密碼測評之商用密碼產(chǎn)品介紹
近年來,我國商用密碼產(chǎn)品自主創(chuàng)新能力持續(xù)增強(qiáng),產(chǎn)業(yè)支撐能力不斷提升,已建成種類豐富、鏈條完整、安全適用的商用密碼產(chǎn)品體系,部分產(chǎn)品性能指標(biāo)已達(dá)到國際先進(jìn)水平。
一、商用密碼產(chǎn)品形態(tài)類型
商用密碼產(chǎn)品按形態(tài)可以劃分為六類:軟件、芯片、模塊、板卡、整機(jī)、系統(tǒng)。
1、軟件是指以純軟件形態(tài)出現(xiàn)的密碼產(chǎn)品,如密碼算法軟件。
2、芯片是指以芯片形態(tài)出現(xiàn)的密碼產(chǎn)品,如算法芯片、安全芯片。
3、模塊是指將單一芯片或多芯片組裝在同一塊電路板上,具備專用密碼功能的產(chǎn)品,如加解密模塊、安全控制模塊。
4、板卡是指以板卡形態(tài)出現(xiàn)的密碼產(chǎn)品,如智能IC卡、智能密碼鑰匙、密碼卡。
5、整機(jī)是指以整機(jī)形態(tài)出現(xiàn)的密碼產(chǎn)品,如網(wǎng)絡(luò)密碼機(jī)、服務(wù)器密碼機(jī)。
6、系統(tǒng)是指以系統(tǒng)形態(tài)出現(xiàn),由密碼功能支撐的產(chǎn)品,如證書認(rèn)證系統(tǒng)、密鑰管理系統(tǒng)。
二、商用密碼產(chǎn)品功能類型
商用密碼產(chǎn)品按功能可以劃分為七類:密碼算法類、數(shù)據(jù)加解密類、認(rèn)證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。
1、密碼算法類產(chǎn)品
密碼算法類產(chǎn)品主要是指提供基礎(chǔ)密碼運(yùn)算功能的產(chǎn)品,如密碼芯片等。
(1)、算法芯片
算法芯片以實(shí)現(xiàn)密碼算法邏輯為主,一般不涉及密鑰或敏感信息的安全存儲,如橢圓曲線密碼算法芯片、數(shù)字物理噪聲源芯片。
(2)、安全芯片
安全芯片在算法芯片的基礎(chǔ)上,增加了密鑰和敏感信息存儲等安全功能,相當(dāng)于一個(gè)“保險(xiǎn)柜”,最重要的算法數(shù)據(jù)都存儲在芯片中,加密和解密的運(yùn)算是在芯片內(nèi)部完成的。
安全芯片自身具有較高安全防護(hù)能力,能夠保護(hù)內(nèi)部存儲的密鑰和信息數(shù)據(jù)不被非法讀取和篡改,可作為密碼板卡的主控芯片。
2、數(shù)據(jù)加密類產(chǎn)品
數(shù)據(jù)加解密類產(chǎn)品主要是指提供數(shù)據(jù)加解密功能的產(chǎn)品,如服務(wù)器密碼機(jī)、VPN設(shè)備、加密硬盤等。
(1)、服務(wù)器密碼機(jī)
服務(wù)器密碼機(jī)主要提供數(shù)據(jù)加解密、數(shù)字簽名驗(yàn)簽及密鑰管理等高性能密碼服務(wù)。服務(wù)器密碼機(jī)通常部署在應(yīng)用服務(wù)器端,能夠同時(shí)為多個(gè)應(yīng)用服務(wù)器提供密碼服務(wù),使重要數(shù)據(jù)的保密性、完整性、真實(shí)性得到保障。
服務(wù)器密碼機(jī)作為基礎(chǔ)密碼產(chǎn)品,既可以為安全公文傳輸系統(tǒng)、安全電子郵件、電子簽章系統(tǒng)等提供高性能的數(shù)據(jù)加解密服務(wù),又可以作為主機(jī)數(shù)據(jù)安全存儲系、身份認(rèn)證系統(tǒng),以及對稱/非對稱密鑰管理系統(tǒng)的主要密碼設(shè)備和核心組件,廣泛應(yīng)用于銀行、保險(xiǎn)、證券、交通、電子商務(wù)、移動通信等行業(yè)的安全業(yè)務(wù)應(yīng)用系統(tǒng)。
(2)、VPN設(shè)備
VPN設(shè)備為遠(yuǎn)程訪問提供安全接入手段,為網(wǎng)絡(luò)通信提供保密性、完整性保護(hù),以及數(shù)據(jù)源的身份鑒別和抗重放攻擊等安全功能。
(3)、加密硬盤
加密硬盤是一種以數(shù)據(jù)安全存儲為目的的大容量存儲設(shè)備,一般采用密碼芯片對數(shù)據(jù)進(jìn)行加密保護(hù),數(shù)據(jù)以密文的形式存儲在硬盤上。
同時(shí)加密硬盤還帶有對用戶身份鑒別的功能,該功能可與智能IC卡等身份鑒別產(chǎn)品配合實(shí)現(xiàn)。使用加密硬盤可以有效防止因硬盤丟失或被非法持有人訪問而帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)。
3、認(rèn)證鑒別類產(chǎn)品
認(rèn)證鑒別類產(chǎn)品主要是指提供身份鑒別等功能的產(chǎn)品,如認(rèn)證網(wǎng)關(guān)、動態(tài)口令系統(tǒng)、簽名驗(yàn)簽服務(wù)器等。
(1)、認(rèn)證網(wǎng)關(guān)
認(rèn)證網(wǎng)關(guān)主要為網(wǎng)絡(luò)應(yīng)用提供基于數(shù)字證書的高強(qiáng)度身份鑒別服務(wù),可以有效保護(hù)對網(wǎng)絡(luò)資源的訪問安全。認(rèn)證網(wǎng)關(guān)是用戶進(jìn)入應(yīng)用服務(wù)系統(tǒng)前的接入和訪問控制設(shè)備,通常部署在用戶和被保護(hù)的服務(wù)器之間。
認(rèn)證網(wǎng)關(guān)的外網(wǎng)口與用戶網(wǎng)絡(luò)連接,內(nèi)網(wǎng)口與被保護(hù)服務(wù)器相連,由于被保護(hù)服務(wù)器通過內(nèi)部網(wǎng)絡(luò)與認(rèn)證網(wǎng)關(guān)連接,因此,用戶與服務(wù)器的連接被認(rèn)證網(wǎng)關(guān)隔離,無法直接訪問被保護(hù)服務(wù)器,只有通過網(wǎng)關(guān)認(rèn)證才能獲得服務(wù)。
(2)、動態(tài)口令系統(tǒng)
動態(tài)口令系統(tǒng)是一種包含動態(tài)令牌和動態(tài)令牌認(rèn)證的綜合系統(tǒng),可以為信息系統(tǒng)提供動態(tài)口令認(rèn)證服務(wù)。
動態(tài)令牌認(rèn)證系統(tǒng)由認(rèn)證系統(tǒng)和密鑰管理系統(tǒng)組成。動態(tài)令牌負(fù)責(zé)生成動態(tài)口令,認(rèn)證系統(tǒng)負(fù)責(zé)驗(yàn)證動態(tài)口令的正確性,密鑰管理系統(tǒng)負(fù)責(zé)動態(tài)令牌的密鑰管理,信息系統(tǒng)負(fù)責(zé)將動態(tài)口令按照指定的協(xié)議發(fā)送至認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。
4、證書管理類產(chǎn)品
證書管理類產(chǎn)品主要是指提供證書產(chǎn)生、分發(fā)管理功能的產(chǎn)品,包括證書認(rèn)證系統(tǒng)等。
(1)、數(shù)字證書
數(shù)字證書也稱公鑰證書,是由證書認(rèn)證機(jī)構(gòu)簽名的包含公鑰者信息、公鑰、簽發(fā)者信息、有效期及擴(kuò)展信息的一種數(shù)據(jù)結(jié)構(gòu)??梢园磳ο蠓譃閭€(gè)人證書、機(jī)構(gòu)證書和設(shè)備證書。按用途分為簽名證書和加密證書。對數(shù)字證書進(jìn)行管理的系統(tǒng)通常稱為“證書認(rèn)證系統(tǒng)”。
(2)、證書認(rèn)證系統(tǒng)
證書認(rèn)證系統(tǒng)是對生命周期內(nèi)的數(shù)字證書進(jìn)行全過程管理的一套軟件,包括用戶注冊管理、證書\證書撤銷列表(CRL)的生成與簽發(fā)、證書\CRL的存儲與發(fā)布、證書狀態(tài)的查詢及安全管理等。證書認(rèn)證系統(tǒng)一般包括證書管理中心和用戶注冊中心。
證書管理中心負(fù)責(zé)對證書進(jìn)行管理,如證書\CRL的簽發(fā)和更新、證書的作廢、證書\CRL的查詢或下載。用戶注冊中心負(fù)責(zé)對用戶提供面對面的證書業(yè)務(wù)服務(wù),如證書申請、身份審核。
5、密鑰管理類產(chǎn)品
密鑰管理類產(chǎn)品主要是指提供密鑰產(chǎn)生、分發(fā)、更新、歸檔和回復(fù)等功能的產(chǎn)品,包括密鑰管理系統(tǒng)等。
密鑰管理類產(chǎn)品通常包括產(chǎn)生密鑰的硬件,如密碼機(jī)、密碼卡;以及實(shí)現(xiàn)密鑰存儲、分發(fā)、備份、更新、銷毀、歸檔、恢復(fù)、查詢、統(tǒng)計(jì)等服務(wù)的軟件,如金融IC卡密鑰管理系統(tǒng)、數(shù)字證書密鑰管理系統(tǒng)、社會保障卡密鑰管理系統(tǒng)、支付寶服務(wù)密鑰管理系統(tǒng)等。密鑰管理類產(chǎn)品的核心功能是確保密鑰的安全性,是各類密碼系統(tǒng)的核心。
數(shù)字證書密鑰管理系統(tǒng)
數(shù)字證書密鑰管理系統(tǒng)主要由密鑰生成、密鑰庫管理、密鑰恢復(fù)、密碼服務(wù)、密鑰管理、安全審計(jì)、認(rèn)證管理等功能模塊組成。
6、密碼防偽類產(chǎn)品
密碼防偽類產(chǎn)品主要是指提供密碼防偽驗(yàn)證功能的產(chǎn)品,包括電子印章系統(tǒng)、支付密碼器、時(shí)間戳服務(wù)器等。
(1)、電子印章系統(tǒng)
電子印章系統(tǒng)通常將傳統(tǒng)印章與數(shù)字簽名技術(shù)結(jié)合起來,采用組件技術(shù)、圖像處理技術(shù)及密碼技術(shù),對電子文件進(jìn)行數(shù)據(jù)簽章保護(hù)。
電子印章系統(tǒng)包括電子印章制作系統(tǒng)與電子印章服務(wù)系統(tǒng)。
電子印章制作系統(tǒng)主要用于制作電子印章,印章數(shù)據(jù)通過離線的方式導(dǎo)入電子印章服務(wù)系統(tǒng)。電子印章服務(wù)系統(tǒng)主要用于電子印章的蓋章、驗(yàn)章。
(2)、時(shí)間戳服務(wù)器
時(shí)間戳服務(wù)器是一款基于KPI技術(shù)的時(shí)間戳權(quán)威系統(tǒng),對外提供精確可信的時(shí)間戳服務(wù)器,可廣泛應(yīng)用于網(wǎng)上交易、電子病歷、網(wǎng)上招投標(biāo)和數(shù)字知識產(chǎn)權(quán)保護(hù)等電子政務(wù)和電子商務(wù)活動中。
7、綜合類
綜合類產(chǎn)品是指提供含密碼產(chǎn)品功能6類產(chǎn)品中的兩種或兩種以上的產(chǎn)品,包括自動柜員機(jī)(ATM)密碼應(yīng)用系統(tǒng)等。
ATM密碼應(yīng)用系統(tǒng)
ATM密碼應(yīng)用系統(tǒng)用于金融領(lǐng)域,提供賬戶查詢、轉(zhuǎn)賬、存\取款、圈存圈提等一系列金融服務(wù)。
一、商用密碼產(chǎn)品形態(tài)類型
商用密碼產(chǎn)品按形態(tài)可以劃分為六類:軟件、芯片、模塊、板卡、整機(jī)、系統(tǒng)。
1、軟件是指以純軟件形態(tài)出現(xiàn)的密碼產(chǎn)品,如密碼算法軟件。
2、芯片是指以芯片形態(tài)出現(xiàn)的密碼產(chǎn)品,如算法芯片、安全芯片。
3、模塊是指將單一芯片或多芯片組裝在同一塊電路板上,具備專用密碼功能的產(chǎn)品,如加解密模塊、安全控制模塊。
4、板卡是指以板卡形態(tài)出現(xiàn)的密碼產(chǎn)品,如智能IC卡、智能密碼鑰匙、密碼卡。
5、整機(jī)是指以整機(jī)形態(tài)出現(xiàn)的密碼產(chǎn)品,如網(wǎng)絡(luò)密碼機(jī)、服務(wù)器密碼機(jī)。
6、系統(tǒng)是指以系統(tǒng)形態(tài)出現(xiàn),由密碼功能支撐的產(chǎn)品,如證書認(rèn)證系統(tǒng)、密鑰管理系統(tǒng)。
二、商用密碼產(chǎn)品功能類型
商用密碼產(chǎn)品按功能可以劃分為七類:密碼算法類、數(shù)據(jù)加解密類、認(rèn)證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。
1、密碼算法類產(chǎn)品
密碼算法類產(chǎn)品主要是指提供基礎(chǔ)密碼運(yùn)算功能的產(chǎn)品,如密碼芯片等。
(1)、算法芯片
算法芯片以實(shí)現(xiàn)密碼算法邏輯為主,一般不涉及密鑰或敏感信息的安全存儲,如橢圓曲線密碼算法芯片、數(shù)字物理噪聲源芯片。
(2)、安全芯片
安全芯片在算法芯片的基礎(chǔ)上,增加了密鑰和敏感信息存儲等安全功能,相當(dāng)于一個(gè)“保險(xiǎn)柜”,最重要的算法數(shù)據(jù)都存儲在芯片中,加密和解密的運(yùn)算是在芯片內(nèi)部完成的。
安全芯片自身具有較高安全防護(hù)能力,能夠保護(hù)內(nèi)部存儲的密鑰和信息數(shù)據(jù)不被非法讀取和篡改,可作為密碼板卡的主控芯片。
2、數(shù)據(jù)加密類產(chǎn)品
數(shù)據(jù)加解密類產(chǎn)品主要是指提供數(shù)據(jù)加解密功能的產(chǎn)品,如服務(wù)器密碼機(jī)、VPN設(shè)備、加密硬盤等。
(1)、服務(wù)器密碼機(jī)
服務(wù)器密碼機(jī)主要提供數(shù)據(jù)加解密、數(shù)字簽名驗(yàn)簽及密鑰管理等高性能密碼服務(wù)。服務(wù)器密碼機(jī)通常部署在應(yīng)用服務(wù)器端,能夠同時(shí)為多個(gè)應(yīng)用服務(wù)器提供密碼服務(wù),使重要數(shù)據(jù)的保密性、完整性、真實(shí)性得到保障。
服務(wù)器密碼機(jī)作為基礎(chǔ)密碼產(chǎn)品,既可以為安全公文傳輸系統(tǒng)、安全電子郵件、電子簽章系統(tǒng)等提供高性能的數(shù)據(jù)加解密服務(wù),又可以作為主機(jī)數(shù)據(jù)安全存儲系、身份認(rèn)證系統(tǒng),以及對稱/非對稱密鑰管理系統(tǒng)的主要密碼設(shè)備和核心組件,廣泛應(yīng)用于銀行、保險(xiǎn)、證券、交通、電子商務(wù)、移動通信等行業(yè)的安全業(yè)務(wù)應(yīng)用系統(tǒng)。
(2)、VPN設(shè)備
VPN設(shè)備為遠(yuǎn)程訪問提供安全接入手段,為網(wǎng)絡(luò)通信提供保密性、完整性保護(hù),以及數(shù)據(jù)源的身份鑒別和抗重放攻擊等安全功能。
(3)、加密硬盤
加密硬盤是一種以數(shù)據(jù)安全存儲為目的的大容量存儲設(shè)備,一般采用密碼芯片對數(shù)據(jù)進(jìn)行加密保護(hù),數(shù)據(jù)以密文的形式存儲在硬盤上。
同時(shí)加密硬盤還帶有對用戶身份鑒別的功能,該功能可與智能IC卡等身份鑒別產(chǎn)品配合實(shí)現(xiàn)。使用加密硬盤可以有效防止因硬盤丟失或被非法持有人訪問而帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)。
3、認(rèn)證鑒別類產(chǎn)品
認(rèn)證鑒別類產(chǎn)品主要是指提供身份鑒別等功能的產(chǎn)品,如認(rèn)證網(wǎng)關(guān)、動態(tài)口令系統(tǒng)、簽名驗(yàn)簽服務(wù)器等。
(1)、認(rèn)證網(wǎng)關(guān)
認(rèn)證網(wǎng)關(guān)主要為網(wǎng)絡(luò)應(yīng)用提供基于數(shù)字證書的高強(qiáng)度身份鑒別服務(wù),可以有效保護(hù)對網(wǎng)絡(luò)資源的訪問安全。認(rèn)證網(wǎng)關(guān)是用戶進(jìn)入應(yīng)用服務(wù)系統(tǒng)前的接入和訪問控制設(shè)備,通常部署在用戶和被保護(hù)的服務(wù)器之間。
認(rèn)證網(wǎng)關(guān)的外網(wǎng)口與用戶網(wǎng)絡(luò)連接,內(nèi)網(wǎng)口與被保護(hù)服務(wù)器相連,由于被保護(hù)服務(wù)器通過內(nèi)部網(wǎng)絡(luò)與認(rèn)證網(wǎng)關(guān)連接,因此,用戶與服務(wù)器的連接被認(rèn)證網(wǎng)關(guān)隔離,無法直接訪問被保護(hù)服務(wù)器,只有通過網(wǎng)關(guān)認(rèn)證才能獲得服務(wù)。
(2)、動態(tài)口令系統(tǒng)
動態(tài)口令系統(tǒng)是一種包含動態(tài)令牌和動態(tài)令牌認(rèn)證的綜合系統(tǒng),可以為信息系統(tǒng)提供動態(tài)口令認(rèn)證服務(wù)。
動態(tài)令牌認(rèn)證系統(tǒng)由認(rèn)證系統(tǒng)和密鑰管理系統(tǒng)組成。動態(tài)令牌負(fù)責(zé)生成動態(tài)口令,認(rèn)證系統(tǒng)負(fù)責(zé)驗(yàn)證動態(tài)口令的正確性,密鑰管理系統(tǒng)負(fù)責(zé)動態(tài)令牌的密鑰管理,信息系統(tǒng)負(fù)責(zé)將動態(tài)口令按照指定的協(xié)議發(fā)送至認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。
4、證書管理類產(chǎn)品
證書管理類產(chǎn)品主要是指提供證書產(chǎn)生、分發(fā)管理功能的產(chǎn)品,包括證書認(rèn)證系統(tǒng)等。
(1)、數(shù)字證書
數(shù)字證書也稱公鑰證書,是由證書認(rèn)證機(jī)構(gòu)簽名的包含公鑰者信息、公鑰、簽發(fā)者信息、有效期及擴(kuò)展信息的一種數(shù)據(jù)結(jié)構(gòu)??梢园磳ο蠓譃閭€(gè)人證書、機(jī)構(gòu)證書和設(shè)備證書。按用途分為簽名證書和加密證書。對數(shù)字證書進(jìn)行管理的系統(tǒng)通常稱為“證書認(rèn)證系統(tǒng)”。
(2)、證書認(rèn)證系統(tǒng)
證書認(rèn)證系統(tǒng)是對生命周期內(nèi)的數(shù)字證書進(jìn)行全過程管理的一套軟件,包括用戶注冊管理、證書\證書撤銷列表(CRL)的生成與簽發(fā)、證書\CRL的存儲與發(fā)布、證書狀態(tài)的查詢及安全管理等。證書認(rèn)證系統(tǒng)一般包括證書管理中心和用戶注冊中心。
證書管理中心負(fù)責(zé)對證書進(jìn)行管理,如證書\CRL的簽發(fā)和更新、證書的作廢、證書\CRL的查詢或下載。用戶注冊中心負(fù)責(zé)對用戶提供面對面的證書業(yè)務(wù)服務(wù),如證書申請、身份審核。
5、密鑰管理類產(chǎn)品
密鑰管理類產(chǎn)品主要是指提供密鑰產(chǎn)生、分發(fā)、更新、歸檔和回復(fù)等功能的產(chǎn)品,包括密鑰管理系統(tǒng)等。
密鑰管理類產(chǎn)品通常包括產(chǎn)生密鑰的硬件,如密碼機(jī)、密碼卡;以及實(shí)現(xiàn)密鑰存儲、分發(fā)、備份、更新、銷毀、歸檔、恢復(fù)、查詢、統(tǒng)計(jì)等服務(wù)的軟件,如金融IC卡密鑰管理系統(tǒng)、數(shù)字證書密鑰管理系統(tǒng)、社會保障卡密鑰管理系統(tǒng)、支付寶服務(wù)密鑰管理系統(tǒng)等。密鑰管理類產(chǎn)品的核心功能是確保密鑰的安全性,是各類密碼系統(tǒng)的核心。
數(shù)字證書密鑰管理系統(tǒng)
數(shù)字證書密鑰管理系統(tǒng)主要由密鑰生成、密鑰庫管理、密鑰恢復(fù)、密碼服務(wù)、密鑰管理、安全審計(jì)、認(rèn)證管理等功能模塊組成。
6、密碼防偽類產(chǎn)品
密碼防偽類產(chǎn)品主要是指提供密碼防偽驗(yàn)證功能的產(chǎn)品,包括電子印章系統(tǒng)、支付密碼器、時(shí)間戳服務(wù)器等。
(1)、電子印章系統(tǒng)
電子印章系統(tǒng)通常將傳統(tǒng)印章與數(shù)字簽名技術(shù)結(jié)合起來,采用組件技術(shù)、圖像處理技術(shù)及密碼技術(shù),對電子文件進(jìn)行數(shù)據(jù)簽章保護(hù)。
電子印章系統(tǒng)包括電子印章制作系統(tǒng)與電子印章服務(wù)系統(tǒng)。
電子印章制作系統(tǒng)主要用于制作電子印章,印章數(shù)據(jù)通過離線的方式導(dǎo)入電子印章服務(wù)系統(tǒng)。電子印章服務(wù)系統(tǒng)主要用于電子印章的蓋章、驗(yàn)章。
(2)、時(shí)間戳服務(wù)器
時(shí)間戳服務(wù)器是一款基于KPI技術(shù)的時(shí)間戳權(quán)威系統(tǒng),對外提供精確可信的時(shí)間戳服務(wù)器,可廣泛應(yīng)用于網(wǎng)上交易、電子病歷、網(wǎng)上招投標(biāo)和數(shù)字知識產(chǎn)權(quán)保護(hù)等電子政務(wù)和電子商務(wù)活動中。
7、綜合類
綜合類產(chǎn)品是指提供含密碼產(chǎn)品功能6類產(chǎn)品中的兩種或兩種以上的產(chǎn)品,包括自動柜員機(jī)(ATM)密碼應(yīng)用系統(tǒng)等。
ATM密碼應(yīng)用系統(tǒng)
ATM密碼應(yīng)用系統(tǒng)用于金融領(lǐng)域,提供賬戶查詢、轉(zhuǎn)賬、存\取款、圈存圈提等一系列金融服務(wù)。