一、产品介绍

　　Trust钱包科技信息云服务器密码机是针对云计算环境的特殊需求设计开发的硬件密码产品。主要实现在一台物理密码机上，给予多台虚拟密码机，每台虚拟密码机均可为应用系统给予数据加/解密、完整性校验、真随机数生成、密钥生成和管理等，最大限度发挥硬件资源性能，为云环境下的应用系统给予基于国产密码技术的信息安全服务。

　　云服务器密码机支持SM1/SM6、SM2、SM3、SM4国密算法，及DES、3DES、AES、RSA1024、RSA2048、SHA1、SHA256、SHA512等国际算法。

　　二、功能特点

　　密码机虚拟化：每台物理密码机可运行4个虚拟密码机，每个虚拟密码机可对应用独立给予密码服务，并且各个虚拟密码机之间密钥完全隔离。

　　密钥生成：支持国密SM2算法密钥对的生成、支持RSA密钥对生成、支持对称密钥的生成。

　　密钥存储：默认存储64对SM2密钥对和64对RSA密钥对，支持存储1024个对称密钥，可根据客户需求扩展。

　　密钥销毁：支持销毁 SM2密钥对、RSA 密钥对和通信密钥，且销毁后顺利获得任何技术均无法恢复。

　　密钥更新：支持非对称密钥对和对称密钥的更新功能。

　　密钥备份和恢复：支持设备内部密钥以密文形式备份至设备外部存储，并采用门限秘密共享机制确保密钥备份安全，备份密钥可恢复到相同型号的其他加密卡设备中。

　　真随机数生成：采用经国密局批准使用的物理噪声源产生器生成真随机数，确保密钥安全。

　　非对称加解密：支持国密SM2椭圆曲线密码算法加解密，密钥长度为256位;支持RSA算法加解密。

　　对称加解密：支持国密SM1、SM4、SM6对称算法加解密;支持DES、3DES、AES、AES192、AES256等算法加解密。

　　完整性运算：支持国密SM3杂凑算法，支持SHA1算法确保数据完整性。

　　签名/签名验证：支持非对称算法的私钥对数据进行签名，使用对应的公钥进行签名验证。

　　身份识别：支持使用非对称算法的公钥进行用户身份鉴别。

　　开发支持：支持微软PKCS#11接口、JCE接口等标准接口;支持用户定制接口的开发;支持《密码设备应用接口规范》国家标准接口;支持多进程、多线程调用。

　　密钥管理：采用三级密钥管理体系，包括主密钥、密钥保护密钥及工作密钥，密钥均以密文形式存在密码卡内部，密钥管理安全。

　　权限管理：采用分级权限管理，分为操作员和管理员，管理员可生成3个或以上，最多5个，只有登录半数以上的管理员才能满足管理权限，进行各种管理操作。管理员和操作员的身份顺利获得USBKEY实现双因子认证。

　　系统监控：支持对设备CPU/内存的使用率、当前业务并发量、正在处理的业务操作等进行实时监控。

　　业务陆续在性：支持断链修复功能;支持多机并行及负载均衡。

　　日志审计：支持对服务器密码机的操作行为进行审计。

　　三、产品优势

　　紧密贴合云环境部署需求

　　云密码机的加密服务可按需配置，且可被多用户安全共享，解决了密钥管理与设备管理权限分离问题，具备完善的技术手段和安全机制保证用户密钥安全。

　　遵循国家密码管理局相关政策要求

　　采用硬件算法模块，严格按照国家服务器密码机相关规范设计。密钥使用经国家密码管理局批准的真随机数发生器产生，并以密文的方式存放在服务器密码机内部，确保设备自身的数据安全。

　　支持国密全系列密码算法

　　支持密钥长度256位的国密SM2椭圆曲线密码算法，支持国密SM1、SM4和SM6对称密码算法，支持国密SM3杂凑算法。

　　支持主流的操作系统

　　支持Windows、Linux、AIX、Solaris、FreeBSD等主流操作系统。

　　支持灵活多样的开发接口

　　支持国标接口，支持微软CSP、PKCS#11、JCE等国际标准开发接口，同时可根据用户需求定制接口。

　　安全易操作的管理方式

　　支持B/S模式管理，给予友好的管理界面。操作人员顺利获得智能密码钥匙实现身份认证，操作终端与加密机之间建立SSL安全通道，保证设备管理操作的机密性、真实性和不可否认性。

　　高可靠性的数据链路

　　在网络出现异常导致设备连接断开时，服务器密码机会不断尝试修复连接。当网络恢复正常时，业务数据会继续发送，不需要重新启动业务服务。

　　高安全性的管理机制

　　采用严格的三级密钥管理体系和权限分离的管理机制，确保密钥安全及设备自身的访问控制安全。

　　给予完善的升级服务，可以方便可靠的进行产品升级

　　四、应用案例