密評機構為了行之有效的對目標用戶的密碼應用、密碼設備、密碼協議和算法進行檢測和安全性評估，需要建設一個完整、方便、符合標準、功能全面的密碼實驗室。國領科技依托自身在密碼行業多年產品和技術研發應用經驗，以及對國密檢測和密碼安全的理解，提供一套密評機構密碼實驗室組網建設方案。

1.  密碼產品說明

1)    CA證書中心

部署國密CA系統，可以為安全網關、用戶瀏覽器、USBKEY簽發國密證書、國密數字信封。支持導入CSR證書請求，支持下發國密X.509標準簽名證書、加密證書和P7格式數字信封。

2)    KMC密管中心

部署KMC密鑰管理程序，支持直接管理USBKEY、TFKEY、NM-KEY等用戶密碼鑰匙，支持初始化模塊、初始化密鑰、生成證書請求、導入證書等密鑰和證書管理功能。

3)    PCI-E加密卡

采用北京國領科技有限公司的GLHSM多接口密碼卡。為CA和KMC提供符合國密要求的密碼運算服務和密鑰安全存儲服務。

4)    三合一密碼網關

采用北京國領科技有限公司的TSG加密認證網關，包含IPSec VPN、SSL VPN，以及SSL卸載 三種系統。

SSL VPN系統采用SSL協議來實現遠程接入，實現包括：服務器認證，客戶認證、安全訪問與運維管理及審計、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性等；同時支持移動安全接入服務。

IPSec VPN系統提供基于標準雙證書的IPSec加密隧道接入服務。

SSL卸載系統提供國密算法SSL協議卸載與應用交付網關服務，支持國密瀏覽器。

5)    IPSec分支網關

采用北京國領科技有限公司的TSG加密認證網關，僅啟用基于標準雙證書的IPSec加密隧道接入服務，與三合一密碼網關配對連接通訊。

6)    SSL VPN分支網關

采用北京國領科技有限公司的TSG加密認證網關，僅啟用SSL VPN系統，與三合一密碼網關配對連接通訊。

7)    TF加密卡/NM加密卡

采用謀公司的TF加密卡，可以插入各類主流手機，為移動安全接入/APP提供符合國密要求的底層密碼算法模塊。

8)    USB-Key

采用某公司的二級 USB-KEY密碼鑰匙，作為各種安全網關、CA/KMC的管理員或用戶登錄認證模塊，安全存儲用戶私鑰和證書。

9)    國密瀏覽器

采用某知名國密算法瀏覽器，作為用戶訪問核心Web資源或管理各類安全網關和CA/KMC的管理終端。

2.  密碼產品組網測評工作方法

1)    密碼模塊算法和證書規范性測試與評定

通過部署國密CA系統，可為其他密碼模塊簽發國密算法證書和數字信封，同時驗證待檢測密碼模塊對國密標準數字證書和信封的標準適配性。

同時可使用CipherTool算法工具校驗數字證書和密鑰的SM2算法簽名驗簽、加密解密正確性。

2)    用戶身份標識/密碼鑰匙規范性測試與評定

通過KMC密鑰管理中心，可對用戶/管理員USBKEY/TFKEY/NM-KEY等密鑰鑰匙進行規范性測試和管理，包括初始化密鑰、生成證書請求、導入證書和信封、簽名驗簽測試等操作。

3)    IPSec VPN國密標準規范性測試與評定

通過部署IPSec VPN標準接入環境，可對待測IPSec目標設備進行協議對接測試、算法一致性測試以及證書和密鑰分析。結合WireShark抓包分析工具快速判斷協議錯誤類型。

4)    SSL VPN國密標準規范性測試與評定

通過部署SSL VPN標準接入環境，可對待測SSL目標設備進行協議對接測試、算法一致性測試以及證書和密鑰分析。結合WireShark抓包分析工具快速判斷協議或套件錯誤類型。

5)    國密瀏覽器密碼套件規范性測試與評定

通過部署SSL 卸載與應用交付系統，可對待測瀏覽器/SDK的國密HTTPS/SSL算法和協議標準進行測試驗證，同時可分析證書和密鑰格式正確性。結合WireShark抓包分析工具快速判斷協議或套件錯誤類型。

6)    移動終端安全接入密碼算法規范性測試與評定

通過部署SSL VPN移動安全接入系統，可對待測移動終端和安全接入APP/SDK的國密HTTPS/SSL算法和協議標準進行測試驗證，同時可分析證書和密鑰格式正確性。結合WireShark抓包分析工具快速判斷協議或套件錯誤類型。