一、产品简介
量子服务器密码机内置量子随机数发生器及高速密码运算模块,支持国密局认可的密码算法,可以满足应用系统数据的加解密、签名验证的要求,实现应用的数据的机密性和完整性保护,同时可提供安全性更高的密钥管理机制,同时可采用QKD分发技术实现量子密钥安全分发,确保在未来量子时代的密码运算的安全性。
二、标准规范
产品满足以下国家密码行业标准:
GM/T0018-2012《密码设备应用设备接口规范》
GM/T0028-2014《密码模块安全技术要求》
GM/T0039-2015《密码模块安全检测要求》
GM/T0030-2014《服务器密码机技术规范》
GM/T0059-2018《服务器密码机检测规范》
三、产品优势
1、规范性
严格按照国家量子密码机相关设计规范设计,采用严格的密钥管理和权限管理机制,以硬件密码模块实现密码算法。密钥使用真随机数发生器产生,且以密文的方式存放在量子服务器密码机内部。
2、安全性
(1)采用全密封机壳,采用防拆、防撬结构设计,从物理层面为密钥管理提供保护;
(2)内置 IP 防火墙技术,只有授权的用户才可以访问,保证了量子密码机的使用安全。
3、可靠性
(1)采用工业控制级硬件平台、合理的结构设计,能够在恶劣的环境下稳定高效的运行;
(2)软件开发时遵循软件工程的规范要求,采用层次化的设计方法,保证软件模块的健壮性;
(3)严格按照质量管理体系的流程生产、测试,经受住了测试人员的反复长期的测试;
(4)支持双机热备、多机负载等部署模式,支持故障自动切换、恢复,保证了密码服务的持续稳定。
5、高性能
内置渔翁信息自主研发的高性能硬件密码模块进行密码运算,确保数据处理的高效性。
6、兼容性
采用局域网方式,通过网络提供密码服务,可为各类业务系统提供密码服务,产品兼容Linux、中标麒麟、银河麒麟等操作系统,可适配X86、飞腾、龙芯、兆芯等硬件平台。
7、易用性
应用系统通过调用量子服务器密码机提供的API接口来使用密码服务,产品支持多种API接口,接口符合《密码设备应用接口规范(GM/T 0018-2012)》标准接口规范,支持PKCS#11、JCE等国际标准接口,支持KMIP协议、restful接口,通用性好,同时可以根据用户需求定制口。
8、可操作性
产品可通过配置管理工具对设备进行密钥管理和权限管理操作,配置管理工具采用可视化操作界面,配置方便。
四、产品功能
1、功能结构
量子服务器密码机功能结构
2、多种密码算法服务
产品可提供对称算法、非对称算法和杂凑算法等密码算法服务。对称算法主要包括SM1/SM4国密算法、DES、3DES、AES等国际算法,支持ECB/CBC/CFB/OFB/CTR/GCM/CCM/XTS等加密模式;非对称算法包括SM2国密算法、RSA、DSA、EDSA、DH国际算法;杂凑算法包括SM3国密算法、SHA256、SHA512等国际算法,可以满足不同的使用要求。
3、量子随机数生成
真随机数可以用作密钥,采用由国家密码局审批的双WNG-9随机数发生器和量子随机数发生器卡产生的随机数,随机数质量高和安全性都很高。
4、密钥管理
密钥管理主要包括密钥的生成、存储、销毁、更新、备份和恢复等操作,户可以通过配置管理工具对量子密码机进行密钥管理。
产品采用“管理密钥-用户密钥-会话密钥”的三层密钥保护结构。密钥在设备内部是以密文的方式存放,在没有获取权限的情况下无法获得设备内任何机密信息。
密钥生成:采用由国家密码管理局批准使用的双物理噪声源生成随机数,可生成各类对称密钥和非对称密钥。
密钥存储:产品内部的密钥以密文的形式存储在硬件密码模块中。。
密钥销毁:支持通过管理界面删除指定的密钥,也支持销毁全部密钥。
密钥更新:支持各类对称密钥和非对称密钥的更新。
密钥备份与恢复:采用基于三五门限密钥分割的方式备份密钥和安全数据,保障备份数据的安全性。
5、权限管理
产品采用分级权限管理,设有管理权及审计员。管理员初始化五个,满足半数以上的管理员登录具有密码主管权限,密码主管权限可以进行密码运算、密钥管理等安全功能。审计管理员只有一个,登录后具有审计管理员权限,可以进行量子服务器密码机日志、审计日志的查看、审计、设置日志等级功能。
6、业务监控
监控功能主要包括监控量子密码机CPU和内存的利用率、当前并发数目及当前正在处理的业务操作。
7、日志审计
日志审计功能包括查看量子密码机重要的操作步骤,支持日志查看、审计、和导出。
8、多机并行
多机并行是指支持多台量子密码机同时为同一台业务服务器提供密码服务,从而提高了处理的效率,同时也防止因一台量子密码机出现故障导致整个服务终止的情况,提高了服务的可靠性。
9、断链修复
断链修复是指量子密码机网络断开后,量子密码机会不断尝试修复连接。当网络恢复正常时,业务数据会继续发送,不用重新启动业务服务,提高服务可靠性。
10、双机热备
双机热备是指一台量子服务器密码机作为备机,为另一台量子服务器密码机提供保护的功能,当主机发生故障时,备机可以自动代替主机提供密码服务。提供了服务的可靠性。
11、配置管理
配置管理服务采用C/S架构,方便操作。配置管理内容包括设备信息查看、密钥信息查看、密钥生成、删除、密钥导入、公钥导出、备份恢复、用户添加、删除、登录、白名单配置、网络配置、监控、初始化等。
12、支持ipv6网络
管理和服务模式皆支持ipv6网络配置。
13、二次开发的接口库
提供基本接口FMAPI和标准的密码算法接口,如:PKCS#11、JCE、国标接口、KMIP协议、restful接口等。并支持Windows操作系统、银河麒麟操作系统、中标麒麟操作系统、各版本Linux等多种操作系统,可以根据用户自身情况定制开发。
五、应用场景
1、业务数据加解密
业务数据加解密场景图
产品在局域网内与业务数据服务器采用背靠背方式相连,配置终端与量子密码机相连。客户端数据请求通过网络发送到业务数据服务器,业务数据服务器根据需求将需要密码运算的数据发送到量子密码机,量子密码机完成密码运算服务后将结果返回给业务数据服务器。业务数据服务器不会因为复杂的密码运算而降低业务数据处理的速度。从而提高了业务数据服务器处理数据性能。
2、CA认证中心
视频监控应用场景图
量子服务器密码机在CA认证中主要提供签名/验证功能,由于软件算法的签名/验证功能远远达不到CA认证中心的需求,以此必须要有单独的密码运算设备来提供密码服务。算法采用硬件实现,可以提供高速的签名/验证功能。