基于协同签名的SSL服务端系统
基于协同签名的SSL服务端系统遵循《GM/T 0003-2012 SM2椭圆曲线公钥密码算法》、《GM/T 0004-2012 SM3密码杂凑算法》、《GM/T 0002-2012 SM4分组密码算法》、《GM/T 0024-2014 SSL VPN技术规范》规范,支持SM1/SM2/SM3/SM4算法,并按照专利CN201410437599.5《适用于云计算的基于SM2算法的签名及解密方法和系统》研制SM2协同签名、解密算法。
在基于协同签名的SSL服务端系统中,核心加密装置采用深圳市东进技术的服务器密码机作为硬件加密装置(产品型号为:SJJ1805),整个基于协同签名的SSL服务端系统运行的环境为Linux系统,主要功能有密钥管理、签名、验签、加密、解密等。
基于SJJ1805服务器密码机,并依据CN201410437599.5《适用于云计算的基于SM2算法的签名及解密方法和系统》实现了协同签名算法及接口。
基于协同签名的SSL服务端系统具有数据加解密、签名/协同签名、验签、MAC、杂凑等功能,支持SM2/SM3/SM4国密算法,可为用户解决敏感信息机密性、完整性、有效性和不可抵赖等安全性问题。
技术特点
支持国密算法
支持协同签名
具有融合的系统架构,能实现同时国际加密算法、国密算法的同步支持,以及标准SM2和协同签名SM2算法的同步支持,以便与各种不同密码体系的应用进行无缝对接
稳定可靠性技术
支持IOS、Android、Windows、Linux操作系统
主要功能
密钥管理
对密钥的生命周期进行管理,具体功能包括:随机密钥的生成、密钥的启用、密钥的联机分发、密钥的备份、密钥的归档以及密钥的销毁等功能。
密码机管理
对密钥管理系统所挂载的密码机进行管理,具体功能包括:密码机分组管理、密码机的挂载与卸载、密码机使用的负载均衡处理。
密码服务功能
提供加密、解密、转加密、获取密钥、密钥更新、计算数据MAC等密码服务功能。
业务管理
提供应用管理、外部系统管理和终端管理功能,适应密管系统常用的应用场景。
权限管理
系统默认提供4种角色,可通过角色管理功能定制化角色类型,并可设置角色的操作权限,同时也可以设置用户的操作权限。
安全审计
对系统的所有操作日志进行审计,具体功能包括:审计日志的查询、下载和清理策略配置等功能。
系统设置
对密钥的生成、备份、归档、定时任务周期等参数进行动态配置。
技术规格
1、加密算法支持
支持国密SM1/SM2/SM3/SM4算法
支持DES、3DES、IDEA、AES对称算法
支持MD5、SHA-1、SHA-256散列算法
支持1024位和2048位RSA非对称算法
对称算法支持ECB、CBC多种算法模式
2、算法性能
SM1加解密:950Mbps
SM4加解密:900Mbps
SM3算法:900Mbps
SM2加密:3000次/秒
SM2解密:5000次/秒
SM2签名:10000次/秒
SM2验签:10000次/秒
SM2密钥对生成:5000对/秒
SM2协同密钥对生成:5000对/秒
SM2协同签名:10000次/秒
3、并发连接
最大并发连接数:14万
每秒新建连接数:大于3千个/秒
4、随机数发生器
支持2路随机数发生器,支持使用强素数
5、网络接口
1G电口:以太网电口×4 100M/1000M 自适应光口×4 1000M
6、物理尺寸
482.5*480*89 mm(高*宽*深)
7、功耗
150W
产品部署
东进基于协同签名的SSL服务端系统的典型应用场景如下:
说明:
1. 客户端调用协同签名SDK包生成密钥对(一个公钥,一个私钥分量1),用户唯一ID
2. 客户端通过业务系统的身份认证(原有系统),将密钥对和用户唯一ID发给业务系统
3. 业务系统调用协同签名SDK包,将密钥对和用户唯一ID发给协同签名服务器
4. 协同签名服务器通过密钥管理系统调用加密机生成私钥分量2和证书请求文件
5. 密钥管理系统向CA发送证书请求文件,CA返回国密证书,密钥管理系统将用户ID,公钥,国密证书,私钥分量2保存在数据库中。
6. 协同签名服务器将国密证书发给业务系统。
7. 业务系统将国密证书发给客户端。
标准规范
《GM/T 0003-2012 SM2椭圆曲线公钥密码算法》
《GM/T 0004-2012 SM3密码杂凑算法》
《GM/T 0002-2012 SM4分组密码算法》
《GM/T 0024-2014 SSL VPN技术规范》