渔翁SM9密码卡已通过国家密码管理局的专家鉴定,是国家密码管理局准予销售且能够满足应用需求的商用密码产品,符合监督保护级、强制保护级和专控保护级信息系统的商用密码技术要求。密码卡具有身份鉴别、访问控制、算法加解密、数据签名验证、安全审计、软件容错、备份恢复等功能,用户可根据信息系统安全等级保护基本要求将密码卡应用于三级以上信息系统中网络安全、主机安全、应用安全、数据安全及备份恢复等方面。
一.产品特性
1.高安全性
采用国家密码管理局批准的密码算法芯片实现SM1、SM2、SM3密码算法。
支持SM4无线局域网和可信计算领域专用分组密码算法。
采用硬件真随机数芯片生成随机数,提高口令及各种密钥的质量。
提供多种保护自身的安全措施,以保护密码卡中敏感信息不被非法获取、伪造、篡改。
采用严格的密钥保护安全机制,卡内各级密钥不能被明文导出到密码卡外。
多级权限管理,可设置管理员和操作员,通过权限分割保证卡内数据和程序的安全。
用户身份通过高安全性的智能密码钥匙进行识别。
支持通过智能密码钥匙进行密钥和敏感信息的备份。
2.高性能
密码卡主控芯片采用高性能FPGA芯片,通过流水的工作方式,实现对称算法的高性能。
主机与密码卡数据传输采用高效的DMA处理方式,减少主机CPU占用。
密码算法采用专用ASIC算法芯片或FPGA硬件实现。
3.易用性
适用于PC机、服务器等多种平台,支持PCI、PCI-E、MINI PCI-E插槽。
支持32位和64位操作系统平台,支持多线程、多进程跨平台应用。
支持用户/内核态接口以及PKCS#11、CSP、JCE等国内、国际标准安全接口。
具有完整的文件系统,提供用户存储空间。
支持密钥数目和文件空间的可定制配置。
二.产品功能
1.密码算法
密码卡提供对称算法、非对称算法、杂凑算法以及真随机数生成等各类安全算法服务功能,内部实现门限算法以满足安全管理需求。密码算法采用硬件ASIC芯片和多种技术手段,满足不同用户的性能需求。
2.通信保密性
密码卡提供多种国密、国际密码算法,可对数据进行多种加密传输方式,保证数据的通信保密性。
3.通信完整性
密码卡提供使用敏感标记检验功能,可验证数据信息的通信完整性。
4.抗抵赖性
密码卡具有在请求的情况下使用数字签名为数据原发者或接收者提供数据原发或接受证据的功能。
5.设备管理
密码卡具有唯一的设备序列号。可以通过软件接口获取设备标志信息,包括:生产厂商、设备类型、序列号、硬件版本、软件版本、支持算法等。
6.安全审计
密码卡具有日志记录功能,可以生成详细的日志,方便对操作的每一步进行检查监测。
7.身份鉴别
密码卡支持通过外部智能密码钥匙进行用户管理的方式,能识别用户身份。
8.双因子认证
用户登录时需使用密码+电子钥匙的双因子形式进行登录。
9.访问控制
密码卡支持两种管理方式,一是仅提供算法功能的方式,另一种是通过外部智能密码钥匙进行用户、权限和密钥管理的方式。根据管理用户的角色分配权限,实现用户的权限分离,仅授予管理用户所需的最小权限。
如果采用智能密码钥匙管理方式,一个用户使用一个智能密码钥匙标识身份,一个智能密码钥匙也仅能标识一个用户,管理操作采用二级管理体制:
1)管理员及管理权限。管理员通常初始化为5个,必须满足半数以上的管理员登录才具有管理权限。管理权限是系统的最高权限,可以执行密码管理、用户管理、备份管理等特殊功能。除非掉电复位或用户主动清除安全状态才能取消管理员登录状态。
2)操作员及操作权限。操作权限可以进行日常操作,操作员的权限相同,登录一个操作员就可以具有操作权限。操作员具有查看服务器信息、加密解密、签名验签等权限。操作权限在智能密码钥匙拔出后自动取消。
10.软件容错
加密卡的所有接口都具有严密的参数检查功能,可以有效地对传入数据进行有效性验证。
11.备份与恢复
密码卡提供密钥的备份和恢复功能,可以对一些重要的密钥进行备份,防止意外情况的发生,密钥的备份和恢复需要管理权限。
密钥的备份和恢复,采用安全的(3,5)门限算法。备份时,将需要备份的密钥加密导出密码卡,在卡外存放,备份密钥分发到5个管理员USB KEY中。恢复时,只需要其中的任意3个管理员USB KEY即可得到备份密钥,即可恢复备份的密钥到密码卡内部。
12.文件系统
密码卡实现了类似FAT系统的具有自主知识产权的嵌入式文件系统。文件系统的功能全面,实现灵活,支持目录和文件的创建、删除、枚举和读写,支持多级目录管理,可设置文件的读写权限。
13.设备管理
密码卡提供打开、关闭设备,获取设备信息等多项设备管理功能。
三.应用领域
渔翁密码卡可广泛应用于需要密码运算和密钥管理等安全功能的通信设备、计算机设备、安全保密设备上,如:虚拟专网(VPN)设备、证书中心(CA)系统的有关设备、网络密码机、安全服务器、安全终端、安全管理中心、密钥管理设备等。