下载文档原格式
吉大正元服务器密码机-技术白皮书1.产品简介吉大正元SJY76密码机能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算,可以满足应用系统数据的签名/验证、加密/解密的要求,保证传输信息的机密性、完整性和有效性,同时提供安全、完善的密钥管理机制。
密码应用系统通过调用密码机提供的标准API函数来使用密码机的服务,密码机API与密码机之间的调用过程对上层应用透明,应用开发商能够快速的使用密码机所提供的安全功能。
密码机API接口符合《公钥密码基础设施应用技术体系密码设备应用接口规范(试行)》标准接口规范,通用性好,能够平滑接入各种系统平台,满足大多数应用系统的要求,在应用系统安全方面具有广泛的应用前景。
2.功能描述⏹密钥生成与管理:可以生成1024/2048/3072/4096位RSA密钥对,采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。
⏹密钥的安全存储:设备内可存储50对RSA密钥对(包括签名密钥对和加密密钥对),并且私钥部分受设备保护密钥的加密保护。
⏹数据加密和解密:支持SSF33算法、SM1算法的ECB和CBC模式的数据加密和解密运算。
⏹消息鉴别码的产生和验证:支持基于SSF33算法、SM1算法的MAC产生及验证。
⏹数据摘要的产生和验证:支持SHA-1、SHA224、SHA256、SHA384、SHA512等杂凑算法。
⏹数字签名的产生和验证:可以根据需要利用内部存储的RSA密钥对或外部导入RSA私钥对请求数据进行数字签名。
⏹数字信封功能:支持基于RSA密码算法的数字信封功能,并支持由内部密钥保护到外部密钥保护的数字信封转换功能。
⏹物理随机数的产生:采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的随机数。
⏹用户访问权限控制:具有用户管理功能,提高了密码设备自身的安全性。
⏹密钥备份及恢复:支持基于主密钥保护下的密钥的备份和恢复功能,保证了安全应用系统的安全性和可靠性。
SJW-22网络密码机技术白皮书上海华堂网络有限公司上海市外高桥保税区网络发展有限公司目录1、概述 (3)2、SJW22产品介绍 (5)2.1、SJW22的适用范围 (5)2.2、SJW22的主要功能 (5)2.3、SJW22的安全机制 (7)2.4、SJW22的主要特点 (10)3、SJW22的主要技术指标 (12)3.1产品类型 (12)3.2系统组成 (12)3.3硬件配置 (12)3.4电气性能 (12)3.5 执行标准 (13)3.6参考的安全规范及标准 (13)3.7支持网络传输协议 (13)3.8 主要性能指标 (13)4、典型配置方案 (14)5、VPN关键技术简介 (16)5.1、隧道技术 (16)5.2、数据加密技术 (21)1、概述随着现代网络技术的迅猛发展,网络互联已经成为一种不可阻挡的潮流。
目前广泛分布的各种内部网络都由公共网络互联起来,借助于互联网这一工具完成信息的传递以及信息的共享,但这种互联方式极易受到外界的攻击,导致对内部网络的非法访问和信息泄露。
如何保证用户的信息在公共网络上安全的传递,不被怀有恶意的人加以窃听、破坏,是目前安全界面临的一个重要的课题和发展方向。
网络密码机是基于VPN技术而实现的一种网络安全设备。
VPN,英文全称是Virtual Private Network,中文名称一般称为虚拟专用网或虚拟私有网。
它指的是以公用开放的网络(如Internet)作为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。
网络密码机采用专用硬件来加密和保护局域网数据在公共网络上传输的安全,因此具有极高的安全强度和网络性能。
上海市外高桥保税区网络发展有限公司是我国最早专业从事因特网(Internet)及计算机通信网络信息安全研究、产品开发与安全服务的高科技企业之一。
渔翁信息服务器密码机系列产品1.产品概述渔翁服务器密码机系列产品是山东渔翁信息技术股份有限公司独立自主研发的高速服务器密码设备,遵循国家密码管理局关于服务器密码机的相关技术规范,通过国家密码管理局鉴定,产品型号SJJ1115-A/B。
产品全面支持SM1/SM6、SM2、SM3、SM4国密算法,及DES、3DES、AES、RSA、SHA1、SHA256、SHA512等国际算法,为各类业务系统提供高速、稳定、可靠的密码服务,满足各类应用对非对称/对称数据加解密运算、完整性校验、真随机数生成、密钥生成和管理等功能的要求,确保用户数据的机密性、真实性、完整性和抗抵赖性。
产品支持Windows、Linux、AIX、FreeBSD等主流操作系统,提供符合《密码设备应用接口规范》要求的国家标准接口和国际通用标准接口,已广泛应用于政府、金融、证券、保险、医疗、海关等电子政务、电子商务领域,符合《信息系统安全等级保护基本要求》三级及以上信息系统相关技术要求,市场前景广阔。
2.产品功能3.产品特点⏹遵循国家密码管理局相关政策要求采用硬件算法模块,严格按照国家服务器密码机相关规范设计。
密钥使用经国家密码管理局批准的真随机数发生器产生,并以密文的方式存放在服务器密码机内部,确保设备自身的数据安全。
⏹支持国密全系列密码算法支持密钥长度256位的国密SM2椭圆曲线密码算法,支持国密SM1、SM4和SM6对称密码算法,支持国密SM3杂凑算法。
⏹支持主流的操作系统支持Windows、Linux、AIX、Solaris、FreeBSD等主流操作系统。
⏹ 支持灵活多样的开发接口支持国标接口,支持微软CSP 、PKCS#11、JCE 等国际标准开发接口,同时可根据用户需求定制接口。
⏹ 安全易操作的管理方式支持B/S 模式管理,提供友好的管理界面。
操作人员通过智能密码钥匙实现身份认证,操作终端与加密机之间建立SSL 安全通道,保证设备管理操作的机密性、真实性和不可否认性。
密码机研究报告密码机是一种用于加密和解密信息的设备。
它可以将明文转换为密文,以保护信息的安全性。
密码机的研究对于信息安全非常重要,下面是一份密码机研究报告。
首先,我们对密码机的基本原理进行了研究。
我们了解到,密码机使用密钥来加密和解密数据。
它通过将明文与密钥进行运算,产生密文。
只有使用相同的密钥才能将密文转换回明文。
密码机使用复杂的算法来处理数据,以增加破解的难度。
其次,我们进行了密码机的实验研究。
我们使用了一台商用密码机,并对其进行了各种测试。
我们测试了密码机的加密速度、密钥长度和算法的强度等方面。
实验结果表明,密码机具有较高的加密速度和较高的算法强度。
密码机可以在短时间内完成大量的加密工作,并且它的算法非常难以破解。
我们还对密码机的应用进行了调研。
密码机广泛应用于军事、金融和通信等领域。
它可以用于保护机密文件、网络通信和银行交易等重要信息。
密码机的应用可以有效地防止黑客攻击和数据泄露。
在现代社会中,密码机已成为不可或缺的信息安全工具。
最后,我们对密码机的发展趋势进行了分析。
随着计算机技术的进步,密码机的功能和性能将不断提高。
新的密码算法和密钥管理技术将会出现,以应对日益复杂的安全威胁。
同时,密码机将成为互联网安全的重要组成部分,为大规模的网络通信提供安全保障。
总结起来,密码机是一种用于加密和解密信息的设备,它在信息安全领域起着重要作用。
密码机的研究不仅可以提高我们对密码学的理解,还可以推动信息安全技术的发展。
未来,密码机将继续发展,并为我们的信息安全提供更强大的保护。
东进金融数据密码机SJJ1617概述21. 金融数据密码机简述1.1. 产品概述东进金融数据密码机(SJJ1617)是经过国密局认证、符合《GM/T 0045-2016金融数据密码机技术规范》、具有物理安全保护措施的金融数据硬件加密设备。
SJJ1617支持SM2、SM3、SM4国密算法,并兼容国际算法,广泛应用于金融、社保等领域。
金融数据密码机功能包括:密钥管理:密钥的生成、存储、分发、使用、备份、销毁;数据加密:支持对称算法(SM4/DES/AES )和非对称算法(SM2/RSA )的数据加解密;随机数生成:支持硬件噪声源随机数生成;PIN 加解密:支持产生随机PIN 、PIN 块加密和验证; 签名验签:支持SM2/RSA 签名验签;数据MAC 计算:支持PBOC 规范定义的MAC 产生和验证; 交易认证:支持PBOC 规范定义的ARQC 产生和验证。
1.2. 外形结构图1-1 实物图1.3. 物理及电气指标2. 环境搭建东进金融数据密码机业务应用和管理采用不同的网络端口,典型的应用与管理组网图如下图所示。
硬件环境:东进金融数据密码机一台;PC机一台(设备管理客户端,安装密码机客户端管理工具)服务器一台(系统应用主机,运行业务服务);USB转串口线(密码机初始IP配置可通过串口连接完成)配置管理客户端:操作系统:Windows XP、Windows7、Windows2008、win10软件:密码机管理工具DJHSM.exe网络环境:100M/1000M局域网3. 密钥体系金融数据密码机采用三层密钥结构,如下图所示:图1-3金融数据密码机密钥结构在分层密钥保护体系中,位于最上层的是密码机设备主密钥DMK。
DMK由多个成分卡合成,再分散成50组本地主密钥LMK,用来保护不同的密钥。
位于第二层的传输主密钥TMK和ZMK主要用来对应用数据密钥的保护传输。
其中TMK用于终端安全网络中,ZMK用于区域安全网络中。
VPN密码机-VPN安全网关系统解决方案目录VPN/密码机•产品简介•功能特点•技术优势•典型应用•用户价值产品简介产品简介天清汉马VPN安全网关系统产品是启明星辰集团依靠雄厚的技术优势,依靠多年信息安全产品研发的积累,严格遵照国家有关主管部门的设计规范要求,具有完全自主知识产权的SSL/IPSec 二合一VPN安全网关系统,为用户提供安全的传输链路加密服务。
功能特点•自主可控:产品严格遵照GM/T 0022-2014 《IPSec VPN技术规范》和 GM/T 0024-2014 《SSLVPN技术规范》进行设计。
产品支持国家商用密码算法SM1-SM4,产品具备国家商用密码产品型号证书。
•集中管理:集中管理系统可以对大规模部署的VPN项目进行统一的策略下发、状态监控、批量升级、审计告警、和报表审计等。
•行为审计:VPN可以对访用户登录、退出信息,以及访问的站点等情况进行详细记录,并可汇总到集中管理系统,进行追溯。
•终端安全检查:VPN在终端接入前可以对终端的操作系统补丁、系统进程、注册表等进行检查,并可以退出时指定清楚cookie和表单历史记录等。
•多种接入方式:启明星辰VPN可以同时实现Windows、MAC、Linux、Android、iOS等操作系统的接入,并可以通过应用虚拟化方式实现跨平台的快速接入,保证用户随时随地,随心随行快速接入企业内网处理业务。
•多因素认证:产品支持静态口令、UKEY证书、动态令牌、短信、RADIUS、LDAP、AD等多种认证方式,并可进行多种认证方式的组合,同时可以实现对指定账号和硬件设备的特征绑定,从而实现安全接入。
•IPSEC VPN:可以提供端到站和站到站的的网络层加密,实现与内网访问一样的用户体验。
同时通过启明星辰的动态多点VPN技术可以实现IPSEC的大规模高效组网。
•SSL VPN:提供端到站的应用层链路加密,无需安装任何客户端插件,同时具备URL级别的访问控制,做到权限最小化,实现对指定web应用的快速安全防护。
工业级网络密码机(网关VPN)工业级网络密码机(网关VPN)是一种专门为工业企业设计的虚拟私人网络(VPN)解决方案。
它保护了工业控制系统(ICS)和自动化系统(AS)中的敏感数据免受黑客攻击和数据泄露的风险。
本文将重点介绍工业级网络密码机的定义、功能、优势以及如何选择最适合的网络密码机。
定义工业级网络密码机(网关VPN)是一种硬件和软件组合,用于在Internet和工业控制系统(ICS)和自动化系统(AS)之间建立可靠的加密隧道。
它使用公共网络作为传输媒介,加密控制系统中敏感数据的通信内容,以确保数据的完整性、保密性和可用性。
功能加密通信网关VPN利用强大的加密技术(如AES、SHA和RSA等)加密数据,从而使黑客无法访问和更改敏感数据。
它使用加密通道在Internet上安全地传输数据,从而确保数据的保密性和保护企业免受企业数据泄露风险。
身份验证网关VPN需要用户在访问控制系统之前进行身份验证,以防止外部未经授权的访问。
身份验证可以通过各种形式进行,例如用户名和密码、数字证书、智能卡等,以确保用户是授权访问敏感数据的企业员工。
有限权限工业级网络密码机可以配置成只允许特定的用户或设备访问敏感数据。
这种授权的访问控制可以确保数据的保密性和完整性。
管理员可以将敏感设备配置为仅允许特定的IP地址访问,以避免黑客攻击或恶意软件的侵入。
远程访问工业级网络密码机还可用于远程访问。
这种类型的VPN可以使用户安全地从远程地点访问控制系统,而不需要物理接近ICS或AS环境。
此功能允许企业员工从任何地方远程访问或管理系统,从而提高了生产力和效率。
安全性工业级网络密码机提供比传统VPN更高的安全性。
它使用强大的加密技术保护敏感数据的通信内容,防止外部未经授权的访问,并限制了特定用户和设备的访问权限。
灵活性工业级网络密码机灵活可配置,以适应各种不同的环境需求。
管理员可以根据企业网络的需求进行配置,并可以在授权用户之间共享特定设备的访问权限。
S J J1601云密码机技术白皮书V2.5北京三未信安科技发展有限公司2017年11月版权声明欢迎使用三未信安密码产品Copyright (c) 2017 sansec版权所有本文档由北京三未信安科技发展有限公司编写,仅用于用户和合作伙伴参阅。
本公司依中华人民共和国著作权法,享有及保留一切著作之专属权力,任何公司和个人未经北京三未信安科技发展有限公司事先书面同意,不得擅自使用、复制、修改、仿制、传播本文档的内容。
本文档的内容将做不定期性的变动,且不会另行通知。
更改的内容将不会补充到本文档,且会在发行新版本时予以更新。
本公司不做任何明示或默许担保,其中包括本文档的内容的适售性或符合特定使用目的的默许担保。
北京三未信安科技发展有限公司2017 年11 月目录版权声明 (1)1概述 (4)2产品特性 (5)2.1产品特点 (5)2.2产品优势 (5)3产品功能 (6)3.1产品架构 (6)3.2主要功能 (6)4技术参数 (8)4.1硬件指标 (8)4.2性能指标 (9)5依据标准 (10)6产品资质 (11)7典型应用 (11)7.1典型部署 (11)7.2云端数据保护应用 (13)7.3云端身份认证应用 (14)7.4云端金融应用 (15)7.5SSL通信加速及密钥保护应用 (16)附录A 公司简介 (17)附录B 联系方式 (18)北京总部 (18)上海分公司 (18)济南研发中心 (18)1概述随着云计算技术的普及与发展,越来越多的传统应用开始向云端迁移,借助云计算特有的高可靠性、高伸缩性,实现数据集中管理及高效的资源利用,可有效降低应用系统维护成本,为用户提供更优质的服务。
但是,云端迁移同样也带来许多问题,信息安全问题尤其突出。
当前,许多传统应用系统已通过集成密码机、签名服务器等硬件密码设备,为业务应用提供信息安全保障。
当这些传统的密码设备随着应用系统向云端迁移时,会产生一系列问题,这些问题有来自于应用提供商的,也有来自于云服务提供商的。
服务器器密码机投标技术标准
服务器密码机投标技术标准应包括以下几个方面:
1. 符合国家密码管理政策和相关法规,采用国家密码管理局认可的密码算法和安全协议,如SM1、SM2、SM3、SM4、SM9和ZUC算法等。
2. 服务器密码机应符合相关国家和行业标准,如GM/T 《服务器密码机技术规范》和GM/T 《密码设备应用接口规范》等。
3. 服务器密码机应具有良好的可靠性、稳定性和安全性,能够抵御各种网络攻击和恶意行为,保证数据传输和存储的安全性。
4. 服务器密码机应支持多种数据加密算法和签名算法,能够满足不同业务场景的需求。
5. 服务器密码机应具有良好的可扩展性和可维护性,能够根据业务需求进行升级和扩展,同时提供方便的维护和管理功能。
6. 服务器密码机应具有良好的兼容性和互操作性,能够与其他主流密码设备和信息系统进行无缝集成和交互。
7. 服务器密码机的技术参数和性能指标应符合相关标准和用户需求,并进行严格的测试和验证。
以上是服务器密码机投标技术标准的一些主要方面,具体的标准和要求可能因不同地区、不同行业和不同用户而有所不同。
S J J1601云密码机技术白皮书V2.5北京三未信安科技发展有限公司2017年11月版权声明欢迎使用三未信安密码产品Copyright (c) 2017 sansec版权所有本文档由北京三未信安科技发展有限公司编写,仅用于用户和合作伙伴参阅。
本公司依中华人民共和国著作权法,享有及保留一切著作之专属权力,任何公司和个人未经北京三未信安科技发展有限公司事先书面同意,不得擅自使用、复制、修改、仿制、传播本文档的内容。
本文档的内容将做不定期性的变动,且不会另行通知。
更改的内容将不会补充到本文档,且会在发行新版本时予以更新。
本公司不做任何明示或默许担保,其中包括本文档的内容的适售性或符合特定使用目的的默许担保。
北京三未信安科技发展有限公司2017 年11 月目录版权声明 (1)1概述 (4)2产品特性 (5)2.1产品特点 (5)2.2产品优势 (5)3产品功能 (6)3.1产品架构 (6)3.2主要功能 (6)4技术参数 (8)4.1硬件指标 (8)4.2性能指标 (9)5依据标准 (10)6产品资质 (11)7典型应用 (11)7.1典型部署 (11)7.2云端数据保护应用 (13)7.3云端身份认证应用 (14)7.4云端金融应用 (15)7.5SSL通信加速及密钥保护应用 (16)附录A 公司简介 (17)附录B 联系方式 (18)北京总部 (18)上海分公司 (18)济南研发中心 (18)1概述随着云计算技术的普及与发展,越来越多的传统应用开始向云端迁移,借助云计算特有的高可靠性、高伸缩性,实现数据集中管理及高效的资源利用,可有效降低应用系统维护成本,为用户提供更优质的服务。
但是,云端迁移同样也带来许多问题,信息安全问题尤其突出。
当前,许多传统应用系统已通过集成密码机、签名服务器等硬件密码设备,为业务应用提供信息安全保障。
当这些传统的密码设备随着应用系统向云端迁移时,会产生一系列问题,这些问题有来自于应用提供商的,也有来自于云服务提供商的。
来自应用提供商的问题:●密码设备在云端托管,我的密钥是否安全?●我能否进行远程密钥管理?●远程管理是否安全?●能否像云应用扩容一样,方便的实现密码设备扩容?来自云服务提供商的问题:●能否减轻密码设备托管维护的工作量?●能否支持密码设备的远程密钥管理,并将管理权完全交给用户?●能否提供集中的设备管理与监控功能?●能否将密码服务做成云服务模式?作为国内优秀的密码硬件方案提供商,北京三未信安科技发展有限公司为解决云环境下的密码产品应用问题,结合云计算和虚拟化技术,推出贴合需求的新型安全产品——SJJ1601云密码机。
它解决了传统密码机在云环境下部署的一系列问题,采用了密钥管理与设备管理分离的核心理念,实现了云应用环境下网络管理员仅维护设备,用户自行管理密钥的工作模式。
SJJ1601云密码机通过密码机集群与虚拟化技术的结合扩充密码运算能力,将密码运算能力进行细粒度划分,并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全。
SJJ1601云密码机可广泛应用于公有云、私有云、混合云、政务云、金融云等各种云环境,为应用提供商及云服务提供商提供管理安全、密钥安全、业务安全的云密码服务。
SJJ1601云密码机不仅可直接为云应用提供密码服务,还可为其他合作产品(如统一认证服务、云身份认证系统、云密钥管理系统、云密码服务平台、时间戳服务、电子签章服务等)提供基于硬件的虚拟密码模块。
2产品特性SJJ1601云密码机是针对云计算环境的特殊需求,设计开发的硬件密码产品。
主要实现在一台物理实体机上,提供多台虚拟密码机(VSM),每台虚拟密码机均可对主机应用层数据加/解密、消息来源正确性验证、密钥管理等,最大限度的发挥硬件资源性能,为云环境下的计算机网络系统提供安全保密数据通信服务,防止网上的各种欺诈行为发生。
2.1产品特点⏹密码机虚拟化:每台物理密码机可运行多个VSM虚拟密码机,每个VSM可对应用独立提供密码服务,并且各个VSM之间密钥完全隔离。
密码机的虚拟化增加了密码设备资源利用率,将密码服务进行了更细致的划分,可以为应用提供稳定、可靠的密码运算服务。
⏹安全的远程密钥管理:VSM密钥管理由用户自行操作,管理中心及VSM对用户身份采用基于数字证书的强认证机制,满足认证权限的用户才能进行对应的密钥管理操作,同时保证了用户之间管理的隔离。
⏹安全的业务调用:应用主机到VSM之间的业务调用采用加密通道,保护用户应用数据经过中间网络环节时的安全。
⏹贴合云应用环境部署需求:SJJ1601云密码机贴合当前虚拟化与云应用环境部署需求,解决了密钥管理与设备管理权限分离、用户之间管理隔离问题,具备完善的技术手段和安全机制保证用户密钥安全。
2.2产品优势⏹集中设备管理支持:由统一的管理中心进行设备集中管理和监控,管理员随时可掌握设备的工作状态。
与用户密钥管理权限分离,用户也可集中管理自身的密码设备密钥,保证用户密钥的安全性。
⏹多用户/应用支持:通过完善的审核控制和身份认证机制,支持多用户之间的设备及管理隔离,同时仍支持多应用调用。
⏹应用兼容性支持:SJJ1601云密码机支持JCE、PKCS#11、CSP、国密SDF和SAF等多种标准密码应用接口,可兼容传统服务器密码机、金融数据密码机及签名验证服务器产品应用接口,支持传统应用平滑迁移,满足传统应用迁入云环境后对密码服务的需求。
⏹用户密钥托管支持:通过与密钥管理系统对接,可支持安全的用户密钥托管,满足不同的应用需求。
⏹减少密码设备采购与管理成本:SJJ1601云密码机支持密码服务申请的方式为用户提供服务,用户仅需少量服务费用就可以使用VSM提供的各种密码服务;在大量设备需求及应用场景下,减少了设备集成与管理工作,降低了用户对密码设备的管理成本。
3产品功能3.1产品架构SJJ1601云密码机主要由密码机主机、USBKey、管理平台、代理程序及应用接口等组成。
其中密码机主机包括宿主机HSM和虚拟密码机VSM,USBKey是作为管理人员访问用的身份硬件设备,管理平台主要提供给管理人员对HSM和VSM进行管理操作,代理程序和应用接口则提供给应用来调用VSM的密钥存储及密码运算功能。
3.2主要功能3.2.1管理平台功能SJJ1601云密码机主要通过管理平台来进行设备和密钥管理。
管理平台主要管理功能如下:✧设备管理提供多种密码设备类型的集中安全管理。
支持密码设备的增删、启停、配置、分配、分组等操作。
支持密码设备的状态监控,保障业务的连续性。
支持开放设备管理协议和服务接入标准,满足对第三方密码设备的兼容。
✧密钥管理将各密码设备的密钥的产生、存储、更新、销毁等生命周期的各个环节进行集中安全管理,规划建立密钥与设备(组),密钥与业务的关系模型。
✧业务规划为用户提供业务管理视图,建立多用户的“业务—设备(组)—密钥”的关联体系,将密码运算抽象为服务的形式,规避底层设备及密钥访问的复杂性,并提供高效的按需服务和高可用性支撑。
可为用户的业务分析、安全分析积累海量业务数据。
✧安全管理将设备管理与业务管理分开,采用各级管理员基于角色的管理体系,各自具有不交叉的权限,提供证书加USBKey的双因素认证手段,并提供可追溯的审计记录。
提供用户远程管理密码设备的安全方式,提供远程管理的网络级访问控制和隔离,彻底规避运维管理的现场维护工作。
✧安全使用提供多平台,多语言的标准接口,支持配置SSL方式调用密码服务,提高安全可靠性。
同时,使业务系统与加密机不必直接关联,降低开发难度。
✧日志审计管理平台具备完善的日志审计功能,针对人员操作提供带签名的日志记录,方便审计管理。
审计管理员独立于其他人员权限,负责所有人员及设备的日志信息的审计工作。
3.2.2密码服务功能✧密钥生成:可以生成256位SM2密钥对和2048位RSA密钥对。
✧密钥存储:VSM内可存储对称密钥、SM2密钥对和RSA密钥对,并且私钥部分受系统保护密钥的加密保护。
✧数据加密和解密:支持SM1、SM4、SM7、AES、3DES算法的ECB/CBC/CTR/GCM等模式的数据加密和解密运算。
✧消息鉴别码的产生和验证:支持基于各种对称算法的MAC产生及验证。
✧数据摘要的产生和验证:支持SM3、SHA1、SHA256、SHA384、SHA512等杂凑算法。
✧数字签名的产生和验证:可以利用内部存储的RSA/SM2私钥或外部导入RSA/SM2私钥对请求数据进行数字签名或验证。
✧数字信封功能:支持基于RSA/SM2密码算法的数字信封功能,支持PKCS#7标准各种格式的数字信封封装和解封。
✧签名验证格式:支持PKCS#1、PKCS#7、XML等格式的数据签名、签名验证功能,支持文件签名验证功能。
✧证书验证方式:支持CA、CRL、OCSP等方式证书有效性验证。
✧物理随机数的产生:采用由国家密码管理局批准使用的物理噪声源发生器芯片生成随机数。
✧密钥备份及恢复:支持基于主密钥保护下的密钥的备份和恢复功能,保证了安全应用系统的安全性和可靠性✧可支持ATM、POS及银行的其他用途。
✧可支持ANSI和ISO安全标准。
✧可支持PIN的转发和校验。
✧可支持交易完整性校验TAC。
✧可支持SM1/SM4算法与国际金融密码算法的转换。
✧可支持IC卡密钥管理及发卡系统。
✧可支持更换本地主密钥时密文数据的转换功能。
✧可兼容国际信用卡安全应用标准。
✧可支持多种填充标准,如PKCS1,ANSIX9.31,EMV2000等数据填充模式。
4技术参数4.1硬件指标物理特性规格2U液晶屏有外形尺寸(宽x深x高)520x440x 89mm重量14Kg电气特性工作电源220V,50Hz,350W冗余电源功耗280W网络接口RJ-45 10/100/1000Mb x2;光纤网口10Gb*2(可选)工作协议TCP/IP读卡器符合ISO/IEC7816-3协议MTBF大于50000小时环境参数工作温度10℃-50℃非凝结的工作湿度5%-85%存储温度0℃-60℃非凝结的存储湿度5%-95% 4.2性能指标虚拟密码机(VSM)数Y1型32SM2算法性能256位SM2密钥对生成500对/秒256位SM2签名速度1600次/秒256位SM2验证速度1300次/秒256位SM2加密速度350次/秒256位SM2解密速度400次/秒RSA算法性能1024位RSA密钥对生成4对/秒1024位RSA签名速度350次/秒1024位RSA 验证速度1600次/秒2048位RSA密钥对生成1对/秒2048位RSA签名速度80次/秒2048位RSA验证速度800次/秒杂凑算法性能SM3100Mbps 对称算法性能SM1(包长度:16K Byte)8 Mbps SM4(包长度:16K Byte)25 MbpsAES(包长度:16K Byte)25 Mbps 3DES(包长度:16K Byte)12 MbpsSM4 (不同包长度)16 Byte5600Tps 32 Byte5600Tps 256 Byte5600Tps 1024 Byte5600Tps 2048 Byte4800Tps 4096 Byte4000Tps注:以上性能指标的测试环境:1)测试主机:CPU:E5-2670 v3,内存:32G,系统:OpenSuse13.2 64位,测试线程为30个并发。
