数据加密服务(CloudHSM)基于国密局认证的物理加密机(Hardware Security Module,HSM),利用虚拟化技术,提供弹性、高可用、高性能的数据加解密、密钥管理等云上数据安全服务;符合国家监管合规要求,满足金融、互联网等行业加密需求,保障您的业务数据隐私安全。

数据加密服务(CloudHSM)基于国密局认证的物理加密机(Hardware Security Module,HSM),利用虚拟化技术,提供弹性、高可用、高性能的数据加解密、密钥管理等云上数据安全服务;符合国家监管合规要求,满足金融、互联网等行业加密需求,保障您的业务数据隐私安全。


监管合规

采用符合国密局要求和金融等行业规范的云服务密码机提供数据加密服务,保障数据安全,规避风险

 


多样化业务场景

提供金融数据密码机 EVSM、通用服务器密码机 GVSM,以满足不同业务场景下,密码机国密技术规范要求


高兼容性

提供与实体密码设备相同的功能与接口,可完全兼容传统应用并方便其向云端迁移

 


方便云上管理

可以方便和您腾讯云上的业务结合,实现可靠、高效的数据加密和密钥管理服务


功能

金融数据密码机 EVSM

数据加密服务满足《GM/T 0045-2016 金融数据密码机技术规范》要求,可用于金融支付领域,确保金融数据安全,并符合金融磁条卡、IC 卡业务特点,主要实现 PIN 加密、PIN 转加密、MAC 产生和校验、数据加解密、签名验证以及密钥管理等密码管理功能的云加密实例。

加密算法

  • 对称算法:SM1/SM4/DES/3DES/AES128/AES256

  • 非对称算法:SM2、RSA(1024-2048)、ECC(NIST P192/P256、SECP192/256、BRAINPOOLP256、FRP256、X25519)

  • 摘要算法:SM3、SHA1/SHA256/SHA384

基础服务功能

  • 支持雷卡相关指令集。

  • 支持金融 IC 卡相关指令集。

  • 支持国密算法的金融业务应用。

  • 支持 PBOC2.0/3.0 规范。

  • 支持 EMV 规范的应用。

  • 支持 GP 规范、TSM 规范、ESIM规范的应用。

  • 支持交通一卡通规范的应用。

  • 支持其它各类行业 IC 卡的应用。

  • 支持通用数据加解密、签名验签、摘要计算、密钥管理等服务功能。

性能

  • 数据通讯协议:TCP/IP

  • 最大并发连接:64

  • SM1 加密运算性能:600次/秒

  • SM2 密钥产生性能:4000次/秒

  • SM2 签名运算性能:3000次/秒

  • SM2 验签运算性能:2000次/秒

  • RSA2048 密钥产生性能:10对/秒

  • RSA2048 公钥运算性能:3500次/秒

  • RSA2048 私钥运算性能:400次/秒

  • SM3 摘要运算性能:5000次/秒

  • SM4 加密运算性能:5000次/秒

  • AES128 运算性能:7000次/秒

  • AES256 运算性能:6000次/秒

通用服务器密码机 GVSM

数据加密服务满足《GM/T 0030-2014 服务器密码机技术规范》要求,提供国际和国内通用的密码服务接口,能独立或并行为多个应用实体提供密码服务和密钥管理服务的云加密实例。

加密算法

  • 对称算法:SM1/SM4/DES/3DES/AES128/AES256

  • 非对称算法:SM2、RSA(1024-4096)、ECC(NIST P256、BRAINPOOLP256、FRP256)

  • 摘要算法:SM3、SHA1/SHA256/SHA384

基础服务功能

  • 支持国密 GM/T 0018 密码设备应用接口规范。

  • 支持 PKCS#11 接口规范。

  • 支持 SUN JCE 接口规范。

  • 支持国密算法的 PKI 业务应用。

  • 支持通用数据加解密、签名验签、摘要计算、密钥管理等服务功能。

性能

  • 数据通讯协议:TCP/IP

  • 最大并发连接:64

  • SM1加密运算性能:600次/秒

  • SM2 密钥产生性能:4000次/秒

  • SM2 签名运算性能:3000次/秒

  • SM2 验签运算性能:2000次/秒

  • RSA2048 密钥产生性能:10对/秒

  • RSA2048 公钥运算性能:3500次/秒

  • RSA2048 私钥运算性能:400次/秒

  • SM3 摘要运算性能:5000次/秒

  • SM4 加密运算性能:5000次/秒

  • AES128 运算性能:7000次/秒

  • AES256 运算性能:6000次/秒

场景与架构参考

业务应用、数据加密服务实例、管理 VSM 实例需配置同一 VPC 下,在购买数据加密服务实例以及云服务器时请注意私有网络配置。

数据加密服务 (CloudHSM)基于国密局认证的物理加密机,利用虚拟化技术,提供弹性、高可用、高性能的数据解密和密钥管理等云上数据安全服务,符合国家监管合规要求,满足金融,互联网等行业加密需求,保障您的业务数据隐私安全。

优势腾讯云数据加密服务传统物理密码机开源软件加密
符合国密局标准服务底层使用经国家密码管理局检测认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私。采用符合国家和行业规范的物理密码机提供数据加密服务。无法保证符合国家和行业规范,无法用于金融,政务等行业,存在较大的合规风险。
弹性扩展采用云服务密码机的虚拟化技术,可根据您的业务需要,弹性的增加和缩减后端的虚拟实例,从容应对业务高峰压力,节约资源和成本。不具备弹性伸缩的特点,只能以物理机为单位进行业务扩容,容易造成资源和成本的浪费。弹性扩展能力依赖于提供加密服务的服务端。
安全可靠采用国家密码管理局批准的硬件芯片实现各类密码算法;提供与实体密码设备相同的功能与接口,可完全兼容传统应用并方便其向云端迁移。采用国内和国际的加密算法,保证数据加密安全;支持数据密钥的管理和备份,可以进行物理件的密钥同步;只能采用物理机设备的形式保证业务的可用性,容易造成资源浪费。无法保证加密算法的加密安全性,加密密钥无法安全的备份和管理,高可靠高可用等性能需依托于加密服务器,自建和维护成本高。
方便云上使用可以方便和您腾讯公有云上的业务和产品结合,在同一个 VPC 网络下,实现可靠,高效的数据加密和密钥管理。无法在腾讯公有云上部署,不能与腾讯公有云上的业务和产品进行无缝对接。自行部署和维护。

金融数据密码机 EVSM

数据加密服务满足《GM/T 0045-2016 金融数据密码机技术规范》要求,可用于金融支付领域,确保金融数据安全,并符合金融磁条卡、IC 卡业务特点,主要实现 PIN 加密、PIN 转加密、MAC 产生和校验、数据加解密、签名验证以及密钥管理等密码管理功能的云加密实例。

加密算法

  • 对称算法:SM1/SM4/DES/3DES/AES128/AES256

  • 非对称算法:SM2、RSA(1024-2048)、ECC(NIST P192/P256、SECP192/256、BRAINPOOLP256、FRP256、X25519)

  • 摘要算法:SM3、SHA1/SHA256/SHA384

基础服务功能

  • 支持雷卡相关指令集。

  • 支持金融 IC 卡相关指令集。

  • 支持国密算法的金融业务应用。

  • 支持 PBOC2.0/3.0 规范。

  • 支持 EMV 规范的应用。

  • 支持 GP 规范、TSM 规范、ESIM规范的应用。

  • 支持交通一卡通规范的应用。

  • 支持其它各类行业 IC 卡的应用。

  • 支持通用数据加解密、签名验签、摘要计算、密钥管理等服务功能。

性能

  • 数据通讯协议:TCP/IP

  • 最大并发连接:64

  • SM1 加密运算性能:600次/秒

  • SM2 密钥产生性能:4000次/秒

  • SM2 签名运算性能:3000次/秒

  • SM2 验签运算性能:2000次/秒

  • RSA2048 密钥产生性能:10对/秒

  • RSA2048 公钥运算性能:3500次/秒

  • RSA2048 私钥运算性能:400次/秒

  • SM3 摘要运算性能:5000次/秒

  • SM4 加密运算性能:5000次/秒

  • AES128 运算性能:7000次/秒

  • AES256 运算性能:6000次/秒

通用服务器密码机 GVSM

数据加密服务满足《GM/T 0030-2014 服务器密码机技术规范》要求,提供国际和国内通用的密码服务接口,能独立或并行为多个应用实体提供密码服务和密钥管理服务的云加密实例。

加密算法

  • 对称算法:SM1/SM4/DES/3DES/AES128/AES256

  • 非对称算法:SM2、RSA(1024-4096)、ECC(NIST P256、BRAINPOOLP256、FRP256)

  • 摘要算法:SM3、SHA1/SHA256/SHA384

基础服务功能

  • 支持国密 GM/T 0018 密码设备应用接口规范。

  • 支持 PKCS#11 接口规范。

  • 支持 SUN JCE 接口规范。

  • 支持国密算法的 PKI 业务应用。

  • 支持通用数据加解密、签名验签、摘要计算、密钥管理等服务功能。

性能

  • 数据通讯协议:TCP/IP

  • 最大并发连接:64

  • SM1加密运算性能:600次/秒

  • SM2 密钥产生性能:4000次/秒

  • SM2 签名运算性能:3000次/秒

  • SM2 验签运算性能:2000次/秒

  • RSA2048 密钥产生性能:10对/秒

  • RSA2048 公钥运算性能:3500次/秒

  • RSA2048 私钥运算性能:400次/秒

  • SM3 摘要运算性能:5000次/秒

  • SM4 加密运算性能:5000次/秒

  • AES128 运算性能:7000次/秒

  • AES256 运算性能:6000次/秒

  • 符合国家和行业标准的数据加密算法

    • 对称加密算法:SM1,SM4,DES,AES。

    • 非对称加密算法:SM2,RSA(1024-2048)ECC 等算法。

    • 摘要算法:SM3,MD5,SHA1,SHA256,SHA384 等算法。

  • 权责分离
    数据加密服务提供权责分离的管理体系和严格的身份认证方法,保障权限安全可控;您可完全把控密钥管理的权限和应用访问的权限,除被授权人或者授权应用外,其它人或者其它应用都无法使用密钥和数据。

  • 弹性扩展
    采用云服务密码机的虚拟化技术,可根据您的业务需要弹性增加和缩减后端的虚拟实例,从容应对业务高峰压力,节约资源和成本。

  • 便捷管理
    提供与实体密码设备相同的功能与接口,可完全兼容传统应用并方便其向云端迁移。数据加密实例与VPC策略绑定,可以方便和您腾讯云上的业务结合,实现可靠、高效的数据加密和密钥管理服务。

敏感数据加密

  • 面临挑战

    • 黑客攻破网络,拖库导致数据泄露风险。

    • 用户非法访问,篡改数据、泄露数据风险。

  • 解决方案

    • 数据在数据库存储是通过 VSM 加密后存储,保证数据的机密性。

    • 数据在数据库存储时,通过 VSM 进行完整性校验保证数据的完整性。

    • 加密密钥采用 VSM 生成和管理的方式,保证了加密密钥的安全性。

  • 客户价值
    杜绝了明文数据被泄露和篡改的风险,提升了系统的健壮性和客户价值。

  • 应用领域
    可应用于政务、电商、门户、Web 站点等各类包含大量个人敏感信息的系统应用。

金融支付加密

  • 面临挑战

    • 支付业务都在强监管要求范围内,必须采取硬件密码设备保证系统安全性。

    • 必须保证支付数据在传输、存储过程中完整性、保密性,支付身份认证和支付过程的不可否认性等。

  • 解决方案

    • 通过 VSM 生成和管理支付终端、支付渠道的主密钥和工作密钥。

    • 通多 VSM 提供完整周期的 PIN 加密传输和验证,传输报文的完整验证。

    • 通过 VSM 提供支付介质或者用户身份的认证。

  • 客户价值
    符合监管合规要求,保障了业务的安全性。

  • 应用领域
    可应用于 POS 收单、互联网支付、预付费卡支付、P2P 等各类第三方支付应用中。

电子政务加密

  • 面临挑战

    • 政务系统要求符合等级保护等级,必须采取硬件密码设备保证系统安全性。

    • 政务系统相关人员身份需要认证、系统敏感信息需要保护。

  • 解决方案

    • 通过 VSM 生成和管理各类型的对称密钥和非对称密钥。

    • 通多 VSM 提供对称和非对称密钥的数据加密、解密、转加密等服务。

    • 通过 VSM 提供证书签发、数据签名、数据延签、身份认证等服务。

  • 客户价值
    符合监管合规要求及等级保护要求,保障了系统的安全性。

  • 应用领域
    可应用于电子签单、电子公文、电子政务、CA 系统等各类政务系统应用中。

企业信息系统加密

  • 面临挑战

    • 企业各类信息系统存有大量企业资产、财务报表、人员信息等敏感数据,存在泄漏风险。

    • 企业各类信息系统存有大量用户信息,需要认证企业用户身份和权限。

  • 解决方案

    • 通过 VSM 生成和管理各类型企业信息系统所需的对称和非对称密钥管理。

    • 通多 VSM 提供用户身份认证服务。

    • 通过 VSM 提供敏感数据加密服务。

  • 客户价值
    保障企业资产安全性,防止非法用户授权的访问。

  • 应用领域
    可应用于大型企业和事业单位。

电子票据

  • 面临挑战

    • 电子票据类的应用用户身份的真实性需要安全手段保证。

    • 票据数据的生产,传输,存储过程中的完整性和安全性需要进行保证。

  • 解决方案

    • 通过 VSM 生成和管理各类型的对称密钥和非对称密钥。

    • 通多 VSM 提供对称和非对称密钥的数据加密、解密、转加密等服务。

    • 通过 VSM 提供证书签发、数据签名、数据延签、身份认证等服务。

  • 客户价值
    符合监管合规要求,保障了电子化安全性,促进电子化业务发展。

  • 应用领域

    • 可用于电子病例、电子发票、电子合同、电子保单等各类应用。

    • 可用于银行、保险、政务、企业等多种领域。


www.ksyuwei.cn

www.ksyuwei.cn





www.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cn

如何部署数据加密服务?

目前仅开通了北京、上海、广州区域的服务。

  • 如果您的业务部署在广州三区,可以将数据加密服务实例加入该区的 VPC 中,直接通过内网网络使用。

  • 其他区域可以通过 VPN 通道使用数据加密服务。

内测时,单账号能申请多少数据加密服务实例?

单个账号最多可以申请5个实例,如果您的需求超过5个实例,请您 联系我们 进行申请。

数据加密服务客户端必须选用 Windows Server 2008 操作系统吗?

数据加密服务实例管理客户端必须为 Windows 系统,考虑到兼容性问题,推荐您使用 Windows Server 2008 操作系统。

如何获取身份识别卡(USB key)?

您购买数据加密服务实例后,需要使用身份识别卡(USB key)来进行实例的管理。
请您登录腾讯云官网,填写申请单并留下您的交易单号和收货地址,我们会尽快为您安排身份识别卡(USB key)的寄送。


  • 名称: 数据加密服务CloudHSM
  • 关键词: 数据加密服务,腾讯云