三未信安服務(wù)器密碼機-技術(shù)白皮書v3.0(201301)

1、三未信安服務(wù)器密碼機技術(shù)白皮書SANSEC HSM SJJ0930/SJJ1012 White PaperVersion 3.0北京三未信安科技發(fā)展有限公司2013年1月1. 產(chǎn)品簡介三未信安服務(wù)器密碼機（SJJ0930/SJJ10）是由北京三未信安科技發(fā)展有限 公司自主研發(fā)的高性能密碼設(shè)備，能夠適用于各類密碼安全應(yīng)用系統(tǒng)進(jìn)行高速 的、多任務(wù)并行處理的密碼運算，可以滿足應(yīng)用系統(tǒng)數(shù)據(jù)的簽名/驗證、加密/解密的要求，保證傳輸信息的機密性、完整性和有效性，同時提供安全、完善的密 鑰管理機制。密碼應(yīng)用系統(tǒng)通過調(diào)用密碼機提供的標(biāo)準(zhǔn) API函數(shù)來使用密碼機的服務(wù)，密 碼機API與密碼機之間的調(diào)用過程對上層

2、應(yīng)用透明，應(yīng)用開發(fā)商能夠快速的使用 密碼機所提供的安全功能。密碼機API接口符合公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體 系 密碼設(shè)備應(yīng)用接口規(guī)范（試行）標(biāo)準(zhǔn)接口規(guī)范，通用性好，能夠平滑接入各 種系統(tǒng)平臺，滿足大多數(shù)應(yīng)用系統(tǒng)的要求，在應(yīng)用系統(tǒng)安全方面具有廣泛的應(yīng)用 前景。2. 功能描述密鑰生成與管理：可以生成 10242048/30724096位RSA密鑰對和256位ECC 密鑰對僅SJJ1012型號支持ECC算法，采用由國家密碼管理局批準(zhǔn)使用的物理噪聲源產(chǎn)生器芯片生成的隨 機數(shù)。密鑰的安全存儲：設(shè)備內(nèi)可存儲 50對RSA密鑰對（包括簽名密鑰對和加密 密鑰對）和50對ECC密鑰對同上,并且私鑰部分受系統(tǒng)保護

3、密鑰的加密保護。1234數(shù)據(jù)加密和解密：支持SSF33算法 SSF33對稱算法為可選算法、SM1算法、SM4算法部分型號不支持SM4算法、AES算法、3DES 算法的ECB和CBC模式的數(shù)據(jù)加密和解密運算。消息鑒別碼的產(chǎn)生和驗證：支持基于 SSF33算法5、SM1算法、SM4算法6、AES算法、3DES算法的MAC產(chǎn)生及驗證。數(shù)據(jù)摘要的產(chǎn)生和驗證：支持 SM3SSF33對稱算法為可選算法 部分型號不支持SM4算法 同上、SHA-1、SHA224 SHA256 SHA384 SHA512等雜湊算法。數(shù)字簽名的產(chǎn)生和驗證：可以根據(jù)需要利用內(nèi)部存儲的 RSA/ECC私鑰或外部 導(dǎo)入RSA/EC（私鑰

4、對請求數(shù)據(jù)進(jìn)行數(shù)字簽名。數(shù)字信封功能：支持基于RSA/ECC密碼算法的數(shù)字信封功能，并支持由內(nèi)部 密鑰保護到外部密鑰保護的數(shù)字信封轉(zhuǎn)換功能。物理隨機數(shù)的產(chǎn)生：采用由國家密碼管理局批準(zhǔn)使用的物理噪聲源產(chǎn)生器芯 片生成的隨機數(shù)。用戶訪問權(quán)限控制：具有用戶管理功能，提高了密碼設(shè)備自身的安全性。密鑰備份及恢復(fù)：支持基于主密鑰保護下的密鑰的備份和恢復(fù)功能，保證了 安全應(yīng)用系統(tǒng)的安全性和可靠性。3. 產(chǎn)品特點及關(guān)鍵技術(shù)全面支持國產(chǎn)算法：SSF33對稱算法SSF33對稱算法為可選算法、SM1對稱算法、SM2非對稱算法僅SJJ1012型號支持SM2非對稱算法、 SM3雜湊算法僅SJJ1012型號支持SM3雜湊

5、算法、SM4對稱算法部分型號不支持SM4算法,具有更好的可擴展性。支持多種操作系統(tǒng)：應(yīng)用服務(wù)器與密碼機之間采用 TCP/IP協(xié)議進(jìn)行通信，可 支持多種主流的操作系統(tǒng)，如 MS Windows系列，Linux系列，Solaris、AIX、 HP-UX等 Unix操作系統(tǒng)。9101112僅SJJ1012型號支持SM3雜湊算法同上支持標(biāo)準(zhǔn)接口：密碼機API接口符合公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 密碼 設(shè)備應(yīng)用接口規(guī)范（試行）標(biāo)準(zhǔn)接口規(guī)范，通用性好。同時支持 PKCS#11 MS-CSP JCE等國際標(biāo)準(zhǔn)接口。三層密鑰結(jié)構(gòu)：采用“系統(tǒng)保護密鑰 -用戶密鑰（內(nèi)部密鑰對或 KEK） -會話 密鑰”的三層密鑰

6、保護結(jié)構(gòu)，保證用戶密鑰及應(yīng)用系統(tǒng)的安全性。 安全密鑰存儲：保證關(guān)鍵密鑰在任何時候不以明文形式出現(xiàn)在設(shè)備外，密鑰 備份文件也受到主密鑰的保護。支持連接密碼及白名單：通過連接密碼和白名單的支持，實現(xiàn)了密碼機對應(yīng) 用服務(wù)器的授權(quán)認(rèn)證，進(jìn)一步提高了系統(tǒng)的安全性。密鑰使用授權(quán)：每對用戶密鑰對對應(yīng)一個授權(quán)保護碼，以保證不同密碼應(yīng)用 系統(tǒng)調(diào)用同一臺密碼設(shè)備時的密鑰安全性。4. 技術(shù)指標(biāo)SJJ0930R2000SJJ0930R5000SJJ1012RE2000SJJ1012RE5000SJJ1012RE7000SJJ1012RE100001024位RSA密鑰對生成1對/秒1對/秒1對/秒1對/秒30對/秒30

7、對/秒1024位RSA簽名速度2000次/秒4700次/秒2000次/秒4700次/秒5200次/秒8900 次/秒1024位RSA驗證速度5000次/秒20000次/秒5000次/秒20000次/秒20000次/秒27000次/秒2048位RSA密鑰對生成5秒/對5秒/對5秒/對5秒/對5對/秒5對/秒2048位RSA簽名速度20次/秒350次/秒20次/秒350次/秒350次/秒350次/秒2048位RSA驗證速度500次/秒10000次/秒500次/秒10000次/秒10000次/秒10000次/秒256位SM2簽名速度不支持不支持700次/秒700次/秒2400次/秒4400次/秒25

8、6位SM2驗證速度不支持不支持180次/秒180次/秒1500次/秒2800 次/秒SM1算法加密/解密速度60Mbps110Mbps60Mbps110Mbps110Mbps210MbpsSM4算法60Mbps110Mbps60Mbps110Mbps120Mbps210MbpsAES算法加密/解密速度60Mbps110Mbps60Mbps110Mbps120Mbps210Mbps3DES算法加密/解密速度25Mbps110Mbps25Mbps110Mbps120Mbps180MbpsSM3雜湊算法不支持不支持35Mbps65Mbps65Mbps120Mbps規(guī)格1U2U1U2U2U2U液晶屏無

9、有無有有有外形尺寸（寬x深x高）447x450x43mm447x500x86mm447x450x43mm447x450x86mm447x450x86mm447x450x86mm重量11Kg14Kg11Kg14Kg14Kg15Kg工作電源220V, 50Hz220V, 50Hz220V, 50Hz220V, 50Hz220V, 50Hz220V, 50Hz冗余（可選）冗余（可選）冗余（可選）冗余功耗150W280W150W300W300W400W網(wǎng)絡(luò)接口RJ-45RJ-45RJ-45RJ-45RJ-45RJ-4510/100/1000Mb10/100/1000Mb10/100/1000Mb10/100/1000Mb10/100/1000Mb10/100/1000Mbx2x2x2x2工作協(xié)議TCP/IPTCP/IPTCP/IPTCP/IPTCP/IPTCP/IP、七 » 1=9 讀卜器MTBF30000小時50000小時30000小時50000小時50000小時50000小時工作溫度10°C -60C10C -60 C10C -60C10C -60C10C -60 C10