一���、產品介紹
evo真人(中国)信息雲服務器密碼機是針對雲計算環境的特殊需求設計開發的硬件密碼產品。主要實現在一台物理密碼機上���,给予多台虛擬密碼機����,每台虛擬密碼機均可為應用系統给予數據加/解密��、完整性校驗��、真隨機數生成���、密鑰生成和管理等����,最大限度發揮硬件資源性能���,為雲環境下的應用系統给予基於國產密碼技術的信息安全服務。
雲服務器密碼機支持SM1���、SM2����、SM3����、SM4國密算法��,及DES���、3DES���、AES����、RSA1024���、RSA2048��、SHA1��、SHA256��、SHA512等國際算法。
二���、功能特點
密碼算法服務
雲服務器密碼機给予對稱算法����、非對稱算法和雜湊算法等密碼算法服務。對稱算法主要包括SM1����、SM4����、3DES���、AES��、DES等��,非對稱算法包括SM2���,雜湊算法支持SHA1���、SHA256��、SHA512���、SM3����,可以滿足不同強度的要求。
密碼機虛擬化
每台雲服務器密碼機宿主機可運行多個虛擬密碼機��,每個虛擬密碼機可對應用獨立给予密碼服務���,並且各個虛擬密碼機之間密鑰完全隔離。密碼機的虛擬化增加了密碼設備資源利用率���,將密碼服務進行了更細緻的劃分���,可以為應用给予高速����、穩定��、可靠的密碼運算服務。
鏡像管理保護
基於虛擬化技術可以自動部署���,虛擬密碼機內與用戶相關的配置���、密鑰及敏感信息等數據影像使用加密和簽名機制進行保護���,並可以顺利获得雲密碼服務平台實現遠程創建虛擬密碼機影像���,實現虛擬密碼機的自動化部署����、啟用及卸載。
密鑰安全隔離
多個VSM共享使用密碼模塊��、計算資源��、存儲資源���,為了防止虛擬密碼機之間密鑰存儲及使用混亂��,虛擬密碼機之間採用安全隔離技術����,對每個虛擬密碼機使用的密鑰在存儲和使用上進行了安全隔離。
密鑰安全管理
雲服務器密碼機使用智能密碼鑰匙登錄及身份認證���,顺利获得加密通道由用戶遠程進行密鑰管理操作。
虛擬密碼機漂移
當一台虛擬密碼機發生故障時��,雲平台管理系統自動將此虛擬密碼機的數據影像導入至另外一台空閒正常的虛擬密碼機上����,並快速切換用戶網絡。在用戶無感知的情況下���,恢復虛擬密碼機的高可用性。
雲化智能管控
基於雲平台管理系統��,可對雲服務器密碼機或運行的虛擬密碼機進行管理���,能夠對雲服務密碼機內部的密碼運算資源進行配置����、管理����、授權等操作����,也可以對虛擬化實例進行配置管理��、授權���、啟動����、停止等操作。
資源動態分配
利用負載均衡技術實現虛擬化實例對密碼資源佔用的動態分配����,雲平台管理系統可以根據實際情況動態增加或釋放密碼運算資源。
高質量隨機數
採用由國家密碼局審批的雙WNG-9隨機數發生器產生的真隨機數���,隨機數質量高。
運行狀態監控
雲平台管理系統可以對雲服務器密碼機及虛擬密碼機進行運行狀態監控����,包括服務正常運行情況���、業務連接數��、CPU及內存佔用率等運行狀態。
權限管理功能
虛擬密碼機內可以設置不同的管理角色���,分別賦予不同的操作權限��,對所有管理角色進行強身份認證。
多機並行支持
支持負載均衡���,即多台虛擬密碼機同時為同一個應用系統给予密碼服務����,從而提高了處理的效率���,同時也防止因一個虛擬密碼機出現故障導致整個服務終止的情況��, 提高了服務的可靠性。
應用兼容性支持
雲服務器密碼機應用系統開發與傳統密碼應用相同���,支持JCE���、PKCS#11����、SDF等多種標準密碼應用接口���,滿足傳統應用遷入虛擬化及雲環境後對密碼服務的需求。
安全業務調用
應用主機到虛擬密碼機之間的業務調用採用加密通道����,保護用戶應用數據經過中間網絡環節時的安全。
三����、產品優勢
1.緊密貼合雲環境部署需求
雲密碼機的加密服務可按需配置���,且可被多用戶安全共享����,解決了密鑰管理與設備管理權限分離問題����,具備完善的技術手段和安全機制保證用戶密鑰安全。
2.遵循國家密碼管理局相關政策要求
採用硬件算法模塊����,嚴格按照國家服務器密碼機相關規範設計。密鑰使用經國家密碼管理局批准的真隨機數發生器產生����,並以密文的方式存放在服務器密碼機內部��,確保設備自身的數據安全。
3.支持國密全系列密碼算法
支持密鑰長度256位的國密SM2橢圓曲線密碼算法����,支持國密SM1���、SM4對稱密碼算法����,支持國密SM3雜湊算法。
4.支持主流的操作系統
支持Windows���、Linux����、AIX����、Solaris����、FreeBSD等主流操作系統。
5.支持靈活多樣的開發接口
支持國標接口��,支持微軟CSP���、PKCS#11����、JCE等國際標準開發接口����,同時可根據用戶需求定製接口。
6.安全易操作的管理方式
支持B/S模式管理����,给予友好的管理界面。操作人員顺利获得智能密碼鑰匙實現身份認證����,操作終端與加密機之間建立SSL安全通道����,保證設備管理操作的機密性����、真實性和不可否認性。
7.高可靠性的數據鏈路
在網絡出現異常導致設備連接斷開時��,服務器密碼機會不斷嘗試修復連接。當網絡恢復正常時��,業務數據會繼續發送���,不需要重新啟動業務服務。
8.高安全性的管理機制
採用嚴格的三級密鑰管理體系和權限分離的管理機制���,確保密鑰安全及設備自身的訪問控制安全。
9.给予完善的升級服務
可方便可靠的進行產品升級。
四���、相關科普
1��、雲服務器密碼機與服務器密碼機的區別����:
架構形態��:
服務器密碼機���:通常是獨立的物理設備��,採用“工控機+密碼卡”或一體化硬件設計��,為單個應用系統给予密碼服務。
雲服務器密碼機��:基於虛擬化技術��,在一台物理密碼機上生成多個虛擬密碼機����(VSM)��,每個VSM可獨立為多個租戶或應用给予密碼服務����,實現資源的集約利用和動態伸縮。
資源利用與擴展性����:
服務器密碼機��:資源固定��,擴展性有限���,適合單一應用場景。
雲服務器密碼機���:支持密碼資源的彈性分配��,可根據業務負載動態調整VSM性能��,滿足雲計算環境下資源按需分配的需求。
安全隔離����:
服務器密碼機����:顺利获得物理隔離保障安全。
雲服務器密碼機���:採用安全隔離技術��,確保各VSM之間的密鑰和運算環境相互隔離���,防止交叉感染。
管理方式���:
服務器密碼機���:通常需要人工現場維護����,管理成本較高。
雲服務器密碼機���:可與雲平台管理系統集成��,實現遠程自動化部署���、監控和故障切換����,降低運維成本。
成本效益��:
服務器密碼機���:設備採購和維護成本較高����,適合大型企業。
雲服務器密碼機���:顺利获得虛擬化降低硬件成本��,提高資源利用率��,適合中小型企業和多租戶環境。
2���、雲服務器密碼機技術規範解析
雲服務器密碼機技術規範以國家密碼管理局GM/T 0104-2021標準為核心��,構建起雲計算環境下的密碼服務安全基準。其技術規範體系涵蓋六大維度��:
虛擬化架構規範
要求採用硬件級虛擬化技術���,單台物理密碼機可虛擬出8-96個獨立虛擬密碼機���(VSM)����,每個VSM具備獨立的密碼運算資源����、密鑰管理體系和訪問控制策略����,實現密碼資源的池化管理與按需分配。
密碼算法標準
強制支持SM2/SM3/SM4國密算法��,同時兼容RSA����、AES等國際算法。其中SM2簽名速度需達230,000次/秒����,SM4加密帶寬不低於9Gbps����,滿足高並發場景需求。
密鑰管理體系
採用三級密鑰架構��:
管理密鑰��:宿主機與各VSM獨立生成��,採用門限秘密共享機制存儲
用戶密鑰��:VSM內生成��,支持32對非對稱密鑰與100個對稱密鑰存儲
會話密鑰���:一次一密����,使用真隨機數發生器生成
安全隔離要求
顺利获得硬件虛擬化實現VSM間內存���、存儲����、運算的完全隔離����,配備IP白名單����、私鑰訪問控制碼等多重防護���,確保單個VSM被攻破不影響其他實例。
性能指標規範
並發會話數��:≥10,000個
加密延遲����:≤50μs
集群擴展能力���:支持128台VSM橫向擴展��,實現線性性能提升
可靠性����:MTBF≥30,000小時��,具備雙機熱備與故障漂移能力
安全合規要求
顺利获得CC EAL4+或GM/T 0028三級認證
配備抗物理攻擊探測��、防DDoS攻擊���、安全審計等功能
支持國密局認可的密碼模塊檢測��,密鑰生成過程符合GM/T 0005標準
該技術規範構建起雲環境密碼服務的基礎設施標準���,既保障傳統密碼機功能��,又顺利获得虛擬化����、彈性擴展��、安全隔離等特性���,適配雲計算動態����、共享��、多租戶的特性���,為政務雲��、金融雲等場景给予合規密碼支撐。
