6.3 系統設計

6.3.1　概述

密鑰管理中心的設計包括系統的整體設計和各子系統設計。本標準提供密鑰管理中心的設計原則以及各個子系統的實現方式，在具體實現過程中，應根據所選擇的開發平臺和開發環境進行詳細設計。

6.3.2　總體設計原則

a) 密鑰管理中心遵循標準化、模塊化設計原則；

b) 密鑰管理中心設置相對獨立的功能模塊，通過各模塊之間的安全連接，實現各項功能；

c) 各模塊之間的通信采用基于身份驗證機制的安全通信協議；

d) 各模塊使用的密碼運算都必須在密碼設備中完成；

e) 各模塊產生的審計日志文件采用統一的格式傳遞和存儲；

f) 系統必須具備訪問控制功能；

g) 系統應設置有效的系統管理功能；

h) 系統在實現密鑰管理功能的同時，必須充分考慮系統本身的安全性；

i) 系統可為多個CA提供密鑰服務，當為多個CA提供密鑰服務時，由上級CA為密鑰管理中心簽發證書。

6.3.3　密鑰生成模塊

密鑰生成模塊應提供以下主要功能：

a) 非對稱密鑰對的生成，并將其保存在備用庫中；當備用庫中密鑰數量不足時，自動進行補充；

b) 對稱密鑰的生成；

c) 隨機數的生成。

6.3.4　密鑰管理模塊

密鑰管理模塊應提供以下主要功能：

a) 接收、審核CA的密鑰申請；

b) 調用備用密鑰庫中的密鑰對；

c) 向CA發送密鑰對；

d) 對調用的備用密鑰庫中的密鑰對進行處理，并將其轉移到在用密鑰庫；

e) 對在用密鑰庫中的密鑰進行定期檢查，將超過有效期的或被撤銷的密鑰轉移到歷史密鑰庫；

f) 對歷史密鑰庫中的密鑰進行處理，將超過規定保留期的密鑰轉移到規定載體；

g) 接收與審查關于恢復密鑰的申請，依據安全策略進行處理；

h) 對進入本系統的有關操作及操作人員進行身份與權限的認證。

6.3.5　密鑰庫管理模塊

6.3.5.1　概述

密鑰庫管理模塊負責密鑰的存儲管理，按照其存儲的密鑰的狀態，密鑰庫分為備用庫、在用庫和歷史庫等三種類型，密鑰庫中的密鑰數據必須加密存放。

6.3.5.2　備用庫

備用庫存放待使用的密鑰對。密鑰生成模塊預生成一批密鑰對，存放于備用庫中；CA需要時，可及時調出，將其提供給CA后轉入在用庫。

備用密鑰庫應保持一定數量的待用密鑰對，存放的密鑰數量依系統的用戶數量而定，若少于設定的最低數量時應自動補足到規定數量。

6.3.5.3　在用庫

在用庫存放當前使用的密鑰對。在用庫中的密鑰記錄包含用戶證書的序列號、ID號和有效時間等標志。

6.3.5.4　歷史庫

歷史庫存放過期或已被注銷的密鑰對。歷史庫中的密鑰記錄包含用戶證書的序列號、ID號、有效時間和作廢時間等標志。

6.3.6　認證管理模塊

認證管理模塊負責對進入本系統的有關操作及操作人員進行身份與權限的認證。

6.3.7　安全審計模塊

安全審計模塊負責各個功能模塊的運行事件檢查、有關資料分析和密鑰申請統計等服務。審計項目主要包括：

a) 運行事件記錄；

b) 服務器狀態記錄；

c) 系統重要策略設置。

審計記錄不能進行修改。

6.3.8　密鑰恢復模塊

密鑰恢復模塊負責為用戶和司法取證恢復用戶的加密私鑰，被恢復的私鑰必須安全地下載到載體。

a) 用戶密鑰恢復：用戶通過RA申請，經審核后，由CA向密鑰管理中心提出密鑰恢復請求，密鑰恢復模塊恢復用戶的密鑰并通過CA返回RA，下載于用戶證書載體中；

b) 司法取證密鑰恢復：司法取證人員必須到KMC進行司法取證密鑰恢復，KMC對司法取證人員的身份進行認證，認證通過后，由密鑰恢復模塊恢復所需的密鑰并下載于特定載體中。

6.3.9　密碼服務模塊

密碼服務模塊負責為密鑰管理中心的各項業務提供密碼支持。

密碼服務模塊配置經國家密碼主管部門審批的非對稱密鑰密碼算法、對稱密鑰密碼算法和數據摘要算法等。

密碼算法必須在硬件密碼設備中運行，有關密碼算法、密碼設備和密碼接口的要求在本標準第7章中規定。

6.3.10　審計模塊

密鑰管理中心設置日志審計模塊，包括全程審計和事件審計。審計員定時調出審計記錄，制作統計分析表。審計員可以處理但不能修改日志審計數據。

a) 日志記錄的主要內容包括：

1) 操作員姓名；

2) 操作項目；

3) 操作起始時間；

4) 操作終止時間；

5) 證書序列號；

6) 操作結果。

b) 日志管理的主要內容包括：

1) 日志參數設置，設置日志保存的最大規模和日志備份的目錄；

2) 日志查詢，日志查詢主要是查詢操作員、認證機構操作事件信息；

3) 日志備份，當日志保存到日志參數設置的最大規模時，將保存的日志備份；

4) 日志處理，對日志記錄的正常業務流量和各類事件進行分類整理；

5) 證據管理，對證據數據進行審計、統計和記錄。