量子增强密钥管理系统(KDKMS)
量子增强密钥管理系统(KDKMS)是功能完善、稳定可靠的密钥管理基础设施产品,适配龙芯平台、麒麟操作系统及达梦数据库等国产自主可控软硬件平台,支持SM2、SM3、SM4国密标准密码算法,提供密码设备管理、对称密钥管理,非对称密钥管理、设备证书管理、量子介质发行管理、身份鉴别、安全审计等功能。
1. 产品简介
量子增强密钥管理系统硬件包括密钥生产服务器、密钥管理服务器、PCI-E加密卡、智能密码钥匙。
(1) 密钥生产服务器:密钥生产服务器通过通用密钥生产装置提供的随机数据,进行随机数检测后作为原子密钥,产生符合要求的各类密钥并进行强弱和属性检测。
(2) 密钥管理服务器:提供密码设备及密钥管理服务。设备管理包括密码设备注册、设备信息注册与审核、设备证书申请与签发、设备状态监控及远程管控、设备介质管理及制作等管理功能。
(3) PCI-E加密卡:提供密钥生产服务器通用密钥随机数生成、密钥生成,提供密钥管理中心密钥管理、密码运算等功能。
(4) 智能密码钥匙:科盾密钥管理系统管理员身份证书载体,以及提供管理员证书解析、身份鉴别密码服务等。
2.标准规范
GM/T 0050-2016《密码设备管理-设备管理技术规范》
GM/T 0051-2016《密码设备管理-对称密钥管理技术规范》
GM/T0009-2012《SM2密码算法使用规范》
GM/T0015-2012《基于SM2密码算法的数字证书格式规范》
GM/T 0016-2012《智能密码钥匙密码应用接口规范》
GM/T 0018-2012《密码设备应用接口规范》
3.功能特点
量子增强密钥管理系统提供密钥产生、管理、安全存储、分配及归档等,支持SM1、SM4等对称算法密钥以及SM2非对称算法密钥的产生与检测。提供符合商用密码标准的随机数检测以及密钥强弱检测、唯一性检测等。主要功能如下:
(1)多类型商用密码设备管理功能,提供服务器密码机、SSL VPN、智能密码钥匙、安全服务SDK等多种类型密码设备管理、密码服务的管理。
(2)管理业务消息安全传输功能,在密钥管理中心与被管密码设备之间建立安全密钥分发及设备状态监控传输通道,确保管理业务机密性、完整性及可靠性。
(3)密钥在线、离线分发功能,支持USBKey、SoftKey、TYPE-C KEY等多种离线分发载体。
(4)密钥载体管理功能,支持对USBKey、SimKey、SoftKey等多种密钥载体类型的注册、注销以及维护管理。
(5)密码设备证书的发放和管理功能,支持加密证书和签名证书双证书体制。
(6)具备密钥管理系统初始化及级联管理、系统运维管理及安全态势展示。
(7)密码服务功能,具备与密码设备应用客户端协商端端通信报文密钥的功能。
(8)密码设备管理代理功能。根据密码设备特点提供配套的密钥管理代理,通过管理代理实现应用系统密码的申请、更换、销毁等操作,屏蔽密钥管理的复杂性。
(9)系统安全运维及管理功能。支持管理员、审计员、操作员的三员分离及访问控制,具备基于口令和身份校验双因子登录认证的功能,提供密钥管理系统运维及安全审计功能。
4.性能指标
(1)管理能力
1)节点管理能力:下级密钥管理系统数量,不小于500个。
2)量子对称密钥管理能力:对称量子密钥管理数量不小于10万组。
3)非对称密钥管理能力:非对称密钥管理数量不小于10万组。
4)密码设备管理能力:密码设备管理数量不小于10万台套。
5)密钥应用策略管理能力:应用策略管理数量不小于1万条。
(2) 设备管控响应能力
1)获取全网设备状态时间:不大于10分钟。
2)单台设备MY分发时间:不大于5秒。
3)并发连接数:单台系统不小于1000。
(3)系统运行可靠性指标
1)支持7*24服务。
2)MTBF: 大于2000小时。
3)MTTR:小于0.5小时。
4)系统备份时间:不大于20分钟。
5.产品优势
-
密码设备管理
量子增强密钥管理系统,通过密码设备平台,提供多种密码设备管理,如服务器密码机、SSLVPN、IPSEC/SSL VPN、桌面型IPSEC VPN、智能密码钥匙、充注机等。支持设备密钥资源分配,提供密码设备根据应用系统分组的功能,支持不同应用系统的密码设备管理功能。密码设备平台作为连接密钥应用与密码设备之间的纽带,提供密码设备注册、密码设备属性管理、设备证书管理等主要功能。
-
量子密钥管理
密钥生产服务提供基本的密钥生产功能,密钥生产服务使用传统的物理噪音源随机数芯片生产安全合规的各类密钥,如对称密钥、非对称密钥,并支持密钥生产策略管理等业务服务,实现密钥资源的自动生产。PCI-E密码卡提供量子增强密钥管理系统密码运算功能。同时基于标准管理接口,对接量子随机数或QKD设备,支持量子密钥的生产、检测、存储等,依据国家密码局的标准,实现量子密钥管理规范管理。
-
基于量子密钥的分发保护
密钥管理应用提供基本的密钥管理、分发等功能。量子增强密钥管理系统分发密钥资源时,系统与密码设备之间,依据国家密码局标准规范,通过密钥协商,建立安全传输通道,提供密钥管理应用安全通道调用接口服务。支持为密码设备制定密钥分发策略,实现密钥资源的自动分发,为设备分配的密钥信息,以密钥管理专用指令封装密钥,并通过调用安全通道服务,完成密钥管理应用与密码设备之间的管理命令。