量子增强服务器密码机(KDSCM)
量子增强服务器密码机(KDSCM)是公司自主研发的高性能应用层数据密码机,能够实时地为各类密码业务应用系统提供高速的、多任务并行处理的密码运算,满足应用系统签名/验证、数据加/解密、密钥协商等密码服务要求,保证信息的机密性、完整性、真实性和有效性,同时提供安全、完善的密钥管理机制,支持基于量子密钥的密码运算增强,可应用于网上审批、网上办公、网上银行、网上证券、网上支付等电子政务、电子商务和企业信息化系统中,满足密码应用合规性要求,为社会信息化发展提供安全保障。
1. 产品介绍
量子增强服务器密码机(KDSCM)是公司自主研发的高性能应用层数据密码机,遵循GM/T 0030-2014 《服务器密码机技术规范》等标准规范,采用国产化硬件、操作系统和密码部件,支持SM1、SM2、SM3、SM4等国密算法。
2. 标准规范
(1)GM/T 0002—2012 SM4分组密码算法
(2)GM/T 0003—2012 SM2椭圆曲线公钥密码算法
(3)GM/T 0004—2012 SM3密码杂凑算法
(4)GM/T 0005—2021 随机性检测规范
(5)GM/T 0009-2012 SM2密码算法使用规范
(6)GM/T 0010-2012 SM2密码算法加密签名消息语法规范
(7)GM/T 0016-2012 智能密码钥匙密码应用接口规范
(8)GM/T 0018-2012 密码设备应用接口规范
(9)GM/T 0028-2014 密码模块安全技术要求
(10)GM/T 0030-2014 服务器密码机技术规范
(11)GM_T 0062-2018 密码产品随机数检测要求
(12)《GB/T 15843.3-2008 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制》
3.功能特点
-
安全可靠的多应用支持
量子增强服务器密码机,通过密钥管理、密钥隔离、访问控制等技术手段,一台服务器密码机可以满足多个应用的数据保护需求。使用高性能密码算法模块及密码服务多进程技术,采用面向密码应用的对象管理技术,将应用对象、密码运算、密钥管理等统一管理,确保在密码服务各个环节保持信息的一致性及服务环境的完整性,从而提高密码服务响应能力。通过严格的密钥管理和权限管理技术,在支持多用户并发访问的同时,确保不同应用密码资源的相互隔离和安全。
-
提供签名验签服务和数据加密服务器双层功能
提供高性能签名/加密服务,通过安全的密钥管理与访问控制技术,一台量子增强服务器密码机同时满足签名、加密应用需求,节省成本。服务器性能指标:对称算法加解密速度:>800Mbps;签名速度>4万次/秒;验签速度>3万次/秒。一台设备能很好满足应用系统数据加解密和签名验签的需求。
-
支持多网口不同安全域密码服务
量子增强服务器密码机支持4个网络服务接口,支持不同区域应用对密码服务的需求。业务网口可以配置不同网段,业务系统中具有不同的安全域,结合服务器密码机安全的密钥管理功能,可以极大提高服务器密码机的使用效率。
-
支持白名单管控增强安全功能
支持客户端白名单控制技术,防止非法应用使用量子增强服务器密码机,增强安全性。
-
密钥备份恢复机制
量子增强服务器密码机具备完善的密钥备份、恢复机制。在一台设备故障的时候,可以通过恢复功能,快速恢复一台设备,不影响应用系统使用。
-
安全便捷的密钥和密码应用管理
量子增强服务器密码支持不小于64对用户签名/加密密钥以及对称密钥,通过图形化的密钥管理界面,安全管理员可以为不用密码应用系统产生或安装相应的密钥,并通过密钥使用的权限控制,确保密钥使用过程中的安全。
-
支持第三方管理系统对设备的管理功能
量子增强服务器密码机支持在自身产生密钥以及外部密钥导入。签名密钥在服务器密码机内部产生,加密密钥由第三方管理系统产生,采用标准接口的密钥保护结构安装到设备内部,便于服务器密码机接收任何符合标准规范的第三方管理系统产生的密钥。第三方管理系统包括但不限于证书认证系统、对称密钥管理系统、证书密钥管理系统等。
-
支持量子密钥自动下载更新功能
量子增强服务器密码机支持与密钥管理系统安全连接,实现量子密钥的自动下载和更新,更新过程符合国家密码局的密钥分发标准规范,支持根据安全策略进行定期更新,提高外部密钥的鲜活性。
-
支持应用客户端量子密钥接入
量子增强服务器密码机通过API服务,对应用客户端提供量子密钥接入功能,接口以标准扩展的形式提供,且实现透明化接入,降低应用系统集成开发难度。
-
支持基于量子密钥的密码运算增强
通过接入的高随机性量子密钥,实现应用客户端在使用对称密码运算时的安全增强。服务端根据客户端认证的身份信息,获取对应的量子密钥版本,同步实现对称密码运算的安全增强。
-
支持身份认证增强
基于证书的身份签名、验签的同时,在现有PKI认证体系基础上,基于量子密钥,通过消息认证码技术,再次进行身份认证,对访问系统的用户、设备进行认证,从而实现对身份认证的异构增强。如果PKI体系不安全,量子认证增强方案具有二次安全防御作用,提供端到中心、端到端之间的认证增强服务。
-
管理员多因子认证
量子增强服务器密码机采用图形化的配置管理界面,设置多个管理员赋予密钥管理、安全审计等不同管理权限,采用智能密码钥匙及SM2数字证书作为管理员身份鉴别介质,采用密码算法验证管理员身份,实现管理员多因子认证;具备系统管理员、安全管理员、审计管理员三权分立功能。
-
高安全性和可靠性
量子增强服务器密码机从设计、运行、管理等多个维度确保设备在使用过程中的安全性和可靠性。从硬件设计采用通信服务主板与卡的体系架构模式,通信板采用国产信创平台及国产操作系统,提供网络通信处理及密码机配置管理,所有密码运算及密钥管理均在密码卡内部实现,外部用户无法直接访问密码卡中资源,确保密码资源的安全隔离。通过白名单管理技术,只有经过设备安全管理员授权应用才可调用服务器密码密码服务。服务器密码机每次开机启动均要对密码算法正确性、随机数质量、密码机内密钥完整性和软件完整性进行检测,并在使用过程中定期检测随机数质量,确保密码机提供密码资源的正确性和可靠性。
4. 性能参数
序号 |
主要参数 |
1 |
采用国产自主可控、卓越性能、高可靠性能的硬件平台; |
2 |
采用国产安全可控、高安全等级的操作系统; |
3 |
数据加解密:支持SM1、SM4分组密码算法以及SM2 非对称算法加解密;数字签名/验证:支持SM2公钥密码算法;杂凑运算:支持SM3运算; |
4 |
电源:双电源,外接220V交流供电;电压:220V±10%;功耗:≤150 W;设备尺寸:2U; |
5 |
提供基于业务需求的开发接口,包括Windows/Linux等库文件和API; |
6 |
支持2个DDR3 DIMM内存插槽,容量大于8GB; |
7 |
1个USB接口,1个USBKey接口, 6个100/1000M自适应以太网电口,1个RJ45串口; |
8 |
支持PCI-E可信模块,密码运算模块选用经过国密局测评中心测评的渔翁加密卡; |
5.产品部署
量子增强服务器密码机(KDSCM),部署在应用侧。通用部署方案如下图:
图 量子增强服务器密码机部署