國密、商密和普密
區分
國家將信息安全劃分爲三個等級:核密、普密和商密。其中核密最高,普密次之,商密最低。
- 核密指國家黨政領導人及絕密單位的安全級別,此領域不存在任何商務行爲;
- 普密是指國家黨政軍機關的信息安全級別
國密是國家自己制定的密碼算法標準,商密和普密是《密碼法》按密碼用途進行分類。
三者的區別是服務對象和使用環境不同:
具體內容見:《中華人民共和國密碼法》
- 核心密碼、普通密碼都屬於國家祕密,都用於保護國家祕密信息,核心密碼保護信息的比較高密級爲絕密級,普通密碼保護信息的比較高密級爲機密級,兩種密碼都由密碼管理部門依法實行嚴格統一管理。
- 在有線、無線通信中傳遞的國家祕密信息,以及存儲、處理國家祕密信息的信息系統,應當依照法律、行政法規和國家有關規定使用核心密碼、普通密碼進行加密保護、安全認證。
核心密碼(國密)保護的信息屬於絕密級
普通密碼(普密)保護的信息屬於機密級
- 而商用密碼用於保護不屬於國家祕密的信息,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。比如商用密碼可用於企業內部的各類敏感信息的傳輸加密、存儲加密,防止非法第三方獲取信息內容;也可用於各種安全認證、網上銀行、數字簽名等。
應用
在信息互聯時代,密碼除傳統加密外,主要體現在身份認證、權限管理、訪問控制等。數字經濟時代,密碼的作用不斷擴展到數據流通、數據共享等新維度,密碼技術自身也需要持續革新。
爲了保障商用密碼安全,國家商用密碼管理辦公室制定了一系列密碼標準,包括 SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、ZUC,其中SM1、SMS4、SM7、ZUC是對稱算法;SM2、SM9 是非對稱算法;SM3 是哈希算法。下面對這些算法做一簡單介紹:
- SM1
即商密1號算法,亦稱SCB2算法,該算法是國家密碼管理部門審批的SM1分組密碼算法,分組長度和密鑰長度都爲128比特,算法安全保密強度及相關軟硬件實現性能與AES相當,不公開,僅以IP核的形式存在於芯片中。採用該算法已經研製了系列芯片、智能IC卡、智能密碼鑰匙、加密卡、加密機等安全產品,廣泛應用於電子政務、電子商務及國民經濟的各個應用領域(包括國家政務通、警務通等重要領域)。
- SM2
SM2算法是基於橢圓曲線的公鑰密碼算法,在我國商用密碼體系中被用來替換RSA算法,目前支持SM2算法的產品已達1000餘款,廣泛應用於電子政務、移動辦公、電子商務、移動支付、電子證書等基礎設施、雲服務等領域。
- SM3
SM3是中華人民共和國政府採用的一種密碼散列函數標準,主要用於數字簽名及驗證、消息認證碼生成及驗證、隨機數生成等。其算法公開,安全性及效率與SHA-256相當。該算法已成爲我國電子簽名類密碼系統、計算機安全登錄系統、計算機安全通信系統、數字證書、 網絡安全基礎設施、安全雲計算平臺與大數據等領域信息安全的基礎技術。
- SM4
SM(S)4算法,是一個分組算法,分組長度和密鑰長度均爲128比特,加密算法與密鑰擴展算法都採用32輪非線性迭代結構,最初作爲無線局域網專用密碼算法發佈,後成爲分組密碼算法行業標準。目前支持SMS4算法的產品已達700餘款,覆蓋了各種有對稱加密需求的應用。由於SMS4算法最初用於無線局域網芯片WAPI協議中,支持SMS4算法的WAPI無線局域網芯片已超過350多個型號,全球累計出貨量超過70億顆。在金融領域,僅統計支持SMS4算法的智能密碼鑰匙出貨量已超過1.5億支。此外,SMS4算法已被納人可信計算組織(TCG)發佈的可信平臺模塊庫規範(TPIM2.0)中。
- SM7
SM7算法,是一種分組密碼算法,分組長度爲128比特,密鑰長度爲128比特。SM7適用於非接觸式IC卡,應用包括身份識別類應用(門禁卡、工作證、參賽證),票務類應用(大型賽事門票、展會門票),支付與通卡類應用(積分消費卡、校園一卡通、企業一卡通等)。
- SM9
SM9密碼算法爲標識密碼算法。由於SM9算法標準發佈較晚(2016年4月發佈),目前支持SM9算法的產品數量尚少(6款),但由於IBc技術靈活易用和方便管理的特點,SM9算法的應用需求十分旺盛。SM9算法不需要申請數字證書,適用於互聯網應用的各種新興應用的安全保密保障,如基於雲技術的密碼服務、電子郵件安全、智能終端保護、物聯網安全、雲存儲安全等等。這些安全應用可採用手機號碼或郵件地址作爲公鑰,實現數據加密、身份認證、通話加密、通道加密等安全應用,並具有使用方便、易於部署的特點。自標準發佈以來,已有廠商着手研製支持SM9算法的智能密碼鑰匙、標識密碼機、密鑰管理系統等系列基礎產品,更多的應用單位基於SM9算法設計其系統方案。可以預見的是,SM9算法將會在更廣的領域發揮其自身優勢。
- ZUC
ZUC算法,又名祖沖之算法,是中國自主研究的流密碼算法。最初是面向4G LTE空口加密設計的序列密碼算法,2011年被3GPPm採納爲國際加密標準(3GPPTS 33.401),因此ZUC算法目前主要用於通信領域。根據工信部反饋情況,4G入網檢測已要求手機終端全部支持ZUC算法;中國移動針對4GM廠VOLTE網絡及窄帶物聯網(NB— 10T)的空口接人要求全面支持ZUC算法,並以《中國移動VOLTE試點測試規範》和《中國移動窄帶物聯網安全規範》形式明確。此外,中國移動研製的智能加密移動終端、三零瑞通研製的VOIP語音加密系統以及興唐通信研製的鏈路密碼機等密碼產品中也都率先支持了ZUC算法,爲ZUC算法的進一步推廣應用打下堅實基礎。
商用密碼產品目前按形態劃分爲6類:密碼軟件、密碼芯片、密碼模塊、密碼板卡、密碼整機、密碼系統
(1)密碼軟件類:提供純軟件形態出現的密碼產品,產品有信息加密軟件、密碼算法實現軟件等產品
(2)密碼芯片類:指以集成電路芯片形態出現的密碼產品,主要產品有密碼算法芯片、密碼SOC芯片等
(3)密碼模塊類:指以多芯片組裝的背板形態出現,具備專用密碼功能,但本身不能完成完整的密碼功能的產品,主要有加解密模塊、安全控制模塊等產品
(4)密碼板卡類:指以板卡形態出現,具備完整密碼功能的產品,作爲密碼產品的核心組件,主要有USB密碼鑰匙、PCI密碼板卡等產品
(5)密碼整機類:指以整機形態出現,具備完整密碼功能的產品,以密碼板卡爲核心組建,主要有VPN、網絡密碼機、服務器密碼機、簽名驗證服務器等產品
(6)密碼系統類:指以系統形態出現,由密碼功能支撐的產品,一般由多個密碼整機組成,包括安全認證系統、密鑰管理系統等產品
商用密碼產品目前按功能劃分爲7類:密碼算法類、數據加解密類、認證鑑別類、證書管理類、密鑰管理類、密碼防僞類和綜合類。
(1)密碼算法類:提供基礎密碼運算功能的產品,如密碼算法芯片
(2)數據加解密類:提供數據加解密功能的產品,如服務器密碼機、VPN設備
(3)認證鑑別類:提供身份認證、密碼鑑別功能的產品,如動態口令系統、認證網關
(4)證書管理類:提供證書的產生、分發、管理功能的產品,如證書認證系統
(5)密鑰管理類:提供密鑰的產生、分發、更新、歸檔和恢復等功能的產品,如密鑰管理系統
(6)密碼防僞類:提供密碼防僞驗證功能的產品電子印章系統、支付密碼器、數字水印系統
(7)綜合類:提供含上述6類產品功能的兩種或兩種以上的產品,如電子商務安全平臺、綜合安全保密系統
以下具體列出常見的商用密碼產品:
- TF密碼卡
具有數字證書存儲、身份認證、數字簽名和數據加密存儲。產品應用於手機、PDA、GPS、警務通、執法儀、筆記本電腦等智能移動電子設備中,作爲強身份驗證、數據加密保護的專用密碼工具,且具有一定的存儲空間。
- PCI-E密碼卡
爲各類安全平臺提供多線程、多進程和多卡並行處理的高速密碼運算服務,具有數字簽名/驗證、非對稱/對稱加解密、數據完整性校驗、真隨機數生成、密鑰生成和管理等功能。產品應用於簽名驗證服務器、IPSec/SSL VPN網關、防火牆等安全設備以及電子印章管理、安全公文傳輸等軟件系統。
- 存儲型智能密碼鑰匙
USBKEY和安全U盤的融合產品。具有智能密碼鑰匙身份認證、數據加密等功能,並集成大容量安全數據存儲空間,具備高安全的移動存儲功能。
- 智能密碼鑰匙
內置安全芯片,提供數字證書管理、數字簽名/驗證、非對稱/對稱加解密、數據完整性校驗、真隨機數生成、密鑰生成等功能。可作爲用戶登錄業務系統的身份憑證。
- 安全U盤
內置專用硬件算法芯片,實現全盤數據加密存儲,用戶只有通過身份認證後才能訪問加密區,防止加密區數據泄露確保用戶數據的機密性。
- 服務器密碼機
提供對非對稱/對稱數據加解密運算以及數據完整性校驗、真隨機數生成、數字簽名、密鑰管理等。
- 金融數據密碼機
用於確保金融數據安全,並符合金融磁條卡、IC卡業務特點的,主要實現PIN加密、PIN轉加密、MAC產生和校驗、數據加解密、簽名驗證以及密鑰管理等密碼服務功能的密碼設備。
- IPSec VPN安全網關
基於IPSec協議提供網絡傳輸的數據提供高性能加密、簽名驗證服務。通過虛擬隧道技術爲總部和分支機構網絡之間建立專用通道,保障通道中傳送數據的保密性、完整性和真實性。
- SSL VPN安全網關
提供基於安全套接層SSL的安全通道防護,實現終端用戶的遠程安全接入,保障遠程用戶訪問公司敏感數據安全性。
- 密鑰管理系統
提供非對稱密鑰對和對稱密鑰的生成、存儲、保護、分發、註銷、歸檔和恢復,以及對密鑰申請的授權和證實、歸檔密鑰的恢復、密鑰管理的審計和跟蹤、密鑰管理系統的訪問控制等功能。
- 簽名驗證服務器
提供數字簽名/驗證、文件簽名/驗證、數字信封、密鑰管理、證書管理、數據雜湊等功能。可對網上證券、網上保險、網上銀行及電子商務和電子政務活動中的關鍵敏感數據進行簽名驗籤。
- 數字證書認證系統
基於PKI關鍵技術,提供數字證書的申請、審覈、簽發、查詢、發佈,證書吊銷列表的簽發、查詢、發佈等全生命週期管理功能。應用系統可使用加密和數字簽名技術,保證網絡信息傳輸的機密性、真實性、完整性和不可否認性。
- 安全認證網關
採用數字證書爲應用系統提供基於數字證書的高強度身份鑑別服務,如用戶管理、身份鑑別、單點登錄、傳輸加密、訪問控制和安全審計服務。
- 密碼鍵盤
用於保護PIN輸入安全並對PIN進行加密的獨立式密碼模塊。包括POS主機等設備的外接加密密碼鍵盤和無人值守(自助)終端的加密PIN鍵盤。
- 時間戳服務器
基於KPI技術的時間戳權威系統,對外提供精確可信的時間戳服務器。廣泛應用於網上交易、電子病歷、網上招投標和數字知識產權保護等電子政務和電子商務活動中。
- 安全門禁系統
採用密碼技術,確定用戶身份和用戶權限的門禁控制系統。
- 動態令牌(認證系統)
爲應用系統提供動態口令認證服務。由認證系統和密鑰管理系統組成。動態令牌負責生成動態口令,認證系統負責驗證動態口令的正確性,密鑰管理系統負責動態令牌的密鑰管理,信息系統負責將動態口令按照指定的協議發送至認證系統進行認證。
- 安全電子簽章系統
提供電子印章管理、電子簽章/驗章等功能的密碼應用系統。
- 電子文件密碼應用系統
在電子文件創建、修改、授權、閱讀、籤批、蓋章、打印、添加水印、流轉、存檔和銷燬等操作中提供密碼運算、密鑰管理等功能的應用系統。
- 可信計算密碼支撐平臺
採取密碼技術,爲可信計算平臺自身的完整性、身份可信性和數據安全性提供密碼支持。其產品形態主要表現爲可信密碼模塊和可信密碼服務模塊。
- 證書認證(密鑰管理)系統
證書認證系統,對數字證書的簽發、發佈、更新、撤銷等數字證書全生命週期進行管理的系統。證書認證密鑰管理系統,對生命週期內的加密證書密鑰對進行全過程管理的系統。
- 安全芯片
含密碼算法、安全功能,可實現密鑰管理機制的集成電路芯片。
- 電子標籤芯片
含密碼算法、安全功能,可實現密鑰管理機制的集成電路芯片。
- 電子印章系統
傳統印章與數字簽名技術結合,採用組件技術、圖像處理技術及密碼技術,對電子文件進行數據簽章保護。電子印章系統包括電子印章製作系統與電子印章服務系統。電子印章製作系統主要用於製作電子印章,印章數據通過離線的方式導入電子印章服務系統。電子印章服務系統主要用於電子印章的蓋章、驗章。
- 數字證書密鑰管理系統
由密鑰生成、密鑰庫管理、密鑰恢復、密碼服務、密鑰管理、安全審計、認證管理等功能模塊組成。
- 智能IC卡
實現密碼運算和密鑰管理功能的含CPU(中央處理器)的集成電路卡,包括應用於金融等行業領域的智能IC卡。
- 安全密碼模塊
提供移動終端、PC等全終端環境下的可信身份認證服務。利用移動終端作爲身份認證載體,以密碼技術爲核心,通過融合數字證書、生物識別、設備指紋、安全加固等多因素、多維度安全技術,實現安全強度可媲美USBKey的移動終端解決方案。
- 縱向加密認證裝置
爲電力調度部門上下級控制中心多個業務系統之間的實時數據交換提供認證與加密服務,實現端到端的選擇性保護,保證電力實時數據傳輸的實時性、機密性、完整性和可靠性。部署在電力控制系統的內部局域網與電力調度數據網絡的路由器之間。
- 雲服務器密碼機
可提供服務器密碼機、金融數據密碼機、簽名驗證服務器等多種類型的虛擬密碼機;使用方式與傳統密碼機基本一致,方便傳統業務平滑遷移至雲環境。
- 桌面型加密認證裝置
一種小微型加密認證網關設備。產品基於國密算法實現身份認證、訪問控制、數據加解密等功能。產品可自身配對使用或與其它加密認證網關類產品配合使用,解決工控終端與應用系統、物聯網終端與應用系統以及小型數據中心之間的安全互聯,實現數據/指令的傳輸加密和完整性校驗。
- 密碼檢測平臺
針對密碼機、VPN網關等各類標準密碼設備及各類支持密碼運算的工控設備(如智能電錶)進行密碼算法、隨機數、密碼協議、密碼運算性能等方面的自動化檢測。
- 數字水印系統
採用基於空域的局部圖像水印嵌入技術在視頻和圖片上添加隱形的水印信息,不影響其原載體的使用價值和圖像質量,可以被生產方識別和辨認,不易被它方探知,保護多媒體信息安全、實現防僞溯源、版權保護。
- 支付密碼器
與預留印章配合使用鑑別票據真僞的一種輔助工具,針對傳統的預留印章鑑別,其具有防僞、防篡改、抗抵賴和防止內部作案等。
- 電話加密機
具有普通通話和加密通話兩種功能,機身有加密\非加密轉換開關和密鑰轉換開關;機身內連接調製解調電路,該電路包括低通濾波、調製解調和分頻電路,可使普通話音信號經調製加密而發出,也可使加密話音信號經解調去密而接收;當轉換開關置於加密位置時,通話電路與調製解調電路相連。
- 數據庫加密系統
通過系統中加密、DBMS內核層(服務器端)加密和DBMS外層(客戶端)加密。且能夠實現對數據庫中的敏感數據加密存儲、訪問控制增強、應用訪問安全、安全審計以及三權分立等功能。
參考
4、商用密碼算法簡介
5、簡述國密算法