4767 PCIe 加密协处理器的主要功能

高端安全协处理器

IBM 4767 PCIe 加密协处理器是一种高端安全协处理器,在带有多芯片嵌入式模块的 PCIe 卡上实现。它适用于需要高速加密功能来支持数据加密和数字签名、签名密钥安全存储的应用程序,或定制加密应用程序。这些可以包括金融应用程序,例如,自动柜员和销售点交易服务器中的 PIN 生成和验证。

最高级别的认证:FIPS PUB 140-2,4 级

联邦信息处理标准 (FIPS) 由美国国家标准与技术学会 (NIST) 颁发。IBM 4767 加密过程在 HSM 的机箱内执行,该机箱经过 FIPS PUB 140-2 加密模块安全要求的认证,总体安全级别为 4 级。4 级是商业加密设备可实现的最高级别的认证。

性能和架构改进

与前代产品相比,IBM 4767 硬件显著改进了性能和架构,同时支持未来增长。例如,4767 每秒可执行超过 15,000 次 PIN 转换操作。安全模块包含冗余 IBM PowerPC 476 处理器、定制对称密钥和散列引擎,用于执行 AES、DES、T-DES、SHA-1、SHA-384、SHA-512 和 SHA2、MD5 和 HMAC,还包括定制公钥加密算法引擎,以支持 RSA 和椭圆曲线密码学。

篡改响应设计

安全模块受到篡改响应设计的保护,可防御针对系统的各种攻击,并在检测到篡改时立即销毁所有密钥和敏感数据。其他硬件支持包括安全实时时钟、硬件随机数生成器和素数生成器。

公共密码体系结构,Enterprise PKCS #11 API

IBM 提供公共密码体系结构 (CCA) 支持程序,您可以将其加载到协处理器 (HSM) 中,用于执行金融行业和互联网业务应用程序中常见的加密功能。您还可以使用可用的编程工具包或通过 IBM 咨询服务,向 HSM 添加定制功能。IBM 还提供 Enterprise PKCS#11 (EP11) 接口,以使用行业标准 PKCS#11/openCryptoki API 运行安全密钥加密操作。

嵌入式证书支持外部验证

在最后的制造步骤期间,协处理器生成存储在设备中的唯一公钥/私钥对。篡改检测电路被激活,并在协处理器的整个使用寿命期间保持活动状态,从而保护私钥以及其他密钥和敏感数据。协处理器的公钥在工厂通过 IBM 私钥进行认证,证书保留在协处理器中。这些安全措施可以确保 HSM 真实且未被篡改。

适用于部分 IBM Z、x86 和 Power 服务器

该技术作为 Crypto Express5S (CEX5S) 功能,仅适用于部分 IBM Z® 型号(仅限 z14、z13s 和 z13)。在 z/OS 上,由 ICSF 加密服务提供支持。在 Linux® on Z 上,CEX5S 支持由 CCA 和 Enterprise PKCS #11 (EP11) 提供。在 x86 服务器上,PCIeCC2 可作为 MTM 4767-002 使用,并支持特定 Windows®、SLES 和 RHEL 发行版。在 IBM Power Systems™ POWER8® 上,它受 IBM AIX®、IBM i® 和 PowerLinux™ 操作系统支持。

您可能还对以下内容感兴趣:

IBM z14

数字化转型对个人、企业乃至整个社会都将产生深远影响。企业要推动数字化时代经济的发展,信任无疑是把金钥匙。 IBM z14® 服务器家族是打造值得信赖的数字化体验的核心。这些 IBM Z 系统为您的数据提供终极保护,同时简化法规的合规流程。它们还允许您对最有价值的数据应用机器学习,挖掘出更为深入的洞察。IBM z14 单机柜机型占地面积仅为两块地砖,每天可处理 8.5 亿个加密事务。完美适合各种规模的数据中心和企业。

了解更多信息

IBM Security Key Lifecycle Manager for z/OS

简化、集中和增强加密密钥管理

了解更多信息