[发明专利]一种面向密码机集群的管理员身份管控方法及系统在审
| 申请号: | 202210517940.2 | 申请日: | 2022-05-12 |
| 公开(公告)号: | CN115021927A | 公开(公告)日: | 2022-09-06 |
| 发明(设计)人: | 王伟;林璟锵;李凯轩;郎帆;鲁琳俪 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L9/32 | 分类号: | H04L9/32;H04L9/08;H04L9/30;H04L9/40 |
| 代理公司: | 北京君尚知识产权代理有限公司 11200 | 代理人: | 司立彬 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 面向 密码机 集群 管理员 身份 方法 系统 | ||
本发明公开了一种面向密码机集群的管理员身份管控方法及系统。本系统包括密钥管理系统、密码机集群,每台密码机下配有多个智能密码钥匙。本方法为:密钥管理系统下发密码机密钥、对密码机管理员的身份进行统一鉴别和管理;密码机向密钥管理系统发送创建管理员申请;智能密码钥匙作为管理员身份凭证协同密码机进行管理员的创建申请;密钥管理系统平台管理员审核密码机的管理员创建请求。同时也公布了创建管理员的权限管理策略,密钥管理系统根据此前存储的集群范围内管理员角色信息,结合权限管理策略对管理员创建请求进行审核。本发明解决了单一人员权限过大的问题,提高了密码设备的安全性。
技术领域
本发明涉及信息安全技术领域,尤其涉及一种面向密码机集群的管理员身份管控方法及系统。
背景技术
密码机可为各类应用提供非对称/对称数据加解密运算、完整性校验、真随机数生成、密钥生成和管理等服务,确保用户数据的机密性、真实性、完整性和有效性。密码机除了对外提供密码计算服务外,自身还要完成包括设备配置、密钥操作、审计等多种任务。通常密码机需要设置多个管理员角色进行管理,每个角色拥有不同权限,共同管理密码机。密码机还具有密码机标识ID和主密钥MK,密码机标识ID是唯一标识密码机身份的一个数据项序列,主密钥MK为GM/T 0030标准《服务器密码机技术规范》里规定的密码机的三层密钥结构的顶层密钥。
本发明涉及的密码机集群至少包括两台密码机,每台密码机都具有上文所述密码机基本功能及配置多个管理员角色进行管理。
根据GM/T 0086标准《基于SM9标识密码算法的密钥管理系统技术规范》,密钥管理系统可以创建和管理密钥,保护密钥的机密性、完整性和可用性。此外,密钥管理系统还具有主签名密钥对(ks,Ppub-s)、主加密密钥对(ke,Ppub-e)。主签名密钥对用于数字签名、验签和为用户生成用户签名密钥,主加密密钥对用于数字加密解密和为用户生成加密密钥。
本发明涉及的智能密码钥匙作为密码机对管理员身份鉴别的介质,具有身份认证、数字加解密、数字签名及认证、信息安全存储等功能,可作为管理员的身份凭证,利用挑战-响应等机制完成对于管理员的鉴别需求。
面向密码机集群工作时,理论上需要为每台密码机单独配置多个管理员,实际应用场景中,由于缺乏监管,单一人员可能会在多台密码机上担任管理员。单一人员在密码机集群内同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限,从而会导致其权限过大,影响密码机自身安全。
发明内容
本发明公开了一种面向密码机集群的管理员身份管控方法及系统。满足面向密码机集群时对管理员身份统一监管需求,解决了单一人员同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限,导致其权限过大的问题。
本发明公开一种面向密码机集群的管理员身份管控系统,该管控系统包括密钥管理系统(KM)、多台密码机(HSM)组成的密码机集群、每台密码机下配有多个智能密码钥匙的管理员(admin)以及密钥管理系统平台管理员。
密钥管理系统功能包括下发密码机密钥、对密码机管理员的身份创建进行统一鉴别和管理。密码机功能包括向密钥管理系统发送创建管理员申请。智能密码钥匙主要作为管理员创建和登录时的身份凭证。密钥管理系统根据存储的集群范围内管理员角色信息,由密钥管理系统平台管理员审核的方式监管密码机管理员身份创建。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210517940.2/2.html,转载请声明来源钻瓜专利网。
