[发明专利]非对称密钥管理系统

说明书

技术领域：

本发明涉及一种网络安全技术，特别涉及一种非对称密钥管理系统。

背景技术：

随着计算机技术的不断进步，计算机网络已经被广泛地应用到日常工作、学习、生活的各个领域。信息技术的应用提高了工作的效率，最终促进了整个社会的发展。但信息安全的保障问题却在阻碍电子商务、电子政务等网络化应用的广泛开展。所以，要采用有效的措施来保障信息化的完全发展。

数字证书是有效解决信息安全的技术手段，通过建立数字证书认证中心(CA中心)，发放数字证书，广泛开展数字证书的安全应用，CA认证体系，可以实现保障信息化安全建设的需求。而数字证书认证中心的建设中，密钥管理作为CA认证体系中重要的组成部分，为数字证书认证中心提供密钥服务，是不可缺少的部分，需要着重进行建设。

为此，CA体系中的密钥管理体系——密钥管理中心，是CA体系中重点建设的项目。密钥管理中心作为CA体系中的核心部份，将负责CA体系中加密密钥的整个生命周期的管理，承担CA体系的信任体系基础的职能。

在国家密码管理机构的认可和推动下，双证书机制是当前中国PKI体系建设的主流模式。使用加密证书进行密钥的交换和保护，使用签名证书进行身份认证，既使PKI技术在应用中发挥其基于非对称密钥所带来的优势，又满足了国家对PKI应用进行审计监管的需要，是国家密码管理机构对PKI证书应用的基本要求。

发明内容：

本发明为了解决现有网络通信所存在的安全问题，并符合符合中国PKI机制和密码产品管理政策，提供一种非对称密钥管理系统。该系统符合中国PKI机制和密码产品管理政策，并解决了密钥管理的安全性要求高、建设复杂问题。

为达到上述目的，本发明采用如下的技术方案：

非对称密钥管理系统，该系统包括客户端模块和服务器端模块，所述服务器端模块包括服务模块、管理模块、加密机引擎模块以及密钥库库管理模块，所述服务模块包括密钥分发模块、密钥恢复模块、密钥销毁模块、密钥生成模块、密钥保护模块、密钥归档模块以及负责鉴别接入的CA系统的CA认证模块；所述管理模块包括认证与权限验证模块、配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块；所述客户端模块通过认证与权限验证模块控制配置管理模块、密钥管理模块、密钥查询统计模块、审计模块、报表管理模块、CA控制模块实现对系统运行的控制；所述服务模块通过CA认证模块鉴别接入的CA系统，并通过密钥分发模块、密钥恢复模块以及密钥销毁模块对其提供相应的服务；所述服务模块还通过密钥生成模块、密钥保护模块以及密钥归档模块调用加密机引擎模块以实现相应的产生密钥对、密钥保护、密钥归档功能。

所述密钥库库管理模块负责密钥的存储管理，按照其存储的密钥的状态，密钥库分为备用密钥库、在用密钥库和历史密钥库三种类型。

所述密钥库中的密钥数据加密存放。

所述加密机引擎模块为多种类型的加密机在高层提供统一的调用接口，实现系统可通过统一的参数来初始化某一种类型的加密机，并调用其统一的接口实现对称、非对称密钥的产生，对称、非对称的加解密，签名验证等功能。

所述CA认证模块鉴别接入的CA系统，经过鉴别，CA认证模块根据不同的CA系统的密钥请求向密钥生成模块产生不同的密钥生成服务。

所述配置管理模块实现对系统的动态参数配置，可以对敏感数据进行加密存储，该模块可以控制日志输出、服务端口、加密机配置、数据库配置等信息。

所述密钥管理模块负责接收、审核CA系统的密钥申请，并调用备用密钥库中的密钥对，向CA系统发送密钥对；对调用的备用密钥库中的密钥对进行处理，并将其转移到在用密钥库；对在用密钥库中的密钥进行定期检查。

所述密钥查询统计模块为能够提供查询各CA系统对密钥的使用情况，单个密钥的变动历史，以及密钥申请统计表、密钥使用统计表等多个统计报表的功能模块。

所述CA控制模块中提供了CA系统的控制功能。

所述审计模块包括管理操作审计模块和密钥服务审计模块。

所述报表管理模块为系统提供各种报表。

根据上述技术方案得到的本发明符合中国PKI机制和密码产品管理政策，其能够解决密钥管理的安全性要求高、建设复杂问题，对中国国内密钥安全类产品管理的规范性和双证书应用的快速增长起到积极的推动作用。

本发明完全符合国密局标准，现有符合国密局CA接口设计标准的认证系统能够轻松接入，无须对接口进行任何改造，只需要在密钥管理中心对其进行一次授权操作即可。