014最新电影网站源码程序|自动采集|一键采集|静态生成|联盟利器,盐步网站制作,住房和城乡建设部网站标准定额,成都网站外包优化安当KSP是一套获得国密证书的专业的密钥管理系统。KSP的系统功能扩展图示如下#xff1a; 我们知道商用密码应用安全性评估中#xff0c;需要确保存储的数据不被篡改、删除或者破坏#xff0c;必须采用合适的安全方案来确保存储数据的机密性和完整性。KSP能否满足这个需求呢… 安当KSP是一套获得国密证书的专业的密钥管理系统。KSP的系统功能扩展图示如下 我们知道商用密码应用安全性评估中需要确保存储的数据不被篡改、删除或者破坏必须采用合适的安全方案来确保存储数据的机密性和完整性。KSP能否满足这个需求呢我们来看一个具体的案例。
实施方案图示如下 一、存储数据完整性方案实现
1、消息鉴别码方式
主业务系统通过KSP提供的KADP扩展组件来访问KSP的提供的密码服务对业务关键数据使用密钥通过SM3杂凑算法计算HMAC值。
1计算过程
执行业务流程的用户在业务系统录入信息业务系统将录入的关键数据的相关敏感信息传给KADP接口进行MAC运算。KADP通过安全通道调用KSP密钥管理系统中存储的密钥通过SM3杂凑算法计算其MAC值。业务系统将关键数据的相关敏感信息及其MAC值一同存储到存储服务器中。用户每次访问重要的关键数据时系统自动调用KADP接口使用SM3杂凑算法验证关键数据的相关敏感信息的MAC值及时发现篡改行为。
2验证过程
业务系统用户访问关键数据。业务系统调用KADP接口通过KSP密钥管理平台获取密钥并使用SM3杂凑算法计算当前关键数据的相关敏感信息及系统密钥的MAC值。比较当前关键数据的相关敏感信息和最近一次关键数据的相关敏感信息的MAC值。如果MAC值一致说明当前敏感数据未被篡改用户获得数据否则说明数据已被篡改业务系统报警。
2、数字签名方式
主业务系统通过调用KADP使用SM3杂凑算法和SM2非对称密码算法对关键数据进行签名。
1计算过程
用户执行业务流程录入数据。业务系统存储关键数据同时将关键数据提交KADP接口计算数字签名。KADP使用SM3杂凑算法计算关键数据的摘要值并调用KSP上存储的的签名私钥对摘要值做数字签名形成签名值。
2验证过程
用户访问关键数据时系统自动调用KADP接口使用SM3杂凑算法和SM2非对称密码算法验证关键数据的数字签名。业务系统提取当前关键数据和最近的关键数据的数字签名调用KADP申请签名验证。KSP调用系统的签名公钥解密最近的关键数据的数字签名获取最近关键数据的摘要值。KSP使用SM3杂凑算法计算当前关键数据的摘要值并与最近关键数据的摘要值进行比较返回验证结果。如果两个摘要值一致说明关键数据未被篡改否则业务系统报警。
二、存储数据机密性方案实现
此方案中存储数据的机密性是通过安当TDE数据库加密客户端实现的采用磁盘加密技术为数据库提供了全面的数据保护。具体过程如下
在KSP密钥管理系统中配置加密策略指定存储服务器上可访问数据库实例的操作系统用户、进程。业务系统正常的数据库增删改查。TDE的保护动作发生在操作系统内核。当数据写入磁盘前TDE对其进行加密在读取时自动解密。当有非授权进程或者用户访问数据库文件时TDE可以阻止非法访问。当存储服务器被攻击数据被攻击者拖库因为磁盘上的文件是加密的攻击者无法破解。
安当TDE通过磁盘加密技术实现对数据库磁盘文件的透明加密以及操作系统层面的用户权限控制可以确保数据在存储过程中安全可控。
三、综述
数据存储的机密性和完整性是密评中非常重要的评估内容采用安当KSP密钥管理系统及其组件来实现除了满足这两个核心需求还可以支持未来可能的业务扩展。比如
1业务系统中的关键数据可以通过KADP接口进行脱敏处理确保关键数据使用过程的安全性。
2企业的文件服务器也可以通过TDE客户端来保护实现关键数据的机密性保护并且可以防护勒索软件的攻击。
3KSP内置CA能力可以满足企业内部的身份认证需求以及系统间安全认证需求。
以上只列出了部分的KSP密钥管理平台扩展能力在企业安全的领域还可以结合安当访问控制、身份验证等技术共同构成多层次的安全防护体系提高业务系统整体安全性。 文章作者太白 ©本文章解释权归安当西安研发中心所有
