一��、產品簡介
量子服務器密碼機內置量子隨機數發生器及高速密碼運算模塊����,支持國密局認可的密碼算法����,可以滿足應用系統數據的加解密����、簽名驗證的要求���,實現應用的數據的機密性和完整性保護���,同時可给予安全性更高的密鑰管理機制��,同時可採用QKD分發技術實現量子密鑰安全分發���,確保在未來量子時代的密碼運算的安全性。
二���、標準規範
產品滿足以下國家密碼行業標準��:
GM/T0018-2012����《密碼設備應用設備接口規範》
GM/T0028-2014����《密碼模塊安全技術要求》
GM/T0039-2015��《密碼模塊安全檢測要求》
GM/T0030-2014����《服務器密碼機技術規範》
GM/T0059-2018���《服務器密碼機檢測規範》
三���、產品優勢
1��、規範性
嚴格按照國家量子密碼機相關設計規範設計��,採用嚴格的密鑰管理和權限管理機制��,以硬件密碼模塊實現密碼算法。密鑰使用真隨機數發生器產生���,且以密文的方式存放在量子服務器密碼機內部。
2��、安全性
���(1)採用全密封機殼����,採用防拆���、防撬結構設計���,從物理層面為密鑰管理给予保護;
���(2)內置 IP 防火牆技術����,只有授權的用戶才可以訪問���,保證了量子密碼機的使用安全。
3���、可靠性
���(1)採用工業控制級硬件平台��、合理的結構設計��,能夠在惡劣的環境下穩定高效的運行;
��(2)軟件開發時遵循軟件工程的規範要求��,採用層次化的設計方法��,保證軟件模塊的健壯性;
���(3)嚴格按照質量管理體系的流程生產����、測試���,經受住了測試人員的反覆長期的測試;
��(4)支持雙機熱備���、多機負載等部署模式����,支持故障自動切換����、恢復���,保證了密碼服務的持續穩定。
5���、高性能
內置evo真人(中国)信息自主研發的高性能硬件密碼模塊進行密碼運算����,確保數據處理的高效性。
6��、兼容性
採用局域網方式��,顺利获得網絡给予密碼服務��,可為各類業務系統给予密碼服務��,產品兼容Linux���、中標麒麟����、銀河麒麟等操作系統��,可適配X86��、飛騰����、龍芯��、兆芯等硬件平台。
7����、易用性
應用系統顺利获得調用量子服務器密碼機给予的API接口來使用密碼服務����,產品支持多種API接口��,接口符合����《密碼設備應用接口規範����(GM/T 0018-2012)》標準接口規範��,支持PKCS#11����、JCE等國際標準接口��,支持KMIP協議����、restful接口���,通用性好����,同時可以根據用戶需求定製口。
8����、可操作性
產品可顺利获得配置管理工具對設備進行密鑰管理和權限管理操作��,配置管理工具採用可視化操作界面��,配置方便。
四���、產品功能
1���、功能結構
量子服務器密碼機功能結構
2���、多種密碼算法服務
產品可给予對稱算法��、非對稱算法和雜湊算法等密碼算法服務。對稱算法主要包括SM1/SM4國密算法��、DES���、3DES����、AES等國際算法��,支持ECB/CBC/CFB/OFB/CTR/GCM/CCM/XTS等加密模式;非對稱算法包括SM2國密算法��、RSA��、DSA���、EDSA���、DH國際算法;雜湊算法包括SM3國密算法����、SHA256��、SHA512等國際算法���,可以滿足不同的使用要求。
3���、量子隨機數生成
真隨機數可以用作密鑰��,採用由國家密碼局審批的雙WNG-9隨機數發生器和量子隨機數發生器卡產生的隨機數���,隨機數質量高和安全性都很高。
4����、密鑰管理
密鑰管理主要包括密鑰的生成��、存儲��、銷毀����、更新���、備份和恢復等操作���,戶可以顺利获得配置管理工具對量子密碼機進行密鑰管理。
產品採用“管理密鑰-用戶密鑰-會話密鑰”的三層密鑰保護結構。密鑰在設備內部是以密文的方式存放��,在沒有獲取權限的情況下無法取得設備內任何機密信息。
密鑰生成���:採用由國家密碼管理局批准使用的雙物理噪聲源生成隨機數��,可生成各類對稱密鑰和非對稱密鑰。
密鑰存儲���:產品內部的密鑰以密文的形式存儲在硬件密碼模塊中。。
密鑰銷毀���:支持顺利获得管理界面刪除指定的密鑰����,也支持銷毀全部密鑰。
密鑰更新���:支持各類對稱密鑰和非對稱密鑰的更新。
密鑰備份與恢復���:採用基於三五門限密鑰分割的方式備份密鑰和安全數據��,保障備份數據的安全性。
5����、權限管理
產品採用分級權限管理��,設有管理權及審計員。管理員初始化五個����,滿足半數以上的管理員登錄具有密碼主管權限���,密碼主管權限可以進行密碼運算���、密鑰管理等安全功能。審計管理員只有一個���,登錄後具有審計管理員權限����,可以進行量子服務器密碼機日誌��、審計日誌的查看��、審計����、設置日誌等級功能。
6��、業務監控
監控功能主要包括監控量子密碼機CPU和內存的利用率��、當前並發數目及當前正在處理的業務操作。
7���、日誌審計
日誌審計功能包括查看量子密碼機重要的操作步驟��,支持日誌查看���、審計����、和導出。
8��、多機並行
多機並行是指支持多台量子密碼機同時為同一台業務服務器给予密碼服務���,從而提高了處理的效率����,同時也防止因一台量子密碼機出現故障導致整個服務終止的情況����,提高了服務的可靠性。
9��、斷鏈修復
斷鏈修復是指量子密碼機網絡斷開後����,量子密碼機會不斷嘗試修復連接。當網絡恢復正常時��,業務數據會繼續發送��,不用重新啟動業務服務����,提高服務可靠性。
10����、雙機熱備
雙機熱備是指一台量子服務器密碼機作為備機��,為另一台量子服務器密碼機给予保護的功能����,當主機發生故障時����,備機可以自動代替主機给予密碼服務。给予了服務的可靠性。
11����、配置管理
配置管理服務採用C/S架構����,方便操作。配置管理內容包括設備信息查看����、密鑰信息查看��、密鑰生成����、刪除���、密鑰導入���、公鑰導出���、備份恢復���、用戶添加���、刪除��、登錄���、白名單配置����、網絡配置���、監控���、初始化等。
12��、支持ipv6網絡
管理和服務模式皆支持ipv6網絡配置。
13���、二次開發的接口庫
给予基本接口FMAPI和標準的密碼算法接口����,如����:PKCS#11��、JCE���、國標接口����、KMIP協議��、restful接口等。並支持Windows操作系統����、銀河麒麟操作系統��、中標麒麟操作系統����、各版本Linux等多種操作系統����,可以根據用戶自身情況定製開發。
五��、應用場景
1���、業務數據加解密
業務數據加解密場景圖
產品在局域網內與業務數據服務器採用背靠背方式相連����,配置終端與量子密碼機相連。客戶端數據請求顺利获得網絡發送到業務數據服務器��,業務數據服務器根據需求將需要密碼運算的數據發送到量子密碼機��,量子密碼機完成密碼運算服務後將結果返回給業務數據服務器。業務數據服務器不會因為複雜的密碼運算而降低業務數據處理的速度。從而提高了業務數據服務器處理數據性能。
2��、CA認證中心
視頻監控應用場景圖
量子服務器密碼機在CA認證中主要给予簽名/驗證功能��,由於軟件算法的簽名/驗證功能遠遠達不到CA認證中心的需求���,以此必須要有單獨的密碼運算設備來给予密碼服務。算法採用硬件實現���,可以给予高速的簽名/驗證功能。
