功能特性
本文介绍加密服务支持的密码机类型及其接口规范、加密算法和性能参考等。
支持的密码机
加密服务支持的密码机类型包括金融数据密码机EVSM(Electronic Virtual Security Module)、通用数据密码机GVSM(General Virtual Security Module)和签名验证服务器SVSM(Sign Virtual Security Module)。密码机支持的加密算法、接口规范等信息如下所示。
EVSM
- 接口规范
- 符合的规范:PBOC 2.0、PBOC 3.0、EMV2000、GP、TSM、ESIM和交通一卡通
- 支持的指令集:雷卡相关和金融IC卡相关
- 加密算法
- 对称加密算法:支持SM1、SM4、DES、3DES、AES(支持128和256位密钥)
- 非对称加密算法:支持SM2、RSA(密钥长度1024~2048)、ECC(NISTP192/P256、SECP192/256、BRAINPOOLP256、FRP256、X25519)
- 摘要算法:支持SM3、SHA1、SHA256、SHA384
- 性能参考
- 数据通讯协议:TCP/IP
- 最大并发连接数:256
- 测试数据长度32字节,性能如下:
- SM1加密运算性能:600次/秒,响应时间:0.006秒
- SM2密钥产生性能:4,000次/秒,响应时间:0.006秒
- SM2签名运算性能:3,000次/秒,响应时间:0.008秒
- SM2验签运算性能:2,000次/秒,响应时间:0.026秒
- RSA2048密钥产生性能:6对/秒,响应时间:8.605秒
- RSA2048公钥运算性能:3,500次/秒,响应时间:0.008秒
- RSA2048私钥运算性能:400次/秒,响应时间:0.018秒
- SM3摘要运算性能:5,000次/秒,响应时间:0.009秒
- SM4加密运算性能:5,000次/秒,响应时间:0.003秒
- AES128运算性能:7,000次/秒,响应时间:0.004秒
- AES256运算性能:6,000次/秒,响应时间:0.004秒
GVSM
- 接口规范
- 国密GMT0018-2012密码设备应用接口规范
- PKCS#11接口规范
- SunJCE接口规范
- 加密算法
- 对称加密算法:支持SM1、SM4、DES、3DES、AES(支持128和256位密钥)
- 非对称加密算法:支持SM2、RSA(密钥长度1024~4096)、ECC(NIST P256、BRAINPOOLP256、FRP256)
- 摘要算法:支持SM3、SHA1、SHA256、SHA384
- 性能参考
- 数据通讯协议:TCP/IP
- 最大并发连接:64
- 测试数据长度32字节,性能如下:
- SM1加密运算性能:600次/秒,响应时间:0.006秒
- SM2密钥产生性能:4,000次/秒,响应时间:0.006秒
- SM2签名运算性能:3,000次/秒,响应时间:0.008秒
- SM2验签运算性能:2,000次/秒,响应时间:0.026秒
- RSA2048密钥产生性能:6对/秒,响应时间:8.605秒
- RSA2048公钥运算性能:3,500次/秒,响应时间:0.008秒
- RSA2048私钥运算性能:400次/秒,响应时间:0.018秒
- SM3摘要运算性能:5,000次/秒,响应时间:0.009秒
- SM4加密运算性能:5,000次/秒,响应时间:0.003秒
- AES128运算性能:7,000次/秒,响应时间:0.004秒
- AES256运算性能:6,000次/秒,响应时间:0.004秒
SVSM
- 接口规范
- 支持PKCS#1签名验证
- 支持PKCS#7签名验证
- 支持PKCS#7数字信封
- 加密算法
- 对称加密算法:支持SM1、SM4、DES、3DES、AES(支持128和256位密钥)
- 非对称加密算法:支持SM2、RSA(密钥长度1024~4096)、ECC
- 摘要算法:支持SM3、SHA1、SHA256、SHA384
- 性能参考
- 数据通讯协议:TCP/IP、HTTP、HTTPS
- 最大并发连接:1,000
- 测试数据长度256字节,性能如下:
- SM2 PKCS#7 Attached带原文的签名运算性能:2,100次/秒,响应时间:0.009秒
- SM2 PKCS#7 Attached带原文的验签运算性能:1,100次/秒,响应时间:0.018秒
- SM2 PKCS#7 Detached不带原文的签名运算性能:2,200次/秒,响应时间:0.009秒
- SM2 PKCS#7 Detached不带原文的验签运算性能:1,200次/秒,响应时间:0.025秒
- SM2 PKCS#1 Raw裸签名运算性能:2,300次/秒,响应时间:0.006秒
- SM2 PKCS#1 Raw裸验签运算性能:1,300次/秒,响应时间:0.018秒
- RSA2048 PKCS#7 Attached带原文的签名运算性能:350次/秒,响应时间:0.78秒
- RSA2048 PKCS#7 Attached带原文的验签运算性能:1,500次/秒,响应时间:0.025秒
- RSA2048 PKCS#7 Detached不带原文的签名运算性能:330次/秒,响应时间:0.018秒
- RSA2048 PKCS#7 Detached不带原文的验签运算性能:1,800次/秒,响应时间:0.025秒
- RSA2048 PKCS#1 Raw裸签名运算性能:400次/秒,响应时间:0.075秒
- RSA2048 PKCS#1 Raw裸验签运算性能:2,300次/秒,响应时间:0.011秒
集群服务
加密服务提供集群服务,通过将处于同一地域不同可用区、用于相同业务的一组密码机实例关联起来,进行统一管理,为业务应用提供密码计算的高可用性、负载均衡以及横向扩展的能力。一个集群中包括一个主密码机实例与若干个非主密码机实例。集群内一个可用区的密码机实例使用同一子网。您可以通过同步集群的操作,将主密码机实例的数据、状态同步到其他非主密码机实例,包括但不限于密钥、应用许可。
安全审计
加密服务支持安全审计服务。通过安全审计服务,您可以将密码机实例的关键运行信息自动保存到对象存储OSS(Object Storage Service)中,并以特定的审计日志格式进行持久化储存,以满足合规和审计需求。审计日志中的信息包括但不限于:注册管理员、添加密钥、导出密钥等操作信息。
重要 目前安全审计服务为Beta版本,仅提供给GVSM和EVSM使用。