商用密码产品
2021-06-30 11:30:19 9 举报
AI智能生成
为你推荐
查看更多
商用密码产品是专为满足企业数据安全需求而设计的高安全性加密解决方案。这些产品通常包括硬件加密机、软件加密系统、身份认证设备等,能够有效防止数据泄露、篡改和丢失。商用密码产品采用先进的加密算法,如AES、RSA等,确保数据的机密性和完整性。此外,它们还具备严格的访问控制功能,确保只有授权用户才能访问敏感信息。通过使用商用密码产品,企业可以确保其业务数据得到充分保护,降低因数据安全问题导致的法律风险和经济损失。总之,商用密码产品是企业信息安全的有力保障,有助于提升企业的竞争力和信誉。
作者其他创作
大纲/内容
商用密码产品体系
商用密码产品分类
软件类
指以纯软件形态出现的密码产品
例如:信息保密软件、密码算法软件、数字证书认证系统软件
芯片类
指以芯片类形态出现的密码产品
例如:算法芯片、密码SOC芯片等
板卡类
指以板卡形态出现,具备完整密码功能的产品
例如:IC卡、USBKey、PCI-E密码卡、TF卡、MINI PCI-E卡等
整机类
指以整机形态出现,具备完整密码功能的产品
例如:签名验签服务器、服务器密码机、VPN安全网关等
系统类
指以系统形态出现、有密码功能支撑的产品
例如:电子签章系统、密钥管理系统、安全文件传输系统
智能IC卡
产品概述:一个或多个集成电路芯片嵌装与塑料基片上制成的卡片,集成电路有数据存储、运算、判断功能,且能与外界进行数据交换
智能IC卡的分类
存储器卡:只存储少量信息
逻辑加密卡:存储、硬件加密逻辑,简单信息处理,安全防护低
智能CPU卡:计算、存储、加解密、访问控制、传输、安全性高
与外界数据交换界面不同
接触式:通过表面金属触点连通内部集成电路与外部接口设备
非接触式:基于射频技术,通过设备间的天线发送和接收电磁波
智能IC卡的应用
金融IC卡、第二代居民身份证、电子营业执照、社保卡、校园卡、公交卡、封装成SD卡、TF卡和SAM卡等等
智能IC卡应用系统
应用系统要点
智能IC卡应用中的鉴别机制
智能IC卡对持卡人的鉴别:利用持卡人已知的秘密或特征,通常是PIN码
智能IC卡对读卡器的鉴别:基于对称密码的“挑战-响应”,读卡器向IC卡互发送随机数,IC卡通过解密读卡器密文与原随机数对比(读卡器加密IC卡随机数)
读卡器对智能IC卡的鉴别:同上一条原理一致(IC卡加密读卡器随机数)
读卡器和智能IC卡的相互鉴别:综合上述两条
智能IC卡产品的开发、检测和使用应遵循标准GM/T 0041-2015《智能IC卡密码检测规范》
智能密码钥匙
产品概述:具备密码运算、密钥管理能力、可提供密码服务的终端设备。主要作用存储用户秘密信息(如私钥、数字证书),提供数据加解密、数据完整性校验、数字签名、访问控制等相关密码服务。也被称为USB Token 或 USB Key
同智能IC卡的关联
相似点
处理器芯片基本相同(智能卡芯片)
智能IC卡领域大量技术及标准被智能密码钥匙所使用
智能IC卡国际标准ISO/IEC 7816-4 定义的APDU指令同样事智能密码钥匙产品广泛使用的格式
不同点
智能IC卡主要作用是对卡中的文件提供访问控制的功能,与读卡器进行交互
智能密码钥匙作为私钥及数字证书的载体,向具体的应用提供密码运算功能
功能
典型的智能密码钥匙
有一定的存储空间(几KB~几MB不等),存储用户秘密信息(如私钥、数字证书)
具备密码运算能力,能完成密钥生成和安全存储、数据加密几数字证书等功能
采用基于身份的用户鉴别机制(PIN码实现)
配有供其他应用程序调用的软件接口程序及驱动
有的不仅配IC卡芯片,还配USB控制芯片,在智能密码钥匙的基础上,增加了大容量移动存储的功能
第二代智能密码钥匙
为避免只能密码钥匙为伪造的数据签名,交互型电子签民再生成电子签名过程中增加了与用户的交互过程。相应地,具备双向交互功能、配有屏幕和操作按键的智能密码钥匙称为第二代智能密码钥匙
形态:主机接口除USB外,还有WI-Fi、蓝牙、音频、Lightening、NFC、红外等
智能密码钥匙典型应用
智能密码钥匙在网上银行交易过程中的应用
发送数字证书、用户私钥签名的交易信息等
验证数字证书的有效性
利用用户签名公钥验证交易信息的签名,返回交易结果
智能密码钥匙应用逻辑结构图
智能密码钥匙至少支持三种密钥
设备认证密钥:用于终端管理程序与设备之间的相互鉴别,以获得终端对设备上应用的管理权限
用户密钥:用于签名和验证签名、加密和解密的非对称密钥对
会话密钥:指临时从外部密文导入或内部临时生成的对称密钥,使用完毕或断电后即消失
注意:签名密钥对由智能密码钥匙内部产生,加密密钥对由外部安全导入
服务器密码机
概述:能独立或并行为多个应用实体(如应用系统)提供密码服务和密钥管理的设备,服务器密码机是一种整机类密码产品,一般部署在服务端的基规中,通过网线与应用系统相连
基本功能
密码运算
密钥管理
密钥备份/恢复
权限管理
审计管理
运维监控
部署方式
加密机单机、双机、集群部署
两台双机热备
业务主机应当和服务器密码及在一个局域网内
加密机不可直接对互联网提供服务
应用场景
应用场景一
不同机构间应用系统传输业务数据提供数据加密性和完整性防护服务
应用场景二
为安全电子签章系统提供密码计算、电子印章有效性验证服务
数字证书认证系统
数字证书
概念:数字证书也称公钥证书、由权威机构-证书认证机构(CA)签发的包含用户信息、用户公钥、签发者信息、有效期以及扩展信息的一种数据结构,可用来验证网络身份的真实合法性
数字证书类型
签名证书
加密证书
系统定义
查看各子系统的详细介绍,移步另一篇思维导图《商用密码应用安全性评估》
数字证书申请工作原理
企业级
运营级
外框
数字证书认证系统部署区域为核心区和服务区,各子系统并采用分布式、双机热备部署方式
VPN
IPsec VPN产品
概述:IPsec VPN 工作在网络层
产品部署
站到站(常见)-隧道模式
端到站(常见)-隧道模式
端到端(不常见)-隧道模式或传输模式
说明:IPsec VPN技术原理请到我的另一篇思维导图《IPsec vpn》查看
SSL VPN产品
概述:IPsec VPN 工作在应用层和传输层之间
部署方式(端到站)
说明:SSL VPN技术原理请到我的另一篇思维导图《IPsec vpn》查看
密钥管理系统
概述:为密码应用系统提供对称密钥和非对称密钥的产生、分发、更新、存储、注销、恢复、归档等管理的系统
密钥生成
密钥存储
密钥归档
密钥库管理
密钥统计
密钥查询
角色管理
日志管理
数据备份恢复
司法密钥回恢复
配合数字认证系统使用
集中管理多台加密机的密钥
签名验签服务器
概述
产品定义:用于服务端的,为应用实体提供基于PKI体系和数字证书的数字签名、验证签名等运算功能的服务器,可以保证关键业务信息的真实性、完整性和不可否认性
应用实体指签名验签服务器的服务对象,可以是个人,机构或系统、其私钥存储再签名验签服务器的密码设备(密码卡)中,能够使用签名验签服务器进行签名及验签运算
数字签名、验证
证书有效性验证:支持通过OCSP和CRL对证书状态进行查询,确定证书是否有效
证书解析
业务连续性
白名单功能
时间同步
证书管理
应用管理
时间戳服务器
时间戳:使用数字签名技术产生的数据,签名的对象包括了原始文件信息、签名参数、签名时间,证明原始文件在签名时间之前已经存在
产品定义:时间戳服务器是一款基于PKI(公钥密码基础设施)技术的时间戳权威系统,对外提供精确可信的时间戳服务。它采用精确的时间源、高强度高标准的安全机制,以确认系统处理数据再某一时间的存在性和相关操作的相对时间顺序,为信息系统中的时间放抵赖提供基础服务。
0 条评论
回复 删除
下一页