本发明专利技术提供一种密码安全管理系统和方法,其中,所述系统包括应用接口模块、密码安全代理模块、密码安全服务器和加密机,其中,所述密码安全服务器还包括:密码运算模块,用于调用所述加密机的数据进行密码运算;密钥管理模块,用于接收和处理所述密码安全代理模块发出的密钥请求;配置管理模块,用于向所述密码运算模块提供配置服务;监控模块,用于监控所述密码运算模块的运行状态;审计模块,用于采集审计信息,并对所述审计信息进行存储、查询和分析。本发明专利技术提供的一种密码安全管理系统和方法,能利用统一的安全标准和分组化的管理方式实现对密码安全的升级管理,从而进一步提高了密码的安全保障能力。
【技术实现步骤摘要】
【专利摘要】本专利技术提供,其中,所述系统包括应用接口模块、密码安全代理模块、密码安全服务器和加密机,其中,所述密码安全服务器还包括:密码运算模块,用于调用所述加密机的数据进行密码运算;密钥管理模块,用于接收和处理所述密码安全代理模块发出的密钥请求;配置管理模块,用于向所述密码运算模块提供配置服务;监控模块,用于监控所述密码运算模块的运行状态;审计模块,用于采集审计信息,并对所述审计信息进行存储、查询和分析。本专利技术提供的,能利用统一的安全标准和分组化的管理方式实现对密码安全的升级管理,从而进一步提高了密码的安全保障能力。【专利说明】
本专利技术涉及密码管理领域,具体而言,涉及。
技术介绍
近年来,随着银行业务范围的不断扩大和电子化业务处理的发展,使得金融机构的信息安全管理显得尤为重要,金融数据的安全已成为金融机构信息系统安全的关键。随着各类金融机构的业务发展,以电子化处理业务的种类也随之增加。然而,这些金融机构对于电子业务处理的密码安全防范标准并不统一,从而导致信息系统的加密机制不规范以及数据传输过程中存在安全隐患等问题。尽管现在现有的密码技术对于保障信息安全起到了一定的作用,但是为了应对未来的需要,现有的密码安全系统缺乏统一的密码安全标准,不支持加密机的分组管理,加密应用模式有待提高。因此,需要一种更完善的密码安全系统应对这些信息安全问题。
技术实现思路
为解决上述技术问题,本专利技术提供了一种密码安全管理方法和系统,能利用统一的安全标准和分组化的管理方式实现对密码安全的升级管理,从而进一步提高了密码的安全保障能力。根据本专利技术实施例的第一方面,提供了密码安全管理系统,所述系统包括应用接口模块、密码安全代理模块、密码安全服务器和加密机,其中,所述密码安全服务器还包括:密码运算模块,用于调用所述加密机的数据进行密码运算;密钥管理模块,用于接收和处理所述密码安全代理模块发出的密钥请求;配置管理模块,用于向所述密码运算模块提供配置服务;监控模块,用于监控所述密码运算模块的运行状态;审计模块,用于采集审计信息,并对所述审计信息进行存储、查询和分析。根据本专利技术实施例的第二方面提供了一种密码安全管理方法,其特征在于,所述方法包括以下步骤:SI,应用接口模块将应用系统发送的加密请求转发至密码安全代理模块;S2,所述密码安全代理模块对获取的所述交易信息进行策略检查并转发至密码安全服务器;S3,所述密码安全服务器将获取的所述交易信息进行数据处理并转发至加密机;S4,所述加密机进行加密处理并将得到的加密结果返回至所述密码安全服务器;S5,所述密码安全服务器将所述加密结果转发至所述应用接口模块。实施本专利技术实施例所提供的,能利用统一的安全标准和分组化的管理方式实现对密码安全的升级管理,从而进一步提高了密码的安全保障能力。【专利附图】【附图说明】图1是本专利技术的一种密码安全管理系统10的结构示意图;图2是本专利技术所述系统10中所述密码安全服务器300的结构示意图;图3是本专利技术所述系统10中应用接口模块100的结构示意图;图4是本专利技术所述系统10中密码安全代理模块200的结构示意图;图5是本专利技术所述系统10中密码运算模块301的结构示意图;图6是本专利技术所述系统10中配置管理模块303的结构示意图;图7是本专利技术所述系统10中监控模块304的结构示意图;图8是本专利技术所述系统10中审计模块305的结构示意图;图9是本专利技术的一种密码安全管理方法的流程图;图10是本专利技术所述方法中步骤S2的流程图;图11是本专利技术所述方法中步骤S3的流程图。【具体实施方式】图1和图2是本专利技术的一种密码安全管理系统10的结构示意图和所述密码安全服务器300的结构示意图。参见图1和图2,密码安全管理系统包括应用接口模块100、密码安全代理模块200、密码安全服务器300和加密机400,其中,密码安全服务器300还包括:密码运算模块301,用于调用加密机400的数据进行密码运算;密钥管理模块302,用于接收和处理密码安全代理模块200发出的密钥请求;配置管理模块303,用于向密码运算模块301提供配置服务;监控模块304,用于监控密码运算模块301的运行状态;审计模块305,用于采集审计信息并对所述审计信息进行存储、查询和分析。密码安全管理系统10运行的系统环境包括:HP-UX、IBM AIX、SCO Openserver和WindowsNT/2000/XP。所述密码安全管理系统10分为硬件设备层、抽象层和应用层。抽象层处在应用层和硬件设备层之间,它对上层应用开发接口屏蔽了底层密码设备的调用和实现细节,为上层应用程序提供加密设备所支持的所有功能,提供灵活方便的应用安全编程接口环境。应用层直接为应用系统开发人员提供各种标准的、为定制的密码运算编程接口和组件,以及密钥管理接口。依托符合国密办要求的硬件加密设备(主流的国产加密机、加密IC卡和USBKey),完成符合国际标准和符合我国商业密码规范的各种接口和安全组件。硬件设备层主要由符合国密办相关规定的国产加密机、加密IC卡和USBKey组成。密码安全管理系统10在原有密码安全系统的基础上,整合了多类加密机设备,形成了目前所使用的密码终端设备统一规范,解决产品品牌多、功能各异,技术指标不统一、接口不标准的问题。密码安全管理系统10的集中管理主要对系统中所使用的密码设备进行集中的配置、监控、启停等服务管理。对各个应用系统进行主密钥和工作密钥的管理等。密码安全管理系统10注重完善对本地数据存储以及大文件传输加解密相匹配的密钥管理功能,同时增加自定义单位所使用密码设备的集中管理功能。密码安全管理系统10的具体组件组成包括:1)PKCS#11:兼容PKCS#11标准的PKI功能调用组件2) JCE:兼容JCE标准的应用编程接口组件3 )用户应用接口:定制的应用开发安全接口4 ) SSL:安全套接字应用编程接口组件5) Β/S安全组件:B/S安全组件包括客户端控件和服务器端组件6) U1:定制的密码终端设备用户接口SSL协议的优越之处在于它独立于应用层协议,“高层”的应用协议(如HTTP、FTP、TELNET等)以及其他一些用户网络应用程序可以透明地置于SSL协议之上。但是,由于浏览器定制的SSL协议受到了一些国家(如美国)出口的限制,其安全强度和算法选择都不是很灵活;而另一方面,由于SSL协议保护的范围太广,对于专用的Β/S系统来说也可能显得太烦杂。我们对SSL底层进行相关的替换,在各大主流Web服务器上用国产加密设备硬件运算模块或者是我行组织开发的软件模块替换了其软件运算模块,在不影响其Web服务器运行效率的同时,更好的实现安全。支持的主流WEB 服务器如下:Microsoft IIS、IBM WebSphere、BEA WebLogic、Apache 和 Tomcat。B/S安全组件适用于当前通用的IE浏览器,同浏览器原有功能(如:密钥及证书管理)紧密结合,客户端采用标准的Microsoft CSP安全接口,可以使用USB KEY等硬件加密产品,服务器端采用Java JCE安全接口,但是为了安全起见,要求JCE provider由密码安全服务平台提供,即服务器端的密码运算模块采用符合国密办要求的国产加密机实现,或者是平本文档来自技高网...
【技术保护点】
一种密码安全管理系统,其特征在于,所述系统包括应用接口模块、密码安全代理模块、密码安全服务器和加密机,其中,所述密码安全服务器还包括:密码运算模块,用于调用所述加密机的数据进行密码运算;密钥管理模块,用于接收和处理所述密码安全代理模块发出的密钥请求;配置管理模块,用于向所述密码运算模块提供配置服务;监控模块,用于监控所述密码运算模块的运行状态;审计模块,用于采集审计信息,并对所述审计信息进行存储、查询和分析。
【技术特征摘要】
【专利技术属性】
技术研发人员:廖敏飞,李文鹏,吴孟晴,刘丽娟,董思,
申请(专利权)人:中国建设银行股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。