商用密码产品分类及应用案例
密码产品是指使用特定变换对数据等进行加密保护或者安全认证的设备与系统等。
商用密码产品功能类型商用密码产品按功能可以划分为七类：密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。

一、密码算法类产品

密码算法类产品主要是指提供基础密码运算功能的产品，如密码芯片等。

1. 算法芯片

算法芯片以实现密码算法逻辑为主，一般不涉及密钥或敏感信息的安全存储，如椭圆曲线密码算法芯片、数字物理噪声源芯片。

1. 安全芯片

安全芯片在算法芯片的基础上，增加了密钥和敏感信息存储等安全功能，相当于一个“保险柜”，最重要的算法数据都存储在芯片中，加密和解密的运算是在芯片内部完成的。

二、数据加密类产品

数据加解密类产品主要是指提供数据加解密功能的产品，如服务器密码机、VPN设备、加密硬盘等。

1. 服务器密码机

服务器密码机主要提供数据加解密、数字签名验签及密钥管理等高性能密码服务。服务器密码机通常部署在应用服务器端，能够同时为多个应用服务器提供密码服务，使重要数据的保密性、完整性、真实性得到保障。

图1 服务器密码机应用案例
 

1. VPN设备

VPN设备为远程访问提供安全接入手段，为网络通信提供保密性、完整性保护，以及数据源的身份鉴别和抗重放攻击等安全功能。

1. 加密硬盘

加密硬盘是一种以数据安全存储为目的的大容量存储设备，一般采用密码芯片对数据进行加密保护，数据以密文的形式存储在硬盘上。
同时加密硬盘还带有对用户身份鉴别的功能，该功能可与智能IC卡等身份鉴别产品配合实现。使用加密硬盘可以有效防止因硬盘丢失或被非法持有人访问而带来的数据泄露风险。

三、认证鉴别类产品

认证鉴别类产品主要是指提供身份鉴别等功能的产品，如认证网关、动态口令系统、签名验签服务器等。

1. 认证网关

认证网关主要为网络应用提供基于数字证书的高强度身份鉴别服务，可以有效保护对网络资源的访问安全。认证网关是用户进入应用服务系统前的接入和访问控制设备，通常部署在用户和被保护的服务器之间。
认证网关的外网口与用户网络连接，内网口与被保护服务器相连，由于被保护服务器通过内部网络与认证网关连接，因此，用户与服务器的连接被认证网关隔离，无法直接访问被保护服务器，只有通过网关认证才能获得服务。

图2  SSL VPN安全网关

1. 动态口令系统

动态口令系统是一种包含动态令牌和动态令牌认证的综合系统，可以为信息系统提供动态口令认证服务。
动态令牌认证系统由认证系统和密钥管理系统组成。动态令牌负责生成动态口令，认证系统负责验证动态口令的正确性，密钥管理系统负责动态令牌的密钥管理，信息系统负责将动态口令按照指定的协议发送至认证系统进行认证。

1. 签名验签服务器

签名验签服务器能够对各类电子信息数据、电子文档等提供基于数字证书的数字签名服务，并可验证签名数据的真实性和有效性。

图3 签名验签服务器应用案例

四、证书管理类产品

证书管理类产品主要是指提供证书产生、分发管理功能的产品，包括证书认证系统等。

1. 数字证书

数字证书也称公钥证书，是由证书认证机构签名的包含公钥者信息、公钥、签发者信息、有效期及扩展信息的一种数据结构。对数字证书进行管理的系统通常称为“证书认证系统”。

1. 证书认证系统

证书认证系统是对生命周期内的数字证书进行全过程管理的一套软件，包括用户注册管理、证书/证书撤销列表（CRL）的生成与签发、证书/CRL的存储与发布、证书状态的查询及安全管理等。

图4 数字证书认证系统应用案例

五、密钥管理类产品

密钥管理类产品主要是指提供密钥产生、分发、更新、归档和回复等功能的产品，包括密钥管理系统等。
密钥管理类产品通常包括产生密钥的硬件，如密码机、密码卡；以及实现密钥存储、分发、备份、更新、销毁、归档、恢复、查询、统计等服务的软件。密钥管理类产品的核心功能是确保密钥的安全性，是各类密码系统的核心。

图5  密码卡
数字证书密钥管理系统数字证书密钥管理系统主要由密钥生成、密钥库管理、密钥恢复、密码服务、密钥管理、安全审计、认证管理等功能模块组成。

图6 密钥管理系统应用案例

六、密码防伪类产品

密码防伪类产品主要是指提供密码防伪验证功能的产品，包括电子印章系统、支付密码器、时间戳服务器等。

1. 电子印章系统

电子印章系统通常将传统印章与数字签名技术结合起来，采用组件技术、图像处理技术及密码技术，对电子文件进行数据签章保护。电子印章系统包括电子印章制作系统与电子印章服务系统。电子印章制作系统主要用于制作电子印章，印章数据通过离线的方式导入电子印章服务系统。电子印章服务系统主要用于电子印章的盖章、验章。

1. 时间戳服务器

时间戳服务器是一款基于KPI技术的时间戳权威系统，对外提供精确可信的时间戳服务器，可广泛应用于网上交易、电子病历、网上招投标和数字知识产权保护等电子政务和电子商务活动中。

七、综合类

综合类产品是指提供含密码产品功能6类产品中的两种或两种以上的产品，包括自动柜员机（ATM）密码应用系统等。
ATM密码应用系统用于金融领域，提供账户查询、转账、存/取款、圈存圈提等一系列金融服务。
 
随着我国商用密码产品自主创新能力持续增强，产业支撑能力不断提升，目前我国已建成种类丰富、链条完整、安全适用的商用密码产品体系，部分产品性能指标已达到国际先进水平。