硬件加密机 HSM
具有数字签名/验证、身份认证、数据加/解密、消息完整性验证、物理噪声源真随机数生成等密码功能 ,同时提供安全的密钥管理机制和完善的设备管理机制。
硬件加密机 HSM
我司目前有两款服务器加密机,分别为通用型服务器加密机和信创加密机(采用国产兆芯处理器和国产操作系统),均为我公司按照国家商用密码管理和密码行业标准相关要求研制,具有完全自主知识产权,并经过了商密检测认证。同时,加密机通过了税务总局和财政部入围测试。加密机支持SM1算法、SM2算法、SM3算法、SM4算法以及RSA算法、ECC算法和SHA-256杂凑算法,具有数字签名/验证、身份认证、数据加/解密、消息完整性验证、物理噪声源真随机数生成等密码功能,同时提供安全的密钥管理机制和完善的设备管理机制。适用于电子商务、电子政务、CA认证、网上银行等各类密码安全应用系统。
配置管理
采用管理终端软件进行配置管理,配置管理命令的处理在加密机内进行。配置管理用于设置密钥、配置参数等工作,涉及一些敏感的信息,采用专线连接,信息只在专线上进行传输,大大减小了泄漏的可能性
多机并行
服务器加密机支持密码机群的多级并行工作、负载平衡和互为热备份,以适应系统性能的扩展,提高密码机群的可靠性和可用性。
实时监控
对加密机的运行状态进行实时监控。加密机的“看门狗”功能可在加密机软件系统死机时自动复位加密机,加密机的状态监控进程定期对主要硬件进行检查,如果发现错误就报警提示或者停止密码服务。
密码算法
数据加密:支持国产SM1、SM4分组密码算法;数字签名/验证:支持SM2、ECC以及RSA公钥密码算法;杂凑算法:支持SM3、SHA-256杂凑算法。
密码服务
按照《GM/T0018-2012密码设备应用接口规范》通过以太网接口对外提供密码服务:密钥生成与管理功能,加/解密功能;签名/验证功能;杂凑算法功能;数字信封;随机数生成功能,密码算法及密钥防护功能。
开机自检
加密机开机时会进行算法正确性检查、随机数随机性检查和密钥完整性检查。
安全的密钥存储技术
加密机采用安全芯片与低功耗静态存储器相结合的方式实现密钥的安全存储。外部电源断开时,低功耗静态存储器改由内部锂电池供电,以维持密钥不丢失。需要销毁密钥时,用密钥销毁钥匙将密钥销毁锁旋转到销毁位置,密钥销毁电路会自动清除低功耗静态存储器中的所有密钥。
Linux操作系统定制
加密机采用的是定制的Linux操作系统。操作系统是从源代码开始构建的,构建过程遵循了最小功能集原则,去除了所有不需要的组件、协议和服务,只保留了必须的功能。定制的操作系统具有很高的运行效率和安全性。
国产密码算法硬件实现
加密机采用PCI-E接口与FPGA算法卡连接实现高速的国产密码算法。FPGA芯片主要实现PCI-E控制器、加密机与各个算法芯片的数据转发、随机数采集及缓存等功能。这种方式实现国密算法具有高可靠性、低成本、高速度、微功耗以及保密性强等优点。
高效能绿色环保设计
在硬件层面,利用最新的工艺和电路技术以及关键的电路和体系结构创新来降低功耗,同时实现最佳性能,例如采用低功耗的嵌入式处理和便于低功耗设计的器件,降低系统的静态功耗;在软件层面,在了解每条指令所产生的功耗基础上,选择正确的编译方法,通过编译优化和指令排序等方法降低动态功耗。
高集成度设计
该加密机是基于本单位自行研制的主板和算法卡,具有集成度高、性能高、处理能力强、可靠性高、功耗低、功能强劲等特点。这种高集成度设计有效减少了组成系统的元器件和连线数量,提高了系统的稳定性和可靠性。
多机并行负载动态均衡技术
支持加密机群的多机并行工作、负载平衡和互为热备份,以适应系统性能的扩展,提高加密机群的可靠性和可用性。构成加密机集群时,通过采用集成在加密机API上的负载均衡技术,可以实现加密机自动负载动态均衡,使得加密机集群内每一台加密机都能得到充分利用,能够发挥最佳的使用效率。
| 产品类型 | 服务器加密机 |
|---|---|
| 数据加密 | 支持国产SM1、SM4分组密码算法。 |
| 数字签名/验证 | 支持SM2以及2048位RSA公钥密码算法。 |
| 杂凑算法 | 支持SM3、SHA-1、SHA-256杂凑算法。 |
| 密钥管理 | 提供2048位RSA安全素数及密钥对生成算法、对称密钥生成等功能,提供密钥加载和更新功能;具有密钥导入、导出功能,可以实现密钥的备份、恢复 及多机并行工作时各密码机密钥的同步。 |
| 真随机数产生 | 支持4路物理噪声源,可以生成满足《GM/T 0005-2012 随机性检测规范》 要求的高质量随机数。 |
| 环境适应性 |
工作环境温度:0~40℃
工作环境相对湿度:20%~90% |
| 电源与功耗 |
交流电源:220V±25%
工作电流:≤2A 最大功耗:85W |
服务器加密机安装在机房内部,与应用服务器采用10M/100M/1000M以太网口连接。在初始配置时,为服务器加密机设置IP地址,并设置允许访问的服务器IP。
服务器加密机可用于各类国产操作系统平台的主机和Windows系统平台的主机。
如部署多台服务器加密机,可自动构成加密机集群,各个应用服务器调用加密机完成密码运算功能。可实现多机热备、自动负载均衡等功能。