金融系統中加密機的簡介
加密機是一台大小和台式PC機箱差不多大小的一台設備,價格較貴,約6-8萬/台,在銀行、銀聯、第三方支付等金融機構廣泛使用,主要用來加解密銀行卡密碼,計算交易MAC,保證交易中敏感數據的安全等。
根據加密協議的層次(OSI模型),可以分為鏈路加密機、網絡加密機(IP層)、應用層加密機。
實現點對點加密的信息技術設備
它是用在廣域網或城域網的兩個節點之間。通俗講,單位A和單位B的網絡要連,又不想讓別人知道他們傳輸什么信息,就在A的網絡出口處放個加密機,同樣B的出口也放個加密機,這樣在這兩個單位之間的信息傳輸通過加密算法加密后,不是普通的TCP/IP協議包了,別人能夠截取也看不見內容。
當然,這里舉的是網絡加密、對稱算法的例子。有的加密機帶路由功能,有的不帶則需要再加路由器。具體比較復雜,類型、應用種類很多。
加密機一般不在internet上用,在網站中基本用不到,如果網站要實現加密遠程登錄,用VPN就行了。
至於執行的功能就是通過預設的加密算法對數據包進行加密。加密算法也有很多種。
加密機是一個重要單位保護通訊數據用的。裝的裁剪的linux,都有硬件毀鑰,開蓋毀鑰功能,使用之前,要把機器的管理員證書,設備證書,加密證書給主站簽發。
然后放入本機,主站還會提供對應的通道證書。本機加入證書后,再綁定ip,設定好策略。就可以工作了。
我們用的早期的是RSA加密,現在推了SM2,SM3(哈希函數算法標准)加密。
加密機是通過國家商用密碼主管部門鑒定並批准使用的國內自主開發的主機加密設備,加密機和主機之間使用TCP/IP協議通信,所以加密機對主機的類型和主機操作系統無任何特殊的要求。
什么是加密機?
加密機主要有四個功能模塊
硬件加密部件
硬件加密部件主要的功能是實現各種密碼算法,安全保存密鑰,例如CA的根密鑰等。
密鑰管理菜單
通過密鑰管理菜單來管理主機加密機的密鑰,管理密鑰管理員和操作員的口令卡。
加密機后台進程
加密機后台進程接收來自前台API的信息,為應用系統提供加密、數字簽名等安全服務。加密機后台進程采用后台啟動模式,開機后自動啟動。
加密機監控程序和后台監控進程
加密機監控程序負責控制加密機后台進程並監控硬件加密部件,如果加密部件出錯則立即報警。
加密機前台API
加密機前台API是給應用系統提供的加密開發接口,應用系統通過把加密機前台API使用加密的加密服務,加密機前台API是以標准C庫的形式提供。目前加密機前台API支持的標准接口有:PKCS#11、Bsafe、CDSA等。
加密機支持目前國際上常用的多種密碼算法
支持的公鑰算法有
RSA DSA 橢圓曲線密碼算法 Diffe Hellman SM2
支持的對稱算法有
SDBI DES 3DES IDEA RC2 RC4 RC5 SM4 SM1
支持的單向散列算法有
SDHI MD2 MD5 SHA1 SM3
SM3,哈希函數算法標准。
2005年,王小雲和國內其他專家設計了我國首個哈希函數算法標准SM3,受SM3保護的智能電網用戶6億多,含SM3的USBKey出貨量過10億張,銀行卡過億。SM3發布之后,30多項密碼相關領域的行業標准出爐。
SM2是國家密碼管理局於2010年12月17日發布的橢圓曲線公鑰密碼算法。
SM2算法和RSA算法都是公鑰密碼算法SM2算法是一種更先進安全的算法,在我們國家商用密碼體系中被用來替換RSA算法。
隨着密碼技術和計算機技術的發展,目前常用的1024位RSA算法面臨嚴重的安全威脅,我們國家密碼管理部門經過研究,決定采用SM2橢圓曲線算法替換RSA算法。