隨著網路技術的不斷發展,網路套用的逐漸深入,如何解決網路安全問題成為一個重要課題。銀行、證券等行業和部門的業務網路多採用租用公共數據網的方法來組建,為了防止數據在傳輸時被截獲或更改,數據在傳輸前需要加密,這一般由硬體加密設備來實現。密碼中心是指為了對網路中的眾多加密設備進行管理,及時檢測失效,保證數據的安全性和完整性的軟體模組。
基本介紹
- 中文名:密碼中心
- 外文名:cryptocenter
- 學科:計算機
- 目的:數據的安全性和完整性
- 定義:對加密設備進行管理的軟體模組
- 有關術語:密碼
簡介,組成,監控方式,密碼,
簡介
密碼中心,又稱密碼管理中心,不僅包括運行在主機環境下的管理系統,也包括運行在加密設備上的軟體模組以及管理協定。密碼中心作為整個密碼機設備管理系統中的一個軟體模組,對外表現為向用戶提供一個友好的圖形界面,用以完成維護密碼機正常運行的各項管理工作以及用戶的部分或全部配置操作。密碼管理中心從功能上可劃分為如下模組:設備監控和管理模組,用戶信息管理模組,審計信息管理模組,系統配置管理模組和日誌信息管理模組。密碼中心包含了以下幾個元素:若干個需要被管理監控的密碼機,每個密碼機上都運行著一個稱為設備代理(agent)的應用程式,實現對管理命令的解析和密碼機各個命令字的收集;至少一個管理工作站,該工作站主機運行密碼管理中心軟體,實現為管理員提供對密碼機的可視化的圖形界面從而使管理員可以方便地進行管理;一個管理協定,用來定義設備代理和密碼管理中心間管理信息傳送的規範。
組成
設備監控和管理模組:對密碼機的運行狀態進行監控,發生錯誤時報警;為管理員提供被管理設備的可視化的圖形界面,從而使管理員可以方便地進行管理。同時管理員可以根據安全需要向密碼機下達管理命令。
用戶信息管理模組:負責對使用系統的人員信息進行管理,針對具體的人員賦予不同的分級許可權。重點實現基於角色的用戶訪問控制的設定。
審計和信息管理模組:對密碼機當前一段時間的審計信息進行分析,根據數據傳輸的歷史信息分析企業的業務開展情況,為企業的業務運行提供參考數據。
日誌信息管理模組:提供簡單的日誌分析功能,日誌信息包括了用戶的登錄,用戶對密碼機和資料庫的操作,主要目的是從中分析一些非法使用和失誤操作情況。
系統配置管理模組:對密碼管理中心的運行參數進行配置。如密碼管理中心所管理的密碼機的ID列表。各個模組相互配合,共同完成管理任務。其中,設備監控和管理模組是核心模組,直接與密碼機通信。
管理模型:密碼管理中心與密碼機之間通信需求分為兩個不同的方面,一是管理,針對具體的密碼機,管理工作可以包含更換密鑰,更換加密算法,設定明密通方式等;二是監控,獲取密碼機的當前運行狀態,如果發現錯誤則報警。設計管理協定時要考慮到這兩方面。
密碼管理中心採用管理者/代理模式對密碼機進行集中管理。管理者就是密碼管理中心,設備代理是運行在密碼機上的特殊軟體或者固件。理,因為這也是信息收集和處理的最底層,所以管理信息由DSP晶片來維護,設備代理則運行在主控CPU上,通過訪問DSP晶片維護的管理信息實現對密碼機的管理和監控。密碼管理中心運行在主機上,通過內聯網和密碼機通信。在這裡,密碼管理中心是作為客戶機使用,設備代理相當於伺服器,密碼管理中心通過特定的管理協定與設備代理通信,實現管理功能。
監控方式
從被管理設備中收集數據有兩種方法:一種是只輪詢的方法,另一種是基於中斷的方法。使用只輪詢的方法,管理進程通過定時向設備代理進程傳送查詢請求訊息(以輪詢方式),來跟蹤各個設備的狀態;這種方法的缺陷在於信息的實時性,尤其是錯誤的實時性。多久輪詢一次,按照什麼樣的設備順序輪詢是需要考慮的主要方面。使用基於中斷的方式,當設備出現異常事件如設備冷啟動等時,設備代理進程主動向管理進程傳送陷阱訊息,匯報出現的異常事件。基於中斷方法的缺點在於產生錯誤或自陷需要系統資源,那么密碼機可能由於不得不消耗更多的時間和系統資源來產生自陷,從而影響了它執行主要的加解密功能。綜合考慮下,密碼管理中心通過輪詢各個設備代理來收集信息。
密碼
密碼理論的基本概念。它是數字通信中為保證信息的保密性及真實性而對信息所做的變換。這裡的信息表現為某個q元字母表集合上的序列,原始的信息稱為明文,經加密變換後得到的序列稱為密文。若按照某種規則重新安排明文中元素的次序而得出密文,則這樣的變換稱為移位密碼。若字母表到自身有一個一一對應,將明文中每個元素用其對應的元素替代而得到密文,則這樣的變換稱為代換密碼。
