图解支付-金融级密钥管理系统：构建支付系统的安全基石(3)

作为密钥管理体系中最高级别的密钥，主密钥用于加密和保护其他密钥（如工作密钥）。由于其重要性，通常由硬件加密机（也称为：硬件安全模块（HSM））生成和存储，确保其安全性，所以也经常称为本地主密钥。
3. 区别主密钥（Zone Master Key）：
区别主密钥，用于密钥传输前的加密。比如要把工作密钥传输到各安全服务中心，就需要使用ZMK先加密工作密钥。一般使用公私钥来做，后面有详细说明。
4. 工作密钥（Working Key）：
直接用于业务数据的加解密操作。工作密钥由主密钥加密保护，以保障其安全。
5. 数据加密密钥（Data Encryption Key，DEK）：
专门用于加密和解密业务数据的密钥。在某些文献中，工作密钥和数据加密密钥可以是同一概念。
6. 密钥加密密钥（Key Encryption Key，KEK）：
专门用于加密和解密工作密钥的密钥。在分布式环境下，我们需要把一些工作密钥缓存在各机房的安全服务中心，就使用KEK加密后缓存，而不是缓存明文。
7. 硬件安全模块（Hardware Security Module，HSM）：
一种物理设备，专门用于生成、存储和管理数字密钥。就是我们俗称的硬件加密机。HSM提供了物理隔离和高级安全功能，确保密钥的安全。 一般只能由特定授权的公司才能生产。在银行业，执牌金融机构基本都需要使用硬件加密机。
8. 密钥生命周期（Key Lifecycle）：
描述了密钥从生成到销毁整个过程中的各个阶段，包括生成、分发、激活、使用、轮换、废弃和销毁等。
9. 密钥轮换（Key Rotation）：
定期更换密钥的过程。通过轮换密钥，可以减少密钥被破解的风险，增强系统的安全性。
10. 双因素认证（Two-Factor Authentication，2FA）：
一种安全措施，要求用户提供两种不同形式的身份验证，通常是密码和物理令牌或手机接收到的一次性密码（OTP），用于增强安全性。 比如在硬件加密机维护时，需要用户插入管理卡，并输入密码。
11. 数字签名（Digital Signature）：
使用私钥签名，公钥验签。用于验证消息或文档的完整性和来源的真实性。
12. 加密（Encryption）：
数据保护手段，将明文数据通过特定的算法和密钥转换成密文数据，需要解密后才能再次读取明文数据。常见的加密算法包括AES、RSA等。

这些术语部分不好理解，补充几个图如下：

主密钥生成与保存：硬件运算生成，保存到安全芯片。

主密钥作用：加密工作密钥，用于保存DB.

工作密钥：用于加密业务明文数据。

区域主密钥：加密工作密钥用于传输。

密钥加密密钥：加密工作密钥用于缓存，加速本地运算。

3. 建设目标

在设计和实施密钥管理系统（KMS）时，需要达成以下主要目标：

1. 确保数据安全：最核心的目标是保护支付系统中敏感数据的安全，防止数据泄露、篡改或未授权访问。密钥管理系统应确保所有需要加密的业务数据在存储和传输过程中均经过加密保护。
2. 支持密钥全生命周期管理：系统应提供密钥的生成、分发、使用、存储、轮换、废弃和销毁等全生命周期管理功能，确保密钥的安全性和有效性。
3. 满足合规性要求：遵守相关的行业安全标准和法律法规，确保支付系统的合规性。
4. 提高系统可用性和灵活性：通过支持密钥的快速轮换和备份恢复功能，提高系统对密钥泄露等安全事件的响应能力，保障业务连续性。
5. 简化管理工作和降低运营成本：通过自动化的密钥管理流程和直观的管理界面，简化管理员的操作，降低管理成本和运营成本。
6. 支持多种密钥类型和算法：适应不同加密需求，支持多种密钥类型和加密算法，提供灵活的密钥解决方案。
7. 实现高性能和可扩展性：保证在高并发场景下的性能需求，支持业务的快速增长和系统的横向扩展。
8. 提供强大的访问控制和审计功能：实现基于角色的访问控制（RBAC），记录详细的操作日志，支持安全审计和事后分析。
9. 用户友好的操作界面：提供直观易用的管理界面，降低操作复杂度，提高用户体验。
10. 支持灾难恢复和数据备份：构建高可用的密钥管理架构，实现密钥的及时备份和灾难恢复，确保关键业务数据的持久安全。

上面写得有虚，但确实是指导思路，一个完备、安全的密钥管理系统需要达到上述要求。

4. 系统架构

简化版本系统架构：

在密钥管理系统中，因为考虑分布式与安全网络隔离的问题，所以需要分开设置三个子系统：

1. 安全服务中心：提供加密、解密、签名、验签、访问控制等基础能力。可水平扩展。
2. 密钥存储中心：负责密钥的存储、轮换等基础能力。独立网络隔离区。
3. 管理中心：提供后台管理能力，比如配置密钥、授权密钥给应用，对接硬件加密机（HSM）等。
4. 硬件加密机（HSM）：负责保存主密钥，并对工作密钥进行加密。

在下面的部署架构中，我们回看这个图，就明白为什么要切成三个。

另外，里面的子功能设计，可以参考后面的“设计细节”章节。

详细功能的系统架构：

5. 部署架构

在构建密钥管理系统（KMS）时，部署架构的设计直接影响到系统的可用性、扩展性和安全性。对于支付系统而言，必须考虑到业务的高可用性和灵活性需求，采用分布式部署架构是一种必然的选择。

核心设计原则

1. 高可用性：通过在多个数据中心分布式部署密钥管理系统的实例，即使某个数据中心发生故障，其他实例仍然可以提供服务，从而保证系统的高可用性。
2. 灵活扩展性：随着业务量的增长，系统可以通过增加节点的方式横向扩展，灵活应对业务需求的变化。
3. 数据一致性：采用先进的数据同步技术，确保各节点间密钥信息的一致性，避免数据不一致导致的安全问题。
4. 安全隔离：在不同的物理位置部署密钥管理服务，可实现安全隔离，降低单点攻击的风险。
5. 灾难恢复：通过地理上分散的部署，结合有效的备份和恢复策略，确保在发生灾难时可以快速恢复服务。

分布式部署架构

1. 中心管理节点：负责整个密钥管理系统的中心控制，包括策略制定、访问控制、审计日志等核心管理功能。
2. 区域管理节点：在各个地理区域部署，负责处理该区域内的密钥请求，实现数据处理的地理近邻性，优化响应时间。
3. 数据同步机制：确保所有区域管理节点间的数据一致性和实时性，采用可靠的数据同步技术，如同步复制或异步复制。
4. 安全网络：所有节点通过安全的网络连接，确保数据传输的安全性和加密，防止数据在传输过程中被截获或篡改。

下面是一个部署简图：

一时没有找到防火墙常用图标，先将就着看。

核心要点：

1. 密钥存储中心和硬件加密机部署在隔离区。
2. 管理中心部署在管理区或者隔离机房，建议参考安全团队的建议。
3. 安全服务中心部署在各应该APP所在机房，就近提供加解密、签验签等运算服务。可水平扩展。
4. 安全服务中心有本地缓存，在隔离机房短时间内无法连接时，仍然可以正常提供服务。

6. 设计细节

6.1. 数据流图

核心有4个步骤：

1. 初始化主密钥。
2. 配置工作密钥。
3. 同步工作密钥到各节点的安全服务中心。
4. 实际执行加密解密、签名验签服务。

6.2. 密钥分级设计

在构建支付系统的密钥管理系统（KMS）时，密钥分级设计是确保密钥安全性的基础。通过将密钥分为不同的级别并应用不同的管理和保护策略，可以有效地降低密钥泄露的风险，提升系统的安全性。以下是密钥分级设计的核心要素：

1. 主密钥/本地主密钥（Master Key / Local Master Key）：

• • 级别：最高级别，作为其他密钥的根密钥。
    • 保护：存储于硬件安全模块（HSM）中，采用物理和逻辑双重保护机制，确保其安全性。
    • 用途：用于加密和解密工作密钥，不直接参与业务数据的加解密。
    • 管理：由最高权限的安全管理员进行管理，严格控制访问和操作。维护时一般需要3名管理员+1名操作员同时在场，管理员和操作员都有自己的物理管理卡和独立操作密码，全部验证通过后才能操作。

1. 工作密钥（Working Key）：

• • 级别：次级别，用于实际的业务数据加解密操作。
    • 保护：由主密钥加密保护，存储在加密数据库或安全配置文件中。
    • 用途：直接用于加密和解密业务数据，例如用户信息、交易数据等。
    • 管理：支持自动轮换和更新，减少手动干预，提高管理效率和安全性。

需要说明的是，严格意义上说，区域主密钥也是保存在硬件加密机中的。但在实现时，如果在区域节点不想部署硬件加密机，就可以生成公私钥对，把私钥放在区域节点，公钥放在密钥存储中心。

密钥分级设计的优势：

• 分层保护：通过对密钥进行分级管理，构建了多层防御体系，即便低级别密钥被泄露，也不会直接威胁到系统的根本安全。
• 灵活管理：主密钥和工作密钥的分离，使得密钥轮换和更新更加灵活高效，同时减少了主密钥的使用频率，降低了安全风险。
• 性能与安全的平衡：通过在不同层级应用不同的密钥，可以在保证安全的前提下，优化系统性能，特别是对于高频率的业务数据加解密操作。因为硬件加密机的运算效率有限，且采购及运维成本高昂，不便于水平扩展。

密钥分级设计是构建高安全性支付系统不可或缺的一环，它为密钥的安全管理提供了一套完整的框架。

6.3. 访问控制

在构建支付系统的密钥管理系统（KMS）中，实现严格的访问控制机制是保障系统安全的关键。访问控制的主要目的是确保只有授权用户或应用才能访问和操作密钥，同时保护密钥不被非法导出或滥用。以下是访问控制的三个核心部分：

1. 用户分级管理

• 用户角色和权限：系统应定义不同的用户角色，每种角色具有不同的权限级别。例如，系统管理员拥有最高权限，可以管理用户和密钥策略；安全管理员负责主密钥的管理，包括生成、备份和恢复等操作；普通用户只能使用工作密钥进行日常的加解密操作。
• 主密钥操作的物理安全：主密钥的操作，如生成、备份和恢复，只能由特定的安全管理员在物理安全的环境下通过硬件安全模块（HSM）直接操作。这样的操作需记录详细的审计日志，并且在执行关键操作时需要多人同时在场。
• 工作密钥的审批流程：导出工作密钥或进行敏感操作时，需要通过多层审批流程。审批流程中涉及的每一步都应有清晰的操作记录和日志，以便于事后审计和追踪。

2. 密钥与应用的绑定

• 应用级访问控制：每个密钥应指定可访问的应用列表。只有列表中的应用才能使用对应的密钥进行加解密或签名验签操作。这样可以有效防止密钥被非授权应用使用，增强密钥的安全性。
• 密钥使用策略：对于每个密钥，可以定义详细的使用策略，包括使用的时间窗口、IP地址范围、访问频率等。这些策略可以在KMS中配置，并由系统强制执行。 但因为主要提供内网应用使用，一般很少这么限制。

3. 加密解密和签名验签的集中处理

• 密钥的集中处理：所有的加密解密和签名验签操作都应通过密钥管理系统集中完成。通过API调用或服务接口的形式提供给外部应用，避免直接暴露密钥。
• 工作密钥的保护：工作密钥应始终存储在加密形式，且不能被导出或直接读取。所有密钥操作都在KMS内部完成，确保密钥的安全。

通过这种分层的访问控制机制，结合用户分级管理、密钥与应用的绑定以及加密解密和签名验签的集中管理，可以有效地保护密钥不被未授权访问和使用，从而为支付系统提供坚实的安全保障。

6.4. 工作密钥版本管理

在密钥管理系统（KMS）中，工作密钥版本管理是一个关键的安全措施，主要通过定时轮换机制来增强系统的安全性。此机制确保即使旧密钥被泄露，攻击者也无法利用它来破解过去或未来的加密数据。以下是工作密钥版本管理的主要方面：

定义密钥版本

• 版本命名：为每个工作密钥定义唯一的版本标识符，通常包括密钥ID和版本号。
• 版本属性：记录每个版本的关键属性，如创建时间、启用时间、过期时间和状态（激活、过期、废弃）。

定时轮换机制

• 自动轮换：通过预设的策略自动轮换工作密钥。例如，根据最佳实践或合规要求，可以设置每三个月自动生成新的工作密钥版本并切换至新版本。
• 轮换通知：在轮换发生前，系统应发送通知给相关的系统管理员和应用，确保它们准备好迁移到新的密钥版本。
• 平滑过渡：在新旧版本切换期间，保持旧版本的可用性一段时间，以便完成未处理的加密操作，然后逐步淘汰旧版本。

版本回滚

• 应急回滚：在发现新版本密钥存在问题时，系统应支持快速回滚至前一个稳定版本，以保障业务连续性。

密钥版本跟踪与审计

• 版本历史记录：维护每个工作密钥的版本历史记录，包括每个版本的使用情况和更换原因。
• 审计日志：记录所有密钥版本操作的详细审计日志，包括版本创建、启用、废弃和删除等，以支持安全审计和合规性检查。

一个简单的实现方案

对于内部数据，直接在密文的前面加上5位数的版本号。这样数据和密钥版本就形成一个绑定关系。

通过实施工作密钥版本管理和定时轮换机制，KMS能够有效降低密钥泄露的风险，提升支付系统的整体安全性。此外，该机制还有助于满足行业安全标准和合规要求，如PCI-DSS等，进一步保护敏感数据的安全。

6.5. 隔离部署

隔离部署是加强支付系统密钥管理系统（KMS）安全性的一个重要策略，它通过物理或逻辑手段，将敏感组件和操作环境与其他系统部分分离，从而减少潜在的安全威胁和风险。以下是实施隔离部署的关键考虑因素：

物理隔离

• 硬件安全模块（HSM）部署：将存储和管理主密钥的硬件安全模块（HSM）物理隔离在受控的安全环境中，例如专用的安全机房。这样做不仅提高了主密钥的安全性，而且防止了未经授权的物理访问。
• 独立的密钥管理网络：建立一个独立的网络环境专门用于密钥管理操作，与生产网络和办公网络隔离，避免潜在的跨网络攻击。

网络隔离

• 防火墙和网络分段：使用防火墙和网络分段技术，将密钥管理系统与外部网络及其他内部系统分离，防止潜在的网络攻击和数据泄露。
• 加密通信：确保所有进出密钥管理系统的网络通信都采用加密协议，如TLS，保护数据传输的安全性。

数据隔离

• 敏感数据加密：确保存储和传输的所有敏感数据（包括密钥和加密的业务数据）都经过加密，即使数据被非法访问，也无法被解读。
• 备份与恢复策略：对密钥和关键配置数据实施定期备份，并将备份数据存储在与生产环境隔离的安全位置，同时确保快速恢复能力以应对可能的灾难事件。

通过实施隔离部署策略，KMS能够有效地降低安全威胁，提高支付系统的整体安全性和稳定性。隔离部署不仅有助于防御外部攻击，也能减轻内部错误或滥用所带来的风险。

6.6. 性能设计

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！