一種基于gdoi協(xié)議下安全管理及信息反饋系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種基于GDOI協(xié)議下大規(guī)模網(wǎng)絡(luò)安全管理系統(tǒng),所述安全管理系統(tǒng)用于對資產(chǎn)的信息采集、分類和管理以及對資產(chǎn)所關(guān)聯(lián)的加密設(shè)備和密鑰管理設(shè)備進(jìn)行管控,密鑰管理設(shè)備和加密設(shè)備的配置信息進(jìn)行管理,密鑰管理設(shè)備和加密設(shè)備的組策略進(jìn)行配置,以及密鑰管理設(shè)備和加密設(shè)備的狀態(tài)信息進(jìn)行查看,本發(fā)明通過資產(chǎn)管理模塊和配置管理模塊對資產(chǎn)及資產(chǎn)所關(guān)聯(lián)的加密設(shè)備和密鑰管理設(shè)備進(jìn)行安全保護(hù);可以對資產(chǎn)及其加密設(shè)備進(jìn)行維護(hù)以及隨時監(jiān)控查看,出現(xiàn)問題可以第一時間采取補救措施,提出了密鑰管理服務(wù)器和組成員(GM)的組加密部署模型,整網(wǎng)協(xié)商機制(Group SA),使用Group SA加解密節(jié)點間的流量,為任意節(jié)點IP提供了安全通信。
【專利說明】
一種基于GDOI協(xié)議下安全管理及信息反饋系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于信息安全技術(shù)領(lǐng)域,尤其涉及種基于GDOI協(xié)議下安全管理及信息反饋系統(tǒng)。
【背景技術(shù)】
[0002 ]全球互聯(lián)網(wǎng)已經(jīng)在人們的工作生活中不可或缺,但是網(wǎng)絡(luò)的信息安全威脅卻在逐年加劇。2013年網(wǎng)絡(luò)安全領(lǐng)域著名的“棱鏡門”事件中,現(xiàn)有的以交換機、路由器為核心的網(wǎng)絡(luò)構(gòu)架非常易于被監(jiān)聽。大量信息通過交換機和路由器泄漏,為所有網(wǎng)絡(luò)使用者敲響了一個警鐘。
[0003]對于全球范圍的大規(guī)模企業(yè)或政府部門的互聯(lián)網(wǎng)絡(luò),其往往采用如圖1所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。整個網(wǎng)絡(luò)分為三層,其中集團(tuán)環(huán)網(wǎng)平臺由若干個數(shù)據(jù)中心組成,數(shù)據(jù)中心之間由多個1G網(wǎng)絡(luò)組成環(huán)網(wǎng),為全集團(tuán)提供應(yīng)用業(yè)務(wù)訪問,數(shù)據(jù)匯總等服務(wù);區(qū)域中心平臺,由若干個區(qū)域中心組成,區(qū)域中心根據(jù)地域匯總各地區(qū)公司的數(shù)據(jù),并提供通向集團(tuán)環(huán)網(wǎng)的數(shù)據(jù)通道;地區(qū)公司平臺,由各地地區(qū)公司局域網(wǎng)或城域網(wǎng)組成,承載各地公司的基礎(chǔ)應(yīng)用的網(wǎng)絡(luò)接入。為了便于實現(xiàn)上述網(wǎng)絡(luò)中各對象間的相互尋址和數(shù)據(jù)交換,現(xiàn)有標(biāo)準(zhǔn)的TCP/IP協(xié)議在信道上采取明文傳輸?shù)姆绞?,大量的?shù)據(jù)在沒有任何安全保護(hù)的情況下被傳輸;網(wǎng)絡(luò)的路由選擇機制使不同地域、國家之間在網(wǎng)絡(luò)虛擬空間沒有“國門”,傳輸數(shù)據(jù)可以被任意的截取、重組,并還原出原始的數(shù)據(jù)信息導(dǎo)致數(shù)據(jù)信息泄漏。更加危險的是,現(xiàn)在國內(nèi)使用的大多數(shù)交換機和路由器都是國外品牌,即使國內(nèi)品牌也多使用國外核心芯片設(shè)計完成,造成國內(nèi)傳輸網(wǎng)絡(luò)數(shù)據(jù)可能被國外機構(gòu)監(jiān)聽。因此,為保證網(wǎng)絡(luò)內(nèi)信息的安全傳遞,在系統(tǒng)互聯(lián)互通中,需要使用大量自主研發(fā)的網(wǎng)絡(luò)交換設(shè)備、數(shù)據(jù)加密設(shè)備、密鑰管理設(shè)備、安全管理設(shè)備等。其中,安全管理設(shè)備(安全管理中心)從全局上集中對加密設(shè)備及密鑰管理設(shè)備進(jìn)行管控,管理密鑰管理設(shè)備及加密設(shè)備的配置信息,配置密鑰管理設(shè)備及加密設(shè)備的組策略,查看密鑰管理設(shè)備和加密設(shè)備的狀態(tài)信息,并對出現(xiàn)問題的資產(chǎn)或加密設(shè)備和密鑰管理設(shè)備及時發(fā)現(xiàn),并進(jìn)行報警和修正,以保證此外,互聯(lián)網(wǎng)絡(luò)中各種分布式計算、語音、視頻等業(yè)務(wù)需要隨時隨地的在各分支機構(gòu)間運行,傳統(tǒng)意義上的Hub-Spoke、點對點的IPSec隧道解決方案不能滿足用戶的需求。GD0I(Group Domain of Interpretat 1n)協(xié)議提出了密鑰管理服務(wù)器和組成員(GM)的組加密部署模型,整網(wǎng)協(xié)商機制(Group SA),使用Group SA加解密節(jié)點間的流量,為任意節(jié)點IP安全通信提供了可能。為此,開發(fā)⑶01協(xié)議下的大規(guī)模網(wǎng)絡(luò)安全管理中心具有重要的理論與實際意義。
【發(fā)明內(nèi)容】
[0004]為了解決上述問題,本發(fā)明提供種基于GDOI協(xié)議下安全管理及信息反饋系統(tǒng),所述系統(tǒng)包括對資產(chǎn)設(shè)備信息通過加密設(shè)備進(jìn)行加密處理,對所述加密設(shè)備進(jìn)行控制管理以及對被加密設(shè)備加密處理過的資產(chǎn)設(shè)備通過安全管理和反饋調(diào)節(jié);
[0005]進(jìn)一步地,所述系統(tǒng)包括高速加密模組、密鑰管理中心、密鑰管理控制終端、安全管理中心和信息反饋管理中心,其中;
[0006]高速加密模組,所述高速加密模組用于對資產(chǎn)設(shè)備信息、加密設(shè)備提供雙通道加密方法;
[0007]密鑰管理中心,所述密鑰管理中心用于對加密設(shè)備進(jìn)行本機身份認(rèn)證、數(shù)據(jù)存儲的加密保護(hù)、以及全網(wǎng)加密設(shè)備的身份鑰匙管理;
[0008]密鑰管理控制終端;所述密鑰管理控制終端用于密鑰信息輸入和離線狀態(tài)下的密鑰管理中心的身份公鑰的分發(fā);
[0009]安全管理中心,所述安全管理中心對資產(chǎn)設(shè)備進(jìn)行描述、定義、分類和登記,并對資產(chǎn)設(shè)備相關(guān)聯(lián)的加密設(shè)備和密鑰管理中心的功能配置和功能信息進(jìn)行設(shè)定;
[0010]信息反饋管理中心,所述信息反饋管理中心用于對資產(chǎn)設(shè)備和加密設(shè)備的實時狀態(tài)進(jìn)行監(jiān)控,并根據(jù)監(jiān)控情況進(jìn)行安全管理和反饋調(diào)節(jié);
[0011]進(jìn)一步地,所述加密模組包括第一處理通道、第二處理通道和共用模塊,所所述第一處理通道和第二處理通道均設(shè)有獨立的用戶信息輸入接口、管理信息輸入接口和身份認(rèn)證接口,所述共用模塊通過用戶信息輸入接口接收用戶輸入的密鑰信息和驗證信息,所述共用模塊通過管理信息輸入接口接收管理人員的操作信息,所述共用模塊通過身份認(rèn)證接口接收管理人員的驗證信息;
[0012]進(jìn)一步地,所述共用模塊包括控制中心單元、編輯集成單元、閃存單元和配置接口,所述第一處理通道和第二處理通道均還包括數(shù)據(jù)處理單元、數(shù)據(jù)緩存單元、驗證單元、微控制單元和擴展單元,其中;
[0013]控制中心單元,所述控制中心單元用于處理通過管理信息輸入接口接收到的管理人員配置操作命令;
[0014]編輯集成單元,所述編輯集成單元用于將所述控制中心單元中所有操作命令通過邏輯編輯和數(shù)字集成轉(zhuǎn)為數(shù)字信息;
[0015]閃存單元,所述閃存單元用于緩存密鑰信息和驗證信息;
[0016]數(shù)據(jù)處理單元,所述數(shù)據(jù)處理單元包括分組對稱密碼運算和散列密碼運算,所述分組密碼運算通過SM4算法對數(shù)據(jù)加密,所述散列密碼運算通過SM3算法對經(jīng)過HASH運算加密的數(shù)據(jù)進(jìn)行散列;
[0017]驗證單元,所述驗證單元用于提供數(shù)字簽名和數(shù)字簽名的驗證,所述微控制單元通過管理信息輸入接口和用戶信息輸入接口分別接收用戶的和管理人員的操作信息,并通過數(shù)據(jù)處理單元發(fā)送給控制中心單元;
[0018]進(jìn)一步地,所述密鑰管理中心包括設(shè)備管理模塊、算法處理模塊、密鑰管理模塊、通信處理模塊、本地狀態(tài)監(jiān)控模塊和集成管理模塊,所述設(shè)備管理模塊包括遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元、組策略處理單元和身份鑰匙管理單元,所述密鑰管理模塊包括噪聲碼處理單元、本地關(guān)鍵數(shù)據(jù)存儲保護(hù)單元、會話加密密鑰(SEK)管理單元、組策略密鑰加密密鑰(KEK)管理單元和組策略傳輸加密工作密鑰(TEK)管理單元,所述通信處理模塊包括安全管理通信接口單元、GDOI協(xié)議處理單元和組播通信處理單元,所述管理模塊包括密鑰管理中心管理單元和日志維護(hù)單元;
[0019]進(jìn)一步地,所述狀態(tài)監(jiān)控模塊包括流量信息采集單元、流量統(tǒng)計分析單元、流量信息顯示單元和異常流量報警單元;
[0020]進(jìn)一步地,所述設(shè)備管理模塊用于全網(wǎng)加密設(shè)備的的管理、狀態(tài)監(jiān)控和身份鑰匙的管理以及組密碼策略的維護(hù),所述算法處理模塊通過SM2、SM3和SM4算法對加密設(shè)備進(jìn)行密鑰信息計算,所述密鑰管理模塊連接算法處理模塊,通過算法處理模塊中SM2、SM3和SM4算法對本地關(guān)鍵數(shù)據(jù)的存儲保護(hù)以及對全網(wǎng)會話加密密鑰、組策略密鑰加密密鑰和組策略傳輸加密工作密鑰進(jìn)行維護(hù)和管理,所述通信處理模塊用以實現(xiàn)所述密鑰管理模塊與密鑰管理控制終端、所述設(shè)備管理模塊與密鑰管理控制終端以及密鑰管理模塊與所述設(shè)備管理模塊的通信連接,所述通信處理模塊對外統(tǒng)一提供GDOI協(xié)議接口,密鑰的分發(fā)采用GDOI協(xié)議實施,所述本地狀態(tài)監(jiān)控模塊用于收集設(shè)備管理模塊、算法處理模塊、密鑰管理模塊、集成管理模塊和通信處理模塊的運行狀態(tài),檢查關(guān)鍵數(shù)據(jù)的完整性,異常狀態(tài)觸發(fā)報警,所述集成管理模塊基于WEB方式對設(shè)備管理模塊、算法處理模塊、密鑰管理模塊、通信處理模塊和本地狀態(tài)監(jiān)控模塊進(jìn)行管理和維護(hù),并對操作信息、狀態(tài)信息和維護(hù)信息記錄形成日志,所述遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元用于收集并監(jiān)控加密設(shè)備的運行狀態(tài),所述組策略處理單元用于實現(xiàn)組策略信息的維護(hù),包括對組策略的加密設(shè)備成員進(jìn)行增加和刪除操作,所述身份鑰匙管理單元包括注密鑰匙和認(rèn)證鑰匙,所述注密鑰匙用于實現(xiàn)加密設(shè)備的關(guān)鍵參數(shù)的初裝注入,所述認(rèn)證鑰匙用于實現(xiàn)加密設(shè)備啟動時的本地身份認(rèn)證功能,所述噪聲碼處理單元用以獲取和隨機檢測物理噪聲源的噪聲數(shù)據(jù),所述本地關(guān)鍵數(shù)據(jù)存儲保護(hù)單元通過身份鑰匙管理單元的認(rèn)證鑰匙實現(xiàn)本地的身份認(rèn)證功能,獲取存儲保護(hù)密鑰,對本地敏感信息進(jìn)行存儲保護(hù),所述會話加密密鑰(SEK)管理單元通過與加密設(shè)備進(jìn)行IKE交換,對全網(wǎng)加密設(shè)備之間SEK密鑰進(jìn)行維護(hù)和管理,所述組策略密鑰加密密鑰(KEK)管理單元根據(jù)設(shè)備管理模塊的組策略狀態(tài)對全網(wǎng)KEK密鑰進(jìn)行更新和管理,所述組策略傳輸加密工作密鑰(TEK)管理單元根據(jù)組策略狀態(tài)和密鑰更新周期,對TEK密鑰數(shù)據(jù)維護(hù)和管理,所述安全管理通信接口單元用于對密鑰管理模塊與設(shè)備管理模塊的通信協(xié)議進(jìn)行解析與處理、對組策略信息進(jìn)行收集、以及對設(shè)備管理模塊進(jìn)行命令解析和信息上報,所述GDOI協(xié)議處理單元用于實現(xiàn)密鑰管理控制終端與密鑰管理之間的通信連接,并根據(jù)GDOI協(xié)議對IKE SA,KEKSA和TEK SA的建立和維護(hù),所述組播通信處理單元用以實現(xiàn)設(shè)備管理模塊和密鑰管理控制終端的通信連接,對TEK密鑰進(jìn)行組播分發(fā),所述密鑰管理中心管理單元基于WEB方式對密鑰管理中心各類單元進(jìn)行參數(shù)配置和運行管理,所述日志維護(hù)單元用于收集密鑰管理中心各類單元的操作信息、狀態(tài)信息、維護(hù)信息,并形成日志記錄,供檢索和查詢;
[0021]進(jìn)一步地,所述密鑰管理控制終端包括身份卡信息輸入模塊和公鑰分發(fā)模塊,所述密鑰管理控制終端為密鑰管理控制臺;
[0022]進(jìn)一步地,所述安全管理中心包括資產(chǎn)管理模塊和配置管理模塊,所述資產(chǎn)管理模塊包括資產(chǎn)信息采集單元、資產(chǎn)信息管理單元、責(zé)任人信息管理單元和資產(chǎn)拓?fù)涔芾韱卧?,所述配置管理模塊包括組信息管理單元、組成員信息管理單元、組策略管理單元和加密設(shè)備狀態(tài)監(jiān)控單元,其中;
[0023]資產(chǎn)信息采集單元,所述資產(chǎn)信息采集單元用于配合管理員完成資產(chǎn)數(shù)據(jù)的采集錄入,以及資產(chǎn)模型的建立,所述資產(chǎn)數(shù)據(jù)的采集錄入包括自動采集和人工錄入;
[0024]資產(chǎn)信息管理單元,所述資產(chǎn)信息管理單元用于協(xié)助管理員完成資產(chǎn)信息顯示、根據(jù)不同屬性實現(xiàn)資產(chǎn)查詢、資產(chǎn)信息修改和資產(chǎn)刪除;
[0025]責(zé)任人信息管理單元,所述責(zé)任人信息管理單元用于資產(chǎn)的責(zé)任人信息的建立、維護(hù)、管理工作,所述責(zé)任人為需要對資產(chǎn)負(fù)責(zé)的管理人員;
[0026]資產(chǎn)拓?fù)涔芾韱卧?,所述資產(chǎn)拓?fù)涔芾韱卧糜诓杉①Y產(chǎn)網(wǎng)絡(luò)拓?fù)鋱D和定期維護(hù)資產(chǎn)網(wǎng)絡(luò)拓?fù)鋱D信息,并對資產(chǎn)拓?fù)鋱D進(jìn)行實時展示和資產(chǎn)拓?fù)浣换ス芾恚?br>[0027]組信息管理單元,所述組信息管理單元用于協(xié)助管理員獲取組加密網(wǎng)絡(luò)中資產(chǎn)的密鑰管理設(shè)備的參數(shù);
[0028]組成員信息管理單元,所述組成員信息管理單元用于協(xié)助管理員以組成員的角度對資產(chǎn)的加密設(shè)備的信息進(jìn)行獲??;
[0029]組策略管理單元,所述組策略管理單元用于對密鑰管理系統(tǒng)中的密鑰管理中心下達(dá)組策略指令,密鑰管理中心執(zhí)行組策略的同時將組策略指令下發(fā)給指定的組成員,從而使得密碼系統(tǒng)根據(jù)網(wǎng)絡(luò)管理員的指令完成密碼系統(tǒng)組織結(jié)構(gòu)或者密碼參數(shù)更新的任務(wù),所述組成員即加密設(shè)備;
[0030]加密設(shè)備狀態(tài)監(jiān)控單元,所述加密設(shè)備狀態(tài)監(jiān)控單元用于監(jiān)控密鑰管理中心和組成員的運行狀態(tài);
[0031]進(jìn)一步地,所述信息反饋管理中心包括狀態(tài)監(jiān)控模塊、統(tǒng)計分析模塊和系統(tǒng)管理模塊,所述狀態(tài)監(jiān)控模塊包括流量信息采集單元、流量統(tǒng)計分析單元、流量信息顯示單元和異常流量報警單元,所述統(tǒng)計分析管理模塊包括性能報警管理單元、故障報警管理單元、綜合關(guān)聯(lián)分析單元和安全風(fēng)險報警單元,其中;
[0032]狀態(tài)監(jiān)控模塊,所述狀態(tài)監(jiān)控模塊通過流量分析幫助網(wǎng)絡(luò)管理員實時掌控骨干網(wǎng)絡(luò)中的各種通信流量及其規(guī)模大小,及時發(fā)現(xiàn)異常流量并進(jìn)行定位;
[0033]統(tǒng)計分析模塊,所述統(tǒng)計分析模塊連接所述狀態(tài)監(jiān)控模塊,并根據(jù)狀態(tài)監(jiān)控模塊返回的數(shù)據(jù)信息,進(jìn)行安全統(tǒng)計分析;
[0034]系統(tǒng)管理模塊,所述系統(tǒng)管理模塊用于對管理員和管理員角色的信息進(jìn)行監(jiān)控,并對登錄系統(tǒng)的操作進(jìn)行日志留存;
[0035]進(jìn)一步地,所述流量信息采集單元通過與業(yè)界各種主流的流標(biāo)準(zhǔn)對接,從網(wǎng)絡(luò)設(shè)備中獲取相關(guān)流信息數(shù)據(jù),并進(jìn)行一定的格式化處理,以供進(jìn)一步統(tǒng)計分析使用;所述流量統(tǒng)計分析單元利用DFI統(tǒng)計分析方法,對采集到的分類數(shù)據(jù)進(jìn)行深入分析檢測;所述流量信息顯示單元將流量統(tǒng)計分析單元的結(jié)果按照合理的顯示方式呈現(xiàn)給網(wǎng)絡(luò)管理員,協(xié)助網(wǎng)絡(luò)管理員做好日常流量監(jiān)控工作,包括顯示各種周期、各種類型的圖表;所述異常流量報警單元將流量統(tǒng)計分析過程中的可疑異常流量,報送網(wǎng)絡(luò)管理員,以便網(wǎng)絡(luò)管理員及時了解并采取處理措施,所述性能報警管理單元用于采集網(wǎng)絡(luò)設(shè)備單元中與網(wǎng)絡(luò)設(shè)備性能有關(guān)的異常事件,并提供給安全風(fēng)險報警單元進(jìn)行報警,所述故障報警管理單元用于采集網(wǎng)絡(luò)設(shè)備單元中的網(wǎng)絡(luò)設(shè)備故障事件,并提供給安全風(fēng)險報警單元進(jìn)行報警,所述綜合關(guān)聯(lián)分析單元利用SYSLOG、SNMP方式獲取可疑風(fēng)險事件,利用聚合引擎歸并處理可疑風(fēng)險事件,利用關(guān)聯(lián)分析引擎綜合分析可疑風(fēng)險事件,并最終將分析結(jié)果通報給安全風(fēng)險報警單元,所述安全風(fēng)險報警單元主要對于性能報警管理單元、故障報警管理單元、綜合關(guān)聯(lián)分析單元所生成的安全風(fēng)險提示和分析報告及時報警并通知相關(guān)網(wǎng)絡(luò)管理員和責(zé)任人,以便及時排查風(fēng)險;
[0036]本發(fā)明的有益效果如下:
[0037]I)通過一種創(chuàng)新的加密模組架構(gòu),高速加密模組實現(xiàn)了高性能加密模組可支持40Gbps業(yè)務(wù)數(shù)據(jù)的加解密,功能劃分清晰,業(yè)務(wù)處理性能優(yōu)越并可為用戶提供擴展的定制化功能;
[0038]2)通過密鑰管理服務(wù)器和組成員(GM)的組加密部署模型,整網(wǎng)協(xié)商機制(GroupSA),使用Group SA加解密節(jié)點間的流量,為任意節(jié)點IP提供了可安全通信;
[0039]3)可以對資產(chǎn)及其加密設(shè)備進(jìn)行維護(hù)以及隨時監(jiān)控查看,支持NETSTREAM、SPAN、S匪P多種方式從路由器、交換機實時采集骨干網(wǎng)絡(luò)鏈路流量,實時展示和監(jiān)控全網(wǎng)網(wǎng)絡(luò)流量狀況,出現(xiàn)問題可以第一時間采取補救措施。
【附圖說明】
[0040]圖1為本發(fā)明加密模組硬件結(jié)構(gòu)圖;
[0041 ]圖2為本發(fā)明加密模組整體固件流程圖;
[0042]圖3為本發(fā)明加密模組管理員身份驗證流程圖;
[0043]圖4為本發(fā)明加密模組操作員身份驗證流程圖;
[0044]圖5為本發(fā)明加密模組KPl與設(shè)備身份密鑰生成和存儲流程圖;
[0045]圖6為本發(fā)明加密模組ARM固件總軟件流程圖;
[0046]圖7為本發(fā)明所述密鑰管理中心和密鑰管理控制終端硬件組成結(jié)構(gòu)圖;
[0047]圖8為本發(fā)明【背景技術(shù)】中所述全球范圍內(nèi)大規(guī)模互聯(lián)網(wǎng)絡(luò)的拓?fù)涫疽鈭D。
【具體實施方式】
[0048]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)描述。應(yīng)當(dāng)理解,此處所描述的具體實施例僅僅用于解釋本發(fā)明,并不用于限定本發(fā)明。相反,本發(fā)明涵蓋任何由權(quán)利要求定義的在本發(fā)明的精髓和范圍上做的替代、修改、等效方法以及方案。進(jìn)一步,為了使公眾對本發(fā)明有更好的了解,在下文對本發(fā)明的細(xì)節(jié)描述中,詳盡描述了一些特定的細(xì)節(jié)部分。對本領(lǐng)域技術(shù)人員來說沒有這些細(xì)節(jié)部分的描述也可以完全理解本發(fā)明。
[0049]下面結(jié)合附圖和具體實施例對本發(fā)明作進(jìn)一步說明,但不作為對本發(fā)明的限定。下面為本發(fā)明的舉出最佳實施例:
[0050]如圖所示,本發(fā)明提供一種基于⑶OI協(xié)議下安全管理及信息反饋系統(tǒng)管理系統(tǒng),所述系統(tǒng)包括資產(chǎn)管理模塊、配置管理模塊、狀態(tài)監(jiān)控模塊、統(tǒng)計分析模塊和系統(tǒng)管理模塊。
[0051]所述加密模組包括第一處理通道、第二處理通道和共用模塊,所述第一處理通道和第二處理通道分別獨立處理加密業(yè)務(wù),所述共用模塊同時連接第一處理通道和第二處理通道,所述共用模塊用于對第一處理通道和第二處理通道信息輸入和控制處理。
[0052]所述第一處理通道和第二處理通道均設(shè)有獨立的用戶信息輸入接口、管理信息輸入接口和身份認(rèn)證接口、數(shù)據(jù)處理單元、數(shù)據(jù)緩存單元、驗證單元、微控制單元和擴展單元。
[0053]所述共用模塊包括控制中心單元、編輯集成單元、閃存單元和配置接口,所述控制中心單元、編輯集成單元、閃存單元和配置接口依次連接,所述控制中心單元、編輯集成單元、閃存單元均與所述第一處理通道、第二處理通道連接。
[0054]所述控制中心單元用于處理通過管理信息輸入接口接收到的管理人員配置操作命令,所述編輯集成單元用于將所述控制中心單元中所有操作命令通過邏輯編輯和數(shù)字集成轉(zhuǎn)為數(shù)字信息,并通過編輯集成單元發(fā)送給數(shù)據(jù)處理單元,所述數(shù)據(jù)處理單元可以處理20Gbps的業(yè)務(wù)數(shù)據(jù),所述閃存單元用于緩存通過控制中心單元接收到的來自驗證單元和認(rèn)證接口的密鑰信息和驗證信息。
[0055]所述控制中心單元通過數(shù)據(jù)處理單元連接用戶信息輸入接口,所述用戶信息輸入接口將用戶的密鑰信息發(fā)送給控制中心單元管理信息輸入接口,所述身份認(rèn)證接口連接控制中心單元,將管理人員和用戶的身份驗證信息發(fā)送給控制中心單元進(jìn)行驗證,所述管理信息輸入接口、微控制單元、數(shù)據(jù)處理單元和控制中心單元依次連接,所述管理信息輸入接口將管理人員的操作指令和驗證信息發(fā)送給控制中心單元,如果驗證成功后,所述微控制單元可直接輸入管理人員操作命令,所述數(shù)據(jù)緩存單元連接控制中心單元,儲存部分密鑰信息和驗證信息,所述擴展單元用于連接外接設(shè)備,所述數(shù)據(jù)處理單元包括分組對稱密碼運算和散列密碼運算,所述分組密碼運算通過SM4算法對數(shù)據(jù)加密,所述散列密碼運算通過SM3算法對經(jīng)過HASH運算加密的數(shù)據(jù)進(jìn)行散列。所述驗證單元用于提供數(shù)字簽名和數(shù)字簽名的驗證。所述控制中心單元為微控制器ARM,所述編輯集成單元為CPLD,所述閃存單元為FLASH 128Mb存儲器,所述數(shù)據(jù)處理單元為DPU,所述數(shù)據(jù)緩存單元為1MBSRAM數(shù)據(jù)緩存,所述驗證單元為安全芯片SSX1408、所述微控制單元為以太網(wǎng)PHY,所述擴展單元用于連接用戶自定義加密設(shè)備。
[0056]所述密鑰管理中心為2U高度的服務(wù)器設(shè)備,所述服務(wù)器設(shè)備包括X86架構(gòu)主板、專用PC1-E密碼卡、存儲組件、網(wǎng)卡、身份卡驅(qū)動器、身份卡讀寫器和電源,所述密鑰管理中心設(shè)置在X86架構(gòu)主板上,并在該主板上配置有Usb-KEY,用于系統(tǒng)開機時的本機身份認(rèn)證、數(shù)據(jù)存儲的加密保護(hù)、以及全網(wǎng)密碼設(shè)備的身份鑰匙管理,所述密鑰管理中心子連接密鑰管理控制終端,所述密鑰管理控制終端用于全網(wǎng)所用密碼機身份卡的登記和離線狀態(tài)下的密鑰管理中心的身份公鑰分發(fā)。
[0057]所述密鑰管理中心包括設(shè)備管理模塊、算法處理模塊、密鑰管理模塊、通信處理模塊、本地狀態(tài)監(jiān)控模塊和管理模塊。
[0058]所述設(shè)備管理模塊用于完成全網(wǎng)密碼設(shè)備的的管理、狀態(tài)監(jiān)控、組密碼策略的維護(hù)工作,實現(xiàn)全網(wǎng)身份鑰匙的管理,所述設(shè)備管理模塊包括遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元、組策略處理單元、身份鑰匙管理單元。
[0059]所述遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元用于收集并監(jiān)控密碼設(shè)備的運行狀態(tài),如有異常及時向設(shè)備管理模塊匯報,所述設(shè)備管理模塊對異常狀態(tài)的密碼設(shè)備進(jìn)行維護(hù)和管理。所述組策略處理單元用于實現(xiàn)組策略信息的維護(hù),支持對組策略的密碼設(shè)備成員進(jìn)行增加和刪除操作,全網(wǎng)支持的最多組策略條目不超過10000條,每個組策略支持的成員不超過1000個。所述身份鑰匙管理單元包括注密鑰匙和認(rèn)證鑰匙,所述注密鑰匙用于實現(xiàn)密碼設(shè)備的關(guān)鍵參數(shù)的初裝注入,所述認(rèn)證鑰匙用于實現(xiàn)密碼設(shè)備啟動時的本地身份認(rèn)證功能。
[0060]所述算法處理模塊通過SM2、SM3和SM4算法處理,所述算法處理模塊通過SM2、SM3和SM4算法對密碼設(shè)備進(jìn)行密鑰信息計算,支持同時最多200個密碼設(shè)備的注冊認(rèn)證。
[0061]所述密鑰管理模塊包括噪聲碼處理單元、本地關(guān)鍵數(shù)據(jù)存儲保護(hù)單元、會話加密密鑰(SEK)管理單元、組策略密鑰加密密鑰(KEK)管理單元和組策略傳輸加密工作密鑰(TEK)管理單元,所述噪聲碼處理單元用以獲取物理噪聲源的噪聲數(shù)據(jù),對獲取的噪聲數(shù)據(jù)進(jìn)行隨機性檢測,保證現(xiàn)制密鑰的隨機性。所述本地關(guān)鍵數(shù)據(jù)存儲保護(hù)單元通過身份鑰匙管理單元的認(rèn)證鑰匙實現(xiàn)本地的身份認(rèn)證功能,獲取存儲保護(hù)密鑰,實現(xiàn)本地敏感信息的存儲保護(hù)。所述會話加密密鑰(SEK)管理單元通過與密碼設(shè)備進(jìn)行IKE交換,實現(xiàn)與全網(wǎng)密碼設(shè)備之間SEK密鑰的維護(hù)與管理,完成對KEK數(shù)據(jù)的傳輸保護(hù)。所述組策略密鑰加密密鑰(KEK)管理單元根據(jù)組策略狀態(tài)維護(hù)全網(wǎng)KEK密鑰的更新和管理,實現(xiàn)對TEK數(shù)據(jù)的傳輸保護(hù)。所述組策略傳輸加密工作密鑰(TEK)管理單元根據(jù)組策略狀態(tài)和密鑰更新周期維護(hù)TEK密鑰數(shù)據(jù)的管理,實現(xiàn)對組策略數(shù)據(jù)的傳輸保護(hù)。
[0062]所述算法處理模塊連接密鑰管理模塊,通過SM2、SM3及SM4算法,實現(xiàn)本地關(guān)鍵數(shù)據(jù)的存儲保護(hù),全網(wǎng)會話加密密鑰、組策略密鑰加密密鑰及組策略傳輸加密工作密鑰的維護(hù)和管理。
[0063]所述通信處理模塊包括安全管理通信接口單元、GDOI協(xié)議處理單元和組播通信處理單元,所述通信處理模塊用以實現(xiàn)所述密鑰管理模塊與密鑰管理控制終端的通信連接、所述設(shè)備管理模塊與密鑰管理控制終端的通信連接以及密鑰管理模塊與所述設(shè)備管理模塊的通信連接,所述通信處理模塊對外統(tǒng)一提供GDOI協(xié)議接口,密鑰的分發(fā)采用GDOI協(xié)議實施。所述安全管理通信接口單元用于實現(xiàn)密鑰管理模塊與設(shè)備管理模塊的通信協(xié)議解析與處理、組策略信息的收集、設(shè)備管理模塊命令解析以及信息上報。所述GDOI協(xié)議處理單元用于實現(xiàn)密鑰管理控制終端與密鑰管理之間的通信連接,并根據(jù)⑶OI協(xié)議完成對IKE SA,KEK SA和TEK SA的建立和維護(hù)。所述組播通信處理單元用以實現(xiàn)設(shè)備管理模塊和密鑰管理控制終端的通信連接,對TEK密鑰進(jìn)行組播分發(fā)。
[0064]所述本地狀態(tài)監(jiān)控模塊用于收集各單元的運行狀態(tài),檢查關(guān)鍵數(shù)據(jù)的完整性,異常狀態(tài)觸發(fā)報警。
[0065]所述管理模塊包括密鑰管理中心管理單元和日志維護(hù)單元,所述密鑰管理中心管理單元基于WEB方式的管理維護(hù)功能,對密鑰管理中心進(jìn)行參數(shù)配置,運行管理,所述日志維護(hù)單元用于收集密鑰管理中心中運行的各類操作信息、狀態(tài)信息、維護(hù)信息,并形成日志記錄,便于檢索和查詢。
[0066]所述密鑰管理控制終端包括身份卡信息輸入模塊和公鑰分發(fā)模塊,所述密鑰管理控制終端為密鑰管理控制臺。
[0067]所述安全管理中心包括資產(chǎn)管理模塊和配置管理模塊、系統(tǒng)管理模塊,所述資產(chǎn)管理模塊主要實現(xiàn)對信息資產(chǎn)的描述和定義,并結(jié)合組織的基本情況進(jìn)行資產(chǎn)的分類和登記,資產(chǎn)管理是系統(tǒng)的核心之一,是開展其他一切安全運維管理工作的基礎(chǔ),所述資產(chǎn)管理模塊包括資產(chǎn)信息采集單元、資產(chǎn)信息管理單元、責(zé)任人信息管理單元、資產(chǎn)拓?fù)涔芾韱卧?,所述資產(chǎn)信息采集單元用于配合管理員完成資產(chǎn)數(shù)據(jù)的采集錄入,以及資產(chǎn)模型的建立,包括自動采集方式和人員錄入方式,所述資產(chǎn)信息管理單元用于協(xié)助管理員完成資產(chǎn)信息顯示、根據(jù)不同屬性實現(xiàn)資產(chǎn)查詢、資產(chǎn)信息修改、資產(chǎn)刪除管理工作,所述責(zé)任人信息管理單元用以對資產(chǎn)責(zé)任人信息進(jìn)行建立、維護(hù)和管理工作,責(zé)任人主要指需要對資產(chǎn)負(fù)責(zé)的管理人員,所述資產(chǎn)拓?fù)涔芾韱卧糜谕瓿少Y產(chǎn)網(wǎng)絡(luò)拓?fù)鋱D信息的采集建立、定期維護(hù)、資產(chǎn)拓?fù)鋱D的實時展示、資產(chǎn)拓?fù)浣换ス芾砉ぷ?,所述配置管理模塊用于對資產(chǎn)的功能配置和功能信息進(jìn)行設(shè)定,所述配置管理模塊協(xié)助網(wǎng)絡(luò)管理員完成骨干加密通信網(wǎng)絡(luò)的信息關(guān)鍵監(jiān)控、加密網(wǎng)絡(luò)關(guān)鍵設(shè)備的管理、關(guān)鍵密碼參數(shù)(加密算法和參數(shù))的維護(hù)、組密碼策略的制定、下發(fā)、取消管理工作,所述配置管理模塊包括組信息管理單元、組成員信息管理單元、組策略管理單元和密碼設(shè)備狀態(tài)監(jiān)控單元,所述組信息管理單元用于協(xié)助管理員獲取組加密網(wǎng)絡(luò)中全體或者部分加密組參數(shù)的詳細(xì)情況。所述組成員信息管理單元主要協(xié)助管理員以組成員的角度完成對應(yīng)關(guān)鍵信息的獲取和了解。所述組策略管理單元協(xié)助網(wǎng)絡(luò)管理員利用安全管中心提供的接口,向組密鑰服務(wù)器(KMC)下達(dá)組策略指令,KMC在執(zhí)行組策略的同時將組策略指令下發(fā)給指定的組成員,從而使得密碼系統(tǒng)根據(jù)網(wǎng)絡(luò)管理員的指令完成密碼系統(tǒng)組織結(jié)構(gòu)或者密碼參數(shù)更新任務(wù)。所述密碼設(shè)備狀態(tài)監(jiān)控單元用于監(jiān)控密鑰管理中心KMC和組成員的運行狀態(tài),上述密鑰管理中心KMC即為密鑰管理設(shè)備,上述組成員為加密設(shè)備,所述加密設(shè)備為高速加密模組,所述加密模組可以直接嵌入到現(xiàn)有的核心交換機、路由器網(wǎng)絡(luò)設(shè)備中,承擔(dān)與密碼相關(guān)的所有安全業(yè)務(wù)和功能,所述加密模組分左右兩個獨立的通道,每個通道可以處理20Gbps的業(yè)務(wù)數(shù)據(jù)。每個通道提供獨立的業(yè)務(wù)接口、管理接口和認(rèn)證接口;同時兩個通道共用一個配置接口。加密模組完全自主研發(fā)。40G加密模組內(nèi)部硬件分為三個部分:通道O數(shù)據(jù)處理部分,通道I數(shù)據(jù)處理部分,兩通道共用功能部分。通道0/1數(shù)據(jù)處理部分由數(shù)據(jù)處理單元、以太網(wǎng)PHY、數(shù)據(jù)緩存SRAM、安全芯片和擴展模塊組成;共用部分由CPLD、微控制器ARM和FLASH存儲器組成。所述密鑰管理設(shè)備為密鑰管理中心,該中心由4個核心模塊組成,分別為:設(shè)備管理管理模塊、算法處理及密鑰管理模塊、通信處理模塊及本地狀態(tài)監(jiān)控和管理模塊。通過安全定制的Linux系統(tǒng)內(nèi)核、專用驅(qū)動程序、密碼服務(wù)及管理模塊,實現(xiàn)對密碼機的身份驗證和入網(wǎng)控制管理,以及全網(wǎng)各類密鑰的管理和在線動態(tài)分發(fā)功能。
[0068]信息反饋管理中心包括所述狀態(tài)監(jiān)控模塊、統(tǒng)計分析模塊和系統(tǒng)管理模塊,所述狀態(tài)監(jiān)控模塊通過精確高效的流量分析功能,幫助網(wǎng)絡(luò)管理員實時掌控骨干網(wǎng)絡(luò)中的各種通信流量及其規(guī)模大小,及時發(fā)現(xiàn)異常流量并進(jìn)行定位,所述狀態(tài)監(jiān)控模塊包括流量信息采集單元、流量統(tǒng)計分析單元、流量信息顯示單元和異常流量報警單元,所述流量信息采集單元通過與業(yè)界各種主流的流標(biāo)準(zhǔn)對接,實現(xiàn)從網(wǎng)絡(luò)設(shè)備中獲取相關(guān)流信息數(shù)據(jù),并進(jìn)行一定的格式化處理,以供進(jìn)一步統(tǒng)計分析使用。所述流量統(tǒng)計分析單元利用DFI統(tǒng)計分析方法,對采集到的分類數(shù)據(jù)進(jìn)行深入分析檢測。所述流量信息顯示單元將流量統(tǒng)計分析單元的結(jié)果按照合理的顯示方式呈現(xiàn)給網(wǎng)絡(luò)管理員,協(xié)助網(wǎng)絡(luò)管理員做好日常流量監(jiān)控工作。包括各種周期、各種類型的圖表。所述異常流量報警單元將流量統(tǒng)計分析過程中的可疑異常流量,利用合理的方式,報送網(wǎng)絡(luò)管理員,以便網(wǎng)絡(luò)管理員及時了解并采取處理措施。
[0069]所述統(tǒng)計分析模塊連接所述狀態(tài)監(jiān)控模塊,并根據(jù)狀態(tài)監(jiān)控模塊返回的數(shù)據(jù)信息,進(jìn)行安全統(tǒng)計分析,所述統(tǒng)計分析模塊采集網(wǎng)絡(luò)設(shè)備中與運行風(fēng)險有關(guān)的安全事件,綜合分析網(wǎng)絡(luò)中可能存在安全運行風(fēng)險,并進(jìn)行報警,協(xié)助網(wǎng)絡(luò)管理員完成設(shè)備運行風(fēng)險的定位和排查,確保整個網(wǎng)絡(luò)平穩(wěn)運行。所述統(tǒng)計分析模塊包括性能報警管理單元、故障報警管理單元、綜合關(guān)聯(lián)分析單元和安全風(fēng)險報警單元。所述性能報警管理單元用于采集網(wǎng)絡(luò)設(shè)備單元中與網(wǎng)絡(luò)設(shè)備性能有關(guān)的異常事件,并提供給安全風(fēng)險報警單元進(jìn)行報警。所述故障報警管理單元用于采集網(wǎng)絡(luò)設(shè)備單元中的網(wǎng)絡(luò)設(shè)備故障事件,并提供給安全風(fēng)險報警單元進(jìn)行報警。所述綜合關(guān)聯(lián)分析單元利用SYSL0G、SNMP方式獲取可疑風(fēng)險事件,利用聚合引擎歸并處理可疑風(fēng)險事件,利用關(guān)聯(lián)分析引擎綜合分析可疑風(fēng)險事件,并最終將分析結(jié)果通報給安全風(fēng)險報警單元。所述安全風(fēng)險報警單元主要對于性能報警管理單元、故障報警管理單元、綜合關(guān)聯(lián)分析單元所生成的安全風(fēng)險提示和分析報告及時報警并通知相關(guān)網(wǎng)絡(luò)管理員和責(zé)任人,以便及時排查風(fēng)險,所述系統(tǒng)管理模塊用于對管理員和管理員角色的信息進(jìn)行監(jiān)控,并對登錄系統(tǒng)的操作進(jìn)行日志留存。
[0070]以上所述的實施例,只是本發(fā)明較優(yōu)選的【具體實施方式】的一種,本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案范圍內(nèi)進(jìn)行的通常變化和替換都應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)。
【主權(quán)項】
1.一種基于GDOI協(xié)議下安全管理及信息反饋系統(tǒng),其特征在于,所述系統(tǒng)包括對資產(chǎn)設(shè)備信息通過加密設(shè)備進(jìn)行加密處理,對所述加密設(shè)備進(jìn)行控制管理以及對被加密設(shè)備加密處理過的資產(chǎn)設(shè)備通過安全管理和反饋調(diào)節(jié)。2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述系統(tǒng)包括高速加密模組、密鑰管理中心、密鑰管理控制終端、安全管理中心和信息反饋管理中心,其中: 高速加密模組,所述高速加密模組用于對資產(chǎn)設(shè)備信息、加密設(shè)備提供雙通道加密方法; 密鑰管理中心,所述密鑰管理中心用于對加密設(shè)備進(jìn)行本機身份認(rèn)證、數(shù)據(jù)存儲的加密保護(hù)、以及全網(wǎng)加密設(shè)備的身份鑰匙管理; 密鑰管理控制終端;所述密鑰管理控制終端用于密鑰信息輸入和離線狀態(tài)下的密鑰管理中心的身份公鑰的分發(fā); 安全管理中心,所述安全管理中心對資產(chǎn)設(shè)備進(jìn)行描述、定義、分類和登記,并對資產(chǎn)設(shè)備相關(guān)聯(lián)的加密設(shè)備和密鑰管理中心的功能配置和功能信息進(jìn)行設(shè)定; 信息反饋管理中心,所述信息反饋管理中心用于對資產(chǎn)設(shè)備和加密設(shè)備的實時狀態(tài)進(jìn)行監(jiān)控,并根據(jù)監(jiān)控情況進(jìn)行安全管理和反饋調(diào)節(jié)。3.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,所述加密模組包括第一處理通道、第二處理通道和共用模塊,所所述第一處理通道和第二處理通道均設(shè)有獨立的用戶信息輸入接口、管理信息輸入接口和身份認(rèn)證接口,所述共用模塊通過用戶信息輸入接口接收用戶輸入的密鑰信息和驗證信息,所述共用模塊通過管理信息輸入接口接收管理人員的操作信息,所述共用模塊通過身份認(rèn)證接口接收管理人員的驗證信息。4.根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于,所述共用模塊包括控制中心單元、編輯集成單元、閃存單元和配置接口,所述第一處理通道和第二處理通道均還包括數(shù)據(jù)處理單元、數(shù)據(jù)緩存單元、驗證單元、微控制單元和擴展單元,其中; 控制中心單元,所述控制中心單元用于處理通過管理信息輸入接口接收到的管理人員配置操作命令; 編輯集成單元,所述編輯集成單元用于將所述控制中心單元中所有操作命令通過邏輯編輯和數(shù)字集成轉(zhuǎn)為數(shù)字信息; 閃存單元,所述閃存單元用于緩存密鑰信息和驗證信息; 數(shù)據(jù)處理單元,所述數(shù)據(jù)處理單元包括分組對稱密碼運算和散列密碼運算,所述分組密碼運算通過SM4算法對數(shù)據(jù)加密,所述散列密碼運算通過SM3算法對經(jīng)過HASH運算加密的數(shù)據(jù)進(jìn)行散列; 驗證單元,所述驗證單元用于提供數(shù)字簽名和數(shù)字簽名的驗證,所述微控制單元通過管理信息輸入接口和用戶信息輸入接口分別接收用戶的和管理人員的操作信息,并通過數(shù)據(jù)處理單元發(fā)送給控制中心單元。5.根據(jù)權(quán)利要求4所述的系統(tǒng),其特征在于,所述密鑰管理中心包括設(shè)備管理模塊、算法處理模塊、密鑰管理模塊、通信處理模塊、本地狀態(tài)監(jiān)控模塊和集成管理模塊,所述設(shè)備管理模塊包括遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元、組策略處理單元和身份鑰匙管理單元,所述密鑰管理模塊包括噪聲碼處理單元、本地關(guān)鍵數(shù)據(jù)存儲保護(hù)單元、會話加密密鑰(SEK)管理單元、組策略密鑰加密密鑰(KEK)管理單元和組策略傳輸加密工作密鑰(TEK)管理單元,所述通信處理模塊包括安全管理通信接口單元、GDOI協(xié)議處理單元和組播通信處理單元,所述管理模塊包括密鑰管理中心管理單元和日志維護(hù)單元。6.根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于,所述設(shè)備管理模塊用于全網(wǎng)加密設(shè)備的的管理、狀態(tài)監(jiān)控和身份鑰匙的管理以及組密碼策略的維護(hù),所述算法處理模塊通過SM2、SM3和SM4算法對加密設(shè)備進(jìn)行密鑰信息計算,所述密鑰管理模塊連接算法處理模塊,通過算法處理模塊中SM2、SM3和SM4算法對本地關(guān)鍵數(shù)據(jù)的存儲保護(hù)以及對全網(wǎng)會話加密密鑰、組策略密鑰加密密鑰和組策略傳輸加密工作密鑰進(jìn)行維護(hù)和管理,所述通信處理模塊用以實現(xiàn)所述密鑰管理模塊與密鑰管理控制終端、所述設(shè)備管理模塊與密鑰管理控制終端以及密鑰管理模塊與所述設(shè)備管理模塊的通信連接,所述通信處理模塊對外統(tǒng)一提供GDOI協(xié)議接口,密鑰的分發(fā)采用GDOI協(xié)議實施,所述本地狀態(tài)監(jiān)控模塊用于收集設(shè)備管理模塊、算法處理模塊、密鑰管理模塊、集成管理模塊和通信處理模塊的運行狀態(tài),檢查關(guān)鍵數(shù)據(jù)的完整性,異常狀態(tài)觸發(fā)報警,所述集成管理模塊基于WEB方式對設(shè)備管理模塊、算法處理模塊、密鑰管理模塊、通信處理模塊和本地狀態(tài)監(jiān)控模塊進(jìn)行管理和維護(hù),并對操作信息、狀態(tài)信息和維護(hù)信息記錄形成日志,所述遠(yuǎn)程狀態(tài)查詢及監(jiān)控單元用于收集并監(jiān)控加密設(shè)備的運行狀態(tài),所述組策略處理單元用于實現(xiàn)組策略信息的維護(hù),包括對組策略的加密設(shè)備成員進(jìn)行增加和刪除操作,所述身份鑰匙管理單元包括注密鑰匙和認(rèn)證鑰匙,所述注密鑰匙用于實現(xiàn)加密設(shè)備的關(guān)鍵參數(shù)的初裝注入,所述認(rèn)證鑰匙用于實現(xiàn)加密設(shè)備啟動時的本地身份認(rèn)證功能,所述噪聲碼處理單元用以獲取和隨機檢測物理噪聲源的噪聲數(shù)據(jù),所述本地關(guān)鍵數(shù)據(jù)存儲保護(hù)單元通過身份鑰匙管理單元的認(rèn)證鑰匙實現(xiàn)本地的身份認(rèn)證功能,獲取存儲保護(hù)密鑰,對本地敏感信息進(jìn)行存儲保護(hù),所述會話加密密鑰(SEK)管理單元通過與加密設(shè)備進(jìn)行IKE交換,對全網(wǎng)加密設(shè)備之間SEK密鑰進(jìn)行維護(hù)和管理,所述組策略密鑰加密密鑰(KEK)管理單元根據(jù)設(shè)備管理模塊的組策略狀態(tài)對全網(wǎng)KEK密鑰進(jìn)行更新和管理,所述組策略傳輸加密工作密鑰(TEK)管理單元根據(jù)組策略狀態(tài)和密鑰更新周期,對TEK密鑰數(shù)據(jù)維護(hù)和管理,所述安全管理通信接口單元用于對密鑰管理模塊與設(shè)備管理模塊的通信協(xié)議進(jìn)行解析與處理、對組策略信息進(jìn)行收集、以及對設(shè)備管理模塊進(jìn)行命令解析和信息上報,所述⑶OI協(xié)議處理單元用于實現(xiàn)密鑰管理控制終端與密鑰管理之間的通信連接,并根據(jù)⑶OI協(xié)議對IKE SA,KEK SA和TEK SA的建立和維護(hù),所述組播通信處理單元用以實現(xiàn)設(shè)備管理模塊和密鑰管理控制終端的通信連接,對TEK密鑰進(jìn)行組播分發(fā),所述密鑰管理中心管理單元基于WEB方式對密鑰管理中心各類單元進(jìn)行參數(shù)配置和運行管理,所述日志維護(hù)單元用于收集密鑰管理中心各類單元的操作信息、狀態(tài)信息、維護(hù)信息,并形成日志記錄,供檢索和查詢。7.根據(jù)權(quán)利要求6所述的管理系統(tǒng),其特征在于,所述密鑰管理控制終端包括身份卡信息輸入模塊和公鑰分發(fā)模塊,所述密鑰管理控制終端為密鑰管理控制臺。8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述安全管理中心包括資產(chǎn)管理模塊和配置管理模塊,所述資產(chǎn)管理模塊包括資產(chǎn)信息采集單元、資產(chǎn)信息管理單元、責(zé)任人信息管理單元和資產(chǎn)拓?fù)涔芾韱卧雠渲霉芾砟K包括組信息管理單元、組成員信息管理單元、組策略管理單元和加密設(shè)備狀態(tài)監(jiān)控單元,其中; 資產(chǎn)信息采集單元,所述資產(chǎn)信息采集單元用于配合管理員完成資產(chǎn)數(shù)據(jù)的采集錄入,以及資產(chǎn)模型的建立,所述資產(chǎn)數(shù)據(jù)的采集錄入包括自動采集和人工錄入; 資產(chǎn)信息管理單元,所述資產(chǎn)信息管理單元用于協(xié)助管理員完成資產(chǎn)信息顯示、根據(jù)不同屬性實現(xiàn)資產(chǎn)查詢、資產(chǎn)信息修改和資產(chǎn)刪除; 責(zé)任人信息管理單元,所述責(zé)任人信息管理單元用于資產(chǎn)的責(zé)任人信息的建立、維護(hù)、管理工作,所述責(zé)任人為需要對資產(chǎn)負(fù)責(zé)的管理人員; 資產(chǎn)拓?fù)涔芾韱卧?,所述資產(chǎn)拓?fù)涔芾韱卧糜诓杉①Y產(chǎn)網(wǎng)絡(luò)拓?fù)鋱D和定期維護(hù)資產(chǎn)網(wǎng)絡(luò)拓?fù)鋱D信息,并對資產(chǎn)拓?fù)鋱D進(jìn)行實時展示和資產(chǎn)拓?fù)浣换ス芾恚?組信息管理單元,所述組信息管理單元用于協(xié)助管理員獲取組加密網(wǎng)絡(luò)中資產(chǎn)的密鑰管理設(shè)備的參數(shù); 組成員信息管理單元,所述組成員信息管理單元用于協(xié)助管理員以組成員的角度對資產(chǎn)的加密設(shè)備的信息進(jìn)行獲??; 組策略管理單元,所述組策略管理單元用于對密鑰管理系統(tǒng)中的密鑰管理中心下達(dá)組策略指令,密鑰管理中心執(zhí)行組策略的同時將組策略指令下發(fā)給指定的組成員,從而使得密碼系統(tǒng)根據(jù)網(wǎng)絡(luò)管理員的指令完成密碼系統(tǒng)組織結(jié)構(gòu)或者密碼參數(shù)更新的任務(wù),所述組成員即加密設(shè)備; 加密設(shè)備狀態(tài)監(jiān)控單元,所述加密設(shè)備狀態(tài)監(jiān)控單元用于監(jiān)控密鑰管理中心和組成員的運行狀態(tài)。9.根據(jù)權(quán)利要8所述的系統(tǒng),其特征在于,所述信息反饋管理中心包括狀態(tài)監(jiān)控模塊、統(tǒng)計分析模塊和系統(tǒng)管理模塊,所述狀態(tài)監(jiān)控模塊包括流量信息采集單元、流量統(tǒng)計分析單元、流量信息顯示單元和異常流量報警單元,所述統(tǒng)計分析管理模塊包括性能報警管理單元、故障報警管理單元、綜合關(guān)聯(lián)分析單元和安全風(fēng)險報警單元,其中; 狀態(tài)監(jiān)控模塊,所述狀態(tài)監(jiān)控模塊通過流量分析幫助網(wǎng)絡(luò)管理員實時掌控骨干網(wǎng)絡(luò)中的各種通信流量及其規(guī)模大小,及時發(fā)現(xiàn)異常流量并進(jìn)行定位; 統(tǒng)計分析模塊,所述統(tǒng)計分析模塊連接所述狀態(tài)監(jiān)控模塊,并根據(jù)狀態(tài)監(jiān)控模塊返回的數(shù)據(jù)信息,進(jìn)行安全統(tǒng)計分析; 系統(tǒng)管理模塊,所述系統(tǒng)管理模塊用于對管理員和管理員角色的信息進(jìn)行監(jiān)控,并對登錄系統(tǒng)的操作進(jìn)行日志留存。10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述流量信息采集單元通過與業(yè)界各種主流的流標(biāo)準(zhǔn)對接,從網(wǎng)絡(luò)設(shè)備中獲取相關(guān)流信息數(shù)據(jù),并進(jìn)行一定的格式化處理,以供進(jìn)一步統(tǒng)計分析使用;所述流量統(tǒng)計分析單元利用DFI統(tǒng)計分析方法,對采集到的分類數(shù)據(jù)進(jìn)行深入分析檢測;所述流量信息顯示單元將流量統(tǒng)計分析單元的結(jié)果按照合理的顯示方式呈現(xiàn)給網(wǎng)絡(luò)管理員,協(xié)助網(wǎng)絡(luò)管理員做好日常流量監(jiān)控工作,包括顯示各種周期、各種類型的圖表;所述異常流量報警單元將流量統(tǒng)計分析過程中的可疑異常流量,報送網(wǎng)絡(luò)管理員,以便網(wǎng)絡(luò)管理員及時了解并采取處理措施,所述性能報警管理單元用于采集網(wǎng)絡(luò)設(shè)備單元中與網(wǎng)絡(luò)設(shè)備性能有關(guān)的異常事件,并提供給安全風(fēng)險報警單元進(jìn)行報警,所述故障報警管理單元用于采集網(wǎng)絡(luò)設(shè)備單元中的網(wǎng)絡(luò)設(shè)備故障事件,并提供給安全風(fēng)險報警單元進(jìn)行報警,所述綜合關(guān)聯(lián)分析單元利用SYSLOG、SNMP方式獲取可疑風(fēng)險事件,利用聚合引擎歸并處理可疑風(fēng)險事件,利用關(guān)聯(lián)分析引擎綜合分析可疑風(fēng)險事件,并最終將分析結(jié)果通報給安全風(fēng)險報警單元,所述安全風(fēng)險報警單元主要對于性能報警管理單元、故障報警管理單元、綜合關(guān)聯(lián)分析單元所生成的安全風(fēng)險提示和分析報告及時報警并通知相關(guān)網(wǎng)絡(luò)管理員和責(zé)任人,以便及時排查風(fēng)險。
【文檔編號】H04L12/24GK105939353SQ201610405991
【公開日】2016年9月14日
【申請日】2016年6月10日
【發(fā)明人】朱云, 李元驊, 張曉囡
【申請人】北京數(shù)盾信息科技有限公司