功能特性

支持的密码机

加密服务支持的密码机类型包括金融数据密码机EVSM（Electronic Virtual Security Module）、通用数据密码机GVSM（General Virtual Security Module）和签名验证服务器SVSM（Sign Virtual Security Module）。密码机支持的加密算法、接口规范等信息如下所示。

EVSM

• 功能描述

  EVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0045-2016金融数据密码机技术规范》要求，同时支持国密算法的金融业务应用，和其他各类行业IC卡的应用，可用于金融支付领域，确保金融数据安全。EVSM能帮助您实现密码的管理功能，包括PIN加密、PIN转加密、MAC产生和校验、通用数据加解密、签名验证以及密钥管理等。

• 接口规范
  • 符合的规范：PBOC 2.0、PBOC 3.0、EMV2000、GP、TSM、ESIM和交通一卡通
  • 支持的指令集：雷卡相关和金融IC卡相关
• 加密算法
  • 对称加密算法：支持SM1、SM4、DES、3DES、AES（支持128和256位密钥）
  • 非对称加密算法：支持SM2、RSA（密钥长度1024~2048）、ECC（NISTP192/P256、SECP192/256、BRAINPOOLP256、FRP256、X25519）
  • 摘要算法：支持SM3、SHA1、SHA256、SHA384
• 性能参考
  • 数据通讯协议：TCP/IP
  • 最大并发连接数：256
  • 测试数据长度32字节，性能如下：
    • SM1加密运算性能：600次/秒，响应时间：0.006秒
    • SM2密钥产生性能：4,000次/秒，响应时间：0.006秒
    • SM2签名运算性能：3,000次/秒，响应时间：0.008秒
    • SM2验签运算性能：2,000次/秒，响应时间：0.026秒
    • RSA2048密钥产生性能：6对/秒，响应时间：8.605秒
    • RSA2048公钥运算性能：3,500次/秒，响应时间：0.008秒
    • RSA2048私钥运算性能：400次/秒，响应时间：0.018秒
    • SM3摘要运算性能：5,000次/秒，响应时间：0.009秒
    • SM4加密运算性能：5,000次/秒，响应时间：0.003秒
    • AES128运算性能：7,000次/秒，响应时间：0.004秒
    • AES256运算性能：6,000次/秒，响应时间：0.004秒

GVSM

• 功能描述

  GVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0030-2014服务器密码机技术规范》要求，提供国际通用的密码服务接口，支持国密算法的PKI（Public Key Infrastructure）业务应用。GVSM能帮助您独立或并行为多个应用实体提供密码服务和密钥管理服务。

• 接口规范
  • 国密GMT0018-2012密码设备应用接口规范
  • PKCS#11接口规范
  • SunJCE接口规范
• 加密算法
  • 对称加密算法：支持SM1、SM4、DES、3DES、AES（支持128和256位密钥）
  • 非对称加密算法：支持SM2、RSA（密钥长度1024~4096）、ECC（NIST P256、BRAINPOOLP256、FRP256）
  • 摘要算法：支持SM3、SHA1、SHA256、SHA384
• 性能参考
  • 数据通讯协议：TCP/IP
  • 最大并发连接：64
  • 测试数据长度32字节，性能如下：
    • SM1加密运算性能：600次/秒，响应时间：0.006秒
    • SM2密钥产生性能：4,000次/秒，响应时间：0.006秒
    • SM2签名运算性能：3,000次/秒，响应时间：0.008秒
    • SM2验签运算性能：2,000次/秒，响应时间：0.026秒
    • RSA2048密钥产生性能：6对/秒，响应时间：8.605秒
    • RSA2048公钥运算性能：3,500次/秒，响应时间：0.008秒
    • RSA2048私钥运算性能：400次/秒，响应时间：0.018秒
    • SM3摘要运算性能：5,000次/秒，响应时间：0.009秒
    • SM4加密运算性能：5,000次/秒，响应时间：0.003秒
    • AES128运算性能：7,000次/秒，响应时间：0.004秒
    • AES256运算性能：6,000次/秒，响应时间：0.004秒

SVSM

• 功能描述

  SVSM满足《GMT 0028-2014 密码模块安全技术要求》、《GM/T 0029-2014签名验签服务器技术规范》要求，提供基于PKI体系和数字证书运算功能，包括XML、二维码、条码、电子签章、时间戳等签名验签功能和证书解析、证书链验证功能。

  您可以在以下场景中使用SVSM，保证业务信息的真实性、完整性和不可否认性。

  • 人民银行二代支付
  • 网联平台支付清算
  • 银联无卡支付业务
  • 海关跨境电商
• 接口规范
  • 支持PKCS#1签名验证
  • 支持PKCS#7签名验证
  • 支持PKCS#7数字信封
• 加密算法
  • 对称加密算法：支持SM1、SM4、DES、3DES、AES（支持128和256位密钥）
  • 非对称加密算法：支持SM2、RSA（密钥长度1024~4096）、ECC
  • 摘要算法：支持SM3、SHA1、SHA256、SHA384
• 性能参考
  • 数据通讯协议：TCP/IP、HTTP、HTTPS
  • 最大并发连接：1,000
  • 测试数据长度256字节，性能如下：
    • SM2 PKCS#7 Attached带原文的签名运算性能：2,100次/秒，响应时间：0.009秒
    • SM2 PKCS#7 Attached带原文的验签运算性能：1,100次/秒，响应时间：0.018秒
    • SM2 PKCS#7 Detached不带原文的签名运算性能：2,200次/秒，响应时间：0.009秒
    • SM2 PKCS#7 Detached不带原文的验签运算性能：1,200次/秒，响应时间：0.025秒
    • SM2 PKCS#1 Raw裸签名运算性能：2,300次/秒，响应时间：0.006秒
    • SM2 PKCS#1 Raw裸验签运算性能：1,300次/秒，响应时间：0.018秒
    • RSA2048 PKCS#7 Attached带原文的签名运算性能：350次/秒，响应时间：0.78秒
    • RSA2048 PKCS#7 Attached带原文的验签运算性能：1,500次/秒，响应时间：0.025秒
    • RSA2048 PKCS#7 Detached不带原文的签名运算性能：330次/秒，响应时间：0.018秒
    • RSA2048 PKCS#7 Detached不带原文的验签运算性能：1,800次/秒，响应时间：0.025秒
    • RSA2048 PKCS#1 Raw裸签名运算性能：400次/秒，响应时间：0.075秒
    • RSA2048 PKCS#1 Raw裸验签运算性能：2,300次/秒，响应时间：0.011秒

集群服务

加密服务提供集群服务，通过将处于同一地域不同可用区、用于相同业务的一组密码机实例关联起来，进行统一管理，为业务应用提供密码计算的高可用性、负载均衡以及横向扩展的能力。一个集群中包括一个主密码机实例与若干个非主密码机实例。集群内一个可用区的密码机实例使用同一子网。您可以通过同步集群的操作，将主密码机实例的数据、状态同步到其他非主密码机实例，包括但不限于密钥、应用许可。

安全审计

加密服务支持安全审计服务。通过安全审计服务，您可以将密码机实例的关键运行信息自动保存到对象存储OSS（Object Storage Service）中，并以特定的审计日志格式进行持久化储存，以满足合规和审计需求。审计日志中的信息包括但不限于：注册管理员、添加密钥、导出密钥等操作信息。