密钥代为管理及密钥生产管理两类;密钥代为管理是指普通用户或应用申请使用新的密钥并将该密钥的使用权限由本系统代为管理,本系统将对该密钥的全生命周期进行管理。密钥生产管理是指系统用户申请使用新的密钥,该密钥的使用权限和使用规则由应用系统用户自行管理,本系统只负责目标密钥的生成、存储及分发。
对称/非对称密钥管理
密钥管理模块为对称/非对称密钥对的状态和属性进行全生命周期(密钥生成、激活、存储、分发、导入与导出、密钥使用、密钥更新、密钥备份与恢复、密钥归档、密钥注销、密钥销毁等)管理服务,管理各应用系统中的数据或文件加密密钥、签名密钥。密钥管理将提供密钥模板管理、密钥策略管理、应用配额管理、密钥库管理、密钥库备份、密钥库还原和应用服务管理等功能。
算法管理
算法管理模块包括增加密码算法、删除密码算法、更新密码算法以及查询密码算法等功能。密码算法属性包括算法名称、算法类型(对称算法、分组算法、序列算法、杂凑算法、派生算法以及非对称算法等)、算法标识、算法提供模块等内容。
密钥策略配置
策略管理模块操作包括新增策略、删除策略、修改策略、查询策略。策略类型有密钥生成策略、密钥更新策略、密钥备份/恢复策略等。密钥生产策略属性包括密钥阈值、密钥生效时间、密钥模版等内容。支持系统安全策略配置(密码复杂性管理、会话锁定、超时退出等常用策略),支持策略集中管控,用户可根据自身应用策略进行密码服务及密钥使用配置。
密钥管理服务
通过提供密钥管理服务应用的安全开发套件,实现对底层硬件和逻辑操作的封装,并提供易于使用的接口开发工具,统一为信息系统提供标准的密钥管理功能。
高可用性
支持双机热备,当主系统出现异常时,备用的系统接管密钥服务,保持密钥服务的连续使用。
兼容性强
同时支持国家密码管理局定义的SDF接口,及国际通用的PKCS#11和JCE接口,对常用的密码设备都有良好的兼容性。
安全合规
采用三层密钥结构体系设计,充分保证用户密钥及应用系统的安全性。密钥安全存储,保证关键密钥在任何时候不以明文形式出现在设备外,密钥备份文件也受主密钥的加密保护。
硬件一体化
为了保证密钥管理、使用等环节的安全性,将系统进行硬件化设计,内置具有国家密码管理局商用密码产品认证证书的密码卡,保证密钥的产生和传递都在系统内部进行,避免与外部密码机在通讯过程中的安全风险。
分级管理
采用分级分域的密钥管理系统系统架构,实现高内聚、松耦合的特性。多级多区域同时部署密钥管理系统,单区域密钥管理系统可以独立就近提供服务,即使密钥泄露也不会影响其它区域;多区域之间加密数据传递时,加密密钥通过上级密管进行转加密,既提供了多区域间的密钥传输能力,又保证了密钥传输的安全性。
密钥管理能力
支持对称、非对称的密钥全生命周期管理,最少支持千万级用户量,可根据用户需求支持存储亿级以上密钥。
| 参数名称 | 参数数值 |
| 型号 | KMS300 |
| 外观尺寸 | 2U 549mm×433mm×88.8mm |
| 重量 | 25KG |
| 液晶屏 | 触摸屏,显示设备运行状况,网口地址,系统版本信息 |
| 电源 | 冗余550W电源 |
| 功耗 | 220w |
| 网口 | 4个10/100/1000Mbps自适应以太网接口,一个管理口,三个业务口,不支持捆绑 |
| USB | 20%~93% (40°℃) |
| 视频接口 | 4个USB接口 |
| 工作温湿度 |
0℃~40℃ 5%~95%RH |
