趋势硬件加密机

‘壹’ 保护网络安全的常用技术手段有哪些

为了保护网络安全，常用的技术手段主要有以下几个方面：

1、用备份技术来提高数据恢复时的完整性。备份工作可以手工完成，也可以自动完成。现有的操作系统一般都带有比较初级的备份系统，如果对备份要求高，应购买专用的系统备份产品。由于备份本身含有不宜公开的信息，备份介质也是偷窃者的目标，因此，计算机系统允许用户的某些特别文件不进行系统备份，而做涉密介质备份。

2、防病毒。定期检查网络系统是否被感染了计算机病毒，对引导软盘或下载软件和文档应加以安全控制，对外来软盘在使用前应进行病毒诊断。同时要注意不断更新病毒诊断软件版本，及时掌握、发现正在流行的计算机病毒动向，并采取相应的有效措施。

3、补丁程序。及时安装各种安全补丁程序，不要给入侵者以可乘之机。

4、提高物理环境安全。保证计算机机房内计算机设备不被盗、不被破坏，如采用高强度电缆在计算机机箱穿过等技术措施。

5、在局域网中安装防火墙系统。防火墙系统包括软件和硬件设施，平时需要加以监察和维护。

6、在局域网中安装网络安全审计系统。在要求较高的网络系统中，网络安全审计系统是与防火墙系统结合在一起作为对系统安全设置的防范措施。

7、加密。加密的方法很多可视要求而定，如：通讯两端设置硬件加密机、对数据进行加密预处理等。

‘贰’ 什么是加密机

加密机
主机加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。
加密机主要有四个功能模块
硬件加密部件
硬件加密部件主要的功能是实现各种密码算法，安全保存密钥，例如CA的根密钥等。

密钥管理菜单
通过密钥管理菜单来管理主机加密机的密钥，管理密钥管理员和操作员的口令卡。
加密机后台进程
加密机后台进程接收来自前台API的信息，为应用系统提供加密、数字签名等安全服务。加密机后台进程采用后台启动模式，开机后自动启动。
加密机监控程序和后台监控进程
加密机监控程序负责控制机密机后台进程并监控硬件加密部件，如果加密部件出错则立即报警。
加密机前台API
加密机前台API是给应用系统提供的加密开发接口，应用系统通过把加密机前台API使用加密的加密服务，加密机前台API是以标准C库的形式提供。目前加密机前台API支持的标准接口有：PKCS#11、Bsafe、CDSA等。
加密机支持目前国际上常用的多种密码算法
支持的公钥算法有
RSA DSA 椭圆曲线密码算法 Diffe Hellman
支持的对称算法有
SDBI DES IDEA RC2 RC4 RC5
支持的对称算法有
SDHI MD2 MD5 SHA1

‘叁’ 硬加密的硬加密与软加密的区别

目前市场上大多数移动存储产品都采用软加密方式对相关产品进行数据安全保护。但随着用户需求的不断提高和技术的不断成熟，硬加密技术渐渐被应用到移动硬盘产品中。
虽然同样都是加密方式，但顾名思义，二者的区别就在于“软”与“硬”上。所谓“软加密”主要是指通过特定的软件算法进行加密，而硬加密作为物理加密技术，其主要是通过芯片对硬盘中的每一个字符、每一个数据进行加密，这有些像早期的微电码。
其实，这两种截然不同的加密方式最根本的区别最终体现在驱动和速度上。上面提到过，软加密一般通过加密软件的方法来实现加密功能，它并不对数据进行转换运算。与软加密不同，硬加密可将需要保护的数据转换成不可识别的数据模块。其在2000/XP的加密下，除了安装其本身驱动程序外，不需要安装其它任何驱动软件，这是硬加密区别于软加密的明显特征，也是硬加密的优势所在。另外，从速度方面进行比较，软件加密方式势必需要大量运算过程，这无疑会耽误内存资源，速度也就随之降低了。而硬加密是典型的物理加密过程，它省去了大量繁杂的运算过程，因此速度依然。
从产品适宜人群来看，采用硬加密技术的移动硬盘产品比较适用于科研院所、部队、机关、财务、各行业设计人员、个人及网络用户进行数据交换、移动办公、保密数据存储、备份等。此外，由于特殊的芯片处理工艺，使得硬加密移动硬盘产品的市价要高于软加密，虽然使用此类产品的个人用户不乏其人，但像“黑金刚”移动硬盘此类产品则仍然主要应用于行业用户中。
从目前的趋势来看，未来移动存储产品的加密方式将主要应用芯片加密，也就是向硬加密方式纵深发展。这不仅仅因为硬加密技术更安全、更可靠，还在于它为大家带来更简单的操作方式、方法。有分析人士认为，现代科技产品逐渐走向智能化与简单易用性，从科技产品较为复杂的操作程序到现在类似“一键通”等功能的出现给人们的生活带去了更多的便捷，它无疑会推动科技产品的普及和应用。在移动存储领域，硬加密技术的出现和发展必将引领其进入一个崭新的时代。

‘肆’ cvk加密技术到底是怎么实现的

第一层，MK为加密机主密钥, 有三个成分组成，它是采用双倍标准的DES密钥（长达112位），它是存放在HSM机内的，真正实现三重数据加密技术。它的作用是将所有在本地存放的其它 密钥和加密数据进行加密。由于本地存放的其它密钥和加密数据，都是在MK加密之下。因此，MK是最重要的密钥。
第二层，BMK通常称为密钥加密密钥或密钥交换密钥（Key-encrypting key或Key Exchange Key）。它的作用是加密在通讯线路上需要传递的工作密钥。从而实现工作密钥的自动分配。在本地或共享网络中。不同的两个通讯网点使用不同的密钥加密密 钥，从而实现密钥的分工管理，它在本地存放时，处于本地M的加密之下或直接保存在硬件加密机中。
第三层，通常称为工作密钥或数据加密密钥。包括PIK、MAK、TMK（包括TPK、TAK）等密钥，它的作用是加密各种不同的数据。从而实现数据的保密，信息的认证，以及数字签名的功能，这些数据密钥在本地存放时，处于BMK的加密之下或直接保存在硬件加密机中。
3.2 加密机密钥分类

‘伍’ 谁给我简单讲讲，加密机是干什么用的

加密机是一个重要单位保护通讯数据用的。装的裁剪的linux，都有硬件毁钥，开盖毁钥功能，使用之前，要把机器的管理员证书，设备证书，加密证书给主站签发。然后放入本机，主站还会提供对应的通道证书。本机加入证书后，再绑定ip，设定好策略。就可以工作了。我们用的早期的是RSA加密，现在推了SM2，SM3加密。

‘陆’ 银行加密部分流程

我们来考虑一个报文中到底什么信息是需要加密的，目前一般的做法是只对账号和密码进行加密（也有只对密码加密的），其他的内容不加密的。对账号和密码加密有个术语，叫PinBlock，即PIN块，就是对账号和密码进行DES加密处理后的一个密文数据块。既然使用了DES算法来加密账号和密码，则必然有个Key来加密，那么我们就把这个Key称为PinKey（PIK），就是专门来加密用户账户和密码的Key。

原文链接： https://blog.csdn.net/u011974987/article/details/55506710

1、在ATM机上运行的系统叫ATMC，行内与ATMC直接连接的系统叫ATMP，ATMP再（经过ESB）连接核心账务系统。2、在传输过程中是不会出现明文密码的（但报文整体不一定加密，可能是明文带MAC），所以ATMP不会解密密码，而是校验MAC，再将C端加密的密码转换成核心系统加密的密码，这一步是由P端调用加密机API，在硬件加密机中直接完成的。3、核心系统收到P端的报文后，同样调加密机API生成MAC与P端的MAC对比，并对比密码。4、PIK和MAK确实是经过主密钥加密的，但是调加密机API并不需要送PIK和MAK的值，只需要送密钥的名称，所以无论对对PIK/MAK的加解密，还是对PIN和MAC的加解密都是在加密机中完成的，其他应用系统不需要关心。

链接： https://www.hu.com/question/37455323/answer/134372564
zpk:区域pin密钥，银行卡交换系统和银行A、银行B，分别形成一个区域。
转pin是从一把zpk加密转到另一把zpk加密，这两把zpk可能分属两家银行，也可能是同一个银行的？
ATMP：ATM前置机。
ATM加密后给ATMP（这个加密后的值不是pinblock，不是银行系统识别持卡人用的），
ATMP收到之后，再调用加密机，生成pinblock，然后发给收单行。
整个流程，pin不会出现明文。

‘柒’ 加密机到底有多安全

加密机 主机加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。 加密机主要有四个功能模块 硬件加密部件 硬件加密部