金融系统中加密机的简介
加密机是一台大小和台式PC机箱差不多大小的一台设备,价格较贵,约6-8万/台,在银行、银联、第三方支付等金融机构广泛使用,主要用来加解密银行卡密码,计算交易MAC,保证交易中敏感数据的安全等。
根据加密协议的层次(OSI模型),可以分为链路加密机、网络加密机(IP层)、应用层加密机。
实现点对点加密的信息技术设备
它是用在广域网或城域网的两个节点之间。通俗讲,单位A和单位B的网络要连,又不想让别人知道他们传输什么信息,就在A的网络出口处放个加密机,同样B的出口也放个加密机,这样在这两个单位之间的信息传输通过加密算法加密后,不是普通的TCP/IP协议包了,别人能够截取也看不见内容。
当然,这里举的是网络加密、对称算法的例子。有的加密机带路由功能,有的不带则需要再加路由器。具体比较复杂,类型、应用种类很多。
加密机一般不在internet上用,在网站中基本用不到,如果网站要实现加密远程登录,用VPN就行了。
至于执行的功能就是通过预设的加密算法对数据包进行加密。加密算法也有很多种。
加密机是一个重要单位保护通讯数据用的。装的裁剪的linux,都有硬件毁钥,开盖毁钥功能,使用之前,要把机器的管理员证书,设备证书,加密证书给主站签发。
然后放入本机,主站还会提供对应的通道证书。本机加入证书后,再绑定ip,设定好策略。就可以工作了。
我们用的早期的是RSA加密,现在推了SM2,SM3(哈希函数算法标准)加密。
加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备,加密机和主机之间使用TCP/IP协议通信,所以加密机对主机的类型和主机操作系统无任何特殊的要求。
什么是加密机?
加密机主要有四个功能模块
硬件加密部件
硬件加密部件主要的功能是实现各种密码算法,安全保存密钥,例如CA的根密钥等。
密钥管理菜单
通过密钥管理菜单来管理主机加密机的密钥,管理密钥管理员和操作员的口令卡。
加密机后台进程
加密机后台进程接收来自前台API的信息,为应用系统提供加密、数字签名等安全服务。加密机后台进程采用后台启动模式,开机后自动启动。
加密机监控程序和后台监控进程
加密机监控程序负责控制加密机后台进程并监控硬件加密部件,如果加密部件出错则立即报警。
加密机前台API
加密机前台API是给应用系统提供的加密开发接口,应用系统通过把加密机前台API使用加密的加密服务,加密机前台API是以标准C库的形式提供。目前加密机前台API支持的标准接口有:PKCS#11、Bsafe、CDSA等。
加密机支持目前国际上常用的多种密码算法
支持的公钥算法有
RSA DSA 椭圆曲线密码算法 Diffe Hellman SM2
支持的对称算法有
SDBI DES 3DES IDEA RC2 RC4 RC5 SM4 SM1
支持的单向散列算法有
SDHI MD2 MD5 SHA1 SM3
SM3,哈希函数算法标准。
2005年,王小云和国内其他专家设计了我国首个哈希函数算法标准SM3,受SM3保护的智能电网用户6亿多,含SM3的USBKey出货量过10亿张,银行卡过亿。SM3发布之后,30多项密码相关领域的行业标准出炉。
SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法。
SM2算法和RSA算法都是公钥密码算法SM2算法是一种更先进安全的算法,在我们国家商用密码体系中被用来替换RSA算法。
随着密码技术和计算机技术的发展,目前常用的1024位RSA算法面临严重的安全威胁,我们国家密码管理部门经过研究,决定采用SM2椭圆曲线算法替换RSA算法。