3.6 密码产品密钥体系
产品名称 | 密码体系特点 | 具体内容 | 说明 |
智能IC卡 | 基于对称密码完成身份鉴别、数据加密功能 | 主控密码(IC卡生产商-发卡方替换,做外部鉴别);根密码(管理系统生成),应用密码(由根密码而来) | 主控密码对IC卡做访问控制作用。一卡一密码,若多个应用,则每个应用专用文件对应应用的应用密码 |
智能密码钥匙 | 基于非对称密钥体系 | 设备认证密钥(程序设备鉴别)、用户密钥(密钥对)、会话密钥(临时,对称) | 3种密钥,功能包括:数据加解密、完整性校验、数字签名、访问控制 |
服务器密码机 | 基于对称、非对称密码 | 管理密钥(本事安全性,不对应用系统开放);用户密钥(两种密钥对)、设备密钥(两种密钥对)、密钥加密密钥(对称密钥);会话密钥(对称密钥,直接用于加解密) | 设备密钥和用户密钥存储在同一区域,与密钥加密密钥不在同一区域。除管理密钥外,其他密钥均可被用户使用。 |
签名验签服务器 | 基于对称、非对称密码 | 通过GM/T 0018-2012所定义接口调用完成密码计算和密钥管理,参考“服务器密码机”密钥体系结构 | 提供有、无格式的数字签名、验签服务,数字证书验证服务 |
金融数据密码机 | 基于对称密码体制 | 主密钥(强安全保护措施),次主密钥,数据密钥 | 自上而下保护原则,上层中层密钥是密钥加密密钥。数据密钥的使用最为频繁,一般需要按时更新 |
IPSec VPN | 基于非对称、对称密码 | 设备密钥(签名密钥对、加密密钥对)、工作密钥(加密密钥,完整性保护密钥)、会话密钥(加密密钥-数据+MAC,完整性密钥) | 设备密钥在设备内部生成或外部密钥管理机构产生;工作密钥IKE第一阶段PRF派生出;会话密钥IKE第二阶段PRF派生 |
SSL VPN | 基于非对称、对称密码 | 设备密钥(签名密钥对、加密密钥对),预主密钥、主密钥,工作密钥(加密密钥、校验密钥)【除设备密钥,其他都在握手协议过程中产生】 | 设备密钥同IPsec VPN,PRF派生预主密钥、主密钥,工作密钥-写密钥(发送发)、读密钥(接收方) |
安全认证网关 | 基于数字证书技术 | 代理模式(基于IPsec或SSL 实现),调用模式(提供专用安全功能) | 物理串联(必须),物理并联(可支持) |
电子签章系统 | 基于SM2、SM3算法 | 制章人对电子印章的数字签名使用SM2,在电子签章时使用SM2数字签名和SM3杂凑算法形成原文杂凑 | 实现电子印章管理、电子签章和电子签章验证 |
动态口令系统 | 基于SM3、SM4的动态口令生成方式 | ||
电子门禁系统 | 基于对称密码体系 | 系统根密钥,密钥分散一卡一密,为每个卡片生成唯一的卡片密钥 | GM/T0036-2014 基于SM7的逻辑加密方案和基于SM1/SM4的CPU卡方案 |
数字证书认证系统 | 基于非对称、对称和杂凑密码算法 | ||