高速通用密码卡之西电捷通综合性测试分析



西电捷通安全测试研究

摘要：密码及其安全协议技术已成为网络安全和信息安全的重要基础，在商用信息安全领域，过去被大多数核心密码设备所采用的PCI密码卡，由于其规范定义的总线速度最高只有133MB/s，性能随之受限，已无法满足大型企业网络宽带快速发展的趋势，PCI-E高速密码卡的出现解决了这一问题，因其算法处理速度更快，正在逐步替代PCI。本文描述了对西电捷通自主研发的高速通用密码卡的综合性测试过程及其结果。

关键词：PCI-E高速通用密码卡 密码模块  密码算法 国密算法

 

随着计算机通信和网络技术的广泛应用，信息的生产、存储、获取、共享和传播更加方便，但也增加了重要信息泄密的风险，因此，以安全通信、身份鉴别、信息保护为核心内容的信息安全建设已成为各行各业信息系统建设的重点。商用信息安全产品领域大多数核心密码设备采用外部设备互连（Peripheral Component Interconnect，PCI）局部总线为接口的密码卡，PCI规范定义的总线速度最高只有133MB/s，PCI密码卡性能也随之受限，已不能满足大型企业网络宽带快速发展的趋势。面对这样的市场趋势，西电捷通自主研发了PCI－E高速通用密码卡（Hyper Speed UniversalCipher Card，以下简称密码卡），与PCI密码卡相比，算法处理速度更快，签名43000次/秒，验证29000次/秒，SM4算法处理性能可达2.2Gbps，真随机数产生性能80Mbps。对于该高速通用密码卡，我们进行了综合性测试，检验其性能及安全性。

PCI-E高速通用密码卡

高速通用密码卡是西电捷通自主研发的可商用的鉴别、数据加解密处理加速模块，根据其产品介绍，该模块可对大规模、海量级网络用户进行身份鉴别，完成签名和验证运算操作；可对大规模、海量级网络信息进行数据处理，完成数据加解密运算操作；可为无线局域网鉴别与保密基础结构技术（WAPI）、基于三元对等鉴别的有限局域网媒体访问控制安全技术（TLSec）、IP安全可信技术（TISec）或其它安全协议提供密码服务；可为金融、政务、国防等行业提供密码算法处理引擎，通过引用该模块，还有助于提升后台鉴别信息处理服务器处理性能。

为确保网络的安全性，该模块内部自身提供了一套完善的密钥管理机制，包括密钥的生成、更新、备份、恢复、销毁等多项功能。与此同时该模块具有密钥池功能，密钥池中数据采用全密文存储，需通过授权才能访问，最大支持32组密钥对（每组密钥对中各包含1个签名密钥对和1个加密密钥对），为其开展多业务鉴别提供了能力。该模块的核心算法椭圆曲线算法（EllipticCurve Cryptography，ECC）采用全硬件处理，SM4算法采用现场可编程门阵列（Field－Programmable Gate Array，FPGA）逻辑实现，可提高处理效率，保障安全性，并降低对中央处理器的要求。

高速通用密码卡在产品物理组成上主要包括四部分：应用程序、驱动程序、密码卡硬件平台和至少6个智能USBKey。其中应用程序、驱动程序运行于主机或服务器，密码卡硬件平台通过PCI-E插槽插入至主机或服务器，智能USBKey通过USB接口与密码卡进行信息通信，6个USBKey中，5个作为管理员使用，另外1个作为操作员使用。高速通用密码卡产品物理组成如下：

基础密码产品自身的安全性至关重要，密码卡作为密码算法安全产品，要严格按照算法标准实现，才能保障信息传输的准确，保证密码算法的实现和运算结果正确。同样，密码卡也要严格按照国家密码管理局批准的GM/T0018-2012《密码设备应用接口规范》才能