密碼測評之商用密碼產品介紹
近年來,我國商用密碼產品自主創新能力持續增強,產業支撐能力不斷提升,已建成種類豐富、鏈條完整、安全適用的商用密碼產品體系,部分產品性能指標已達到國際先進水平。
一、商用密碼產品形態類型
商用密碼產品按形態可以劃分為六類:軟件、芯片、模塊、板卡、整機、系統。
1、軟件是指以純軟件形態出現的密碼產品,如密碼算法軟件。
2、芯片是指以芯片形態出現的密碼產品,如算法芯片、安全芯片。
3、模塊是指將單一芯片或多芯片組裝在同一塊電路板上,具備專用密碼功能的產品,如加解密模塊、安全控制模塊。
4、板卡是指以板卡形態出現的密碼產品,如智能IC卡、智能密碼鑰匙、密碼卡。
5、整機是指以整機形態出現的密碼產品,如網絡密碼機、服務器密碼機。
6、系統是指以系統形態出現,由密碼功能支撐的產品,如證書認證系統、密鑰管理系統。
二、商用密碼產品功能類型
商用密碼產品按功能可以劃分為七類:密碼算法類、數據加解密類、認證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。
1、密碼算法類產品
密碼算法類產品主要是指提供基礎密碼運算功能的產品,如密碼芯片等。
(1)、算法芯片
算法芯片以實現密碼算法邏輯為主,一般不涉及密鑰或敏感信息的安全存儲,如橢圓曲線密碼算法芯片、數字物理噪聲源芯片。
(2)、安全芯片
安全芯片在算法芯片的基礎上,增加了密鑰和敏感信息存儲等安全功能,相當于一個“保險柜”,最重要的算法數據都存儲在芯片中,加密和解密的運算是在芯片內部完成的。
安全芯片自身具有較高安全防護能力,能夠保護內部存儲的密鑰和信息數據不被非法讀取和篡改,可作為密碼板卡的主控芯片。
2、數據加密類產品
數據加解密類產品主要是指提供數據加解密功能的產品,如服務器密碼機、VPN設備、加密硬盤等。
(1)、服務器密碼機
服務器密碼機主要提供數據加解密、數字簽名驗簽及密鑰管理等高性能密碼服務。服務器密碼機通常部署在應用服務器端,能夠同時為多個應用服務器提供密碼服務,使重要數據的保密性、完整性、真實性得到保障。
服務器密碼機作為基礎密碼產品,既可以為安全公文傳輸系統、安全電子郵件、電子簽章系統等提供高性能的數據加解密服務,又可以作為主機數據安全存儲系、身份認證系統,以及對稱/非對稱密鑰管理系統的主要密碼設備和核心組件,廣泛應用于銀行、保險、證券、交通、電子商務、移動通信等行業的安全業務應用系統。
(2)、VPN設備
VPN設備為遠程訪問提供安全接入手段,為網絡通信提供保密性、完整性保護,以及數據源的身份鑒別和抗重放攻擊等安全功能。
(3)、加密硬盤
加密硬盤是一種以數據安全存儲為目的的大容量存儲設備,一般采用密碼芯片對數據進行加密保護,數據以密文的形式存儲在硬盤上。
同時加密硬盤還帶有對用戶身份鑒別的功能,該功能可與智能IC卡等身份鑒別產品配合實現。使用加密硬盤可以有效防止因硬盤丟失或被非法持有人訪問而帶來的數據泄露風險。
3、認證鑒別類產品
認證鑒別類產品主要是指提供身份鑒別等功能的產品,如認證網關、動態口令系統、簽名驗簽服務器等。
(1)、認證網關
認證網關主要為網絡應用提供基于數字證書的高強度身份鑒別服務,可以有效保護對網絡資源的訪問安全。認證網關是用戶進入應用服務系統前的接入和訪問控制設備,通常部署在用戶和被保護的服務器之間。
認證網關的外網口與用戶網絡連接,內網口與被保護服務器相連,由于被保護服務器通過內部網絡與認證網關連接,因此,用戶與服務器的連接被認證網關隔離,無法直接訪問被保護服務器,只有通過網關認證才能獲得服務。
(2)、動態口令系統
動態口令系統是一種包含動態令牌和動態令牌認證的綜合系統,可以為信息系統提供動態口令認證服務。
動態令牌認證系統由認證系統和密鑰管理系統組成。動態令牌負責生成動態口令,認證系統負責驗證動態口令的正確性,密鑰管理系統負責動態令牌的密鑰管理,信息系統負責將動態口令按照指定的協議發送至認證系統進行認證。
4、證書管理類產品
證書管理類產品主要是指提供證書產生、分發管理功能的產品,包括證書認證系統等。
(1)、數字證書
數字證書也稱公鑰證書,是由證書認證機構簽名的包含公鑰者信息、公鑰、簽發者信息、有效期及擴展信息的一種數據結構。可以按對象分為個人證書、機構證書和設備證書。按用途分為簽名證書和加密證書。對數字證書進行管理的系統通常稱為“證書認證系統”。
(2)、證書認證系統
證書認證系統是對生命周期內的數字證書進行全過程管理的一套軟件,包括用戶注冊管理、證書\證書撤銷列表(CRL)的生成與簽發、證書\CRL的存儲與發布、證書狀態的查詢及安全管理等。證書認證系統一般包括證書管理中心和用戶注冊中心。
證書管理中心負責對證書進行管理,如證書\CRL的簽發和更新、證書的作廢、證書\CRL的查詢或下載。用戶注冊中心負責對用戶提供面對面的證書業務服務,如證書申請、身份審核。
5、密鑰管理類產品
密鑰管理類產品主要是指提供密鑰產生、分發、更新、歸檔和回復等功能的產品,包括密鑰管理系統等。
密鑰管理類產品通常包括產生密鑰的硬件,如密碼機、密碼卡;以及實現密鑰存儲、分發、備份、更新、銷毀、歸檔、恢復、查詢、統計等服務的軟件,如金融IC卡密鑰管理系統、數字證書密鑰管理系統、社會保障卡密鑰管理系統、支付寶服務密鑰管理系統等。密鑰管理類產品的核心功能是確保密鑰的安全性,是各類密碼系統的核心。
數字證書密鑰管理系統
數字證書密鑰管理系統主要由密鑰生成、密鑰庫管理、密鑰恢復、密碼服務、密鑰管理、安全審計、認證管理等功能模塊組成。
6、密碼防偽類產品
密碼防偽類產品主要是指提供密碼防偽驗證功能的產品,包括電子印章系統、支付密碼器、時間戳服務器等。
(1)、電子印章系統
電子印章系統通常將傳統印章與數字簽名技術結合起來,采用組件技術、圖像處理技術及密碼技術,對電子文件進行數據簽章保護。
電子印章系統包括電子印章制作系統與電子印章服務系統。
電子印章制作系統主要用于制作電子印章,印章數據通過離線的方式導入電子印章服務系統。電子印章服務系統主要用于電子印章的蓋章、驗章。
(2)、時間戳服務器
時間戳服務器是一款基于KPI技術的時間戳權威系統,對外提供精確可信的時間戳服務器,可廣泛應用于網上交易、電子病歷、網上招投標和數字知識產權保護等電子政務和電子商務活動中。
7、綜合類
綜合類產品是指提供含密碼產品功能6類產品中的兩種或兩種以上的產品,包括自動柜員機(ATM)密碼應用系統等。
ATM密碼應用系統
ATM密碼應用系統用于金融領域,提供賬戶查詢、轉賬、存\取款、圈存圈提等一系列金融服務。
一、商用密碼產品形態類型
商用密碼產品按形態可以劃分為六類:軟件、芯片、模塊、板卡、整機、系統。
1、軟件是指以純軟件形態出現的密碼產品,如密碼算法軟件。
2、芯片是指以芯片形態出現的密碼產品,如算法芯片、安全芯片。
3、模塊是指將單一芯片或多芯片組裝在同一塊電路板上,具備專用密碼功能的產品,如加解密模塊、安全控制模塊。
4、板卡是指以板卡形態出現的密碼產品,如智能IC卡、智能密碼鑰匙、密碼卡。
5、整機是指以整機形態出現的密碼產品,如網絡密碼機、服務器密碼機。
6、系統是指以系統形態出現,由密碼功能支撐的產品,如證書認證系統、密鑰管理系統。
二、商用密碼產品功能類型
商用密碼產品按功能可以劃分為七類:密碼算法類、數據加解密類、認證鑒別類、證書管理類、密鑰管理類、密碼防偽類和綜合類。
1、密碼算法類產品
密碼算法類產品主要是指提供基礎密碼運算功能的產品,如密碼芯片等。
(1)、算法芯片
算法芯片以實現密碼算法邏輯為主,一般不涉及密鑰或敏感信息的安全存儲,如橢圓曲線密碼算法芯片、數字物理噪聲源芯片。
(2)、安全芯片
安全芯片在算法芯片的基礎上,增加了密鑰和敏感信息存儲等安全功能,相當于一個“保險柜”,最重要的算法數據都存儲在芯片中,加密和解密的運算是在芯片內部完成的。
安全芯片自身具有較高安全防護能力,能夠保護內部存儲的密鑰和信息數據不被非法讀取和篡改,可作為密碼板卡的主控芯片。
2、數據加密類產品
數據加解密類產品主要是指提供數據加解密功能的產品,如服務器密碼機、VPN設備、加密硬盤等。
(1)、服務器密碼機
服務器密碼機主要提供數據加解密、數字簽名驗簽及密鑰管理等高性能密碼服務。服務器密碼機通常部署在應用服務器端,能夠同時為多個應用服務器提供密碼服務,使重要數據的保密性、完整性、真實性得到保障。
服務器密碼機作為基礎密碼產品,既可以為安全公文傳輸系統、安全電子郵件、電子簽章系統等提供高性能的數據加解密服務,又可以作為主機數據安全存儲系、身份認證系統,以及對稱/非對稱密鑰管理系統的主要密碼設備和核心組件,廣泛應用于銀行、保險、證券、交通、電子商務、移動通信等行業的安全業務應用系統。
(2)、VPN設備
VPN設備為遠程訪問提供安全接入手段,為網絡通信提供保密性、完整性保護,以及數據源的身份鑒別和抗重放攻擊等安全功能。
(3)、加密硬盤
加密硬盤是一種以數據安全存儲為目的的大容量存儲設備,一般采用密碼芯片對數據進行加密保護,數據以密文的形式存儲在硬盤上。
同時加密硬盤還帶有對用戶身份鑒別的功能,該功能可與智能IC卡等身份鑒別產品配合實現。使用加密硬盤可以有效防止因硬盤丟失或被非法持有人訪問而帶來的數據泄露風險。
3、認證鑒別類產品
認證鑒別類產品主要是指提供身份鑒別等功能的產品,如認證網關、動態口令系統、簽名驗簽服務器等。
(1)、認證網關
認證網關主要為網絡應用提供基于數字證書的高強度身份鑒別服務,可以有效保護對網絡資源的訪問安全。認證網關是用戶進入應用服務系統前的接入和訪問控制設備,通常部署在用戶和被保護的服務器之間。
認證網關的外網口與用戶網絡連接,內網口與被保護服務器相連,由于被保護服務器通過內部網絡與認證網關連接,因此,用戶與服務器的連接被認證網關隔離,無法直接訪問被保護服務器,只有通過網關認證才能獲得服務。
(2)、動態口令系統
動態口令系統是一種包含動態令牌和動態令牌認證的綜合系統,可以為信息系統提供動態口令認證服務。
動態令牌認證系統由認證系統和密鑰管理系統組成。動態令牌負責生成動態口令,認證系統負責驗證動態口令的正確性,密鑰管理系統負責動態令牌的密鑰管理,信息系統負責將動態口令按照指定的協議發送至認證系統進行認證。
4、證書管理類產品
證書管理類產品主要是指提供證書產生、分發管理功能的產品,包括證書認證系統等。
(1)、數字證書
數字證書也稱公鑰證書,是由證書認證機構簽名的包含公鑰者信息、公鑰、簽發者信息、有效期及擴展信息的一種數據結構。可以按對象分為個人證書、機構證書和設備證書。按用途分為簽名證書和加密證書。對數字證書進行管理的系統通常稱為“證書認證系統”。
(2)、證書認證系統
證書認證系統是對生命周期內的數字證書進行全過程管理的一套軟件,包括用戶注冊管理、證書\證書撤銷列表(CRL)的生成與簽發、證書\CRL的存儲與發布、證書狀態的查詢及安全管理等。證書認證系統一般包括證書管理中心和用戶注冊中心。
證書管理中心負責對證書進行管理,如證書\CRL的簽發和更新、證書的作廢、證書\CRL的查詢或下載。用戶注冊中心負責對用戶提供面對面的證書業務服務,如證書申請、身份審核。
5、密鑰管理類產品
密鑰管理類產品主要是指提供密鑰產生、分發、更新、歸檔和回復等功能的產品,包括密鑰管理系統等。
密鑰管理類產品通常包括產生密鑰的硬件,如密碼機、密碼卡;以及實現密鑰存儲、分發、備份、更新、銷毀、歸檔、恢復、查詢、統計等服務的軟件,如金融IC卡密鑰管理系統、數字證書密鑰管理系統、社會保障卡密鑰管理系統、支付寶服務密鑰管理系統等。密鑰管理類產品的核心功能是確保密鑰的安全性,是各類密碼系統的核心。
數字證書密鑰管理系統
數字證書密鑰管理系統主要由密鑰生成、密鑰庫管理、密鑰恢復、密碼服務、密鑰管理、安全審計、認證管理等功能模塊組成。
6、密碼防偽類產品
密碼防偽類產品主要是指提供密碼防偽驗證功能的產品,包括電子印章系統、支付密碼器、時間戳服務器等。
(1)、電子印章系統
電子印章系統通常將傳統印章與數字簽名技術結合起來,采用組件技術、圖像處理技術及密碼技術,對電子文件進行數據簽章保護。
電子印章系統包括電子印章制作系統與電子印章服務系統。
電子印章制作系統主要用于制作電子印章,印章數據通過離線的方式導入電子印章服務系統。電子印章服務系統主要用于電子印章的蓋章、驗章。
(2)、時間戳服務器
時間戳服務器是一款基于KPI技術的時間戳權威系統,對外提供精確可信的時間戳服務器,可廣泛應用于網上交易、電子病歷、網上招投標和數字知識產權保護等電子政務和電子商務活動中。
7、綜合類
綜合類產品是指提供含密碼產品功能6類產品中的兩種或兩種以上的產品,包括自動柜員機(ATM)密碼應用系統等。
ATM密碼應用系統
ATM密碼應用系統用于金融領域,提供賬戶查詢、轉賬、存\取款、圈存圈提等一系列金融服務。
