Conecte-se
Fazer login

Galeria de mapas mentais Serviço de criptografia em nuvem Alibaba

Serviço de criptografia em nuvem Alibaba

O serviço de criptografia é baseado em uma máquina de criptografia de hardware certificada pelo National Cryptozoology Bureau, que fornece serviços de criptografia e descriptografia de dados em nuvem. Os usuários podem gerenciar chaves com segurança e confiabilidade e também podem usar uma variedade de algoritmos de criptografia para realizar operações confiáveis de criptografia e descriptografia. em dados de negócios na nuvem.

Editado em 2024-01-16 09:41:36

슈퍼직장인

Trabalhos recentes Ver mais trabalhos>>

Serviço de criptografia em nuvem Alibaba

슈퍼직장인

Trabalhos recentes Ver mais trabalhos>>

Recomendado para você
Descrição

Plataforma de Inteligência Artificial Alibaba Cloud PAI
- 11
WSb6eYgD
Grade de serviço de nuvem Alibaba ASM
- 6
슈퍼직장인
Serviço de alta disponibilidade em nuvem Alibaba AHAS
- 5
슈퍼직장인
Fila de mensagens do Alibaba Cloud
- 8
슈퍼직장인
Gerente de segurança em nuvem do Alibaba
- 7
슈퍼직장인
Centro de segurança de operação e manutenção do Alibaba Cloud (Bastion Host)
- 5
슈퍼직장인
Serviço de gerenciamento de certificados digitais Alibaba Cloud
- 7
슈퍼직장인
Teste de penetração na nuvem Alibaba
- 5
슈퍼직장인
Firewall de aplicativo da Web Alibaba Cloud WAF
- 4
슈퍼직장인
Serviço de recuperação de desastres em nuvem híbrida Alibaba Cloud HDR
- 6
슈퍼직장인

Serviço de criptografia em nuvem Alibaba

Introdução do produto

Visão geral

O serviço subjacente do serviço de criptografia usa uma máquina criptográfica de hardware que foi testada e certificada pela Administração Criptozoológica do Estado ou aprovada na certificação FIPS 140-2 nível 3.

Por meio da tecnologia de virtualização, ajudamos os usuários a atender aos requisitos de conformidade regulatória para segurança de dados e proteger os requisitos de privacidade dos dados empresariais na nuvem. Com a ajuda de serviços de criptografia, os usuários podem gerenciar chaves com segurança e confiabilidade e também podem usar uma variedade de algoritmos de criptografia para realizar operações confiáveis de criptografia e descriptografia de dados.

O serviço criptográfico pode ajudá-lo a realizar cálculos criptográficos como:

Gere, armazene, importe, exporte e gerencie chaves de criptografia, incluindo chaves simétricas e pares de chaves assimétricas.

Criptografe e descriptografe dados usando algoritmos simétricos e assimétricos.

Use uma função hash para calcular o resumo da mensagem e o código de autenticação de mensagem baseado em hash (HMAC).

Assine dados digitalmente e verifique assinaturas.

Gere dados aleatórios seguros.

Cenários de aplicação

Migrar o aplicativo da máquina criptográfica na sala de computadores local para o servidor em nuvem

Quando seu aplicativo de máquina de criptografia da sala de computadores local é migrado para um servidor em nuvem, você pode usar diretamente os serviços de criptografia para substituir a máquina de criptografia da sala de computadores local para implementar criptografia e descriptografia de dados, verificação de assinatura e outras funções para proteger a segurança de seus dados na nuvem.

Campos relacionados ao pagamento financeiro

Por exemplo, em cenários como títulos e pagamento e liquidação bancária, você pode usar a máquina de criptografia de dados financeiros EVSM para implementar criptografia de PIN, conversão de PIN, etc. para proteger a segurança de dados financeiros em cenários como pagamento e liquidação de plataforma de conexão de rede; você pode usar o servidor de verificação de assinatura SVSM para implementar funções de verificação de assinatura, análise de certificado e verificação de cadeia de certificado, garantindo a autenticidade, integridade e não repúdio do negócio.

Fornece funções de criptografia e descriptografia compatíveis para aplicativos de criptografia

Por exemplo, você pode usar serviços de criptografia para implementar criptografia e descriptografia de dados confidenciais em sistemas de aplicativos para KMS exclusivo do Alibaba Cloud, criptografia e descriptografia de dados de banco de dados para aplicativos de criptografia de banco de dados e criptografia e descriptografia de armazenamento de arquivos para aplicativos de criptografia de arquivos.

Suporta descarregamento de SSL para sites HTTPS

O serviço de criptografia fornece offloading SSL, reduzindo a pressão de desempenho no servidor e melhorando a velocidade de resposta de acesso do cliente. Ao mesmo tempo, o serviço de criptografia utiliza uma máquina criptográfica para gerar uma chave privada de certificado, que fortalece a proteção da chave privada e evita que a chave privada vaze do servidor, melhorando assim sua segurança.

Proteger a chave privada do certificado

Para certificados digitais emitidos por autoridades de certificação, você pode armazenar a chave privada do certificado em uma máquina criptográfica e usar a máquina criptográfica para executar operações de assinatura para proteger a segurança da chave privada do seu certificado.

Integração Oracle TDE

O serviço de criptografia é integrado ao banco de dados Oracle para fornecer aos usuários a funcionalidade Transparent Data Encryption (TDE). O TDE armazena a chave de criptografia em uma máquina de criptografia fora do banco de dados e usa a chave para criptografar dados confidenciais no arquivo de dados para garantir a segurança dos dados confidenciais.

Criptografia de dados confidenciais

Em setores como serviços públicos, comércio eletrônico e finanças, os serviços de criptografia podem ser integrados a aplicativos para criptografar ou armazenar dados confidenciais do usuário para atender aos requisitos de segurança e conformidade.

Vantagens do produto

Atenda aos requisitos de conformidade regulatória

A máquina criptográfica de dados financeiros EVSM atende aos requisitos dos "Requisitos técnicos de segurança GMT0028-2014 para módulos criptográficos" e "Especificações técnicas GM/T0045-2016 para máquinas criptográficas de dados financeiros".

A máquina criptográfica de dados geral GVSM atende aos requisitos dos "Requisitos técnicos de segurança GMT0028-2014 para módulos criptozoológicos" e "Especificações técnicas GM/T0030-2014 para máquinas de criptografia de servidor".

O servidor de verificação de assinatura SVSM atende aos requisitos dos "Requisitos técnicos de segurança GMT 0028-2014 para módulos criptozoológicos" e "Especificações técnicas GM/T 0029-2014 para servidores de verificação de assinatura".

A máquina criptográfica universal atende à certificação FIPS 140-2 Nível 3.

Interfaces ricas e padrão da indústria e algoritmos de criptografia

O serviço de criptografia oferece suporte a um rico conjunto de interfaces e algoritmos de criptografia padrão do setor. Por exemplo, com base no suporte aos requisitos originais de segurança dos negócios financeiros, o EVSM expandiu o suporte a aplicativos de algoritmos criptográficos domésticos SM1, SM2, SM3 e SM4 no campo financeiro e está em conformidade com PBOC2.0, PBOC3.0, GP e outras especificações de aplicação e Ministério da Construção, transporte e outros padrões da indústria.

Gerenciamento seguro de chaves

O gerenciamento de dispositivos e as permissões de gerenciamento de chaves são separados. Alibaba Cloud só pode gerenciar equipamentos de hardware de máquinas criptográficas, que incluem principalmente monitoramento de indicadores de disponibilidade de equipamentos, ativação de serviços, etc. A chave é totalmente gerenciada pelo cliente e o Alibaba Cloud não tem como obter a chave do cliente.

Expansão elástica

Ao usar serviços de criptografia, você pode ajustar com flexibilidade o número de máquinas criptográficas adquiridas para implantação com base nas condições reais e usar o balanceamento de carga para atender a diferentes requisitos de operação de criptografia e descriptografia.

Alta disponibilidade do cluster

O serviço de criptografia oferece suporte a funções de gerenciamento de cluster. Você pode adicionar várias máquinas criptográficas adquiridas a um cluster para aumentar rapidamente a alta disponibilidade das máquinas criptográficas e reduzir o risco de interrupção dos negócios e perda de dados principais.

Uso conveniente da nuvem

Com o serviço de criptografia, você pode implantar a máquina de criptografia adquirida em sua rede privada VPC designada, gerenciá-la e chamá-la com segurança por meio do endereço IP privado designado e usá-la facilmente com os negócios no servidor em nuvem.

Termos comuns

Exemplo de máquina de criptografia

Uma instância de máquina criptográfica é um recurso formado pela virtualização do módulo de criptografia de hardware de uma máquina criptográfica. A instância da máquina criptográfica tem a mesma conformidade que o módulo de criptografia de hardware, pode realizar todas as funções do serviço de criptografia e tem a capacidade de criptografar e descriptografar dados.

carteira de identidade

O cartão de autenticação de identidade (chave USB) é a informação de identificação exclusiva para o serviço de criptografia e pode ser usado com a ferramenta de gerenciamento de cliente da máquina de criptografia para gerenciar a chave.

Características

Máquinas criptográficas suportadas

Os tipos de máquinas de criptografia suportados pelo serviço de criptografia incluem máquina de criptografia de dados financeiros EVSM (Electronic Virtual Security Module), máquina de criptografia de dados geral GVSM (General Virtual Security Module), servidor de verificação de assinatura SVSM (Sign Virtual Security Module) e máquina de criptografia geral FIPS . Os algoritmos de criptografia, especificações de interface e outras informações suportadas pela máquina criptográfica são os seguintes.

EVSM

Características ilustrar Descrição da função EVSM atende aos requisitos de "Requisitos técnicos de segurança GMT0028-2014 para módulos criptozoológicos" e "Especificações técnicas GM/T0045-2016 para criptomáquina de dados financeiros". Ele também oferece suporte a aplicações de negócios financeiros de algoritmos de criptografia nacionais e aplicações de cartões IC em outros diversos setores. Pode ser utilizado para No domínio dos pagamentos financeiros, garantir a segurança dos dados financeiros. O EVSM pode ajudá-lo a implementar funções de gerenciamento de senhas, incluindo criptografia de PIN, conversão de PIN, geração e verificação de MAC, criptografia e descriptografia geral de dados, verificação de assinatura e gerenciamento de chaves. Especificação de interface Especificações compatíveis: PBOC 2.0, PBOC 3.0, EMV2000, GP, TSM, ESIM e cartão de transporte Conjunto de instruções suportado: relacionado à Leica e ao cartão IC financeiro Algoritmo de criptografia Algoritmo de criptografia simétrica: suporta SM1, SM4, DES, 3DES, AES (suporta chaves de 128 e 256 bits) Algoritmo de criptografia assimétrica: suporta SM2, RSA (comprimento de chave de 2048 ~ 4096 bits), ECC (NISTP192/P256, SECP192/256, BRAINPOOLP256, FRP256, X25519) Algoritmo de resumo: suporta SM3, SHA1, SHA256, SHA384, SHA512 Referência de desempenho Protocolo de comunicação de dados: TCP/IP Número máximo de conexões simultâneas: 256 O comprimento dos dados de teste é de 32 bytes e o desempenho é o seguinte: Desempenho da operação de criptografia SM1: 600 vezes/segundo, tempo de resposta: 0,006 segundos Desempenho de geração de chave SM2: 4.000 vezes/segundo, tempo de resposta: 0,006 segundos Desempenho de operação de assinatura SM2: 3.000 vezes/segundo, tempo de resposta: 0,008 segundos Desempenho da operação de verificação de assinatura SM2: 2.000 vezes/segundo, tempo de resposta: 0,026 segundos Desempenho de geração de chave RSA2048: 6 pares/segundo, tempo de resposta: 8,605 segundos Desempenho de operação de chave pública RSA2048: 3.500 vezes/segundo, tempo de resposta: 0,008 segundos Desempenho de operação de chave privada RSA2048: 400 vezes/segundo, tempo de resposta: 0,018 segundos Desempenho de operação resumida SM3: 5.000 vezes/segundo, tempo de resposta: 0,009 segundos Desempenho da operação de criptografia SM4: 5.000 vezes/segundo, tempo de resposta: 0,003 segundos Desempenho de computação AES128: 7.000 vezes/segundo, tempo de resposta: 0,004 segundos Desempenho de operação AES256: 6.000 vezes/segundo, tempo de resposta: 0,004 segundos

GVSM

Características ilustrar Descrição da função O GVSM atende aos requisitos de "Requisitos técnicos de segurança GMT0028-2014 para módulos criptozoológicos" e "Especificações técnicas GM/T0030-2014 para máquinas de criptografia de servidor", fornece uma interface de serviço criptográfico aceita internacionalmente e oferece suporte a aplicativos de negócios PKI (Infraestrutura de chave pública) de algoritmos criptográficos nacionais. O GVSM pode ajudá-lo a fornecer serviços criptográficos e serviços de gerenciamento de chaves para múltiplas entidades de aplicação de forma independente ou em paralelo. Especificação de interface Especificação de interface de aplicação de equipamento criptozoológico nacional de criptozoologia GMT0018-2012 Especificação da interface PKCS#11 Especificação da interface SunJCE API de criptografia da Microsoft: próxima geração (CNG) Algoritmo de criptografia Algoritmo de criptografia simétrica: suporta SM1, SM4, DES, 3DES, AES (suporta chaves de 128 e 256 bits) Algoritmo de criptografia assimétrica: suporta SM2, RSA (comprimento de chave de 2048 ~ 4096 bits), ECC (NIST P256, BRAINPOOLP256, FRP256) Algoritmo de resumo: suporta SM3, SHA1, SHA256, SHA384, SHA512 Referência de desempenho Protocolo de comunicação de dados: TCP/IP Máximo de conexões simultâneas: 64 O comprimento dos dados de teste é de 32 bytes e o desempenho é o seguinte: Desempenho da operação de criptografia SM1: 600 vezes/segundo, tempo de resposta: 0,006 segundos Desempenho de geração de chave SM2: 4.000 vezes/segundo, tempo de resposta: 0,006 segundos Desempenho de operação de assinatura SM2: 3.000 vezes/segundo, tempo de resposta: 0,008 segundos Desempenho da operação de verificação de assinatura SM2: 2.000 vezes/segundo, tempo de resposta: 0,026 segundos Desempenho de geração de chave RSA2048: 6 pares/segundo, tempo de resposta: 8,605 segundos Desempenho de operação de chave pública RSA2048: 3.500 vezes/segundo, tempo de resposta: 0,008 segundos Desempenho de operação de chave privada RSA2048: 400 vezes/segundo, tempo de resposta: 0,018 segundos Desempenho de operação resumida SM3: 5.000 vezes/segundo, tempo de resposta: 0,009 segundos Desempenho da operação de criptografia SM4: 5.000 vezes/segundo, tempo de resposta: 0,003 segundos Desempenho de computação AES128: 7.000 vezes/segundo, tempo de resposta: 0,004 segundos Desempenho de operação AES256: 6.000 vezes/segundo, tempo de resposta: 0,004 segundos

SVSM

Características ilustrar Descrição da função SVSM atende aos requisitos de "Requisitos técnicos de segurança GMT 0028-2014 para módulos criptozoológicos" e "Especificações técnicas GM/T 0029-2014 para servidores de verificação de assinatura" e fornece funções de computação baseadas no sistema PKI e certificados digitais, incluindo XML, códigos QR , códigos de barras, funções de verificação de assinatura eletrônica, como assinaturas e carimbos de data e hora, análise de certificados e funções de verificação de cadeia de certificados. Você pode usar o SVSM nos seguintes cenários para garantir a autenticidade, a integridade e o não repúdio das informações comerciais. Pagamento de segunda geração do Banco Popular da China Pagamento e compensação em plataformas de Internet Serviço de pagamento sem cartão UnionPay Comércio eletrônico transfronteiriço aduaneiro Especificação de interface Suporta verificação de assinatura PKCS#1 Suporta verificação de assinatura PKCS#7 Suporta envelopes digitais PKCS#7 Algoritmo de criptografia Algoritmo de criptografia simétrica: suporta SM1, SM4, DES, 3DES, AES (suporta chaves de 128 e 256 bits) Algoritmo de criptografia assimétrica: suporta SM2, RSA (comprimento de chave de 2.048 ~ 4.096 bits), ECC Algoritmo de resumo: suporta SM3, SHA1, SHA256, SHA384, SHA512 Referência de desempenho Protocolo de comunicação de dados: TCP/IP, HTTP, HTTPS Máximo de conexões simultâneas: 1.000 O comprimento dos dados de teste é de 256 bytes e o desempenho é o seguinte: SM2 PKCS#7 Desempenho de operação de assinatura anexada com texto original: 2.100 vezes/segundo, tempo de resposta: 0,009 segundos SM2 PKCS#7 Desempenho da operação de verificação de assinatura anexada com texto original: 1.100 vezes/segundo, tempo de resposta: 0,018 segundos SM2 PKCS#7 Desempenho de operação de assinatura separada sem texto original: 2.200 vezes/segundo, tempo de resposta: 0,009 segundos SM2 PKCS#7 Desempenho da operação de verificação de assinatura separada sem texto original: 1.200 vezes/segundo, tempo de resposta: 0,025 segundos SM2 PKCS#1 Desempenho de operação de assinatura simples: 2.300 vezes/segundo, tempo de resposta: 0,006 segundos SM2 PKCS#1 Desempenho da operação de verificação de assinatura nua bruta: 1.300 vezes/segundo, tempo de resposta: 0,018 segundos RSA2048 PKCS#7 Desempenho de operação de assinatura anexada com texto original: 350 vezes/segundo, tempo de resposta: 0,78 segundos RSA2048 PKCS#7 Desempenho da operação de verificação de assinatura anexada com texto original: 1.500 vezes/segundo, tempo de resposta: 0,025 segundos RSA2048 PKCS#7 Desempenho de operação de assinatura separada sem texto original: 330 vezes/segundo, tempo de resposta: 0,018 segundos RSA2048 PKCS#7 Desempenho da operação de verificação de assinatura separada sem texto original: 1.800 vezes/segundo, tempo de resposta: 0,025 segundos RSA2048 PKCS#1 Desempenho bruto da operação de assinatura nua: 400 vezes/segundo, tempo de resposta: 0,075 segundos RSA2048 PKCS#1 Desempenho bruto da operação de verificação de assinatura nua: 2.300 vezes/segundo, tempo de resposta: 0,011 segundos

Máquina de criptografia universal

Características ilustrar Descrição da função O hardware e firmware da máquina criptográfica universal atendem à certificação FIPS 140-2 Nível 3. Os usuários podem gerenciar chaves com segurança e confiabilidade e também podem usar uma variedade de algoritmos de criptografia para realizar operações confiáveis de criptografia e descriptografia de dados. Especificação de interface Especificação da interface PKCS#11 Algoritmo de criptografia Algoritmo de criptografia simétrica: suporta DES, 3DES, AES (suporta chaves de 128, 192 e 256 bits) Algoritmo de criptografia assimétrica: suporta RSA (comprimento de chave de 2.048 ~ 4.096 bits), ECC Algoritmo de resumo: suporta SHA1, SHA256, SHA384, SHA512 Referência de desempenho Desempenho da operação de verificação de assinatura RSA2048: 1.100 vezes/segundo Desempenho de multiplicação de pontos EC P256: 315 vezes/segundo Taxa de criptografia de comunicação duplex AES256: 300 Mbit/s Desempenho de geração de chave RSA2048: 0,5 pares/segundo Taxa de geração de números aleatórios: 20 megabytes/segundo

Serviço de cluster

O serviço de criptografia fornece um serviço de cluster. Ao associar um grupo de instâncias de máquinas criptográficas em diferentes zonas de disponibilidade na mesma região e usadas para o mesmo negócio, o gerenciamento unificado é fornecido para fornecer alta disponibilidade, balanceamento de carga e recursos de expansão horizontal para computação criptográfica. aplicações de negócios. Um cluster inclui uma instância de máquina criptográfica mestre e diversas instâncias de máquina criptográfica não mestre. As instâncias de máquina criptográfica em uma zona de disponibilidade no cluster usam a mesma sub-rede.

auditoria de segurança

O serviço de criptografia oferece suporte a serviços de auditoria de segurança. Por meio do serviço de auditoria de segurança, você pode salvar automaticamente as principais informações operacionais da instância da máquina criptográfica no OSS (Object Storage Service) e persisti-las em um formato de log de auditoria específico para atender aos requisitos de conformidade e auditoria. As informações no log de auditoria incluem, mas não estão limitadas a: registrar um administrador, adicionar uma chave, exportar uma chave e outras informações operacionais.