SJJ1601云密码机技术白皮书-201711

S J J1601云密码机

技术白皮书V2.5

北京三未信安科技发展有限公司

2017年11月

版权声明

欢迎使用三未信安密码产品

Copyright (c) 2017 sansec

版权所有

本文档由北京三未信安科技发展有限公司编写，仅用于用户和合作伙伴参阅。本公司依中华人民共和国著作权法，享有及保留一切著作之专属权力，任何公司和个人未经北京三未信安科技发展有限公司事先书面同意，不得擅自使用、复制、修改、仿制、传播本文档的内容。

本文档的内容将做不定期性的变动，且不会另行通知。更改的内容将不会补充到本文档，且会在发行新版本时予以更新。本公司不做任何明示或默许担保，其中包括本文档的内容的适售性或符合特定使用目的的默许担保。

北京三未信安科技发展有限公司

2017 年11 月

目录

版权声明 (1)

1概述 (4)

2产品特性 (5)

2.1产品特点 (5)

2.2产品优势 (5)

3产品功能 (6)

3.1产品架构 (6)

3.2主要功能 (6)

4技术参数 (8)

4.1硬件指标 (8)

4.2性能指标 (9)

5依据标准 (10)

6产品资质 (11)

7典型应用 (11)

7.1典型部署 (11)

7.2云端数据保护应用 (13)

7.3云端身份认证应用 (14)

7.4云端金融应用 (15)

7.5SSL通信加速及密钥保护应用 (16)

附录A 公司简介 (17)

附录B 联系方式 (18)

北京总部 (18)

上海分公司 (18)

济南研发中心 (18)

1概述

随着云计算技术的普及与发展，越来越多的传统应用开始向云端迁移，借助云计算特有的高可靠性、高伸缩性，实现数据集中管理及高效的资源利用，可有效降低应用系统维护成本，为用户提供更优质的服务。

但是，云端迁移同样也带来许多问题，信息安全问题尤其突出。当前，许多传统应用系统已通过集成密码机、签名服务器等硬件密码设备，为业务应用提供信息安全保障。当这些传统的密码设备随着应用系统向云端迁移时，会产生一系列问题，这些问题有来自于应用提供商的，也有来自于云服务提供商的。

来自应用提供商的问题：

●密码设备在云端托管，我的密钥是否安全？

●我能否进行远程密钥管理？

●远程管理是否安全？

●能否像云应用扩容一样，方便的实现密码设备扩容？

来自云服务提供商的问题：

●能否减轻密码设备托管维护的工作量？

●能否支持密码设备的远程密钥管理，并将管理权完全交给用户？

●能否提供集中的设备管理与监控功能？

●能否将密码服务做成云服务模式？

作为国内优秀的密码硬件方案提供商，北京三未信安科技发展有限公司为解决云环境下的密码产品应用问题，结合云计算和虚拟化技术，推出贴合需求的新型安全产品——SJJ1601云密码机。它解决了传统密码机在云环境下部署的一系列问题，采用了密钥管理与设备管理分离的核心理念，实现了云应用环境下网络管理员仅维护设备，用户自行管理密钥的工作模式。SJJ1601云密码机通过密码机集群与虚拟化技术的结合扩充密码运算能力，将密码运算能力进行细粒度划分，并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全。

SJJ1601云密码机可广泛应用于公有云、私有云、混合云、政务云、金融云等各种云环境，为应用提供商及云服务提供商提供管理安全、密钥安全、业务安全的云密码服务。

SJJ1601云密码机不仅可直接为云应用提供密码服务，还可为其他合作产品（如统一认证服务、云身份认证系统、云密钥管理系统、云密码服务平台、时间戳服务、电子签章服务等）

提供基于硬件的虚拟密码模块。

2产品特性

SJJ1601云密码机是针对云计算环境的特殊需求，设计开发的硬件密码产品。主要实现在一台物理实体机上，提供多台虚拟密码机（VSM），每台虚拟密码机均可对主机应用层数据加/解密、消息来源正确性验证、密钥管理等，最大限度的发挥硬件资源性能，为云环境下的计算机网络系统提供安全保密数据通信服务，防止网上的各种欺诈行为发生。

2.1产品特点

⏹密码机虚拟化：每台物理密码机可运行多个VSM虚拟密码机，每个VSM可对应用独立提

供密码服务，并且各个VSM之间密钥完全隔离。密码机的虚拟化增加了密码设备资源利用率，将密码服务进行了更细致的划分，可以为应用提供稳定、可靠的密码运算服务。

⏹安全的远程密钥管理：VSM密钥管理由用户自行操作，管理中心及VSM对用户身份采用

基于数字证书的强认证机制，满足认证权限的用户才能进行对应的密钥管理操作，同时保证了用户之间管理的隔离。

⏹安全的业务调用：应用主机到VSM之间的业务调用采用加密通道，保护用户应用数据经过

中间网络环节时的安全。

⏹贴合云应用环境部署需求：SJJ1601云密码机贴合当前虚拟化与云应用环境部署需求，解决

了密钥管理与设备管理权限分离、用户之间管理隔离问题，具备完善的技术手段和安全机制保证用户密钥安全。

2.2产品优势

⏹集中设备管理支持：由统一的管理中心进行设备集中管理和监控，管理员随时可掌握设备

的工作状态。与用户密钥管理权限分离，用户也可集中管理自身的密码设备密钥，保证用户密钥的安全性。

⏹多用户/应用支持：通过完善的审核控制和身份认证机制，支持多用户之间的设备及管理隔

离，同时仍支持多应用调用。

⏹应用兼容性支持：SJJ1601云密码机支持JCE、PKCS#11、CSP、国密SDF和SAF等多种标准

密码应用接口，可兼容传统服务器密码机、金融数据密码机及签名验证服务器产品应用接口，支持传统应用平滑迁移，满足传统应用迁入云环境后对密码服务的需求。