[科普中国]-密码中心

随着网络技术的不断发展，网络应用的逐渐深入，如何解决网络安全问题成为一个重要课题。银行、证券等行业和部门的业务网络多采用租用公共数据网的方法来组建，为了防止数据在传输时被截获或更改，数据在传输前需要加密，这一般由硬件加密设备来实现。密码中心是指为了对网络中的众多加密设备进行管理，及时检测失效，保证数据的安全性和完整性的软件模块。

简介密码中心，又称密码管理中心，不仅包括运行在主机环境下的管理系统，也包括运行在加密设备上的软件模块以及管理协议。密码中心作为整个密码机设备管理系统中的一个软件模块，对外表现为向用户提供一个友好的图形界面，用以完成维护密码机正常运行的各项管理工作以及用户的部分或全部配置操作。密码管理中心从功能上可划分为如下模块：设备监控和管理模块，用户信息管理模块，审计信息管理模块，系统配置管理模块和日志信息管理模块。密码中心包含了以下几个元素：若干个需要被管理监控的密码机，每个密码机上都运行着一个称为设备代理(agent)的应用程序，实现对管理命令的解析和密码机各个命令字的收集；至少一个管理工作站，该工作站主机运行密码管理中心软件，实现为管理员提供对密码机的可视化的图形界面从而使管理员可以方便地进行管理；一个管理协议，用来定义设备代理和密码管理中心间管理信息传送的规范。

组成设备监控和管理模块：对密码机的运行状态进行监控，发生错误时报警；为管理员提供被管理设备的可视化的图形界面，从而使管理员可以方便地进行管理。同时管理员可以根据安全需要向密码机下达管理命令。

用户信息管理模块：负责对使用系统的人员信息进行管理，针对具体的人员赋予不同的分级权限。重点实现基于角色的用户访问控制的设置。

审计和信息管理模块：对密码机当前一段时间的审计信息进行分析，根据数据传输的历史信息分析企业的业务开展情况，为企业的业务运行提供参考数据。

日志信息管理模块：提供简单的日志分析功能，日志信息包括了用户的登录，用户对密码机和数据库的操作，主要目的是从中分析一些非法使用和失误操作情况。

系统配置管理模块：对密码管理中心的运行参数进行配置。如密码管理中心所管理的密码机的ID列表。各个模块相互配合，共同完成管理任务。其中，设备监控和管理模块是核心模块，直接与密码机通信。

管理模型：密码管理中心与密码机之间通信需求分为两个不同的方面，一是管理，针对具体的密码机，管理工作可以包含更换密钥，更换加密算法，设置明密通方式等；二是监控，获取密码机的当前运行状态，如果发现错误则报警。设计管理协议时要考虑到这两方面。

密码管理中心采用管理者/代理模式对密码机进行集中管理。管理者就是密码管理中心，设备代理是运行在密码机上的特殊软件或者固件。理，因为这也是信息收集和处理的最底层，所以管理信息由DSP芯片来维护，设备代理则运行在主控CPU上，通过访问DSP芯片维护的管理信息实现对密码机的管理和监控。密码管理中心运行在主机上，通过内联网和密码机通信。在这里，密码管理中心是作为客户机使用，设备代理相当于服务器，密码管理中心通过特定的管理协议与设备代理通信，实现管理功能。

监控方式从被管理设备中收集数据有两种方法:一种是只轮询的方法，另一种是基于中断的方法。使用只轮询的方法，管理进程通过定时向设备代理进程发送查询请求消息(以轮询方式)，来跟踪各个设备的状态；这种方法的缺陷在于信息的实时性，尤其是错误的实时性。多久轮询一次，按照什么样的设备顺序轮询是需要考虑的主要方面。使用基于中断的方式，当设备出现异常事件如设备冷启动等时，设备代理进程主动向管理进程发送陷阱消息，汇报出现的异常事件。基于中断方法的缺点在于产生错误或自陷需要系统资源，那么密码机可能由于不得不消耗更多的时间和系统资源来产生自陷，从而影响了它执行主要的加解密功能。综合考虑下，密码管理中心通过轮询各个设备代理来收集信息1。

密码密码理论的基本概念。它是数字通信中为保证信息的保密性及真实性而对信息所做的变换。这里的信息表现为某个q元字母表集合上的序列，原始的信息称为明文，经加密变换后得到的序列称为密文。若按照某种规则重新安排明文中元素的次序而得出密文，则这样的变换称为移位密码。若字母表到自身有一个一一对应，将明文中每个元素用其对应的元素替代而得到密文，则这样的变换称为代换密码。

本词条内容贡献者为:

吴晨涛 - 副研究员 - 上海交通大学