一种用于业务应用系统安全的密码服务平台及其处理方法与流程

1.本发明涉及业务应用系统安全的密码服务平台技术领域，具体涉及一种用于业务应用系统安全的密码服务平台及其处理方法。


背景技术：

2.在能源互联网和电力市场快速发展的背景下，电网必将向着智能量测、物联传感、大数据智能应用等方向发展。智能量测体系作为一种由智能表计与公共企业系统间的通信硬件、软件及相关的数据管理系统等共同形成的网络体系，能有效收集与传递数据信息，因此在智能用电、实时费控、需求响应、节能减排等多个方面起到了非常重要的作。
3.在电网中为了保证其安全需要使用密码服务平台，其中，密码服务平台通常又被称为密码基础设施平台，主要从业务规划角度助力企业的各种应用业务完成与密码技术的结合与应用，从规范的角度实现密码资源统一管理与调度、密码服务统一管控、密钥集中管理。但是目前电网系统中密码服务的安全防护性能较差，因此如何对现有的密码服务平台的安全防护性能进行加强，成为了本领域技术人员亟待解决的技术问题。


技术实现要素：

4.解决的技术问题针对现有技术所存在的上述缺点，本发明提供了一种用于业务应用系统安全的密码服务平台及其处理方法，旨在使其能够对现有的密码服务平台的安全防护性能进行加强。
5.技术方案为实现以上目的，本发明通过以下技术方案予以实现：一种用于业务应用系统安全的密码服务平台，包括多种类型的密码安全服务，所述密码安全服务类型包括密钥管理服务、密钥发行服务、证书管理服务、数据加解密服务、数字签验服务以及身份认证服务；所述密码安全服务的系统安全防护包括以下模块：安全实现密钥全生命周期管理模块、安全实现身份认证及权限管理模块、安全实现数据传输模块、安全实现高并发数据处理模块和安全实现兼容现有费控安全体系模块。
6.更进一步地，所述安全实现密钥全生命周期管理模块的操作方法为：首先对于个人或者终端的签名密钥直接保存到对应的安全se中，其次对于服务器管理的大量加密密钥，由加密机加密保护后保存到数据库。通过上述操作，既能够避免加密机存储量小的问题，又能够避免因为加密机损坏导致数据丢失的问题。
7.更进一步地，所述安全实现身份认证及权限管理模块的操作方法为：首先通过静态口令认证和动态口令认证相结合的方式安全实现身份认证，接着在安全系统中设置安全应用的管理权限，安全系统根据安全协议的管理权限设置获取安全应用的管理权限。
8.更进一步地，所述安全实现数据传输模块的操作方法为：先对敏感数据传输加密，同时进行mac校验，接着引入防重放机制和防中间人攻击机制。
9.更进一步地，所述安全实现高并发数据处理模块的操作方法为：采用分布式微服务架构设计，并且将系统按功能模块拆分为不同的服务，独立开发、独立部署、独立维护。相对于传统的服务，微服务具有更高的可靠性、可伸缩性，而且每个模块职责单一，维护和开发都变得更加容易；系统集群化部署。每一个服务都可以根据承载的业务量动态扩容，满足从小规模到大规模不同级别的应用。通过集群和动态扩容，实现了高并发接入。
10.更进一步地，所述安全实现兼容现有费控安全体系模块的操作方法为：设计密码应用产品适配层，针对不同的产品开发对应的适配代码。
11.一种用于业务应用系统安全的密码服务平台的处理方法，所述方法是对以上所述用于业务应用系统安全的密码服务平台的处理方法，包括以下处理步骤：s1、启用密码业务管理模块：先智能量测密码应用服务平台的应用接入管控和业务功能管理，接着对使用密码安全服务的业务应用的注册、管理、授权，及密码资源分配和密码应用策略等进行统一的管理，支持对业务应用密码服务请求时进行统一鉴权控制，并对智能量测密码应用服务平台的密码安全业务进行统一管理操作；s2、启用密配置管理支持模块：对智能量测密码应用服务平台的总体功能进行配置，主要是日志策略配置、以及一些其他的平台全局策略配置；s3、启用密码业务监控管理模块：从多维度提供服务状态监控、设备状态监控、设备资源监控、数据监控和预警通知等服务；s4、启用密码设备管理模块：负责管理接入智能量测密码应用服务平台的所有硬件密码设备，支持硬件密码设备的基本配置管理和实现各类密码设备资源的合理分配和共享使用。其中，密码设备管理支持按设备类型划分设备组管理，以保障密码设备资源可以更高效和可靠的为上层应用提供密码安全服务；s5、启用加密存储管理模块：对所有的敏感数据采用加密机加密存储，加密密钥保存到加密机中。在没有加密机的情况下，攻击者即使拿到了数据，也不能解密；对于数据的传输，采用协商会话密钥的方式加密传输，并计算mac，有效防窥视防篡改。
12.有益效果采用本发明提供的技术方案，与已知的公有技术相比，具有如下有益效果：本发明设计的用于业务应用系统安全的密码服务平台，通过安全实现密钥全生命周期管理模块、安全实现身份认证及权限管理模块、安全实现数据传输模块、安全实现高并发数据处理模块和安全实现兼容现有费控安全体系模块的设计，对现有种类的密码安全服务所存在的技术缺陷进行改进，能够在一定程度上提高密码安全服务的安全性能；其次，本发明设计的用于业务应用系统安全的密码服务平台的处理方法，能够对密码服务进行监控管理，还能够对密码数据进行加密储存，从而能够提高身份认证体系和数据安全防护体系中的安全防护性能，功能性较强。
附图说明
13.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
14.图1为本发明的密码服务平台的平台结构示意图；图2为本发明的密码服务平台的处理方法流程图。
具体实施方式
15.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
16.下面结合实施例对本发明作进一步的描述。
实施例
17.本实施例的一种用于业务应用系统安全的密码服务平台，包括多种类型的密码安全服务，密码安全服务类型包括密钥管理服务、密钥发行服务、证书管理服务、数据加解密服务、数字签验服务以及身份认证服务；密码安全服务的系统安全防护包括以下模块：安全实现密钥全生命周期管理模块、安全实现身份认证及权限管理模块、安全实现数据传输模块、安全实现高并发数据处理模块和安全实现兼容现有费控安全体系模块。
18.安全实现密钥全生命周期管理模块的操作方法为：首先对于个人或者终端的签名密钥直接保存到对应的安全se中，其次对于服务器管理的大量加密密钥，由加密机加密保护后保存到数据库。通过上述操作，既能够避免加密机存储量小的问题，又能够避免因为加密机损坏导致数据丢失的问题。
19.安全实现身份认证及权限管理模块的操作方法为：首先通过静态口令认证和动态口令认证相结合的方式安全实现身份认证，接着在安全系统中设置安全应用的管理权限，安全系统根据安全协议的管理权限设置获取安全应用的管理权限。
20.安全实现数据传输模块的操作方法为：先对敏感数据传输加密，同时进行mac校验，接着引入防重放机制和防中间人攻击机制。
21.安全实现高并发数据处理模块的操作方法为：采用分布式微服务架构设计，并且将系统按功能模块拆分为不同的服务，独立开发、独立部署、独立维护。相对于传统的服务，微服务具有更高的可靠性、可伸缩性，而且每个模块职责单一，维护和开发都变得更加容易；系统集群化部署。每一个服务都可以根据承载的业务量动态扩容，满足从小规模到大规模不同级别的应用。通过集群和动态扩容，实现了高并发接入。
22.安全实现兼容现有费控安全体系模块的操作方法为：设计密码应用产品适配层，针对不同的产品开发对应的适配代码。
23.一种用于业务应用系统安全的密码服务平台的处理方法，方法是对以上用于业务应用系统安全的密码服务平台的处理方法，包括以下处理步骤：s1、启用密码业务管理模块：先智能量测密码应用服务平台的应用接入管控和业务功能管理，接着对使用密码安全服务的业务应用的注册、管理、授权，及密码资源分配和密码应用策略等进行统一的管理，支持对业务应用密码服务请求时进行统一鉴权控制，并对智能量测密码应用服务平台的密码安全业务进行统一管理操作；s2、启用密配置管理支持模块：对智能量测密码应用服务平台的总体功能进行配
置，主要是日志策略配置、以及一些其他的平台全局策略配置；s3、启用密码业务监控管理模块：从多维度提供服务状态监控、设备状态监控、设备资源监控、数据监控和预警通知等服务；s4、启用密码设备管理模块：负责管理接入智能量测密码应用服务平台的所有硬件密码设备，支持硬件密码设备的基本配置管理和实现各类密码设备资源的合理分配和共享使用。其中，密码设备管理支持按设备类型划分设备组管理，以保障密码设备资源可以更高效和可靠的为上层应用提供密码安全服务；s5、启用加密存储管理模块：对所有的敏感数据采用加密机加密存储，加密密钥保存到加密机中。在没有加密机的情况下，攻击者即使拿到了数据，也不能解密；对于数据的传输，采用协商会话密钥的方式加密传输，并计算mac，有效防窥视防篡改。
24.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。