“云”安全服务 - 产品中心 - 深圳市中易通安全芯科技有限公司

安全加密芯片终端安全云安全

【云】安全

基于基础的密码设备和公共安全服务平台，提供各类安全云服务，保障应用系统安全，满足个性化的业务需求。

“云”安全服务.jpg

智能终端密码模块介绍

智能终端密码模块概述

智能终端密码模块的主要组成包括安全芯片、芯片COS及配套的国密接口中间件软件，是支持包括智能终端等其他应用设备在内的中间件加密框架及中间件工具，其核心的安全芯片采用了通过国密产品型号认证的VEB A5安全芯片（SSX1708安全芯片），支持多种国密算法和真随机发生器；芯片COS及国密中间件软件是遵循国密规定的标准接口设计，提供当前密码设备的密钥对数量、公钥、以及公钥对应的数字证书等接口，支持杂凑运算、非对称运算、对称运算接口(本密码模块已通过国密产品二级测试，证书正在下发中)。

软件组成框图

密码模块软件的整体组成部分包括：调用国密接口的应用软件APP，国密中间件以及安全芯片软件端的软件系统，其中应用软件主要为调用密码模块实现安全业务功能。

应用程序APP，即安装在智能终端上的应用软件，应用软件通过调用国密接口实现安全密码服务，用于支持应用业务功能的安全性，如加密通话应用软件、视频加密应用软件、图片加密应用软件、文件加密应用软件等，此类应用程序多数采用了Java编程语言编写，便于移植和平台兼容。

密码模块的国密中间件组成包括以下软件模块：

■适配接口
适配接口主要通过API接口形式，为上层应用提供丰富的接口形式，包括支持的C语言接口、Java语言接口和客户端接口，其接口功能实现在应用中以SDK开发套件的形式提供给上层应用客户使用。
■访问控制

访问控制主要完成设备的认证、PIN码管理和安全状态管理等操作，实现访问控制功能通过访问控制系列函数实现。

■文件管理
文件管理函数设计用于满足用户扩展开发的需要，包括创建文件、删除文件、枚举文件、获取文件信息、文件读写等操作，实现文件管理公里通过文件管理系列函数实现。
■密码服务
应密码服务是指提供对称密码运算SM4、非对称密码运算SM2、密码杂凑运算SM3、密钥管理、消息鉴别码技术等功能，密码服务功能通过密码算法系列函数实现。
■应用管理
应用管理主要完成应用的创建、枚举、删除、打开、关闭等操作，应用管理功能通过应用管理系列函数实现。

640 (1).webp.jpg

■设备管理

设备管理是指安全设备的管理，设备为安全芯片及其他密码设备。其主要完成设备的插拔事件的处理、枚举设备、设备连接、设备断开、获取设备状态、设置设备标签、获取设备信息、锁定设备、解锁设备和设备命令传输等操作。其所有实现是按照国密标准接口规范中的设备管理系列函数实现。

■容器管理

容器管理满足各种不同应用的管理，包括创建、删除、枚举、打开和关闭容器的操作，容器管理功能通过容器管理系列函数实现。

密码模块的底层通过采用VEB A5安全芯片，通过安全芯片不同系统驱动软件实现安全芯片访问，为上层提供基础密码运算和存储服务。安全芯片提供的硬件算法引擎包括多种国密算法（SM2、SM3、SM4），真随机数生成模块，以及支持密钥、不同应用数据和程序所需的存储容量。

密码模块硬件采用了VEB A5安全芯片，为完成芯片的正常工作，开发嵌入式系统即芯片COS，用于实现芯片与外界的信息交互，管理芯片中的各硬件器件，完成各种命令处理，使芯片正常工作和管理，支持上层对密码模块硬件层密码服务的安全调用。

依据标准

01 GM/T 0002-2012 SM4分组密码算法

02 GM/T 0003-2012 SM2椭圆曲线公钥密码算法

03 GM/T 0004-2012 SM3密码杂凑算法

04 GM/T 0005-2012 随机性检测规范

05 GM/T 0009-2012 SM2密码算法使用规范

06 GMT0016-2012智能密码钥匙密码应用接口规范

07 GMT0017-2012智能密码钥匙密码应用接口数据格式规范

08 GMT0028-2014密码模块安全技术要求

09 GMT0039-2015密码模块安全检测要求等

密码模块应用

本密码模块主要是以安全芯片、芯片COS、国密安全中间件组成的硬件密码模块，其模块涉及到的主要硬件为VEB A5安全芯片，通过在其他应用设置中集成密码模块，可实现多种密码服务功能，保障上层业务信息安全。
密码模块可广泛应用在移动智能终端、刷脸终端、物联网终端、工业设备终端、智能家居、UKey等行业设备中。

未标题-1.jpg

中易通密钥管理系统

产品概述

中易通“密钥管理系统（简称KMS）”是公司遵循国家密码管理局《基于SM2密码算法的证书认证系统密码及相关安全技术规范》、《证书认证密钥管理系统检测规范》的要求开发的基础类安全产品，产品已通过国家商用密码产品型号认证，获得国家商用密码产品型号：SYT1901 VoIP密钥管理系统。
系统提供：密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥归档、密钥恢复等密钥管理功能，可为应用领域提供技术和策略安全保障。

未标题-1.jpg

系统架构与功能

未标题-1.jpg

密钥生成

密管系统所有的对称和非对称密钥生成均使用国密产品型号的硬件密码设备进行，密钥生成后保存于硬件内部或加密存放于系统数据库中。

密钥存储

密管系统支持密钥在配套的密码机和外部设备加密存储，由密码机对生成的密钥进行加密，而后将加密后的数据存储于外部安全存储介质。

白名单

密管系统的白名单功能，可对访问系统的IP地址进行有效过滤，防止恶意访问密管系统，实现客户端对系统的授权认证。

密钥分发

密管系统支持对称和非对称密钥的分发，对称密钥分发采用密钥分散或真随机生成的形式进行安全下发，非对称密钥主要对认证中心进行分发，分发过程采用《基于SM2密码算法的证书认证系统密码及相关安全技术规范》所定义的通信协议。

密钥分散

密管系统支持对称密钥的密钥分散生成，由系统定义的主密钥进行子密钥的分散或直接生成对称密钥。

密钥查询

密管系统支持对分发或生成密钥的信息查询，密钥对应的算法类型、模长等有效信息可实时查询。

密钥归档

密管系统所有的对称和非对称密钥生成均使用国密产品型号的硬件密码设备进行，密钥生成后保存于硬件内部或加密存放于系统数据库中。

密钥恢复

密管系统支持对业务密钥的恢复，由于司法取证需要，通过不同角色管理权限操作实现对密钥的恢复，密钥存储于智能密码钥匙中安全保存。

人员角色管理

密管系统支持三级人员角色管理，由超级管理员、业务管理员、业务操作员、业务审计员组成。

证书管理

密管系统对业务端和自身的签名证书和加密证书进行有效管理。

日志审计

密管系统内所有有效操作均会记录详细日志，并附带操作人员的签名信息，业务审计员可对操作日志进行有效审计。

系统特点

■支持国密标准

密钥管理系统在设计之初就充分研究了国家密码管理局制定的《基于SM2密码算法的证书认证系统密码及相关安全技术规范》等相关密码规范，遵循相关标准开发设计。

■密钥安全存储

密钥存储是密钥管理系统乃至PKI平台中安全技术的核心，是安全的重要保证，安全存储模块采用通过国密型号的服务器密码机生成、管理系统根密钥及系统密钥。

■高强度的国密算法

产品支持国家密码管理局指定的SM1、SM2、SM3、SM4密码算法，极大提高了密码保护强度。

■可靠的后台服务

通过守护进程监控系统的运行情况，当系统出现异常情况退出时，守护进程可以自动对系统进行重启，实现不停止服务能力。

■成熟规范的模块设计

系统采用业内主流的内部模块架构方式，方便系统模块的组装，方便各接口软件的集成及日后的维护。采用内存检测机制，解决内存冲突和泄露，保障系统的长期稳定运行。

■完善的自身保护措施

支持多种硬件加密设备及加密算法；支持基于数字证书的身份验证机制及安全通信协议。系统采取局域网的构建技术，对网络设备进行安全配置；同时，访问密钥管理系统必须通过管理员身份认证。

■并行处理能力

系统采用多进程、多线程模块化设计，拥有强大的并行处理能力。

■灵活性和可扩展性

采用先进的技术和密码设备，适应高速的数据传输需要，使整个系统在一段时期内保持技术的先进性，同时考虑技术的升级，对各模块的设计和实现采用更为灵活接口方式，方便后续扩展。

基于密钥管理系统实现的VoIP加密通话业务，通过密钥管理系统下发会话密钥给主被叫端，实现双方一对一加密语音通信。密钥管理系统参与会话密钥分发，实现语音加密通信及加密语音业务密钥的司法恢复，该应用系统符合监管部门的规范，满足用户对VoIP通话高安全、高可靠的需求。