如今网络上信息安全问题逐渐成为人们关注的焦点,而加密技术是解决安全问题的有效手段。加密技术主要有两种,软件加密和硬件加密。软件加密需要计算机的全程参与,具有消耗大量的系统资源、加密速度慢和容易被破解等缺点;而硬件加密具有速度快、保密性强等特点,因此硬件加密被广泛采用。硬件加密基本上采用加密卡的形式,加密卡具有成本低、性能高的特点。
如今网络上信息安全问题逐渐成为人们关注的焦点,而加密技术是解决安全问题的有效手段。加密技术主要有两种,软件加密和硬件加密。软件加密需要计算机的全程参与,具有消耗大量的系统资源、加密速度慢和容易被破解等缺点;而硬件加密具有速度快、保密性强等特点,因此硬件加密被广泛采用。硬件加密基本上采用加密卡的形式,加密卡具有成本低、性能高的特点。
加密卡发展历程
最早出现的逻辑电路加密卡是采用低功耗、等元件设计的。由于在软件与加密卡之间的数据通讯建立了一个保密协议,交互数据都是经过加密的,解密者很难分辨数据内容和规律。
存储器加密卡:存储器加密卡是由卡内部的存储器和外围读写操作电路共同组成。开发商可以将自己的数据内容事先在存储器内预定好,然后再根据这些数据实施加密过程。
逻辑电路加存储器加密卡:逻辑电路加存储器加密卡是在上两代加密卡的基础上发展起來的,集成了前两种加密卡技术的优点,既有内部存储器,并且存储空间可以扩大,又有硬件逻辑电路,硬件算法改进比较容易。
可编程加密卡:可编程加密卡的核心单元采用的是可编程。这种加密卡将原来必须通过硬件设计的东西转化成通过软件实现,这样不仅降低了开发成本,而且具有更大的灵活性和更高的稳定性。
智能型加密卡:智能型加密卡的特点是卡内内置了、存储器和使其成为一款适合于具体加密应用的产品。如今普遍使用的加密卡都属于智能型加密卡。
加密卡常见系统框架
密码设备应用接口主要是提供给用户使用的功能,管理员控制台主要提供给密码卡管理员使用。密码卡运行于宿主机之上,来自外部的请求首先到达宿主机,并由密码服务引擎将任务调度分配到密码卡进行处理,密码卡处理完成后将结果再返回到用户应用程序或密码服务平台。
加密卡服务要求
密码卡需具备密钥生成、密钥管理、数据加解密、数字签名、身份认证、密钥协商等功能。
针对用户数量大,用户业务复杂、服务需求差异等特点,需具备高速的数据加解密性能及与宿主机之间高速的响应能力,实现高并发密码运算,多算法交叉计算等关键技术。
针对宿主设备业务数据吞吐率高、在线并发服务数高、业务动态扩展的特点,需实现高并发密码服务调度管理等关键技术。密码业务的复杂性需要系统在软件上具备灵活和可扩展性,可根据需求快速的增加实现模块。
加密卡安全性要求
根据密码卡使用和所处环境的复杂性,密码卡的安全防护需求主要包括以下几点:
1、身份鉴别需求,为防止无关人员非法使用密码资源,或限制每个操作人员仅能使用自己被授权的密码服务功能。
2、软件安全需求,为保证密码卡中所有软件不被修改,应采用软件安全防护机制,采用核准的完整性技术进行保护。
3、运行环境安全需求,在可修改的运行环境中,添加或修改功能可能会干扰密码卡的运行。
4、敏感安全参数管理需求,包括关键安全参数和公共安全参数,应确保两类参数在密码卡内安全可控,防止关键安全参数受到非授权的访问、使用、泄露、修改和替换。
5、自测试需求,为防止密码卡因软硬件功能模块功能异常、密码资源配置不正确,无法对外提供加解密业务导致敏感信息泄露,需要对密码卡软硬件模块、密码算法逻辑及参数、密钥等进行自检,确保密码卡在正常工作状态下提供密码服务,异常工作状态停止密码服务。
加密卡算法
国家密码重要算法:对称算法的 SM1、SM4,主要用于加解密运算,其中SM1为非公开的国密算法,以芯片硬件实现运算,性能不太高,用于关键信息运算;SM4运算速度高,适合海量数据处理。非对称算法的SM2,主要用于签名验签;杂凑算法(哈希)的 SM3主要用于完整性。我国的SM2、SM9已经成为国际标准。
加密卡标准规范
《密码设备应用接口规范》(GM/T0018-2012)
《SM2椭圆曲线公钥密码算法》(GM/T0003-2012)
《SM3密码杂凑算法》(GM/T0004-2012)
《SM4分组密码算法》(GM/T0002-2012)
《SM9标识密码算法》(GM/T0044-2016)
《随机性检测规范》(GM/T0005-2012)
《PCI密码卡技术规范》(国家密码管理局2018年10月)
《密码应用标识规范》(GM/T 0006-2012)
《SM2密码算法使用规范》(GM/T 0009-2012)
加密卡数量对比
加密卡厂商生产数量情况
以上数据显示排名前三位的是北京三未信安(10张),成都卫士通(6张),山东渔翁(3)张,统计截止日期至2019年12月31日。
加密卡厂商列表
加密卡主要厂商型号与性能对比
加密卡应用场景
山东渔翁-应用场景
产品图片
应用场景
产品优势
高安全性
采用经国家密码管理局审批的密码算法芯片
采用硬件真随机数芯片生成随机数,提高口令及各种密钥的质量
采用严格的密钥保护安全机制,卡内各级密钥不能被明文导出到卡外
用户身份通过高安全性的智能密码钥匙进行识别
采用智能密码钥匙进行密钥和敏感信息的备份
高性能
密码卡主控芯片采用高性能DSP芯片,性能超过5000MIPS
主机与密码卡之间数据传输采用高效DMA处理方式,减少主机CPU占用率 密码算法采用专用ASIC算法芯片或FPGA硬件实现
高易用性
适用于PC机、服务器等多种硬件平台,支持PCI-E x1 ~ x16插槽
支持用户/内核态接口、国标接口及PKCS#11、微软CSP、JCE等国际标准接口,同时可根据用户需求定制接口。
采用自主知识产权的嵌入式文件系统,提供目录及文件等管理服务 支持多卡并行多进程、多线程调用
三未信安-应用场景
产品图片
应用场景
产品优势
入门级密码卡
具备比MINIPCI-E密码卡更快速的加解密和签名验签能力。可以满足服务器中对国密算法SM1、SM2、SM3、SM4、国际算法RSA算法的需求。
商业级密码卡
作为商业级的高端密码卡,具备较强的密码运算能力,支持国密算法(SM1/SM2/SM3/SM4)和国际算法(RSA/AES/DES等),可为用户提供卡内和接口的定制化改动;具备SM4加速调优版。
专业级密码卡
作为国内首款三级密码模块,可以为您提供符合等级保护三级、等级保护四级的密码安全支撑能力。具备SR-IOV虚拟化功能,为云中加密场景提供更多选择;SM4加密可提供高达22Gbps的运算能力。
数盾科技-应用场景
产品图片
应用场景
产品优势
核心优势:跨界融合,40G高性能网络加密吞吐,GDOI组密钥管理技术
产品亮点:全球首发,产品颠覆传统加密模式,极大程度降低了产品成本及部署成本。
支持国密算法
全面支持SM1(ECB、CBC及MAC模式)、SM2(签名/验签、密钥协商及公钥加密模式)、SM3(杂凑及MAC模式)以及SM4(ECB、CBC及MAC模式)算法。
性能遥遥领先
SM1算法单卡加密性能为1.5Gbps,双卡叠加性能为2.9Gbps;SM4算法单卡加密性能为2Gbps,双卡叠加性能为3.8Gbps。
硬件免驱安装
采用网络芯片进行硬件识别,无需安装其它驱动软件,保证即插即用。
卫士通-场景应用
产品图片
应用场景1
应用场景2
图片15
产品优势
商用PCI-E密码卡采用了MCU+FPGA的主流设计思想,研制技术基于我公司多年密码产品研制的经验和技术积累,具有很高的成熟度和稳定性。同时,密码卡采用了国产的低功耗高性能的主处理器,对称、非对称运算均由专用加速芯片实现,对称运算性能达到或超过国内外同行业主流水平,且成本比较低,具有很好的性价比。
江南天安-场景应用
产品图片
应用场景
产品优势
安全性:采用国密局批准的硬件芯片实现各类密码算法,采用多路物理噪声源芯片生成高强度随机数。
全面性:支持国产密码算法SM1/SM2/SM3/SM4和通用密码算法DES/AES/RSA/SHA1/SHA2等的并行应用。
高性能:采用PCI-E X4高速总线通讯技术、专利阵列加密技术和流水线技术应用。
天津国芯-场景应用
产品图片
应用场景
产品优势
基于苏州国芯自主高速安全芯片CCP90xT系列设计
不需要额外的FPGA等芯片,不需要设计FPGA逻辑
获得国家密码管理局《商用密码产品型号二级证书》
通过龙芯、飞腾、兆芯、申威的CPU适配。
Linux系统PCIe驱动,以及算法调用接口库(基于GMT0018密码设备应用接口规范的SDF API接口)
加密卡发展趋势
我们认为PCI-E高速密码卡有以下几个发展趋势。
1、全面国产。全面国产是指包括硬件研发、芯片研发制造、软件编程、制造、销售等等全都是国产自主可控。一是信息安全行业趋势如此,二是出于现实的保密需要。
2、高性能。只有更高的性能才能做到更好的适用性。因为各个行业的硬件都在更新换代、尤其是信息技术行业,硬件更新较快,其他硬件的性能提升必然要求密码卡的性能也随之提升,另外有些应用对性能需求远大于现在密码卡所能达到的水平,进而无法适用现在的密码卡。所以密码卡只有性能获得成倍上升才可能得到更广泛的应用。
3、小型化。现在很多设备的设计和制造越来越注重移动、便捷、便携。这也意味着密码卡也要更加的小巧才行。而硬件的小型化还意味着散热、功率、结构等全面改变。
4、智能化。未来的硬件设备都将会有一定的智能化需求,密码卡也不例外。这意味着更复杂的软件设计研发和更多的指令集和信息库。只有更加智能,才能满足更多的需求。