国密、商密和普密

· 浏览次数 : 1056

小编点评

**安全密码模块** * 支持移动终端、PC等全终端环境下的可信身份认证服务。 * 利用移动终端作为身份认证载体,以密码技术为核心,通过融合数字证书、生物识别、设备指纹、安全加固等多因素、多维度安全技术,实现安全强度可媲美USBKey的移动终端解决方案。 **智能IC卡** * 可提供服务器密码机、金融数据密码机、签名验证服务器等多种类型的虚拟密码机。 * 使用方式与传统密码机基本一致,方便传统业务平滑迁移至云环境。 **云服务器密码机** * 可提供服务器密码机、金融数据密码机、签名验证服务器等多种类型的虚拟密码机。 * 使用方式与传统密码机基本一致,方便传统业务平滑迁移至云环境。 **数字水印系统** * 采用基于空域的局部图像水印嵌入技术在视频和图片上添加隐形的水印信息,不影响其原载体的使用价值和图像质量,可以被生产方识别和辨认,不易被它方探知,保护多媒体信息安全、实现防伪溯源、版权保护。 **支付密码器** * 与预留印章配合使用鉴别票据真伪的一种辅助工具,针对传统的预留印章鉴别,其具有防伪、防篡改、抗抵赖和防止内部作案等。

正文

国密、商密和普密

区分

国家将信息安全划分为三个等级:核密、普密和商密。其中核密最高,普密次之,商密最低。

  • 核密指国家党政领导人及绝密单位的安全级别,此领域不存在任何商务行为;
  • 普密是指国家党政军机关的信息安全级别

国密是国家自己制定的密码算法标准,商密和普密是《密码法》按密码用途进行分类

image-20230304210351928

三者的区别是服务对象和使用环境不同

具体内容见:《中华人民共和国密码法》

  • 核心密码、普通密码都属于国家秘密,都用于保护国家秘密信息,核心密码保护信息的比较高密级为绝密级,普通密码保护信息的比较高密级为机密级,两种密码都由密码管理部门依法实行严格统一管理。
  • 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。

核心密码(国密)保护的信息属于绝密级

普通密码(普密)保护的信息属于机密级

  • 而商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。比如商用密码可用于企业内部的各类敏感信息的传输加密、存储加密,防止非法第三方获取信息内容;也可用于各种安全认证、网上银行、数字签名等。

应用

在信息互联时代,密码除传统加密外,主要体现在身份认证、权限管理、访问控制等。数字经济时代,密码的作用不断扩展到数据流通、数据共享等新维度,密码技术自身也需要持续革新。

为了保障商用密码安全,国家商用密码管理办公室制定了一系列密码标准,包括 SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、ZUC,其中SM1、SMS4、SM7、ZUC是对称算法;SM2、SM9 是非对称算法;SM3 是哈希算法。下面对这些算法做一简单介绍:

  • SM1

即商密1号算法,亦称SCB2算法,该算法是国家密码管理部门审批的SM1分组密码算法,分组长度和密钥长度都为128比特,算法安全保密强度及相关软硬件实现性能与AES相当,不公开,仅以IP核的形式存在于芯片中。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。

  • SM2

SM2算法是基于椭圆曲线的公钥密码算法,在我国商用密码体系中被用来替换RSA算法,目前支持SM2算法的产品已达1000余款,广泛应用于电子政务、移动办公、电子商务、移动支付、电子证书等基础设施、云服务等领域。

  • SM3

SM3是中华人民共和国政府采用的一种密码散列函数标准,主要用于数字签名及验证、消息认证码生成及验证、随机数生成等。其算法公开,安全性及效率与SHA-256相当。该算法已成为我国电子签名类密码系统、计算机安全登录系统、计算机安全通信系统、数字证书、 网络安全基础设施、安全云计算平台与大数据等领域信息安全的基础技术。

  • SM4

SM(S)4算法,是一个分组算法,分组长度和密钥长度均为128比特,加密算法与密钥扩展算法都采用32轮非线性迭代结构,最初作为无线局域网专用密码算法发布,后成为分组密码算法行业标准。目前支持SMS4算法的产品已达700余款,覆盖了各种有对称加密需求的应用。由于SMS4算法最初用于无线局域网芯片WAPI协议中,支持SMS4算法的WAPI无线局域网芯片已超过350多个型号,全球累计出货量超过70亿颗。在金融领域,仅统计支持SMS4算法的智能密码钥匙出货量已超过1.5亿支。此外,SMS4算法已被纳人可信计算组织(TCG)发布的可信平台模块库规范(TPIM2.0)中。

  • SM7

SM7算法,是一种分组密码算法,分组长度为128比特,密钥长度为128比特。SM7适用于非接触式IC卡,应用包括身份识别类应用(门禁卡、工作证、参赛证),票务类应用(大型赛事门票、展会门票),支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通等)。

  • SM9

SM9密码算法为标识密码算法。由于SM9算法标准发布较晚(2016年4月发布),目前支持SM9算法的产品数量尚少(6款),但由于IBc技术灵活易用和方便管理的特点,SM9算法的应用需求十分旺盛。SM9算法不需要申请数字证书,适用于互联网应用的各种新兴应用的安全保密保障,如基于云技术的密码服务、电子邮件安全、智能终端保护、物联网安全、云存储安全等等。这些安全应用可采用手机号码或邮件地址作为公钥,实现数据加密、身份认证、通话加密、通道加密等安全应用,并具有使用方便、易于部署的特点。自标准发布以来,已有厂商着手研制支持SM9算法的智能密码钥匙、标识密码机、密钥管理系统等系列基础产品,更多的应用单位基于SM9算法设计其系统方案。可以预见的是,SM9算法将会在更广的领域发挥其自身优势。

  • ZUC

ZUC算法,又名祖冲之算法,是中国自主研究的流密码算法。最初是面向4G LTE空口加密设计的序列密码算法,2011年被3GPPm采纳为国际加密标准(3GPPTS 33.401),因此ZUC算法目前主要用于通信领域。根据工信部反馈情况,4G入网检测已要求手机终端全部支持ZUC算法;中国移动针对4GM厂VOLTE网络及窄带物联网(NB— 10T)的空口接人要求全面支持ZUC算法,并以《中国移动VOLTE试点测试规范》和《中国移动窄带物联网安全规范》形式明确。此外,中国移动研制的智能加密移动终端、三零瑞通研制的VOIP语音加密系统以及兴唐通信研制的链路密码机等密码产品中也都率先支持了ZUC算法,为ZUC算法的进一步推广应用打下坚实基础。

商用密码产品目前按形态划分为6类:密码软件、密码芯片、密码模块、密码板卡、密码整机、密码系统

商用密码

(1)密码软件类:提供纯软件形态出现的密码产品,产品有信息加密软件、密码算法实现软件等产品

(2)密码芯片类:指以集成电路芯片形态出现的密码产品,主要产品有密码算法芯片、密码SOC芯片等

(3)密码模块类:指以多芯片组装的背板形态出现,具备专用密码功能,但本身不能完成完整的密码功能的产品,主要有加解密模块、安全控制模块等产品

(4)密码板卡类:指以板卡形态出现,具备完整密码功能的产品,作为密码产品的核心组件,主要有USB密码钥匙、PCI密码板卡等产品

(5)密码整机类:指以整机形态出现,具备完整密码功能的产品,以密码板卡为核心组建,主要有VPN、网络密码机、服务器密码机、签名验证服务器等产品

(6)密码系统类:指以系统形态出现,由密码功能支撑的产品,一般由多个密码整机组成,包括安全认证系统、密钥管理系统等产品

商用密码产品目前按功能划分为7类:密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。

商用密码

(1)密码算法类:提供基础密码运算功能的产品,如密码算法芯片

(2)数据加解密类:提供数据加解密功能的产品,如服务器密码机、VPN设备

(3)认证鉴别类:提供身份认证、密码鉴别功能的产品,如动态口令系统、认证网关

(4)证书管理类:提供证书的产生、分发、管理功能的产品,如证书认证系统

(5)密钥管理类:提供密钥的产生、分发、更新、归档和恢复等功能的产品,如密钥管理系统

(6)密码防伪类:提供密码防伪验证功能的产品电子印章系统、支付密码器、数字水印系统

(7)综合类:提供含上述6类产品功能的两种或两种以上的产品,如电子商务安全平台、综合安全保密系统

以下具体列出常见的商用密码产品

  • TF密码卡

具有数字证书存储、身份认证、数字签名和数据加密存储。产品应用于手机、PDA、GPS、警务通、执法仪、笔记本电脑等智能移动电子设备中,作为强身份验证、数据加密保护的专用密码工具,且具有一定的存储空间。

  • PCI-E密码卡

为各类安全平台提供多线程、多进程和多卡并行处理的高速密码运算服务,具有数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成和管理等功能。产品应用于签名验证服务器、IPSec/SSL VPN网关、防火墙等安全设备以及电子印章管理、安全公文传输等软件系统。

  • 存储型智能密码钥匙

USBKEY和安全U盘的融合产品。具有智能密码钥匙身份认证、数据加密等功能,并集成大容量安全数据存储空间,具备高安全的移动存储功能。

  • 智能密码钥匙

内置安全芯片,提供数字证书管理、数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成等功能。可作为用户登录业务系统的身份凭证。

  • 安全U盘

内置专用硬件算法芯片,实现全盘数据加密存储,用户只有通过身份认证后才能访问加密区,防止加密区数据泄露确保用户数据的机密性。

  • 服务器密码机

提供对非对称/对称数据加解密运算以及数据完整性校验、真随机数生成、数字签名、密钥管理等。

  • 金融数据密码机

用于确保金融数据安全,并符合金融磁条卡、IC卡业务特点的,主要实现PIN加密、PIN转加密、MAC产生和校验、数据加解密、签名验证以及密钥管理等密码服务功能的密码设备。

  • IPSec VPN安全网关

基于IPSec协议提供网络传输的数据提供高性能加密、签名验证服务。通过虚拟隧道技术为总部和分支机构网络之间建立专用通道,保障通道中传送数据的保密性、完整性和真实性。

  • SSL VPN安全网关

提供基于安全套接层SSL的安全通道防护,实现终端用户的远程安全接入,保障远程用户访问公司敏感数据安全性。

  • 密钥管理系统

提供非对称密钥对和对称密钥的生成、存储、保护、分发、注销、归档和恢复,以及对密钥申请的授权和证实、归档密钥的恢复、密钥管理的审计和跟踪、密钥管理系统的访问控制等功能。

  • 签名验证服务器

提供数字签名/验证、文件签名/验证、数字信封、密钥管理、证书管理、数据杂凑等功能。可对网上证券、网上保险、网上银行及电子商务和电子政务活动中的关键敏感数据进行签名验签。

  • 数字证书认证系统

基于PKI关键技术,提供数字证书的申请、审核、签发、查询、发布,证书吊销列表的签发、查询、发布等全生命周期管理功能。应用系统可使用加密和数字签名技术,保证网络信息传输的机密性、真实性、完整性和不可否认性。

  • 安全认证网关

采用数字证书为应用系统提供基于数字证书的高强度身份鉴别服务,如用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务。

  • 密码键盘

用于保护PIN输入安全并对PIN进行加密的独立式密码模块。包括POS主机等设备的外接加密密码键盘和无人值守(自助)终端的加密PIN键盘。

  • 时间戳服务器

基于KPI技术的时间戳权威系统,对外提供精确可信的时间戳服务器。广泛应用于网上交易、电子病历、网上招投标和数字知识产权保护等电子政务和电子商务活动中。

  • 安全门禁系统

采用密码技术,确定用户身份和用户权限的门禁控制系统。

  • 动态令牌(认证系统)

为应用系统提供动态口令认证服务。由认证系统和密钥管理系统组成。动态令牌负责生成动态口令,认证系统负责验证动态口令的正确性,密钥管理系统负责动态令牌的密钥管理,信息系统负责将动态口令按照指定的协议发送至认证系统进行认证。

  • 安全电子签章系统

提供电子印章管理、电子签章/验章等功能的密码应用系统。

  • 电子文件密码应用系统

在电子文件创建、修改、授权、阅读、签批、盖章、打印、添加水印、流转、存档和销毁等操作中提供密码运算、密钥管理等功能的应用系统。

  • 可信计算密码支撑平台

采取密码技术,为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。其产品形态主要表现为可信密码模块和可信密码服务模块。

  • 证书认证(密钥管理)系统

证书认证系统,对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。证书认证密钥管理系统,对生命周期内的加密证书密钥对进行全过程管理的系统。

  • 安全芯片

含密码算法、安全功能,可实现密钥管理机制的集成电路芯片。

  • 电子标签芯片

含密码算法、安全功能,可实现密钥管理机制的集成电路芯片。

  • 电子印章系统

传统印章与数字签名技术结合,采用组件技术、图像处理技术及密码技术,对电子文件进行数据签章保护。电子印章系统包括电子印章制作系统与电子印章服务系统。电子印章制作系统主要用于制作电子印章,印章数据通过离线的方式导入电子印章服务系统。电子印章服务系统主要用于电子印章的盖章、验章。

  • 数字证书密钥管理系统

密钥生成、密钥库管理、密钥恢复、密码服务、密钥管理、安全审计、认证管理等功能模块组成。

  • 智能IC卡

实现密码运算和密钥管理功能的含CPU(中央处理器)的集成电路卡,包括应用于金融等行业领域的智能IC卡。

  • 安全密码模块

提供移动终端、PC等全终端环境下的可信身份认证服务。利用移动终端作为身份认证载体,以密码技术为核心,通过融合数字证书、生物识别、设备指纹、安全加固等多因素、多维度安全技术,实现安全强度可媲美USBKey的移动终端解决方案。

  • 纵向加密认证装置

为电力调度部门上下级控制中心多个业务系统之间的实时数据交换提供认证与加密服务,实现端到端的选择性保护,保证电力实时数据传输的实时性、机密性、完整性和可靠性。部署在电力控制系统的内部局域网与电力调度数据网络的路由器之间。

  • 云服务器密码机

可提供服务器密码机、金融数据密码机、签名验证服务器等多种类型的虚拟密码机;使用方式与传统密码机基本一致,方便传统业务平滑迁移至云环境。

  • 桌面型加密认证装置

一种小微型加密认证网关设备。产品基于国密算法实现身份认证、访问控制、数据加解密等功能。产品可自身配对使用或与其它加密认证网关类产品配合使用,解决工控终端与应用系统、物联网终端与应用系统以及小型数据中心之间的安全互联,实现数据/指令的传输加密和完整性校验。

  • 密码检测平台

针对密码机、VPN网关等各类标准密码设备及各类支持密码运算的工控设备(如智能电表)进行密码算法、随机数、密码协议、密码运算性能等方面的自动化检测。

  • 数字水印系统

采用基于空域的局部图像水印嵌入技术在视频和图片上添加隐形的水印信息,不影响其原载体的使用价值和图像质量,可以被生产方识别和辨认,不易被它方探知,保护多媒体信息安全、实现防伪溯源、版权保护。

  • 支付密码器

与预留印章配合使用鉴别票据真伪的一种辅助工具,针对传统的预留印章鉴别,其具有防伪、防篡改、抗抵赖和防止内部作案等。

  • 电话加密机

具有普通通话和加密通话两种功能,机身有加密\非加密转换开关和密钥转换开关;机身内连接调制解调电路,该电路包括低通滤波、调制解调和分频电路,可使普通话音信号经调制加密而发出,也可使加密话音信号经解调去密而接收;当转换开关置于加密位置时,通话电路与调制解调电路相连。

  • 数据库加密系统

通过系统中加密、DBMS内核层(服务器端)加密和DBMS外层(客户端)加密。且能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。

参考

1、国密普密商密有什么区别?一文给你讲清楚

2、35类主流商用密码产品

3、商用密码是什么?商用密码产品有哪些?

4、商用密码算法简介

5、简述国密算法

与国密、商密和普密相似的内容:

国密、商密和普密

国密、商密和普密 区分 国家将信息安全划分为三个等级:核密、普密和商密。其中核密最高,普密次之,商密最低。 核密指国家党政领导人及绝密单位的安全级别,此领域不存在任何商务行为; 普密是指国家党政军机关的信息安全级别 国密是国家自己制定的密码算法标准,商密和普密是《密码法》按密码用途进行分类。 三者的

国密复习

国密复习 其中SM1和SM7是不公开的。 ZUC ZUC(ZU Chong zhi)算法一个流密码(序列密码),主要功能是产生密钥流,可以用机密性和完整性验证。 | 初始密钥 | 初始向量 | 输出(每次) | 轮数 | | | | | | | 128bit | 128bit | 32bit | 3

[转帖]SM系列 国密算法

https://www.cndba.cn/dave/article/3347 为了保障商用密码的安全性,国家商用密码管理办公室制定了一系列密码标准,包括SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法(ZUC)那等等。 1 SM1对称密码 SM1 算法是分组密码算法,分组长

ECC(SM2) 简介及 C# 和 js 实现【加密知多少系列_6】

本文首先简单介绍了国密 ECC 的特点,然后再通过两种方式实现 SM2 进行了实践,提供的实现代码均已经过验证。

[转帖]瀚高数据库 SM3和MD5密码验证配置

我们都知道,瀚高数据库安全版v4.5和企业版v6都支持国密sm3。一般我们在initdb的时候,会通过选项“-A sm3”来指定,这样的效果是创建用户或修改密码时,默认就会使用sm3取密码的散列值。我们也可以在后期添将密码动态改为md5。 例如,我们当前默认是md5,现在要添加一个用户,使用sm3,

RELIC库学习

《RELIC库学习》 文章介绍:密码学与区块链技术实验室向开源项目RELIC贡献国密算法代码 了解 RELIC是由Diego F. Aranha开发的高效、灵活的开源密码原语工具箱,包含多精度整数运算、有限域(包含素数域和二元域)运算、椭圆曲线、双线性映射和扩域运算、密码协议(如RSA、Rabin、

文章学习:TPRE-分布式门限代理重加密

学习文章:TPRE:分布式门限代理重加密 前言 成方金科新技术实验室与隐语团队合作,构建了“基于国密的分布式门限代理重加密算法TPRE”,为用户提供了一种安全、高效、自主可控的数据共享和授权管理方案。在数据隐私保护和数据安全共享方面具有广泛的应用前景。 ⚠️:该算法由成方金科密码学研究员张曙光(知乎

商用密码应用安全性评估

> 了解密评,参考:https://www.zxcsec.com/Assessment.html ## 什么是商用密码应用安全性评估? 商用密码应用安全性评估(简称“**密评**”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的**合规性、正确性、有效性进行评估**。 ## 国

[转帖]国发终于成功了!歼15开始换装太行发动机,国产战机全面淘汰俄发

https://www.toutiao.com/article/7169123680814105095/?wid=1670030647459 在刚结束的珠海航展上,国产太行发动机首次以家族的形式亮相,展出了包括二元矢量版本和轴对称矢量版本在内的5款太行发动机,让广大军迷大呼过瘾。而央视23号播出的《

冯登国院士:数据安全新方向——数据使用安全

链接: 冯登国院士:数据安全新方向——数据使用安全 近日,在2023中关村论坛——数据安全治理与发展分论坛上,冯登国院士做了主题为:《数据安全新方向:数据使用安全》的分享,以下是分享全文。 各位专家,各位嘉宾,大家好: 很高兴有这个机会与大家进行交流一下对数据安全的一些认识,发言题目是《数据安全新方