文章总结： 本文系统介绍了三类主流密码产品：密码机（包括服务器密码机、签名验签服务器和金融数据密码机）提供基础密码运算与密钥管理服务；VPN技术通过IPSec/SSL协议在公共网络建立安全通道，实现低成本灵活组网；智能密码钥匙（USBKey）作为终端设备存储密钥证书并完成身份鉴别与数字签名。文档详细说明了各类产品的功能特性、应用场景与技术实现方式，为密码技术应用提供实用参考。 综合评分： 82 文章分类： 技术标准,应用安全,网络安全,解决方案,安全工具

密码产品 | 密码机、VPN、智能密码钥匙

金天的网络安全

2024年12月2日 15:54 北京

在小说阅读器读本章

去阅读

一、密码机

密码机是以整机形态出现，具备完整密码功能的产品，通常实现数据加解密、签名/验证、密钥管理、随机数生成等功能。它可供各类应用系统调用，为其提供数据加解密、签名/验证等密码服务。其外部形态与一般的服务器、工控机等没有太大区别，可以部署在通用的机架中。目前国内的密码机主要呈现以下三大类：

（1）通用型的服务器密码机；

（2）应用于证书认证领域的签名验签服务器；

（3）应用于金融行业的金融数据密码机。

签名验签服务器和金融数据密码机，从硬件组成角度而言，与通用的服务器密码机并无区别，主要是针对特定应用场景，在通用型的服务器密码机基础上，进一步封装了特定接口，以便于应用调用。

为满足云计算应用环境需求，有些厂家研制了云服务器密码机，利用密码服务的虚拟化和密码资源的虚拟化的方式实现对于云计算应用环境的支撑。

密码机本身一般仅提供最为基础的密码计算和密钥管理功能，不面向具体的业务应用用户；因此大多数情况下，密码机作为后台设备，采用网络直连的方式连接具体业务系统，业务系统直接调用密码机完成密码计算和密钥管理，完成对上层的应用支持；相对而言，也有一些密码机配备了比较完善的用户管理机制，也可以直接面向用户调用，如服务器密码机。

1.服务器密码机

服务器密码机作为最基本的密码机产品，主要为应用提供最为基础和底层的密钥管理和密码计算服务。

服务器密码机的管理员一般拥有较高的权限，为了对管理员身份进行有效鉴别，服务器一般还配备智能卡、智能密码钥匙等身份鉴别介质，使用其存储的对称/非对称密钥，利用“挑战一响应”等机制完成对于管理员的鉴别需求。

2.签名验签服务器

签名验签服务器是为应用实体提供基于PKI体系和数字证书的数字签名、验证签名等运算功能的服务器，可以保证关键业务信息的真实性、完整性和不可否认性，主要用于数字证书认证系统，但由于其本身提供了基本的签名和验签服务功能，也可以用于电子银行、电子商务、电子政务等基于PKI的业务系统，为这类业务系统提供数字证书的管理和验证服务。

签名验签服务器可以通过三种方式提供服务：

（1）API调用方式。用户通过GM/T0020《证书应用综合服务接口规范》中规定的API接口访问签名验签服务器。

（2）请求响应方式。通过GM/T0029的附录A“消息协议语法规范”中规定的协议，请求者将数字签名、验证数字签名等请求发送给签名验签服务器，由签名验签服务器完成签名验签服务并返回结果。

（3）Web方式。其工作原理与请求响应模式类似，不同的是将消息格式从二进制的ASN.1格式，转换为易于在Web应用和HTTP协议中传递的文本格式。通过GM/T0029的附录B“基于HTTP的签名消息协议语法规范”的HTTP请求发送给签名验签服务器，由签名验签服务器完成签名验签服务并返回结果。

为了更好地适配于数字认证系统，除了最为基本的签名验签和数字证书验证服务外，签名验签服务器还需要支持初始化、与CA连接（主要是支持CRL连接配置、OCSP连接配置）、应用管理、证书管理（应用实体的密钥产生、证书申请、用户证书导入和存储、应用实体的证书更新等）、备份和恢复等功能。

3.金融数据密码机

金融数据密码机主要用于金融领域内的数据安全保护，提供PIN加密、PIN转加密、MAC产生、MAC校验、数据加解密、签名验证及密钥管理等金融业务相关功能。

金融数据密码机除用于金融行业实际业务外，还可以提供基本的密码算法服务，为通用业务提供密码计算服务，例如，电子商务行业数字签名的生成和验证，动态令牌、时间戳服务器的数字签名生成等。

二、VPN

虚拟专用网络（VirtualPrivateNetwork，VPN）技术是指使用密码技术在公用网络（通常指互联网）中构建临时的安全通道的技术。其之所以称为虚拟网，主要是因为整个VPN中任意两个节点间的连接并没有使用传统专网所需的端到端的物理链路，而是在公用网络服务商提供的网络平台上形成逻辑网络，用户数据在逻辑链路中进行传输。VPN使得分散在各地的企业子网和个人终端安全互联，实现了物理分散、逻辑一体的目的。通过VPN技术提供的安全功能，用户可以实现在外部对企业内网资源的安全访问。VPN技术具有以下特点：

（1）节省搭建网络的成本。利用现有的公用网络资源建立VPN隧道，不需要租用专门的物理链路，相比于物理专网的搭建节省了开销。

（2）连接方便灵活。通信双方在联网时，如果使用传统物理专网，则需要协商如何在双方之间建立租用线路等；使用VPN之后，只需要双方配置安全连接信息，连接十分便捷。

（3）传输数据安全可靠。VPN产品釆用了加密、身份鉴别等密码技术，保证通信双方身份的真实性和通信数据的保密性、完整性等。

目前，主流的VPN产品包括IPSecVPN网关和SSLVPN网关。在安全认证网关中，大多数产品也是基于IPSec或SSL协议实现的，并提供了与IPSecVPN、SSLVPN产品相近的安全功能。

1.IPSecVPN和SSLVPN

IPSecVPN和SSLVPN是两种典型的VPN产品实现技术，它们分别采用IPSec和SSL密码协议为公用网络中通信的数据提供加密、完整性校验、数据源身份鉴别和抗重放攻击等安全功能。但是，由于两者工作于不同的网络层次来搭建网络安全通道，因此，在部署方式和控制粒度方面还存在一定差异。

IPSecVPN产品釆用工作在网络层的VPN技术，对应用层协议完全透明。在建立IPSecVPN隧道后，就可以在安全通道内实现各种类型的连接，如Web（HTTP）、电子邮件（SMTP）、文件传输（FTP）、网络电话（VoIP）,这是IPSecVPN的最大优点。另外，IPSecVPN产品在实际部署时，通常向远端开放的是一个网段，也就是IPSecVPN产品通常是保护一个内网整体，而非单个主机、服务器端口。所以，针对单个主机、单个传输层端口的安全控制部署较复杂，因此其安全控制的粒度相对较粗。

SSLVPN产品采用工作在应用层和TCP层之间的VPN技术。由于它所基于的SSL协议内嵌在浏览器中，所以，接入端在不增加设备、不改动网络结构的情形下即可实现安全接入。这种基于浏览器/服务器（B/S）的架构是SSLVPN最为常见的应用方式。同时，SSL协议位于TCP协议与应用层协议之间，因而SSLVPN安全控制粒度可以更为精细，能够仅开放一个主机或端口。

2.安全认证网关

安全认证网关是采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务等功能的产品，保证了网络资源的安全访问。安全认证网关与一般安全网关产品的主要区别在于它采用了数字证书技术。在产品分类上，安全认证网关可分为代理模式和调用模式，其中代理模式是基于IPSec/SSLVPN实现的网关产品；调用模式的产品一般提供专用的安全功能（如身份鉴别），被信息系统所调用。目前，大多数安全认证网关产品基于IPSec/SSL协议实现。

三、智能密码钥匙

智能密码钥匙是一种具备密码运算、密码管理能力，可提供密码服务的终端密码设备，其主要作用是存储用户秘密信息（如私钥、数字证书）和用户身份鉴别，完成数据加解密、数据完整性校验、数字签名、访问控制等功能。

智能密码钥匙一般使用USB接口形态，因此也被称作USBToken或者USBKey。典型的智能密码钥匙的外形与普通U盘类似，其特征主要包括：

（1）使用USB接口，内置安全智能芯片；

（2）具备密码运算能力，能够完成密钥生成和安全存储、数据加密和数字签名等功能；

（3）釆用基于身份的用户鉴别机制，通常采用个人识别码（PIN）来实现；

（4）配有供其他应用程序调用的软件接口程序及驱动。

（5）有一定的存储空间（一般是从几KB到几十MB不等），存储用户私钥及数字证书等数据，包括：用户密钥（加密密钥对和签名密钥对）和会话密钥，其中加密密钥对用于保护会话密钥，签名密钥对用于数字签名和验证，会话密钥用于数据加解密和MAC运算；以及与加密密钥对对应的加密数字证书和与签名密钥对对应的签名数字证书。

在智能密码钥匙发行阶段，用户向CA提供自己的用户信息及签名公钥，CA在核验用户身份后，用自己的私钥对用户信息及签名公钥进行签名，产生用户的数字证书，该证书将被安全存储到用户的智能密码钥匙中并下发给用户。智能密码钥匙的硬件和PIN码有效地保护了数字证书的存储和使用。

【热文宅急递】

TOP1:【收藏帖】揭秘“3保1评”合规体系的铜墙铁壁（供下载）

TOP2:《信息系统密码应用实施指南》

TOP3: 密码应用方案怎么写？GB/T43207-2023手把手教学

TOP4: 信息系统深度融合密码技术，保障“四性”安全

TOP5: 政务云密码应用与安全性评估实施指南

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：金天的网络安全 《密码产品 | 密码机、VPN、智能密码钥匙》