云服务器密码机

产品介绍

创原天地云服务器密码机（以下简称云密码机）是由北京创原天地科技有限公司自主研发的高性能密码设备。支持多个虚拟服务器密码机同时提供服务，通过虚拟化技术实现多个虚拟密码机对物理设备的处理器、网络、存储等资源以及密码运算部件、密钥存储部件及随机数发生器等密码部件的共享与安全隔离，能够为各类业务系统提供高性能的、多任务并行处理的密码运算，支持SM1、SM2、SM3、SM4等多种国产密码算法，可以满足应用系统数据的签名/验证、加密/解密的要求，保证信息的机密性、完整性和有效性，同时提供安全、完善的密钥管理机制，自身具备较强的安全防护能力。云密码机符合国家密码管理局颁布的GM/T 0104-2021《云服务器密码机技术规范》、GM/T 0088-2020《云服务器密码机管理接口规范》、GM/T 0028-2014《密码模块安全技术要求》，通过国家密码管理局商用密码检测中心检测认证，并获得商用密码产品认证证书，达到密码模块二级安全要求。
应用系统通过调用虚拟密码机（VSM）提供的标准API函数来使用密码机的密码服务，密码机API与密码机之间的调用过程对上层应用透明，应用开发商能够快速的使用密码机所提供的安全功能。密码机API接口符合《GM/T 0018-2012 密码设备应用接口规范》标准接口规范，通用性好，能够平滑接入各种系统平台，满足大多数应用系统的要求，在应用系统安全方面具有广泛的应用前景。

产品功能

资源管理

支持租户灵活配置资源申请使用配额、资源释放与回收，实现多租户间密码资源的隔离与动态分配；支持按需弹性扩缩容，对过期资源可进行回收，保障高并发场景下的服务稳定性与响应效率。

宿主机管理

宿主机管理主要包括数据中心、宿主机信息、镜像管理、网络接口、存储域、存储卷管理。实现宿主机主机名称、主机IP、用户名等信息管理，实现设备内置服务器密码机的镜像管理，可以进行查看镜像名称、类型、路径等信息.

虚拟机管理

虚拟机管理包括：虚拟机管理、快照管理、虚拟机漂移管理等管理功能，最终实现虚拟密码机全生命周期的管理：虚拟密码机的创建、启动、停止、漂移等。支持虚拟密码机漂移功能，虚拟密码机的关键和敏感数据漂移过程中进行加密和完整性保护

监控管理

监控管理主要包括宿主机监控和虚拟机监控。宿主机监控可以监控宿主机和虚拟机VSM的CPU使用率、内存使用率、磁盘信息、磁盘I/O使用率、网络流量等运行状态。

数据加解密服务

支持SM1、SM4、SM9、3DES、AES等算法的数据加密和解密运算。

签名验签服务

支持SM2、SM9、RSA等算法的签名验签，根据需要使用内部存储的私钥或外部私钥进行数字签名，并支持签名验证。

数据摘要和完整性验证服务

支持SHA256、SM3等杂凑算法，支持对数据内容进行摘要运算（MAC）和完整性验证。

数字信封服务

支持基于RSA和SM2密码算法的数字信封，并支持由内部密钥保护到外部密钥保护的数字信封转换。

密钥备份和恢复

支持基于备份密钥保护下的密钥备份和恢复，保证系统的安全性和可靠性。在满足权限的情况下能够将服务器密码机内的密钥等重要信息加密后进行备份，并且可以恢复到服务器密码机中。

密钥管理

支持通过物理噪声源生成RSA、SM2和SM9密钥对和对称密钥等。设备内可存储SM2/RSA签名密钥对、加密密钥对及对称密钥，并且私钥部分受系统保护密钥加密保护。密钥加密后存储，能够保证密钥的安全性，攻击者不能获取密钥。

安全管理

采用“三权”分立机制，保障系统安全性。管理用户分为管理员、操作员、审计员三类角色，按照角色类型配置相应的权限列表。管理员权限包括用户管理、系统管理等；操作员权限包括虚拟密码机管理、策略管理、应用管理等；审计员权限包括日志查看、日志审计等。支持管理用户采用数字证书（USBKEY）进行身份鉴别。