应用系统的各类应用密钥,支持内部存储和外部存储两种模式。
密钥同步
应用密钥在 EVSM 内部存储时,根据密钥索引将内部存储的应用密钥通过Ukey 备份导出,然后通过密钥恢复导入到其他 EVSM 中。
密钥同步可用于做多机密钥同步 EVSM 内存储的密钥。应用密钥由随机产生的密钥备份密钥加密,密文以文件的形式导出或将密文存储在 Ukey 中。同步时,将 Ukey 插入需要同步的设备中进行密钥同步。
步骤1:导出备份密钥
1. 登录 VsmManager 客户端,单击密钥管理 > 备份导出。
2. 在选择导出密钥类型和索引弹窗中,根据用户需求,支持选择全部密钥或者输入指定索引,
3. 依照系统提示操作并在 UKEY 列表中,选择空 UKEY,单击确定。
4. 按照系统提示插入空白 UKEY 并输入口令,单击下一步 > 输入 UKEY 口令,EVSM 出厂默认管理口令为“12345678”。
5. EVSM 将依次制作出3个 KBK(密钥备份密钥)UKEY,由3个密钥管理员分别保管后,系统将提示用户选择密钥备份文件名。
6. 按提示选择文件名,单击下一步,EVSM 将逐步的备份导出全部应用密钥,进度条显示备份进度情况,完成后系统显示结果,单击确定。
说明
3个 KBK UKEY 和备份文件需妥善保管,待密钥恢复时使用。
密钥的备份导出,也可根据实际需求选择保存到 UKEY 内。
步骤2:导入备份密钥
在其它需要同步密钥的设备上,通过恢复导入功能导入备份的密钥,完成密钥同步操作。恢复密钥时,由任意2个密钥备份 UKEY 即可还原出原始 KBK,然后将密文的密钥恢复到新的 EVSM 内,或同步到热备/负载的其他 EVSM。
1. 登录 VsmManager 客户端,单击密钥管理 > 恢复导入 > 从文件中恢复密钥,系统提示读取。
2. 在 UKEY 操作窗口中,单击下一步。
3. 依照系统提示操作并在 UKEY 列表中,单击密钥备份密钥 UKEY > 确定。
4. 在 VERIFY 窗口中,输入 UKEY 口令,单击确定。
5. 依照系统提示选择备份文件 > 打开,完成密钥备份导入。
外部存储
应用密钥在 EVSM 外部存储时,应用密钥是经过 LMK 分组加密保护后存储在外部系统中,只需要同步设备的 DMK 即可。同步 DMK,需要原始初始化时产生 DMK 成份 UKEY。
当多 EVSM 备份时,则在第一台设备上完成原始初始化后,对其他的设备进行恢复初始化操作,即可完成多台 EVSM 的设备主密钥同步。
步骤1:原始初始化
登录 VsmManager 软件,单击密钥管理 > 原始初始化,产生至少2个 DMK 成份 UKEY,建议采用3选2授权控制机制,并制作3个授权 UKEY。
说明
步骤2:恢复初始化
当多 EVSM 备份时,则在第一台设备上完成原始初始化后,对其他的设备进行恢复初始化操作,可完成多台 EVSM 的设备主密钥同步。恢复初始化流程包括导入 DMK、同步授权信息或制作新的授权 UKEY。
1. 登录 VsmManager 软件,单击密钥管理 > 恢复初始化。
2. 类同原始初始化,该操作将清除设备内的全部密钥,单击下一步。
3. 在恢复初始化第一步中,输入 DMK 成份 UKEY 数目,单击下一步。
4. 在恢复初始化第二步中,依次插入 n 个成份 UKEY 并输入 UKEY 口令,单击导入成份 UKEY,EVSM 将读取 UKEY 内的 DMK 成份数据。
5. 依照系统提示在 UKEY 列表中选择 DMK 成份 UKEY,单击确定。
6. 成份 UKEY 的导入次序无关,但不能将同一个成份 UKEY 多次导入,单击下一步。
7. 成份 UKEY 导入完成后,单击合成 DMK。
8. DMK 合成后,进入第四步确定授权机制。
多机备份的 EVSM 若共用一套授权 UKEY,则选择同步授权信息,插入有效授权 UKEY 输入口令,单击完成,结束恢复初始化流程。
用户若需要每台 EVSM 使用独立的授权 UKEY,则选择制作新的授权 UKEY > 1选1授权控制机制,并确定新的授权控制机制,单击完成,结束恢复初始化流程。
9. 当 DMK 同步到多台 EVSM 时,可以比对多台 EVSM 的 DMK 校验值来确定同步后的 DMK 是否一致。单击密钥管理 > 获取 DMK 校验值,获取 DMK 校验值。
10. 单击密钥管理 > 导出 DMK 成份,即可将 DMK 成份导出。
说明
支持将 DMK 导出到多个成份 UKEY 中,该功能为原 EVSM 的成份 UKEY 丢失或损坏做 DMK 的备份用,可保证能够重新合成出与原 EVSM 同样的 DMK,但不保证 DMK 成份 UKEY 中内容与原制作的成份 UKEY 完全相同。
步骤3:接口配置
方式1:文件形式
[LOGGER]logsw=errorlogPath=./[HOST1]hsmModel=SJJ1310linkNum=-15host=192.168.19.19port=8018timeout=5[HOST2]hsmModel=SJJ1310linkNum=-15host=192.168.19.20port=8018timeout=5
方式2:内容形式
Stringconfig="{"+"[LOGGER];"+"logsw=error;logPath=./;"+"[HOST1];"+"hsmModel=SJJ1310;"+"host=192.168.19.19;"+"port=8018;"+"connTimeout=5;"+"[HOST2];"+"hsmModel=SJJ1310;"+"host=192.168.19.20;"+"port=8018;"+"connTimeout=5;"+"}";