旧网站入口 EN 搜索
Menu
金融数据密码机

东进金融数据密码机(SJJ1617)是一款支持国密算法、符合《金融数据密码机技术规范》的金融数据密码机,具有采用国密标准的密码算法芯片、自主研发的嵌入式架构、灵活易用的开发接口、兼容国际密码算法标准四大特点,同时提供简单、易用的管理维护工具,极大的提高金融数据密码机的安全性、可维护性,为客户提供安全、可靠、易用的密码服务。

设计原则

东进金融数据密码机设计开发过程中,遵循安全性、规范性、稳定性、易用性、兼容性等原则。

安全性:金融数据密码机安全性设计严格按照《GM/T 0045-2016金融数据密码机技术规范》等相关规定。设计方案中在密钥管理、密码运算、角色认证等方面从软硬件设计综合考虑,采用多种技术手段提供完善的安全性保护,确保金融数据密码机自身的安全保密,确保其提供可信的密码服务。

规范和兼容性:金融数据密码机的设计严格按照《GM/T 0045-2016金融数据密码机技术规范》、PBOC3.0等规范。确保了产品的规范性和兼容性。

稳定性:金融数据密码机在软硬件设计多方面考虑稳定性,硬件采用双电源、多路随机数芯片、国家密码管理局指定供应商提供的密码芯片;软件采用完善的错误处理逻辑和系统运行状态监控。有效提供了整机的稳定性与可靠性。
易用性:金融数据密码机设计基于客户方便易用的原则,提供指令和API两种开发接口,同时提供可视化的管理工具,简洁的操作流程。

产品特点
  • 国内第一款符合《GM/T 0045-2016金融数据密码机技术规范》的金融数据密码机

  • 遵循PBOC2.0/3.0规范

  • 采用国家商用密码局认证的国密算法芯片,完美支持国密算法

  • 支持金融数据密码机集群,适应云计算的大趋势

  • 提供多种开发接口,简单、方便的与业务系统集成

  • 提供安全、方便、易用的维护监控系统,大大降低设备的维护成本

关键技术
  • 全面支持国产密码算法,支持SM2/SM3/SM4

  • 四路随机数生成,充分保障密钥的安全性

  • 完全自主研发、设计加密卡,充分保障设备可控性

  • 具有融合的系统架构,能实现同时国际加密算法、国密算法的同步支持,以便与各种不同密码体系的应用进行无缝对接

  • 安全授权管理控制技术,多角色、多授权卡、多权限控制,在各种应用场景下,充分保障设备安全、可靠的授权使用

  • 先进的密钥备份技术

  • 严格的安全访问控制技术

  • 方便、易用的维护诊断技术

产品功能

1、产品基本功能

 

  • 支持国际通用密码算法,对称算法支持DES/3DES/AES,非对称算法支持RSA(1024~2048bit),摘要算法支持MD5、SHA1、SHA224/256/384/512等常用算法。DES密钥长度56比特,3DES密钥长度168比特,AES密钥长度128/192/256比特,RSA密钥长度支持1024和2048比特。

  • 支持国产密码算法, SM4对称算法, SM2非对称算法和SM3摘要算法。SM4密钥长度128比特,SM2密钥长度256比特。

  • 支持主流的操作系统,如Windows、SCO Unix、SUN Solaris、Asianux、RedFlag Linux、AIX、FreeBSD、AS400、HP Unix等操作系统环境,对主机类型除要求支持TCP/IP通信协议外无其他任何特殊要求。

  • 对称算法支持ECB、CBC多种算法模式。

  • 具有数据加密/解密功能,支持使用国产SM4分组密码算法和国际通用算法(对称算法:DES/3DES, AES,非对称算法RSA)实现数据加解密。

  • 具有消息鉴别功能,支持使用国产SM4分组密码算法和国际通用算法(对称算法:DES/3DES, AES )的MAC/TAC产生和验证,以及HMAC的产生和验证。

  • 具有数字签名/验证功能(支持RSA算法及SM2算法的签名及验签功能)。

  • 支持多种PIN格式的加密和转换,包括ANSI X9.8格式即ISO 95641-格式0,Docutel格式,Diebold和IBM格式,ISO 95641-格式1等。

  • 具有银行卡卡安全校验即CVV(卡校验值)、PVV(PIN校验值)和IBM 3624计算等功能。

  • 具有随机数产生功能,使用硬件产生随机数,产生的随机数符合国家密码管理局颁布的《随机数检测规范》。支持4路物理噪声源芯片生成,支持使用强素数。

  • 支持三层密钥体系:本地主密钥、成员主密钥、数据密钥,本地主密钥存储在加密机中由硬件设备保护,成员主密钥存储在加密机中导出时由主密钥加密,数据密钥由加密机生产存在在主机上并用成员主密钥或本地主密钥加密。

  • 提供完善的密钥管理功能包括:密钥产生、加密传输、存储、导入、删除、销毁。删除密钥支持指定索引号对称和非对称密钥的删除。

  • 采用安全处理器芯片作为密钥存储部件,保证密钥的安全存储。

  • 具有安全的密钥保护机制:密钥加密存储、受到非法入侵时自动销毁、断电情况下能长期维持,保护时间长达10年。

  • 具有并发功能,支持多机同时访问。 

  • 用硬件实现多种密码算法,具有速度快,安全性高的特点。

  • 采用具有安全功能的智能IC卡或U盾作为身份认证和密钥存储介质。

  • 具有完善的系统日志审计功能,对密码机运行情况进行审查。

  • 支持密钥本地集群同步,方便客户密钥管理。

  • 具备客户端访问密码机IP地址过滤功能(白名单)。

  • 密码服务接口采用三速以太网接口(10/100/1000Mbps),通信协议采用TCP/IP协议。

  • 具有完善的系统监测功能,可监测密码机硬件及软件的运行状态,并可对故障进行自动恢复或者报警。 

  • 配置管理方式:提供配置终端进行配置管理,提供以图形界面方式实现对设备的配置管理、密钥管理操作。

  •  提供密钥管理工具:能够根据应用系统密钥管理的特点,提供安全合理的密钥管理方案,为产品的使用提供保障;密钥管理工具(设备)需要支持多台设备之间自动完成各种类别的密钥同步、备份、导入/导出(全部或部分)功能,无需人工干预。

  • 支持打印密码或密钥信封功能,支持通过控制台方式产生及打印随机密钥信封(同一个密钥分成两个分量以及对应的校验值保存在不同的密码信封,两个分量可通过异或方式合成原密钥),并同步保存密钥至设备。

  • 支持局域网内同网段和跨网段设备均能访问投标设备调用加密机指令的功能。

 

2、安全性、可靠性、审计功能

  • 密钥有严格的安全保密体系,采用专用的安全算法和芯片进行密钥的加密和存储,密钥在任何情况下以明文的方式出现在主机的磁盘和内存中。

  • 密钥的管理采用分割管理的方式;有完善的权限控制机制,采用个人密码或者KEY的方式控制对用户加密机的访问权限;对密钥的注入,生成,写入KEY等都以安全的方式进行,密码机和KEY之间密钥数据的交换不经过主机和网络;对密钥在加密机外的备份也必须有相应的安全机制保证存放的安全。

  • 保证加密机与主机的数据通讯的安全性,能够通过防火墙方式防止非法主机对加密机的访问。

  • 具备良好的自身安全保护设计与功能:设备中存储的密钥应有安全机制保证其安全;有物理上的防拆、防撬设计,有非法打开机盖密钥自毁功能;提供人工毁钥的操作手段。

  • 支持手工输入、IC卡、USBKEY导入加密机主密钥。

  • 具有并发功能,支持多台主机同时访问,支持多进程、多线程调用。

  • 支持将关键事件的时间、描述和结果记录在系统审计文件中;并能够进行本地查询审计信息。

  • 提供相应的指令可获取设备的CPU、memory、SWAP使用情况,网络连接数,TPS数值,健康状态等以便用于监控。

     

3、 物理特性要求

 

  • 设备物理高度为2U。

  • 设备采用RJ45以太网接口通信,10M/100M/1000M自适应,采用TCP/IP通信协议;

  • 设备支持IPv4;

  • 具备RJ45网口或串口等外带管理接口,提供密码机的远程运行监控、故障分析等相关功能。

  • 提供2个RS-232串行通信接口,一个管理串口,一个密码信封打印串口。

  • 设备支持双电源;

  • 具备自检能力,能检测设备的状态和故障,并可对故障进行自动恢复或者报警;

  • 在前面板提供工作状况指示灯,指示密码机设备的工作情况,包括:电源指示灯、整机健康状况指示灯。

     

4、关键处理能力

  •  3DES算法的加解密速率:700Mbps。

  • 1024位的RSA算法的签名交易处理速度:5000次/秒。

  • 1024位的RSA算法的验签交易处理速度:22000次/秒。

  • 2048位的RSA算法的签名交易处理速度:2000次/秒。

  • 2048位的RSA算法的验签交易处理速度:21000次/秒。

  • 转PIN(3DSE转3DES)指令交易处理速度:40000次/秒。

  • 计算/验证MAC(3DES)指令交易处理速度:38000次/秒。

  • SM2算法的签名交易处理速度:3000次/秒。

  • SM2算法的验签交易处理速度:2000次/秒。

  • SM3算法的交易处理速度:800Mbps。

  • SM4算法加解密速率:700Mbps。

  • 转PIN(SM4转SM4、3DES转SM4、SM4转3DES)指令交易处理速度:40000次/秒。

  • 计算/验证MAC(SM4)指令交易处理速度:38000次/秒。

 

5、密钥容量及性能参数

 

  • 单台设备可存储10000个对称密钥。

  • 单台设备可存储100对RSA非对称密钥。

  • 单台设备可存储100对SM2非对称密钥。

  •  单台设备可处理1024个并发连接。 

技术规格

 

参数项

参数值

机箱高度

2U

物理尺寸

482.5 x 480 x 89 mm

重量

10kg

功率

150W

电源输入

双电源输入

AC:220VAC(波动范围:100-240VAC);频率50Hz

环境参数

工作温度:5℃--50℃

存储温度:-40℃--55℃

相对湿度:10%-95%

空气洁净度:直径大于0.5μm的灰尘粒子浓度不超过30粒/升,避免过量尘土、棉绒、碳粒、纸纤维杂物、金属杂物、腐蚀性气体

电磁环境:电场强度≤130dB(μV/M),磁场强度≤800A/m

防静电:设备应可靠接地

接地要求

接地电阻小于或等于1.5Ω

平均无故障运行时间

MTBF=100000小时

热耗

510 每小时

网络接口

2个1000M的对外网络接口,一个管理端口,一个业务端口

CPU

Intel Xeon E3

ROM

16G

RAM

8G

加密算法支持

支持国密SM2/SM3/SM4算法

支持DES、3DES、IDEA、AES对称算法

支持MD5、SHA-1、SHA224/256/384/512散列算法?

支持1024位和2048位RSA非对称算法

支持ECB、CBC多种算法模式

磁条卡应用支持

支持密钥产生

支持密钥导入

支持密钥导出

支持合成ZMK

支持LMK加密密钥

支持密钥校验

支持随机PIN

支持加密PIN

支持PIN验证

支持PIN从ZPK到LMK

支持PIN块从TPK到LMK

支持PIN块从LMK到ZPK

支持PIN块从ZPK1到ZPK2

支持MAC产生

支持MAC校验

支持CVN产生

支持CVN校验

支持密码信封打印格式定义

支持密码信封打印

IC应用

支持分散子密钥

支持ARQC/ARPC产生及验证

支持脚本加解密

支持计算脚本MAC

支持数据转加密

支持MAC验证

随机数发生器

支持4路随机数发生器

密钥体系

符合国际雷卡体系ANSI X9.17,支持3层密钥体系

指令接口

支持TCP/IP、API

符合GM/T 0045-2016 《金融数据密码机技术规范》

PBOC2.0/3.0

符合PBOC2.0/3.0规范

产品奖项
相关方案Related programs
东进国密改造解决方案更多
    目前国内银行业金融信息系统在保障客户信息及资金安全方面,广泛采用RSA公钥密码算法、SHA-1、MD5、DES、3DES、AES等国际标准算法来实现数字签名/验签、数据加密/解密、密钥协商等安全功能...
东进金融数据密码机解决方案更多
    东进金融数据密码机的典型应用场景如下:
东进风险管理系统解决方案更多
    东进风险管理系统解决方案随着银行业务的高速扩张,商业银行越来越关注客户风险管理工作。近年来,商业银行虽然在风险预警制度建设方面取得了一定的成效,但是局限于手段比较落后,很多制度不能良好地贯彻执行。客户
联系购买

13911858418



技术支持

24小时技术热线:13590100560