网站生成系统加密机选购⼤全
加密技术2010-06-17 11:56:57 阅读573 评论1 字号:⼤中⼩订阅 什么是加密机?
机加密机是通过国家商⽤密码主管部门鉴定并批准使⽤的国内⾃主开发的主机加密设备,加密机和主机之间使⽤TCP/IP协议通信,所以加密机对主机的类型和主机操作系统⽆任何特殊的要求。 加密机主要有四个功能模块
硬件加密部件
硬件加密部件主要的功能是实现各种密码算法,安全保存密钥,例如CA的根密钥等。 通过密钥管理菜单来管理主机加密机的密钥,管理密钥管理员和操作员的⼝令卡。
加密机后台进程
加密机后台进程接收来⾃前台API的信息,为应⽤系统提供加密、数字签名等安全服务。加密机后台进程采⽤后台启动模式,开机后⾃动启动。
加密机监控程序和后台监控进程
加密机监控程序负责控制机密机后台进程并监控硬件加密部件,如果加密部件出错则⽴即报警。
加密机前台API
加密机前台API是给应⽤系统提供的加密开发接⼝,应⽤系统通过把加密机前台API使⽤加密的加密服务,加密机前台API是以标准C库的形式提供。⽬前加密机前台API⽀持的标准接⼝有:PKCS#11、Bsafe、CDSA等。
加密机⽀持⽬前国际上常⽤的多种密码算法
⽀持的公钥算法有
RSA DSA 椭圆曲线密码算法Diffe Hellman
⽀持的对称算法有
SDBI DES IDEA RC2 RC4 RC5
⽀持的对称算法有
SDHI MD2 MD5 SHA1
⼤家知道,加密技术以往曾⼀直为政府机构专⽤,随着电⼦商务的普遍深⼊以及Internet向全球每⼀个⾓落的渗透,加密技术已经赢得了⼴泛的关注。加密技术能确保信息保密、确定信息没有被篡改、以及确认是谁提供的信息。今天,加密技术已被公认为是确保信息在全球⽹络传送安全的最经济、最强有⼒⼯具。与⽇俱增的各种服务应⽤的需求对计算机速度的进⼀步提⾼和通信应⽤程序的功能提出了更⾼的要求。
例如虚拟个⼈⽹络(VPN)、电⼦银⾏、WWW、多媒体电⼦邮件、可视会议及⾼保真电视等。在⾼速⽹络上进⾏的应⽤服务的保护长期以来⼀直受到⾼度关注。加密机是⼀个基于安全的操作系统平台、具有⾼级通信保密性、完整性保护功能的控制系统。它是专⽤软、硬件设备,可具有多个⽹络接⼝,可安装于内联⽹各局域⽹出⼝处,或安装于内联⽹与公共⽹络接⼝处,或集成于⽹络防⽕墙中,提供⽹络边界之间的加密、认证功能。加密机和主机之间使⽤TCP/IP协议通信,所以加密机对主机的类型和主机操作系统⽆任何特殊的要求。
从逻辑上来看,加密机主要有四个功能模块组成:
硬件加密部件
硬件加密部件主要的功能是实现各种密码算法,安全保存密钥,主机加密机的硬件加密部件采取了多种安全措施,能够安全的保存⼀些重要的密钥,所以主机加密机特别适合于对密钥安全性要求特别⾼的应⽤。
密钥管理菜单
⽤户通过密钥管理菜单来管理主机加密机的密钥,管理密钥管理员和操作员的⼝令卡。
加密机后台进程
加密机启动后⾃动启动后台进程,并检查操作员⼝令卡、启动加密部件。加密机后台进程接收来⾃前台API的信息,为应⽤系统提供加密、数字签名的等安全服务。所有运算通过硬件加密部件进⾏。
加密机前台API
加密机前台API是给应⽤系统提供的加密开发接⼝,应⽤系统通过把加密机前台API使⽤加密的加密服务,加密机前台API是以标准C库的形式提供。加密机前台API⽀持PKCS11、CDSA接⼝、BSAFE、证书接⼝,可以⽅便的集成到应⽤系统中。主机加密机⽀持所有加密卡⽀持的加密算法。主机加密机
是完全由国内⾃主开发的,当有更新、更安全的算法开发出来后,加密机可以很快扩充⽀持这些新的算法。
下⾯还是让我们去看⼀看加密机的产品。
1、联想⽹御SJW44加密机
联想⽹御SJW44加密机(点击看⼤图)
联想⽹御SJW44加密机采⽤国家密码委员会推荐的国产密码保密⽅案,提供序列密码,分组密码和公钥密码等三类加密算法,⽀持⾝份鉴别,信息加密,数字签名和密钥⽣成与保护,系统具有⾜够的抗密码分析攻击的能⼒。采⽤硬件加密技术,密码专⽤芯⽚技术,实时操作系统技术和明密信息传递通道扩展技术,有效地降低了系统时延,在⼴域⽹上可以实现线速度加密,帮您构建⾼速的虚拟专⽹。
基于联想集团⾃主开发的嵌⼊式专⽤安全操作系统,采⽤智能化包过滤技术和⿊洞式防⽕墙机制,完整理解并创造性地准确实现了IPsec⽹络安全协议,经国家密码委组织的安全性测试分析表明,系统整体安全性具有国内先进⽔平。⽀持IP协议上的各种⽹络应⽤,包括Web浏览,电⼦邮件,Notes应⽤,数据库应⽤,IP电话,视频点播,视频会议,安全域管理和⽤户基于TCP/IP协议⾃主开发的其它
应⽤。
网⽀持多⼦⽹、路由功能、⽹状与树状VPN部署等,对FR、DDN、X.25、ISDN等各种物理线路透明。⽆论是密码更换还是安全规则设置,都可以对同⼀安全域内的全部密码机进⾏集中统⼀管理,管理信息包通过SSL安全通道传输,也可通过USB安全装置或智能卡⽹外传递。可以进⾏全⽹的统⼀的版本控制与软件分发、全⽹统⼀的时间管理、⽅便灵活的设备增减、实时的设备与通信状态监控,完备的⽇志审计功能。
采⽤联想集团经过严格测试的⾼性能服务器作为硬件平台,整机性能和可靠性显著优于⼯控机平台,已通过ISO9001认证,⽀持不间断开机的要求。使⽤配置既⽀持普通⽤户的缺省配置也⽀持灵活的专家配置模式,⽤户可根据需要配置算法、安全⼦⽹、普通⼦⽹、密钥⽣存期。
2、iGate SSLVPN
钢丝胶带
iGate SSLVPN(点击看⼤图)
iGate SSL VPN采⽤对称和⾮对称两种⽅式执⾏加密操作。作为出⼊企业内部系统的唯⼀关⼝,iGate代理服务器通常被放置在防⽕墙和后端服务器之间,且只开放443端⼝(或80端⼝)。使⽤iGate SSL
VPN,病毒从远程客户端⼊侵的可能性也会⼤⼤降低。
因为感染病毒的机器只会局限在某⼀台进⾏远程接⼊的主机,不会蔓延到整个⽹络,⽽且这个病毒必须针对远程接⼊应⽤程序,不同类型的病毒也不会感染主机。iGate SSL VPN最⼤的好处就是不需要安装客户端程序,远程⽤户基本上不需要IT部门的⽀持就可以随时随地从任何⽀持SSL协议的浏览器安全地访问应⽤程序,从⽽最⼤限度的减少了分发和管理客户端软件的⿇烦,降低了系统部署成本和IT部门⽇常性的管理⽀持⼯作费⽤。
iGate SSL VPN能保证在任何地⽅访问基于IP应⽤程序的安全,包括Web和C/S应⽤,⽼的应⽤程序,⽹络⽂件传输和共享,中端服务,电⼦邮件服务以及PDA等⼿持⽆线设备。对于⼤多数操作系统,只要是⽀持SSL协议的浏览器,不论是Windows, Mackintosh, Unix还是Linux,都可以透过iGate SSL VPN 进⾏远程安全接⼊。有内外部访问都经过唯⼀的iGate ACL权限控制软件进⾏管理,为IT⼈员提供了更加集中且容易控制访问权限管理⼯具。
对于客户⾝份的认证,由于使⽤彩虹独有的iKey⾝份认证令牌代替了传统的⼝令密码认证⽅式,使iGate具备了超强的⾝份认证机制,通过挑战响应原理和内置有算法的芯⽚确保整个验证实现的唯⼀性。
3、天融信SJW11-A密码机
天融信SJW11-A密码机9(点击看⼤图)
SJW11-A⽹络卫⼠⽹络密码机是⼀个基于安全的操作系统平台的⾃主版权的⾼级通信保密性、完整性保护的控制系统。可安装于内联⽹各局域⽹出⼝或者内联⽹与公共⽹络接⼝,提供⽹络边界之间的加密、认证功能。它采⽤国际标准安全协议,遵循IPSec(IP Security)安全协议,对⽤户数据提供加密、完整性验证以及⾝份认证的功能,最⼤限度的对上层应⽤提供安全保护。
遵循ISAKMP/OAKLEY密钥协商和管理协议,实现安全可靠的密钥分发与管理。VPN设备之间采⽤基于X.509标准的数字证书进⾏认证,⽀持CA认证。加密强度⾼。采⽤通过国家鉴定的硬件加密卡所提供的128位对称加密算法和128位密钥散列算法。⾝份认证采⽤1024位的⾮对称算法。
采⽤明密结合的数据传输⽅式。在安全⽹关之间的数据传输⽤户可以根据需要采⽤加密⽅式传输也可以以明⽂⽅式(既不加密⽅式)传输。灵活可变的⼯作模式。透明模式:在该模式下⽤户⽹络境⽆需任何变动即可实现对整个⼦⽹的安全保护;路由器模式:该模式下内部⽹络各主机将缺省⽹关指向⽹络密码机,⽹络密码机可充当⼀台简单的路由器。
多样化的⼯作⽅式,可以实现⽹关到⽹关、端⽤户到⽹关的⼯作⽅式,其中端⽤户到⽹关⽅式既可以
⽤于同⼀局域⽹内⼜可⽤于连接公⽹的端⽤户访问对⽅⼦⽹的情况。透明⽀持各种应⽤服务,⽀持透明接⼊⽅式采⽤国际上流⾏的Internet安全协议;模块化设计,⽹络卫⼠VPN可实现模块化与防⽕墙结合,更⼤限度的保障⽹络信息的安全性。
基于对象模式的全中⽂图形管理器界⾯,友好、直观,⽅便快捷,易于管理;完整的系统⽇志管理,⽀持标准的⽇志管理服务器;对安全域中所有安全⽹关进⾏集中式⽹络化安全管理,⽀持TOPSEC技术体系的核⼼技术,⽀持TopSEC Manager和TopSEC Auditor,⽀持SCM,⽅便通信、策略配置和管理。
4、ADDRESS ENCRYPTOR加密机
ADDRESS ENCRYPTOR加密机(点击看⼤图)
本产品是与TV WALKER⽤户管理系统配套使⽤的硬件加密设备;其将图象数据信号与服务器信号进⾏复⽤,并输出加密的传输流信号;主要⽤于通过TV WALKER管理系统进⾏管理的有线数字电视前端系统。产品特点:数字处理遵循TS流格式标准;⽀持ASI接⼝输⼊且带环路输出;双路ASI接⼝输出;可⾃动删除传输流中的空分组(空包),并可⾃动填充码流;输出码率可调;可实现⽹络管理和
snis-110诊断功能;液晶显⽰⼯作状态,简洁直观;上电直接进⼊⼯作状态,⽆需操作,100~240VAC 供电;19″-1U安装结构。
通⽤性技术参数----⼯作温度:0-45℃,贮藏温度:-20-80℃,供电电源:交流100-240V (50Hz),最⼤功率:20W,尺⼨:44.5mmH×482mmW×487mmD。输⼊参数----接⼝类型:异步串⾏接⼝ASI,连接器:BNC,阻抗:75Ω,最⼤码率:50Mbps。输出参数----接⼝类型:异步串⾏接⼝ASI,连接器:BNC ,阻抗:75Ω,最⼤码率:50Mbps,环路输出具有⾃动电缆补偿。以太⽹络接⼝----接⼝类型:10/100 Base-T,连接器:RJ45,接⼝协议:UDP。
5、海信SJW10
海信SJW10(点击看⼤图)
海信SJW10 IP加密机(VPN)是海信数码与东⽅华盾技术合作的成果。采⽤⽀持连续运转的⼯控标准硬件和经国家密码管理机构认证的加密硬件模块作为硬件⽀持平台,精⼼优化的安全操作系统作为软件系统平台,稳定可靠的电⼦存储设备作为系统的主存储介质,IC卡和USB密钥实现⽤户电⼦证书的加密存贮。该产品的安全性、易操作性、稳定性、可靠性均达到国内领先⽔平。它可以与海信防⽕墙
⽆缝结合,为政府机关、电信、银⾏、证券公司、⼤中⼩型企业构建透明、安全、⾼速的加密信道,提供经济实⽤的专⽤⽹络解决⽅案。
全⾯⽀持IPsec协议,与国际标准接轨;可选择地对流经VPN的IP报⽂实施透明加密解密操作并进⾏完整性认证;VPN环境中的节点⾝份认证功能,防⽌⾮法设备假冒⾝份危害通讯;分布式密钥协商与预共享密钥两种认证⽅式,密钥管理便捷、适⽤;VPN安全审计功能,记录⽹络传输情况、VPN的关键操作;VPN之间具有双机(或多机)互为备份的功能,互为备份的VPN 之间能够实时地进⾏密码同步,保证⽹络密码通讯的畅通;很好地适应各种⽹络结构和⽹络路由协议;接⼊透明,对现有业务系统和⽹络结构⽆须做任何调整;安装、维护简单快速,可随时进⾏,不影响正常业务;安全包⽀持各种客户端PC平台及移动PC平台,安全包⽀持各种局域⽹、⼴域⽹适配器(如以太⽹络适配器和拨号⽹络适配器),⾼可靠性、⾼稳定性,集中安全管理、集中认证,与海信防⽕墙⽆缝结合,提供全⾯的安全防护体系。
6、SJW47系列加密机
SJW47系列加密机(点击看⼤图)
北京密安⽹络技术有限公司是2000年创⽴于中关村归国留学⼈员中⼼的中国⾼新技术企业。密安公司专业从事⽹络、信息安全产品的研发、⽣产和销售,为客户提供系统集成、安全服务的整体解决⽅案。密安公司的产品适⽤于计算机⽹络,⽆线⽹络和⼴电⽹络,既适⽤于内⽹⼜适⽤于外⽹;既适⽤于专⽹⼜适⽤于公⽹。密安公司拥有系列⾃主产权的国内领先的信息和⽹络安全产品。拥有⾃主知识的⽹络安全产品:如SJW47-Ⅰ、SJW47-Ⅱ、SJW47-Ⅲ、SJW47-Ⅳ加密机系列、安全的虚拟隐私⽹VPN、⽹络安全整体保护系统SVN、⽆线传输WTLS等等;其中SVN是国际领先的产品。码图
加密机是⼀种PC的外围设备,可为电⼦商务提供⾼级别安全保障,是⽬前国际上⾸选的替代软件加密的硬件产品。基于抗篡改的硬件设计的密安公司SJW47系列加密机能与任何⼀台(具备232接⼝或具有PCI插槽)计算机相连接。可提供安全⾝份认证并⽀持电⼦钱包、信贷信⽤卡交易,其性能远远优于软件产品。同时SJW47系列加密机也充分考虑到不同⽤户级别的需求状况,每个型号具备各⾃鲜明的特点和优势以备选择,其中SJW47-Ⅳ型加密机是速度最快的加密认证卡,它的最⾼测试速度级可以达到四百兆。
7、华堂SJW22⽹络密码机
(暂⽆图)
华堂⽹络密码机保护所有端到端或点到端的⽹络数据传送;实现通信双⽅主机或防御系统⽹关的⾝份
认证;实现消息传输的保密性、认证性和完整性;抵抗IP欺骗、TCP序列号猜测等各种攻击技术;VPN 技术的使⽤不会影响⽤户的通信效率;⽹络的安全功能对⽤户基本透明,不影响原有应⽤程序的正常运⾏;透明⽀持各种Internet⽹络服务和协议,⽤户可定义的⽹络信息过滤。构建加密数据通道,利⽤公⽹建⽴⾃⼰的专⽤⽹。
全⾯实现完整的IPSEC协议,包括该协议中的部分可选内容。与国内同类产品⽐较,华堂⽹络加密机更加完整,兼容性更好;完整、安全的密钥交换协议是安全的基础。华堂⽹络加密机全⾯⽀持ISAKMP/OAKLEY和ISAKMP/IKE两种密钥交换协议,⽀持X.509证书系统,做到最⼤限度的兼容能⼒;采⽤国家认可的加密算法,利⽤硬件加密,提⾼加密效率;全图形化配置界⾯,使⽤简洁、灵活;与防御系统紧密集成,在我们⾃主开发的、具有⾃主知识版权的专⽤安全操作系统、状态检测等已有技术基础上,进⼀步提⾼安全性。
8、得安SJY05加密机
(暂⽆图)
得安SJY05加密机是济南得安计算机技术有限公司研制,并通过国家密码管理委员会办公室鉴定并批准使⽤的具有⾃主知识产权的⾼速主机加密设备。
该系列产品与SJY02/03加密卡功能⼀样,利⽤加密和数字签名技术保证⽤户在⽹上传递信息的机密性(即数据在传输过程中不能被⾮授权者窃取)、完整性(即数据在传输过程中不能被⾮法篡改)和有效性(即数据不可被否认),从⽽创造⼀个电⼦商务正常发展所必需的安全环境和信⽤环境。
得安SJY05加密机功能强⼤,主要是为⾼档服务器、⼩型机、⼤型机提供加解密服务,现已⼴泛应⽤于⾦融、证券、政府、电⼦商务等领域的⼤型⽹上项⽬中。利⽤得安SJY05加密机和得安公司的其他加密设备及各种安全模块(CA、SSL等)⼀起可构成完整的PKI体系。
产品特点:功能完备,集密钥管理、数据加密、数字签名、完整性检验与⼀体;使⽤IC卡保存PIN,设置密钥管理员和操作员,密钥管理实⾏分割管理和权限控制;安全密钥管理,密钥不以明⽂形式出现在磁盘及内存中,即使受到攻击,也能保证密钥的安全。
⼆、编后语
在互联⽹和可移动通信⽹商业化的今天,安全越来越受重视,⽽⽇趋复杂的安全技术,包括攻击和防御技术,使⼈们对安全的要求越来越⾼。传统的密码分析技术主要是基于穷尽搜索,它破译DES需要若⼲⼈/年的时间。现代密码分析技术包括差分密码分析技术、线性密码分析技术和密钥相关的密码分析,它改善了破译速度,但是破译速度还是很慢。新⼀代密码分析技术主要是基于物理特征的分析技术,它们包括电压分析技术、故障分析技术、侵⼊分析技术、时间分析技术、简单的电流分析技术、
差分电流分析技术、电磁辐射分析技术、⾼阶差分分析技术和汉明差分分析技术。
利⽤这些技术,攻击者可以在获得密码算法运⾏载体(计算机、保密机、加密盒、IC卡等等)的情况下,快速地获得密钥,从⽽破译整个密码系统。商⽤密码产品包括IP协议密码机、通信⽹密码机(DDN 加密机、FR加密机、分组加密机)、主机加密机/加密模块等。主机加密机和加密模块的作⽤是保证国家和⽤户的敏感信息的安全;通信⽹密码机处于终端与主机或者主机与主机之间的线路两端,它可以防⽌对⽹络的攻击。从⽬前信息化程度⽐较⾼的政府、银⾏、证券、电信、教育、交通等部门⾏业来看,即使涉及账务等⾮常重要信息的⾏业来看,使⽤商⽤密码设备的也不普遍。特别是从终端到主机这⼀段⽹络,因为需求量⼤,投资⾼,多数⽹络都没有安装这类设备。因此,要保障信息和⽹络的安全,商⽤密码产品的需求是很⼤的。
事实上,加密机可以设定⼀个操作员和2-5个密钥管理员,系统为操作员和每个管理员⽣成随机数作为他们的⼝令,并保存在IC卡中。每张⼝令卡可以有多个备份。在⽇常情况下,操作员负责加密机的启动。当需要⽣成⼀些重要的密钥时,或者更改操作员⼝令时,需要有半数以上的密钥管理员在场才能进⾏。密钥管理在安全⽅案中占极其重要的地位。加密机中采⽤严格的密
钥管理措施,保证安全⽅案在密钥管理这个环节上的安全性。
加密机采⽤多种机制保证存放的密钥的安全性,机内存放密钥绝不会以明⽂形式出现在磁盘及内存中,
即使加密机受到攻击,也能保证密钥的安全。加密机对密钥和操作员、管理员⼝令的管理通过密钥管理菜单进⾏,⽤户可以通过密钥管理菜单修改操作员和管理员⼝令卡,也可以⽣成密钥和备份加密机。密钥管理员可以⾃⾏修改⾃⼰的⼝令卡,其他操作需要检查半数以上的管理员⼝令卡。为防⽌加密机意外的损坏造成损失,加密机⽀持双机热备份,如果⼀台加密机损坏,另⼀台可以正常⼯作,不影响前台正常业务。加密机还可以进⾏备份,把加密机内部的密钥等信息⽤管理员⼝令加密后存放在⽂件或者IC卡中,在加密机损坏时可以恢复加密机内部信息。另外加密机还可以备份到加密卡中或加密机中。⼀般对⽐较关键的部门我们建议使⽤加密机进⾏异地备份。
