密码学：商用密码应用（密码机密码卡）

文章目录

前言
密码机密码卡介绍
接口介绍
功能测试
性能测试

前言

本文主要参考标准有GM/T 0018-2012《密码设备应用接口规范》，GM/T 0059-2018《服务器密码机检测规范》，《PCI密码卡技术规范》。
在公钥密码基础设施应用技术体系框架中，密码设备服务层由密码机、密码卡、智能密码终端等设备组成，0018规定的密码设备应用接口向通用密码服务层提供基础密码服务。

密码机密码卡介绍

服务器密码机

又称主机加密服务器，能独立或并行为多个应用实体提供密码服务和密钥管理的设备。

云服务器密码机

在云计算环境下，采用虚拟化技术，以网络形式，为多个租户的应用系统提供密码服务的密码设备。

金融数据密码机

用于金融领域，保护金融数据安全，主要实现PIN加密、PIN转加密、MAC产生和校验、数据加解密、签名验证以及密钥管理等密码服务功能的密码设备。

PCI密码卡

指具有密码运算功能和自身安全保护功能的PCI硬件板卡设备。

PCI密码卡可以应用在需要密码运算和密钥管理等安全功能的、具有PCI局部总线或者PCI Express的统信设备、计算机设备、安全保密设备上，例如：虚拟专网(VPN)设备、证书中心(CA)系统的有关设备、网络密码机、安全服务器、安全终端、安全管理中心、密钥管理设备等。

接口介绍

设备管理类

包括打开关闭设备，创建关闭会话，获取设备信息，产生随机数，获取释放私钥使用权限。

密钥管理类

包括导出公钥，产生非对称密钥对并输出，生成会话密钥并使用公钥加密输出，导入会话密钥并用内部私钥解密，生成会话密钥并用密钥加密密钥加密输出，销毁会话密钥等。

非对称算法运算类

包括外部公钥运算，外部私钥运算，内部公钥运算，内部私钥运算。

对称算法运算类

包括对称加解密，计算MAC。

杂凑算法运算类

包括杂凑运算初始化，杂凑运算，杂凑运算结束。

用户文件操作类

包括创建文件、读取文件、写文件、删除文件。

功能测试

服务器密码机测试网络拓扑

服务器密码机功能检测内容

包括1、设备状态检测 2、设备自检检测 3、设备配置管理检测 4、设备密钥管理检测 5、设备密码算法正确性与一致性检测 6、设备随机数质量检测 7、设备应用接口检测 8、设备访问控制检测 9、设备日志记录检测 10、设备网络适应性检测

服务器密码机功能检测方法

根据检测规范和各厂商的应用接口开发手册，设置正确的调用环境，其应用接口的检测需要通过C语言调取API函数。正确调用接口函数后，API函数会返回正确结果，完成相应的功能，反之，API函数会返回错误代码。

密码卡测试网络拓扑

服务器需安装密码卡，测试终端远程连接服务器，API函数运行在服务器内部。

密码卡功能检测内容

PCI密码卡需要具备对称算法运算、非对称算法运算、杂凑算法运算以及随机数生成的能力。对称算法包括SM1、SM4、AES，算法模式包括ECB、CBC；非对称算法密钥对的生成存储分为密码卡内部和密码卡外部两种方式，调用方式分为密钥对生成、加密、解密、签名、验签五种方式，非对称算法包括SM2、SM9、RSA2048；摘要算法包括SM3、SHA256。

密码卡功能检测方法

根据用户手册，需要设置正确的调用环境（驱动、动态库），使用C语言调用API函数。

性能测试

性能检测内容

包括1、随机数产生性能 2、对称密钥产生检测性能 3、非对称密钥产生性能 4、SM1算法加解密性能 5、SM2算法加解密性能 6、SM2算法签名及验证性能 7、SM3算法运算性能 8、SM4算法加解密性能

性能检测方法

由各厂商提供测试工具或者自己创建测试用例，通过C语言调取API函数，得到设备性能。为了使性能得到最优值，要控制数据大小、线程数、循环数。

1、随机数产生性能：让密码机（密码卡）生成并输出长度L（字节）的随机数N组，统计完成时间T（秒），性能指标公式为：S=8LN/(1024*1024T);单位Mbps。

2、对称密钥产生性能：让密码机（密码卡）生成并输出M对密钥对，统计完成时间T（秒），性能指标公式为：S=M/T;单位（组/秒）。

3、非对称密钥产生性能：让密码机（密码卡）生成并输出M对密钥对，统计完成时间T（秒），性能指标公式为：S=M/T;单位（对/秒）。

数据大小：256

线程数：单线程，多线程（32\64\128）

循环数：1000\3000\6000\10000\20000

4、对称算法加解密性能：将一个长度为L（字节）的数据报文，发送给密码机（密码卡）进行加解密操作，重复操作N次，统计其完成时间T（秒），性能指标公式为：S=8LN/(1024*1024T);单位Mbps。

数据大小：大文件（8K\16K\32K）、小文件（128\256\512）

线程数：单线程，多线程（32\64\128）

循环数：1000\3000\6000\10000\20000

5、SM2算法加解密（签名验签）性能：将一个长度为L（字节）的数据报文，发送给密码机（密码卡）进行加解密（签名验签）操作，重复操作N次，统计其完成时间T（秒），性能指标公式为：S=N/T;单位（次/秒）。

数据大小：32\128\256

线程数：单线程，多线程（32\64\128）

循环次数：1000\3000\6000\10000\20000

6、杂凑算法性能：将一个长度为L（字节）的数据报文，发送给密码机（密码卡）进行摘要运算，重复操作N次，统计其完成时间T（秒），性能指标公式为：S=8LN/(1024*1024T);单位Mbps。

数据大小：大文件（8K\16K\32K）、小文件（128\256\512）

线程数：单线程，多线程（32\64\128）

循环数：1000\3000\6000\10000\20000