H3C SecPath 云服务器密码机-新华三集团-H3C

产品特点

数据加解密

支持国密或国际的标准对称算法，用于数据的加解密。

数字签名/验证签名/密钥协商

支持国密或国际非对称算法，用于数字签名、身份认证、密钥交换。

消息杂凑

支持国密或国际杂凑算法，用于数据的完整性校验。

密码机虚拟化

基于SR-IOV技术，提供密码模块的虚拟化支撑能力，单台宿主机可虚拟16~64台VSM。

密钥安全隔离

VSM之间采用安全隔离技术，对每个VSM使用的密钥在存储和使用上进行了安全隔离。

VSM镜像漂移

当一台VSM发生故障时，管理系统自动将此VSM的数据镜像导入至另外一台空闲正常的虚拟机上，并快速切换用户网络。

资源动态分配

利用负载均衡技术实现虚拟化实例对密码资源占用的动态分配，管理系统可以根据实际情况动态增加或释放密码运算资源。

VSM集群功能

多台VSM可以组成集群，通过集群为业务系统提供性能更高、可横向伸缩的密码服务。

镜像加密保护

VSM内操作系统、与用户相关的配置、密钥及敏感信息等整个镜像使用加密和签名机制进行保护。

产品规格

表1-1 H3C SecPath 云服务器密码机（密码模块）产品规格

属性	H3C SecPath CCS8000
支持密码算法	1）非对称算法：国密SM2；国际RSA；
	2）对称算法：国密SM1、SM4、ZUC；国际DES/3DES、AES；
	3）摘要算法：国密SM3；国际SHA1、MD5；
硬件虚拟化	单台设备至少可虚拟16/32/64个虚拟密码机；
密码机虚拟化	每台云服务器密码机宿主机可运行多个虚拟密码机，每个虚拟密码机可对应用独立提供密码服务，并且各个虚拟密码机之间密钥完全隔离。密码机的虚拟化增加了密码设备资源利用率，将密码服务进行了更细致的划分，可以为应用提供高速、稳定、可靠的密码运算服务
镜像管理保护	基于虚拟化技术可以自动部署，虚拟密码机内与用户相关的配置、密钥及敏感信息等数据影像使用加密和签名机制进行保护，并可以通过云密码服务平台实现远程创建虚拟密码机影像，实现虚拟密码机的自动化部署、启用及卸载
密钥安全隔离	多个VSM共享使用密码模块、计算资源、存储资源，为了防止VSM之间密钥存储及使用混乱，虚拟密码机之间采用安全隔离技术，对每个VSM使用的密钥在存储和使用上进行了安全隔离
密钥安全管理	云服务器密码机使用智能密码钥匙登录及身份认证，通过加密通道由用户远程进行密钥管理操作
虚拟密码机漂移	当一台虚拟密码机发生故障时，云平台管理系统自动将此虚拟密码机的数据影像导入至另外一台空闲正常的虚拟密码机上，并快速切换用户网络。在用户无感知的情况下，恢复虚拟密码机的高可用性
云化智能管控	基于云平台管理系统，可对云服务器密码机或运行的虚拟密码机进行管理，能够对云服务密码机内部的密码运算资源进行配置、管理、授权等操作，也可以对虚拟化实例进行配置管理、授权、启动、停止等操作
高质量随机数生成	采用由国家密码局审批的双WNG系列物理随机源的随机数生成功随机数质量高
运行状态监控	云平台管理系统可以对云服务器密码机及虚拟密码机进行运行状态监控，包括服务正常运行情况、业务连接数、CPU及内存占用率等运行状态
权限管理功能	虚拟密码机内可以设置不同的管理角色，分别赋予不同的操作权限，对所有管理角色进行强身份认证
多机并行	支持负载均衡，即多台虚拟密码机同时为同一个应用系统提供密码服务，从而提高了处理的效率，同时也防止因一个虚拟密码机出现故障导致整个服务终止的情况，提高了服务的可靠性
应用管理	支持应用注册，应用删除，应用信息查询与维护，并对应用与密钥关系权限进行设置
应用兼容性支持	云服务器密码机应用系统开发与传统密码应用相同，支持JCE、PKCS#11、SDF等多种标准密码应用接口，满足传统应用迁入虚拟化及云环境后对密码服务的需求
安全业务调用	应用主机到虚拟密码机之间的业务调用采用加密通道，保护用户应用数据经过中间网络环节时的安全。
用户管理	支持根据三权分立原则划分用户角色及权限，包括管理员、审计员、操作员
安全策略	支持拟密码机资源的创建/启动/停止/销毁/迁移
统计分析	支持云密码机用户数量、各类型设备的数量、故障设备数量等信息统计分析，支持对虚拟化设备和实体设备的占比、设备分配情况、各种类型设备占比等统计分析信息；
故障监控	支持设备状态监控功能，若发现有设备处于故障状态，能够通过邮箱、短信等方式及时通知管理人员
动态扩容	支持集群动态扩容，能够配置集群阈值和监控集群状态，若监控集群达到阈值，能够实现集群的动态扩容；
虚机克隆	支持对运行状态下的虚机密码机进行克隆，实现克隆的虚拟密码机和被克隆的密码机状态一致；