產品概述
NETCA服務器密碼機是一款主機加密服務器�����,型號XC-HSM1000�����,能獨立或并行為多個應用實體提供密碼服務和密鑰管理�;嚴格按照國家密碼服務器設計相關規范設計�,采用國家密碼局審批的密碼算法����,采用國家密碼局審批的WNG-8真隨機數發生器���,系統整體安全可靠�����,性能優異���,設計合理��;實現數據加解密�、數據完整性校驗以及數字簽名和驗證功能�����,可廣泛應用于政府����、石化�、電力�����、稅務�、公安���、金融機構等對信息安全要求較高的單位��,還可以用做證書認證系統�、視頻會議����、數據加解密平臺等系統的獨立加解密模塊���,為上述系統提供高速的加解密運算��。
產品功能
(1)密鑰生成與管理
支持通過物理隨機數噪聲源生成SM2密鑰對和會話密鑰�����。
(2)密鑰的安全存儲
設備內可存儲500對SM2密鑰對(包括簽名密鑰對和加密密鑰對)�,并且私鑰受主密鑰加密保護���,能夠保證密鑰的安全性���。
(3)對稱加密解密
支持SM1�����、SM4國密算法的數據加密和解密運算��。
(4)消息鑒別碼的產生和驗證
支持基于SM1���、SM4的MAC產生及驗證�����。
(5)數據摘要的產生和驗證
支持SM3雜湊算法����。
(6)數字簽名的產生和驗證
可以根據需要使用內部存儲的SM2密鑰對或外部SM2密鑰對進行數字簽名和驗簽����。
(7)數字信封功能
支持基于SM2密碼算法的數字信封����,并支持由內部密鑰保護到外部密鑰保護的數字信封轉換���。
(8)隨機數的產生
采用由國家密碼管理局批準使用的雙物理噪聲源生成器生成真隨機數��。
(9)用戶權限控制
具有用戶管理功能����,對訪問用戶分級管理����,提高密碼設備自身的安全性�。管理員權限采用分割管理機制�����,管理員和操作員采用具有國密資質的USBKey作為權限管理的物理介質�,并設置口令保護�����。
(10)密鑰備份及恢復
在滿足權限的情況下能夠將服務器密碼機內的密鑰等重要信息加密后進行備份����,并且可以恢復到相同型號的服務器密碼機中�����,備份采用(3�,5)門限方式�,產生備份密鑰并分割導出到5個USBKey中���,對密鑰的敏感信息通過該5個USBKey合成的密鑰加密保存到文件中��,且備份USBKey和備份文件分離���。
(11)日志審計
提供了日志記錄����、查看和導出功能���。日志內容包括:
1)管理員操作行為�,包括登錄認證�����、系統配置���、密鑰管理等操作�����;
2)異常事件����,包括認證失敗�����、非法訪問等異常事件的記錄�;
產品特性
(1)全面支持國產算法
SM2非對稱算法���,SM3雜湊算法���,SM1��、SM4對稱算法�����。
(2)支持標準接口
密碼機API接口符合《密碼設備應用接口規范(GM/T 0018-2012)》標準接口規范����,通用性好�����。
(3)三層密鑰結構
采用“主密鑰-用戶密鑰-會話密鑰”的三層密鑰保護結構��,充分保證用戶密鑰及應用系統的安全性�����。
(4)安全密鑰存儲
保證關鍵密鑰在任何時候不以明文形式出現在設備外����,密鑰備份文件也受主密鑰的加密保護���。
(5)分級權限管理
采用分級權限管理��,設置管理員和操作員��,分別賦予不同的權限�����,實行分割管理和權限控制����。設置分級權限��,管理員與操作員����;管理員可以對服務器密碼機進行管理與配置�����,而操作員僅能進行日常的有關服務器密碼機的使用操作��。在系統中設置多個管理員�,只有半數以上的密鑰管理員的口令檢查通過后�����,才擁有管理員權限���。
(6)支持連接密碼及白名單
通過連接密碼和白名單的支持����,實現了密碼機對應用服務器的授權認證�,進一步提高了系統的安全性���。
(7)信創運行環境
集成了國產麒麟操作系統�����、飛騰CPU�����。
(8)支持負載均衡
支持集群部署�,根據負載的情況�,動態添加密碼機���。
遵循標準
GM/T 0005-2012 隨機性檢測規范�����;
GM/T 0003-2012 SM2橢圓曲線公鑰密碼算法
GM/T 0009-2012 SM2密碼算法使用規范
GM/T 0004-2012 SM3密碼雜湊算法
GM/T 0002-2012 SM4分組密碼算法
GM/T 0006-2012 密碼應用標識規范
GM/T 0018-2012 密碼設備應用接口規范
GM/T 0030-2014 服務器密碼機技術規范
GM/T 0059-2018 服務器密碼機檢測規范
