SJJ1962金融数据密码机是应用层节点数据密码机,是一个物理安全实体,是金融业务系统的安全支撑设备,能够实时地为金融业务应用系统提供密钥管理、消息验证、数据加密、签名产生和验证等密码服务功能,保证金融业务数据的机密性、完整性和不可抵赖性。金融数据密码机可应用于银行、交通、保险、能源等重要领域。这些领域的核心业务系统、密钥管理系统和数据准备系统中均可使用。
包括管理员身份认证、管理员权限划分、密码机参数配置、日志管理、口令修改。
包括对称密钥和非对称密钥的生成、密钥安全存储、密钥导出/导入、密钥状态查看、密钥销毁等功能。
支持密钥产生、导入导出、合成ZMK、LMK加密密钥、生成密钥校验值、PIN的产生、PIN的验证、PIN的转加密及消息鉴别码MAC运算、密码信封打印等功能。
支持子密钥分散、ARQC/ARPC产生、脚本加解密、脚本MAC运算、数据转加密、RSA(2048位)密钥产生、RSA(2048位)公私钥对运算及RSA(2048位)签名验签等功能。
支持SM2密钥对产生、SM2加密/解密、SM2签名/验签、产生消息摘要及数据加解密等功能。
包括开机自检和实时监控功能。
密码机采用安全芯片与低功耗静态存储器相结合的方式实现密钥的安全存储。外部电源断开时,低功耗静态存储器改由内部锂电池供电,以维持密钥不丢失。需要销毁密钥时,用密钥销毁钥匙将密钥销毁锁旋转到销毁位置,密钥销毁电路会自动清除低功耗静态存储器中的所有密钥。
密码机采用的是定制的Linux操作系统。操作系统是从源代码开始构建的,构建过程遵循了最小功能集原则,去除了所有不需要的组件、协议和服务,只保留了必须的功能。定制的操作系统具有很高的运行效率和安全性,确保了信息的安全可靠和高效运作。
密码机采用PCI-E接口与FPGA算法卡连接实现高速的国产密码算法。FPGA芯片主要实现PCI-E控制器、密码机与各个算法芯片的数据转发、随机数采集及缓存等功能。这种方式实现国密算法具有高可靠性、低成本、高速度、微功耗以及保密性强等优点。
在硬件层面,利用最新的工艺和电路技术以及关键的电路和体系结构创新来降低功耗,同时实现最佳性能,例如采用低功耗的嵌入式处理和便于低功耗设计的器件,降低系统的静态功耗;在软件层面,在了解每条指令所产生的功耗基础上,选择正确的编译方法,通过编译优化和指令排序等方法降低动态功耗。
该密码机是基于本单位自行研制的主板和算法卡,具有集成度高、性能高、处理能力强、可靠性高、功耗低、功能强劲等特点。这种高集成度设计有效减少了组成系统的元器件和连线数量,提高了系统的稳定性和可靠性。
支持密码机群的多机并行工作、负载平衡和互为热备份,以适应系统性能的扩展,提高密码机群的可靠性和可用性。构成密码机集群时,通过采用集成在密码机API上的负载均衡技术,可以实现密码机自动负载动态均衡,使得密码机集群内每一台密码机都能得到充分利用,能够发挥最佳的使用效率。
| 规格 | 参数 |
|---|---|
| 支持的规范及标准 | GM/T 0005-2012随机性检测规范
GM/T 0028-2014密码模块安全技术需求 GM/T 0039-2015密码模块安全检测需求 GM/T 0045-2016金融数据密码机技术规范 JR/T 0025-2013中国金融集成电路(IC)卡规范 |
| 支持的密码算法 |
对称算法:SM1、SM4、DES/3DES、AES
非对称算法:SM2、RSA2048 杂凑算法:SM3、SHA-1、SHA[256/384/512]。 |
| 系统配置 |
处理器:酷睿i5处理器
内存:4GB/DDR3 硬盘:4GB SATADOM工业固态硬盘 操作系统:Linux 64bit 密码卡:支持SM1、SM2、SM3、SM4密码运算以及真随机数产生 |
| 外部接口
|
个10/100/1000M自适应以太网接口,1个串行接口, 1个打印口,3个USB2.0接口,1个VGA接口 |
| 电源 | 双模块冗余电源,最大功耗:85W |
分布式部署方式
主要是针对较为简单的应用系统而使用的部署方式。一般采用两到三台密码机为一个应用系统提供密码服务。正常的交易使用单台密码机即可完成处理任务,但为了保证系统的可用性,一般多配备一到两台密码机进行热备,当一台密码机出现故障,立即切换到处于备份状态的密码机进行处理,保证业务系统的正常运行。 此种分布式部署方式每种应用都配置一台或多台密码机,简单、快捷,能够快速地构建保证金融交易系统安全的防护体系。
集中式部署方式
针对复杂的银行交易系统而采用的部署方式,即多台密码机共同为多个应用系统提供密码服务。一方面,目前银行的业务种类繁多,如网上银行、移动支付、银行卡业务、理财业务等等。另一方面,此款密码机性能高、功能强,完全可以同时为多个应用系统提供密码服务。因此可以采用多机-多应用方式进行部署,达到资源共享,降低成本,同时提高密码机利用效率和提高系统可用性的目的。 为了简化密码机的调用和管理,可以增加密码服务平台来进行密码机的调用和管理,实现多机热备、负载均衡、密钥同步、设备状态查询等功能,同时实现密码设备、密钥、涉密数据的集中管理。