nShield 连接 HSM
nShield 连接 HSM 是通过认证的硬件安全设备,可为网络中的各种应用程序提供加密服务。nShield HSM 硬件安全设备是强化的防篡改平台,可用于执行加密、数字签名、密钥生成和保护等功能。 这些 HSM 具有全面的功能,可以为各种应用程序(如证书颁发机构、代码签名等)提供支持。
远程配置节省了往返于数据中心的高昂成本
最新的 nShield 连接 XC 型号提供了一个串行端口选项,它能够帮助企业节省往返于数据中心的高昂成本。 远程配置功能包括:
- 启动和更改 HSM 网络设置,例如 IP 地址
- 支持提供商/租户部署模型,在将 HSM 的控制权交给租户之前,提供商可以轻松对 nShield HSM 硬件安全设备进行配置。 角色分离可防止将加密密钥材料暴露给提供商。
- 使用周期结束后会清除密钥材料并解除 nShield HSM 硬件安全设备授权,为下一次部署做好准备。
技术人员只需将 nShield HSM 硬件安全设备放置到机架,完成电缆连接,接入数据中心的串行集中器,即可通过 nShield 连接 XC 执行远程配置和管理。 这一选项减少了在数据中心配置专业人员的需求,同时提高了作业效率和客户对 HSM 的掌控性。
nShield 连接的优势
强大的架构
通过 Entrust 的统一生态系统 Security World 来构建和发展您的 HSM 资产,为您提供可扩展性、无缝故障转移和负载平衡。
更快的数据处理
获得业界最高的加密交易速率。 是注重吞吐量环境的理想选择。
保护敏感的业务和应用逻辑
在 nShield 的边界内执行代码,保护您的应用程序及其处理的数据。
详情
技术规格
通过认证的硬件解决方案
Entrust 取得了 nShield 产品的一系列认证。 这些认证在满足客户合规性要求的同时,确保其 nShield HSM 符合严格的行业标准。
安全合规性
- FIPS 140-2 2 级和 3 级认证
- USGv6 认证
- 根据荷兰 NSCIB 计划,对 EN 419 221-5 保护配置文件进行 eIDAS 和通用标准 EAL4 + AVA_VAN.5 以及 ALC_FLR.2 认证
- 可用作 EN 419 241-2 认证的 eIDAS 远程签名系统的基础。
- 符合 BSI AIS 31 生成真实和确定性随机数的要求
- nShield Connect+ 型号通过了通用标准 EAL4+ (AVA_VAN.5) 认证
- nShield Connect+ 获得了 Qualified Signature Creation Device (QSCD) 认证
- ICP 巴西认证(NSC3 级)
安全和环境标准合规性
- UL、CE、FCC、RCM、加拿大 ICES
- RoHS2、WEEE
高交易速率
nShield HSM 具有较高的椭圆曲线加密 (ECC) 和 RSA 交易速率。 ECC 是最有效的加密算法之一,在注重低功耗的环境中(例如用于在小型传感器或移动设备上运行的应用程序)尤其受欢迎。
| nShield 连接型号 | 500+ | XC Base | 1500+ | 6000+ | XC Mid | XC High |
|---|---|---|---|---|---|---|
| RSA 签名性能 (tps)(使用 NIST 推荐密钥长度) | ||||||
| 2048 位 | 150 | 430 | 450 | 3000 | 3500 | 8600 |
| 4096 位 | 80 | 100 | 190 | 500 | 850 | 2025 |
| ECC 主曲线签名性能 (tps) (使用 NIST 推荐密钥长度) | ||||||
| 256 位 | 540 | 680 | 1260 | 2400 | 75121 | 144001 |
Note 1: Performance indicated requires ECDSA fast RNG feature activation available free of charge on request from Entrust Support.
支持各种 API、加密算法和操作系统
支持的 API
- PKCS#11、OpenSSL、Java (JCE)、Microsoft CAPI/ CNG 以及 Web 服务(需要 Web 服务选项包)
支持的加密算法
- 非对称公钥算法: RSA、Diffie-Hellman、ECMQV、DSA、KCDSA、ECDSA、ECDH、Edwards(X25519、Ed25519ph)
- 对称算法: AES、AES-GCM、ARIA、Camellia、CAST、RIPEMD160 HMAC、SEED、Triple DES
- 哈希/消息摘要: SHA-1、SHA-2(224、256、384、512 位)、HAS-160
- 完全的 Suite B(加密支持)实施以及获得完全许可的 ECC,包括 Brainpool 和自定义曲线
- Elliptic Curve Key Agreement (ECKA) available via Java API and nCore APIs
- Elliptic Curve Integrated Encryption Scheme (ECIES) available via Java API, PKCS#11 and nCore APIs
作为其标准功能集的一部分,nShield HSM 支持其中大多数加密算法。 如果组织要使用 ECC 或韩国算法,则需要其他可选的激活许可证。
支持的平台
Windows 和 Linux 操作系统,包括 RedHat、SUSE 和其他主要云服务提供商发行的作为虚拟机使用或在容器中运行的发行版本。
可靠性
使用 Telcordia SR-332 “电子设备可靠性预测程序” MTBF 标准在 25°C 的工作温度下进行计算
- Connect XC 107,384 小时
- Connect+ 99,284 小时
选项和配件
性能评级和选项
为满足您的应用程序性能需求,Entrust 为您提供多种 nShield Connect 型号,详情显示在“技术规格”选项卡中。 您可以在那里查看各种型号并根据需要进行选择,您还可以购买 XC 型号现场升级,将其从较低性能型号升级到更高性能型号。
客户端许可证
nShield Connect HSM 附带三个客户端许可证,每个许可证都允许连接到一个 IP 地址。 您还可以购买其他许可证。 不同 nShield Connect 型号支持的最大许可证数量不同,具体请参见下表。
单个 nShield Connect 型号支持的最大客户端许可证数量
XC Base/500+ 10 个许可证
XC Mid/1500+ 20 个许可证
XC High/6000+ 无数量限制*
注意 * 需要激活企业客户端许可证
软件选项包
Entrust 提供一系列可与 nShield HSM 一起使用的选项包。
nShield Monitor 系统
nShield Monitor 是一个监控平台,可帮助您获得 nShield HSM 运行状态的全天候可见性。 借助该解决方案,安全团队可以高效地检查 HSM 状态,迅速发现可能会危及任务关键型基础设施的任何潜在的安全、配置或使用问题。
远程管理模块
nShield 远程管理支持操作人员从办公地点远程管理分布式 nShield HSM(包括添加应用程序、升级固件、检查运行状态、重新启动等),从而减少差旅时间并节约了成本。 远程管理套件包含设置和使用该工具所需的硬件和软件。 套件适用于 nShield Solo 和 nShield Connect HSM。
CodeSafe
CodeSafe 是一个功能强大且安全的环境,允许您在 nShield HSM 的安全边界内执行应用程序。 应用程序包括与银行、智能计量、身份验证代理、数字签名代理和自定义加密流程相关的加密技术和高价值业务逻辑。 CodeSafe 适用于 FIPS 140-2 3 级认证的 nShield Solo 和 nShield Connect HSM。
CipherTools
CipherTools 是一套包含教程、参考文档、示例程序和其他库的工具包。 借助此工具包,开发人员可以充分利用 nShield HSM 的高级集成功能。 除了为标准 API 提供支持外,该工具包还支持您使用 nShield HSM 运行自定义应用程序。 CipherTools 开发人员工具包包含在 Security World 软件的 ISO/DVD 中,免费向您提供。
nToken
nTokens PCIe 卡可用于进行基于硬件的主机识别和验证,能够满足安全团队对 nShield Connect HSM 客户端进行严格身份验证的需求。
椭圆曲线加密 (ECC) 激活
借助 ECC 激活许可证,您可以在 nShield HSM 中使用 EC-DH、EC-DSA 和 EC-MQV。
KCDSA 激活
借助 KCDSA 激活许可证,您可以在 nShield HSM 中使用韩国证书数字签名算法 (KCSDA) 以及 HAS-160、SEED 和 ARIA 算法。
滑轨
Entrust 提供了多种可选滑轨,方便用户在没有架子的情况下将 nShield Connect 安装在 19 英寸的机架中。 我们建议客户使用我们提供的滑轨,因为其他制造商的零件可能会不兼容。
键盘
nShield Connect HSM 的多数功能都可以通过设备前端的触控转盘轻松执行。 但 Entrust 仍为客户提供了 USB 键盘选项,它可以帮助您获得更好的使用体验。
现场可更换零件
操作人员可以在现场更换 nShield Connect 零件,保证最大限度地减少停机时间。 这些零件包括双热插拔电源和现场可更换风扇托架(要求 nShield Connect 处于待机状态)。相关产品
听听我们客户的评价...
Square
We have a long history together and we’re extremely comfortable continuing to rely on Entrust solutions for the core of our business. We have used Entrust HSMs for five years and they have always been exceptionally reliable. We’ve layered a lot of code on top of the HSM; it delivers the performance we need and has proven to be a rock-solid foundation.
Verifone
As a global payment solutions and commerce enablement leader, Verifone’s strategy is to develop and deploy “best in class” payment solutions and services that meet or exceed global security standards and help our clients securely accept electronic payments across all channels of commerce. We selected Entrust HSMs to provide robust security, unmatched performance, and superior scalability across our payment security platforms…
Memjet
The Entrust nShield sales team provided excellent local and remote support during this evaluation period and was invaluable to the process. The excellent depth, breadth, and quality of the product documentation gave us confidence that the solution was well though-out and supported.
Polycom
Entrust provided the expertise needed to design and implement a tailored, secure VoIP solution.