Luna Network HSM 產品概述
Luna Network HSM 是 Thales 旗下的企業級網路型硬體安全模組, 提供最高等級的密碼學金鑰保護和管理能力。
產品提供兩個主要系列:A 系列(密碼驗證模式)和 S 系列(PED 硬體驗證模式),每個系列都提供 700、750、790 三種不同的效能等級。
適用於 PKI 應用、SSL/TLS 加速、資料庫加密、 雲端安全等各種企業級安全應用場景。
主要優勢
安全認證
FIPS 140-2/140-3 Level 3, Common Criteria EAL4+
網路型設計
支援多用戶同時存取
高效能處理
最高 20,000 ECC P-256 ops/sec
彈性部署
支援叢集和高可用性配置
產品特色
FIPS 140-2/3 Level 3
通過 FIPS 140-2/140-3 Level 3 認證,提供最高等級的安全保護
高效能運算
支援每秒數千次 RSA-2048 簽章和 AES 加密運算
網路型架構
網路型設計,可同時為多個應用程式提供服務
易於整合
提供豐富的 API 和 SDK,快速整合現有系統
高可用性
支援叢集部署,確保 99.999% 系統可用性
多重驗證
支援智慧卡、密碼等多種身份驗證方式
後量子密碼學
支援 NIST 標準化的量子抗性加密演算法
技術規格
效能指標
技術規格
物理規格
支援平台
作業系統: Windows, Linux, Solaris, AIX
虛擬化: VMware, Hyper-V, Xen, KVM
應用場景
PKI 憑證中心
作為 PKI 基礎建設的信任根,保護根憑證和簽發憑證。
- • 根憑證保護
- • 中繼憑證簽發
- • OCSP 回應簽章
SSL/TLS 加速
為 Web 伺服器提供 SSL/TLS 私鑰保護和加密運算加速。
- • SSL 私鑰保護
- • TLS 握手加速
- • 負載平衡支援
資料庫加密
為資料庫提供透明資料加密 (TDE) 的金鑰管理服務。
- • TDE 金鑰管理
- • 欄位層級加密
- • 金鑰輪替
應用程式整合
為企業應用程式提供加密、簽章和身份驗證服務。
- • API 金鑰保護
- • 數位簽章服務
- • JWT Token 簽發
產品優勢
最高等級安全
FIPS 140-2 Level 3 認證的硬體保護,防篡改設計
企業級效能
專用硬體加速器,提供卓越的密碼學運算效能
彈性部署
支援單機或叢集部署,滿足不同規模需求
易於管理
直觀的管理介面和完整的監控工具
認證標準
Luna Network HSM 獲得多項國際權威安全認證,確保符合全球最嚴格的安全標準
FIPS 140-2/140-3
Level 3
美國聯邦資訊處理標準
Common Criteria
EAL4+
國際資訊技術安全評估準則
NIST SP 800-90
A/B/C
隨機數產生器建議
eIDAS
QSCD
歐盟電子簽章法規
AIS 20/31
DRG.4
德國隨機數產生器標準
NATO
Restricted
NATO 機密等級認證
後量子密碼學 (PQC) 支援
Luna Network HSM 領先支援 NIST 標準化的後量子密碼學演算法, 為企業提供量子時代的安全保障
ML-KEM 金鑰封裝機制
Module-Lattice-based Key-Encapsulation Mechanism (ML-KEM) 是 NIST 標準化的 量子抗性金鑰封裝演算法,用於安全的金鑰交換。
支援功能:
- ✓ 金鑰對產生 (CKM_ML_KEM_KEY_PAIR_GEN)
- ✓ 金鑰封裝與解封裝 (CKM_ML_KEM)
- ✓ 量子抗性金鑰交換
ML-DSA 數位簽章
Module-Lattice-based Digital Signature Algorithm (ML-DSA) 是 NIST 標準化的 量子抗性數位簽章演算法,提供長期安全保障。
支援功能:
- ✓ 金鑰對產生 (CKM_ML_DSA_KEY_PAIR_GEN)
- ✓ 數位簽章與驗證 (CKM_ML_DSA)
- ✓ SHA2/SHA3 雜湊變體支援
技術要求與限制
系統要求
- Luna HSM Client 10.9.0 或更新版本
- Luna HSM 韌體 7.9.0 或更新版本
- 支援金鑰產生、加密和簽章機制
目前限制
- ML-DSA 和 ML-KEM 金鑰暫不支援封裝
- 支援後量子克隆密碼套件
- 符合 NIST 新興標準
Luna Network HSM 詳細規格表
三個效能等級的規格比較
| 型號 | 安全等級 | RSA-2048 效能 | ECC-P256 效能 | AES-GCM 效能 | 最大分割區 |
|---|---|---|---|---|---|
| 700 | FIPS 140-2/3 L3 | 1,000 ops/sec | 2,000 ops/sec | 2,000 ops/sec | 5 |
| 750 | FIPS 140-2/3 L3 | 5,000 ops/sec | 10,000 ops/sec | 10,000 ops/sec | 20 |
| 790 | FIPS 140-2/3 L3 | 10,000 ops/sec | 20,000 ops/sec | 20,000 ops/sec | 100 |
安全等級說明
A 系列 - 密碼驗證模式
- • 使用密碼進行身份驗證
- • 適合自動化部署環境
- • 支援遠端管理
- • 成本較為經濟
S 系列 - PED 硬體驗證
- • 使用 PED (Pin Entry Device) 硬體驗證
- • 提供更高的安全等級
- • 符合最嚴格的合規要求
- • 適合高安全需求環境
選擇建議
入門級 (700 系列)
適合小型部署和開發測試環境
標準級 (750 系列)
適合中等規模的生產環境
高效能級 (790 系列)
適合大型企業和高負載應用
A 系列 vs S 系列比較
Luna A 系列 - 密碼驗證模式
適合自動化部署和遠端管理環境
密碼驗證
使用密碼進行身份驗證,支援遠端管理
成本效益
比 S 系列更經濟實惠,適合預算有限的專案
自動化部署
支援無人值守操作,適合大規模部署
快速實施
設定簡單,可快速上線運行
Luna S 系列 - PED 硬體驗證
提供最高安全等級,符合最嚴格的合規要求
PED 硬體驗證
使用 Pin Entry Device 進行物理驗證
最高安全
提供最高等級的安全保護和空隙防護
合規需求
符合金融、政府等高安全需求的合規標準
重要應用
適合關鍵任務和高價值資產保護
選擇建議
選擇 A 系列的情境:
- • 需要遠端管理和維護
- • 大量部署且需要成本控制
- • 自動化系統整合
- • 24/7 無人值守運行
選擇 S 系列的情境:
- • 最高安全等級要求
- • 嚴格的合規要求
- • 關鍵任務應用
- • 政府或金融機構使用
支援的加密演算法
非對稱加密
- RSA (1024-4096 bit)
- DSA
- ECDSA
- ECDH
- Ed25519
對稱加密
- AES (128, 192, 256 bit)
- AES-GCM
- DES
- Triple DES
雜湊演算法
- SHA-1
- SHA-2 (224, 256, 384, 512)
- SM3
- HMAC
後量子密碼學 (PQC)
- ML-KEM (格基金鑰封裝)
- ML-DSA (格基數位簽章)
- NIST 標準化演算法
- 量子抗性加密