无锡江南计算技术研究所

2007年4月
无锡江南计算技术研究所
SJY42证书服务器密码机
技术白皮书
1 前言 (1)
2 主要功能 (1)
3 应用环境 (3)
4 特点 (4)
5 主要技术指标 (4)
....................
....................
....................
....................
....................
....................
附图1. 示意图1 (3)
附图2. 示意图2 (4)
附图3. 密钥管理体系 (6)
附图4. 安全结构图1 (9)
附图5. 安全结构图2 (10)
(11)
(12)
(13)
交易及共享信息的机密
研制的快速密码运算设多任务并行处理的密码
提供基于RSA算法和国家密码管理局批准的对称密码算法的数字信封功能，可用于数据保密传输、密钥分发、密钥加载等。

管理局批准的商密专用
HA256等摘要算法，
多机集群、自动负载均衡和热备份功能
密码机维护管理员通过IC卡登录
通过3张密钥存储IC卡的加密备份密钥，保护密钥的安全。

服务器采用10M/100M
密码机设置IP地址，
可用于各类UNIN系统
Solaris）和Windows
附图1. 示意图1
如部署多台SJY42 证书服务器密码机，可自动构成密码机集群，各个应用服务器调用密码机完成密码运算功能。

可实现多机热备、自动负载均衡等功能。

附图2. 示意图2
4 特点
RSA算法密钥长度位1024位、2048位、4096位 ECC算法密钥长度位192位
HASH算法为MD5、SHA1、SHA256
5.3 设备工作条件
工作环境
¾交流电源：220V±10%
RSA(2048)密钥产生6秒/对
6 SJY42证书服务器密码机密钥管理体系
6.1 SJY42密钥管理体系
附图3. 密钥管理体系
如图，SJY42证书服务器密码机的密钥体系设计为两级密钥结构：
•本地主密钥（LMK）
•工作密钥：主要包括两类：本地公私钥对和非本地公钥。

本地公私钥对由密码机自己产生，非本地公钥可以直接由外部导入到密码机中。

同级密钥的存取可采用索引方式区分。

6.1.1 主密钥
密码机中存储一把主密钥，长度为128bits。

主密钥只能通过管理终端控制，由密码机随机产生。

主密钥只能通过IC卡备份或恢复。

主密钥用于保护公私钥对。

SJY42证书服务器密码机技术白皮书
6.1.2 本地公、私钥
密码机中可存储64对本地公、私钥对，密钥长度512bits－4096bits可选。

本地公私钥对由密码机随机产生后存储于密码机中。

本地公钥可通过管理终端或API接口明文导出。

本地私钥可通过管理终端或API接口由主密钥加密后导出密码机备份。

式导入密码机。

上进行操作，管理程序
以为SUN、IBM等多个厂商提供标准密码服务。

7.4 JAVA接口
支持JAVA接口。

8 应用解决方案
nternet网络进行的文
安全性、完整性提出新
的安全性，保证企业信
）严格按照国际相关标
下面是基于IIS应用系统和密码机的安全结构图：
附图4. 安全结构图1
通过使用密码机的CSP接口组件，可以在以下几个方面优势：
1. IIS的服务器端私钥存放在密码机中，由于密码机密钥明文无法被导
出，从而保证了服务器私钥的安全性；
2. 由于密码机采用了专用的密码算法芯片，因此加/解密速度比一般的服
务器快，且不占用服务器资源，从而提高了整个系统的性能；
3. 由于遵循了微软接口标准，因此无需改造应用系统，只需改变IIS配
置即可。

8.3 基于Apache服务器的应用
企业的应用系统，有许多采用浏览器/服务器的方式，服务器端有比较大部分采用开源的Apache Web Server服务器，这其中典型，如一些J2EE中间件，前端一般架设一台Apache服务器，接收用户Http请求，然后再转发给后台J2EE服务器。

因此，一般应用系统管理员都是在Apache服务器上通过Mod_SSL，实现SSL协议，提供用户证书认证及加密通道的功能。

由于Apache软件所使用的Mod_SSL的组件，采用的是软件进行加/解密操作及产生公私钥，同时私钥在Apache服务器上存储。

这给应用系统安全带来了风险。

平台的方便及易用，许多的应用系统部署在Windows平台的IIS服务器上
使用，通过IIS可以方便的设置SSL协议，实现加密认证功能。

但SSL的服务器密钥一般以文件方式存放在IIS服务器上，这给应用系统带来了风险。

基于以上安全需求，江南所基于SYJ42证书服务器密码机，Apache的Plugins标准，开发了SSL组件，可以支持Apache SSL密钥的生成及SSL加/解密的需要。

从而帮助应用系统安全的管理服务器密钥，并提高应用系统性能。

下面是基于Apache应用系统和密码机的安全结构图：
附图5. 安全结构图2
通过Apache SSL Plugins组件，可以实现以下功能：
1. Apache的服务器端私钥存放在密码机中，由于密码机密钥明文无法
被导出，从而保证了服务器私钥的安全性；
2. 由于密码机采用了专用的密码算法芯片，因此加/解密速度比普通的
PC Server快，且不占用服务器资源，提高了整个系统的性能；
3. 由于遵循了Apache Plugins标准，因此无需改造应用系统，只需加入
SSL协议组件配置即可。

8.4 信息安全传递的安全解决方案
随着信息化建设不断发展，企业内部总部与各分支机构间传递敏感信息的应用越来越多。

为了降低成本，这些信息的传递都是在Internet公共网络上传输，为了保证在公网上传输信息的保密性、完整性，需要对信息进行加密处理。

SYJ42证书服务器密码机提供标准接口，为用户提供加/解密服务。

目前，
SYJ42证书服务器密码机可提供PKCS#11、CSP、PGP等应用接口，用户可以使用Outlook Express或PGP软件发送加密信息，保证信息过程的安全性：下面是信息安全传递的安全解决结构图：
附图6. 信息安全传递结构图
9 典型应用
9.1 在PKI/CA系统中的应用
SJY42 证书服务器密码机在PKI/CA系统中的应用
SJY42证书服务器密码机技术白皮书
附图7. PKI/CA 应用示意图
PKI/CA系统可以有效地解决互联网上交易与信息传输中的机密性、真实性、完整性、不可否认性和存取控制等安全问题，在充分利用互联网实现资源共享的前提下，真正意义上确保交易的顺利进行。

通过采用高性能的SJY42 证书服务器密码机，保证了密码的强度和算法，以及高效地保护了根密钥安全，
从而保证了整个PKI/CA系统的高度安全性。

9.2 在银行中间业务系统中的应用
随着社会的发展，银行为满足客户的需要，除了传统的业务外，拓展出许多的新兴的中间业务，例如：银行代收费业务、银行代付费业务、银证转帐业务、个人消费信贷业务、个人公积金业务、个人医疗保险业务、基金业务、国债业务等。

而且，新兴的中间业务已经成为现代银行三大业务支柱之一，已成为国内各金融机构扩大市场份额、培育新的业务增长点的有效途径。

其中我们以“银行卡” 保费代扣代付业务为例。

附图8. 银行业务应用示意图
为了实现“银行卡”保费代扣代付业务，银行业利用网络信息技术，定期从各大保险公司接收用户保费缴纳数据，然后通过内部帐务系统进行处理，处理完成后再将处理结果返回给各大保险公司，以便确认，给银行用户提供一种新的优质服务。

通过在银行和保险公司采用高性能的SJY42 证书服务器密码机，可以实现银行与保险公司之间保费帐务数据的安全传输。

10 成功案例
上海证券登记公司大连商品交易所……。