密钥管理及安全服务系统
产品白皮书
2017-10
目录
目录
1 概述 (1)
1.1 产品简介 (1)
1.2 产品应用 (2)
1.3 系统结构 (3)
2 产品功能 (4)
2.1 统一密钥管理 (4)
2.2 统一应用安全接口 (4)
2.3 密码设备分组及负载均衡 (5)
2.4 远程主密钥分发功能 (5)
2.5 多算法、多厂家密码机支持 (6)
2.6 分级管理，职权分离 (6)
2.7 模块化设计，支持热升级 (6)
3 高可用性设计 (7)
3.1 集群化部署 (7)
4 性能指标 (8)
4.1 性能指标 (8)
4.2 对称算法算法 (8)
4.3 非对称算法 (8)
5 软硬件配置方案 (9)
5.1 服务器配置 (9)
5.1.1 硬件配置 (9)
5.1.2 软件配置 (9)
5.1.3 客户端配置 (9)
5.1.4 硬件配置 (9)
5.1.5 软件配置 (10)
6 成功案例 (11)
1 概述
1.1 产品简介
密钥管理及安全服务系统是为银行各种业务系统提供交易过程中安全服务的核心系统，通过安全方案的设计和数据安全处理保障交易过程中数据的安全。

密钥管理及安全服务系统管理各种型号的密码设备，支持同时为多个业务系统提供安全服务。

支持密码设备的分组和复用，不同的业务系统可共享相同型号的密码设备，大大降低了银行在安全系统和密码设备上的投入成本。

密钥管理及安全服务系统管理业务系统安全方案中的所有密钥，提供密钥的生成、启用、更新、停用、销毁、作废、备份、恢复等功能。

密钥管理及安全服务系统为业务安全方案中的所有密钥提供流程化的管理，重要的密钥操作都需要通过领导审批才能执行，保证密钥的安全。

业务系统通过密钥管理及安全服务系统提供的联机服务接口（API）获取实时的交易安全服务，例如PIN转换、MAC生成/验证、签名生成/验证、数据加/解密、密钥联机服务等，保证交易过程中的数据安全。

相关密钥初始化完成后，业务系统就可以调用密钥管理及安全服务系统提供的API进行各种安全处理。

密钥管理及安全服务系统支持金融行业的多个标准和规范，支持多个主流密码机厂商（56所、30所、歌盟等）的密码机。

系统通过配置化的方式实现安全方案的建设、业务系统的接入、密码设备的增加等，有较强的可扩展性，业务拓展非常方便。

系统具有完善的人员认证、操作授权、安全控制、运维监控及审计机制，关键算法运算和操作通过硬件密码设备来实现，具有极高的安全性和可靠性，完全符合金融行业对核心安全系统的要求。

1.2 产品应用
密钥管理及安全服务系统组成的安全平台定义成全行的安全基础设施，为全行各业务系统提供统一的安全和密钥管理服务。

密钥管理系统作为全行密钥管理的统一入口，实现全行密钥的管理。

安全服务系统（也叫交易安全认证系统或者是密码服务平台）作为全行的数据加密处理中心（如对PIN验证、MAC产生与验证、签名验签等），最终的加解密运算都由它们后部挂接的硬件加密机完成。

安全平台的监控模块对安全平台以及密码机设备进行实时监控，确保系统能够在出现故障时能够及时通知相关人员。

1.3 系统结构
结构描述：
为了确保密钥的安全性，提高密钥管理的可维护性，保证密钥管理在整个生命周期中能做到职权分离，我们必须降低密钥使用和密钥管理的耦合性，由此，本方案将整个系统分成安全服务子系统（密钥使用）、密钥管理子系统（密钥管理）、以及配套的对上述资源进行监控管理的监控子系统。

安全服务子系统：主要包括对应用系统提供的密码服务接口、多协议支持服务、接入控制系统、加密算法服务、密码服务、密码机管理、密码服务方案模板管理等。

密钥管理子系统：主要包括密钥和证书管理统一入口、密钥和证书管理服务、密钥和证书策略模板服务、密钥和证书审计服务、流程控制模块等。

监控子系统：主要包括监控运维服务、监控管理服务、报警策略管理、同级分析报表管理等。

上述的公共模块包括：配置管理服务、系统安全服务、运行配置管理、服务路由管理、日志管理模块、通讯管理模块、统计分析及报表管理等。

2 产品功能
2.1 统一密钥管理
对密钥和证书所处的密钥生命周期中（产生、分发、使用、更新、存储、恢复/恢复、销毁）的每个环节，能通过对其状态进行有效控制，也即能及时阻止非授权的密钥和证书操作（如密钥设置有效期，超过有效期的密钥本系统将拒绝其使用，这样可以强制要求业务系统定期更换密钥；而对于核心级别的密钥，前端系统如ATM要访问的话，本系统也将会给予拒绝，仅允许核心业务系统访问核心级别的密钥）。

2.2 统一应用安全接口
统一各业务系统的加密接口后，更易实现加密标准化，使得应用系统能够按照安全规范来实现业务功能。

应用开发商只需专注于业务逻辑的实现，不用再涉及不太擅长的安全领域，这样可以降低前期开发、后期维护、升级改造的工作量。

（如：人民银行正在主导的算法由DES改为国密算法SM4，因为所有安全接口处理都在本系统中完成，因此仅需在本系统后端服务进行相应的更改调整即可，业务系统甚至不用修改或作少量修改即可）
目前支持的安全接口包括：
✓传统业务安全接口：MAC计算/校验、PIN计算/验证、数据加密/解密、CVV计算/校验等；
✓IC卡交易安全接口：ARQC计算/校验、脚本MAC计算等；
✓PKI及证书体系接口：签名/验签、人行二代支付、银联无卡支付等；
✓密钥管理类接口：主密钥申请、工作密钥生成、更新等；
✓证书管理类：生成证书请求、导入PFX、导入证书、导入证书链和CRL 等；
✓认证类接口：动态码生成/校验；
✓… …
2.3 密码设备分组及负载均衡
对现有业务系统进行归纳分析，确定加密标准及算法的是否具有共享性，充分利用现有资源，实现对安全设备如密码机的负载均衡功能，对资源的利用率做到最大化。

（如：假设银联系统使用的密码机和POS系统使用的一致：密码机主密钥，指令集，即可实现共享）。

本系统对密码机的分组及负载均衡实现的机制如下图所示：
如上图所示，客户端通过调用Socket方式与本系统通讯，通过访问的后台端口号来识别不同应用类别，最终在密码机负载均衡模块实现调度不同的密码机组，使得对应的应用系统能够正确访问密码机组，完成密码机。

2.4 远程主密钥分发功能
对于离行式自助终端（如ATM）的密钥初始化采用了远程分发管理方式，此方式采用基于安全算法的PKI体系，实现自动化的密钥更新流程，代替了传统的打印密钥信封方式，解决了传统方式必须提前较长时间进行密钥申请等审批流程，同时需要耗费较多的人力来管理及监督密钥的执行流程。

2.5 多算法、多厂家密码机支持
本系统支持国际和国密双算法，包括：DES/3DES、MD5/SHA-1、RSA、SM1/SM2/SM3/SM4等金融行业主流算法。

目前本系统支持主流密码机设备，包括SJL05、SJL06、SJJ1309、SJY42、SJJ1310、SJJ1321-A。

对于目前暂不支持的密码机，只需提供的密码机的开发手册进行相应的开发即可完成支持工作。

2.6 分级管理，职权分离
按照用户角色划分，对各类密钥的管理操作实行权限控制。

系统功能应以业务层面展示，使得业务人员能够易学易用，不依赖于IT技术人员即可完成其职责范围内的操作，确保职权分离能有效实行。

2.7 模块化设计，支持热升级
内部的服务程序按模块化原则设计，一个模块的升级和异常不影响其他模块的工作。

可实现热升级和滚动式升级方式。

3 高可用性设计
为了确保系统具有高可用性，本系统在设计时即考虑业务连续性保障问题：本系统配置数据、密钥数据、其他动态数据均存放在数据库中，在本地磁盘上仅保存交易日志及其他固定数据，且所有数据的读写操作均直接操作数据库，目前支持主流数据库（Oracle、DB2），数据库的同步操作交给数据库厂商成熟的同步方案，因此只要确保后台数据库能够实现数据同步，本系统则可采取集群方式部署。

如下图所示：
3.1 集群化部署
4 性能指标
主要包括高可靠性及稳定性等方面。

其中，本系统在设计时已经考虑采用集群部署，实现系统级别的高可用性，同时在系统内部之间，为了实现可靠性和稳定性，在异常处理以及备份恢复机制上也进行了相应的考虑：
4.1 性能指标
目前本系统对于支持的算法操作主要性能指标如下：
4.2 对称算法算法
✓DES算法：每秒不低于20000次运算；
✓SM4算法：每秒不低于20000次运算；
4.3 非对称算法
✓RSA算法：私钥签名每秒不低于3000次运算，公钥验证每秒不低于5000次运算。

✓SM2算法：私钥签名每秒不低于5000次运算，公钥验证每秒不低于5000次运算。

5 软硬件配置方案
5.1 服务器配置
5.1.1 硬件配置
从安全和性能上考虑，三套子系统建议安装在独自服务器上，服务器采用小型机或PC sever进行部署，每台服务器的硬件环境配置如下：
5.1.2 软件配置
5.1.3 客户端配置
5.1.4 硬件配置
PC机硬件配置推荐：
5.1.5 软件配置
WINDOWS+IE10以上。

6 成功案例。