密钥管理平台 KSP
为行业应用提供专业化、平台化、服务化密码服务、实现了密码资源统一管理与调度、密码服务统一管控、密钥集中管理、能够快速实现密码技术的安全集成与应用
密钥管理平台 KSP
密钥管理平台(Key Safe Platform)为行业应用提供专业化、平台化、服务化密码服务、实现了密码资源统一管理与调度、密码服务统一管控、密钥集中管理、能够快速实现密码技术的安全集成与应用、提升客户业务安全性、创造更高的业务价值。同时、该平台具有综合性强、性价比高、易于部署和高效节能的特点、支持国际以及国密算法、并提供完善的密钥集中管理机制和密钥策略管理工具、为应用数据加解密、系统证书管理和应用数据签名/验签等业务提供高效灵活的密码运算支撑。KSP可以让您轻松创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求。
安全简便的Web管理
通过Web管理界面,系统管理员可以方便的管理系统和系统中的密钥保护策略,并且管理终端和密钥管理系统远程服务之间采用安全通道进行数据传输,从而保证远程管理的安全可靠。
密钥生命周期管理
提供对称密钥、非对称密钥、证书、模板等加密对象的状态管理和属性管理。完成对加密对象的生成、存储、激活、更新、归档、注销、销毁等安全生命周期管理操作及加密对象属性的获取、添加、修改、删除等操作。
密钥安全传输
客户端密钥获取支持SSL、用户名口令及wrapping key等多种认证及加密方式,几种方式可灵活组合配置。保证敏感信息在经过网络传输过程中的安全性,避免接口通信信息泄露、中间人攻击、重放攻击等可能性。
安全密钥生成和存储
密钥采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。密钥生成后由加密卡中的内部密钥加密后存储。支持SM系列的密钥生成与管理,支持对称算法及非对称算法密钥生成与管理。
KMIP协议支持
支持标准的KMIP协议,对已经实现KMIP协议的客户系统无需任何对接,注册后直接实现系统调用,大幅度降低企业运营成本。
备份/恢复
支持用户密钥、模板、证书等重要数据的备份/恢复机制,用户可方便的在Web管理界面完成密钥备份操作,导出加密文件在本地妥善保存。
细粒度密钥策略
可对单个密钥设置加密、解密和密钥获取控制策略,对每个密钥操作设置访问时间、访问次数控制。密钥的使用者,拥有者,审计人员可以是不同的人,通过访问策略控制方便的进行密钥使用和审计管理。
多证书信任
支持第三方CA签发的数字证书,同时系统本身也支持自签CA。多个证书可形成信任证书列表配置到KSP服务器。这样可以在保证安全性的同时提供更多的灵活性,简化部署过程,避免多套认证体系带来的维护成本和安全风险。
加密对象管理
支持对称密钥、非对称密钥、数字证书和认证令牌等多种加密对象的统一管理,并提供加密对象的状态、属性管理及策略配置。
加密/解密均可在KSP中完成
对于敏感数据加密上层应用系统可指定密钥标识通过KSP完成数据密码运算,KSP中的密钥不会暴露在系统之外,保证密钥的安全。
支持密码运算
支持对称算法和非对称算法的数据加解密运算。支持对称算法的MAC产生及验证,非对称算法的数字签名和验证。
多身份认证
系统支持口令及数字证书认证方式。用户登录及对密钥管理中心的各种关键操作均会记录操作日志,并用USB Key进行数字签名,保证了系统的安全性,增强审计强度。
支持LDAP
KSP支持使用LDAP作为帐户管理,客户端可以通过LDAP用户进行安全认证;完成用户业务环境中用户的管理及认证的统一。
分布式部署
KSP既可以在一个数据中心独立部署,也可以同时部署在不同的数据中心,多个KSP之间可通过安全协议同步密钥数据,实现多节点共同协作。
日志审计
系统中所有的关键操作均记录日志,并且会对操作进行数字签名,可对系统中所有的日志进行查询,并且验证其有效性。
支持多种标准API
KSP支持多种密钥管理接口,包括C、JCE、PKCS#11和KMIP等接口。
密钥,数字证书等集中管理和配置
支持KMIP密钥互操作协议,并且可以管理密钥,数字证书,CA以及token等多种对象,可以实现对上层多个不同厂商异构加密产品的兼容和集中管理。
带有密码运算功能
不仅可以进行密钥的管理,还具备高性能的密码运算功能,包括加/解密、签名/验签以及Hash计算,确保密钥不被导出即可执行相应运算。
适应场景多样
可部署在数据中心,单云/多云,混合架构等多种应用场景当中。
硬件级密钥保护
所有的密钥,管理人员等敏感信息都被存储保护在硬件密码卡中,永远都不会被明文导出,具备最高级别的安全性。
具备可拓展的加密解决方案
可通过标准的密钥操作API与上层加密系统对接。针对数据存在的不同场景,对应用程序,数据库,存储以及大数据加密,并通过KSP进行密钥的管理、生成和存储。
密钥管理即服务
可以实现租户级密钥管理功能,可帮助租户只关注自己的密钥管理,更好的实现对上层业务的支持。其余设备的管理,运维等工作由专业的管理员负责,且通过权限分离实现租户对密钥的绝对控制。管理员只负责对密钥管理系统的服务配置和系统配置,无法接触到租户密钥,确保了密钥的安全性。
痛点:金融和政府机构任何的通信和存储数据都具有高价值性和高保密性,需要考虑加密的安全性及合规性。
方案:通过信封加密对协议通信内容、重要文件和资料提供加密服务及密钥保护和权限管理,满足安全性及合规性要求。
痛点:核心知识产权、用户手机号、身份证号、银行账号、口令等隐私数据做严格保护,将敏感数据加密后保存,但是无法保证数据密钥的安全。
方案:以信封加密方式,将所有核心数据通过数据密钥加密,数据密钥再经过 KSP加密,为核心数据提供双重保护。
痛点:应用开发配置文件需要进行加密以保护程序数据安全。
方案:通过 KSP对敏感配置信息、数据库连接信息、数据库密码、登录密钥、后台服务的配置信息进行加密及完整性保护。
痛点:提供 HTTPS 等服务时需要使用到证书、密钥,这些信息若以明文保存本地,攻击者可以轻易获取。
方案:通过 KSP 对密钥进行加解密,加密后本地保存密钥的密文文件,使用时解密且不保存本地,使得攻击者难以获取,从而保证网页和应用的安全性。