3.3.4 云加密服务

1．简介

云加密服务（Cloud Encryption Service）是云上的加密解决方案，底层采用国家密码管理局认证的物理加密机，利用虚拟化技术，提供弹性、高可用、高性能的数据加解密和密钥管理等云上数据安全服务。云加密服务符合国家监管合规要求，可满足金融、互联网等行业的加密需求，保障业务数据隐私安全。借助加密服务，用户能够对密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。

2．功能描述

加密算法支持

云加密服务支持符合国家和行业标准的数据加密算法，具体如下。

❍ 对称加密算法：SM1、SM4、DES、AES。

❍ 非对称加密算法：SM2、RSA（1024～2048）、ECC等算法。

❍ 摘要算法：SM3、MD5、SHA1、SHA256、SHA384等算法。

金融支付数据加密

云加密服务对符合金融支付规范要求的数据提供加密和验证等服务，保证支付过程中敏感信息的安全性和数据的完整性。云加密服务的主要加密范围包括：

❍ PIN产生/加密/转加密/验证；

❍ MAC计算及验证、TAC验证；

❍ 敏感数据加密、转加密、报文MAC计算及验证；

❍ ARQC验证、ARPC产生、脚本加密、脚本MAC；

❍ 外部认证、更新密钥、内部认证；

❍ CVV/CVN产生及验证、PVV/PVN的产生及校验。

数字签名和密钥管理

云加密服务提供多种数字签名和验证功能，支持密钥的管理和备份，切实保证密钥的安全：

❍ 密钥产生、存储、备份；

❍ PKCS#1、PKCS#7 Detach、PKCS#7 Attach、SM2签名、验证、ECC签名、验证、ECDH；

❍ 管理员USBKEY身份认证；

❍ 服务实例间密钥安全隔离。

3．系统部署架构图

云加密服务系统的部署架构如图3.15所示。云加密服务系统中，多机房分布式部署、加密机的地位对高可用性提出了较高的要求。为了满足云上租户的服务正常使用，云加密服务自身采用3/2/2模式确保租户服务的高可用性。任何一台加密机发生故障时均会自动切换到备用加密机上，切换可在5秒之内完成。