三未信安服務器密碼機-技術白皮書v3.0(201301)

1、三未信安服務器密碼機技術白皮書SANSEC HSM SJJ0930/SJJ1012 White PaperVersion 3.0北京三未信安科技發(fā)展有限公司2013年1月1. 產品簡介三未信安服務器密碼機（SJJ0930/SJJ10）是由北京三未信安科技發(fā)展有限 公司自主研發(fā)的高性能密碼設備，能夠適用于各類密碼安全應用系統(tǒng)進行高速 的、多任務并行處理的密碼運算，可以滿足應用系統(tǒng)數(shù)據(jù)的簽名/驗證、加密/解密的要求，保證傳輸信息的機密性、完整性和有效性，同時提供安全、完善的密 鑰管理機制。密碼應用系統(tǒng)通過調用密碼機提供的標準 API函數(shù)來使用密碼機的服務，密 碼機API與密碼機之間的調用過程對上層

2、應用透明，應用開發(fā)商能夠快速的使用 密碼機所提供的安全功能。密碼機API接口符合公鑰密碼基礎設施應用技術體 系 密碼設備應用接口規(guī)范（試行）標準接口規(guī)范，通用性好，能夠平滑接入各 種系統(tǒng)平臺，滿足大多數(shù)應用系統(tǒng)的要求，在應用系統(tǒng)安全方面具有廣泛的應用 前景。2. 功能描述密鑰生成與管理：可以生成 10242048/30724096位RSA密鑰對和256位ECC 密鑰對僅SJJ1012型號支持ECC算法，采用由國家密碼管理局批準使用的物理噪聲源產生器芯片生成的隨 機數(shù)。密鑰的安全存儲：設備內可存儲 50對RSA密鑰對（包括簽名密鑰對和加密 密鑰對）和50對ECC密鑰對同上,并且私鑰部分受系統(tǒng)保護

3、密鑰的加密保護。1234數(shù)據(jù)加密和解密：支持SSF33算法 SSF33對稱算法為可選算法、SM1算法、SM4算法部分型號不支持SM4算法、AES算法、3DES 算法的ECB和CBC模式的數(shù)據(jù)加密和解密運算。消息鑒別碼的產生和驗證：支持基于 SSF33算法5、SM1算法、SM4算法6、AES算法、3DES算法的MAC產生及驗證。數(shù)據(jù)摘要的產生和驗證：支持 SM3SSF33對稱算法為可選算法 部分型號不支持SM4算法 同上、SHA-1、SHA224 SHA256 SHA384 SHA512等雜湊算法。數(shù)字簽名的產生和驗證：可以根據(jù)需要利用內部存儲的 RSA/ECC私鑰或外部 導入RSA/EC（私鑰

4、對請求數(shù)據(jù)進行數(shù)字簽名。數(shù)字信封功能：支持基于RSA/ECC密碼算法的數(shù)字信封功能，并支持由內部 密鑰保護到外部密鑰保護的數(shù)字信封轉換功能。物理隨機數(shù)的產生：采用由國家密碼管理局批準使用的物理噪聲源產生器芯 片生成的隨機數(shù)。用戶訪問權限控制：具有用戶管理功能，提高了密碼設備自身的安全性。密鑰備份及恢復：支持基于主密鑰保護下的密鑰的備份和恢復功能，保證了 安全應用系統(tǒng)的安全性和可靠性。3. 產品特點及關鍵技術全面支持國產算法：SSF33對稱算法SSF33對稱算法為可選算法、SM1對稱算法、SM2非對稱算法僅SJJ1012型號支持SM2非對稱算法、 SM3雜湊算法僅SJJ1012型號支持SM3雜湊

5、算法、SM4對稱算法部分型號不支持SM4算法,具有更好的可擴展性。支持多種操作系統(tǒng)：應用服務器與密碼機之間采用 TCP/IP協(xié)議進行通信，可 支持多種主流的操作系統(tǒng)，如 MS Windows系列，Linux系列，Solaris、AIX、 HP-UX等 Unix操作系統(tǒng)。9101112僅SJJ1012型號支持SM3雜湊算法同上支持標準接口：密碼機API接口符合公鑰密碼基礎設施應用技術體系 密碼 設備應用接口規(guī)范（試行）標準接口規(guī)范，通用性好。同時支持 PKCS#11 MS-CSP JCE等國際標準接口。三層密鑰結構：采用“系統(tǒng)保護密鑰 -用戶密鑰（內部密鑰對或 KEK） -會話 密鑰”的三層密鑰

6、保護結構，保證用戶密鑰及應用系統(tǒng)的安全性。 安全密鑰存儲：保證關鍵密鑰在任何時候不以明文形式出現(xiàn)在設備外，密鑰 備份文件也受到主密鑰的保護。支持連接密碼及白名單：通過連接密碼和白名單的支持，實現(xiàn)了密碼機對應 用服務器的授權認證，進一步提高了系統(tǒng)的安全性。密鑰使用授權：每對用戶密鑰對對應一個授權保護碼，以保證不同密碼應用 系統(tǒng)調用同一臺密碼設備時的密鑰安全性。4. 技術指標SJJ0930R2000SJJ0930R5000SJJ1012RE2000SJJ1012RE5000SJJ1012RE7000SJJ1012RE100001024位RSA密鑰對生成1對/秒1對/秒1對/秒1對/秒30對/秒30

7、對/秒1024位RSA簽名速度2000次/秒4700次/秒2000次/秒4700次/秒5200次/秒8900 次/秒1024位RSA驗證速度5000次/秒20000次/秒5000次/秒20000次/秒20000次/秒27000次/秒2048位RSA密鑰對生成5秒/對5秒/對5秒/對5秒/對5對/秒5對/秒2048位RSA簽名速度20次/秒350次/秒20次/秒350次/秒350次/秒350次/秒2048位RSA驗證速度500次/秒10000次/秒500次/秒10000次/秒10000次/秒10000次/秒256位SM2簽名速度不支持不支持700次/秒700次/秒2400次/秒4400次/秒25

8、6位SM2驗證速度不支持不支持180次/秒180次/秒1500次/秒2800 次/秒SM1算法加密/解密速度60Mbps110Mbps60Mbps110Mbps110Mbps210MbpsSM4算法60Mbps110Mbps60Mbps110Mbps120Mbps210MbpsAES算法加密/解密速度60Mbps110Mbps60Mbps110Mbps120Mbps210Mbps3DES算法加密/解密速度25Mbps110Mbps25Mbps110Mbps120Mbps180MbpsSM3雜湊算法不支持不支持35Mbps65Mbps65Mbps120Mbps規(guī)格1U2U1U2U2U2U液晶屏無

9、有無有有有外形尺寸（寬x深x高）447x450x43mm447x500x86mm447x450x43mm447x450x86mm447x450x86mm447x450x86mm重量11Kg14Kg11Kg14Kg14Kg15Kg工作電源220V, 50Hz220V, 50Hz220V, 50Hz220V, 50Hz220V, 50Hz220V, 50Hz冗余（可選）冗余（可選）冗余（可選）冗余功耗150W280W150W300W300W400W網(wǎng)絡接口RJ-45RJ-45RJ-45RJ-45RJ-45RJ-4510/100/1000Mb10/100/1000Mb10/100/1000Mb10/100/1000Mb10/100/1000Mb10/100/1000Mbx2x2x2x2工作協(xié)議TCP/IPTCP/IPTCP/IPTCP/IPTCP/IPTCP/IP、七 » 1=9 讀卜器MTBF30000小時50000小時30000小時50000小時50000小時50000小時工作溫度10°C -60C10C -60 C10C -60C10C -60C10C -60 C10