数据加密服务（CloudHSM）基于国密局认证的物理加密机（Hardware Security Module，HSM），利用虚拟化技术，提供弹性、高可用、的数据加解密、密钥管理等云上数据安全服务；符合国家监管合规要求，满足金融、互联网等行业加密需求，保障您的业务数据隐私安全。

腾讯云数据加密服务基于国家密码局认证的硬件加密机，利用虚拟化技术，提供弹性，高可用，的数据加解密、密钥管理等云上数据安全服务，符合国家监管合规要求，满足金融，互联网等行业加密需求，保障您的业务数据隐私安全。

功能

金融数据密码机 EVSM

数据加密服务满足《GM/T 0045-2016 金融数据密码机技术规范》要求，可用于金融支付领域，确保金融数据安全，并符合金融磁条卡、IC 卡业务特点，主要实现 PIN 加密、PIN 转加密、MAC 产生和校验、数据加解密、签名验证以及密钥管理等密码管理功能的云加密实例。

加密算法

• 对称算法：SM1/SM4/DES/3DES/AES128/AES256

• 非对称算法：SM2、RSA（1024-2048）、ECC（NIST P192/P256、SECP192/256、BRAINPOOLP256、FRP256、X25519）

• 摘要算法：SM3、SHA1/SHA256/SHA384

基础服务功能

• 支持雷卡相关指令集。

• 支持金融 IC 卡相关指令集。

• 支持国密算法的金融业务应用。

• 支持 PBOC2.0/3.0 规范。

• 支持 EMV 规范的应用。

• 支持 GP 规范、TSM 规范、ESIM规范的应用。

• 支持交通一卡通规范的应用。

• 支持其它各类行业 IC 卡的应用。

• 支持通用数据加解密、签名验签、摘要计算、密钥管理等服务功能。

性能

• 数据通讯协议：TCP/IP

• 大并发连接：64

• SM1 加密运算性能：600次/秒

• SM2 密钥产生性能：4000次/秒

• SM2 签名运算性能：3000次/秒

• SM2 验签运算性能：2000次/秒

• RSA2048 密钥产生性能：10对/秒

• RSA2048 公钥运算性能：3500次/秒

• RSA2048 私钥运算性能：400次/秒

• SM3 摘要运算性能：5000次/秒

• SM4 加密运算性能：5000次/秒

• AES128 运算性能：7000次/秒

• AES256 运算性能：6000次/秒

通用服务器密码机 GVSM

数据加密服务满足《GM/T 0030-2014 服务器密码机技术规范》要求，提供国际和国内通用的密码服务接口，能立或并行为多个应用实体提供密码服务和密钥管理服务的云加密实例。

加密算法

• 对称算法：SM1/SM4/DES/3DES/AES128/AES256

• 非对称算法：SM2、RSA（1024-4096）、ECC（NIST P256、BRAINPOOLP256、FRP256）

• 摘要算法：SM3、SHA1/SHA256/SHA384

基础服务功能

• 支持国密 GM/T 0018 密码设备应用接口规范。

• 支持 PKCS#11 接口规范。

• 支持 SUN JCE 接口规范。

• 支持国密算法的 PKI 业务应用。

• 支持通用数据加解密、签名验签、摘要计算、密钥管理等服务功能。

性能

• 数据通讯协议：TCP/IP

• 大并发连接：64

• SM1加密运算性能：600次/秒

• SM2 密钥产生性能：4000次/秒

• SM2 签名运算性能：3000次/秒

• SM2 验签运算性能：2000次/秒

• RSA2048 密钥产生性能：10对/秒

• RSA2048 公钥运算性能：3500次/秒

• RSA2048 私钥运算性能：400次/秒

• SM3 摘要运算性能：5000次/秒

• SM4 加密运算性能：5000次/秒

• AES128 运算性能：7000次/秒

• AES256 运算性能：6000次/秒

场景与架构参考

业务应用、数据加密服务实例、管理 VSM 实例需配置同一 VPC 下，在购买数据加密服务实例以及云服务器时请注意私有网络配置。

产品优势

数据加密服务拥有以下产品优势：

• 符合国家和行业标准的数据加密算法

• 对称加密算法：SM1，SM4，DES，AES。

• 非对称加密算法：SM2，RSA（1024-2048）ECC 等算法。

• 摘要算法：SM3，MD5，SHA1，SHA256，SHA384 等算法。

• 权责分离
  数据加密服务提供权责分离的管理体系和严格的身份认证方法，保障权限安全可控；您可完全把控密钥管理的权限和应用访问的权限，除被授权人或者授权应用外，其它人或者其它应用都无法使用密钥和数据。

• 弹性扩展
  采用云服务密码机的虚拟化技术，可根据您的业务需要弹性增加和缩减后端的虚拟实例，从容应对业务高峰压力，节约资源和成本。

• 便捷管理
  提供与实体密码设备相同的功能与接口，可完全兼容传统应用并方便其向云端迁移。数据加密实例与VPC策略绑定，可以方便和您腾讯云上的业务结合，实现可靠、的数据加密和密钥管理服务。

应用场景

数据加密服务可应用于以下场景：

敏感数据加密

• 面临挑战

• 黑客攻破网络，拖库导致数据泄露风险。

• 用户非法访问，篡改数据、泄露数据风险。

• 解决方案

• 数据在数据库存储是通过 VSM 加密后存储，数据的机密性。

• 数据在数据库存储时，通过 VSM 进行完整性校验数据的完整性。

• 加密密钥采用 VSM 生成和管理的方式，了加密密钥的安全性。

• 客户价值
  杜绝了明文数据被泄露和篡改的风险，提升了系统的健壮性和客户价值。

• 应用领域
  可应用于政务、电商、门户、Web 站点等各类包含大量个人敏感信息的系统应用。

金融支付加密

• 面临挑战

• 支付业务都在强监管要求范围内，采取硬件密码设备系统安全性。

• 支付数据在传输、存储过程中完整性、保密性，支付身份认证和支付过程的不可否认性等。

• 解决方案

• 通过 VSM 生成和管理支付终端、支付渠道的主密钥和工作密钥。

• 通多 VSM 提供完整周期的 PIN 加密传输和验证，传输报文的完整验证。

• 通过 VSM 提供支付介质或者用户身份的认证。

• 客户价值
  符合监管合规要求，保障了业务的安全性。

• 应用领域
  可应用于 POS 收单、互联网支付、预付费卡支付、P2P 等各类第三方支付应用中。

电子政务加密

• 面临挑战

• 政务系统要求符合等级保护等级，采取硬件密码设备系统安全性。

• 政务系统相关人员身份需要认证、系统敏感信息需要保护。

• 解决方案

• 通过 VSM 生成和管理各类型的对称密钥和非对称密钥。

• 通多 VSM 提供对称和非对称密钥的数据加密、解密、转加密等服务。

• 通过 VSM 提供证书签发、数据签名、数据延签、身份认证等服务。

• 客户价值
  符合监管合规要求及等级保护要求，保障了系统的安全性。

• 应用领域
  可应用于电子签单、电子公文、电子政务、CA 系统等各类政务系统应用中。

企业信息系统加密

• 面临挑战

• 企业各类信息系统存有大量企业资产、财务报表、人员信息等敏感数据，存在泄漏风险。

• 企业各类信息系统存有大量用户信息，需要认证企业用户身份和权限。

• 解决方案

• 通过 VSM 生成和管理各类型企业信息系统所需的对称和非对称密钥管理。

• 通多 VSM 提供用户身份认证服务。

• 通过 VSM 提供敏感数据加密服务。

• 客户价值
  保障企业资产安全性，防止非法用户授权的访问。

• 应用领域
  可应用于大型企业和事业单位。

电子票据

• 面临挑战

• 电子票据类的应用用户身份的真实性需要安全手段。

• 票据数据的生产，传输，存储过程中的完整性和安全性需要进行。

• 解决方案

• 通过 VSM 生成和管理各类型的对称密钥和非对称密钥。

• 通多 VSM 提供对称和非对称密钥的数据加密、解密、转加密等服务。

• 通过 VSM 提供证书签发、数据签名、数据延签、身份认证等服务。

• 客户价值
  符合监管合规要求，保障了电子化安全性，促进电子化业务发展。

• 应用领域

• 可用于电子病例、电子发票、电子合同、电子保单等各类应用。

• 可用于银行、保险、政务、企业等多种领域。

一般常见问题

如何部署使用数据加密服务？

目前仅开通了北京、上海、广州区域的服务。

例如：如果您的业务部署在广州三区，可以将数据加密服务实例加入该区的 VPC 中，直接通过内网网络使用。

内测时，单账号能申请多少数据加密服务实例？

单个账号多可以申请5个实例，如果需求超过5个实例，请您拨打客服进行申请。

数据加密服务实例管理客户端选用 windows server 2008 操作系统吗？

数据加密服务实例管理客户端为 windows 系统，考虑到兼容性问题，推荐您使用 windows server 2008 操作系统。

身份认证卡 USBKey 如何获取？

您购买数据加密服务实例后，需要使用身份认证卡 USBKey 来进行实例的管理。
请您登录腾讯云官网，填写申请单并留下您的交易单号和收货地址，我们会尽快为您安排身份认证卡 USBKey 的寄送。

业务应用和加密实例不在同一个 VPC 内，应该如何处理？

在保障延迟数据可控的情况下，您可以选择选择采用对等连接、云联网、VPN 方式，建立业务应用与数据加密实例的访问连接。

计费问题

数据加密服务如何计费？

数据加密服务以服务实例为单位，预付费包年包月模式进行售卖。

欠费了怎么处理？

腾讯云数据加密服务为预付费产品，需要预先购买服务实例。如您产生欠费，处理说明如下：

• 一个月内，可以正常使用数据加密服务。

• 当1个月<使用时间<=1个月+7天，服务仍然可以正常使用，请您尽快续费。

• 当1个月+7天<使用时间<=1个月+14 天，服务将被停止使用，但是资源仍将保留，请您尽快续费。

• 当1个月+14天<使用时间，过期的服务将会销毁，销毁的资源将无法找回，服务将无法续费使用，加密的数据将无法解密。