智能密碼鑰匙

傳統的智能密碼鑰匙需要安裝專用驅動，使用繁瑣，增加了客户的發行成本。目前市面上已有基於HID協議的無驅型智能密碼鑰匙，但HID協議的低速特性限制了其不能應用在高速加解密的場合。漁翁智能密碼鑰匙是一款基於Mass Storage協議的高性能無驅型智能密碼鑰匙。 ^[1] 

智能密碼鑰匙

存儲型智能密碼鑰匙

加密U盤 ^[1] 

1.高性能

智能密碼鑰匙採用32位高性能安全主控芯片，最高主頻可達100MHz，CPU具有強大的運算和控制能力。

SM1密碼算法、SM2密碼算法、SM3密碼算法、SM4密碼算法、真隨機數生成都是硬件加速引擎實現，加解密性能突出。

USB接口支持USB 2.0高速(480Mbps)模式，而不是普通USB 2.0設備的全速(12Mbps)模式，數據傳輸不存在性能瓶頸。

2.高安全性

安全芯片操作系統FM_COS(Fisherman Chip Operation System)是漁翁信息自主研發，擁有全部知識產權。FM_COS具有完善的權限管理、密鑰管理、算法管理、存儲管理等安全機制，具有完善的文件系統，該系統已經通過國家密碼管理局的嚴格測試和專家驗收。

智能密碼鑰匙支持的SM1至SM4密碼算法是我國自主產權的國產密碼算法，安全強度遠高於DES、AES等國際通用密碼算法。

真隨機數是經認證的物理噪聲源芯片產生，提高了各種密鑰的質量。

存儲區域具有硬件保護機制，密鑰不會以明文的形式導出設備之外。

具有雙因子認證模式，用户只有同時取得了智能密碼鑰匙硬件和用户口令，才能完成認證過程。

3.高易用性

智能密碼鑰匙採用鋁合金金屬外殼，具有LED指示燈，攜帶方便。

產品設計採用無驅框架，不需要安裝專用的硬件驅動，簡化了用户操作。

提供豐富的開發接口，可在多種平台、多種語言環境下調用。 ^[1] 

1.數據加密

內置硬件對稱算法引擎，支持多種加密算法，算法性能突出、安全強度高，可應用於文件加密、VPN客户端等需要高速數據加解密的場合。

2.簽名驗證

支持SM2密碼算法，支持SM2密鑰對的生成並進行簽名驗證運算。私鑰不可導出，確保用户信息不被泄露。

3.Hash運算

智能密碼鑰匙通過設備的Hash運算功能實現數據完整性校驗，支持的算法有SM3。

4.密鑰管理

用户經過身份認證後，可對內部密鑰進行管理，包括密鑰產生、密鑰存儲、密鑰導入、密鑰導出、密鑰使用、密鑰銷燬等，密鑰導出有嚴格的權限控制。

5.訪問控制

通過分級用户管理實現權限分割，系統包括兩種用户：管理員和操作員，管理員具有最高安全等級的管理權限，可以對操作員的口令進行重新設定和解鎖。漁翁智能密碼鑰匙根據安全策略賦予管理員和操作員不同的訪問權限，從而實現訪問控制。

6.身份鑑別

使用口令驗證功能對用户身份進行認證，保證用户身份的合法性。PIN+智能密碼鑰匙實現了雙因子認證。支持內部認證和外部認證功能，確認計算機和智能密碼鑰匙兩者的合法關係。

7.文件系統

具有自主知識產權的嵌入式文件系統。文件系統的功能全面，實現靈活，支持目錄和文件的創建、刪除、枚舉和讀寫，支持多級目錄管理，可設置文件的讀寫權限。

8.證書管理

提供專用的數字證書操作接口，支持數字證書的讀寫、枚舉、刪除，可作為數字證書的安全載體。

9.安全審計

提供日誌記錄的功能，能有效記錄每個用户的行為、系統資源的異常使用和重要系統命令的使用等系統重要安全相關事件，包括用户的添加和刪除、審計功能的啓動和關閉、審計策略的調整、權限變更、系統資源的異常使用、重要的系統操作(如用户登錄、退出)等。這些功能均符合等級保護三級標準中的安全審計部分。

10.通信完整性

提供使用敏感標記檢驗功能，可驗證數據信息的通信完整性。

11.通信保密性

可以對通信中的數據進行加密，實現通信保密性。

12.抗抵賴性

具有簽名驗證的功能，可以有效防止他人抵賴。

13.軟件容錯

具有嚴密的參數檢查功能，可以有效地對傳入數據進行有效性驗證。 ^[1] 

智能密碼鑰匙適用於各種安全設備終端，如密碼機、虛擬專用網絡設備(VPN)、CA認證系統等，廣泛應用於電子政務、網上銀行、電子商務、企業ERP等領域，可為用户提供身份認證、電子簽章、文件加密、保密通信和移動存儲加密等服務。

1.身份認證

身份認證服務是提供其他安全服務的前提和基礎。傳統的“用户名+口令”認證方式安全性較低，容易泄漏、遺忘或者被暴力破解;而基於生物識別技術的認證方式成本較高，技術上還有待成熟。因此，具有低成本、高安全性、攜帶使用方便等諸多優點的智能密碼鑰匙成為理想的身份認證產品。

智能密碼鑰匙認證是一種“雙因子認證”模式。智能密碼鑰匙具有口令保護，口令和智能密碼鑰匙硬件構成了用户使用的兩個必要因素，用户只有同時取得了智能密碼鑰匙硬件和用户口令，才能完成認證過程。採用軟硬相結合的一次一密強雙因子認證模式，智能密碼鑰匙可實現兩種認證框架：挑戰-響應認證和PKI數字證書認證。在等級保護三級標準中的主機安全標準中，要求對用户的身份進行鑑別，而這種雙因子認證模式能更安全地實現身份鑑別，雙因子認證模式，具有不易被冒用的特點。

2.數據加密

實現數據保密是數據安全的首要任務，對數據進行加解密是實現數據保密性的核心手段。數據加密已廣泛應用於數據存儲、數據處理及數據傳輸的全過程，如文件加密、保密通信、移動存儲加密等。

智能密碼鑰匙內置32位高性能安全芯片，具有對稱、非對稱、Hash和真隨機數等多種硬件算法引擎，並可保證密鑰的安全使用和管理，提供高性能的密碼服務。同時，智能密碼鑰匙支持國家密碼管理局審批的算法，安全強度遠高於DES、AES等國際通用算法。在應用安全方面，這種數據加密功能滿足等級保護三級標準中的應用安全通訊完整性標準。

3.PKI應用

PKI技術是信息安全技術的核心，它是利用公鑰理論和技術建立的提供信息安全服務的基礎設施。PKI已廣泛應用於CA認證中心、虛擬專用網絡、安全電子郵件、Web安全、電子簽章等領域。

智能密碼鑰匙具有完善的PKI功能，支持數字證書的存儲、管理，支持公私鑰的簽名驗證運算，是PKI方案體系中一款不可或缺的便攜、經濟、安全的客户端硬件產品。在這些應用領域中，均能體現等級保護三級標準中的通訊完整性、通訊保密性、抗抵賴性的要求。其提供的數字簽名服務符合等級保護三級標準中的訪問控制要求，完善的PKI功能也是對用户身份的有效標識和鑑別。 ^[1] 

GM/T 0027《智能密碼鑰匙技術規範》、GM/T 0028《密碼模塊安全技術要求》 ^[2-3]