商用密码产品,是指实现密码预算、密钥管理等相关功能的硬件、软件、固件或其组合。
商用密码产品的分类,可以按照产品形态分,也可以按照产品功能分类。以下将分别按照两种不同的分类方法进行详细介绍。
一、按产品形态分类
商用密码产品按形态可以划分为六类:密码软件、密码芯片、密码模块、密码板卡、密码整机、密码系统。
1、密码软件:是指以纯软件形态出现的密码产品,如密码算法软件。纯软件形态部署使用比较简便,但一般安全级别较低。
2、密码芯片:是指以芯片形态出现的密码产品,如算法芯片、安全芯片。
3、密码模块:是指将单一芯片或多芯片组装在同一块电路板上,具备专用密码功能的产品,如加解密模块、安全控制模块。
4、密码板卡:是指以板卡形态出现的密码产品,如智能IC卡、智能密码钥匙、PCIE密码卡、Mini PCIE密码卡。
5、密码整机:是指以整机形态出现的密码产品,如IPSec VPN安全网关、SSL VPN安全网关、服务器密码机、签名验签服务器。
6、密码系统:是指以系统形态出现,由密码功能支撑的产品,如安全传输系统、证书认证系统、密钥管理系统、电子签章系统。
二、按产品功能分类
商用密码产品按功能可以划分为七类:密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。
1、密码算法类产品
密码算法类产品主要是指提供基础密码运算功能的产品,如密码芯片等。
(1)算法芯片
算法芯片以实现密码算法逻辑为主,一般不涉及密钥或敏感信息的安全存储,如椭圆曲线密码算法芯片、数字物理噪声源芯片。
(2)安全芯片
安全芯片在算法芯片的基础上,增加了密钥和敏感信息存储等安全功能,相当于一个“保险柜”,最重要的算法数据都存储在芯片中,加密和解密的运算是在芯片内部完成的。
安全芯片自身具有较高安全防护能力,能够保护内部存储的密钥和信息数据不被非法读取和篡改,可作为密码板卡的主控芯片。
(3)密码卡
密码卡是以安全芯片和算法芯片为基础,可以提供密码算法的硬件密码设备。密码卡一般具有数据加密/解密处理功能,并提供身份认证、数字签名/验签和数据完整性验证等功能,具备密钥管理和设备管理功能,能够提供安全有效的密钥保护措施。
2、数据加密类产品
数据加解密类产品主要是指提供数据加解密功能的产品,如服务器密码机、VPN设备、加密硬盘等。
(1)服务器密码机
服务器密码机主要提供数据加解密、数字签名验签及密钥管理等高性能密码服务。服务器密码机通常部署在应用服务器端,能够同时为多个应用服务器提供密码服务,使重要数据的保密性、完整性、真实性得到保障。
服务器密码机作为基础密码产品,既可以为安全公文传输系统、安全电子邮件、电子签章系统等提供高性能的数据加解密服务,又可以作为主机数据安全存储系、身份认证系统,以及对称/非对称密钥管理系统的主要密码设备和核心组件,广泛应用于银行、保险、证券、交通、电子商务、移动通信等行业的安全业务应用系统。
(2)VPN设备
VPN设备为远程访问提供安全接入手段,为网络通信提供保密性、完整性保护,以及数据源的身份鉴别和抗重放攻击等安全功能。常见的VPN设备有IPSec VPN安全网关、SSL VPN安全网关。
(3)加密硬盘
加密硬盘是一种以数据安全存储为目的的大容量存储设备,一般采用密码芯片对数据进行加密保护,数据以密文的形式存储在硬盘上。
同时加密硬盘还带有对用户身份鉴别的功能,该功能可与智能IC卡等身份鉴别产品配合实现。使用加密硬盘可以有效防止因硬盘丢失或被非法持有人访问而带来的数据泄露风险。
3、认证鉴别类产品
认证鉴别类产品主要是指提供身份鉴别等功能的产品,如认证网关、动态口令系统、签名验签服务器等。
(1)认证网关
认证网关主要为网络应用提供基于数字证书的高强度身份鉴别服务,可以有效保护对网络资源的访问安全。认证网关是用户进入应用服务系统前的接入和访问控制设备,通常部署在用户和被保护的服务器之间。
认证网关的外网口与用户网络连接,内网口与被保护服务器相连,由于被保护服务器通过内部网络与认证网关连接,因此,用户与服务器的连接被认证网关隔离,无法直接访问被保护服务器,只有通过网关认证才能获得服务。
(2)动态口令系统
动态口令系统是一种包含动态令牌和动态令牌认证的综合系统,可以为信息系统提供动态口令认证服务。
动态令牌认证系统由认证系统和密钥管理系统组成。动态令牌负责生成动态口令,认证系统负责验证动态口令的正确性,密钥管理系统负责动态令牌的密钥管理,信息系统负责将动态口令按照指定的协议发送至认证系统进行认证。
4、证书管理类产品
证书管理类产品主要是指提供证书产生、分发管理功能的产品,包括证书认证系统等。
(1)数字证书
数字证书也称公钥证书,是由证书认证机构签名的包含公钥者信息、公钥、签发者信息、有效期及扩展信息的一种数据结构。可以按对象分为个人证书、机构证书和设备证书。按用途分为签名证书和加密证书。对数字证书进行管理的系统通常称为“证书认证系统”。
(2)证书认证系统
证书认证系统是对生命周期内的数字证书进行全过程管理的一套软件,包括用户注册管理、证书\证书撤销列表(CRL)的生成与签发、证书\CRL的存储与发布、证书状态的查询及安全管理等。证书认证系统一般包括证书管理中心和用户注册中心。
证书管理中心负责对证书进行管理,如证书\CRL的签发和更新、证书的作废、证书\CRL的查询或下载。用户注册中心负责对用户提供面对面的证书业务服务,如证书申请、身份审核。
5、密钥管理类产品
密钥管理类产品主要是指提供密钥产生、分发、更新、归档和回复等功能的产品,包括密钥管理系统等。
密钥管理类产品通常包括产生密钥的硬件,如密码机、密码卡;以及实现密钥存储、分发、备份、更新、销毁、归档、恢复、查询、统计等服务的软件,如金融IC卡密钥管理系统、数字证书密钥管理系统、社会保障卡密钥管理系统、支付宝服务密钥管理系统等。密钥管理类产品的核心功能是确保密钥的安全性,是各类密码系统的核心。
数字证书密钥管理系统
数字证书密钥管理系统主要由密钥生成、密钥库管理、密钥恢复、密码服务、密钥管理、安全审计、认证管理等功能模块组成。
6、密码防伪类产品
密码防伪类产品主要是指提供密码防伪验证功能的产品,包括电子印章系统、支付密码器、时间戳服务器等。
(1)电子印章系统
电子印章系统通常将传统印章与数字签名技术结合起来,采用组件技术、图像处理技术及密码技术,对电子文件进行数据签章保护。
电子印章系统包括电子印章制作系统与电子印章服务系统。
电子印章制作系统主要用于制作电子印章,印章数据通过离线的方式导入电子印章服务系统。电子印章服务系统主要用于电子印章的盖章、验章。
(2)时间戳服务器
时间戳服务器是一款基于KPI技术的时间戳权威系统,对外提供精确可信的时间戳服务器,可广泛应用于网上交易、电子病历、网上招投标和数字知识产权保护等电子政务和电子商务活动中。
7、综合类
综合类产品是指提供含密码产品功能6类产品中的两种或两种以上的产品,包括自动柜员机(ATM)密码应用系统等。
ATM密码应用系统
ATM密码应用系统用于金融领域,提供账户查询、转账、存\取款、圈存圈提等一系列金融服务。