商用密码产品手册.pdf

商用密码产品手册 商密产品手册 商密产品手册 山东中孚信息产业股份有限公司 山东中孚信息产业股份有限公司 2009-11 2009-11 1 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 一、公司介绍 一、公司简介 山东中孚信息产业股份有限公司（原济南中孚实业公司）成立于 1997 年，是国内著名的保密和商密产品提供商和信息安全的服务商。 公司是国家级软件产业基地-齐鲁软件园的骨干企业，国家火炬计 划、 国家发改委信息安全专项和国家电子信息产业发展基金项目承担 单位。公司是首批在国内获得国家涉密集成资质的企业之一，具有国 家认可的涉密信息系统综合服务能力。 公司具有国家商用密码定点生 产单位资质和商用密码销售许可证书， 以及国家信息产业部认定的系 统集成资质。 公司凭借自身的技术优势先后承担了六项国家级重点科研项目。 通过不断的自主创新，公司在物理隔离、安全中间件、网络检查、终 端安全防护、数据销毁和商用密码等技术领域取得了可喜的成绩，积 累了宝贵的经验，现拥有 40 多个具有自主知识产权的软硬件产品， 涉及技术领域如下： 物理隔离领域： 公司是国内最早从事物理隔离产品研发的主流 厂商之一，物理隔离产品先后获得国家保密局、国家公安部、中国人 民解放军等权威部门的十多项认证，产品与联想、浪潮两大主机厂家 进行配套， 06 年国内首家推出“实时切换物理隔离”技术，并且第 一家通过国家保密局认证。 安全中间件领域： 2002 年公司承担了国家保密局立项的电 2 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 子政务通用安全中间件 V1.0项目，并通过了国家级科学技术成果 鉴定， 该系列产品已经广泛应用到各级政府机关和军工企业的涉密内 网中，为涉密网络提供符合国家保密标准的安全保障机制。 网络检查技术领域：采用单机检查取证技术、网络漏洞检查取 证技术和互联网搜索取证技术，对计算机网络进行检查取证。该系列 产品通过了国家保密局、军队的权威认证，已经成为我国各级保密和 安全主管部门进行检查的专用设备。 数据销毁技术领域 ： 该项技术于 2006 年在国家保密局科研立 项，通过了国家保密局、军队的权威认证，填补国内空白，能够彻底 解决数据删除后可以通过特殊工具被恢复的问题。 商用密码技术领域：公司是国家商用密码产品定点生产单位， 自主研发的高速智能密码钥匙、SD 密码卡、身份鉴别系统、KEY+U、 高端密码卡、密码服务器，加密 U 盘，加密移动硬盘等系列产品在工 商、金融、政府等领域得到了广泛应用。 终端安全防护领域：该系列产品通过国家保密局权威认证，采 用先进的活体指纹识别技术和 USBKEY 技术有效提高计算机终端和移 动存储介质的安全保密性能。 公司专注信息安全保密领域，具备国内领先的自主研发能力，已 经形成了以物理隔离和安全中间件技术为基础， 覆盖信息安全体系多 个层面的系列产品线，从底层硬件到上层安全应用软件，构建整体的 安全产品平台。尤其在物理安全、网络检查及数据销毁领域，全国领 先，正引领着该领域的快速发展。 3 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 公司具备完善的质量管理体系，2005 年通过了 ISO 9001 质量体 系认证，2008 年通过了 CMMI 三级评估，通过规范化的管理，公司建 立了以山东为龙头，覆盖全国三十个省的销售服务网络，产品在国家 保密局等几万家党政军机关或企业事单位得到了推广应用， 受到了广 大客户的好评与青睐。公司凭借资深经验，规范的实施管理，正逐步 成为中国信息安全整体解决方案的一流提供商。 4 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 二、相关资质 5 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 6 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 7 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 二、产品简介 一、PKI 基础类密码产品 1.1 智能密码钥匙（isec1000） ? 产品概述 产品概述 智能密码钥匙（isec1000）（isec1000）是中孚公司基于自主知识产权的操 作系统ZFCOSZFCOS开发的客户端身份认证产品。该产品采用国家密 码管理局认证的国产高速安全芯片，可以实现数字证书的生成存储、 数字签名认证、对称加解密、口令认证、内外部认证、数据完整性校 验等基本功能。主要应用于政府、军队、金融、工商、税务、证券、 电子政务、电子商务、系统集成、VPN 等行业及领域。 ? 产品特性 产品特性 1、符合 ISO7816(1-4)标准。 2、符合中国金融集成（IC）卡规范 。 3、支持热插拔、防掉电。 4、用户空间最大 64K 字节，存储年限大于 10 年 5、硬件产生随机数。 6、支持 1024、2048 位 RSA 运算。 7、支持国密局的对称算法 SM1、SSF33 算法。 8、支持二进制文件、定长纪录文件、变长纪录文件、循环记录 文件。 9、支持文件枚举、文件删除、删除后的空间可重复利用。 8 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 10、支持文件的相对路径查找，路径深度可达 10 级。 11、 支持 Win98/98SE/ME/2000/XP/2003/Vista/Windows7 等操作 系统。 12、支持 PKCS#11、微软 CSP 等标准开发套件。 ? 产品功能 产品功能 1、基于 USB HID 开发,兼容性强,免驱动安装。 2、携带方便：支持热插拔，只需从 USB 端口上拔下，就可将敏 感的私钥带在身上。 3、存储安全：严密的文件安全系统和认证机制保证了个人证书和 私有信息的存储安全，使其免受黑客、病毒和其它 形式的威胁。 4、 功能齐全： 支持 Internet Explorer、 Outlook、 Outlook Express 和 Netscape Communicator 应用，不需二次开发。 5、集成方便：不需要对标准的 MS CAPI, PKCS#11 和 PC/SC 应 用进行开发和集成。 6、支持多应用：单设备支持多密钥和多应用，也可以多个设备 同时使用。 7、双因子认证：在使用时要求用户输入口令，安全性更高。 8、密码管理：可以存储多组密码，具有严密的密码管理机制。 9、应用防火墙：多个应用之间实行隔离，保障不同应用的独立 性。 ? 产品应用 产品应用 9 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 1、Microsoft Outlook/Outlook Express、Internet Explorer 和 Netscape Messenger 标准的 Email 签名与加密； 2、通过 Microsoft Internet Explorer 和 Netscape Navigator 登录 SSL 加密的安全网站； 3、安全网络登录； 4、安全 Email 通讯； 5、安全远程访问服务认证； 6、安全 VPN 访问。 1.2 SD 密码卡(isec2000) ? 产品概述 产品概述 SD 密码卡是中孚公司基于自主知识产权的操作系统 ZFCOS 开发的 SD 接口客户端身份认证产品。 SD 密码卡内 置了 Flash 芯片和智能卡芯片，即具有存储功能，又具有密 码运算功能，是在手机等移动平台上开发基于 PKI 应用的理 想密码设备。 SD 密码卡支持标准的 SD-IO 接口，通过 SD 读卡器， 可以代替 USB KEY 在 USB 接口使用，实现证书载体的有机统 一。 ? 产品特点 产品特点 1 、 支 持 Windows, WinCE, Linux, Windows Mobile 5.0/6.0，Symbian, MTK, Motorola, An droid, Qualcomm 10 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 等主流的操作系统； 2、与支持 SD 或者 mini SD 的所有设备兼容； 3、支持高达 32G 的内存空间； 4、符合 SDIO1.1 规范和 SD1.1/2.0 物理层规范。 5、支持 1024-2048 比特 RSA 运算；支持 160-521 比特 P 域 ECC 算法 6、支持国密局指定的 SSF33 分组密码算法 7、真随机数发生器 TRNG ? 应用拓扑 应用拓扑 1.3 isec3000（KEY+U） ? 产品概述 产品概述 11 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 isec3000 （KEY+U）是中孚公司在智能密码钥匙 isec1000 和安 全 U 盘基础上开发的一款多应用安全设备。isec3000（KEY+U）集智 能密码钥匙和安全 U 盘功能于一身，既可以实现数字证书的生成存 储、数字签名认证、对称加解密、口令认证、内外部认证、数据完整 性校验等功能，又可以实现数据的安全存储。 ? 产品功能 产品功能 1、全盘数据自动透明保护，防止物理拆分解读。 数据存储加解密系统对将要存入的数据自动进行加密， 使存储在 安全 U 盘内的数据处于密文状态， 有效的阻止了非法用户对安全 U 盘 硬件的物理拆分解读。 2、防病毒防木马。 U 盘内的数据实施全盘加密，开启 U 盘时需要密码认证，禁止随 意访问。U 盘设置只读，只具备“读”的权限，可以将移动介质中的 数据单向导入到内网中。 有效的防止了摆渡木马或者其他黑客手段通 过 U 盘盗取内网数据。 3、防口令暴力破解 智能权限控制系统针对口令验证设定了门限值(可允许的重试次 数)，当用户输入的错误口令次数达到(超过)设定的门限值时，U 盘 自动锁定(自毁),有效的防止了非法用户对口令的暴力破解。 4、违规外联阻断（可选） 。 自动检测当前的网络状态，当 U 盘处于外网时，U 盘会自动地切 断网络或者使机器关机，有效地防止了数据的泄漏。 12 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 5、USB KEY 功能 可以实现密钥生成、签名验证、数据加解密、内外部认证、数据 完整性验证等 ? 产品特性 产品特性 1、功能齐备： 集安全 U 盘和 USBKEY 功能于一身。 2、使用同步： U 盘和 USBKEY 可以同时使用而不产生冲突。 3、存储容量： U 盘容量 1GB64GB 任选 4、KEY 容量： USBKEY 的用户空间最大 64K 字节 5、操作系统： 支持 Windows2000/XP/2003/VISTA 6. 接口类型： USB2.0 全速/高速 7. 驱动方式： 无驱 ? 产品应用 产品应用 1、税务信息电子申报 2、社保信息的采集，上传 3、政府或单位涉密信息的外出携带及数据转存 4、对安全性要求较高的机关、部门、行业或个人 5、CA 中心数字证书存储及签名认证 6、无线安全通信及网络安全。 1.4 身份鉴别系统isec 6000 ? 系统概述 系统概述 中孚身份鉴别管理系统采用了先进的分级管理机制和高强度密 13 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 码算法等信息安全技术， 实现了对用户数字证书的申请、 发放、 更新、 恢复、注销、归档等操作，能够为企业内部的应用系统和用户提供权 威认证服务。 ? 应用领域 应用领域 身份鉴别：用户在登录业务系统的时候要插入 USBKEY 进行数 字证书的提交，实现身份的认证，用户的私钥存储在 USBKEY 中，用 户是没有办法进行获取的，确保了用户信息无法伪造。 权限控制：通过身份鉴别以后，根据服务器的权限设置，合法 用户将建立从客户端到服务器端的安全通道， 而非法用户将被拒绝访 问。 安全传输：在客户端和服务器端建立安全的 SSL 通道，数据利 用不低于 128 位的对称密钥进行加密，敏感信息将得以安全传输，加 密通道采用一次一密的方式。 异地/移动办公安全：分支机构或者外出员工只要将发放证书 的 USBKEY 插入计算机中，利用相应的 VPN 支持软件，可以安全的登 录公司服务器。保证异地办公的安全性，确保公司机密不会泄密。 扩展内部网络：通过数字证书和安全访问控制器的结合使用， 可以将公司内部网络扩展到 Internet 上。 安全电子邮件应用：利用数字证书技术，可在 Internet 上进 行安全电子邮件的收发。确保只有合法用户 才能对邮件进行读取， 并能保证信息不被篡改。 二次开发领域：利用提供的开发接口，二次开发用户可以根据 14 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 自己的需求进行二次开发。 ? 产品特点 产品特点 企业可以建立自己的认证系统， 进行证书的申请、 发放、 更新、 恢复、注销、归档，从而节省用于购买第三方证书的费用，大大降低 了系统运行成本。 采用分级管理的机制，登录系统人员分为系统管理员、操作员 和审核员，分配不同的权限等级。 敏感信息，如：用户登录信息、系统根密钥信息，都保存在硬 件（USBKEY）中，确保了系统的高安全性。 提供了详细的日志审计功能。 支持通用的安全标准，如：数字证书标准（X.509） 、微软 CSP， PKCS 系列标准。 ? 布署图 布署图 15 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 二、应用安全产品 2.1 安全 U 盘（Dsec1000） ? 产品概述产品概述 安全 U 盘（Dsec1000）是中孚公司自主研发的一款高速、高 性能、高安全的移动存储设备。设备采用智能卡技术，内设智能 权限管理系统和数据加解密系统，实现了 U 盘数据的全盘数据加 密保护和安全区数据开启的口令控制。其自带的网络监控系统可 以随时监测 U 盘所在网络的状态，实现了外网阻断。结合 U 盘的 读写控制系统，可以实现内网数据的单向导入。有效防止 U 盘交 叉使用，阻止 U 盘摆渡木马和病毒危害。从根本上杜绝了 U 盘泄 密的途径，净化了 U 盘的使用环境。 ? 功能描述 功能描述 1、全盘数据自动透明保护，防止物理拆分解读。 数据存储加解密系统对将要存入的数据自动进行加密， 使存储在 安全 U 盘内的数据处于密文状态， 有效的阻止了非法用户对安全 U 盘 硬件的物理拆分解读。 2、防病毒防木马。 U 盘内的数据实施全盘加密，开启 U 盘时需要密码认证，禁止随 意访问。U 盘设置只读，则只能进行读操作，U 盘数据只能单向导入 到内网中。 有效的防止了摆渡木马或者其他黑客手段通过 U 盘盗取内 网数据。 16 山东中孚信息产业股份有限公司 2009-11 商用密码产品手册 3、防口令暴力破解 安全 U 盘的智能权限控制系统针对口令验证设定了门限值(可允 许的重试次数)，当用户输入的错误口令次数达到(超过)设定的门限 值时，安全 U 盘自动锁定(自毁),有效的防止了非法用户对口令的暴 力破解。 4、违规外联阻断（可选） 。 中孚安全 U 盘可以自动的检测当前的网络状态， 当安全 U 盘处于 外网时，安全 U 盘会自动地切断网络或者使机器关机，有效地防止了 数据的泄漏。 ? 产品特性 产品特性 1、 容 量： 1GB64GB 任选 2、 口令验证： U 盘在使用之前需要口令验证 3、 自毁锁定： 口令错误验证达到设定次数时 U 盘自 毁或者锁定 4 外联阻断： 在外网使用时，U 盘自动切断外网或者 自动关机 5、 全盘加密： U 盘数据实行全盘加密 6、 接口类型： USB2.0 全速/高速 7、 操作系统： Windows2000/XP/2003/VISTA 8、 驱动方式： 无驱 ? 应用领域 应用领域 该产品广泛应用于金融，税务，财政，海关