詞條

內(nèi)容

智能IC卡分類

1. 存儲器卡，外部可對片內(nèi)信息任意存儲，存放不需要保密的信息
2. 邏輯加密卡，硬件加密邏輯，具備簡單的信息處理能力。保密要求較低的場合。
3. 智能CPU卡，如銀行卡、門禁卡、護(hù)照、身份證、社保卡、手機(jī)SIM卡

1. 接觸式（多個金屬觸點(diǎn)）
2. 非接觸式（射頻技術(shù)）
3. 雙界面卡，以上兩種的結(jié)合。

智能IC卡應(yīng)用系統(tǒng)

發(fā)卡系統(tǒng)

智能IC卡

讀卡器（接口設(shè)備）：與智能IC卡之間通過APDU（應(yīng)用協(xié)議數(shù)據(jù)單元）交互

后臺管理系統(tǒng)：PC、服務(wù)器、密碼機(jī)

APDU（一次交互）

命令A(yù)PDU，讀卡器發(fā)送給IC卡

響應(yīng)APDU，IC卡發(fā)送給讀卡器

智能IC卡鑒別機(jī)制

智能IC卡對持卡人鑒別，利用PIN碼的方式。

智能IC卡對讀卡器鑒別（外部鑒別），基于“挑戰(zhàn)-響應(yīng)”（預(yù)先共享對稱密鑰）。

讀卡器對智能IC卡鑒別（內(nèi)部鑒別），基于“挑戰(zhàn)-響應(yīng)”（預(yù)先共享對稱密鑰）。

讀卡器和IC卡相互鑒別，結(jié)合外部鑒別和內(nèi)部鑒別機(jī)制來實(shí)現(xiàn)。

智能IC卡相關(guān)規(guī)范（1項(xiàng)）及要點(diǎn)

GM/T0041-2015《智能IC卡密碼檢測規(guī)范》（檢測類1項(xiàng)）

1. 密鑰文件的建立（文件大小分配）與主控密鑰的更新
2. IC卡密鑰體系（根密鑰的生成-后臺系統(tǒng)密碼機(jī)生成，安全導(dǎo)入到讀卡器或者后天安全模塊中；密鑰管理系統(tǒng)通過對稱加密算法對根密鑰進(jìn)行密鑰分散，一卡一密。

智能密碼鑰匙產(chǎn)品

存儲用戶秘密信息（私鑰，證書），數(shù)據(jù)加解密，數(shù)據(jù)完整性校驗(yàn)，數(shù)字簽名，訪問控制等功能。

和智能IC卡一樣基于處理器芯片，不同則是：前者對卡中信息提供訪問控制與讀卡器交互，后者作為私鑰和數(shù)字證書的載體，向具體的應(yīng)用提供密碼運(yùn)算功能。

基于身份的用戶鑒別，采用PIN來實(shí)現(xiàn)。

第二代智能密碼鑰匙

為避免為偽造的數(shù)據(jù)生成簽名，增加了與用戶的交互過程。從待簽名數(shù)據(jù)中提取關(guān)鍵信息，技術(shù)顯示在屏幕上供用戶確認(rèn)。

智能密碼鑰匙相關(guān)規(guī)范（4項(xiàng)）

GM/T0048-2016《智能密碼鑰匙密碼檢測規(guī)范》（檢測類1項(xiàng)）

GM/T0016-2012《智能密碼鑰匙應(yīng)用接口規(guī)范》-基于PKI密碼體制

GM/T0017-2012《智能密碼鑰匙密鑰應(yīng)用接口數(shù)據(jù)格式規(guī)范》-APDU報文，適用于研制、使用和檢測。

GM/T0027-2014《智能密碼鑰匙技術(shù)規(guī)范》（產(chǎn)品類3項(xiàng)目）-相當(dāng)于產(chǎn)品白皮書

智能密碼鑰匙要點(diǎn)

（1）密鑰體系：設(shè)備認(rèn)證密鑰；用戶密鑰（簽名-內(nèi)部生成、加密-外部生成導(dǎo)入）；會話密鑰（內(nèi)外部均可）

（2）初始化包括出廠初始化（設(shè)備認(rèn)證密碼初始化）和應(yīng)用初始化（修改設(shè)備認(rèn)證密碼、建立相應(yīng)的應(yīng)用參數(shù)）。

（3）除特殊情況（國際互聯(lián)互通），使用商密算法。

（4）PIN不少于6個字符，錯誤次數(shù)限制不超過10次。安全存儲訪問和傳輸（防重放攻擊），不能輸出。

（5）每次簽名前都要對用戶進(jìn)行身份鑒別，執(zhí)行完后理解清除，下次執(zhí)行敏感操作前再進(jìn)行身份鑒別。

密碼機(jī)產(chǎn)品

實(shí)現(xiàn)數(shù)據(jù)加解密、簽名\驗(yàn)證、密鑰管理和隨機(jī)數(shù)生成等功能。

1. 通用型服務(wù)器密碼機(jī)
2. 簽名驗(yàn)簽密碼機(jī)（證書認(rèn)證領(lǐng)域）
3. 金融數(shù)據(jù)密碼機(jī)（金融行業(yè)）

一般情況下，密碼機(jī)作為后臺設(shè)備采用網(wǎng)絡(luò)直連的方式連接到具體業(yè)務(wù)系統(tǒng)。

SM3、SM4處理速率磕到10Gb/s，SM2簽名速率可達(dá)150萬次/s。

服務(wù)器密碼機(jī)

1. 工控機(jī)+PCI/PCI-E密碼卡
2. 硬件自主設(shè)計，計算機(jī)主板功能和密碼芯片集成到一個板卡上，提高集成度和穩(wěn)定性。

采用智能卡、智能密碼鑰匙對管理員鑒別。采用安全管理鏈路實(shí)現(xiàn)設(shè)備遠(yuǎn)程管理。

簽名驗(yàn)簽密碼機(jī)

主要用于數(shù)字認(rèn)證系統(tǒng)以及基于PKI的業(yè)務(wù)系統(tǒng)，提供數(shù)字證書的管理和驗(yàn)證服務(wù)。支持初始化、CA鏈接（CRL、OSCP）、應(yīng)用管理、證書管理、備份和恢復(fù)等。

3種方式提供服務(wù)：

1. API調(diào)用方式。
2. 通用請求響應(yīng)方式。（ASN.1格式）
3. HTTP請求響應(yīng)方式。（web文本格式）

金融數(shù)據(jù)密碼機(jī)

提供PIN加密、PIN轉(zhuǎn)加密、MAC產(chǎn)生和校驗(yàn)、數(shù)據(jù)加解密、簽名驗(yàn)證及密鑰管理

密碼機(jī)相關(guān)標(biāo)準(zhǔn)（7項(xiàng)）

3項(xiàng)檢測規(guī)范、4項(xiàng)產(chǎn)品規(guī)范 GM/T0018-2012《密碼設(shè)備應(yīng)用接口規(guī)范》

服務(wù)器密碼機(jī)應(yīng)用要點(diǎn)

密鑰體系，至少三層

1. 管理密鑰（不對外，與應(yīng)用無關(guān)）
2. 用戶密鑰（簽名、加密）、設(shè)備密鑰（簽名、加密，可以和用戶密碼存儲在同一區(qū)域）、密鑰加密密鑰（定期更換對稱密鑰，對會話密鑰保護(hù)）
3. 會話密鑰（不能以明文形態(tài)進(jìn)出密碼機(jī)）

服務(wù)器密碼機(jī)接口類別和調(diào)用：設(shè)備管理類、密鑰管理類、非對稱算法運(yùn)算類函數(shù)、對稱算法運(yùn)算類函數(shù)、雜湊運(yùn)算函數(shù)、文件類函數(shù)。

簽名驗(yàn)簽服務(wù)器應(yīng)用要點(diǎn)

有格式和無格式的數(shù)字簽名/簽名驗(yàn)證、數(shù)字證書的驗(yàn)證服務(wù)。密鑰體系與服務(wù)器密碼機(jī)基本類似。

金融數(shù)據(jù)密碼機(jī)應(yīng)用要點(diǎn)

基于對稱密碼三層體制，“自上而下逐層保護(hù)”，所有密鑰不能以明文形態(tài)出現(xiàn)在密碼機(jī)外部，必須采用加密或知識拆分導(dǎo)入導(dǎo)出。

1. 主密鑰，必須強(qiáng)保護(hù)，加密或微電保護(hù)存儲
2. 次主密鑰，保護(hù)數(shù)據(jù)密鑰，一般采用離線分發(fā)
3. 數(shù)據(jù)密鑰，直接用于加密或校驗(yàn)，包括PIN密鑰、MAC密鑰，需要按時更新。

接口規(guī)范不使用API接口形式，直接以網(wǎng)絡(luò)數(shù)據(jù)包格式的形式定義，利用socket編程直接調(diào)用。（磁卡條應(yīng)用接口、IC卡應(yīng)用接口、基礎(chǔ)密碼運(yùn)算服務(wù)接口）

VPN產(chǎn)品

通過VPN技術(shù)提供的安全功能，用戶可以實(shí)現(xiàn)在外部對企業(yè)內(nèi)網(wǎng)資源的安全訪問。

節(jié)省搭建網(wǎng)絡(luò)的成本（不需要租用專門的物理鏈路）；連接方便靈活（不需要協(xié)商如何在雙方之間建立租用線路）；傳輸數(shù)據(jù)安全可靠。IPSec VPN、SSL VPN以及安全認(rèn)證網(wǎng)關(guān)（基于IPsec/SSL協(xié)議實(shí)現(xiàn)）。

IPSec VPN

工作在網(wǎng)絡(luò)層，對應(yīng)用層協(xié)議完全透明（不感知），如Web、SMTP、FTP、VoIP等。一般都是對遠(yuǎn)端開放一個網(wǎng)段，安全控制的力度相對較粗。

典型應(yīng)用場景：

Site to Site,，End to Site 常見，使用隧道模式（必備模式）

End to End 不常見，可以使用隧道模式或傳輸模式（可選模式）

SSL VPN

工作在應(yīng)用層和傳輸層之間，開放一個主機(jī)或端口，控制精細(xì)?；贐/S架構(gòu)是SSL VPN最為常見的應(yīng)用方式?？蛻舳?服務(wù)器模式（必備），網(wǎng)關(guān)-網(wǎng)關(guān)模式（可選）

典型應(yīng)用場景：只需要在內(nèi)網(wǎng)出口部署SSL VPN網(wǎng)關(guān)，接入端采用集成SSL協(xié)議的終端即可。

安全認(rèn)證網(wǎng)關(guān)

采用數(shù)字證書為應(yīng)用系統(tǒng)提供用戶管理、身份鑒別、單點(diǎn)登錄、傳輸加密、訪問控制和安全審計服務(wù)等功能，保證網(wǎng)絡(luò)資源的安全訪問。（一般安全網(wǎng)關(guān)不采用數(shù)字證書技術(shù)）

代理模式：（主流）基于IPsec、SSL VPN實(shí)現(xiàn)的網(wǎng)關(guān)產(chǎn)品。

調(diào)用模式：提供專用的安全功能（身份鑒別），被信息系統(tǒng)調(diào)用。

VPN相關(guān)規(guī)范（5項(xiàng)）

GM/T0022-0026-2014 5項(xiàng)產(chǎn)品類標(biāo)準(zhǔn)。

GM/T0022-2014《IPSec VPN技術(shù)規(guī)范》，明確和規(guī)范SM2、SM3、SM4的使用；增加對雙證書的支持，身份鑒別必須使用數(shù)字證書方式，不再支持公私鑰對方式；對IPv6支持。

VPN產(chǎn)品應(yīng)用要點(diǎn)

對國密算法的支持

IPsec VPN在IKE階段密碼算法屬性值定義：SM1 128、SM2 2（RSA 1，DE 10）、SM3 20（SHA-1 2），SM4 129

?

SSL VPN密碼套件列表和屬性值，在握手協(xié)議報文中解析。

IPsec VPN密鑰體系

1. 設(shè)備密鑰（簽名、加密）用于IKE階段身份鑒別和加密保護(hù)
2. 工作密鑰（對稱密鑰）IKE第一階段派生得到，用于第二階段提供加密和完整性
3. 會話密鑰（對稱密鑰）IKE第二階段派生得到，用戶數(shù)據(jù)報文及報文MAC的加密和完整性保護(hù)。

IPsec VPN密鑰生命周期防護(hù)

設(shè)備密鑰

簽名密鑰對（設(shè)備內(nèi)部產(chǎn)生，公鑰可以導(dǎo)出，私鑰采用安全保護(hù)措施，安全形式備份，安全銷毀）

加密密鑰對（外部密鑰管理機(jī)構(gòu)產(chǎn)生）

工作密鑰和會話密鑰，不導(dǎo)入導(dǎo)出，掉電即丟失，不備份，鏈接斷開或掉電銷毀

IPSec、SSL VPN設(shè)備密鑰對應(yīng)的簽名證書和加密證書應(yīng)由外部認(rèn)證機(jī)構(gòu)簽發(fā)，可是同一家，也可是建立信任關(guān)系的兩家機(jī)構(gòu)簽發(fā)。

SSL VPN密鑰體系

1. 設(shè)備密鑰（簽名、加密）用于握手協(xié)議身份鑒別，預(yù)主密鑰加密保護(hù)
2. 預(yù)主密鑰、主密鑰，（對稱密鑰）
3. 工作密鑰（對稱密鑰，加密和完整性保護(hù)），發(fā)送方-寫密碼，接收方-讀密碼

VPN管理員分權(quán)管理

安全管理員、系統(tǒng)管理員、審計管理員。采用表征用戶身份信息的硬件裝置和登錄口令結(jié)合登錄系統(tǒng)?？诹畈恍∮?字符，不包含全部或部分用戶賬號名，至少有四類字符中的三類。錯誤次數(shù)不超過8次。

安全認(rèn)證網(wǎng)關(guān)應(yīng)用要點(diǎn)

管理員分權(quán)管理。

部署模式：物理串聯(lián)（必備）、物理并聯(lián)（可選）

電子簽章系統(tǒng)產(chǎn)品

確保“簽名”文檔來源的真實(shí)性和文檔的完整性，防止文檔篡改，確保簽章行為不可否認(rèn)性。

（1）電子印章：由制作者簽名的包括持有者信息和圖形化內(nèi)容的數(shù)據(jù)，可用于簽署電子文件。

（2）電子簽章：使用電子印章簽署電子文件的過程，包含電子印章信息和簽名信息。

電子簽章的四個部分：電子印章生成、電子簽章生產(chǎn)、電子印章驗(yàn)證、電子簽章驗(yàn)證。

電子簽章系統(tǒng)構(gòu)成

包含電子印章管理系統(tǒng)和電子簽章軟件，實(shí)現(xiàn)電子印章管理、電子印章、電子簽章驗(yàn)證。（制章人-機(jī)構(gòu)和簽章人使用）

電子簽章系統(tǒng)相關(guān)規(guī)范（2項(xiàng)）

1項(xiàng)產(chǎn)品規(guī)范，1項(xiàng)測試規(guī)范

電子簽章系統(tǒng)應(yīng)用要點(diǎn)

1. 除特殊情況外，應(yīng)使用國密算法SM2、SM3
2. 電子印章數(shù)據(jù)格式（印章信息+簽章人證書列表+制章人數(shù)字證書+簽名值）、電子簽章數(shù)據(jù)格式（電子印章+原文屬性信息+簽章人數(shù)字證書+簽名值）
3. 電子印章驗(yàn)證：簽章人和用戶都可以驗(yàn)證，通過電子印章管理系統(tǒng)或電子簽章軟件均可。驗(yàn)證內(nèi)容包括印章格式、印章簽名、制章人證書有效性、印章有效期。
4. 生成電子簽章過程：簽章人簽名證書并驗(yàn)證證書有效性；獲取電子印章并驗(yàn)證印章；驗(yàn)證簽章人數(shù)字證書是否在電子印章簽章人列表中；獲取待簽名原文；形成原文雜湊值；組裝待簽名數(shù)據(jù)；生成電子簽章簽名值；把待簽名數(shù)據(jù)、電子簽章簽名值打包形成電子簽章數(shù)據(jù)，由電子文檔閱讀器放置到電子文檔中，得到簽章的電子文檔。
5. 電子簽章驗(yàn)證：簽章人和用戶都可以驗(yàn)證，通過電子印章系統(tǒng)或電子簽章軟件均可。驗(yàn)證內(nèi)容包括：電子簽章格式、簽名驗(yàn)證、證書有效性、簽章時間有效期、簽章原文雜湊值、電子印章有效性、簽章人證書列表GM/T0047-2016。

動態(tài)口令系統(tǒng)產(chǎn)品

一次性口令機(jī)制，廣泛應(yīng)用于身份鑒別場合。（用戶名和口令方式）

三部分構(gòu)成：動態(tài)令牌（生成動態(tài)口令）、認(rèn)證系統(tǒng)（驗(yàn)證動態(tài)口令）和密鑰管理系統(tǒng)（動態(tài)令牌的密鑰管理）。

動態(tài)口令可使用對稱密碼算法或雜湊算法，一般為6-8位數(shù)字。

動態(tài)口令系統(tǒng)相關(guān)規(guī)范（2項(xiàng)）

1項(xiàng)產(chǎn)品規(guī)范（基于SM3和SM4兩種選擇），1項(xiàng)檢測規(guī)范

動態(tài)口令系統(tǒng)密鑰體系

三層體系(1)管理類密鑰，（2）密鑰加密類密鑰，（3）種子密鑰（動態(tài)口令生產(chǎn)）

管理類密鑰

主密鑰Km

廠商生產(chǎn)主密鑰Kp，從主密鑰Km派生出

密鑰加密類密鑰

種子密鑰加密密鑰Ks，從主密鑰Km派生出

廠商種子密鑰加密密鑰Kps，從廠商生產(chǎn)主密鑰Kp派生出

傳輸密鑰Kt，用于保護(hù)Kp（在硬件密碼設(shè)備內(nèi)隨機(jī)產(chǎn)生Kt）

種子密鑰寫入過程安全（動態(tài)令牌）

種子密鑰寫入動態(tài)令牌時過程必須在安全的生產(chǎn)環(huán)境中依照安全的管理機(jī)制進(jìn)行。

寫入線路的安全；計算機(jī)必須位于封閉、無網(wǎng)絡(luò)連接的環(huán)境中；安全管理措施包括：

（1）安裝監(jiān)控設(shè)備（2）2人同時輸入用戶名和口令，1人操作1人審核（3）限制USB存儲設(shè)備使用，除非獲得允許。

種子密鑰導(dǎo)入和存儲（認(rèn)證系統(tǒng)）

采用硬件傳輸方式（光盤）導(dǎo)入認(rèn)證系統(tǒng)中，傳輸時采用密文形式。存儲采用加密形式，SM4算法使用Ks密鑰加密密鑰。加密完成后，將Ks和明文種子密鑰銷毀。

種子密鑰使用安全

使用種子密鑰計算動態(tài)口令過程中的安全，全部在硬件密碼設(shè)備中完成。

對加密的種子密碼進(jìn)行解密并計算出動態(tài)口令后，Ks和明文種子密碼被銷毀。

令牌使用采用PIN

PIN長度不少于6位十進(jìn)制數(shù)字，防暴力窮舉功能。連續(xù)輸入錯誤不超過5次，若操作等1小時才能繼續(xù)嘗試。PIN輸入超過最大嘗試次數(shù)的情況不超過5次，否則令牌永久鎖定，不能再使用。用戶可以設(shè)置令牌鎖定機(jī)制，連續(xù)嘗試認(rèn)證失敗次數(shù)累計達(dá)到上限時，則令牌鎖定。

認(rèn)證服務(wù)器和應(yīng)用服務(wù)器通信安全

Kp從應(yīng)用服務(wù)器傳輸給廠商的過程中，需要使用Kt來加密Kp保護(hù)。

電子門禁系統(tǒng)產(chǎn)品

實(shí)現(xiàn)物理環(huán)境訪問控制，目前多基于非接觸式智能IC卡實(shí)現(xiàn)。

GM/T0036-2014《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南》，基于對稱密鑰體制。

電子門禁系統(tǒng)組成

三部分構(gòu)成：門禁卡、門禁讀卡器和后天管理系統(tǒng)，通過設(shè)備內(nèi)安全模塊對系統(tǒng)提供安全保護(hù)。（1）門禁卡內(nèi)安全模塊。（2）門禁讀卡器/后天管理系統(tǒng)內(nèi)安全模塊，具體方案設(shè)計時，可選擇在讀卡器或后臺管理系統(tǒng)配用安全模塊。

電子門禁系統(tǒng)密鑰管理

（1）密鑰管理子系統(tǒng)位門禁系統(tǒng)的密碼應(yīng)用生成密鑰：向密碼模塊中注入密鑰，從而完成密碼模塊發(fā)行。（2）發(fā)卡子系統(tǒng)通過門禁卡發(fā)卡設(shè)備進(jìn)行分卡（初始化門禁卡、注入密鑰、寫應(yīng)用信息等）-SM4算法做密鑰分散，一卡一密。

電子門禁系統(tǒng)（智能IC卡）密碼應(yīng)用方案

1. 基于SM7算法的非接觸式邏輯加密方案
2. 基于SM1、SM4算法的非接觸式CPU卡方案（主要）

兩種實(shí)現(xiàn)方式

1. 將安全模塊部署在門禁卡和門禁讀卡器中
2. 將安全模塊部署在門禁開和后臺管理系統(tǒng)中（適合門禁讀卡器實(shí)時在線情況）

電子門禁系統(tǒng)的整體安全

1. 后臺管理系統(tǒng)的管理要求；
2. 門禁讀卡器與后臺管理系統(tǒng)的安全；
3. 其他與密碼安全機(jī)制無關(guān)的管理及技術(shù)措施，如口令識別、生物特征識別、人員值守等。

數(shù)字證書認(rèn)證系統(tǒng)產(chǎn)品

對生命周期內(nèi)的數(shù)字證書進(jìn)行全過程管理的安全系統(tǒng)。簽發(fā)的證書可以標(biāo)明設(shè)備、用戶、機(jī)構(gòu)身份。

雙證書：用戶數(shù)字簽名的證書和用于數(shù)據(jù)加密的證書

雙中心：證書認(rèn)證中心和密鑰管理中心

數(shù)字證書認(rèn)證系統(tǒng)邏輯分層

1. 核心層（密鑰管理中心、證書/CRL生成與簽發(fā)/存儲與發(fā)布系統(tǒng)）
2. 管理層（證書管理系統(tǒng)、安全管理系統(tǒng)）
3. 服務(wù)層（證書CRL查詢系統(tǒng)、用戶注冊管理系統(tǒng)、遠(yuǎn)程用戶注冊管理系統(tǒng)）

CA

提供數(shù)字證書在其生命周期中的管理服務(wù)。RA可多種建設(shè)方式（全部或部分托管在CA），提供人工審核或自動審核兩種審核模式；支持多CA認(rèn)證；提供證書簽發(fā)、證書查詢、證書狀態(tài)查詢、CRL下載、目錄服務(wù)等功能。

RA

負(fù)責(zé)用戶證書申請、身份審核、證書下載，支持本地或遠(yuǎn)程注冊管理，證書申請和下載都是在線或離線。

KM

提供對生命周期內(nèi)的加密證書密鑰對進(jìn)行全過程管理的功能。

數(shù)字證書認(rèn)證系統(tǒng)相關(guān)規(guī)范（7項(xiàng)）

3項(xiàng)基礎(chǔ)設(shè)施類規(guī)范，1項(xiàng)應(yīng)用支撐類規(guī)范，3項(xiàng)密碼檢測類規(guī)范。

數(shù)字證書認(rèn)證系統(tǒng)應(yīng)用要點(diǎn)

檢測分產(chǎn)品（CA服務(wù)器等組成的證書認(rèn)證心痛）和項(xiàng)目（證書認(rèn)證服務(wù)運(yùn)營系統(tǒng)）兩類，這兩類檢測內(nèi)容各有區(qū)別?！蹲C書認(rèn)證系統(tǒng)檢測規(guī)范》《證書認(rèn)證密鑰管理系統(tǒng)檢測規(guī)范》

雙證書、雙中心

簽名證書，用于簽名的密鑰對可以由用戶利用具有密碼運(yùn)算功能的證書載體產(chǎn)生。

加密證書，用于加密的密鑰對由密鑰管理中心產(chǎn)生，并負(fù)責(zé)安全管理。

可以一起保存在用戶的證書載體中，可通過Key Usage拓展字段內(nèi)容區(qū)分。

雙中心：密鑰管理中心和證書認(rèn)證中心

涉及的商密算法

SM2、SM3、SM4

CA和KM的管理員分權(quán)管理

設(shè)置超級管理員、審計管理員、審計員、業(yè)務(wù)管理員和業(yè)務(wù)操作員。各類人員使用證書登錄，其中超級管理員和審計管理員的證書，應(yīng)在CA和KM進(jìn)行初始化時產(chǎn)生。KM工作人員的證書由KM自建的獨(dú)立內(nèi)部CA簽發(fā)，自建的獨(dú)立CA的根證書必須由國家級認(rèn)證機(jī)構(gòu)的根CA簽發(fā)。

物理區(qū)域劃分

證書認(rèn)證系統(tǒng)物理區(qū)域劃分：公共區(qū)、服務(wù)區(qū)、管理區(qū)、核心區(qū)，進(jìn)入順序?yàn)楣芾韰^(qū)、服務(wù)區(qū)、核心區(qū)。各區(qū)域間應(yīng)放置防火墻，核心區(qū)設(shè)置獨(dú)立的電磁屏蔽，各區(qū)域設(shè)置監(jiān)控探頭、消防探頭及門禁系統(tǒng)，并設(shè)置監(jiān)控室，對各區(qū)進(jìn)行實(shí)時監(jiān)控。

KM物理區(qū)域劃分為：密鑰服務(wù)區(qū)、密鑰管理區(qū)，進(jìn)入順序?yàn)槊荑€管理區(qū)、密鑰服務(wù)區(qū)。各物理區(qū)域間應(yīng)放置防火墻，密鑰服務(wù)區(qū)設(shè)置獨(dú)立的電磁屏蔽，各區(qū)域設(shè)置監(jiān)控探頭、消防探頭及門禁系統(tǒng)，并設(shè)置監(jiān)控室，對各區(qū)進(jìn)行實(shí)時監(jiān)控。

配置安全策略保障網(wǎng)絡(luò)安全

1. KM和CA在用一局域網(wǎng)內(nèi)，通過防火墻與CA連接
2. 不在同一局域網(wǎng)內(nèi)，應(yīng)通過網(wǎng)絡(luò)密碼機(jī)與CA連接
3. 系統(tǒng)各相鄰網(wǎng)段之間采用不同的防火墻進(jìn)行隔離（路由模式），關(guān)閉所有不需要端口，對防火墻發(fā)現(xiàn)的安全事件應(yīng)有相應(yīng)的響應(yīng)策略。
4. 服務(wù)區(qū)交換機(jī)上部署IDS，保證對外來所以信息包的檢測。
5. 定期對關(guān)鍵設(shè)備進(jìn)行漏洞掃描，對掃描發(fā)現(xiàn)的安全漏洞應(yīng)有相應(yīng)的響應(yīng)策略，并及時更新漏洞庫。
6. 系統(tǒng)中密碼機(jī)應(yīng)通過獨(dú)立的物理端口與服務(wù)器連接。

CA中所使用密鑰的整個生命周期進(jìn)行防護(hù)

密鑰安全基本要求：

1. 密鑰的生成和使用必須在硬件密碼設(shè)備中完成，安全可靠的管理機(jī)制
2. 在硬件密碼設(shè)備之外的所有密鑰必須加密
3. 密鑰必須由安全可靠的備份和恢復(fù)機(jī)制
4. 密碼設(shè)備操作必須由多個操作員實(shí)施

根CA存放在生成該密鑰的密碼設(shè)備中，采用密鑰分割或密鑰共享機(jī)制進(jìn)行備份，設(shè)置3個或5個分管者保存分割后的根密鑰（口令保護(hù)，保存在智能密碼鑰匙中）。

管理員證書密鑰的安全性管理：

1. 管理員證書密鑰的產(chǎn)生和使用必須在證書載體中完成
2. 密鑰的生成和使用必須由安全可靠的管理機(jī)制
3. 管理員口令8個字符以上
4. 管理員賬號要和普通用戶賬號嚴(yán)格分類管理

各組件間通信安全

CA各子系統(tǒng)之間、CA與KM之間、CA與RA之間（通信加密、安全協(xié)議等）

時間戳服務(wù)器

時間戳服務(wù)器是一款基于PKI（公鑰密碼基礎(chǔ)設(shè)施）技術(shù)的時間戳權(quán)威系統(tǒng)，對外提供精確可信的時間戳服務(wù)。它采用精確 的時間源、高強(qiáng)度高標(biāo)準(zhǔn)的安全機(jī)制，以確認(rèn)系統(tǒng)處理數(shù)據(jù)在某一時間的存在性和相關(guān)操作的相對時間順序，為信息系統(tǒng)中的時間 防抵賴提供基礎(chǔ)服務(wù)。文章來源地址http://www.zghlxwxcb.cn/news/detail-492071.html