SJJ1601云密码机技术白皮书-201711
金融数据密码机(SJJ1309-A)白皮书
3.6 3.7 第4章 4.1
4.2
第5章 5.1 5.2 5.3 5.4 5.5 5.6 5.7 第6章 6.1 6.2 6.3 第7章 第8章
3.4.3 终端主密钥 TMK(Terminal Master Key) ..................................................... 16 3.4.4 数据密钥 ......................................................................................................... 16 3.4.5 SM2 密钥 ........................................................................................................ 17 密钥管理体制 ............................................................................................................. 17 3.5.1 本地密钥管理 ................................................................................................. 17 3.5.2 本地网络中的密钥管理 ................................................................................. 18 3.5.3 共享网络中的密钥管理 ................................................................................. 18 密钥的存储安全 ......................................................................................................... 19 密钥销毁..................................................................................................................... 20 设备安全和管理方案 ................................................................................................. 22 物理性安全设计 ......................................................................................................... 22 4.1.1 抗干扰设计 ..................................................................................................... 22 4.1.2 元器件安全 ..................................................................................................... 22 4.1.3 密钥存储部件安全 ......................................................................................... 22 4.1.4 密钥自毁装置 ................................................................................................. 23 4.1.5 通信端口安全 ................................................................................................. 23 4.1.6 机仓安全 ......................................................................................................... 24 管理安全性设计 ......................................................................................................... 24 4.2.1 密码机的工作状态 ......................................................................................... 24 4.2.2 密码机的授权方式 ......................................................................................... 24 4.2.3 应用流程 ......................................................................................................... 24 产品关键技术及创新点 ............................................................................................. 26 高集成度..................................................................................................................... 26 安全的密钥存储技术 ................................................................................................. 26 定制的 Linux 操作系统 ............................................................................................. 27 SM2 算法的软件快速实现技术 ................................................................................ 27 冗余电源配置 ............................................................................................................. 27 高效的任务调度技术 ................................................................................................. 28 高效能绿色环保设计 ................................................................................................. 28 应用领域和典型案例 ................................................................................................. 29 应用领域..................................................................................................................... 29 典型应用方案 ............................................................................................................. 30 密码机在系统中的连接 ............................................................................................. 31 技术支持..................................................................................................................... 32 密码机生产厂家简介 ................................................................................................. 32
吉大正元服务器密码机-技术白皮书
吉大正元服务器密码机-技术白皮书1.产品简介吉大正元SJY76密码机能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算,可以满足应用系统数据的签名/验证、加密/解密的要求,保证传输信息的机密性、完整性和有效性,同时提供安全、完善的密钥管理机制。
密码应用系统通过调用密码机提供的标准API函数来使用密码机的服务,密码机API与密码机之间的调用过程对上层应用透明,应用开发商能够快速的使用密码机所提供的安全功能。
密码机API接口符合《公钥密码基础设施应用技术体系密码设备应用接口规范(试行)》标准接口规范,通用性好,能够平滑接入各种系统平台,满足大多数应用系统的要求,在应用系统安全方面具有广泛的应用前景。
2.功能描述⏹密钥生成与管理:可以生成1024/2048/3072/4096位RSA密钥对,采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。
⏹密钥的安全存储:设备内可存储50对RSA密钥对(包括签名密钥对和加密密钥对),并且私钥部分受设备保护密钥的加密保护。
⏹数据加密和解密:支持SSF33算法、SM1算法的ECB和CBC模式的数据加密和解密运算。
⏹消息鉴别码的产生和验证:支持基于SSF33算法、SM1算法的MAC产生及验证。
⏹数据摘要的产生和验证:支持SHA-1、SHA224、SHA256、SHA384、SHA512等杂凑算法。
⏹数字签名的产生和验证:可以根据需要利用内部存储的RSA密钥对或外部导入RSA私钥对请求数据进行数字签名。
⏹数字信封功能:支持基于RSA密码算法的数字信封功能,并支持由内部密钥保护到外部密钥保护的数字信封转换功能。
⏹物理随机数的产生:采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。
⏹用户访问权限控制:具有用户管理功能,提高了密码设备自身的安全性。
⏹密钥备份及恢复:支持基于主密钥保护下的密钥的备份和恢复功能,保证了安全应用系统的安全性和可靠性。
密码机白皮书
SJW-22网络密码机技术白皮书上海华堂网络有限公司上海市外高桥保税区网络发展有限公司目录1、概述 (3)2、SJW22产品介绍 (5)2.1、SJW22的适用范围 (5)2.2、SJW22的主要功能 (5)2.3、SJW22的安全机制 (7)2.4、SJW22的主要特点 (10)3、SJW22的主要技术指标 (12)3.1产品类型 (12)3.2系统组成 (12)3.3硬件配置 (12)3.4电气性能 (12)3.5 执行标准 (13)3.6参考的安全规范及标准 (13)3.7支持网络传输协议 (13)3.8 主要性能指标 (13)4、典型配置方案 (14)5、VPN关键技术简介 (16)5.1、隧道技术 (16)5.2、数据加密技术 (21)1、概述随着现代网络技术的迅猛发展,网络互联已经成为一种不可阻挡的潮流。
目前广泛分布的各种内部网络都由公共网络互联起来,借助于互联网这一工具完成信息的传递以及信息的共享,但这种互联方式极易受到外界的攻击,导致对内部网络的非法访问和信息泄露。
如何保证用户的信息在公共网络上安全的传递,不被怀有恶意的人加以窃听、破坏,是目前安全界面临的一个重要的课题和发展方向。
网络密码机是基于VPN技术而实现的一种网络安全设备。
VPN,英文全称是Virtual Private Network,中文名称一般称为虚拟专用网或虚拟私有网。
它指的是以公用开放的网络(如Internet)作为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。
网络密码机采用专用硬件来加密和保护局域网数据在公共网络上传输的安全,因此具有极高的安全强度和网络性能。
上海市外高桥保税区网络发展有限公司是我国最早专业从事因特网(Internet)及计算机通信网络信息安全研究、产品开发与安全服务的高科技企业之一。
山东渔翁信息服务器密码机系列产品技术白皮书
渔翁信息服务器密码机系列产品1.产品概述渔翁服务器密码机系列产品是山东渔翁信息技术股份有限公司独立自主研发的高速服务器密码设备,遵循国家密码管理局关于服务器密码机的相关技术规范,通过国家密码管理局鉴定,产品型号SJJ1115-A/B。
产品全面支持SM1/SM6、SM2、SM3、SM4国密算法,及DES、3DES、AES、RSA、SHA1、SHA256、SHA512等国际算法,为各类业务系统提供高速、稳定、可靠的密码服务,满足各类应用对非对称/对称数据加解密运算、完整性校验、真随机数生成、密钥生成和管理等功能的要求,确保用户数据的机密性、真实性、完整性和抗抵赖性。
产品支持Windows、Linux、AIX、FreeBSD等主流操作系统,提供符合《密码设备应用接口规范》要求的国家标准接口和国际通用标准接口,已广泛应用于政府、金融、证券、保险、医疗、海关等电子政务、电子商务领域,符合《信息系统安全等级保护基本要求》三级及以上信息系统相关技术要求,市场前景广阔。
2.产品功能3.产品特点⏹遵循国家密码管理局相关政策要求采用硬件算法模块,严格按照国家服务器密码机相关规范设计。
密钥使用经国家密码管理局批准的真随机数发生器产生,并以密文的方式存放在服务器密码机内部,确保设备自身的数据安全。
⏹支持国密全系列密码算法支持密钥长度256位的国密SM2椭圆曲线密码算法,支持国密SM1、SM4和SM6对称密码算法,支持国密SM3杂凑算法。
⏹支持主流的操作系统支持Windows、Linux、AIX、Solaris、FreeBSD等主流操作系统。
⏹ 支持灵活多样的开发接口支持国标接口,支持微软CSP 、PKCS#11、JCE 等国际标准开发接口,同时可根据用户需求定制接口。
⏹ 安全易操作的管理方式支持B/S 模式管理,提供友好的管理界面。
操作人员通过智能密码钥匙实现身份认证,操作终端与加密机之间建立SSL 安全通道,保证设备管理操作的机密性、真实性和不可否认性。
密码机研究报告
密码机研究报告密码机是一种用于加密和解密信息的设备。
它可以将明文转换为密文,以保护信息的安全性。
密码机的研究对于信息安全非常重要,下面是一份密码机研究报告。
首先,我们对密码机的基本原理进行了研究。
我们了解到,密码机使用密钥来加密和解密数据。
它通过将明文与密钥进行运算,产生密文。
只有使用相同的密钥才能将密文转换回明文。
密码机使用复杂的算法来处理数据,以增加破解的难度。
其次,我们进行了密码机的实验研究。
我们使用了一台商用密码机,并对其进行了各种测试。
我们测试了密码机的加密速度、密钥长度和算法的强度等方面。
实验结果表明,密码机具有较高的加密速度和较高的算法强度。
密码机可以在短时间内完成大量的加密工作,并且它的算法非常难以破解。
我们还对密码机的应用进行了调研。
密码机广泛应用于军事、金融和通信等领域。
它可以用于保护机密文件、网络通信和银行交易等重要信息。
密码机的应用可以有效地防止黑客攻击和数据泄露。
在现代社会中,密码机已成为不可或缺的信息安全工具。
最后,我们对密码机的发展趋势进行了分析。
随着计算机技术的进步,密码机的功能和性能将不断提高。
新的密码算法和密钥管理技术将会出现,以应对日益复杂的安全威胁。
同时,密码机将成为互联网安全的重要组成部分,为大规模的网络通信提供安全保障。
总结起来,密码机是一种用于加密和解密信息的设备,它在信息安全领域起着重要作用。
密码机的研究不仅可以提高我们对密码学的理解,还可以推动信息安全技术的发展。
未来,密码机将继续发展,并为我们的信息安全提供更强大的保护。
东进SJJ1617加密机概述
东进金融数据密码机SJJ1617概述21. 金融数据密码机简述1.1. 产品概述东进金融数据密码机(SJJ1617)是经过国密局认证、符合《GM/T 0045-2016金融数据密码机技术规范》、具有物理安全保护措施的金融数据硬件加密设备。
SJJ1617支持SM2、SM3、SM4国密算法,并兼容国际算法,广泛应用于金融、社保等领域。
金融数据密码机功能包括:密钥管理:密钥的生成、存储、分发、使用、备份、销毁;数据加密:支持对称算法(SM4/DES/AES )和非对称算法(SM2/RSA )的数据加解密;随机数生成:支持硬件噪声源随机数生成;PIN 加解密:支持产生随机PIN 、PIN 块加密和验证; 签名验签:支持SM2/RSA 签名验签;数据MAC 计算:支持PBOC 规范定义的MAC 产生和验证; 交易认证:支持PBOC 规范定义的ARQC 产生和验证。
1.2. 外形结构图1-1 实物图1.3. 物理及电气指标2. 环境搭建东进金融数据密码机业务应用和管理采用不同的网络端口,典型的应用与管理组网图如下图所示。
硬件环境:东进金融数据密码机一台;PC机一台(设备管理客户端,安装密码机客户端管理工具)服务器一台(系统应用主机,运行业务服务);USB转串口线(密码机初始IP配置可通过串口连接完成)配置管理客户端:操作系统:Windows XP、Windows7、Windows2008、win10软件:密码机管理工具DJHSM.exe网络环境:100M/1000M局域网3. 密钥体系金融数据密码机采用三层密钥结构,如下图所示:图1-3金融数据密码机密钥结构在分层密钥保护体系中,位于最上层的是密码机设备主密钥DMK。
DMK由多个成分卡合成,再分散成50组本地主密钥LMK,用来保护不同的密钥。
位于第二层的传输主密钥TMK和ZMK主要用来对应用数据密钥的保护传输。
其中TMK用于终端安全网络中,ZMK用于区域安全网络中。
VPN密码机-VPN安全网关系统解决方案
VPN密码机-VPN安全网关系统解决方案目录VPN/密码机•产品简介•功能特点•技术优势•典型应用•用户价值产品简介产品简介天清汉马VPN安全网关系统产品是启明星辰集团依靠雄厚的技术优势,依靠多年信息安全产品研发的积累,严格遵照国家有关主管部门的设计规范要求,具有完全自主知识产权的SSL/IPSec 二合一VPN安全网关系统,为用户提供安全的传输链路加密服务。
功能特点•自主可控:产品严格遵照GM/T 0022-2014 《IPSec VPN技术规范》和 GM/T 0024-2014 《SSLVPN技术规范》进行设计。
产品支持国家商用密码算法SM1-SM4,产品具备国家商用密码产品型号证书。
•集中管理:集中管理系统可以对大规模部署的VPN项目进行统一的策略下发、状态监控、批量升级、审计告警、和报表审计等。
•行为审计:VPN可以对访用户登录、退出信息,以及访问的站点等情况进行详细记录,并可汇总到集中管理系统,进行追溯。
•终端安全检查:VPN在终端接入前可以对终端的操作系统补丁、系统进程、注册表等进行检查,并可以退出时指定清楚cookie和表单历史记录等。
•多种接入方式:启明星辰VPN可以同时实现Windows、MAC、Linux、Android、iOS等操作系统的接入,并可以通过应用虚拟化方式实现跨平台的快速接入,保证用户随时随地,随心随行快速接入企业内网处理业务。
•多因素认证:产品支持静态口令、UKEY证书、动态令牌、短信、RADIUS、LDAP、AD等多种认证方式,并可进行多种认证方式的组合,同时可以实现对指定账号和硬件设备的特征绑定,从而实现安全接入。
•IPSEC VPN:可以提供端到站和站到站的的网络层加密,实现与内网访问一样的用户体验。
同时通过启明星辰的动态多点VPN技术可以实现IPSEC的大规模高效组网。
•SSL VPN:提供端到站的应用层链路加密,无需安装任何客户端插件,同时具备URL级别的访问控制,做到权限最小化,实现对指定web应用的快速安全防护。
工业级网络密码机(网关VPN)
工业级网络密码机(网关VPN)工业级网络密码机(网关VPN)是一种专门为工业企业设计的虚拟私人网络(VPN)解决方案。
它保护了工业控制系统(ICS)和自动化系统(AS)中的敏感数据免受黑客攻击和数据泄露的风险。
本文将重点介绍工业级网络密码机的定义、功能、优势以及如何选择最适合的网络密码机。
定义工业级网络密码机(网关VPN)是一种硬件和软件组合,用于在Internet和工业控制系统(ICS)和自动化系统(AS)之间建立可靠的加密隧道。
它使用公共网络作为传输媒介,加密控制系统中敏感数据的通信内容,以确保数据的完整性、保密性和可用性。
功能加密通信网关VPN利用强大的加密技术(如AES、SHA和RSA等)加密数据,从而使黑客无法访问和更改敏感数据。
它使用加密通道在Internet上安全地传输数据,从而确保数据的保密性和保护企业免受企业数据泄露风险。
身份验证网关VPN需要用户在访问控制系统之前进行身份验证,以防止外部未经授权的访问。
身份验证可以通过各种形式进行,例如用户名和密码、数字证书、智能卡等,以确保用户是授权访问敏感数据的企业员工。
有限权限工业级网络密码机可以配置成只允许特定的用户或设备访问敏感数据。
这种授权的访问控制可以确保数据的保密性和完整性。
管理员可以将敏感设备配置为仅允许特定的IP地址访问,以避免黑客攻击或恶意软件的侵入。
远程访问工业级网络密码机还可用于远程访问。
这种类型的VPN可以使用户安全地从远程地点访问控制系统,而不需要物理接近ICS或AS环境。
此功能允许企业员工从任何地方远程访问或管理系统,从而提高了生产力和效率。
安全性工业级网络密码机提供比传统VPN更高的安全性。
它使用强大的加密技术保护敏感数据的通信内容,防止外部未经授权的访问,并限制了特定用户和设备的访问权限。
灵活性工业级网络密码机灵活可配置,以适应各种不同的环境需求。
管理员可以根据企业网络的需求进行配置,并可以在授权用户之间共享特定设备的访问权限。
SJJ1601云密码机技术白皮书-201711
S J J1601云密码机技术白皮书V2.5北京三未信安科技发展有限公司2017年11月版权声明欢迎使用三未信安密码产品Copyright (c) 2017 sansec版权所有本文档由北京三未信安科技发展有限公司编写,仅用于用户和合作伙伴参阅。
本公司依中华人民共和国著作权法,享有及保留一切著作之专属权力,任何公司和个人未经北京三未信安科技发展有限公司事先书面同意,不得擅自使用、复制、修改、仿制、传播本文档的内容。
本文档的内容将做不定期性的变动,且不会另行通知。
更改的内容将不会补充到本文档,且会在发行新版本时予以更新。
本公司不做任何明示或默许担保,其中包括本文档的内容的适售性或符合特定使用目的的默许担保。
北京三未信安科技发展有限公司2017 年11 月目录版权声明 (1)1概述 (4)2产品特性 (5)2.1产品特点 (5)2.2产品优势 (5)3产品功能 (6)3.1产品架构 (6)3.2主要功能 (6)4技术参数 (8)4.1硬件指标 (8)4.2性能指标 (9)5依据标准 (10)6产品资质 (11)7典型应用 (11)7.1典型部署 (11)7.2云端数据保护应用 (13)7.3云端身份认证应用 (14)7.4云端金融应用 (15)7.5SSL通信加速及密钥保护应用 (16)附录A 公司简介 (17)附录B 联系方式 (18)北京总部 (18)上海分公司 (18)济南研发中心 (18)1概述随着云计算技术的普及与发展,越来越多的传统应用开始向云端迁移,借助云计算特有的高可靠性、高伸缩性,实现数据集中管理及高效的资源利用,可有效降低应用系统维护成本,为用户提供更优质的服务。
但是,云端迁移同样也带来许多问题,信息安全问题尤其突出。
当前,许多传统应用系统已通过集成密码机、签名服务器等硬件密码设备,为业务应用提供信息安全保障。
当这些传统的密码设备随着应用系统向云端迁移时,会产生一系列问题,这些问题有来自于应用提供商的,也有来自于云服务提供商的。
服务器器密码机投标技术标准
服务器器密码机投标技术标准
服务器密码机投标技术标准应包括以下几个方面:
1. 符合国家密码管理政策和相关法规,采用国家密码管理局认可的密码算法和安全协议,如SM1、SM2、SM3、SM4、SM9和ZUC算法等。
2. 服务器密码机应符合相关国家和行业标准,如GM/T 《服务器密码机技术规范》和GM/T 《密码设备应用接口规范》等。
3. 服务器密码机应具有良好的可靠性、稳定性和安全性,能够抵御各种网络攻击和恶意行为,保证数据传输和存储的安全性。
4. 服务器密码机应支持多种数据加密算法和签名算法,能够满足不同业务场景的需求。
5. 服务器密码机应具有良好的可扩展性和可维护性,能够根据业务需求进行升级和扩展,同时提供方便的维护和管理功能。
6. 服务器密码机应具有良好的兼容性和互操作性,能够与其他主流密码设备和信息系统进行无缝集成和交互。
7. 服务器密码机的技术参数和性能指标应符合相关标准和用户需求,并进行严格的测试和验证。
以上是服务器密码机投标技术标准的一些主要方面,具体的标准和要求可能因不同地区、不同行业和不同用户而有所不同。
东进SJJ1617加密机简要管理手册
东进金融数据密码机SJJ1617简要管理手册目录1.密码机与管理终端的连接 (3)2.启动管理工具DJHSM.exe (3)3.管理权限与角色 (5)4.原始初始化 (5)4.1.注入设备主密钥DMK (5)4.2.制作开机卡 (7)5.对称密钥管理 (10)5.1.产生随机密钥 (10)5.2.成份合成密钥 (11)5.3.删除密钥 (12)5.4.删除所有密钥 (12)5.5.导出密钥列表信息 (13)5.6. ZMK保护导出密钥 (13)5.7. ZMK保护导入密钥 (14)6.非对称密钥管理 (14)6.1.产生随机密钥 (15)6.2. 2. 删除密钥 (16)6.3. 3. 删除所有密钥 (16)6.4. 4. 导出密钥列表信息 (16)东进金融数据密码机(SJJ1617)是经过国密局认证、符合《GM/T 0045-2016金融数据密码机技术规范》、具有物理安全保护措施的金融数据硬件加密设备。
SJJ1617支持SM2、SM3、SM4国密算法,并兼容国际算法,广泛应用于金融、社保等领域。
1. 密码机与管理终端的连接东进金融数据密码机(SJJ1617)的业务应用和管理采用不同的网络端口,分别是LAN1和LAN2,分别连接业务应用系统和管理终端,如下图所示。
网络端口描述如下表所示:东进金融数据密码机(SJJ1617)通过LAN2口连接管理终端,实现对密码机的维护管理。
东进金融数据密码机(SJJ1617)支持通过串口连接管理终端,利用USB转串口线,将金融数据密码机管理串口COM2连接至管理终端的USB接口上。
2. 启动管理工具DJHSM.exe东进金融数据密码机(SJJ1617)提供专用的设备管理客户端软件,基于windowsOS,运行管理终端上,完成对密码机的维护管理功能。
客户端管理工具的主界面如下:管理功能菜单栏操作显示界面状态栏1,密码机客户端软件的管理功能包括:⏹登录:串口连接、TCP连接、断开连接、修改登录口令;⏹超级管理:设备主密钥的导入(原始初始化)和恢复操作、测试主密钥的导入(出厂初始化)、获取DMK校验值、导出设备主密钥DMK成份;用户管理(用户的添加、删除和重置登录口令);应用密钥的备份及恢复操作;⏹密钥管理:对称密钥和非对称密钥的管理(包括密钥的产生,删除等功能);⏹配置设备:包括可信客户端的添加删除操作、主机端口设置、管理端口设置、打印端口设置、设备时间设置;配置信息的导出到IC卡和从IC卡导入到加密机中;⏹IC卡管理:IC卡的格式化、修改IC卡口令、获取IC卡信息;⏹日志管理:日志的配置、导出日志、查看日志和清除日志;⏹设备状态:设备连接信息、设备自检和设备基本信息;⏹系统维护:超级维护和加密机服务升级;2,操作显示界面:显示管理客户端上的所有操作过程和响应结果信息;3,状态栏:主要显示操作者的身份(例如:超级管理员或者管理员)、加密机的主机服务状态(例如:无主密钥或者工作状态等);管理工具所有的操作都会记录在日志中,日志文件的路径在DJHSM.exe同级目录下log/ DJHSM_Log_time.txt,若是直接执行光盘上的DJHSM.exe,则不记录日志文件。
SJL05金融数据加密机技术白皮书(new)
SJL05金融数据加密机技术白皮书Westone Host Security Module Serial White Paper Version 4.0成都卫士通信息产业股份有限公司Chengdu Westone Information Industry Inc.目录1 技术背景 (1)2 产品概述 (1)2.1 产品简介 (1)2.2 产品功能 (2)2.3 技术指标 (3)2.3.1 密码体制 (3)2.3.2 工作方式 (3)2.3.3 接口协议 (3)2.3.4 稳定性指标 (4)2.3.5 处理能力 (4)2.3.6 工作环境 (4)3 技术特点 (5)3.1 安全性 (5)3.2 兼容性 (5)3.3 标准性 (5)3.4 成熟性 (6)3.5 稳定性 (6)4 典型应用 (6)4.1 在有中心模式中的应用 (6)4.2 在无中心模式中的应用 (8)4.3 在大集中系统中的应用 (9)4.4 在手机移动银行中的应用 (9)4.5 替换RACAL加密机 (10)4.6 与VISA、MASTER互连 (10)4.7 其它应用 (10)5 成功案例 (11)1背景随着社会信息化的发展,我国银行界的电子化工程正在经历着结构,职能和性质的转化和飞跃,柜台业务电子化和清算业务网络化已初具规模,在与国际金融接轨方面和在加速资金周转和提高资金利用效率方面,都发挥了巨大的作用。
其中,电子资金传送系统(EFT)更是国内外金融界研究的热门课题,也是全面实现金融电子化及“金卡”工程的关键技术。
EFT要解决的关键问题就是金融系统的安全。
以往银行在这方面几乎都是采取用软件加密的方式,但其加密程度低,稳定性差,极易受到攻击。
而且EFT和电子联行,直接涉及到巨额资金的传送,其风险性也是相当大的,巨额资金的诱惑更增大了被攻击的风险。
因此,研制适合我国国情的金融数据加密机已迫在眉睫。
1994年信息产业部电子第三十研究所在上海信用卡网络公司的大力协助下,研制出了国内唯一专用于金卡工程的SJL05金融数据加密机,主要适用于银行卡跨行支付交易的保密的ATM联网信息系统,构成金融卡实时消费转帐和销售点信息管理的保密POS联网信息加密系统,金融IC卡消费转账系统、社保卡安全系统、公交卡安全系统等。
信息安全中的服务器密码机
信息安全中的服务器密码机信息安全中的服务器密码机1、简介1.1 定义和作用服务器密码机是一种用于保护服务器及其相关资源的安全设备,其主要功能是提供身份验证、加密通信和访问控制等安全功能。
1.2 目标本文档的目标是介绍服务器密码机的原理、配置和管理方法,以及相关的最佳实践,以帮助管理员保护服务器和相关资源的安全性。
2、原理2.1 加密算法2.2 身份验证2.3 密钥管理2.4 安全通信2.5 访问控制3、配置3.1 硬件设备要求3.2 软件要求3.3 安装和初始化3.4 配置参数说明3.4.1 IP地质和端口配置 3.4.2 认证方式配置3.4.3 密钥管理配置3.4.4 安全通信配置3.4.5 访问控制配置4、管理4.1 用户管理4.1.1 用户身份验证配置 4.1.2 用户权限管理4.2 密钥管理4.2.1 密钥和分发4.2.2 密钥备份和恢复4.3 安全漏洞和事件管理4.3.1 安全漏洞扫描4.3.2 安全事件监控和报警 4.4 日志管理4.4.1 日志记录和存储4.4.2 日志分析和审计5、最佳实践5.1 定期备份和更新密钥5.2 加强身份验证措施5.3 定期进行安全漏洞扫描5.4 限制访问权限5.5 定期审查日志和事件记录6、附件本文档涉及的附件包括:- 服务器密码机配置示例文件 - 密钥备份和恢复工具7、法律名词及注释- 《网络安全法》:中华人民共和国网络安全领域的法律法规,旨在保障国家网络空间安全,维护国家安全和社会公共利益。
- 《个人信息保护法》:中华人民共和国个人信息保护领域的法律法规,规定了个人信息的收集、存储和使用等方面的要求。
- 《密码管理规定》:国家密码管理机构制定和发布的密码管理的相关规定,包括密码的、使用和存储等方面的要求。
密码机技术白皮书(最新)
编号:文档密级:版本:保密金融数据密码机SJL06E技术白皮书无锡江南信息安全工程技术中心广州江南科友科技股份有限公司2009年3月目录1. 功能说明 (3)1.1. 基本功能 (3)1.1.1. 用户密码(PIN)加密/转换/验证功能 (3)1.1.2. 数据加密/解密功能 (4)1.1.3. 随机数产生功能 (4)1.1.4. 消息验证码(MAC)产生/验证功能 (4)1.1.5. 卡安全校验功能 (4)1.1.6. 用户个人密码(PIN)信封打印功能 (4)1.1.7. 密钥信封打印功能 (5)1.2. 扩展功能 (5)1.2.1. RSA密钥产生 (5)1.2.2. RSA算法加密/解密功能 (5)1.2.3. 数字签名/验证功能 (5)1.2.4. 数据摘要产生/验证功能 (5)1.2.5. 密钥管理功能 (5)1.2.6. IC卡发卡功能 (6)1.2.7. EMV2000功能支持 (6)1.2.8. 多线程支持及性能扩展 (7)1.3. 安全控制: (7)1.3.1. 加密机操作安全 (7)1.3.2. 主机连接访问安全 (7)1.3.3. 关于授权功能 (7)2. 技术指标 (8)2.1. 硬件指标 (8)2.1.1. 外观 (8)2.1.2. 性能 (8)2.1.3. 通信接口 (8)2.2. 性能指标 (8)2.2.1. 包含的密码算法 (8)2.2.2. 实现的应用 (9)2.2.3. 密钥库容量 (9)2.2.4. 处理能力 (9)3. 支持标准 (10)4. 设备特点 (12)5. 应用说明 (12)5.1. 应用环境 (12)5.2. 适用范围 (13)5.3. 典型应用 (13)概要SJL06系列加密机是有无锡江南信息安全工程技术中心专门针对金融行业的特殊要求设计开发的基于应用的硬件密码设备。
其以保护证金融交易中用户密码(PIN)不被任何人非法获取(保密性)和保证金融信息在交易过程中的完整性为核心,建立了一套完整的安全体系,完全能够满足中国银联以及VISA、MASTER等国际金融组织对金融交易的各种安全要求。
密码机白皮书
SJW-22网络密码机技术白皮书上海华堂网络有限公司上海市外高桥保税区网络发展有限公司目录1、概述 (3)2、SJW22产品介绍 (5)2.1、SJW22的适用范围 (5)2.2、SJW22的主要功能 (5)2.3、SJW22的安全机制 (7)2.4、SJW22的主要特点 (10)3、SJW22的主要技术指标 (12)3.1产品类型 (12)3.2系统组成 (12)3.3硬件配置 (12)3.4电气性能 (12)3.5 执行标准 (13)3.6参考的安全规范及标准 (13)3.7支持网络传输协议 (13)3.8 主要性能指标 (13)4、典型配置方案 (14)5、VPN关键技术简介 (16)5.1、隧道技术 (16)5.2、数据加密技术 (21)1、概述随着现代网络技术的迅猛发展,网络互联已经成为一种不可阻挡的潮流。
目前广泛分布的各种内部网络都由公共网络互联起来,借助于互联网这一工具完成信息的传递以及信息的共享,但这种互联方式极易受到外界的攻击,导致对内部网络的非法访问和信息泄露。
如何保证用户的信息在公共网络上安全的传递,不被怀有恶意的人加以窃听、破坏,是目前安全界面临的一个重要的课题和发展方向。
网络密码机是基于VPN技术而实现的一种网络安全设备。
VPN,英文全称是Virtual Private Network,中文名称一般称为虚拟专用网或虚拟私有网。
它指的是以公用开放的网络(如Internet)作为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。
网络密码机采用专用硬件来加密和保护局域网数据在公共网络上传输的安全,因此具有极高的安全强度和网络性能。
上海市外高桥保税区网络发展有限公司是我国最早专业从事因特网(Internet)及计算机通信网络信息安全研究、产品开发与安全服务的高科技企业之一。
电能计量密码机(增强型)用户操作手册
-1-
2 设备清单
请 检 查 包 装 箱 内 下 列 物 品 是 否 齐 全 ,若 有 缺 件 ,请 与 我 们
联系;
本清单仅提供参考,具体以单页清单为准: 名称
数量
密码机
1台
直通以太网线
2根
交叉以太网线
2根
接地线
1根
电源线箱清单
1张
售后服务指南
1本
光盘
1张
(增强型密码机参数配置手册及使用操作说明)
密 码 机 属 于 敏 感 的 电 子 设 备 ,安 装 和 使 用 前 请 仔 细 阅 读 本 手册,对需要特别注意的地方,手册中将尽量加以提醒。
本手册主要包括以下章节: ☺ 产品清单:介绍了密码机的产品组成。 ☺ 产品介绍:详细介绍密码机的主要功能及性能指标。 ☺ 物理结构和设备安装:介绍密码机的硬件组成,指导用 户完成设备安装工作。 ☺ 参数配置:指导用户如何配置密码机的通讯参数。 ☺ 进入交易状态:指导用户如何进入交易工作状态。 ☺ 在附录中,说明注意事项、常见故障识别等。
密码机具有完善的密钥管理体系,具体包括: (1) 提供由全硬件噪声源产生的随机密钥 (2) 通过 USBKey 注入和备份密钥 (3) 物理锁防撬 (4) 任何时候的人工销毁密钥功能
无锡江南计算技术研究所
2007年4月无锡江南计算技术研究所SJY42证书服务器密码机技术白皮书1 前言 (1)2 主要功能 (1)3 应用环境 (3)4 特点 (4)5 主要技术指标 (4)........................................................................................................................附图1. 示意图1 (3)附图2. 示意图2 (4)附图3. 密钥管理体系 (6)附图4. 安全结构图1 (9)附图5. 安全结构图2 (10) (11) (12) (13)交易及共享信息的机密研制的快速密码运算设多任务并行处理的密码提供基于RSA算法和国家密码管理局批准的对称密码算法的数字信封功能,可用于数据保密传输、密钥分发、密钥加载等。
管理局批准的商密专用HA256等摘要算法,多机集群、自动负载均衡和热备份功能密码机维护管理员通过IC卡登录通过3张密钥存储IC卡的加密备份密钥,保护密钥的安全。
服务器采用10M/100M密码机设置IP地址,可用于各类UNIN系统Solaris)和Windows附图1. 示意图1如部署多台SJY42 证书服务器密码机,可自动构成密码机集群,各个应用服务器调用密码机完成密码运算功能。
可实现多机热备、自动负载均衡等功能。
附图2. 示意图24 特点RSA算法密钥长度位1024位、2048位、4096位 ECC算法密钥长度位192位HASH算法为MD5、SHA1、SHA2565.3 设备工作条件工作环境¾交流电源:220V±10%RSA(2048)密钥产生6秒/对6 SJY42证书服务器密码机密钥管理体系6.1 SJY42密钥管理体系附图3. 密钥管理体系如图,SJY42证书服务器密码机的密钥体系设计为两级密钥结构:•本地主密钥(LMK)•工作密钥:主要包括两类:本地公私钥对和非本地公钥。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
S J J1601云密码机技术白皮书V2.5北京三未信安科技发展有限公司2017年11月版权声明欢迎使用三未信安密码产品Copyright (c) 2017 sansec版权所有本文档由北京三未信安科技发展有限公司编写,仅用于用户和合作伙伴参阅。
本公司依中华人民共和国著作权法,享有及保留一切著作之专属权力,任何公司和个人未经北京三未信安科技发展有限公司事先书面同意,不得擅自使用、复制、修改、仿制、传播本文档的内容。
本文档的内容将做不定期性的变动,且不会另行通知。
更改的内容将不会补充到本文档,且会在发行新版本时予以更新。
本公司不做任何明示或默许担保,其中包括本文档的内容的适售性或符合特定使用目的的默许担保。
北京三未信安科技发展有限公司2017 年11 月目录版权声明 (1)1概述 (4)2产品特性 (5)2.1产品特点 (5)2.2产品优势 (5)3产品功能 (6)3.1产品架构 (6)3.2主要功能 (6)4技术参数 (8)4.1硬件指标 (8)4.2性能指标 (9)5依据标准 (10)6产品资质 (11)7典型应用 (11)7.1典型部署 (11)7.2云端数据保护应用 (13)7.3云端身份认证应用 (14)7.4云端金融应用 (15)7.5SSL通信加速及密钥保护应用 (16)附录A 公司简介 (17)附录B 联系方式 (18)北京总部 (18)上海分公司 (18)济南研发中心 (18)1概述随着云计算技术的普及与发展,越来越多的传统应用开始向云端迁移,借助云计算特有的高可靠性、高伸缩性,实现数据集中管理及高效的资源利用,可有效降低应用系统维护成本,为用户提供更优质的服务。
但是,云端迁移同样也带来许多问题,信息安全问题尤其突出。
当前,许多传统应用系统已通过集成密码机、签名服务器等硬件密码设备,为业务应用提供信息安全保障。
当这些传统的密码设备随着应用系统向云端迁移时,会产生一系列问题,这些问题有来自于应用提供商的,也有来自于云服务提供商的。
来自应用提供商的问题:●密码设备在云端托管,我的密钥是否安全?●我能否进行远程密钥管理?●远程管理是否安全?●能否像云应用扩容一样,方便的实现密码设备扩容?来自云服务提供商的问题:●能否减轻密码设备托管维护的工作量?●能否支持密码设备的远程密钥管理,并将管理权完全交给用户?●能否提供集中的设备管理与监控功能?●能否将密码服务做成云服务模式?作为国内优秀的密码硬件方案提供商,北京三未信安科技发展有限公司为解决云环境下的密码产品应用问题,结合云计算和虚拟化技术,推出贴合需求的新型安全产品——SJJ1601云密码机。
它解决了传统密码机在云环境下部署的一系列问题,采用了密钥管理与设备管理分离的核心理念,实现了云应用环境下网络管理员仅维护设备,用户自行管理密钥的工作模式。
SJJ1601云密码机通过密码机集群与虚拟化技术的结合扩充密码运算能力,将密码运算能力进行细粒度划分,并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全。
SJJ1601云密码机可广泛应用于公有云、私有云、混合云、政务云、金融云等各种云环境,为应用提供商及云服务提供商提供管理安全、密钥安全、业务安全的云密码服务。
SJJ1601云密码机不仅可直接为云应用提供密码服务,还可为其他合作产品(如统一认证服务、云身份认证系统、云密钥管理系统、云密码服务平台、时间戳服务、电子签章服务等)提供基于硬件的虚拟密码模块。
2产品特性SJJ1601云密码机是针对云计算环境的特殊需求,设计开发的硬件密码产品。
主要实现在一台物理实体机上,提供多台虚拟密码机(VSM),每台虚拟密码机均可对主机应用层数据加/解密、消息来源正确性验证、密钥管理等,最大限度的发挥硬件资源性能,为云环境下的计算机网络系统提供安全保密数据通信服务,防止网上的各种欺诈行为发生。
2.1产品特点⏹密码机虚拟化:每台物理密码机可运行多个VSM虚拟密码机,每个VSM可对应用独立提供密码服务,并且各个VSM之间密钥完全隔离。
密码机的虚拟化增加了密码设备资源利用率,将密码服务进行了更细致的划分,可以为应用提供稳定、可靠的密码运算服务。
⏹安全的远程密钥管理:VSM密钥管理由用户自行操作,管理中心及VSM对用户身份采用基于数字证书的强认证机制,满足认证权限的用户才能进行对应的密钥管理操作,同时保证了用户之间管理的隔离。
⏹安全的业务调用:应用主机到VSM之间的业务调用采用加密通道,保护用户应用数据经过中间网络环节时的安全。
⏹贴合云应用环境部署需求:SJJ1601云密码机贴合当前虚拟化与云应用环境部署需求,解决了密钥管理与设备管理权限分离、用户之间管理隔离问题,具备完善的技术手段和安全机制保证用户密钥安全。
2.2产品优势⏹集中设备管理支持:由统一的管理中心进行设备集中管理和监控,管理员随时可掌握设备的工作状态。
与用户密钥管理权限分离,用户也可集中管理自身的密码设备密钥,保证用户密钥的安全性。
⏹多用户/应用支持:通过完善的审核控制和身份认证机制,支持多用户之间的设备及管理隔离,同时仍支持多应用调用。
⏹应用兼容性支持:SJJ1601云密码机支持JCE、PKCS#11、CSP、国密SDF和SAF等多种标准密码应用接口,可兼容传统服务器密码机、金融数据密码机及签名验证服务器产品应用接口,支持传统应用平滑迁移,满足传统应用迁入云环境后对密码服务的需求。
⏹用户密钥托管支持:通过与密钥管理系统对接,可支持安全的用户密钥托管,满足不同的应用需求。
⏹减少密码设备采购与管理成本:SJJ1601云密码机支持密码服务申请的方式为用户提供服务,用户仅需少量服务费用就可以使用VSM提供的各种密码服务;在大量设备需求及应用场景下,减少了设备集成与管理工作,降低了用户对密码设备的管理成本。
3产品功能3.1产品架构SJJ1601云密码机主要由密码机主机、USBKey、管理平台、代理程序及应用接口等组成。
其中密码机主机包括宿主机HSM和虚拟密码机VSM,USBKey是作为管理人员访问用的身份硬件设备,管理平台主要提供给管理人员对HSM和VSM进行管理操作,代理程序和应用接口则提供给应用来调用VSM的密钥存储及密码运算功能。
3.2主要功能3.2.1管理平台功能SJJ1601云密码机主要通过管理平台来进行设备和密钥管理。
管理平台主要管理功能如下:✧设备管理提供多种密码设备类型的集中安全管理。
支持密码设备的增删、启停、配置、分配、分组等操作。
支持密码设备的状态监控,保障业务的连续性。
支持开放设备管理协议和服务接入标准,满足对第三方密码设备的兼容。
✧密钥管理将各密码设备的密钥的产生、存储、更新、销毁等生命周期的各个环节进行集中安全管理,规划建立密钥与设备(组),密钥与业务的关系模型。
✧业务规划为用户提供业务管理视图,建立多用户的“业务—设备(组)—密钥”的关联体系,将密码运算抽象为服务的形式,规避底层设备及密钥访问的复杂性,并提供高效的按需服务和高可用性支撑。
可为用户的业务分析、安全分析积累海量业务数据。
✧安全管理将设备管理与业务管理分开,采用各级管理员基于角色的管理体系,各自具有不交叉的权限,提供证书加USBKey的双因素认证手段,并提供可追溯的审计记录。
提供用户远程管理密码设备的安全方式,提供远程管理的网络级访问控制和隔离,彻底规避运维管理的现场维护工作。
✧安全使用提供多平台,多语言的标准接口,支持配置SSL方式调用密码服务,提高安全可靠性。
同时,使业务系统与加密机不必直接关联,降低开发难度。
✧日志审计管理平台具备完善的日志审计功能,针对人员操作提供带签名的日志记录,方便审计管理。
审计管理员独立于其他人员权限,负责所有人员及设备的日志信息的审计工作。
3.2.2密码服务功能✧密钥生成:可以生成256位SM2密钥对和2048位RSA密钥对。
✧密钥存储:VSM内可存储对称密钥、SM2密钥对和RSA密钥对,并且私钥部分受系统保护密钥的加密保护。
✧数据加密和解密:支持SM1、SM4、SM7、AES、3DES算法的ECB/CBC/CTR/GCM等模式的数据加密和解密运算。
✧消息鉴别码的产生和验证:支持基于各种对称算法的MAC产生及验证。
✧数据摘要的产生和验证:支持SM3、SHA1、SHA256、SHA384、SHA512等杂凑算法。
✧数字签名的产生和验证:可以利用内部存储的RSA/SM2私钥或外部导入RSA/SM2私钥对请求数据进行数字签名或验证。
✧数字信封功能:支持基于RSA/SM2密码算法的数字信封功能,支持PKCS#7标准各种格式的数字信封封装和解封。
✧签名验证格式:支持PKCS#1、PKCS#7、XML等格式的数据签名、签名验证功能,支持文件签名验证功能。
✧证书验证方式:支持CA、CRL、OCSP等方式证书有效性验证。
✧物理随机数的产生:采用由国家密码管理局批准使用的物理噪声源发生器芯片生成随机数。
✧密钥备份及恢复:支持基于主密钥保护下的密钥的备份和恢复功能,保证了安全应用系统的安全性和可靠性✧可支持ATM、POS及银行的其他用途。
✧可支持ANSI和ISO安全标准。
✧可支持PIN的转发和校验。
✧可支持交易完整性校验TAC。
✧可支持SM1/SM4算法与国际金融密码算法的转换。
✧可支持IC卡密钥管理及发卡系统。
✧可支持更换本地主密钥时密文数据的转换功能。
✧可兼容国际信用卡安全应用标准。
✧可支持多种填充标准,如PKCS1,ANSIX9.31,EMV2000等数据填充模式。
4技术参数4.1硬件指标物理特性规格2U液晶屏有外形尺寸(宽x深x高)520x440x 89mm重量14Kg电气特性工作电源220V,50Hz,350W冗余电源功耗280W网络接口RJ-45 10/100/1000Mb x2;光纤网口10Gb*2(可选)工作协议TCP/IP读卡器符合ISO/IEC7816-3协议MTBF大于50000小时环境参数工作温度10℃-50℃非凝结的工作湿度5%-85%存储温度0℃-60℃非凝结的存储湿度5%-95% 4.2性能指标虚拟密码机(VSM)数Y1型32SM2算法性能256位SM2密钥对生成500对/秒256位SM2签名速度1600次/秒256位SM2验证速度1300次/秒256位SM2加密速度350次/秒256位SM2解密速度400次/秒RSA算法性能1024位RSA密钥对生成4对/秒1024位RSA签名速度350次/秒1024位RSA 验证速度1600次/秒2048位RSA密钥对生成1对/秒2048位RSA签名速度80次/秒2048位RSA验证速度800次/秒杂凑算法性能SM3100Mbps 对称算法性能SM1(包长度:16K Byte)8 Mbps SM4(包长度:16K Byte)25 MbpsAES(包长度:16K Byte)25 Mbps 3DES(包长度:16K Byte)12 MbpsSM4 (不同包长度)16 Byte5600Tps 32 Byte5600Tps 256 Byte5600Tps 1024 Byte5600Tps 2048 Byte4800Tps 4096 Byte4000Tps注:以上性能指标的测试环境:1)测试主机:CPU:E5-2670 v3,内存:32G,系统:OpenSuse13.2 64位,测试线程为30个并发。