激光打印一体

一、项目简介

为支撑国家教育管理信息系统的电子身份认证、授权管理及责任认定等信息安全技术落地，教育部统筹建设了全国教育数字认证系统（简称教育CA系统），并通过了国家密码管理局组织的安全审查。全国教育CA系统采取“两级建设、五级应用”模式，中央级教育CA 系统现已建设完成并投入使用，各省教育CA系统须尽快建设。根据教育部信息中心下发的《关于教育CA省级服务系统部署有关事项的通知》（教信息中心[2017]61号）文件要求，为建设我省教育CA省级服务系统，现采购高速密码机、签名验证服务器、时间戳服务器设备、身份认证网关、统一认证门户及配套制证服务设备。

三、技术部分（分三部分描述）

(一)第一部分

设备名称功能

数量（台）

高速密码机用于证书注册管理系统、证书业务门户系统等2

签名验证服务器用于签名验签、数据存储、传输

加解密、数字信封等

2

时间戳服务器基于国家标准时间源，采用PKI技术，为应用系统提供精准、安

全和可信时间认证服务，用于签发可信时戳、验证时间戳有效性

2

身份认证网关用于CA用户的身份认证和访问控制2（1）硬件产品必须是全新、未使用过的，技术是先进的，设备是可靠的，质量是优质的。

（2）供应商所提供的设备产品应具有先进的体系架构及较好的前瞻性，并有后续研发系列及良好的发展前景，以保证产品的连续性。

（3）供应商所提供的设备产品应具有高可靠性、高可管理性，所有主要部件采用冗余设计，确保无任何单点故障。

（4）供应商所提供的设备产品应具备良好的开放性和兼容性，可与主流厂商软硬件集成。对于本项目，与现有系统的整合、兼容是保证项目成功实施的关键所在。

*（5）响应产品（高速密码机）必须与教育部教育CA系统所采用的密码机型号保持一致，确保教育CA部省两级系统互联互通提供认证服务，否则视为不符合。

*（5）响应产品（签名验证服务器、时间戳服务器、身份认证网关）必须为《关于教育CA 证书应用支撑设备有关测试结果的通报》（教信息中心〔2017〕80号）的附件《测试合格教育CA证书应用支撑设备目录》中指定型号。否则视为不符合。

高速密码机

类目项目及技术参数要求

规格要求

标准机架式硬件设备

不少于2个100/1000M自适应网口

性能要求SM2算法：

加密速度：≥1300次/秒；解密速度：≥2200次/秒；签名速度：≥2300次/秒；验签速度：≥1500次/秒；生成密钥：≥2500次/秒；

1024位RSA算法：

密钥对生成速度：≥65对/秒

签名速度：≥6000次/秒

验证速度：≥62000次/秒

2048位RSA算法：

密钥对生成速度：≥9对/秒

签名速度：≥330次/秒

验证速度：≥12000次/秒

SM1/SM6算法加解密速度：≥900Mbps

SM4算法加解密速度：≥900Mbps

SM3杂凑算法：≥800Mbps

随机数生成：≥2.5Mbps

密钥存储能力SM2签名密钥对：≥500对SM2加密密钥对：≥500对数据加密密钥：≥1024个

功能要求非对称算法加/解密：

能够实现1024位、2048位RSA算法的公钥加密和私钥解密功能；

能够实现256位SM2算法的公钥加密和私钥解密功能；

数字签名/验证功能：

提供基于RSA、SM2算法的数字签名和认证功能，可用于证书生成和验证、身份认证等。

对称密钥加/解密：

提供国家标准的SM1算法和SM4算法，用于数据的加解密；

提供国际算法的AES和3DES算法，用于数据的加解密。

随机数生成：

采用国家密码管理局批准的WNG-8硬件物理噪声源生成真正随机数，随机数质量高。

密钥生成与管理：

提供1024位、2048位RSA密钥生成算法及密钥备份和恢复。提供256位SM2密钥生成算法及密钥备份和恢复。有非对称密钥对导入、导出功能，便于密钥对的备份、恢复及多机并行工作时各密码机密钥对的一致。在密钥导入、导出时，私钥是加密的。

集群支持及性能扩展

支持多线程、多任务和性能扩展，多机热备和负载均衡，可多机扩展并行工作。提供API接口

支持多种API接口，服务器密码机基本接口FMAPI以及标准的CSP、PKCS#11、JCE 等接口。同时可根据用户需求定制需求。

支持windows xp/2000/2003/vista、Linux等多种操作系统。

管理要求采用分级权限管理，管理人员身份凭证信息安全存储在USBKEY中。

采用WEB管理方式，并支持SSL协议确保通信的机密性。

支持用户证书数据存储。

支持用户自定义数据存储。

支持服务器密码机运行状态监控。

支持指定算法类型、密钥号等信息，自动生成P10申请，以文件方式导出。

支持P12证书生成、导入功能。

支持密钥批处理功能，通过设置密钥号起止位置等信息，批量生成或删除密钥对。

支持单个公钥导出功能。

支持keystore的配置和管理功能。

支持设备网口配置管理功能，可将网口设置配仅用于管理、仅用于提供服务或兼容三种状态。

产品资质具有国家密码管理局颁《商用密码产品型号证书》签名验证服务器

类目项目及技术参数要求

性能要求*数字签名:不小于700次/秒*签名验证:不小于3000次/秒*制作信封:不小于2500次/秒*解密信封:不小于800次/秒

规格要求

独立硬件架构

不少于2个千兆网口

功能要求支持M1、SM2、SM3、SM4等算法

客户端支持windows、国产中标麒麟等主流操作系统，支持IE、火狐等主流浏览器支持符合X509v3标准格式的数字证书

硬件接口支持PKCS#11标准

支持PKCS#10证书申请,支持私钥证书导入

支持配置多信任CA签发的根证书，可验证不同CA机构签发的符合PKCS#7标准的签名、数字信封结果

可以制作数字签名，支持数据原文制作数字签名，签名结构符合PKCS#7标准

可以验证数字签名，支持验证标准的PKCS#7签名结果，验证签名过程中，对制作签名证书进行完整验证，包括信任域、有效期、证书状态

提供PKCS#1/PKCS#7Attach/PKCS#7Detach等多种格式的数字签名和验证功能提供文件数字签名和验证功能

提供数字信封加密和解密功能

提供CRL的下载功能和证书有效性验证功能

提供服务器证书管理功能

支持通过管理员证书管理登录

产品管理通信过程必须加密处理

产品对当前设备的配置可以进行备份，配置的备份文件可以进行恢复