|
一、方案简介: 中兴通讯采用国产化的服务器、操作系统、数据库,依托QKD量子密钥分发网络,构建量子融合密钥管理系统,实现量子密钥与经典密钥的融合管理,实现的主要功能如下: (1)为应用提供经典密钥和量子密钥两种选择,经典密钥与量子密钥融合,提供丰富的融合密钥与密码服务; (2)根据应用需要将量子密钥转换为业务密钥,避免应用直接调用量子密钥,制定业务密钥ID的生成规则以及处理方法实现两点间对称密钥的获取; (3)设计路由寻址方式实现广域网应用侧任意点对点的量子密钥协商,同时能与其他相关设备厂家之间的通信互通。 二、方案概要: 为了应对多种复杂密码应用场景,保障各类保密等级数据加密的需求,中兴通讯采用国产化的服务器、操作系统、数据库,依托QKD量子密钥分发网络,构建量子融合密钥管理系统。中兴通讯融合密钥管理系统具有以下几个关键创新点: 一、支持国产化的CPU、服务器、操作系统、数据库,保障系统的自主和安全; 二、经典密钥与量子密钥的融合,当业务系统发出密钥请求后,融合密管系统可根据业务的需求,生成对应的经典密钥或量子密钥,满足业务在不同场景下的加密需求; 三、创新型的密钥协商策略,与传统密钥的分发方式不同,当业务需要量子密钥时,密管系统生成唯一的密钥名称ID,业务系统在量子密钥分发网络(QKD)中通过密钥ID直接获取量子密钥。这一密钥协商过程,相比传统信道的密钥分发,具有极高的安全性。 中兴融合密钥管理系统具有电信级的高可用性、能够实现超1000会话并发吞吐量、具备百万级密钥高容量、同时支持SM2、SM3、SM4等国密算法、支持商用密码全生命周期管理,以及开放兼容、易集成的特点,能够满足链路安全、5G网络安全、应用安全、云原生安全、数据安全等多种应用场景,在璧山量子安全计算平台、国科量子云桌面等项目得到成熟商用。 三、方案架构 中兴通讯融合密钥管理系统包括安全服务管控中心(简称QSM),与安全服务客户机(简称QSC)以及安全服务代理(简称QSP)。每个安全服务客户机将与QKD网络终端设备对接,一个客户机只与一个QKD网络终端设备对接获取量子密钥,客户机与管控中心连接,由相应的管控中心节点进行管理和控制,安全服务代理主要实现跨管控中心的路由管理以及可作为异厂家或QKD网络运营商之间的安全边缘保护代理,以实现以下功能目标: (1)为应用提供经典密钥和量子密钥两种选择,经典密钥与量子密钥融合,对用户的应用系统提供丰富的融合密钥与密码服务,可包括密钥服务与加解密服务等; (2)根据应用需要将量子密钥转换为业务密钥,避免应用直接调用量子密钥,制定业务密钥ID的生成规则以及处理方法实现两点间对称密钥的获取; (3)设计路由寻址方式实现广域网应用侧任意点对点的量子密钥协商,同时能与其他相关设备厂家之间的通信互通; (4)发布融合密钥管理系统,积极推进融合密钥管理系统在新局点验证落地。 根据上述四点目标要求,已经开发完成的量子融合密钥管理系统可实现经典密码与量子密钥融合,提供丰富的密钥种类与密码服务,并已逐步在北京、上海、重庆等多个城市实现商用部署。路由寻址功能正在开发中,实现与异厂家的互通对接。密码模块、管控中心、服务代理具体产品架构如下图所示。 量子融合密钥管理系统包含安全服务管控中心和密码模块两部分组成: 1、量子安全服务管控中心 量子安全服务管控中心提供对所有客户机的集中管理,北向提供对安全大屏的量子密钥业务统计数据查询接口,南向对多个类型的客户机实现统一的配置命令下发和性能统计信息的采集。 提供包含客户机的统一接入管理、Portal门户、用户管理、配置管理、告警管理、密钥安全审计、日志管理、拓扑管理、资源监控等功能。 2、量子安全服务密码模块 安全服务密码模块从QKD网络中获取量子密钥,使用硬件密码模块(HSM)保护密钥安全,融合经典密码与量子密钥,支持包括对称密钥、非对称密钥、保密数据等多种对象的统一管理,提供完善的密钥生命周期管理功能,并提供基于用户的密钥体系及密钥策略,满足多用户多业务系统的密钥管理需求。作为密钥资产、敏感信息和数据访问控制的核心管理服务,可实现融合量子密钥业务系统加密、数据库加密、磁盘加密及密钥统一管理等功能。 四、技术特点: 1、丰富的安全功能 量子安全服务客户机可提供VPN服务、密钥服务、密码运算服务等功能。提供提供对称密钥、非对称密钥等多种加密对象的统一管理。提供对称加解密、非对称加解密、HMAC等多种密码运算服务。 管控中心可实时采集并分析各客户机上报的信息,查看和管理所有客户机的密钥使用情况,在密钥失信的情况下,管理员可以在管控中心强制停用密钥,以保护业务数据不被窃取。 2、电信级处理性能 中兴融合密钥管理系统具有电信级的高可用性、能够实现超1000会话并发吞吐量、具备百万级密钥高容量。 3、细粒度的密钥策略 对每个密钥分配唯一密钥用户,只有认证后的用户才能访问相应密钥,可对密钥设置加解密、签名验证和密钥获取等控制策略,并配置密钥的访问时间等细粒度控制,通过访问控制策略保证密钥的安全使用和安全管理。 4、多应用场景 支持SM2、SM3、SM4等国密算法、支持商用密码全生命周期管理,以及开放兼容、易集成的特点,能够满足链路安全、5G网络安全、应用安全、云原生安全、数据安全等多种应用场景。 五、核心优势: 中兴通讯量子融合密钥管理系统以下几个核心优势和创新点: 1、支持国产化的CPU、服务器、操作系统、数据库,保障系统的自主和安全; 2、经典密钥与量子密钥的融合,当业务系统发出密钥请求后,融合密管系统可根据业务的需求,生成对应的经典密钥或量子密钥,满足业务在不同场景下的加密需求; 3、创新型的密钥协商策略,与传统密钥的分发方式不同,当业务需要量子密钥时,密管系统生成唯一的密钥名称ID,业务系统在量子密钥分发网络(QKD)中通过密钥ID直接获取量子密钥。这一密钥协商过程,相比传统信道的密钥分发,具有极高的安全性。
| 
私信
