一种面向密码机集的管理员身份管控方法及系统

本发明涉及信息安全技术领域，尤其涉及一种面向密码机集的管理员身份管控方法及系统。

密码机可为各类应用提供非对称/对称数据加解密运算、完整性校验、真随机数生成、密钥生成和管理等服务,确保用户数据的机密性、真实性、完整性和有效性。密码机除了对外提供密码计算服务外，自身还要完成包括设备配置、密钥操作、审计等多种任务。通常密码机需要设置多个管理员角进行管理，每个角拥有不同权限，共同管理密码机。密码机还具有密码机标识ID和主密钥MK，密码机标识ID是唯一标识密码机身份的一个数据项序列，主密钥MK为GM/T 0030标准《服务器密码机技术规范》里规定的密码机的三层密钥结构的顶层密钥。

本发明涉及的密码机集至少包括两台密码机，每台密码机都具有上文所述密码机基本功能及配置多个管理员角进行管理。

根据GM/T 0086标准《基于SM9标识密码算法的密钥管理系统技术规范》,密钥管理系统可以创建和管理密钥，保护密钥的机密性、完整性和可用性。此外，密钥管理系统还具有主签名密钥对(ks,Ppub-s)、主加密密钥对(ke,Ppub-e)。主签名密钥对用于数字签名、验签和为用户生成用户签名密钥，主加密密钥对用于数字加密解密和为用户生成加密密钥。

本发明涉及的智能密码钥匙作为密码机对管理员身份鉴别的介质，具有身份认证、数字加解密、数字签名及认证、信息安全存储等功能，可作为管理员的身份凭证，利用挑战-响应等机制完成对于管理员的鉴别需求。

面向密码机集工作时，理论上需要为每台密码机单独配置多个管理员，实际应用场景中，由于缺乏监管，单一人员可能会在多台密码机上担任管理员。单一人员在密码机集内同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限，从而会导致其权限过大，影响密码机自身安全。

本发明公开了一种面向密码机集的管理员身份管控方法及系统。满足面向密码机集时对管理员身份统一监管需求，解决了单一人员同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限，导致其权限过大的问题。

本发明公开一种面向密码机集的管理员身份管控系统，该管控系统包括密钥管理系统(KM)、多台密码机(HSM)组成的密码机集、每台密码机下配有多个智能密码钥匙的管理员(admin)以及密钥管理系统平台管理员。

密钥管理系统功能包括下发密码机密钥、对密码机管理员的身份创建进行统一鉴别和管理。密码机功能包括向密钥管理系统发送创建管理员申请。智能密码钥匙主要作为管理员创建和登录时的身份凭证。密钥管理系统根据存储的集范围内管理员角信息，由密钥管理系统平台管理员审核的方式监管密码机管理员身份创建。

本发明公开一种面向密码机集的管理员身份管控方法。根据该方法，初始化状态的密码机在密钥管理系统的协同下完成本密码机管理员角创建。其中，申请创建密码机A管理员之前密钥管理系统已存在的信息有：密码机A的标识IDA，IDA是唯一标识密码机身份的一个数据项序列；密码机A的主密钥MK，主密钥MK为密码机的三层密钥结构的顶层密钥；密钥管理系统的主加密密钥对(ke,Ppub-e)，用于数字加密解密和为用户生成加密密钥；主签名密钥对(ks,Ppub-s)，用于数字签名、验签和为用户生成用户签名密钥。具体步骤如下：

一.密码机A向密钥管理系统申请下发密钥。

二.密钥管理系统利用自身硬件安全模块根据IDA生成密钥(SKA，PKA)，将(SKA，PKA)、Ppub-s、Ppub-e下发给密码机A，并存储SKA的哈希值H(SKA)；其中，SKA为密码机A的私钥，PKA为密码机A的公钥，Ppub-s为密钥管理系统的主签名密钥对中的公钥，Ppub-e为密钥管理系统的主加密密钥对中的公钥。

三.密码机A存储密钥管理系统下发的密钥(SKA，PKA)、Ppub-s和Ppub-e。

四.具有智能密码钥匙的管理员a申请成为密码机A的管理员时，管理员a选取管理员类型信息并利用智能密码钥匙产生身份密钥对,向密码机A发送身份密钥对中公钥

五.密码机A产生随机数r，使用Ppub-e对r、申请管理员类型信息H(SKA)、密码机A的主密钥MKA的哈希值H(MKA)、IDA采用SM2算法加密得到密文C1，

六.密码机A向密钥管理系统发送管理员创建申请并发送C1。

七.密钥管理系统使用主加密密钥对中的私钥ke对C1进行解密，

八.密钥管理系统根据H(SKA)和IDA确定密码机A身份。利用在密钥管理系统数据库中进行查询，得到管理员a目前在密码机集中已担任的角身份信息。

九.密钥管理系统平台管理员根据本发明公开的面向密码机集时系统创建管理员的权限管理策略作出批准或拒绝该管理员创建申请的决定Mcheck。

十.密钥管理系统使用主签名密钥对中的私钥ks对Mcheck、r的哈希值采用SM2算法签名得到

十一.密钥管理系统将Mcheck、r使用PKA采用SM2算法加密得到C2，

十二.密钥管理系统将sig1、C2发送给密码机A。

十三.如果密钥管理系统批准创建管理员，则密钥管理系统将IDA、以及H(MKA)按表1格式存入数据库。

表1

十四.密码机A使用SKA对C2进行解密，

十五.密码机A使用Ppub-s对sig1验签，验签成功后，根据解密得到的信息判断是否被允许创建管理员，如果密码机A未被批准创建管理员则密码机相应的管理员功能不对配有智能密码钥匙的管理员a开放；如果批准则将密码机A相应的管理员功能配有所述智能密码钥匙的管理员a开放。

本发明公开了一种面向密码机集时系统创建管理员的权限管理策略，密钥管理系统平台管理员根据本策略对密码机管理员创建申请进行审核。安全管理员负责主密钥MK的创建和恢复；设备管理员负责主密钥的使用；审计管理员负责密码机运行期间包括主密钥在内的所有行为操作的监管。为避免单一人员同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限，具体规则如下：当满足以下条件之一时，管理员创建请求应被拒绝：

1)申请成为密码机A的管理员时，其已经成为“同一台密码机”的其他管理员。

2)申请成为密码机A的安全管理员时，其已经成为其他“不同密码机”的安全管理员。

3)申请成为密码机A的安全管理员时，其已经成为其他“主密钥相同的不同密码机”的设备管理员。

4)申请成为密码机A的设备管理员时，其已经成为其他“主密钥相同的不同密码机”的安全管理员。

本策略规定密码机间关系如下：当两密码机的主密钥MK和两密码机的标识ID都相同时可以确定两密码机为“同一台密码机”；当两密码机的主密钥MK相同、ID不同时确定两密码机为“主密钥相同的不同密码机”；当两密码机的主密钥MK不相等时确定两密码机为“不同密码机”。

此外，密钥管理系统平台管理员可以根据实际使用场景修改管理员权限管理策略以适应不同需求。

本发明的优点如下：

面向密码机集时，密钥管理系统可以查询单一人员在系统中担任的所有管理员情况、灵活的对系统中管理员的创建进行控制。满足了面向密码机集时对管理员身份统一监管需求，解决了单一人员同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限导致其权限过大的问题。提高了密码设备的安全性。

图1是本发明的方法流程图。

下面结合附图对本发明进行进一步详细描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

本发明提供的一种面向密码机集的管理员身份管控系统及方法，管控系统包含密钥管理系统(KM)、多台密码机(HSM)组成的密码机集、每台密码机下配有多个智能密码钥匙的管理员(admin)以及密钥管理系统平台管理员。密码机管理员的创建需要密钥管理系统平台管理员根据密钥管理系统储存的该管理员在密码机集中的身份信息结合管理员创建时的权限管理策略进行审核。

下面结合附图及实例对本发明做进一步详细描述，请参阅图1。具体实施方法为创建管理员adminA的过程，已存在的信息有：密码机A的标识IDA，IDA是唯一标识密码机身份的一个数据项序列；密码机A的主密钥MK，主密钥MK为密码机的三层密钥结构的顶层密钥；密钥管理系统的主加密密钥对(ke,Ppub-e)，用于数字加密解密和为用户生成加密密钥；主签名密钥对(ks,Ppub-s)，用于数字签名、验签和为用户生成用户签名密钥。

步骤一：密码机A向密钥管理系统申请下发密钥。

步骤二：密钥管理系统利用自身硬件安全模块根据IDA生成加密密钥对(SKA，PKA)并将密钥(SKA，PKA)和Ppub-s、Ppub-e下发给密码机A，并存储H(SKA)。

步骤三:密码机A收到并存储密钥(SKA，PKA)和Ppub-s、Ppub-e。

步骤四：分配给管理员a的智能密码钥匙产生身份密钥对,向密码机A发送身份密钥对中公钥

步骤五：密码机A产生随机数r,密码机A使用Ppub-e对r、H(SKA)、密码机A的主密钥MKA的哈希值H(MKA)、IDA采用SM2算法加密得到密文C1，

步骤六：密码机A向密钥管理系统发送管理员创建申请并发送C1。

步骤七：密钥管理系统使用主加密密钥对中的私钥ke对C1进行解密，

步骤八：密钥管理系统根据H(SKA)和IDA确定密码机A身份。

步骤九：密钥管理系统利用在密钥管理系统数据库中进行查询，得到管理员a目前在密码机集中已担任的角身份信息。

步骤十：密钥管理系统平台管理员审核根据本发明公开的面向密码机集时系统创建管理员的权限管理策略作出批准或拒绝该管理员创建申请决定Mcheck，密钥管理系统将Mcheck、r使用密钥管理系统主签名密钥对中的私钥ks签名后得到密钥管理系统将Mcheck、r使用密码机A的加密公钥PKA加密后得到C2，并将签名sig1、C2发送给密码机A。

步骤十一：密钥管理系统批准后将H(MKA)、以及管理员类型信息按表1格式存入数据库。

步骤十二：密码机A使用加密私钥SKA对C2进行解密，得到Mcheck、r，使用Ppub-s对sig1验签，验签成功后，根据解密得到的信息判断是否被允许创建管理员，。

步骤十三：密码机A收到密钥管理系统批准创建管理员反馈后，开始创建管理员。

步骤十四：智能密码钥匙验证PIN码正确后向密码机发送卡ID和身份公钥。

步骤十五：密码机A将管理员类型、卡ID以及存储于本地，管理员adminA创建成功。

步骤十六：管理员adminA尝试登录，正确输入智能密码钥匙PIN码。

步骤十七：智能密码钥匙在PIN码验证正确后向密码机发送卡ID。

步骤十八：密码机检查卡ID是否存在，存在则发送256位随机数Mtemp。

步骤十九：智能密码钥匙对收到的随机数进行签名，并将签名发送给密码机A。

步骤二十：密码机使用验证该签名。

步骤二十一：验签通过后登陆成功。

最后应说明的是：对于前述的方式实施，为了描述简单，故将其都表述为一系列的动作组合，但是本领域的相关技术人员都应当知悉，本申请并不受描述的动作的限制，因为依据本申请，某一步骤可以采用其他顺序或者同时进行。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、ROM、RAM等。

以上仅为本发明的具体实施例，并非因此限制本发明的专利范围。凡在本发明的说明书及附图内容范围之内，所做的任何等效修改、替换、改进等，均应包含在本发明的保护范围之内。