文档

密码机类型

更新时间:

本文介绍加密服务支持的密码机类型及其接口规范、加密算法和性能参考等。

支持的密码机

加密服务支持的密码机类型包括金融数据密码机EVSM(Electronic Virtual Security Module)、通用数据密码机GVSM(General Virtual Security Module)、签名验证服务器SVSM(Sign Virtual Security Module)、通用密码机FIPS。密码机支持的加密算法、接口规范等信息如下所示。

EVSM

功能特性

说明

功能描述

EVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0045-2016金融数据密码机技术规范》要求,同时支持国密算法的金融业务应用,和其他各类行业IC卡的应用,可用于金融支付领域,确保金融数据安全。EVSM能帮助您实现密码的管理功能,包括PIN加密、PIN转加密、MAC产生和校验、通用数据加解密、签名验证以及密钥管理等。

接口规范

  • 符合的规范:PBOC 2.0、PBOC 3.0、EMV2000、GP、TSM、ESIM和交通一卡通

  • 支持的指令集:雷卡相关和金融IC卡相关

加密算法

  • 对称加密算法:支持SM1、SM4、DES、3DES、AES(支持128和256位密钥)

  • 非对称加密算法:支持SM2、RSA(2048~4096位密钥长度)、ECC(NISTP192/P256、SECP192/256、BRAINPOOLP256、FRP256、X25519)

  • 摘要算法:支持SM3、SHA1、SHA256、SHA384、SHA512

性能参考

  • 数据通讯协议:TCP/IP

  • 最大并发连接数:256

  • 测试数据长度32字节,性能如下:

    • SM1加密运算性能:600次/秒,响应时间:0.006秒

    • SM2密钥产生性能:4,000次/秒,响应时间:0.006秒

    • SM2签名运算性能:3,000次/秒,响应时间:0.008秒

    • SM2验签运算性能:2,000次/秒,响应时间:0.026秒

    • RSA2048密钥产生性能:6对/秒,响应时间:8.605秒

    • RSA2048公钥运算性能:3,500次/秒,响应时间:0.008秒

    • RSA2048私钥运算性能:400次/秒,响应时间:0.018秒

    • SM3摘要运算性能:5,000次/秒,响应时间:0.009秒

    • SM4加密运算性能:5,000次/秒,响应时间:0.003秒

    • AES128运算性能:7,000次/秒,响应时间:0.004秒

    • AES256运算性能:6,000次/秒,响应时间:0.004秒

GVSM

功能特性

说明

功能描述

GVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0030-2014服务器密码机技术规范》要求,提供国际通用的密码服务接口,支持国密算法的PKI(Public Key Infrastructure)业务应用。GVSM能帮助您独立或并行为多个应用实体提供密码服务和密钥管理服务。

接口规范

  • 国密GMT0018-2012密码设备应用接口规范

  • PKCS#11接口规范

  • SunJCE接口规范

  • Microsoft Cryptography API: Next Generation (CNG)

加密算法

  • 对称加密算法:支持SM1、SM4、DES、3DES、AES(支持128和256位密钥)

  • 非对称加密算法:支持SM2、RSA(2048~4096位密钥长度)、ECC(NIST P256、BRAINPOOLP256、FRP256)

  • 摘要算法:支持SM3、SHA1、SHA256、SHA384、SHA512

性能参考

  • 数据通讯协议:TCP/IP

  • 最大并发连接:256

  • 测试数据长度32字节,性能如下:

    • SM1加密运算性能:600次/秒,响应时间:0.006秒

    • SM2密钥产生性能:4,000次/秒,响应时间:0.006秒

    • SM2签名运算性能:3,000次/秒,响应时间:0.008秒

    • SM2验签运算性能:2,000次/秒,响应时间:0.026秒

    • RSA2048密钥产生性能:6对/秒,响应时间:8.605秒

    • RSA2048公钥运算性能:3,500次/秒,响应时间:0.008秒

    • RSA2048私钥运算性能:400次/秒,响应时间:0.018秒

    • SM3摘要运算性能:5,000次/秒,响应时间:0.009秒

    • SM4加密运算性能:5,000次/秒,响应时间:0.003秒

    • AES128运算性能:7,000次/秒,响应时间:0.004秒

    • AES256运算性能:6,000次/秒,响应时间:0.004秒

SVSM

功能特性

说明

功能描述

SVSM满足《GMT 0028-2014 密码模块安全技术要求》、《GM/T 0029-2014签名验签服务器技术规范》要求,提供基于PKI体系和数字证书运算功能,包括XML、二维码、条码、电子签章、时间戳等签名验签功能,以及证书解析、证书链验证功能。

您可以在以下场景中使用SVSM,保证业务信息的真实性、完整性和不可否认性。

  • 人民银行二代支付

  • 网联平台支付清算

  • 银联无卡支付业务

  • 海关跨境电商

接口规范

  • 支持PKCS#1签名验证

  • 支持PKCS#7签名验证

  • 支持PKCS#7数字信封

加密算法

  • 对称加密算法:支持SM1、SM4、DES、3DES、AES(支持128和256位密钥)

  • 非对称加密算法:支持SM2、RSA(2048~4096位密钥长度)、ECC

  • 摘要算法:支持SM3、SHA1、SHA256、SHA384、SHA512

性能参考

  • 数据通讯协议:TCP/IP、HTTP、HTTPS

  • 最大并发连接:1,000

  • 测试数据长度256字节,性能如下:

    • SM2 PKCS#7 Attached带原文的签名运算性能:2,100次/秒,响应时间:0.009秒

    • SM2 PKCS#7 Attached带原文的验签运算性能:1,100次/秒,响应时间:0.018秒

    • SM2 PKCS#7 Detached不带原文的签名运算性能:2,200次/秒,响应时间:0.009秒

    • SM2 PKCS#7 Detached不带原文的验签运算性能:1,200次/秒,响应时间:0.025秒

    • SM2 PKCS#1 Raw裸签名运算性能:2,300次/秒,响应时间:0.006秒

    • SM2 PKCS#1 Raw裸验签运算性能:1,300次/秒,响应时间:0.018秒

    • RSA2048 PKCS#7 Attached带原文的签名运算性能:350次/秒,响应时间:0.78秒

    • RSA2048 PKCS#7 Attached带原文的验签运算性能:1,500次/秒,响应时间:0.025秒

    • RSA2048 PKCS#7 Detached不带原文的签名运算性能:330次/秒,响应时间:0.018秒

    • RSA2048 PKCS#7 Detached不带原文的验签运算性能:1,800次/秒,响应时间:0.025秒

    • RSA2048 PKCS#1 Raw裸签名运算性能:400次/秒,响应时间:0.075秒

    • RSA2048 PKCS#1 Raw裸验签运算性能:2,300次/秒,响应时间:0.011秒

通用密码机

功能特性

说明

功能描述

通用密码机的硬件和固件满足FIPS 140-2的3级认证。用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。

接口规范

PKCS#11接口规范

加密算法

  • 对称加密算法:支持DES、3DES、AES(支持128、192和256位密钥)

  • 非对称加密算法:支持RSA(2048~4096位密钥长度)、ECC

  • 摘要算法:支持SHA1、SHA256、SHA384、SHA512

性能参考

  • RSA2048签名验签运算性能:1,100次/秒

  • EC P256点乘运算性能:315次/秒

  • AES256双工通讯加密速率:300兆/秒

  • RSA2048密钥产生性能:0.5对/秒

  • 随机数生成速率:20兆/秒

集群服务

加密服务提供集群服务,通过将处于同一地域不同可用区、用于相同业务的一组密码机实例关联起来,进行统一管理,为业务应用提供密码计算的高可用性、负载均衡以及横向扩展的能力。一个集群中包括一个主密码机实例与若干个非主密码机实例。集群内一个可用区的密码机实例使用同一子网。

安全审计

加密服务支持安全审计服务。通过安全审计服务,您可以将密码机实例的关键运行信息自动保存到对象存储OSS(Object Storage Service)中,并以特定的审计日志格式进行持久化储存,以满足合规和审计需求。审计日志中的信息包括但不限于:注册管理员、添加密钥、导出密钥等操作信息。

重要

目前安全审计服务为Beta版本,仅提供给GVSM和EVSM使用。