商用密码企业调研
0:密码法中将密码分为核心密码、普通密码和商用密码。其中核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。而商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
商用密码产品包含:密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类等密码产品,提供基础密码运算、数据加密解密、数字签名验签、身份认证、数字证书生成管理、密钥管理、密码防伪验证等功能。使用密码产品或通过密码技术可以解决身份认证、机密性、完整性、不可否认性(抗抵赖)等安全需求。
密码系统由以下部分组成
消息空间M(又称明文空间):所有可能明文m的集合;
密文空间C:所有可能密文c的集合;
密钥空间K:所有可能密钥k的集合,其中每一密钥k由加密密钥ke和解密密钥kd组成,即k=(ke,kd);
加密算法E:一簇由加密密钥控制的、从M到C的加密变换;
解密算法D: 一簇由解密密钥控制的、从C到M的解密变换。
1:我家在上海市。市内有商用密码企业——格尔软件股份有限公司。
其企业网站为http://www.koal.com/。其旗下的密码产品有:
1、身份安全基础设施
(1)根证书签发系统:采用PKI强身份认证的网络接入认证系统,完备的分权管理以及全面的安全审计,保证系统的安全以及网络攻击的定位。
(2)数字证书签发系统(证书认证系统):基于国家算法标准(SM2,SM3,SM4)开发的证书生命周期管理产品,同时支持RSA、SM2、SM3、SM4等算法,符合国家密码管理局制定的相关规范。
(3)证书注册审核系统:基于国家算法标准(SM2,SM3,SM4)开发的用户生命周期管理产品,同时支持RSA、SM2、SM3、SM4等算法,符合国家密码管理局制定的相关规范。
(4)密钥管理系统:基于国家算法标准(SM2,SM3,SM4)开发的密钥生命周期管理产品,同时支持RSA、SM2、SM3、SM4等算法,符合国家密码管理局制定的相关规范。
(5)证书综合管理系统:基于数字证书认证系统衍生的管理系统,适用于个人证书和物联网设备证书管理与应用于一体的综合性管理服务平台。
(6)可信身份管控平台:为公有云、私有云、混合云等多种应用架构提供身份管理的解决方案,统一管理和鉴别用户、设备、机构等各种实体的身份,按策略对资源进行访问控制,对行为进行跟踪,构建立体的网络信任服务体系。
2、密码服务平台
(1)时间戳服务器:PKI平台体系中的关键组成部分,对外提供精确可信的时间戳服务。
(2)签名验证服务器:高性能签名验证服务器,支持国家商用密码系列算法和国际标准算法。
(3)电子盖章系统:电子签章产品和电子签名技术完整的结合在一起,用来检测文档完整性和验证签章用户身份的安全产品,确保文档防伪造、防篡改、防抵赖,安全可靠。
3、认证与访问控制
(1)SSL应用交付网关:适用于对特大型WEB应用进行HTTPS保护的高性能产品,支持百万级证书用户,10万级以上的并发连接,提供4Gbps的加密带宽,并支持在无外部负载均衡器的情况下自身实现集群。
(2)安全认证网关:一款能够同时适应商用环境和保密环境的SSL VPN产品,自适应国际标准和国家标准、灵活的访问控制系统和证书信息传递功能,满足各类复杂的业务场景,为业务系统提供可靠的安全支撑。
(3)单点登录网关:只需一次用户登录,就能够进入多个业务应用,极大地方便用户操作。格尔单点登录网关能够使企业单位集中管理不同业务应用的用户登录。不论是B/S还是C/S应用、不论是在桌面还是移动端,甚至跨越设备实现单点登录。
(4)特权账号管理系统:一款系统账号安全管理软件(简称PAM),是在客户IT环境中建立特权账号库,统一管理和发现特权账号,集中保护和定期更换账号密码,帮助客户掌握特权账号动态分布,持续跟踪特权账号活动。产品核心功能: 资产账号管理,用户认证授权,特权会话管控,操作审计,应用身份及应用特权管理、取密服务。
(5)API网关:一项API托管的服务,为开发者提供API的创建、维护、发布、监控等整个生命周期的管理。通过API网关,开发者可以封装后端各种服务,以API的形式,提供给各方使用。同时,API网关协助完成API文档管理、API测试和SDK生成等。
4、终端安全与准入控制
(1)局域网接入控制系统:采用PKI强身份认证的网络接入认证系统,完备的分权管理以及全面的安全审计,保证系统的安全以及网络攻击的定位。
(2)终端安全登录与文件保护系统:格尔软件以保护 PC 信息系统为基本目标的一款安全产品。 NDS集中管理系统包括服务端与客户端,适用于对PC安全要求比较高的行业或部门。 NDS 集中管理系统客户端主要用于支持微软智能卡(Smart Card)设备根据证书 信息进行域登录;同时支持基于微软 CSP 证书的硬件加密设备(如 Usb Key 或指纹 设备)登录域或计算机。
5、数据安全及隐私保护
(1)安全电子邮件系统:KMAIL是公司自主研发的安全电子邮件系统,其利用密码技术,对邮件的认证、传输、存储等全环节进行了安全保护,具有国家保密局和国家密码管理局的资质,是安全邮件建设的首选方案’。
(2)网络保险箱:一款实现用户电子文件安全集中存储、备份、归档、交换及共享的文件安全存储类产品;产品功能强大,部署灵活,方便快捷,文件管理操作方便易用,如同对本机文件的操作使用。
(3)网盾保险箱:主要实现PC终端上机密数据的安全存储;产品采用虚拟磁盘技术,用户凭借个人数字证书经过合法认证后方可打开保险箱,打开后以分区盘符的形式给用户使用,否则任何人员都无法得知保险箱内的内容。
(4)USB守护神:主要从安全保密的角度,是对USB存储介质进行安全管理和控制的产品,从技术和管理的角度解决了USB移动存储介质导致的信息外泄和病毒等安全隐患。
(5)打印管控产品:主要从保密监管的角度,全面解决打印机打印输出的安全管理和控制的问题,从打印者身份认证、打印过程的网络传输、打印电子资料的打印审核许可、打印情况审计和统计、打印者的取件安全问题、打印终端输入设备的控制问题等一系列的安全问题得到了全面考虑和综合解决。
(6)格尔安全即时通讯系统(Koal Secure Instant Messenger,简称KSIM):具有“即时通信功能完善、部署使用方便快捷、系统安全可信可控”等特点的一款内网安全应用级产品。
公司竞争力:格尔是中国较早研制和推出公钥基础设施PKI(Public Key Infrastructure)平台的厂商之一,是国内首批商用密码产品定点生产与销售单位之一,是国家保密局批准认定的涉及国家秘密的计算机信息系统集成甲级资质单位,是全国信息安全标准化技术委员会的核心成员单位;公司是国家“863”计划信息安全示范工程金融子项目的责任承担单位,是国家科技支撑计划商用密码基础设施(ECC)项目的牵头单位之一。其自主开发的金融IC卡密钥管理系统在全国密钥管理总中心、发卡机构的密钥管理中心广泛应用。
2:
(1)云上密码服务科技有限公司
云上密码公司自主研发的全鉴®自主可控签名验签服务器,其SM1算法由SSX30-D,SM2和SM3算法由SSX1303芯片,SM4算法由硬件语言实现,随机数由两片WNG-8芯片产生,密码算法实现了国产化。检测环境服务器采用龙芯3B3000处理器,中标麒麟操作系统,实现了操作系统国产化。全鉴自主可控签名验签服务器的研发严格遵循国家密码管理局颁布的该产品遵循GM/T 0018-2012《密码设备应用接口规范》、GM/T 0019-2012《通用密码服务接口规范》、GM/T 0020-2012《证书应用综合服务接口规范》、GM/T 0060-2018《签名验签服务器检测规范》、GM/T 0062-2018《密码产品随机数检测要求》等密码标准。全鉴自主可控签名验签服务器支持SM1、SM2、SM3、SM4算法,提供数据加解密、数字签名等密码安全服务,以保证用户信息的机密性、完整性、不可否认性等密码安全特性,广泛应用于银行、证券、邮政、税务、电信、电子政务、电子商务等领域
(2)三未信安科技股份有限公司
三未信安云密码机SecHSM-Cloud(SJJ1601,又称云加密机)是北京三未信安科技发展有限公司针对云计算环境的特殊场景,设计开发的硬件密码产品。实现一台物理实体密码机,提供多台虚拟密码机(VSM),每台虚拟密码机均可实现对主机应用层数据加/解密、消息来源正确性验证、密钥管理等能力,最大限度的发挥硬件资源性能,为云环境下的应用系统提供安全的数据加密保护服务。密钥算法支持国密算法SM1、SM2、SM3、SM4,国际算法RSA,DES,3DES,AES,SHA-1,SHA256,SHA384,SHA512
(3)北京海泰方圆科技股份有限公司
红莲花国密浏览器不仅通过了国家密码管理局的安全性审查,同时通过了商用密码测评中心对于安全模块的合规性测试,率先拥有国内软件密码模块型号证书 SHM1602,为国产信息化领域提高了自主创新水平、提升了产业能力、改善了网络应用安全环境,为国产密码关键领域提供技术和应用支撑,填补了国密算法改造中缺失的一环,使信创产业链形成安全闭环。经六年的发展,红莲花国密浏览器专心为政企用户专属需求贴心打造各个环节,基于用户不同场景和业务需求,目前红莲花国密浏览器拥有六大产品形态,已经广泛应用于审计署、外交部、工信部、交通部、教育部等部委,江西省委、西藏自治区党委、内蒙古自治区党委、山西省委等地方党政,城市商业银行资金清算中心、兴业银行、福建农信、晋商银行、江南农商、华融湘江银行、东莞农商行等银行金融机构,国家电网等央企广大用户。海泰方圆红莲花国密浏览器V5.0,自主设计了浏览器的安全体系架构,全面支持国密算法、支持信创环境,具备完善的后台支撑服务等能力,完成了多项技术创新、应用模式的创新。多次获得工信部相关产业课题基金的支持,在金融、党政、军工等多个领域获得了广泛的应用。推动了产业的发展。红莲花国密浏览器聚焦政企客户关于应用安全管理、应用兼容、业务安全边界等核心安全诉求,既是客户端信息交互的平台,又能对分散的业务系统进行整合,实现统一兼容、统一入口、统一管理,为政企用户打造一个专用、省心、安全的业务办公环境。
(4)北京天御云安科技有限公司
USB3.0 高速密码模块,基于纯国产化安全处理芯片,集成国家各类密码算法的高性能密码产品;可适配各类密码安全应用系统,具备高速、多任务并行处理的密码计算能力;具有数据加解密、签名验签和敏感数据存储功能。USB3.0 高速密码模块可成为为各类安全产品的配套组件,符合《GMT 0027-2014 智能密码钥匙技术规范》及《GMT 0028-2014 密 码模块安全技术要求》等规范,得到了广泛应用并推广。
(5)中安云科科技发展有限公司
中安云科服务器密码机,支持SM1/SM2/SM3/SM4等国密算法和RSA/DES/3DES/AES和SHA256等国际算法的高性能密码机,是数据加解密类产品的典型代表,主要提供数据加解密、数字签名验证、密钥管理等高性能密码服务。
权限分割:设置管理员和操作员角色,各司其职,保证系统的可靠性。
三层密钥结构:采用“设备保护密钥-用户密钥-会话密钥”的三层密钥体系结构,保证密钥的安全性。
支持标准接口:API接口符合GM/T 0018-2012《密码设备应用接口规范》要求,具有很强的通用性。
支持多种操作系统:密码机对外支持TCP/IP通信连接,可支持多种主流操作系统,如Windows、Linux、Unix等,具有很好的易用性。
支持白名单:通过白名单的设置,实现密码机对应用连接的授权认证,进一步提高系统安全性。
(6)江南信安科技有限公司
金融数据密码机应用于金融体系的专用密码设备,主要用于实现对主机应用层数据加/解密、消息来源正确性验证、密钥管理等,是金融数据安全保护的一种有效物理工具。主要为金卡工程、城市一卡通、银行卡业务、社保卡业务、公交卡业务等提供基于密码技术的保护,尤其对金融系统中跨行交易的ATM/POS联网信息系统提供数据加密与安全保护。它能可靠、安全地保护金融网络中的PIN(个人身份识别号),包括对PIN的加/解密、验证及转发;消息来源正确性验证(MAC)的产生、验证及转发,有效地防止伪卡的诈骗行为。
(7)深圳奥联信息安全技术有限公司
国密SJJ1631系列密码机是基于标识密码技术实现的专用密码运算系列密码机,支持SM2、SM3、SM4、SM9国家标准密码算法和AES、DES、3DES、SHA系列、RSA等国际密码算法的密码运算,可以满足密钥生成管理、数据签名/验签、加密/解密的要求。
(8)飞天诚信科技股份有限公司
智能卡读写系列、FT-JCOS智能卡操作系统系列、创新型有源智能卡、ePass系列USB Key(或USB Token)、动态令牌(OTP Token)
ePass系列USB Key(或USB Token),主要是用作基于公钥体系(PKI)的数字证书和私钥的安全载体,大小如同房间钥匙,形状和市面上的U盘相像,可以穿在钥匙环上随身携带。
RSA 密钥对是在USB Key内生成的,私钥永远不能导出,确保证书持有人的信息安全。同时采用“Key+PIN码”的双因子认证,保证数字证书和私钥的合法使用。所谓“Key+PIN码”的双因子认证是指:必须有USB Key插入计算机,并且同时验证PIN码后才能使用Key里的私钥进行签名。
动态令牌(OTP Token)是一种便携的手持式动态密码计算和产生的电子产品。脱机使用,或与计算机相连。免除静态密码被截取、猜测、攻击和破解的隐患。可根据时间(Time),事件(Event),挑战/应答(Challenge/Response)等因素产生动态密码。
智能卡读写器是连接智能卡和主机的中间设备,其核心技术是在MCU中实现复杂的智能卡接口协议和USB接口协议,以完成智能卡与主机间的透明数据交换。
(9)重庆瀚中科技有限公司
SZD45-A智能密码钥匙:带中央处理器的安全芯片为实现信息安全功能提供了一个硬件平台。安全芯片是具有处理单元、安全组件、I/O接口、易失性和/或非易失性存储器等组成的集成电路。研制目标是开发一种支持下载程序、一卡多用,能对多个应用区进行隔离保护的芯片操作系统。为电子商务,电子金融,电子政务等应用提供具有自主知识产权的安全电子智能钥匙。
3:密码系统由五元组组成。基于在系统中进行加密解密的方式有两种类型的密码系统:对称密钥加密、非对称密钥加密。主要区别是加密和解密密钥之间的关系。一个密码系统的安全性主要受两个因素影响:一个是所使用密码算法本身的保密强度。密码算法的保密强度取决于密码设计水平、破译技术等。可以说一个密码系统所使用密码算法的保密强度是该系统安全性的技术保证。另外一个方面就是密码算法之外的不安全因素。密码算法的保密强度并不等价于密码系统整体的安全性。—个密码系统必须同时完善技术与管理要求,才能保证整个密码系统的安全。
评估密码系统安全性主要有三种方法:
(1)无条件安全性
这种评价方法考虑的是假定攻击者拥有无限的计算资源,但仍然无法破译该密码系统。
(2)计算安全性
这种方法是指使用最好的方法攻破它所需要的计算远远超出攻击者的计算资源水平,则可以定义这个密码体制是安全的。
(3)可证明安全性
这种评估方法存在的问题是它只说明了这个密码方法的安全性与某个困难问题相关,没有完全证明问题本身的安全性,并给出它们的等价性证明。
