密碼設備指的是以硬件形式存在的密碼模塊。

該模式下,私鑰保存在密碼設備中,具體包括以下幾個方面。

1.密碼設備分類

①基於IC卡技術的密碼設備。主要包括IC卡、USB Key。IC卡顺利获得串口與主機連接,用ISO7816協議通信;USB Key顺利获得USB與主機連接，顺利获得USB協議通信。

②密碼卡。顺利获得主機主板上的擴展槽與主機連接,採用PC1、PCI-E等協議通信。

③密碼機。顺利获得網絡接口與主機連接,用TCP/P協議通信。

2.私鑰存儲方式

私鑰在不同密碼設備內部可能有以下形式。如IC卡或USB Key中,私鑰以EF形式存在。在加密機或加密卡中,私鑰可能存儲在EPROM晶片或專用密碼晶片中。

3.私鑰存儲安全性

密碼設備有很好的安全性,能有效安全存儲私鑰,具體措施包括：

①不讓私鑰以明文形式導出密碼設備。

②密碼設備能有效防止非法強制入侵或破壞。如密碼機硬件被非法強制打開時,將自動銷毀全部密鑰。

③不允許遠程配置管理密碼設備,只允許顺利获得密碼機自帶的管理螢幕操作。

④配置管理時用高強度的身份認證手段,如口令、指紋、密鑰卡。有些配置管理還需要多人一起操作。

4.私鑰訪問方式

因私鑰保存在密碼設備中,為保證安全性,應用系統不讓直接從密碼設備中取出私鑰後再解密或簽名,而是向密碼設備發送解密或簽名請求,委託密碼設備間接調用私鑰實現解密或簽名。

應用系統可顺利获得以下幾種方式訪問私鑰：

①報文方式。應用系統直接把待解密或簽名的數據組成請求包,發給密碼設備,密碼設備完成解密或簽名後,將響應包返回給應用系統。報文協議可用APDU、XML、TLV等；APDU適用於IC類密碼設備,XML、TLV等適用於密碼機或密碼卡。通信協議可用TPDU(T=0或T=1)、USB、串口、PCI或PCIE、TCP/P、HTTP、FTP等。TPDU、USB、串口等適用於IC類密碼設備,PCI或PCIE等適用於密碼卡,TCP/IP、HTTP、FTP等適用於密碼機。

②API方式。應用系統直接把待解密或簽名的數據提交給本地API接口模塊,由API接口模塊作為代理,將待解密或簽名的數據組成請求包,採用報文方式發送給密碼設備,密碼設備完成解密或簽名操作後,把響應包返回給API接口模塊,由API接口模塊解析響應包後,將結果數據返回給應用系統。常用的API規範有PKCS#11、CrptoAPI、CAPICom、JCE、PCSC、國密接口等

5.私鑰訪問安全性

密碼設備有很好的安全性,能有效保護私鑰訪問的安全性,具體措施包括：

①應用系統不直接訪問私鑰,而是顺利获得密碼設備間接訪問。

②應用系統訪問密碼設備得進行身份認證。常用的認證方式有IP位址、口令、數字證書方式等。

③應用系統與密碼設備間通信時,可對傳輸數據加密保護。