密码产品【密码机标准与产品】

密码机标准与产品

密码机是以整机形态出现，具备完整密码功能的产品，通常实现数据加解密，签名/验证，密钥管理，随机数生成等功能。可供各类应用系统调用，为其提供数据加解密，签名验签等密码服务。目前国内的密码机主要呈现以下三大类：

1. 通用型服务器密码机
2. 应用于证书认证领域的签名验签服务器
3. 应用于金融行业的金融数据密码机
   签名验签服务器和金融数据密码机，从硬件组成角度而言，与通用的服务器密码机并无区别，主要是针对特定应用场景，在通用型的服务器密码机基础上，进一步封装了特定接口，以便于应用调用。

密码机本身一般仅提供最为基础的密码计算和密钥管理功能。在大多数情况下，密码机作为后台设备，采用网络直连的方式连接具体业务系统，业务系统直接调用密码机完成密码计算和密钥管理，完成应用系统安全功能。
sm3 sm4 处理速率可达10Gb/s
sm2签名速率可达150万次/s

服务器密码机

服务器密码机作为通用性密码产品，主要为应用提供最为基础和底层的密钥管理和密码计算服务。图 3-10是典型的服务器密码机软/硬件架构。

从硬件组成上看，服务器密码机通常分为两类，一类服务器密码机采用“工控机+PCI/PCI-E 密码卡”的结构。PCI/PCI-E密码卡进行实际的密钥管理和密码计算。集成在工控机上供其调用；另一类服务器密码机采用自主设计的技术路线，将计算机主板的功能和密码芯片集成到一个板卡上。以进一步提高集成度和稳定性。
服务器密码机的管理员一般拥有较高的权限，为了对管理员身份进行有效鉴别，服务器一般还配备智能卡、智能密码钥匙等身份鉴别介质，使用其存储的对称/非对称密钥，利用“挑战一响应”等机制完成对于管理员的鉴别需求。近年来，一些服务器密码机为了提高便利性和可用性，提供了安全管理链路等机制，实现了设备的远程集中管理。
从软件组成上看，工控机上一般运行经过裁剪的linux操作系统，在操作系统上调用PCI/PCI-E密码卡的密钥管理和密码计算功能，并进一步封装。通过网络等接口对外提供服务。以满足各类应用的需求。当然服务器密码机也不一定摆阔传统意义上的操作系统，事实上有些高安全服务器密码机通常只运行那些自己设计实现的代码，将不必要的功能进行裁剪以降低安全隐患。

签名验签服务器

签名验签服务器是为应用实体提供基于PKI体系和数字证书的数字