密評(píng)機(jī)構(gòu)為了行之有效的對(duì)目標(biāo)用戶的密碼應(yīng)用、密碼設(shè)備、密碼協(xié)議和算法進(jìn)行檢測(cè)和安全性評(píng)估，需要建設(shè)一個(gè)完整、方便、符合標(biāo)準(zhǔn)、功能全面的密碼實(shí)驗(yàn)室。國(guó)領(lǐng)科技依托自身在密碼行業(yè)多年產(chǎn)品和技術(shù)研發(fā)應(yīng)用經(jīng)驗(yàn)，以及對(duì)國(guó)密檢測(cè)和密碼安全的理解，提供一套密評(píng)機(jī)構(gòu)密碼實(shí)驗(yàn)室組網(wǎng)建設(shè)方案。

1.  密碼產(chǎn)品說(shuō)明

1)    CA證書(shū)中心

部署國(guó)密CA系統(tǒng)，可以為安全網(wǎng)關(guān)、用戶瀏覽器、USBKEY簽發(fā)國(guó)密證書(shū)、國(guó)密數(shù)字信封。支持導(dǎo)入CSR證書(shū)請(qǐng)求，支持下發(fā)國(guó)密X.509標(biāo)準(zhǔn)簽名證書(shū)、加密證書(shū)和P7格式數(shù)字信封。

2)    KMC密管中心

部署KMC密鑰管理程序，支持直接管理USBKEY、TFKEY、NM-KEY等用戶密碼鑰匙，支持初始化模塊、初始化密鑰、生成證書(shū)請(qǐng)求、導(dǎo)入證書(shū)等密鑰和證書(shū)管理功能。

3)    PCI-E加密卡

采用北京國(guó)領(lǐng)科技有限公司的GLHSM多接口密碼卡。為CA和KMC提供符合國(guó)密要求的密碼運(yùn)算服務(wù)和密鑰安全存儲(chǔ)服務(wù)。

4)    三合一密碼網(wǎng)關(guān)

采用北京國(guó)領(lǐng)科技有限公司的TSG加密認(rèn)證網(wǎng)關(guān)，包含IPSec VPN、SSL VPN，以及SSL卸載 三種系統(tǒng)。

SSL VPN系統(tǒng)采用SSL協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入，實(shí)現(xiàn)包括：服務(wù)器認(rèn)證，客戶認(rèn)證、安全訪問(wèn)與運(yùn)維管理及審計(jì)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性等；同時(shí)支持移動(dòng)安全接入服務(wù)。

IPSec VPN系統(tǒng)提供基于標(biāo)準(zhǔn)雙證書(shū)的IPSec加密隧道接入服務(wù)。

SSL卸載系統(tǒng)提供國(guó)密算法SSL協(xié)議卸載與應(yīng)用交付網(wǎng)關(guān)服務(wù)，支持國(guó)密瀏覽器。

5)    IPSec分支網(wǎng)關(guān)

采用北京國(guó)領(lǐng)科技有限公司的TSG加密認(rèn)證網(wǎng)關(guān)，僅啟用基于標(biāo)準(zhǔn)雙證書(shū)的IPSec加密隧道接入服務(wù)，與三合一密碼網(wǎng)關(guān)配對(duì)連接通訊。

6)    SSL VPN分支網(wǎng)關(guān)

采用北京國(guó)領(lǐng)科技有限公司的TSG加密認(rèn)證網(wǎng)關(guān)，僅啟用SSL VPN系統(tǒng)，與三合一密碼網(wǎng)關(guān)配對(duì)連接通訊。

7)    TF加密卡/NM加密卡

采用謀公司的TF加密卡，可以插入各類主流手機(jī)，為移動(dòng)安全接入/APP提供符合國(guó)密要求的底層密碼算法模塊。

8)    USB-Key

采用某公司的二級(jí) USB-KEY密碼鑰匙，作為各種安全網(wǎng)關(guān)、CA/KMC的管理員或用戶登錄認(rèn)證模塊，安全存儲(chǔ)用戶私鑰和證書(shū)。

9)    國(guó)密瀏覽器

采用某知名國(guó)密算法瀏覽器，作為用戶訪問(wèn)核心Web資源或管理各類安全網(wǎng)關(guān)和CA/KMC的管理終端。

2.  密碼產(chǎn)品組網(wǎng)測(cè)評(píng)工作方法

1)    密碼模塊算法和證書(shū)規(guī)范性測(cè)試與評(píng)定

通過(guò)部署國(guó)密CA系統(tǒng)，可為其他密碼模塊簽發(fā)國(guó)密算法證書(shū)和數(shù)字信封，同時(shí)驗(yàn)證待檢測(cè)密碼模塊對(duì)國(guó)密標(biāo)準(zhǔn)數(shù)字證書(shū)和信封的標(biāo)準(zhǔn)適配性。

同時(shí)可使用CipherTool算法工具校驗(yàn)數(shù)字證書(shū)和密鑰的SM2算法簽名驗(yàn)簽、加密解密正確性。

2)    用戶身份標(biāo)識(shí)/密碼鑰匙規(guī)范性測(cè)試與評(píng)定

通過(guò)KMC密鑰管理中心，可對(duì)用戶/管理員USBKEY/TFKEY/NM-KEY等密鑰鑰匙進(jìn)行規(guī)范性測(cè)試和管理，包括初始化密鑰、生成證書(shū)請(qǐng)求、導(dǎo)入證書(shū)和信封、簽名驗(yàn)簽測(cè)試等操作。

3)    IPSec VPN國(guó)密標(biāo)準(zhǔn)規(guī)范性測(cè)試與評(píng)定

通過(guò)部署IPSec VPN標(biāo)準(zhǔn)接入環(huán)境，可對(duì)待測(cè)IPSec目標(biāo)設(shè)備進(jìn)行協(xié)議對(duì)接測(cè)試、算法一致性測(cè)試以及證書(shū)和密鑰分析。結(jié)合WireShark抓包分析工具快速判斷協(xié)議錯(cuò)誤類型。

4)    SSL VPN國(guó)密標(biāo)準(zhǔn)規(guī)范性測(cè)試與評(píng)定

通過(guò)部署SSL VPN標(biāo)準(zhǔn)接入環(huán)境，可對(duì)待測(cè)SSL目標(biāo)設(shè)備進(jìn)行協(xié)議對(duì)接測(cè)試、算法一致性測(cè)試以及證書(shū)和密鑰分析。結(jié)合WireShark抓包分析工具快速判斷協(xié)議或套件錯(cuò)誤類型。

5)    國(guó)密瀏覽器密碼套件規(guī)范性測(cè)試與評(píng)定

通過(guò)部署SSL 卸載與應(yīng)用交付系統(tǒng)，可對(duì)待測(cè)瀏覽器/SDK的國(guó)密HTTPS/SSL算法和協(xié)議標(biāo)準(zhǔn)進(jìn)行測(cè)試驗(yàn)證，同時(shí)可分析證書(shū)和密鑰格式正確性。結(jié)合WireShark抓包分析工具快速判斷協(xié)議或套件錯(cuò)誤類型。

6)    移動(dòng)終端安全接入密碼算法規(guī)范性測(cè)試與評(píng)定

通過(guò)部署SSL VPN移動(dòng)安全接入系統(tǒng)，可對(duì)待測(cè)移動(dòng)終端和安全接入APP/SDK的國(guó)密HTTPS/SSL算法和協(xié)議標(biāo)準(zhǔn)進(jìn)行測(cè)試驗(yàn)證，同時(shí)可分析證書(shū)和密鑰格式正確性。結(jié)合WireShark抓包分析工具快速判斷協(xié)議或套件錯(cuò)誤類型。