密碼機(jī)

密碼機(jī)內(nèi)部采用安全隔離技術(shù)實(shí)現(xiàn)各VSM密鑰在存儲和使用過程中的安全，并支持管理通道和業(yè)務(wù)通道的安全保護(hù)，全方保護(hù)用戶在云計(jì)算環(huán)境中的密鑰和密碼運(yùn)算安全。按需分配云服務(wù)器密碼機(jī)可按照用戶不同的功能、性能需求為其分配相應(yīng)類型和性能的VSM。彈性密碼運(yùn)算云服務(wù)器密碼機(jī)可在VSM運(yùn)行過程中，根據(jù)VSM的運(yùn)行狀態(tài)，動態(tài)調(diào)整VSM的密碼運(yùn)算能力，高峰期動態(tài)增加密碼運(yùn)算資源。高單臺云服務(wù)器密碼機(jī)多可虛擬化出96臺VSM，折算后每臺VSM的成本相當(dāng)于傳統(tǒng)密碼機(jī)成本的20%。

密碼機(jī)主要功能和算法

● VSM集群功能；

● 對外提供服務(wù)器密碼機(jī)的VSM；

● VSM間密鑰安全隔離和訪問控制功能；

● VSM性能按需分配功能；

● VSM性能彈性調(diào)度功能；

● 接入OpenStack云計(jì)算管理系統(tǒng)功能；

| 算法支持

● 對稱算法：DES/3DES、AES、SM1、SM4

● 非對稱算法：RSA、SM2

● 摘要算法：SHA1、SHA2[SHA224-512]、SM3

密碼機(jī)加密系統(tǒng)

“加密系統(tǒng)的保密性只應(yīng)建立在對密鑰的保密上，不應(yīng)該取決于加密算法的保密?！边@是密碼學(xué)中的金科玉律。加密算法可以直接是某個(gè)抽象的數(shù)學(xué)算法，比如通用的DEA和RSA算法，也可以是實(shí)現(xiàn)某個(gè)算法的象ENIGMA這樣的加密機(jī)械或?qū)ｉT用于加密的電子芯片等加密器件，還可以是經(jīng)過編譯的在計(jì)算機(jī)上可執(zhí)行的加密程序，比如在互聯(lián)網(wǎng)通信中被廣泛使用的。因?yàn)閷用芩惴ǖ谋Ｃ苁抢щy的。對手可以用、購買的方法來取得算法、加密器件或者程序。如果得到的是加密器件或者程序，可以對它們進(jìn)行反向工程而終獲得加密算法。如果只是密鑰失密，那么失密的只是和此密鑰有關(guān)的情報(bào)，日后通訊的保密性可以通過更換密鑰來補(bǔ)救；但如果是加密算法失密，而整個(gè)系統(tǒng)的保密性又建立在算法的秘密性上，那么所有由此算法加密的信息就會全部暴露。更糟糕是，為了使以后的通訊保持秘密，必須完全更換加密算法，這意味著更新加密器械或更換程序。比起簡單地更換密鑰，這要耗費(fèi)大量財(cái)富和管理資源。

服務(wù)密碼機(jī)

支持多密碼算法：支持國密算法（SM1 、SM2、SM3、SM4、SM9）及國際通用算法（DES、AES、SHA1、SHA256、RSA、ECC等 ）。

支持技術(shù)應(yīng)用：可為交易中的用戶注冊、實(shí)名認(rèn)證、創(chuàng)建交易、驗(yàn)證交易、區(qū)塊共識、區(qū)塊確認(rèn)與同步、區(qū)塊查詢等環(huán)節(jié)提供基礎(chǔ)密碼算法服務(wù)，有效支撐采用PKI密碼體制或標(biāo)識密碼體制的系統(tǒng)密碼運(yùn)行環(huán)境地運(yùn)行。

支持多種操作系統(tǒng)：服務(wù)器系統(tǒng)支持Windows系列、Linux系列、Oracle Solaris、AIX、HP-UX等操作系統(tǒng)。

標(biāo)準(zhǔn)接口：密碼機(jī)API接口符合GM/T 0018-2012《密碼設(shè)備應(yīng)用接口規(guī)范》的標(biāo)準(zhǔn)要求，通用性好。

三層密鑰結(jié)構(gòu)：采用“系統(tǒng)保護(hù)密鑰-用戶密鑰對-會話密鑰”的三層密鑰保護(hù)結(jié)構(gòu)，保證用戶密鑰及應(yīng)用系統(tǒng)的安全性。

安全密鑰存儲：保證關(guān)鍵密鑰在任何時(shí)候不以明文形式出現(xiàn)在設(shè)備外，且密鑰備份文件受到主密鑰保護(hù)。設(shè)備機(jī)箱被開啟時(shí)，存儲的密鑰立即銷毀。

安全策略：采用基于IP地址的白名單訪問控制和密鑰對一對一的授權(quán)碼保護(hù)機(jī)制。