密码机分类---服务器密码机

  • 服务器密码机描述
  • 产品标准
  • 使用方式

服务器密码机描述

服务器密码机作为通用型密码机产品,主要为应用提供最为基础和底层的密钥管理和密码计算服务。下图是典型的服务器密码机软硬件架构。

从硬件上看,服务器密码机通常分为两类,一类是采用工控机+PCI/PCI-E密码卡的结构:密码卡进行实际的密钥管理和密码计算,集成在工控机上供其调用;另一类服务器密码机采取硬件自主设计的技术路线,将计算机主板的功能和密码芯片集成到一个板卡上,以进一步提高集成度和稳定性。

服务器密码机的管理员一般拥有较高的权限,为了对管理员身份进行有效鉴别,服务器一般还配备智能卡、智能密码钥匙等身份鉴别介质,使用期存储的对称/非对称密钥,利用挑战-响应等机制完成对于管理员的鉴别需求。近年来,一些服务器密码机为了提高便利性和可用性,提供了安全管理链路等机制,实现了设备的远程集中管理。

从软件组成上看,工控机上一般运行经过裁剪的linux操作系统,在操作系统上调用PCI/PCI-E密码卡的密钥管理和密码计算功能,并进一步封装,通过网络等接口对外提供服务,以满足各类应用的需求。当然,服务器密码机未必一定包括传统意义上的操作系统。事实上,有些高安全服务器密码机通常只运行那些自己设计实现的代码,将不必要的功能进行裁剪以降低安全隐患。

商密认证过程如遇到问题可站内或联系15011462285.

产品标准

服务器密码机的服务接口遵循GM/T 0018-2012《密码设备应用接口规范》,其功能、硬件、软件、安全性多等遵循GM/T 0030-2014《服务器密码机技术规范》。下面根据上述产品标准给出应用要点。

应结合服务接口类型,理解服务器密码机产品的密钥体系结构。标准GM/T 0030-2104中规定服务器密码机支持支持三层密钥体系结构,包括管理密钥、用户密钥/设备密钥/密钥加密密钥、会话密钥。除管理密钥外,其他密钥可被用户使用,提供数据的加解密等服务。下面介绍密钥体系中的各层密钥的用途和相关规定。

1) 管理密钥:管理密钥主要是用于保护服务器密码机中密钥和敏感信息安全的密钥,它一般与应用无关,而与设备的安全性设计相关。管理密钥包括但不限于:管理员密钥、与管理工具建立安全通道的密钥、保护其他各层次密钥的密钥加密密钥、保护设备固件完整性的密钥、保护设备日志完整性等的密钥。管理密钥与设备本身的安全性设计相关,与外部应用没有关联,其使用不对应用系统开放。
2) 用户密钥:用户密钥是用户的身份密钥,包括签名密钥对和加密密钥对。签名密钥对由服务器密码机生成或安装,用于实现用户签名、验证、身份鉴别等,代表用户或应用者的身份;而加密密钥对则由密钥管理系统下发到设备中,主要用于对会话密钥的保护和数据的加解密等。用户密钥存储在服务器密码机内部的安全存储区域。
3) 设备密钥:与用户密钥类似,设备密钥是服务器密码机的身份密钥,包括签名密钥对和加密密钥对,用于设备管理,代表服务器密码机的身份。
4) 密钥加密密钥:密钥加密密钥是定期更换的对称密钥,用于在预分配密钥情况下,对会话密钥的保护。
5) 会话密钥:会话密钥是对称密钥,一般直接用于数据的加解密。会话密钥使用服务器密码机的接口生成或导入,使用时利用句柄检索。为了保证会话密钥的安全,它不能以明文形态进出密码机,服务器密码机的接口采用数字信封、密钥加密密钥加密传输或者密钥协商等方式进行会话密钥的导入导出。

使用方式

应结合具体密码服务,理解服务器密码机的接口类别和调用。服务器密码机的服务接口遵循GM/T 0018-2012。服务器密码机通过GM/T 0018-2012定义的基础密码服务包括密钥生成、单一的密码运算、文件管理等的服务。接口以C语言API形式呈现,使用密钥时不传入密钥明文,而是利用密钥句柄使用密钥。

相关接口类型包括:

  • 设备管理类:主要是对于密码设备、会话、私钥权限的管理。
  • 密钥管理类:主要涉及会话密钥生成、密钥的导入导出、密钥销毁等密钥生命周期管理。
  • 非对称算法运算类函数:主要包括数字签名的计算和公钥加解密操作。 对称算法运算类函数:主要包括对称加解密和MAC的计算。
  • 文件类函数:对内存存储的文件进行管理。

需要注意的是,服务器密码机的就接口使用一个有状态的过程,需要遵循一定的顺序,并且需要维持上下文。以下介绍服务器密码机两类典型应用的操作流程:
客户端调用服务器密码机存储的用户密钥进行签名的一般顺序为:

  • SDF_OpenDevice:打开设备,获得设备句柄
  • SDF_OpenSession:创建会话,获得会话句柄
  • SDF_GetPrivateKeyAccessRight:获取内部私钥使用权限
  • SDF_InternalSign_ECC:使用内部私钥进行签名
  • SDF_ReleasePrivateKeyAccessRight:释放私钥权限
  • SDF_CloseSession:关闭会话,销毁会话句柄
  • SDF_CloseDevice:关闭设备,销毁设备句柄

完成签名后,其他应用可以使用对应的公钥/证书来验证签名的正确性。
客户端调用服务器密码机使用会话密钥加密数据的一般顺序为:

  • SDF_OpenDevice:打开设备,获得设备句柄
  • SDF_OpenSession:创建会话,获得会话句柄
  • SDF_GenerateKeyWithEPK_ECC:生成会话密钥,并制作数字信封加密导出
  • SDF_Encrypt:利用会话密钥加密数据
  • SDF_CloseSession:关闭会话,销毁会话句柄
  • SDF_CloseDevice:关闭设备,销毁设备句柄

完成数据加密后,持有外部公钥所对应私钥的用户可以打开数字信封,获得会话密钥句柄,并利用该会话密钥解密获得数据明文。

密码机分类---服务器密码机相关推荐

  1. 云服务器加密机,卫士通云服务器密码机

    云服务器密码机 云服务器密码机是硬件密码机,采用虚拟化技术,在一台密码机中按需生成多台虚拟密码机(以下简称VSM),每台VSM对外提供与普通服务器密码机一致的密钥管理和密码运算服务.同时,云服务器密码 ...

  2. 密码机分类--签名验签服务器

    商密产品认证-签名验签服务器 产品概述 签名验签服务器应用要点 产品概述 签名验签服务器是为应用实体提供基于PKI体系和数字证书的数字签名.验证签名等运算功能的服务器,可以保证关键业务信息的真实性.完 ...

  3. 云服务器加密机,如何选择云服务器密码机

    如何选择云服务器密码机 星期五, 九月 6, 20190 安全问题和IT治理是采用云技术的主要障碍,但近年来公众对公有云安全的看法已经发生了变化,提高IT安全现在被认为是采用公有云的主要推动因素之一. ...

  4. 服务器设备管理接口协议,VIP专享 | GM/T 0088-2020 云服务器密码机管理接口规范

    原标题:VIP专享 | GM/T 0088-2020 云服务器密码机管理接口规范 一次性付费进群,长期免费索取资料. 回复公众号: 微信群 可查看进群流程. 本文件规定了云平台管理系统与云服务器密码机 ...

  5. 验证客户端和服务端可以传输经SM4加密的密文数据,从而验证发送数据已使用服务器密码机进行SM4加密,而不是随便的字符串乱码

    前提操作 搭建客户端和服务端  Socket代码实现服务端 和 客户端之间通信_CHYabc123456hh的博客-CSDN博客 使用wireshark进行数据的监听和测试https://blog.c ...

  6. 渔翁服务器密码机的环境配置

    Linux版本 需要将配置文件  FMDevice.conf    存储到 /etc目录下 需要将库文件      libfmapiv100.so  存储到 /lib64目录下 编译的命令  gcc ...

  7. 服务器密码机部分文件的介绍学习

    相关文件包 automake,autoconf使用详解

  8. 从零开始配置服务器密码机的开发环境

    开发环境 环境配置 安装gcc编译器 安装g++编译器 安装make 安装cmake 安装ssh 安装git和配置 安装大文件管理工具git-lfs 安装数据库sqlite3 安装数据库sqlite_ ...

  9. 服务器系统文档分类,服务器操作系统及分类

    服务器操作系统及分类 内容精选 换一换 弹性云服务器卸载磁盘.弹性云服务器状态为stopped时支持系统盘(也就是/dev/sda挂载点)和用户盘的卸载,没有操作系统限制,也不需要在弹性云服务器内部安 ...

  10. 文件分类服务器,云服务器 搭建 文件分类存储

    云服务器 搭建 文件分类存储 内容精选 换一换 本章节指导用户挂载已有数据的共享磁盘,只可以用作数据盘.您可以在磁盘列表中查看磁盘信息,磁盘信息符合以下条件,该磁盘支持挂载至云服务器用作数据盘.共享盘 ...

最新文章

  1. 图像分割 | FCN数据集制作的全流程(图像标注)
  2. matlab输入数组出曲线,用鼠标画出曲线,并将曲线所经过的点保存到数组中
  3. 滴水穿石-05数组排序
  4. python组成三位无重复数字_Python生成十万个无序且唯一的数字
  5. 【Python】count()方法:统计字符串出现的次数
  6. 正则表达式(括号)、[中括号]、{大括号}的区别
  7. StringStringBuilder的使用
  8. (转)open gl 实例 demo ---vs2005 环境
  9. 区间内素数的个数(也要用到埃氏算法)
  10. Flutter布局常用widgets
  11. HDOJ水题集合2:最短路(Dijkstra)
  12. mysql 5.622_新特新解读 | MySQL 8.0 对 count(*)的优化
  13. Java网络编程总结
  14. php还原时间戳,如何将php时间戳转换回日期
  15. matlab图形黎曼几何,黎曼几何不一致的定理—元数学与元物理学(22)
  16. 3269: 万水千山粽是情
  17. 小红书赞助和广告有什么区别,小红书赞助和广告一样吗?
  18. 使用中文预训练模型 bert-wwm 获得字向量和词向量
  19. 项目管理办公室(PMO)和项目经理(PM)的区别
  20. .net 6项目使用DB First时报“Unable to resolve service for type......”的错

热门文章

  1. java读取xml转json
  2. android判断极光推送是不是注册成功,android极光推送用户怎么注册sdk
  3. 河源戴尔服务器型号,【河源DELL(戴尔)磁盘阵列】河源DELL(戴尔)磁盘阵列报价及图片大全-列表版-ZOL中关村在线...
  4. iconfont-阿里巴巴矢量图标库在layui中的使用
  5. 无法安装64位版本的Office,因为在您的PC上找到了以下32位程序……解决办法
  6. C语言程序设计第五版谭浩强课后答案 第三章习题答案
  7. 软件安全备考--PE文件
  8. 汉印HPRT HY80BT 打印机驱动
  9. 3D元素周期表源码(已加注释)及分析
  10. C#仿win10计算器