智能密码钥匙是渔翁信息技术股份有限公司基于自主知识产权的芯片操作系统(COS),自主研发生产的新一代商用密码智能安全终端。产品采用无驱设计,内置32位高性能安全芯片,具有对称、非对称、Hash和真随机数等多种高速硬件算法引擎,全面支持证书管理、数字签名验证等PKI功能,并集成大容量的安全数据存储空间。
传统的智能密码钥匙需要安装专用驱动,使用繁琐,增加了客户的发行成本。目前市面上已有基于HID协议的无驱型智能密码钥匙,但HID协议的低速特性限制了其不能应用在高速加解密的场合。渔翁智能密码钥匙是一款基于Mass Storage协议的高性能无驱型智能密码钥匙。
1.高性能
智能密码钥匙采用32位高性能安全主控芯片,最高主频可达100MHz,CPU具有强大的运算和控制能力。
SM1密码算法、SM2密码算法、SM3密码算法、SM4密码算法、真随机数生成都是硬件加速引擎实现,加解密性能突出。
USB接口支持USB 2.0高速(480Mbps)模式,而不是普通USB 2.0设备的全速(12Mbps)模式,数据传输不存在性能瓶颈。
2.高安全性
安全芯片操作系统FM_COS(Fisherman Chip Operation System)是渔翁信息自主研发,拥有全部知识产权。FM_COS具有完善的权限管理、密钥管理、算法管理、存储管理等安全机制,具有完善的文件系统,该系统已经通过国家密码管理局的严格测试和专家验收。
智能密码钥匙支持的SM1至SM4密码算法是我国自主产权的国产密码算法,安全强度远高于DES、AES等国际通用密码算法。
真随机数是经认证的物理噪声源芯片产生,提高了各种密钥的质量。
存储区域具有硬件保护机制,密钥不会以明文的形式导出设备之外。
具有双因子认证模式,用户只有同时取得了智能密码钥匙硬件和用户口令,才能完成认证过程。
3.高易用性
智能密码钥匙采用铝合金金属外壳,具有LED指示灯,携带方便。
产品设计采用无驱框架,不需要安装专用的硬件驱动,简化了用户操作。
提供丰富的开发接口,可在多种平台、多种语言环境下调用。
1.数据加密
内置硬件对称算法引擎,支持多种加密算法,算法性能突出、安全强度高,可应用于文件加密、VPN客户端等需要高速数据加解密的场合。
2.签名验证
支持SM2密码算法,支持SM2密钥对的生成并进行签名验证运算。私钥不可导出,确保用户信息不被泄露。
3.Hash运算
智能密码钥匙通过设备的Hash运算功能实现数据完整性校验,支持的算法有SM3。
4.密钥管理
用户经过身份认证后,可对内部密钥进行管理,包括密钥产生、密钥存储、密钥导入、密钥导出、密钥使用、密钥销毁等,密钥导出有严格的权限控制。
5.访问控制
通过分级用户管理实现权限分割,系统包括两种用户:管理员和操作员,管理员具有最高安全等级的管理权限,可以对操作员的口令进行重新设定和解锁。渔翁智能密码钥匙根据安全策略赋予管理员和操作员不同的访问权限,从而实现访问控制。
6.身份鉴别
使用口令验证功能对用户身份进行认证,保证用户身份的合法性。PIN+智能密码钥匙实现了双因子认证。支持内部认证和外部认证功能,确认计算机和智能密码钥匙两者的合法关系。
7.文件系统
具有自主知识产权的嵌入式文件系统。文件系统的功能全面,实现灵活,支持目录和文件的创建、删除、枚举和读写,支持多级目录管理,可设置文件的读写权限。
8.证书管理
提供专用的数字证书操作接口,支持数字证书的读写、枚举、删除,可作为数字证书的安全载体。
9.安全审计
提供日志记录的功能,能有效记录每个用户的行为、系统资源的异常使用和重要系统命令的使用等系统重要安全相关事件,包括用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。这些功能均符合等级保护三级标准中的安全审计部分。
10.通信完整性
提供使用敏感标记检验功能,可验证数据信息的通信完整性。
11.通信保密性
可以对通信中的数据进行加密,实现通信保密性。
12.抗抵赖性
具有签名验证的功能,可以有效防止他人抵赖。
13.软件容错
具有严密的参数检查功能,可以有效地对传入数据进行有效性验证。
智能密码钥匙适用于各种安全设备终端,如密码机、虚拟专用网络设备(VPN)、CA认证系统等,广泛应用于电子政务、网上银行、电子商务、企业ERP等领域,可为用户提供身份认证、电子签章、文件加密、保密通信和移动存储加密等服务。
1.身份认证
身份认证服务是提供其他安全服务的前提和基础。传统的“用户名+口令”认证方式安全性较低,容易泄漏、遗忘或者被暴力破解;而基于生物识别技术的认证方式成本较高,技术上还有待成熟。因此,具有低成本、高安全性、携带使用方便等诸多优点的智能密码钥匙成为理想的身份认证产品。
智能密码钥匙认证是一种“双因子认证”模式。智能密码钥匙具有口令保护,口令和智能密码钥匙硬件构成了用户使用的两个必要因素,用户只有同时取得了智能密码钥匙硬件和用户口令,才能完成认证过程。采用软硬相结合的一次一密强双因子认证模式,智能密码钥匙可实现两种认证框架:挑战-响应认证和PKI数字证书认证。在等级保护三级标准中的主机安全标准中,要求对用户的身份进行鉴别,而这种双因子认证模式能更安全地实现身份鉴别,双因子认证模式,具有不易被冒用的特点。
2.数据加密
实现数据保密是数据安全的首要任务,对数据进行加解密是实现数据保密性的核心手段。数据加密已广泛应用于数据存储、数据处理及数据传输的全过程,如文件加密、保密通信、移动存储加密等。
智能密码钥匙内置32位高性能安全芯片,具有对称、非对称、Hash和真随机数等多种硬件算法引擎,并可保证密钥的安全使用和管理,提供高性能的密码服务。同时,智能密码钥匙支持国家密码管理局审批的算法,安全强度远高于DES、AES等国际通用算法。在应用安全方面,这种数据加密功能满足等级保护三级标准中的应用安全通讯完整性标准。
3.PKI应用
PKI技术是信息安全技术的核心,它是利用公钥理论和技术建立的提供信息安全服务的基础设施。PKI已广泛应用于CA认证中心、虚拟专用网络、安全电子邮件、Web安全、电子签章等领域。
智能密码钥匙具有完善的PKI功能,支持数字证书的存储、管理,支持公私钥的签名验证运算,是PKI方案体系中一款不可或缺的便携、经济、安全的客户端硬件产品。在这些应用领域中,均能体现等级保护三级标准中的通讯完整性、通讯保密性、抗抵赖性的要求。其提供的数字签名服务符合等级保护三级标准中的访问控制要求,完善的PKI功能也是对用户身份的有效标识和鉴别。