密评机构密码实验室组网建设方案

密评机构为了行之有效的对目标用户的密码应用、密码设备、密码协议和算法进行检测和安全性评估，需要建设一个完整、方便、符合标准、功能全面的密码实验室。国领科技依托自身在密码行业多年产品和技术研发应用经验，以及对国密检测和密码安全的理解，提供一套密评机构密码实验室组网建设方案。

1.  密码产品说明

1)    CA证书中心

部署国密CA系统，可以为安全网关、用户浏览器、USBKEY签发国密证书、国密数字信封。支持导入CSR证书请求，支持下发国密X.509标准签名证书、加密证书和P7格式数字信封。

2)    KMC密管中心

部署KMC密钥管理程序，支持直接管理USBKEY、TFKEY、NM-KEY等用户密码钥匙，支持初始化模块、初始化密钥、生成证书请求、导入证书等密钥和证书管理功能。

3)    PCI-E加密卡

采用北京国领科技有限公司的GLHSM多接口密码卡。为CA和KMC提供符合国密要求的密码运算服务和密钥安全存储服务。

4)    三合一密码网关

采用北京国领科技有限公司的TSG加密认证网关，包含IPSec VPN、SSL VPN，以及SSL卸载 三种系统。

SSL VPN系统采用SSL协议来实现远程接入，实现包括：服务器认证，客户认证、安全访问与运维管理及审计、SSL链路上的数据完整性和SSL链路上的数据保密性等；同时支持移动安全接入服务。

IPSec VPN系统提供基于标准双证书的IPSec加密隧道接入服务。

SSL卸载系统提供国密算法SSL协议卸载与应用交付网关服务，支持国密浏览器。

5)    IPSec分支网关

采用北京国领科技有限公司的TSG加密认证网关，仅启用基于标准双证书的IPSec加密隧道接入服务，与三合一密码网关配对连接通讯。

6)    SSL VPN分支网关

采用北京国领科技有限公司的TSG加密认证网关，仅启用SSL VPN系统，与三合一密码网关配对连接通讯。

7)    TF加密卡/NM加密卡

采用谋公司的TF加密卡，可以插入各类主流手机，为移动安全接入/APP提供符合国密要求的底层密码算法模块。

8)    USB-Key

采用某公司的二级 USB-KEY密码钥匙，作为各种安全网关、CA/KMC的管理员或用户登录认证模块，安全存储用户私钥和证书。

9)    国密浏览器

采用某知名国密算法浏览器，作为用户访问核心Web资源或管理各类安全网关和CA/KMC的管理终端。

2.  密码产品组网测评工作方法

1)    密码模块算法和证书规范性测试与评定

通过部署国密CA系统，可为其他密码模块签发国密算法证书和数字信封，同时验证待检测密码模块对国密标准数字证书和信封的标准适配性。

同时可使用CipherTool算法工具校验数字证书和密钥的SM2算法签名验签、加密解密正确性。

2)    用户身份标识/密码钥匙规范性测试与评定

通过KMC密钥管理中心，可对用户/管理员USBKEY/TFKEY/NM-KEY等密钥钥匙进行规范性测试和管理，包括初始化密钥、生成证书请求、导入证书和信封、签名验签测试等操作。

3)    IPSec VPN国密标准规范性测试与评定

通过部署IPSec VPN标准接入环境，可对待测IPSec目标设备进行协议对接测试、算法一致性测试以及证书和密钥分析。结合WireShark抓包分析工具快速判断协议错误类型。

4)    SSL VPN国密标准规范性测试与评定

通过部署SSL VPN标准接入环境，可对待测SSL目标设备进行协议对接测试、算法一致性测试以及证书和密钥分析。结合WireShark抓包分析工具快速判断协议或套件错误类型。

5)    国密浏览器密码套件规范性测试与评定

通过部署SSL 卸载与应用交付系统，可对待测浏览器/SDK的国密HTTPS/SSL算法和协议标准进行测试验证，同时可分析证书和密钥格式正确性。结合WireShark抓包分析工具快速判断协议或套件错误类型。

6)    移动终端安全接入密码算法规范性测试与评定

通过部署SSL VPN移动安全接入系统，可对待测移动终端和安全接入APP/SDK的国密HTTPS/SSL算法和协议标准进行测试验证，同时可分析证书和密钥格式正确性。结合WireShark抓包分析工具快速判断协议或套件错误类型。