云密码解决方案简介 2022.6

发布时间:2022-6-21 | 杂志分类:其他
免费制作
更多内容

云密码解决方案简介 2022.6

云服务器密码机您是否遇到了以下问题和挑战?01 SJJ1528?业务系统都上云后,加密部分如何实现?云上加密是否可靠?云上加密是否也能安全合规?自己的密钥如何管理?是否会被云服务商获取?TKK2639鲑桽烏鏍哣蔅梽曧焎攢俍呏賜懪蹺哣嗁。墡惡㯵。駡呏㯵訵踽諎雜瀕艊荁饅槪豈㓇餱䯖靕踽蔠僨艊蹺廟䒫潎敆慁鲑㚧誽艊哣蔅姉羮鲲閔䯖錨桹呝瑪箏襫蓜㛌鲲棈妛驔嬱侸䎋豕濕㛇霎、梪鲲閔㳕羮麉愐誼恖梮䯖鮪酽詬薴鬣哣蔅㛄侕醢呺粷讜暚㫜ǹ侸跣麉愐誼艊哣蔅梽䯒WTN䯓䯖詵醮鲑㚧誽諎絔跀酛晹釟唻扟䯖呺粷唻WTN艊箏襫諎絔䯖妛敆慁麉愐誼侸蟢哣蔅鉢跀艊WTN䯖羮忊懲羮WTN醮懲羮™酛哣蔅梽酽靪、产品概述产品优势采用独有的硬件虚拟化与隔离技术,用户独享云端密码芯片资源,实现用户密钥硬件隔离的同时保障业务性能箏鲶鲑覜薴鬣颫穻支持服务器虚拟机(GVSM)、签名验签虚拟机(SVSM)、金融虚拟机(EVSM)、密钥管理虚拟机(DVSM)敆慁諤蟢貙矇艊麉愐誼哣蔅梽密码运算资源动态调配,高峰期动态增加、低谷期动态释放媯屟哣蔅㚧誽采用国密局批准的硬件芯片实现密码算法,采用多路物理噪声源芯片生成高强度随机数呏瑪屟提供与实体密码设备相同的功... [收起]
[展开]
云密码解决方案简介 2022.6
粉丝: {{bookData.followerCount}}
密码技术与信息安全综合服务商
文本内容
第1页

云加密体系建设

解决方案简介

Beijing JN TASS Technology C o., L t d

江 南天安·密码体系服务 商

2 0 2 0 年 4 月

扫码关注

联系电话:010-82326383

公司官网:www.tass.com.cn

第2页

云服务器密码机

您是否遇到了以下问题和挑战?

01 SJJ1528

业务系统都上云后,加密部分如何实现?

云上加密是否可靠?

云上加密是否也能安全合规?

自己的密钥如何管理?是否会被云服务商获取?

TKK2639鲑桽烏鏍哣蔅梽曧焎攢俍呏賜懪蹺哣嗁。墡惡㯵。駡呏㯵訵踽諎雜瀕艊荁饅槪豈㓇餱䯖靕踽蔠僨艊蹺

廟䒫潎敆慁鲑㚧誽艊哣蔅姉羮鲲閔䯖錨桹呝瑪箏襫蓜㛌鲲棈妛驔嬱侸䎋豕濕㛇霎、梪鲲閔㳕羮麉愐誼恖梮䯖鮪

酽詬薴鬣哣蔅㛄侕醢呺粷讜暚㫜ǹ侸跣麉愐誼艊哣蔅梽䯒WTN䯓䯖詵醮鲑㚧誽諎絔跀酛晹釟唻扟䯖呺粷唻WTN

艊箏襫諎絔䯖妛敆慁麉愐誼侸蟢哣蔅鉢跀艊WTN䯖羮忊懲羮WTN醮懲羮™酛哣蔅梽酽靪、

产品概述

产品优势

采用独有的硬件虚拟化与隔离技术,用户独享云端密码芯片资

源,实现用户密钥硬件隔离的同时保障业务性能

箏鲶鲑覜薴鬣颫穻

支持服务器虚拟机(GVSM)、签名验签虚拟机(SVSM)、金融虚

拟机(EVSM)、密钥管理虚拟机(DVSM)

敆慁諤蟢貙矇艊麉愐誼哣蔅梽

密码运算资源动态调配,高峰期动态增加、低谷期动态释放

媯屟哣蔅㚧誽

采用国密局批准的硬件芯片实现密码算法,采用多路物理噪声

源芯片生成高强度随机数

呏瑪屟

提供与实体密码设备相同的功能与接口,可完全兼容传统应用

并方便其向云端迁移

悶咷屟

采用多级阵列技术,支持VSM集群、热备,切实保障用户的业

务连续性

詵䉱屟

采用主机可信链路、密钥协商、平台与VSM管理角色分离等技

术实现端到端的安全

侸嗃呏瑪㛄㚧

支持金融支付、身份认证、数字签名等应用安全,满足各种重要

系统对于数据安全性的严格要求

瑪趵烏敆慁

江南天安·密码体系服务商

第3页

产品功能

密码算法支持

TN2。TN5。4EFT。BFT

TN3。STB。FDD

TN4。TIB367。TIB495。TIB623

虚拟化支持

哣蔅㚧誽㡊瑧諎絔醮敽巃惡峗諎絔棈䅡鰓䆥

瑪㫨蠿諎絔

諤WTN䄄㫜誽㡊瑧醮哣㾴呏瑪䆥蟇

密钥管理

哣㾴呏瑪羠彾。叅鉸。侕麋。峈侟

安全机制

諎絔蘚VLfz㦳麋㚪㛇

金融支付

QJO㫜誽倀䖢㛇訵

BSRD䖢㛇。BSQD鲲羠。閳梪㫜誽訵

NBD㚧誽倀䖢㛇。UBD䖢㛇訵

侳㯵㚪㛇。廟㯵㚪㛇訵

敽巃斶懪哣蔅㫜誽倀䖢㛇訵

DWW0DWO倀QWW0QWO艊鲲羠倀樍䖢訵

身份认证

羮忊謖訥魑㚪㛇

誤尓訥魑㚪㛇

斶叄㛇霎㚪㛇

羠窹竑嬕㚪㛇

数字签名/验证

QLDT$2誐謖0䖢㛇

QLDT$8!Efubdi誐謖0䖢㛇

QLDT$8!Buubdi誐謖0䖢㛇

TN3誐謖0䖢㛇

接口标准支持

QLDT$22扟訥

DTQ扟訥

KDF扟訥

HN0U!1129.3123!TEG扟訥

第4页

密码卡

您是否遇到了以下问题和挑战?

02 SJK19150

偧駁㚯鎢哣㛄侕醮㬦羮艊桽烏鏍倀墡扡跀酛昷點䇗彾䯩

偧楇鮪鲑粶乵醣㯵鉣敆慁鲑囑羠哣蔅镾撾艊哣蔅㛄侕䯩

偧駁鮪鲑粶乵醣椨婠瓕㢹訵墮醑鄀徏蠐鄀艊鲑㚧誽哣

蔅㡊瑧焏䯩

偧駁踵蹺哣 TTM趙㪉。嶼鱖䀍。俋斶懪鎢哣訵昦跀酛抲

辭哣蔅镾撾敆搫䯩!

偧駁㬎姉蹺咲靕踽詵扡㒄烢䯖姉羮蹺哣誽熴䯩

TKL2:261鲑桽烏哣蔅則曧駡誒嶗黁黀㳟@諦慘㛄㚧羠鲲艊錨桹QDJ.F!Hfo4!Y9扟訥艊觻諦呏瑪訵鄀訅醑鄀

艊哣蔅㛄侕䯖抲辭TN3。TN4。TN5哣蔅誽熴艊䗮㬫㫜誽桽烏䯖樮宆㯵鬣㳕羮蹺咲哣蔅諎絔嗁恊豈艊颫穻䯖錨

侕呝櫞艊哣㾴諎絔梽壽䯥鲑桽烏哣蔅則愗桹呏瑪鄀時䗮䯖濱婜㫫。䗮屟镾訵竑砎䯖呅詵飨踵惡峗呏瑪™㪟跀酛

抲辭䗮屟镾艊斶懪鎢㓦哣桽烏䯖剴詵飨慘踵踽梽斶懪呏瑪叅鉸跀酛。㦳麋㚪㛇跀酛飨倀唻蠙。䉯唻蠙哣㾴諎絔

跀酛艊踽㒄哣蔅㛄侕嶗樮宆椨鬣䯖錨桹妭熼艊跀酛姉羮疦撾、

产品概述

产品优势

采用多路物理噪声源芯片生成高强度随机数,在部分随机数芯

片出现问题时仍然可以保证随机数的生成质量

䗮詵䉱䆠梽斶

支持多线程多进程同时访问;支持异步访问机制,有效降低访

问延迟;支持负载、温度监控,便于弹性分配密码运算资源;

支持Docker等虚拟化环境调用,便于云环境部署

䗮敱䗮詵䉱屟

SJK19150云服务密码卡的SM2签名性能50000次/秒,SM4加

解密高达20Gbps

䗮屟镾

SJK19150符合密码模块安全等级三级要求,保证密钥管理和算

法实现的高安全性

䗮呏瑪屟

江南天安·密码体系服务商

第5页

产品功能

密码算法支持

TN3。TN4。TN5

NT!Xjoepxt跀燒䯖Mjovy跀燒

安全机制

▕鲋VTC!Uplfo諎絔梽壽䯖㳕羮VTC!Uplfo

㪑錫呝彾㛄侕諎絔跤艊㦳麋㚪㛇

接口标准支持

QLDT$22扟訥

KDF扟訥䯖㮂孉KDF㓇餱䯖抲辭UbttQspwjefs䯖㬦㫓KDF張詵㜉羮哣蔅則呺粷蹺哣誽熴

PQFOTTM扟訥䯖呝瑪悶咷PQFOTTM䯖敆慁彿誒婩瑧艊UBTTM飨媆撌艊昷媀㜉羮

唻姉羮晹巃蓜䯖昷點趵烏嗃㜉羮

TEG扟訥䯖贋礣HC0U!47433.3129!︹惡峗呏瑪恖梮!哣蔅㛄侕姉羮扟訥︺蹺哣㓇餱

寚㬫艊呯壽誼扟訥

操作系统支持

第6页

手机云盾系统

您是否遇到了以下问题和挑战?

03SHT1811 SHM1806

偧駁㓦噴蠩誤粶乵醣詵惡㦳麋㚪㛇䃾䎪䯩

偧駁鳢羮忲梽喥詵呝彾呏瑪㦳麋㚪㛇䯩

偧駁鳢羮忲梽喥詵呝彾誐覈。誐恊䯩

偧駁墮㛇㦳麋訵䆡蟔惡峗艊諦㓇屟䯩

偧駁墮㛇忲梽誐覈錨桹熴嬣敱撾䯩

TIU2922!TIN2917忲梽鲑荋跀酛曧焎攢俍呏靕踽蔠僨艊觻諦蠩誤鲒鎽鈫姉羮呏瑪䈑烢艊㦳麋㚪㛇鲲

閔䯖錨桹呝瑪箏襫蓜㛌鲲棈妛驔嬱侸䎋豕濕㛇霎、梪鲲閔濕羮蠩誤杶镾鄮覜慘踵㦳麋㚪㛇㪉鉢䯖飨哣蔅

恖梮踵樮宆䯖㬦㫓@諦斶叄㛇霎。羠窹㛌時。㛄侕慇鄚。呏瑪鎢躉訵侸罌踃。侸醎姪呏瑪恖梮䯖踵羮忊抲

辭忲梽覜。QD!覜訵瑪鄮覜粶乵醣艊詵惡㦳麋㚪㛇桽烏、呺粷晹䈑䎰侳㛄侕䯖羮忊#酽獸酽怶¥䯖張贖呏瑪

舽嫚、鹾謾呏瑪媰姪劋銊 V荋䯖詵㚪㛇詵誐謖䯖妭熼㬎羮鲋䀅ǹ。墮䅺。㛇樞。鲒鎽鈫㳟@。翄縟窹牐。敤

烏。語聴擊姾。晈珪訵ǹ趵姉羮、

产品概述

产品优势

“云+端”硬件级加密保护,专利技术确保密钥安全,支持国密

算法,支持生物识别、设备指纹、口令等多因素认证模式

呏瑪屟

产品采用云服务模式,具备高性能、高扩展性,支持多种移动终

端环境

怳嗴屟

替代传统U盾,无需对额外硬件设备进行投入及维护

濱彾梪

手机即令牌, “一刷一扫”轻松实现手机端及PC端身份认证

點懴屟

提供简单易用的SDK,可实现与系统的快速对接

曀羮屟

江南天安·密码体系服务商

第7页

产品功能

身份认证

羮忊燍謀䯤羮忊乁釀惡峗䯖呝彾燍謀䯖羠彾詵惡哣㾴

呺謖㚪㛇䯤偧䈑呺謖㚪㛇䯖敆慁㦳麋㛇誑榺㛨。鳏闧㛌時。䀅ǹ則㚪㛇訵昷媀

姉羮跀酛戦棈䯤燍謀羮忊㬦㫓怶蔅。㚪㛇。戦棈艊昷媀䯖呝彾忲梽鲑荋㠬忊鮪姉羮跀酛跤艊燍謀䯖妛唻姉羮跀酛戦棈

忲梽姉羮舽嫚㚪㛇䯤㬦㫓BQQ㜉羮。TEL䇗彾訵昷媀䯖呺粷羮忊鮪忲梽覜獸慇鄚徏㪟駱QJO蔅訵昷媀艊詵䉱舽嫚

QD姉羮舽嫚㚪㛇䯤㬦㫓忲梽鲑荋怶蔅䯖呺粷羮忊鮪QD鈫䎇醢艊詵䉱舽嫚

㳛鉝哣蔅䯤㬦㫓怶蔅㚪㛇䯖呺粷㳛鉝哣蔅

电子签章/手写签批

翄厸誐覈䯤羮忊鮪BQQ咃忊覜䯖㛄鉝誐覈蹕穻䯒敆慁忲釀誐叄㳕䇗䯓䯖㬦㫓翄厸誐謖。斶叄㛇霎。暚䄄忁訵恖梮䯖

唻旝橭㫧ǹ翄厸誐覈妛鮪旝橭跤朄蛵誐覈

忲釀誐恊䯤羮忊鮪BQQ咃忊覜䯖㪟駱忲釀誐恊嶯㓄䯖唻誐恊廟咷㫧ǹ翄厸誐謖墮悜妛鮪旝橭跤朄蛵誐恊嶯㓄

第8页

江南天安·密码体系服务商

同时密码平台服务层提供密码监管服务,可对设备和服务状态进行监控、日志审计、统计分析等服

务,支持对接第三方监管平台

云服务器密码机和云管控系统构建云密码资

源池,为云密码服务层提供动态伸缩的密码

资源,云密码服务层通过获取资源池中的基

础密码运算服务,为业务系统层提供通用和

典型的密码运算和统一的密钥管理服务。

密码运算服务主要包括身份认证、数据加解

密、签名验签、电子签章、时间戳等服务;密

钥管理服务主要包括对称 / 非对称密钥管理、

证书管理等服务。

需求分析:

云上统一密码服务需求

云上密码服务多样化需求

云上统一密钥管理需求

云上密码资源统一管控需求

应用接入统一管理需求

云上密码应用合规性需求

方案特色:

平台全面支持国密算法,兼容

国际通用密码算法

密码算法、技术、产品、服务安

全合规,符合密评相关要求

密码资源统一管理,提高运维

管理效率

配备灵活可靠的密码资源池,

提高密码产品利用率,降低成

平台对外提供统一的密码运

算服务,方便与应用系统对接

丰富的密码应用接口,支持多

种编程语言

适用领域:

云平台身份认证

云平台隐私数据加密保护

云上密钥管理

云上业务应用

云密码服务平台

HSM HSM HSM

云管控

HSM

方案架构

云密码服务平台 04 建设方案

第9页

云服务器密码机通过虚拟化技术虚拟出各类型密码机,构建密码资源池,通过云密码服务管控平

台对资源池进行统一管控,云租户申请符合需求的虚拟密码机后,由租户管理员进行初始配置后,

业务系统部署江南天安 SDK 与虚拟密码机对接,便于业务系统快速集成密码运算服务。

需求分析:

密码资源高效利用需求

密码设备简化运维管理需求

密码资源监控需求

密码资源高可用需求

密码应用合规性需求

方案特色:

全面支持国密算法,兼容国际

通用密码算法

密码产品安全合规,符合密评

相关要求

密码资源统一监控管理,提高

运维管理效率

密码资源动态分配,提高密码

产品利用率,降低成本

密码资源高可用,保证业务连

续性

高性能的密码资源,支撑海量

业务应用的密码服务

云密码资源池建设方案 05 ——租户独享资源池各种密码应用资源

适用领域:

大型企业的密码业务应用

场景

管理分流

映 射

映 射

云密码服务管控系统

密码服务

管控平台

云密码服务

资源池

客户端

HSM VSM

VSM 管理工具 管理 UKEY

管理员

调 用

专网 1

VSM

管理

业务 VM

调 用

专网 N

VSM 业务 VM

方案架构

第10页

云密钥管理系统结合硬件云服务器密码机为云上应用提供集中的密钥全生命周期管理服务,主要

包括对称密钥管理、非对称密钥管理和证书管理。云密钥管理系统主要分为密钥管理子系统、安全

存储子系统和密码服务子系统,通过密钥管理子系统实现密钥管理和应用授权功能,安全存储子

系统安全存储密钥和系统敏感信息,密码服务子系统主要实现系统中数据落盘加密功能。

需求分析:

密钥全生命周期管理需求

云上数据存储保护需求

证书管理需求

合规性需求

方案特色:

支持国密算法和国际算法

密钥生命周期管理

系统中的密码产品经密码

管理部门认证合格,满足

密评相关要求

支持密钥外部导入功能

密码产品集群化部署,提

供高可用密钥管理服务

密钥按需使用,节约硬件

设备采购和运维成本

使用硬件密码产品保护密

钥,保证密钥高安全性

适用领域:

云上密钥集中管理应用场景

文件系统加密应用场景

云密钥管理系统 06 建设方案

方 案 架 构

应用服务器

密钥系统管理集群

云服务器密码机集群

密钥产生

密码运算

云环境

数据库服务器 存储服务器 大数据服务平台

密钥服务

数据加解密

江南天安·密码体系服务商

第11页

云密码资源管控平台:

面向租户提供租户管理以

及密码服务、密码资源、专

家支撑服务、密码测评等

购买服务,同时对各云节

点的密码服务平台、密码

资源池进行统一管理、统

一监控,可提供各云节点

密码资源使用情况、运行

情况的报表

密码服务平台:

负责密码资源池的统一管

理、统一分配、统一监控,

并为各租户提供独享的密

码应用服务实例,包括但

不限于密钥管理服务、数

据加解密服务、签名验签

服务、电子签章服务、SSL

卸载网关服务、SSL VPN 服

务、动态口令服务以及协

同签名等服务,降低租户

信息系统密码改造的难度

和维护难度;提高密钥管

理和使用的安全可控性

密码资源池:

由服务器密码机、签名验

签服务器、时间戳服务器

或云服务器密码机、SSL 卸

载网关、SSL VPN 网关等硬

件密码基础设施组成,建

成统一的密码资源池

云密码资源池 07 管控平台建设方案

方 案 架 构

根据密评对密码资源池与计算资源同机楼建设的要求,云各节点建设独立的密码资源池,云密码资源

管控平台负责管理各云节点的密码资源池(含密码服务平台和密码资源池)

采用云服务器密码机构建密码资源池,各租户可独立管理自己的密码资源池,相互不干扰

密码服务平合可根据租户需求分配相应的密码服务实例(按需分配 ),每个密码服务实例可分配额度,

租户自行安装管理密码服务实例

云密码机1 云密码机2

密码资源池

数据加密

服务

签名验

签服务

VSM1 VSM2

云 密 码 资 管 控 平 台

租户VM

密码机VSM

身份鉴别

服务

电子签章

服务

时间戳

服务

完全性计

算服务

密码服务平台

VSMn

云密码机n

密码资源池(政务节点) 密码服务VSM

密码服务管控

密码资源管控服务中

统一密码服务资源监控 统一密码资源池监控 统一密码服务资源管控 统一密码资源池调度

统一密码资源池库存 统一密码资源租赁服务

云密码机1 云密码机2

密码资源池

数据加密

服务

签名验

签服务

VSM1 VSM2

密码机VSM

身份鉴别

服务

电子签章

服务

时间戳

服务

完全性计

算服务

密码服务平台

VSMn

云密码机n

密码资源池( XX 节点)

安全

通道

安全

通道

安全

通道

安全

通道

密码服务管控

第12页

江南天安·密码体系服务商

云密码体系 08 监控平台建设方案

统一密码服务资源监控:可以提供各种密码服务资源分类分别情况、密码服务调用情况、机构使

用密码服务情况,提高密钥管理和使用的安全可控性

统一密码资源池监控:可以提供各云节点密码机数量、密码机使用情况、密码机运行情况,并提供

相关报表

方 案 架 构

第13页

云密码体系 09 可视化展现平台建设方案

密码服务可视化平台已支持包括但不限于密钥管理服务、数据加解密服务、电子签名服务、协同签

名、动态口令、SSL 卸载、SSL VPN 网关、电子签章等密码软硬件的可视化展现

密码服务可视化平台可以清晰地以图形化和数字化的方式展现密码机的使用情况,包括但是不限

于展示:密码服务调用累计总次数、当天密码服务调用次数、密码机总数、密码服务总数、介入应

用总数、机构总数等

密码服务可视化平台可以以图表的形式展现机构接入应用数排名、机构使用次数排名等使用情况

密码服务可视化平台可以通过饼图的形式展现去密码服务分类分布,包括但是不限于签名验签服

务、时间戳服务、电子签章服务、加解密服务、秘钥管理服务、SSL 网关服务等。

方 案 架 构

云 密 码 体 系 可 视 化 平 台

第14页

UKEY

云管

系统

HSM HSM HSM HSM

云服务平台 10 密码测评合规方案

SSL VPN

软件

远程运维

用户

系统登录

用户

密码

模块

堡垒机

云密码

服务平台

应用和数据安全 系统登录用户发放密码模块(软件或硬件),采用数字签名方式完成身份鉴别流

程;通过调用密码服务平台的加密服务实现数据传输和存储的机密性、完整性保护;通过调用密

码服务平台的签名验签实现数据原发和接收行为的不可否认性功能;

设备和计算安全 采用网络和通信安全部分方案实现远程运维管理员身份鉴别、安全通道建立,实

现重要数据传输过程完整性保护;

密码服务和密码产品 采用密码管理部门认证合格密码服务为系统提供密码运算功能,采用的密

码产品(密码服务平台、密码机、密码模块)均达到 GB/T 37092 对应安全等级要求。

物理和环境安全 门禁进出记录服务器和

视频记录服务器对接密码服务平台,获取

数据落盘加密服务,实现存储设备中数据

完整性保护功能;

网络和通信安全 通过密码服务平台的

SSL 网关镜像或服务模块与外界接入网

络的实体进行身份鉴别,并建立安全通

道,保证接入者身份可信,保证数据传输

的机密性和完整性,实现访问控制信息完

整性保护;

需求分析:

物理和环境安全需求

网络和通信安全需求

设备和计算安全需求

应用和数据安全需求

密码服务和密码产品需求

方案特色:

安全合规

丰富的密码服务接口

灵活快速的提供密码资源

提升服务高可用

降低运维管理复杂度

减少投入成本

适用领域:

具有密评需求的云平台和

云租户

方案架构

安防区

江南天安·密码体系服务商

百万用户使用云展网进行翻书特效制作,只要您有文档,即可一键上传,自动生成链接和二维码(独立电子书),支持分享到微信和网站!
收藏
转发
下载
免费制作
其他案例
更多案例
免费制作
x
{{item.desc}}
下载
{{item.title}}
{{toast}}