文档介绍：密码服务技术——作用
为密码的有效应用提供技术支持
一般密码服务系统由密码芯片、密码模块、密码机或软件、密码服务接口构成
密码服务系统以独立的形式,提供各种安全服务,并具备完善的安全机制以及规范的编程接口
密码服务技术——要求
安全要求
采用可信计算机
具备设别安全和敏感信息保护机制
关键设备的真实性鉴别
具备完善的密钥管理机制
符合工业标准
提供日志审计及统计服务
支持检测响应系统的统一检测
支持安全管理系统的统一管理
密码服务技术——要求
功能要求
密钥管理服务
数字证书管理服务
数字证书运算:提供证书签发和验证等基本的证书运算服务功能
数据加解密运算
数字签名运算
数字信封
消息摘要和完整性验证
密码服务技术——组成
密码芯片
密码运算单元,通常支持单一或组合的密码运算及密钥输入,具有专有的通信接口协议或口令等安全保护措施,并具备基本的自身防护机制。
密码模块
具备完整安全功能及服务的加密卡、高度集成的安全芯片等,通常集成了密码运算单元、噪声源、密码协议、密钥管理等功能,能够提供一种或多种安全中间件下层密码服务接口接入。通常用于VPN、链路密码机、客户端密码服务设备等各种密码服务设备。
密码服务技术——组成
客户端密码服务设备
提供终端密码服务。具有便携式、功能齐全、成本低等特点,便于大规模使用和移动办公。通常具备通用的密码运算单元、密钥管理、用户证书管理、安全管理等部件,能够支持应用系统客户端的各项安全应用
服务器端密码服务设备
为密钥管理基础设施(KMI)、公开密钥基础设施(PKI)、安全管理设备、安全防护设备等提供性能稳定、功能强大的安全服务设备。具备完善的自身防护、密钥管理、证书管理以及安全管理机制。
密码服务技术——使用
密码服务系统所使用的安全模块和密码设备,均应严格按照国家相关主管部门的有关规定,采用经国家相关部门批准的密码产品
各种密码服务系统提供不同的算法和协议支持,策略库根据国家密码主管部门要求设置,用户可以在策略库的规定范围内,灵活地选择并配置合适的密码算法及其协议。
对关键的密码服务系统,必须采用统一的安全管理策略
密码服务技术——使用
一般地,一个实际的应用系统会涉及以下几个方面的密码应用:
数字证书运算:提供对数字证书的产生、签发和验证运算
密钥加密运算:提供密钥的安全传输和存储的加解密运算
数据传输加密运算:提供数据安全传输加密和解密运算
数据存储:提供数据安全存储的加密和解密运算
数字签名:提供对数据的签名和签名验证等运算
消息摘要与验证:提供对消息进行摘要运算及完整性验证运算
数字信封:提供对数据的数字信封封装和解封装等运算
密码服务技术——密钥的配用与管理
所有的密钥都要遵循严格的配用原则,包括最小特权原则、特权分散原则、最小设备原则、不影响系统正常工作的原则
密钥管理涉及密钥生命周期的全过程,对不同的密钥类型采用不同的管理办法。
密码服务技术——密码服务系统接口
CPI为密码服务相关的应用开发提供标准化的安全接口平台,根据不同密码载体,其提供形式多种多样。
CPI主要以标准C/C++/C#提供
一、商用密码的涵义
商用密码是指对不涉及国家秘密的信息进行加密保护或者安全认证所使用的密码技术和密码产品,是为确保商用信息安全而使用的一种技术措施。
商用密码概述