一、应用密码机概念与分类
应用密码机属于商用密码产品,能够实现数据的加解密功能,保证数据的安全传输。但是商用密码产品具体指什么,并且应用密码机在商用密码产品中属于哪一个类别呢?下面介绍一下商用密码产品的概念与分类。
商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。按形态分为软件、芯片、模块、板卡、整机、系统;按功能分为密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类、综合类;按是否进行通信传输分为通信加密类产品和非通信加密类产品。
密码机是一种在密钥的作用下,实现明-密变换或者密-明变换的装置。密码机是以整机的形式出现,实现数据加解密、签名/验证、密钥管理、随机数生成等功能。在通信加密类产品中,密码机根据工作类型不同分为应用密码机、网络密码机和链路密码机。我们今天给大家介绍一下应用密码机。
目前国内的应用密码机主要呈现三大类分别为通用型的服务器密码机、应用于数字证书认证系统的签名验签服务器、应用于金融行业的金融数据密码机。
密码机本身仅提供最为基础的密码计算和密钥管理功能,不面向具体的业务应用用户,也有一些密码机配备了比较完善的用户管理机制,也可以直接面向用户调用,如服务器密码机。签名验签服务器和金融数据密码机在硬件组成角度来看,与服务器密码机并无区别,主要是针对特定应用场景,在通用型的服务器密码机基础上,进一步封装了特定接口,可供各类应用系统调用,为其提供数据加解密、签名/验证等密码服务。
二、相关标准规范
在密码行业标准中,已发布7项与密码机产品相关的标准,包括3项技术规范和3项配套的检测规范,以及1项与服务器密码机相关的接口规范GM/T 0018-2012《密码设备应用接口规范》,下表为不同类型的应用密码机需要遵循的技术和检测规范。
技术规范 |
检测规范 |
|
服务器密码机 |
GM/T 0030-2014《服务器密码机技术规范》 |
GM/T 0059-2018《服务器密码机检测规范》 |
签名验签服务器 |
GM/T 0029-2014《签名验签服务器技术规范》 |
GM/T 0060-2018《签名验签服务器检测规范》 |
金融数据密码机 |
GM/T 0045-2016《金融数据密码机技术规范》 |
GM/T 0046-2018《金融数据密码机检测规范》 |
2.1 服务器密码机
首先,服务器密码机作为最为基础的密码机产品,主要为应用提供最为基础和底层的密钥管理和密码计算服务,下图为服务器密码机典型软硬件架构。
在硬件组成上,服务器密码机最为常见的是“工控机+PCI/PCI-E 密码卡”的结构。PCI/PCI-E密码卡用于实际的密钥管理和密码计算,集成在工控机上供其调用。在软件组成上,工控机一般运行在经过裁剪的Linux操作系统,并在操作系统上调用PCI/PCI-E 密码卡的密钥管理和密码计算功能,并进一步封装,通过网络等接口对外提供服务,以满足各类应用的需求。下面介绍一下国家标准GM/T 0030-2014《服务器密码机技术规范》。
该标准对于服务器密码机的定义为,能独立或并行为多个应用实体提供密码服务和密钥管理的设备,又称为主机加密服务器。主要功能是算法服务、密钥管理、用户管理、设备管理、审计管理。该标准规定了服务器密码机的功能要求、硬件要求、软件要求、安全性要求及检测要求,保证服务器密码机基本技术规格的一致性。该标准适用于服务器密码机的研制、使用,也可用于指导服务器密码机的检测。
在GM/T 0030-2014《服务器密码机技术规范》中规定了服务器密码机必须至少支持三层密钥体系结构,如下图所示。
其中,管理密钥用于保护服务器密码机中密钥和敏感信息安全的对称密钥,它一般与设备的直接应用无关,而与设备制造商的安全性设计相关。由设备初始化时使用的管理工具产生或安装,存储在服务器密码机内部的安全区域。
用户密钥是用户的身份密钥,包括签名密钥对和加密密钥对。签名密钥由服务器密码机生成或安装,加密密钥由密钥管理系统下发到设备中。
设备密钥是服务器密码机的身份密钥,包括签名密钥对和加密密钥对,用于设备管理,代表服务器密码机的身份。签名密钥在设备初始化时使用管理工具生成或安装,加密密钥由密钥管理系统下发到设备中。
密钥加密密钥是定期更换的对称密钥,用于在预分配密钥的情况下,对会话密钥的保护。由密码设备管理工具生成或安装。
会话密钥是对称密钥,一般直接用于数据的加解密。
服务器密码机的接口采用数字信封的形式、密钥加密密钥加密传输或者密钥协商的方式进行会话密钥的导入和导出。
GM/T 0030-2014《服务器密码机技术规范》规定了服务器密码机应分别提供服务接口和管理接口。对外提供的接口支持目前主流服务器对外的RJ-45以太网接口、串口、光纤通道、USB等硬件接口协议,可以通过TCP/IP网络(100M/1000M/10G)、USB或者其他接口形式与服务器和管理设备连接。
2.2 签名验签服务器
签名验签服务器在软硬件组成上与服务器密码机基本类似。厂商可在GM/T 0018-2012《密码设备应用接口规范》基础上,对服务器密码机进一步封装以满足应用系统对于密码计算和密钥管理的要求。签名验签服务器为应用实体提供基于PKI体系和数字证书的数字签名、验证签名等运算功能。可以保证关键业务信息的真实性、完整性和不可否认性。主要用于数字证书认证系统,但由于其本身提供了基本的签名和验签服务功能,也可用于电子银行、电子商务、电子政务等基于PKI的业务系统,为这类业务系统提供数字证书的管理和验证服务。
该标准规范了签名验签服务器的服务功能,包括无格式和有格式的数字签名服务、无格式和有格式的签名验证服务、数字证书的验证服务等。规范了三种服务下的服务接口,包括函数调用(API调用)方式、消息请求(请求响应)方式和Web方式。该标准规范了签名验签服务器功能要求、安全要求、检测要求等。
2.3 金融数据密码机
金融数据密码机在软硬件组成上与服务器密码机基本类似。主要用于金融领域内的数据安全保护,提供PIN加密、PIN转加密、MAC产生、MAC校验、数据加解密、签名验证以及密钥管理等金融业务相关的功能。也称为主机加密机(HSM)。金融数据密码机除了用于金融行业实际业务外,还提供基本的密码算法服务,为通用业务提供密码计算服务如,电子商务行业数字证书的生成和验证以及动态令牌、时间戳服务器的数字签名生成等。
根据金融行业的业务功能需求方面,描述了金融数据密码必须提供的安全机制、安全服务功能和应用编程接口等技术要求。根据金融领域业务系统的需求,采用基于对称密钥体制的三层密钥体系结构,分为主密钥、次主密钥和数据密钥三层采用“自上而下逐层保护”的分层保护原则,如下图所示。
其中,主密钥是一种密钥加密密钥,保护其下层密钥的安全传输和存储;次主密钥是一种密钥加密密钥,保护数据密钥的安全传输、分发和存储;数据密钥用于保护金融业务数据安全的密钥,直接用于加密或校验各类应用数据,包括PIN密钥和MAC密钥等。
三、应用密码机部署
前面已经介绍了应用密码机的概念以及相关国家标准,但是在实际应用中,应用密码机具体是怎么部署的,部署在网络中的哪个位置呢?下面我们将对应用密码机的部署进行简单介绍。
应用层密码机主要部署在TCP/IP协议模型中的应用层,通过在用户应用层端将信息进行加密后传输,在不同用户进行通信过程中,能够在正常通道中进行安全传输。具体部署如下图所示。
四、总结
本文介绍了应用密码机概念与分类和相关的国家标准规范,介绍了应用层密码机的部署方式,应用密码机能够实现对数据的加解密功能,保证数据的安全传输。
声明:本文来自商密知识,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。