硬件资源虚拟化能力
云服务器密码机需基于物理密码机实现硬件资源虚拟化,支持单台设备创建多个虚拟密码机(VSM)。每台VSM应具备独立的数据加解密、密钥管理及随机数生成功能,且虚拟化过程需保留硬件模块的加密性能优势。建议采用支持SR-IOV虚拟化技术的专用硬件,确保虚拟密码机可获得接近物理设备的运算性能。
多实例性能隔离
虚拟化系统需满足以下性能隔离要求:
- 密钥存储与运算过程硬件层隔离,防止跨VSM数据泄露
- 支持动态资源分配,可根据业务负载调整密码运算资源占比
- 单物理机承载VSM数量不超过硬件性能阈值,建议保留20%冗余算力
弹性扩展与集群化
高性能密码机应支持横向扩展能力,通过VSM集群实现:
- 自动负载均衡机制,单集群建议包含3-5台物理密码机
- 密钥与配置数据跨节点同步,同步延迟需控制在5ms以内
- 支持在线扩容,新增节点加入集群时业务不中断
安全与合规要求
虚拟化系统必须满足GM/T 0028等密码模块安全技术要求,包括:
| 指标类型 | 要求标准 |
|---|---|
| 加密算法 | 支持SM2/SM4国密算法及AES256等国际算法 |
| 认证标准 | 通过FIPS 140-2三级认证及国密型号认证 |
| 审计能力 | 记录完整操作日志,保存周期≥180天 |
云服务器密码机的虚拟化性能需在硬件资源分配、多实例隔离、弹性扩展三个维度建立技术标准,同时满足国密与国际双重认证要求。建议采用支持SR-IOV虚拟化与集群化部署的硬件方案,在保障密码运算效率的前提下实现资源的最大化利用。
