產(chǎn)品概述
NETCA服務(wù)器密碼機是一款主機加密服務(wù)器,型號XC-HSM1000,能獨立或并行為多個應(yīng)用實體提供密碼服務(wù)和密鑰管理�����;嚴(yán)格按照國家密碼服務(wù)器設(shè)計相關(guān)規(guī)范設(shè)計����,采用國家密碼局審批的密碼算法,采用國家密碼局審批的WNG-8真隨機數(shù)發(fā)生器�����,系統(tǒng)整體安全可靠���,性能優(yōu)異�,設(shè)計合理���;實現(xiàn)數(shù)據(jù)加解密�、數(shù)據(jù)完整性校驗以及數(shù)字簽名和驗證功能,可廣泛應(yīng)用于政府�����、石化��、電力��、稅務(wù)�����、公安���、金融機構(gòu)等對信息安全要求較高的單位�����,還可以用做證書認(rèn)證系統(tǒng)��、視頻會議�、數(shù)據(jù)加解密平臺等系統(tǒng)的獨立加解密模塊��,為上述系統(tǒng)提供高速的加解密運算���。
產(chǎn)品功能
(1)密鑰生成與管理
支持通過物理隨機數(shù)噪聲源生成SM2密鑰對和會話密鑰��。
(2)密鑰的安全存儲
設(shè)備內(nèi)可存儲500對SM2密鑰對(包括簽名密鑰對和加密密鑰對)�,并且私鑰受主密鑰加密保護,能夠保證密鑰的安全性�����。
(3)對稱加密解密
支持SM1�、SM4國密算法的數(shù)據(jù)加密和解密運算���。
(4)消息鑒別碼的產(chǎn)生和驗證
支持基于SM1��、SM4的MAC產(chǎn)生及驗證�����。
(5)數(shù)據(jù)摘要的產(chǎn)生和驗證
支持SM3雜湊算法�。
(6)數(shù)字簽名的產(chǎn)生和驗證
可以根據(jù)需要使用內(nèi)部存儲的SM2密鑰對或外部SM2密鑰對進(jìn)行數(shù)字簽名和驗簽���。
(7)數(shù)字信封功能
支持基于SM2密碼算法的數(shù)字信封�����,并支持由內(nèi)部密鑰保護到外部密鑰保護的數(shù)字信封轉(zhuǎn)換�。
(8)隨機數(shù)的產(chǎn)生
采用由國家密碼管理局批準(zhǔn)使用的雙物理噪聲源生成器生成真隨機數(shù)。
(9)用戶權(quán)限控制
具有用戶管理功能�����,對訪問用戶分級管理���,提高密碼設(shè)備自身的安全性���。管理員權(quán)限采用分割管理機制,管理員和操作員采用具有國密資質(zhì)的USBKey作為權(quán)限管理的物理介質(zhì)�,并設(shè)置口令保護。
(10)密鑰備份及恢復(fù)
在滿足權(quán)限的情況下能夠?qū)⒎?wù)器密碼機內(nèi)的密鑰等重要信息加密后進(jìn)行備份�,并且可以恢復(fù)到相同型號的服務(wù)器密碼機中,備份采用(3���,5)門限方式�,產(chǎn)生備份密鑰并分割導(dǎo)出到5個USBKey中�����,對密鑰的敏感信息通過該5個USBKey合成的密鑰加密保存到文件中��,且備份USBKey和備份文件分離。
(11)日志審計
提供了日志記錄�、查看和導(dǎo)出功能。日志內(nèi)容包括:
1)管理員操作行為���,包括登錄認(rèn)證��、系統(tǒng)配置����、密鑰管理等操作���;
2)異常事件��,包括認(rèn)證失敗、非法訪問等異常事件的記錄��;
產(chǎn)品特性
(1)全面支持國產(chǎn)算法
SM2非對稱算法�����,SM3雜湊算法�,SM1、SM4對稱算法���。
(2)支持標(biāo)準(zhǔn)接口
密碼機API接口符合《密碼設(shè)備應(yīng)用接口規(guī)范(GM/T 0018-2012)》標(biāo)準(zhǔn)接口規(guī)范����,通用性好。
(3)三層密鑰結(jié)構(gòu)
采用“主密鑰-用戶密鑰-會話密鑰”的三層密鑰保護結(jié)構(gòu)�����,充分保證用戶密鑰及應(yīng)用系統(tǒng)的安全性�。
(4)安全密鑰存儲
保證關(guān)鍵密鑰在任何時候不以明文形式出現(xiàn)在設(shè)備外,密鑰備份文件也受主密鑰的加密保護�。
(5)分級權(quán)限管理
采用分級權(quán)限管理,設(shè)置管理員和操作員��,分別賦予不同的權(quán)限����,實行分割管理和權(quán)限控制。設(shè)置分級權(quán)限���,管理員與操作員��;管理員可以對服務(wù)器密碼機進(jìn)行管理與配置�,而操作員僅能進(jìn)行日常的有關(guān)服務(wù)器密碼機的使用操作�。在系統(tǒng)中設(shè)置多個管理員��,只有半數(shù)以上的密鑰管理員的口令檢查通過后�����,才擁有管理員權(quán)限����。
(6)支持連接密碼及白名單
通過連接密碼和白名單的支持���,實現(xiàn)了密碼機對應(yīng)用服務(wù)器的授權(quán)認(rèn)證��,進(jìn)一步提高了系統(tǒng)的安全性�����。
(7)信創(chuàng)運行環(huán)境
集成了國產(chǎn)麒麟操作系統(tǒng)�����、飛騰CPU。
(8)支持負(fù)載均衡
支持集群部署���,根據(jù)負(fù)載的情況����,動態(tài)添加密碼機。
遵循標(biāo)準(zhǔn)
GM/T 0005-2012 隨機性檢測規(guī)范����;
GM/T 0003-2012 SM2橢圓曲線公鑰密碼算法
GM/T 0009-2012 SM2密碼算法使用規(guī)范
GM/T 0004-2012 SM3密碼雜湊算法
GM/T 0002-2012 SM4分組密碼算法
GM/T 0006-2012 密碼應(yīng)用標(biāo)識規(guī)范
GM/T 0018-2012 密碼設(shè)備應(yīng)用接口規(guī)范
GM/T 0030-2014 服務(wù)器密碼機技術(shù)規(guī)范
GM/T 0059-2018 服務(wù)器密碼機檢測規(guī)范
