新一代網路型HSM: nShield Connect

nShield Connect XC, nShield 5c

nCipher 新一代網路型HSM

nCipher nShield Connect 概觀

nCipher nShield Connect XC Base、 nShield Connect XC Mid 及 nShield Connect XC High 是Entrust承自nCipher netHSM優異的品質與效能，nShield Connect XC Base/Mid/High 內含兩個可熱插拔(dual，hotswap)的電源供應器及可現場拆換的(redundant，field-replaceable)風扇，使得它俱備高度的容錯能力(fault tolerant)。因提供了高可用性與順應規模變遷的能力(high availability， scalability)及遠端管理，企業可以建立一個可依賴的、勿須擔心未來規模變遷的加密服務系統。

nShield Connect XC 已獲得FIPS 140-2 Level 3 及 Common Criteria EAL4+認證。

新一代 HSM: nShield 5c 已取得 FIPS 140-3 Level 3 及 Common Criteria EAL4+ 認證。

效益

增強關鍵應用系統的安全性

降低設備成本

簡化加密與簽章金鑰管理

加密運算在安全的硬體內執行，保護敏感資料

協助確保事業營運連續(business continuity)與最小化停機時間(minimize downtime)

相容於nCipher nShield and nCipher netHSM系列產品，應用系統不須更動

可同時連接100台應用系統伺服器，提供優異的規模適應效能(Scalability)

符合 FIPS 140-3 與 Common Criteria EAL4+

nCipher nShield Connect 功能

提供應用系統硬體安全

nShield Connect HSM 讓企業得以增加硬體保護在許多關鍵應用系統，例如公開金鑰基礎建設(PKIs)、資料庫、網站、及應用系統伺服器。使用業界標準加密運算介面，,nShield Connect HSM 可以立即與市場主流系統整合，例如 Microsoft Certificate Services (PKI), Entrust Authority Security Manager, RSA Certificate Manager, Oracle Database, Microsoft SQL Server, 及其他應用系統。

高可靠性

特別為了營運連續性(business continuity)所設計，nShield Connect 是全球HSM中首款採用兩個可熱插拔的電源供應器，將此設備接上兩個不同電力來源. 避免任一電力中斷造成系統停擺。電源供應器可在不停機情況下由操作人員在現場置換，不須整機送回供應商，確保服務不中斷。

nShield Connect 還有多個風扇，如有任一風扇故障，其他風扇仍可提供冷卻機體溫度的功能，風扇也可現場更換，這些設計就是為了增強設備的可用性。多台HSM可提供彼此備援及負載平衡(clustered and load balanced)

管理方便

Security World管理軟體可以中央式管理 nShield Connect、nCipher nShield 與 nCipher netHSM 系列產品以降低設定及管理時間。Security World 支援安全地遠端操作在機房內的HSM，災難復原時的硬體置換，不同地點的各個HSM的金鑰分享。所有金鑰及其相關資訊都可自動備份而不需額外的硬體設備，降低整體操作成本。

當企業佈置越來越多的硬體安全模組或有大量加密金鑰時，與其他廠牌HSM相較，Security World 的設計方式在操作及成本優勢上更為明顯：

它牌HSM做法
所有金鑰在HSM裡
nCipher Security World
用HSM Module Key保護

備份在昂貴的專屬硬體上

備份需要麻煩的人工與實體操作

安全的儲存區是有限的，升級時需要額外的專屬硬體

理論上做不到災難復原(Disaster recovery)，Clustering 會非常複雜

過時的安全做法，造成操作方式非常麻煩與昂貴

自動化備份在省錢的檔案伺服器裡，不需人工介入，降低操作成本

安全的儲存區是無限與便宜的，因為它使用檔案伺服器的空間

災難復原做法有彈性，因為只使用處理Security World files 與管理者法定最低人數

Clustering 容易又有彈性

相同的安全等級卻更容易操作與管理

規模化與彈性

要提供高達100台連線機器的加密服務需求， nShield HSM使用加密運算的加速晶片，使它成為當今網路型HSM中效能最高的硬體安全模組，每秒可達6000次的1024 位元 RSA金鑰的簽章速度(TPS).

National Institute of Standards and Technology (NIST) 建議2010年後應使用的2048位元 RSA金鑰的簽章，nShield Connect 6000可高達每秒3000次的2048 bits 金鑰簽章。網站伺服器如Microsoft IIS 與 Apache, 也可使用 nShield Connect 6000 來增加SSL 能力(throughput) 因為它可以分將SSL連線運算移到nShield Connect上執行, 卸載(off-loading) 網站伺服器的重擔。

nShield Connect 與應用系統整合是經由標準介面，包括PKCS#11, Java Cryptography Extension (JCE), Microsoft CAPI and CNG.

nShield Connect XC 及nShield 5c HSM與其他nShield及netHSM產品完全相容，並且可以升級採用選擇套件(Option Packs)以支援其他額外功能。nShield HSM 廣泛地支援各種作業系統，包括Windows 2022/2019/2016/2012/2008/Win10/11, Linux . 兩個Gigabit Ethernet ports 讓這HSM 可同時服務兩個網段.

密碼學與法規遵循

nShield Connect 支援廣泛的公開金鑰與對稱式演算法，還包括可選擇的full Suite B implementation、完整授權的elliptic curve cryptography (ECC)。 nShield Connect 6000 金鑰管理符合FIPS 140-2 Level 3 與 Common Criteria EAL 4+。管理者與操作者權責分開、雙因素認證(two-factor authentication、多人控制(k of n)。操作員群組可依應用系統、角色、部門、地域來區別存取金鑰的權限。

整合的服務

nCipher 另提供專業服務可確保客戶使用nCipher HSM最佳實務。客戶可從nCipher的開發人員的支援以整合nCipher HSM與客制化應用系統，或是開發在nCipher HSM環境下保護敏感性資料的客制化應用系統。

nCipher nShield Connect 規格

實體規格

Physical dimensions: 19” rack unit, 1U, 705mm depth (43.4 x 430 x 705 mm)
Unpackaged weight: 11.5 Kg
Packaged dimensions: 190 x 590 x 890 mm
Packaged weight: 19.5 Kg
Power consumption: up to 1.2A at 110V AC 60Hz or 0.6A at 220V AC 50Hz

操作溫度

Normal range: 10 to 35 C
Operating range: 5 to 40 C
Storage range: -20 to 70 C

前面

Touch wheel
Smart card reader
Vents with easy access to field-replaceable, redundant fans
USB connector for keyboard
Color LCD display and associated soft keys
Power button
Clear button
Warning / Attention indicator lamp

後面

Dual, hot-swap power supplies (each with IEC 320 mains socket & rocker switch)
2x 1 Gigabit Ethernet ports

演算法

Public key algorithms:
RSA, Diffie-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH

Symmetric algorithms:
AES, Arcfour, ARIA, Camellia, CAST, DES, MD5 HMAC, RIPEMD160 HMAC, SEED, SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, Tiger HMAC, Triple DES.

效能