商用密码产品认证-智能密码钥匙

已于 2023-10-09 21:32:57 修改
阅读量6.1k 收藏 10
点赞数 3
分类专栏: 商用密码产品认证 智能密码钥匙 文章标签: 商用密码产品认证 商密认证
于 2020-09-13 21:36:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lapedius/article/details/108568614
版权

商用密码产品认证-智能密码钥匙

产品描述

智能密码钥匙是一种具备密码运算、密钥管理能力、可提供密码服务的终端密码设备,其主要作用是存储用户秘密信息(如私钥、数字证书),完成数据加解密、数据完整性校验、数字签名、访问控制等功能。智能密码钥匙一般使用USB接口形态,因此也被称作USB Token或者USB Key。

智能密码钥匙与智能IC卡类似,相似之处在于两者的处理器芯片基本是相同的,业内一般统称为智能卡芯片;智能IC卡领域的大量技术及标准被智能密码钥匙产品所使用;智能IC卡国际标准ISO/IEC 7816-4所定义的APDU指令也同样是智能密码钥匙所广泛使用的指令格式。两者的主要不同之处在于智能IC卡的主要作用是对卡中的文件提供访问控制功能,与读卡器进行交互;智能密码钥匙作为私钥和数字证书的载体,向具体的应用提供密码运算功能。

典型的智能密码钥匙的外形与普通U盘类似,其特征主要包括使用USB接口,内置安全智能芯片;有一定的存储空间,可以存储用户私钥及数字证书等数据;具备密码运算能力,能够完成密钥生成和安全存储、数据加密和数字签名等功能;采用基于身份的用户鉴别机制,通常采用个人识别码(PIN)来实现;配有供其他应用程序调用的软件接口程序及驱动。

为避免智能密码钥匙为伪造的数据生成签名,交互型电子签名在生成电子签名过程中增加了与用户的交互过程。响应的,具备双向交互功能、配有屏幕和操控按键的智能密码钥匙称为第二代智能密码钥匙。第二代智能密码钥匙每次收到指令以后,可以在内部解析指令内容,从待签名数据中提取关键信息,及时显示在屏幕上供用户确认。如果屏幕显示信息与用户真实交易意图不符,说明信息被篡改,用户可以马上取消操作。如果信息无误,用户可以通过内置的确认按键控制操作进一步执行。第二代智能密码钥匙的主机接口除了USB外,也出现了更多形态,如WIFI、蓝牙、音频、lightening、NFC、红外等,这些新型智能密码钥匙的区别主要是使用接口不同,所具备功能类似。

以网上银行交易为例,用户登录网上银行系统,选择需要进行的银行服务;用户确认交易信息后,输入PIN码;PIN码验证正确后,用户将用自己的私钥对交易信息进行签名,并将签名的交易信息、数字证书等发送给网银系统服务器;网银系统服务器利用预置的根CA证书验证用户所发送的数字证书的有效性,同时通过CA验证用户所发送的数字证书是否被撤销,在确定用户证书有效的情况下,利用用户的签名公钥验证用户签名的交易信息;如验证通过,则执行交易,并返回交易成功。
商密认证中遇到问题可站内联系或微信号:symmrz .

相关标准规范

密码行业标准中,已发布4项关于智能密码钥匙产品的标准,包括GM/T 0016-2012《智能密码钥匙应用接口规范》、GM/T 0017-2012《智能密码钥匙密码应用接口数据格式规范》、GM/T 0027-2014《智能密码钥匙技术规范》和GM/T 0048-2016《智能密码钥匙密码检测规范》。
1)GM/T 0016-2012对应的国家标准是GB/T 35291-2017。该标准定义了基于PKI密码体制的智能密码钥匙的应用接口,描述了密码应用接口的函数、数据类型、参数结构和设备安全要求。该标准适用于智能密码钥匙产品的研制、使用和检测,还可为智能密码钥匙生产商提供产品和技术的标准定位机标准化的参考,提高智能密码钥匙产品的安全性、易用性和互操作性。

2)GM/T 0017-2012标准对智能密码钥匙的应用数据接口进行规范,用于指导智能密码钥匙的数据层操作。该标准用于规范智能密码钥匙的APDU报文、接口函数的编码和设备协议等内容,适用于智能密码钥匙产品的研制、使用和检测。

3)GM/T 0027-2014标准定义了智能密码钥匙的相关术语,详细描述了智能密码钥匙的功能要求、硬件要求、软件要求、性能要求、安全要求、环境适应性要求和可靠性要求等有关内容。

4)GM/T 0048-2016标准定义了智能密码钥匙的相关术语,详细描述了智能密码钥匙的检测环境、检测内容和检测方法等有关内容。该标准使用于智能密码钥匙的检测,也可用于指导智能密码钥匙的研制和使用。

应用要点

标准GM/T 0016-2012和GM/T 0017-2012规定了智能密码钥匙的接口要求。智能密码钥匙的产品技术和检测过程分别遵循标准GM/T 0027-2014和GM/T 0048-2016。

1) 应结合产品的应用逻辑结构,理解智能密码钥匙的密钥体系结构。
GM/T 0016-2012对智能密码钥匙的应用逻辑结构进行了描述。智能密码钥匙产品一般基于非对称密码机制,至少支持三种密钥:设备认证密钥、用户密钥、会话密钥。设备认证密钥用于终端管理程序与设备之间的相互鉴别;用户密钥指用于签名验签、加密解密的非对称密钥;会话密钥值临时从外部密文导入或内部生成的对称密钥,使用完毕或设备断电后立即消失。
一个智能密码钥匙设备可存在多个应用,应用之间相互独立。应用由管理员PIN、用户PIN、文件和容器组成,每个应用维护各自的与管理员PIN和用户PIN相关的权限状态。

2) 区分出厂初始化和应用初始化

3) 使用SM系列算法进行密码运算
优先使用SM1、SM2、SM3、SM4、SM9算法。

4) 口令PIN和对称密钥的存储和使用安全
PIN长度不小于6字符,重试次数不大于10次。口令认证和密钥运算时都不能使用明文传输。

5) 在签名前应执行身份鉴别,以保证签名密钥的使用安全
每次执行签名前都对用户进行身份鉴别,每次执行签名操作后立即清除身份鉴别结果,下次执行敏感操作前仍需进行身份鉴别。

Lapedius
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GM∕T 0016-2012 智能密码钥匙密码应用接口规范.pdf
04-01
标准:GM∕T 0016-2012 智能密码钥匙密码应用接口规范.pdf
GMT 0016-2012 智能密码钥匙密码应用接口规范.PDF
05-18
GMT 0016-2012 智能密码钥匙密码应用接口规范.PDF
密码产品篇】智能密码钥匙密钥体系结构(非对称)
蘇小沐的电子数据取证博客
05-19 746
智能密码钥匙一种具备密码运算、密钥管理能力,可提供密码服务的终端密码设备,其主要作用是"存储用户秘密信息(如私钥、数字证书),完成数据加解密、数据完整性校验、数字签名、访问控制等功能"---【蘇小沐】
GM∕T 0016-2012 智能密码钥匙密码应用接口规范
01-01
GM/T 0016-2012的电子文档,扫描版,供大家学习和使用。
商用密码产品认证-密码模块分级检测材料书写范例
10-28
附件提供商用密码产品认证密码模块材料书写范例,按照本模板范例可以顺利通过审查
智能密码钥匙(Ukey)的用途
weixin_43121452的博客
06-21 1603
ukey 是对现行的网络安全体系的一个极为有力的补充,基于可信计算机及智能技术把易用性,便携性和最高级别的安全性带给了使用浏览器进行Web访问(Web应用登录),在线交易(购物,付款),收发电子邮件,在线聊天交友及表单签名,文件数字签名等操作的用户,保证用户在ukey下的操作不可篡改,抵赖。:智能密码钥匙必须至少支持三种密钥:设备认证密钥、用户密钥、会话密钥。这种方式比传统的口令认证更安全,甚至可以不需要用户名就可以登录验证,用户名是可以保存在数字证书信息中的,并且证书的序列号在同个CA中也是唯一的。
【区块链与密码学】第11-07讲:公钥与私钥安全存储
Digquant的博客
06-08 1824
同学们可以关注点宽学园,每周持续更新区块链系列课程,小宽带你进入区块链世界。
什么是智能密码钥匙?Ukey的主要功能? 安当加密
最新发布
www.andang.cn
11-09 674
智能密码钥匙一种终端密码设备,具备密码运算、密钥管理功能,主要用于存储用户秘密信息(如私钥、数字证书),并完成数据加解密、数据完整性校验、数字签名、访问控制等功能。它通常采用USB接口形态。总之,安当Ukey提供多种接口,方便用户进行密码运算、密钥管理、身份认证、数据加解密、证书管理和访问控制等操作,可以有效地保护用户的秘密信息和数据安全。总之,安当Ukey的身份认证功能基于Ukey的密码应用接口和身份认证接口实现,可以有效地保护用户的秘密信息和数据安全,具有安全、可靠、方便、灵活等特点。
商用密码产品认证该怎么申请?一文给您答案
Yj9493的博客
11-01 479
商用密码产品认证、国密认证商密认证
智能密码钥匙国密标准GMT0027-2014
ryanzzzzz的博客
04-03 1521
(2)密钥管理-设备发行(必须对设备认证密钥修改)、口令(不小于6字符、错误口令限制不超过10次、安全方式存储、不输出、管理终端和智能密码钥匙之间传输加密、防重放)、私钥安全(不输出、不导出、不能以任何方式泄露私钥、每次执行签名必须身份验证)、抵抗攻击(防止解剖、探测和非法读取有效的密钥保护机制、能力分析攻击、电磁分析攻击、时间分析攻击、错误注入攻击)、抵抗外部环境变化(高低温、高低电压、强光电磁紫外线静电电压毛刺干扰)、具备非法使用的权限控制机制。(4)设备管理-设备认证密钥更新、应用的删除、创建等。
【2000款】商用密码产品认证目录发布 证书查询(第一批截止2020年11月)
06-16
【2000款】商用密码产品认证目录发布 证书查询(第一批截止2020年11月) 全国商用密码产品认证目录(截止2020年11月) 全国商用密码商品认证目录,目前国家密码局已经换发第一批商用密码产品认证目录。覆盖范围23类产品,近2000款产品。
关于智能密码钥匙安全性的研究
10-08
一篇智能密码钥匙的论文,介绍了他的体系结构和安全传输两部分
全国商用密码产品认证目录(截止2020年11月).xlsx
11-16
全国商用密码商品认证目录,目前国家密码局已经换发第一批商用密码产品认证目录。覆盖范围23类产品,近2000款产品。
商用密码产品认证-密码模块分级检测申请材料编写说明 - 初稿文档.docx
06-30
商用密码产品认证,在提交认证申请是需同步提交密码模块分级检测材料。该材料立足于GM/T 0028-2014《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》。由于这两个规范里面都是抽象的概念,对于初次编写这个材料的人来说存在一定的困难。 本文的目的是为初次编写《密码模块分级检测申请材料》的人提供基本的入门指引。对编写文档时用到基本的概念、编写思路和关键点会重点介绍。
商用密码产品认证规则.pdf
06-10
商用产品认证规则本规则依据《密码法》《认证认 可条例》制定,规定了市场监管总局和国家密码管理局发布的《商用 密码产品认证目录》中的产品,实施商用密码产品认证的基本原则和 要求
GM/T 0016-2012智能密码钥匙密码应用接口规范.pdf
05-28
GM/T 0016-2012智能密码钥匙密码应用接口规范
商用密码产品认证目录(第一批).pdf
05-15
2020年1月1日起施行密码法。 核心密码、普通密码属于国家秘密。商用密码用于保护不属于国家秘密的信息。商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。 现公布第一批商用密码产品认证目录。
商用密码应用与安全性评估之(四)密码应用安全性评估实施要点
热门推荐
Lapedius的博客
03-06 3万+
商用密码应用与安全性评估之(四)密码应用安全性评估实施要点商用密码应用安全性评估的主要内容1、 评估依据和基本原则2、 评估主要内容1) 商用密码应用合规性评估2) 商用密码应用正确性评估3) 商用密码应有有效性评估商用密码应用安全性评估政策法规和规范性文件商用密码应用安全性评估各方职责1、 测评机构和测评人员的职责2、 网络与信息系统责任单位的职责3、 密码管理部门的职责 商用密码应用安全性评估的主要内容 1、 评估依据和基本原则 测评机构开展评估应当遵循商用密码管理政策和GM/T 0054-2018《信
密码应用安全性评估实施之(一)密码应用方案设计
Lapedius的博客
03-13 2万+
密码应用安全性评估实施之(一)密码应用方案设计1、 设计原则2、 设计要点(1) 密码应用解决方案设计要点(2) 密码应用实施方案设计要点(3) 密码应用应急处置方案设计要点(4) 已建信息系统密码应用方案提炼 密码应用安全性评估包括两部分内容:信息系统规划阶段对密码应用方案的评审/评估和建设完成后对信息系统开展的实际测评。 1、 设计原则 密码应用方案设计是信息系统密码应用的起点,它直接决定着信息系统的密码应用能否合规、正确、有效地部署实施。此外,密码应用方案还是开展信息系统密码应用情况分析和评估工作的基

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值