一����、产品介绍
OKPay钱包(中国)信息云服务器密码机是针对云计算环境的特殊需求设计开发的硬件密码产品。主要实现在一台物理密码机上����,给予多台虚拟密码机��,每台虚拟密码机均可为应用系统给予数据加/解密��、完整性校验����、真随机数生成����、密钥生成和管理等����,最大限度发挥硬件资源性能����,为云环境下的应用系统给予基于国产密码技术的信息安全服务。
云服务器密码机支持SM1��、SM2����、SM3����、SM4国密算法���,及DES���、3DES��、AES��、RSA1024����、RSA2048����、SHA1��、SHA256��、SHA512等国际算法。
二���、功能特点
密码算法服务
云服务器密码机给予对称算法���、非对称算法和杂凑算法等密码算法服务。对称算法主要包括SM1��、SM4��、3DES��、AES����、DES等����,非对称算法包括SM2��,杂凑算法支持SHA1��、SHA256��、SHA512��、SM3���,可以满足不同强度的要求。
密码机虚拟化
每台云服务器密码机宿主机可运行多个虚拟密码机����,每个虚拟密码机可对应用独立给予密码服务���,并且各个虚拟密码机之间密钥完全隔离。密码机的虚拟化增加了密码设备资源利用率���,将密码服务进行了更细致的划分��,可以为应用给予高速��、稳定��、可靠的密码运算服务。
镜像管理保护
基于虚拟化技术可以自动部署��,虚拟密码机内与用户相关的配置��、密钥及敏感信息等数据影像使用加密和签名机制进行保护���,并可以顺利获得云密码服务平台实现远程创建虚拟密码机影像��,实现虚拟密码机的自动化部署����、启用及卸载。
密钥安全隔离
多个VSM共享使用密码模块����、计算资源��、存储资源����,为了防止虚拟密码机之间密钥存储及使用混乱����,虚拟密码机之间采用安全隔离技术����,对每个虚拟密码机使用的密钥在存储和使用上进行了安全隔离。
密钥安全管理
云服务器密码机使用智能密码钥匙登录及身份认证���,顺利获得加密通道由用户远程进行密钥管理操作。
虚拟密码机漂移
当一台虚拟密码机发生故障时��,云平台管理系统自动将此虚拟密码机的数据影像导入至另外一台空闲正常的虚拟密码机上����,并快速切换用户网络。在用户无感知的情况下���,恢复虚拟密码机的高可用性。
云化智能管控
基于云平台管理系统��,可对云服务器密码机或运行的虚拟密码机进行管理��,能够对云服务密码机内部的密码运算资源进行配置��、管理����、授权等操作���,也可以对虚拟化实例进行配置管理����、授权��、启动����、停止等操作。
资源动态分配
利用负载均衡技术实现虚拟化实例对密码资源占用的动态分配���,云平台管理系统可以根据实际情况动态增加或释放密码运算资源。
高质量随机数
采用由国家密码局审批的双WNG-9随机数发生器产生的真随机数��,随机数质量高。
运行状态监控
云平台管理系统可以对云服务器密码机及虚拟密码机进行运行状态监控��,包括服务正常运行情况����、业务连接数����、CPU及内存占用率等运行状态。
权限管理功能
虚拟密码机内可以设置不同的管理角色���,分别赋予不同的操作权限���,对所有管理角色进行强身份认证。
多机并行支持
支持负载均衡����,即多台虚拟密码机同时为同一个应用系统给予密码服务����,从而提高了处理的效率����,同时也防止因一个虚拟密码机出现故障导致整个服务终止的情况��, 提高了服务的可靠性。
应用兼容性支持
云服务器密码机应用系统开发与传统密码应用相同���,支持JCE���、PKCS#11��、SDF等多种标准密码应用接口��,满足传统应用迁入虚拟化及云环境后对密码服务的需求。
安全业务调用
应用主机到虚拟密码机之间的业务调用采用加密通道���,保护用户应用数据经过中间网络环节时的安全。
三����、产品优势
1.紧密贴合云环境部署需求
云密码机的加密服务可按需配置���,且可被多用户安全共享����,解决了密钥管理与设备管理权限分离问题��,具备完善的技术手段和安全机制保证用户密钥安全。
2.遵循国家密码管理局相关政策要求
采用硬件算法模块���,严格按照国家服务器密码机相关规范设计。密钥使用经国家密码管理局批准的真随机数发生器产生��,并以密文的方式存放在服务器密码机内部���,确保设备自身的数据安全。
3.支持国密全系列密码算法
支持密钥长度256位的国密SM2椭圆曲线密码算法����,支持国密SM1���、SM4对称密码算法��,支持国密SM3杂凑算法。
4.支持主流的操作系统
支持Windows��、Linux���、AIX��、Solaris��、FreeBSD等主流操作系统。
5.支持灵活多样的开发接口
支持国标接口����,支持微软CSP����、PKCS#11����、JCE等国际标准开发接口���,同时可根据用户需求定制接口。
6.安全易操作的管理方式
支持B/S模式管理����,给予友好的管理界面。操作人员顺利获得智能密码钥匙实现身份认证���,操作终端与加密机之间建立SSL安全通道����,保证设备管理操作的机密性���、真实性和不可否认性。
7.高可靠性的数据链路
在网络出现异常导致设备连接断开时����,服务器密码机会不断尝试修复连接。当网络恢复正常时���,业务数据会继续发送��,不需要重新启动业务服务。
8.高安全性的管理机制
采用严格的三级密钥管理体系和权限分离的管理机制����,确保密钥安全及设备自身的访问控制安全。
9.给予完善的升级服务
可方便可靠的进行产品升级。
四��、相关科普
1���、云服务器密码机与服务器密码机的区别���:
架构形态��:
服务器密码机����:通常是独立的物理设备���,采用“工控机+密码卡”或一体化硬件设计��,为单个应用系统给予密码服务。
云服务器密码机��:基于虚拟化技术��,在一台物理密码机上生成多个虚拟密码机����(VSM)���,每个VSM可独立为多个租户或应用给予密码服务��,实现资源的集约利用和动态伸缩。
资源利用与扩展性����:
服务器密码机���:资源固定���,扩展性有限����,适合单一应用场景。
云服务器密码机���:支持密码资源的弹性分配��,可根据业务负载动态调整VSM性能��,满足云计算环境下资源按需分配的需求。
安全隔离����:
服务器密码机���:顺利获得物理隔离保障安全。
云服务器密码机����:采用安全隔离技术���,确保各VSM之间的密钥和运算环境相互隔离��,防止交叉感染。
管理方式���:
服务器密码机����:通常需要人工现场维护����,管理成本较高。
云服务器密码机���:可与云平台管理系统集成����,实现远程自动化部署���、监控和故障切换����,降低运维成本。
成本效益���:
服务器密码机���:设备采购和维护成本较高����,适合大型企业。
云服务器密码机���:顺利获得虚拟化降低硬件成本��,提高资源利用率����,适合中小型企业和多租户环境。
2��、云服务器密码机技术规范解析
云服务器密码机技术规范以国家密码管理局GM/T 0104-2021标准为核心����,构建起云计算环境下的密码服务安全基准。其技术规范体系涵盖六大维度��:
虚拟化架构规范
要求采用硬件级虚拟化技术��,单台物理密码机可虚拟出8-96个独立虚拟密码机����(VSM)��,每个VSM具备独立的密码运算资源��、密钥管理体系和访问控制策略���,实现密码资源的池化管理与按需分配。
密码算法标准
强制支持SM2/SM3/SM4国密算法���,同时兼容RSA��、AES等国际算法。其中SM2签名速度需达230,000次/秒���,SM4加密带宽不低于9Gbps��,满足高并发场景需求。
密钥管理体系
采用三级密钥架构���:
管理密钥����:宿主机与各VSM独立生成����,采用门限秘密共享机制存储
用户密钥����:VSM内生成����,支持32对非对称密钥与100个对称密钥存储
会话密钥����:一次一密���,使用真随机数发生器生成
安全隔离要求
顺利获得硬件虚拟化实现VSM间内存����、存储����、运算的完全隔离����,配备IP白名单����、私钥访问控制码等多重防护��,确保单个VSM被攻破不影响其他实例。
性能指标规范
并发会话数��:≥10,000个
加密延迟����:≤50μs
集群扩展能力���:支持128台VSM横向扩展����,实现线性性能提升
可靠性���:MTBF≥30,000小时��,具备双机热备与故障漂移能力
安全合规要求
顺利获得CC EAL4+或GM/T 0028三级认证
配备抗物理攻击探测���、防DDoS攻击��、安全审计等功能
支持国密局认可的密码模块检测����,密钥生成过程符合GM/T 0005标准
该技术规范构建起云环境密码服务的基础设施标准���,既保障传统密码机功能��,又顺利获得虚拟化����、弹性扩展���、安全隔离等特性��,适配云计算动态��、共享���、多租户的特性��,为政务云��、金融云等场景给予合规密码支撑。
