一、产品描述

    密钥管理系统是生成用户加密密钥对并对其进行管理的系统，它负责密钥在整个生命周期中的安全管理，包括密钥的生成、存储、分发、备份、更新、撤销、归档和恢复等全过程的管理。系统提供了完善的日志记录和详细的审计功能，保证了对操作人员的操作行为进行审计。
 
二、产品架构

    密钥管理系统包含密钥分发子系统、密钥生成子系统、密钥服务子系统、访问控制子系统、审计子系统及密钥恢复子系统，密钥分发子系统可以将生成的密钥对发布到数字证书系统。密钥管理系统采用分权管理，不同的管理员具有不同的系统功能控制权限。

三、产品功能

    密钥管理系统提供了对加密密钥对的全过程管理功能，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥撤销、密钥归档、密钥恢复以及安全管理等。

     密钥生成：根据签发子系统的请求为用户生成非对称密钥对，该密钥对由密钥管理子系统的硬件密码设备生成。系统采用预产生密钥对以及定时检测补充机制。

    密钥存储：生成非对称密钥对，经硬件密码设备加密后存储在密钥管理子系统数据库中。根据密钥使用状态，分备用库、在用库、历史库三种。

    密钥分发：生成的非对称密钥对提供给CA等密钥应用系统使用。

    密钥备份：采用冷备份和异地备份等措施实现密钥备份。

    密钥撤销：当证书到期、用户需要或管理机构认为必要时，撤销用户当前使用的密钥。

    密钥归档：密钥管理子系统为到期或撤销的密钥提供安全长期的存储。

    密钥恢复：密钥管理子系统可为用户提供密钥恢复服务。密钥恢复需按管理策略进行审批，一般用户只限于恢复自身密钥。

    安全审计：提供事件级的操作安全审计功能，对涉及系统安全的行为、人员、时间等记录进行跟踪、统计和分析。