《加密机选购大全》word版.doc

加密机选购大全加密机选购大全2010-12-05 17：19什么是加密机?机加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。加密机主要有四个功能模块硬件加密部件硬件加密部件主要的功能是实现各种密码算法，安全保存密钥，例如CA的根密钥等。密钥管理菜单通过密钥管理菜单来管理主机加密机的密钥，管理密钥管理员和操作员的口令卡。加密机后台进程加密机后台进程接收来自前台API的信息，为应用系统提供加密、数字签名等安全服务。加密机后台进程采用后台启动模式，开机后自动启动。加密机监控程序和后台监控进程加密机监控程序负责控制机密机后台进程并监控硬件加密部件，如果加密部件出错则立即报警。加密机前台API加密机前台API是给应用系统提供的加密开发接口，应用系统通过把加密机前台API使用加密的加密服务，加密机前台API是以标准C库的形式提供。目前加密机前台API支持的标准接口有：PKCS#11、Bsafe、CDSA等。加密机支持目前国际上常用的多种密码算法支持的公钥算法有RSA DSA椭圆曲线密码算法Diffe Hellman支持的对称算法有SDBI DES IDEA RC2 RC4 RC5支持的对称算法有SDHI MD2 MD5 SHA1大家知道，加密技术以往曾一直为政府机构专用，随着电子商务的普遍深入以及Internet向全球每一个角落的渗透，加密技术已经赢得了广泛的关注。加密技术能确保信息保密、确定信息没有被篡改、以及确认是谁提供的信息。今天，加密技术已被公认为是确保信息在全球网络传送安全的最经济、最强有力工具。与日俱增的各种服务应用的需求对计算机速度的进一步提高和通信应用程序的功能提出了更高的要求。例如虚拟个人网络(VPN)、电子银行、WWW、多媒体电子邮件、可视会议及高保真电视等。在高速网络上进行的应用服务的保护长期以来一直受到高度关注。加密机是一个基于安全的操作系统平台、具有高级通信保密性、完整性保护功能的控制系统。它是专用软、硬件设备，可具有多个网络接口，可安装于内联网各局域网出口处，或安装于内联网与公共网络接口处，或集成于网络防火墙中，提供网络边界之间的加密、认证功能。加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。从逻辑上来看，加密机主要有四个功能模块组成：硬件加密部件硬件加密部件主要的功能是实现各种密码算法，安全保存密钥，主机加密机的硬件加密部件采取了多种安全措施，能够安全的保存一些重要的密钥，所以主机加密机特别适合于对密钥安全性要求特别高的应用。密钥管理菜单用户通过密钥管理菜单来管理主机加密机的密钥，管理密钥管理员和操作员的口令卡。加密机后台进程加密机启动后自动启动后台进程，并检查操作员口令卡、启动加密部件。加密机后台进程接收来自前台API的信息，为应用系统提供加密、数字签名的等安全服务。所有运算通过硬件加密部件进行。加密机前台API加密机前台API是给应用系统提供的加密开发接口，应用系统通过把加密机前台API使用加密的加密服务，加密机前台API是以标准C库的形式提供。加密机前台API支持PKCS11、CDSA接口、BSAFE、证书接口，可以方便的集成到应用系统中。主机加密机支持所有加密卡支持的加密算法。主机加密机是完全由国内自主开发的，当有更新、更安全的算法开发出来后，加密机可以很快扩充支持这些新的算法。下面还是让我们去看一看加密机的产品。联想网御SJW44加密机(点击看大图)联想网御SJW44加密机采用国家密码委员会推荐的国产密码保密方案，提供序列密码，分组密码和公钥密码等三类加密算法，支持身份鉴别，信息加密，数字签名和密钥生成与保护，系统具有足够的抗密码分析攻击的能力。采用硬件加密技术，密码专用芯片技术，实时操作系统技术和明密信息传递通道扩展技术，有效地降低了系统时延，在广域网上可以实现线速度加密，帮您构建高速的虚拟专网。基于联想集团自主开发的嵌入式专用安全操作系统，采用智能化包过滤技术和黑洞式防火墙机制，完整理解并创造性地准确实现了IPsec网络安全协议，经国家密码委组织的安全性测试分析表明，系统整体安全性具有国内先进水平。支持IP协议上的各种网络应用，包括Web浏览，电子邮件，Notes应用，数据库应用，IP电话，视频点播，视频会议，安全域管理和用户基于TCP/IP协议自主开发的其它应用。支持多子网、路由功能、网状与树状VPN部署等，对FR、DDN、X.25、ISDN等各种物理线路透明。无论是密码更换还是安全规则设置，都可以对同一安全域内的全部密码机进行集中统一管理，管理信息包通过SSL安全通道传输，也可通过USB安全装置或智能卡网外传递。可以进行全网的统一的版本控制与软件分发、全网统一的时间管理、方便灵活的设备增减、实时的设备与通信状态监控，完备的日志审计功能。采用联想集团经过严格测试的高性能服务器作为硬件平台，整机性能和可靠性显著优于工控机平台，已通过ISO9001认证，支持不间断开机的要求。使用配置既支持普通用户的缺省配置也支持灵活的专家配置模式，用户可根据需要配置算法、安全子网、普通子网、密钥生存期。2、iGate SSLVPN iGate SSLVPN(点击看大图)iGate SSL VPN采用对称和非对称两种方式执行加密操作。作为出入企业内部系统的唯一关口，iGate代理服务器通常被放置在防火墙和后端服务器之间，且只开放443端口(或80端口)。使用iGate SSL VPN，病毒从远程客户端入侵的可能性也会大大降低。因为感染病毒的机器只会局限在某一台进行远程接入的主机，不会蔓延到整个网络，而且这个病毒必须针对远程接入应用程序，不同类型的病毒也不会感染主机。iGate SSL VPN最大的好处就是不需要安装客户端程序，远程用户基本上不需要IT部门的支持就可以随时随地从任何支持SSL协议的浏览器安全地访问应用程序，从而最大限度的减少了分发和管理客户端软件的麻烦，降低了系统部署成本和IT部门日常性的管理支持工作费用。iGate SSL VPN能保证在任何地方访问基于IP应用程序的安全，包括Web和C/S应用，老的应用程序，网络文件传输和共享，中端服务，电子邮件服务以及PDA等手持无线设备。对于大多数操作系统，只要是支持SSL协议的浏览器，不论是Windows,Mackintosh,Unix还是Linux,都可以透过iGate SSL VPN进行远程安全接入。有内外部访问都经过唯一的iGate ACL权限控制软件进行管理，为IT人员提供了更加集中且容易控制访问权限管理工具。对于客户身份的认证，由于使用彩虹独有的iKey身份认证令牌代替了传统的口令密码认证方式，使iGate具备了超强的身份认证机制，通过挑战响应原理和内置有算法的芯片确保整个验证实现的唯一性。3、天融信SJW11-A密码机天融信SJW11-A密码机9(点击看大图)SJW11-A网络卫士网络密码机是一个基于安全的操作系统平台的自主版权的高级通信保密性、完整性保护的控制系统。可安装于内联网各局域网出口或者内联网与公共网络接口，提供网络边界之间的加密、认证功能。它采用国际标准安全协议，遵循IPSec(IP Security)安全协议，对用户数据提供加密、完整性验证以及身份认证的功能，最大限度的对上层应用提供安全保护。遵循ISAKMP/OAKLEY密钥协商和管理协议，实现安全可靠的密钥分发与管理。VPN设备之间采用基于X.509标准的数字证书进行认证,支持CA认证。加密强度高。采用通过国家鉴定的硬件加密卡所提供的128位对称加密算法和128位密钥散列算法。身份认证采用1024位的非对称算法。采用明密结合的数据传输方式。在安全网关之间的数据传输用户可以根据需要采用加密方式传输也可以以明文方式(既不加密方式)传输。灵活可变的工作模式。透明模式：在该模式下用户网络境无需任何变动即可实现对整个子网的安全保护；路由器模式：该模式下内部网络各主机将缺省网关指向网络密码机，网络密码机可充当一台简单的路由器。多样化的工作方式，可以实现网关到网关、端用户到网关的工作方式，其中端用户到网关方式既可以用于同一局域网内又可用于连接公网的端用户访问对方子网的情况。透明支持各种应用服务，支持透明接入方式采用国际上流行的Internet安全协议；模块化设计，网络卫士VPN可实现模块化与防火墙结合，更大限度的保障网络信息的安全性。基于对象模式的全中文图形管理器界面，友好、直观，方便快捷，易于管理；完整的系统日志管理，支持标准的日志管理服务器；对安全域中所有安全网关进行集中式网络化安全管理，支持TOPSEC技术体系的核心技术，支持TopSEC Manager和TopSEC Auditor，支持SCM，方便通信、策略配置和管理。4、ADDRESS ENCRYPTOR加密机ADDRESS ENCRYPTOR加密机(点击看大图)本产品是与TV WALKER用户管理系统配套使用的硬件加密设备；其将图象数据信号与服务器信号进行复用，并输出加密的传输流信号；主要用于通过TV WALKER管理系统进行管理的有线数字电视前端系统。产品特点：数字处理遵循TS流格式标准；支持ASI接口输入且带环路输出；双路ASI接口输出；可自动删除传输流中的空分组(空包)，并可自动填充码流；输出码率可调；可实现网络管理和诊断功能；液晶显示工作状态，简洁直观；上电直接进入工作状态，无需操作，100240VAC供电；19-1U安装结构。通用性技术参数-工作温度：0-45，贮藏温度：-20-80，供电电源：交流100-240V(50Hz)，最大功率：20W，尺寸：44.5mmH482mmW487mmD。输入参数-接口类型：异步串行接口ASI，连接器：BNC，阻抗：75，最大码率：50Mbps。输出参数-接口类型：异步串行接口ASI，连接器：BNC，阻抗：75，最大码率：50Mbps，环路输出具有自动电缆补偿。以太网络接口-接口类型：10/100 Base-T，连接器：RJ45，接口协议：UDP。5、海信SJW10海信SJW10(点击看大图)海信SJW10 IP加密机(VPN)是海信数码与东方华盾技术合作的成果。采用支持连续运转的工控标准硬件和经国家密码管理机构认证的加密硬件模块作为硬件支持平台，精心优化的安全操作系统作为软件系统平台，稳定可靠的电子存储设备作为系统的主存储介质，IC卡和USB密钥实现用户电子证书的加密存贮。该产品的安全性、易操作性、稳定性、可靠性均达到国内领先水平。它可以与海信防火墙无缝结合，为政府机关、电信、银行、证券公司、大中小型企业构建透明、安全、高速的加密信道，提供经济实用的专用网络解决方案。全面支持IPsec协议，与国际标准接轨；可选择地对流经VPN的IP报文实施透明加密解密操作并进行完整性认证；VPN环境中的节点身份认证功能，防止非法设备假冒身份危害通讯；分布式密钥协商与预共享密钥两种认证方式，密钥管理便捷、适用；VPN安全审计功能，记录网络传输情况、VPN的关键操作；VPN之间具有双机(或多机)互为备份的功能，互为备份的VPN之间能够实时地进行密码同步，保证网络密码通讯的畅通；很好地适应各种网络结构和网络路由协议；接入透明，对现有业务系统和网络结构无须做任何调整；安装、维护简单快速，可随时进行,不影响正常业务；安全包支持各种客户端PC平台及平台，安全包支持各种局域网、广域网适配器(如以太网络适配器和拨号网络适配器)，高可靠性、高稳定性，集中安全管理、集中认证，与海信防火墙无缝结合，提供全面的安全防护体系。6、SJW47系列加密机SJW47系列加密机(点击看大图)北京密安网络技术有限公司是2000年创立于中关村归国留学人员中心的中国高新技术企业。密安公司专业从事网络、信息安全产品的研发、生产和销售，为客户提供系统集成、安全服务的整体解决方案。密安公司的产品适用于计算机网络，无线网络和广电网络，既适用于内网又适用于外网；既适用于专网又适用于公网。密安公司拥有系列自主产权的国内领先的信息和网络安全产品。拥有自主知识的网络安全产品：如SJW47-、SJW47-、SJW47-、SJW47-加密机系列、安全的虚拟隐私网VPN、网络安全整体保护系统SVN、无线传输WTLS等等；其中SVN是国际领先的产品。加密机是一种PC的外围设备，可为电子商务提供高级别安全保障，是目前国际上首选的替代软件加密的硬件产品。基于抗篡改的硬件设计的密安公司SJW47系列加密机能与任何一台(具备232接口或具有PCI插槽)计算机相连接。可提供安全身份认证并支持电子钱包、信贷信用卡交易，其性能远远优于软件产品。同时SJW47系列加密机也充分考虑到不同用户级别的需求状况，每个型号具备各自鲜明的特点和优势以备选择，其中SJW47-型加密机是速度最快的加密认证卡，它的最高测试速度级可以达到四百兆。7、华堂SJW22网络密码机(暂无图)华堂网络密码机保护所有端到端或点到端的网络数据传送；实现通信双方主机或防御系统网关的身份认证；实现消息传输的保密性、认证性和完整性；抵抗IP欺骗、TCP序列号猜测等各种攻击技术；VPN技术的使用不会影响用户的通信效率；网络的安全功能对用户基本透明，不影响原有应用程序的正常运行；透明支持各种Internet网络服务和协议，用户可定义的网络信息过滤。构建加密数据通道，利用公网建立自己的专用网。全面实现完整的IPSEC协议，包括该协议中的部分可选内容。与国内同类产品比较，华堂网络加密机更加完整，兼容性更好；完整、安全的密钥交换协议是安全的基础。华堂网络加密机全面支持ISAKMP/OAKLEY和ISAKMP/IKE两种密钥交换协议，支持X.509证书系统，做到最大限度的兼容能力；采用国家认可的加密算法，利用硬件加密，提高加密效率；全图形化配置界面，使用简洁、灵活；与防御系统紧密集成，在我们自主开发的、具有自主知识版权的专用安全操作系统、状态检测等已有技术基础上，进一步提高安全性。8、得安SJY05加密机(暂无图)得安SJY05加密机是济南得安计算机技术有限公司研制，并通过国家密码管理委员会办公室鉴定并批准使用的具有自主知识产权的高速主机加密设备。该系列产品与SJY02/03加密卡功能一样，利用加密和数字签名技术保证用户在网上传递信息的机密性(即数据在传输过程中不能被非授权者窃取)、完整性(即数据在传输过程中不能被非法篡改)和有效性(即数据不可被否认)，从而创造一个电子商务正常发展所必需的安全环境和信用环境。得安SJY05加密机功能强大，主要是为高档服务器、小型机、大型机提供加解密服务，现已广泛应用于金融、证券、政府、电子商务等领域的大型网上项目中。利用得安SJY05加密机和得安公司的其他加密设备及各种安全模块(CA、SSL等)一起可构成完整的PKI体系。产品特点：功能完备，集密钥管理、数据加密、数字签名、完整性检验与一体；使用IC卡保存PIN，设置密钥管理员和操作员，密钥管理实行分割管理和权限控制；安全密钥管理，密钥不以明文形式出现在磁盘及内存中，即使受到攻击，也能保证密钥的安全。二、编后语在互联网和可移动通信网商业化的今天，安全越来越受重视，而日趋复杂的安全技术，包括攻击和防御技术，使人们对安全的要求越来越高。传统的密码分析技术主要是基于穷尽搜索，它破译DES需要若干人/年的时间。现代密码分析技术包括差分密码分析技术、线性密码分析技术和密钥相关的密码分析，它改善了破译速度，但是破译速度还是很慢。新一代密码分析技术主要是基于物理特征的分析技术，它们包括电压分析技术、故障分析技术、侵入分析技术、时间分析技术、简单的电流分析技术、差分电流分析技术、电磁辐射分析技术、高阶差分分析技术和汉明差分分析技术。利用这些技术，攻击者可以在获得密码算法运行载体(计算机、保密机、加密盒、IC卡等等)的情况下，快速地获得密钥，从而破译整个密码系统。商用密码产品包括IP协议密码机、通信网密码机(DDN加密机、FR加密机、分组加密机)、主机加密机/加密模块等。主机加密机和加密模块的作用是保证国家和用户的敏感信息的安全；通信网密码机处于终端与主机或者主机与主机之间的线