智慧型密碼鑰匙

傳統的智慧型密碼鑰匙需要安裝專用驅動，使用繁瑣，增加了客戶的發行成本。目前市面上已有基於HID協定的無驅型智慧型密碼鑰匙，但HID協定的低速特性限制了其不能套用在高速加解密的場合。漁翁智慧型密碼鑰匙是一款基於Mass Storage協定的高性能無驅型智慧型密碼鑰匙。

智慧型密碼鑰匙

存儲型智慧型密碼鑰匙

1.高性能

智慧型密碼鑰匙採用32位高性能安全主控晶片，最高主頻可達100MHz，CPU具有強大的運算和控制能力。

SM1密碼算法、SM2密碼算法、SM3密碼算法、SM4密碼算法、真隨機數生成都是硬體加速引擎實現，加解密性能突出。

USB接口支持USB 2.0高速(480Mbps)模式，而不是普通USB 2.0設備的全速(12Mbps)模式，數據傳輸不存在性能瓶頸。

2.高安全性

安全晶片作業系統FM_COS(Fisherman Chip Operation System)是漁翁信息自主研發，擁有全部智慧財產權。FM_COS具有完善的許可權管理、密鑰管理、算法管理、存儲管理等安全機制，具有完善的檔案系統，該系統已經通過國家密碼管理局的嚴格測試和專家驗收。

智慧型密碼鑰匙支持的SM1至SM4密碼算法是我國自主產權的國產密碼算法，安全強度遠高於DES、AES等國際通用密碼算法。

真隨機數是經認證的物理噪聲源晶片產生，提高了各種密鑰的質量。

存儲區域具有硬體保護機制，密鑰不會以明文的形式導出設備之外。

具有雙因子認證模式，用戶只有同時取得了智慧型密碼鑰匙硬體和用戶口令，才能完成認證過程。

3.高易用性

智慧型密碼鑰匙採用鋁合金金屬外殼，具有LED指示燈，攜帶方便。

產品設計採用無驅框架，不需要安裝專用的硬體驅動，簡化了用戶操作。

提供豐富的開發接口，可在多種平台、多種語言環境下調用。

1.數據加密

內置硬體對稱算法引擎，支持多種加密算法，算法性能突出、安全強度高，可套用於檔案加密、VPN客戶端等需要高速數據加解密的場合。

2.簽名驗證

支持SM2密碼算法，支持SM2密鑰對的生成並進行簽名驗證運算。私鑰不可導出，確保用戶信息不被泄露。

3.Hash運算

智慧型密碼鑰匙通過設備的Hash運算功能實現數據完整性校驗，支持的算法有SM3。

4.密鑰管理

用戶經過身份認證後，可對內部密鑰進行管理，包括密鑰產生、密鑰存儲、密鑰導入、密鑰導出、密鑰使用、密鑰銷毀等，密鑰導出有嚴格的許可權控制。

5.訪問控制

通過分級用戶管理實現許可權分割，系統包括兩種用戶：管理員和操作員，管理員具有最高安全等級的管理許可權，可以對操作員的口令進行重新設定和解鎖。漁翁智慧型密碼鑰匙根據安全策略賦予管理員和操作員不同的訪問許可權，從而實現訪問控制。

6.身份鑑別

使用口令驗證功能對用戶身份進行認證，保證用戶身份的合法性。PIN+智慧型密碼鑰匙實現了雙因子認證。支持內部認證和外部認證功能，確認計算機和智慧型密碼鑰匙兩者的合法關係。

7.檔案系統

具有自主智慧財產權的嵌入式檔案系統。檔案系統的功能全面，實現靈活，支持目錄和檔案的創建、刪除、枚舉和讀寫，支持多級目錄管理，可設定檔案的讀寫許可權。

8.證書管理

提供專用的數字證書操作接口，支持數字證書的讀寫、枚舉、刪除，可作為數字證書的安全載體。

9.安全審計

提供日誌記錄的功能，能有效記錄每個用戶的行為、系統資源的異常使用和重要系統命令的使用等系統重要安全相關事件，包括用戶的添加和刪除、審計功能的啟動和關閉、審計策略的調整、許可權變更、系統資源的異常使用、重要的系統操作(如用戶登錄、退出)等。這些功能均符合等級保護三級標準中的安全審計部分。

10.通信完整性

提供使用敏感標記檢驗功能，可驗證數據信息的通信完整性。

11.通信保密性

可以對通信中的數據進行加密，實現通信保密性。

12.抗抵賴性

具有簽名驗證的功能，可以有效防止他人抵賴。

13.軟體容錯

具有嚴密的參數檢查功能，可以有效地對傳入數據進行有效性驗證。

智慧型密碼鑰匙適用於各種安全設備終端，如密碼機、虛擬專用網路設備(VPN)、CA認證系統等，廣泛套用於電子政務、網上銀行、電子商務、企業ERP等領域，可為用戶提供身份認證、電子簽章、檔案加密、保密通信和移動存儲加密等服務。

1.身份認證

身份認證服務是提供其他安全服務的前提和基礎。傳統的“用戶名+口令”認證方式安全性較低，容易泄漏、遺忘或者被暴力破解;而基於生物識別技術的認證方式成本較高，技術上還有待成熟。因此，具有低成本、高安全性、攜帶使用方便等諸多優點的智慧型密碼鑰匙成為理想的身份認證產品。

智慧型密碼鑰匙認證是一種“雙因子認證”模式。智慧型密碼鑰匙具有口令保護，口令和智慧型密碼鑰匙硬體構成了用戶使用的兩個必要因素，用戶只有同時取得了智慧型密碼鑰匙硬體和用戶口令，才能完成認證過程。採用軟硬相結合的一次一密強雙因子認證模式，智慧型密碼鑰匙可實現兩種認證框架：挑戰-回響認證和PKI數字證書認證。在等級保護三級標準中的主機安全標準中，要求對用戶的身份進行鑑別，而這種雙因子認證模式能更安全地實現身份鑑別，雙因子認證模式，具有不易被冒用的特點。

2.數據加密

實現數據保密是數據安全的首要任務，對數據進行加解密是實現數據保密性的核心手段。數據加密已廣泛套用於數據存儲、數據處理及數據傳輸的全過程，如檔案加密、保密通信、移動存儲加密等。

智慧型密碼鑰匙內置32位高性能安全晶片，具有對稱、非對稱、Hash和真隨機數等多種硬體算法引擎，並可保證密鑰的安全使用和管理，提供高性能的密碼服務。同時，智慧型密碼鑰匙支持國家密碼管理局審批的算法，安全強度遠高於DES、AES等國際通用算法。在套用安全方面，這種數據加密功能滿足等級保護三級標準中的套用安全通訊完整性標準。

3.PKI套用

PKI技術是信息安全技術的核心，它是利用公鑰理論和技術建立的提供信息安全服務的基礎設施。PKI已廣泛套用於CA認證中心、虛擬專用網路、安全電子郵件、Web安全、電子簽章等領域。

智慧型密碼鑰匙具有完善的PKI功能，支持數字證書的存儲、管理，支持公私鑰的簽名驗證運算，是PKI方案體系中一款不可或缺的便攜、經濟、安全的客戶端硬體產品。在這些套用領域中，均能體現等級保護三級標準中的通訊完整性、通訊保密性、抗抵賴性的要求。其提供的數字簽名服務符合等級保護三級標準中的訪問控制要求，完善的PKI功能也是對用戶身份的有效標識和鑑別。

GM/T 0027《智慧型密碼鑰匙技術規範》、GM/T 0028《密碼模組安全技術要求》