文档介绍:数据安全传输基础设施平台
1引言
数据安全传输基础设置平台项目(简称,数据传输平台),是一款基础设施 类项目,为集团、企业信息系统的提供统一、标准的信息安全服务;解决企业和 企业之间,集团内部信息数据的传输安全、消息安项目开发文档。
1) 项目启动之前,可行性研究已搞定
2) 项目启动会议,项目经理需求和方案
3) 项目讨论会,概要设计(子系统、模块,数据库脚本、重要的流程图)和详
细设计(伪代码、详细的流程图)====》压力最大
4) 编码阶段,程序员累
5) 测试(单元测试、对接)
4安全传输平台需求分析
1) 用户的核心需求是什么
2) 完成需求需要几个子系统
a) 方案有几个子系统组成
b) 每个子系统有几个模块组成
3) 子系统之间的关系
4) 子系统之间的业务流有哪些
5) 区分通用组件和业务子系统之间区别
完成需求,需要几个子系统、子系统之间的关系、每个子系统模块有哪些;系统 的业务流有哪些;业务子系统和通用组件的合理分层。
程序员心态:需求转化成方案是项目组压力最大的时候;概要设计和详细设计
阶段是最累的时候
专业术语:应用,应用结点;网点;接入;
一般性需求
网点相关
完成点与点之间数据加密、消息加密解密
每一个节点都需要进行管理(网点生命周期的管理)
总行要验证分行的身份身份鉴别
密钥相关
适时更换密钥(密钥的生命周期管理)
密钥更换异常处理
密钥管理实时分发、下载、校验、服务
易用性(第三方信息系统和安全传输平台解耦合)
保证修改的最少(第三方信息系统应该和我们的平台有效的解耦合)
不同行业的特殊性需求
加密强度(加密实时性)
对加密层进行抽象软件方式加密硬件方式加密集群方式加密
部署简单,部署灵活,能够满足各种各样的社会需求
密钥集群
最核心:完成两个应用之间数据的安全传输;第三方应用改动最小;部署激动灵
活;满足社会的各种需求。
每一个子系统的功能分解
演示基础组件:报文编码解码组件、安全通信组件、数据库统一接口组件
演示 linux 后台:secmngserver 和 secmngclient
演示 windows: secmngclient
演示第三方应用:外联接口
5安全传输平台总体设计
■规范化:严格遵循各种相关规范设计。
■独立性:系统各子系统间互相独立,在保持系统间接口的前提下,各系统间
的升级互不干扰。
■最小耦合性:各子系统进行严格功能分解,每个子系统负责单纯的功能,互
不干扰。
■开放性:系统遵循开放的业界标准。
■兼容性:兼容各种硬件平台、软件平台、密码设备。
■灵活性:充分考虑未来业务、技术上的需求,在业务和技术变化时,可平滑
升级。
北京建总行
广州分行
加密三要素:明文密文、密钥、算法
1) 第三方应用app,通过外联接口加密、解密数据。
2) 外联接口通过共享内存查找网点密钥。
3) 密钥协商服务器和密钥协商客户端协商密钥,写共享内存。密钥协商客户端 可以是linux平台应用程序、也可以是win平台应用程序。
4) 密钥协商服务器配置终端(SecMngAdmin)管理接入的网点应用,完成网点 生命周期管理;密钥协商服务器配置终端(SecMngAdmin)可以进行历史密 钥管理、审计管理等等。
5) 每一个网点都进行编号。
各种国家安全规范标准CSPJCE | 各种国家安全规范标准CSPJCE 主流厂商硬件密码接口
主流安全硬件厂商层
编号
子系统
软件平台
主要技术点
备注
01
统一数据库访问
组件 libicdbapi
Linux
1封装proc访问oracle数据库
2基于数据库连接池
3 linux下线程互斥和同步
接口的封装
和设计
02
统一通讯
SocketApi 组件
Linux 、
Win
1封装Linux和Win下基本SocketApi
2基于socket连接池
win下和linux下的线程互斥和同步
win下和linux下异构通讯
接口的封装
和设计
03
统一报文编解码
组件
Libmessagereal
Linux、win
1接口的封装和设计