便携式终端产品白皮书.docVIP

科友便携式终端 产品发布书 广州江南科友科技股份有限公司 2010年3月 目 录 第1章 产品概述 3 第2章 产品功能和应用 4 2.1终端密钥分发器 4 2.1.1 应用现状 4 2.1.2 产品方案 4 2.1.3 产品功能 4 2.1.4 产品特性 5 2.2 电子保管箱 6 2.2.1 应用现状 6 2.2.2 产品方案 6 2.2.3 产品功能 6 2.2.4 产品特性 7 2.3密钥管理机 8 2.3.1 应用现状 8 2.3.2 产品方案 8 2.3.3 产品功能 8 2.3.4 产品特性 9 第3章 产品技术指标 11 3.1产品通用性技术指标 11 3.2产品特有技术指标 11 3.2.1 终端密钥分发器 11 3.2.2 电子保管箱 12 3.2.3 密钥管理机 13 产品概述 科友便携式终端系列产品是广州江南科友科技股份有限公司结合多年金融行业数据安全系统方案设计和开发经验，自主研发而成的一系列用于金融行业内部安全管理的终端设备产品。 科友便携式终端系列产品主要着眼于企业内部敏感机密信息的安全管理，用于解决特定场景下的特定问题，并结合企业内部的管理结构进行产品设计，力求在不改变现有人员结构的情况下，提升管理效率和规范性，规避不必要的业务风险。 科友便携式终端系列产品立足于科友安全产品平台，均采用国密局标准的安全芯片，充分利用各种安全算法以保证数据在存储和传输过程中的私密性；同时生物指纹模块的引入，使得产品的身份认证体系得到了极大的完善，在非法操作的控制方面取得了很大的提高。 科友便携式终端系列产品目前包括三款产品，分别是终端密钥分发器、电子保管箱和密钥管理机，分别用于终端密钥的初始化、用户口令的管理以及加密机主密钥的管理，这些都是结合了金融行业客户在实际管理过程中的反馈意见定制设计而成的安全管理设备，在业内具有极好的代表性和适用性。 产品功能和应用 2.1终端密钥分发器 2.1.1 应用现状 大量的金融终端存在密钥初始化的需求，即将其终端主密钥安全的植入终端设备中，从而达到在后台业务系统和终端设备约定一把密钥的目的，也就是“一机一密”。 目前普遍采用的一机一密方式为纸质密函方式，也就是由金融机构为每个终端设备打印两个成对的纸质密函，指定专人两名，各自携带其中一个纸质密函至终端设备处，将纸质密函终端中的成分值录入到终端设备中。 由于纸质密函本身的易泄露特性，对管理制度提出了较高的要求，即需多人参与，多人监督，导致整体流程的效率和可操作性偏低。 2.1.2 产品方案 终端密钥分发器作为终端主密钥的安全存储和传输介质，加强了介质本身的安全性和规范性，使得密钥非法泄露的风险大大降低；同时通过和电子密函系统的配合，将管理制度通过系统方案进行贯彻，较纸质密函方案中制度的执行力度完全依赖于相关人员操守的情况，一机一密管理流程的可操作性和可控性有了显著的提高。 2.1.3 产品功能 终端密钥分发器的功能分为以下三大模块， 安全角色管理 用户可以在终端密钥分发器中定义不同的安全角色，来执行不同的安全操作，且每个角色的定义都必须包括指纹信息 终端主密钥管理 终端主密钥的管理操作包括，终端主密钥的下载、状态查看、记录删除以及终端主密钥的导出等；每个操作都必须由系统制定的安全角色来执行，且自动记录有审计信息 设备设置管理 用户可以通过参数管理，对设备的通讯参数、部分核心操作的条件以及设备登录策略等进行设置。 2.1.4 产品特性 终端密钥分发器具有如下特性， 安全芯片 终端密钥分发器采用国密局指定的安全芯片，对终端主密钥进行安全的加密存储。 生物指纹技术 采用高精度的生物指纹采集器和指纹比对算法，将敏感操作与相应安全角色的指纹绑定，避免了违法代替操作 敏感数据加密，敏感操作认证 对敏感数据的获取和写入采用加密传输的方式，对敏感操作请求，必须验证外部请求方的合法性。 防拆卸的密钥自毁机制 非法的物理性拆卸设备，将导致存储于终端密钥分发器中的所有终端主密钥被销毁。 2.2 电子保管箱 2.2.1 应用现状 大量服务器管理员账户口令以人工的方式保管，缺乏必要的灵活性和系统的管理机制，如口令由个人以未知的方式记忆或者保管，存在极大的不确定因素；再则，口令的人为保管方式，缺少在应急情况下向其他工作人员传递的合理渠道(如，口令保管人无法在要求时间内赶到现场)。 这些都给实际的系统运维和管理造成了极大的不便，并有可能直接反映为经济损失。 2.2.2 产品方案 电子保管箱是在科友便携式终端产品线平台上开发的终端产品，致力于建立规范且高效的口令管理体系，以口令集中保存，分权管理的形式将大量口令信息保存在电子保管箱中，且针对应急情况制定合理的跨用户授权访问机制，使得机构的口令管理体系摆脱传统的人为管理模式，变得更加风险可控。 2.2.3 产