加密服务
加密服务基于国家密码局认证的硬件加密机,为用户提供云上可靠的数据加解密方案。
产品特点
合规性
加密服务采用符合国家密码管理局和中国人民银行规定的硬件密码设备。
管理分离
统一进行设备的集中管理和监控,随时掌握设备的工作状态。用户密钥管理与设备管理分离,用户可以集中管理自身的密码设备密钥,保证用户密钥的安全性。
强身份认证
用户采用基于数字证书的USBKey强认证机制,满足认证权限的用户才能进行对应的密钥管理操作,同时保证了用户之间管理的隔离。
弹性扩展
用户根据需求动态调整实例数量,满足不同业务需求。
产品功能
PKI场景支持
密钥生成
可以生成256位SM2密钥对和2048位RSA密钥对。
密钥存储
可存储对称密钥、SM2密钥对和RSA密钥对,并且私钥部分受系统加密保护。
数据加密和解密
支持SM1、SM4、SM7、AES、3DES算法的ECB/CBC/CTR/GCM等模式的数据加密和解密运算。
消息鉴别码的产生和验证
支持基于各种对称算法的MAC产生及验证。
数据摘要的产生和验证
支持SM3、SHA1、SHA256、SHA384、SHA512等杂凑算法。
数字签名的产生和验证
可以利用内部存储的RSA/SM2私钥或外部导入RSA/SM2私钥对请求数据进行数字签名或验证。
物理随机数的产生
采用由国家密码管理局批准使用的物理噪声源发生器芯片生成随机数。
密钥备份及恢复
支持基于主密钥保护下的密钥的备份和恢复功能,保证了安全应用系统的安全性和可靠性。
金融支付支持
可支持ATM、POS及银行的其他用途。
可支持ANSI和ISO安全标准。
可支持PIN的转发和校验。
可支持交易完整性校验TAC。
可支持SM1/SM4算法与国际金融密码算法的转换。
可支持IC卡密钥管理及发卡系统。
可支持更换本地主密钥时密文数据的转换功能。
可兼容国际信用卡安全应用标准。
可支持多种填充标准,如PKCS1,ANSIX9.31,EMV2000等数据填充模式。
签名验签场景支持
数字信封功能
支持基于RSA/SM2密码算法的数字信封功能,支持PKCS#7标准各种格式的数字信封封装和解封。
数字签名的产生和验证
可以利用内部存储的RSA/SM2私钥或外部导入RSA/SM2私钥对请求数据进行数字签名或验证。
签名验证格式
支持PKCS#1、PKCS#7、XML等格式的数据签名、签名验证功能,支持文件签名验证功能。
证书验证方式
支持CA、CRL、OCSP等方式证书有效性验证。
安全管理
将设备管理与业务管理分开,采用各级管理员基于角色的管理体系,各自具有不交叉的权限,提供证书加USBKey的双因素认证手段,并提供可追溯的审计记录。
提供用户远程管理密码设备的安全方式。
业务规划
为用户提供业务管理视图,建立多用户的“业务—设备(组)—密钥”的关联体系,将密码运算抽象为服务的形式,规避底层设备及密钥访问的复杂性,并提供高效的需服务和高可用性支撑。
可为用户的业务分析、安全分析积累海量业务数据。
可用性保障
多个实例支持多机并行和客户端负载均衡,有效避免单点故障。
密码机内包含多个密码模块,即使一个模块故障也不影响使用。
应用场景
云中数据保护
加密服务可帮助云中业务系统实现数据的加密安全存储,如系统账号敏感信息、公文文件、电子合同、数据库核心字段、CRM及财务系统中的重要企业数据。
云中身份认证
加密服务可以提供数字签名和验证签名功能,帮助云中签名应用系统(如网上电子合同等)提供用户签名服务,提高系统安全性。
数字签名和验证功能通过加密服务完成,降低业务系统资源消耗。
云中金融应用
加密服务加密保护金融交易数据,保证交易数据传输安全。
SSL通信加速及密钥保护应用
通过简单配置,云加密服务可帮助B/S架构业务系统实现SSL安全通信,无需业务系统做任何改造。保证用户与业务系统通信数据的机密性、完整性。