湖南省高速公路联网收费管理有限公司ETC发行系统商用密码设备采购项目意向公开

序号

产品/服务名称

技术要求

数量

单位

1.

IPSEC/SSL VPN综合安全网关

1) 设备2U机架式，国产化平台，≧6个千兆电口，≧4千兆光口，内存：≧8G，电源：冗余电源；SSL性能：每秒**连接数：≧5000，SSL 加密吞吐：≧1Gbps，最大并发连接数：≧12万；

2）支持SSL卸载：同一个端口RSA与SM2自适应，实现HTTPS访问业务；支持多证书链功能，一个服务中可同时配置多条证书链，验证不同CA的用户证书；

3）产品应用支持IPv6，IPv6转IPv4，IPv4转IPv6；

4）支持通过VPN客户端，建立虚拟专用网，远程访问单位内部**；客户端支持运行多种环境包括WINDOWS和国产化信创平台；移动端支持Android/iOS系统；

5）支持TLSv1.2/v1.3协议、ECC_SM4_CBC_SM3、ECC-SM4-GCM-SM3等密码套件；

6）支持全维度数据统计与可视化呈现。连接与流量维度可实时查看连接趋势、流量趋势及安全事件；用户与**维度通过图形化方式展示用户活跃度分布（含离线、有效、禁用用户占比）及MAIL、WEB、TCP等**；系统与用户**维度可监控并发连接数、在线用户数、峰值在线用户数等核心指标，同时支持实时查看CPU、内存、磁盘使用率及历史负载趋势，并提供数据导出功能。（提供经CMA或CNAS认证的第三方检测机构出具的产品检验报告复印件并加盖原厂商公章）

7）支持对防火墙策略源IP、目的IP、源MAC、源端口、目的端口、协议、入接口、出接口、动作进行配置管理；

8）支持设备自检和手动检测状态，包括密码卡/模块、随机数据正确性检查、SM1算法正确性检查、SM2算法正确性检查、SM3算法正确性检查、SM4算法正确性检查、固件完整性正确性检查、密钥完整性正确性检查等；

9）支持 land、Smurf、Ping of death、Winnuke、Tcp_sscan、Ip_option、Teardrop、Targa3、Ipspoof 等防护，支持预防'syn flood'攻击，忽略icmp回显请求；支持对通用非法报文、非法TCP报文及非法ICMP报文进行检测。（提供经CMA或CNAS认证的第三方检测机构出具的产品检验报告复印件并加盖原厂商公章）

10****管理局颁发的《商用密码产品认证证书》，产品遵循GM/T 0023《IPSec VPN网关产品规范》、GM/T 0025《SSL VPN网关产品规范》、GM/T 0028《密码模块安全技术要求》第二级要求；

5

台

2.

服务器密码机

1) 设备为2U机架式设备，冗余电源，内存：≧16G，千兆电口≧4个，千兆光口≧4个；

2) 设备性能：单设备最大存储4096个对称密钥，单设备最大存储2048对非对称密钥，SM1 加解密:≧ 1500 Mbps，SM2 密钥对生成: ≧100000 次/秒，SM2 签名: ≧100000 次/秒，SM2 验签: ≧ 40000 次/秒，SM3 算法: ≧ 1800Mbps，SM4 加解密: ≧1800Mbps；

3) 支持国际RSA2048/RSA4096算法和国密SM1/SM2/SM3/SM4算法；支持256位SM2公钥密码算法；支持对称算法AES、3DES等多种算法，支持ECB、CBC、OFB多种算法模式，支持SHA256、SHA384、SHA512杂凑算法

4) 提供随机数产生功能，使用硬件产生随机数，产生的随****管理局颁布的《随机数检测规范》；符合GM/T0018 2012《密码设备应用接口规范》、GM/T 0030《服务器密码机技术规范》；

5) 支持同时存储多组对称密钥和非对称密钥；支持WEB方式进行配置管理，实现对设备的配置管理、密钥管理操作；

6) 支持日志等级设置，可设置为DEBUG、INFO、WARN、ERR0R、FATAL五个等级；

7) 支持设备网口配置管理功能，可将网口设置为配置管理、主服务、兼容、聚合四种模式；

8) 密钥管理功能：密钥产生、存储、导入、删除、销毁，支持使用密钥索引时的访问口令设、具备密钥访问控制功能；

9) 提供客户端访问密码机IP地址过滤功能(白名单)，提供基于IP的访问控制功能；

10)支持多维度风险感知，实时异常行为监测、动态追踪密码**负载、物理环境检测，提供三级风险预警体系；（提供经 CMA 或 CNAS 认证 的第三方检测机构出具的产品检验报告复印件并加盖原厂商公章）

11) 支持SNMP的监控协议，支持双机热备部署；

12）支持Kyber、HQC、Dilithium、SPHINCS 、Falcon抗量子算法；（提供经权威的第三方检测机构中国信通院出具的应答产品检验报告复印件并加盖原厂商公章）;

13) ****管理局颁发的《商用密码产品认证证书》，产品遵循GM/T 0030《服务器密码机技术规范》、GM/T 0028《密码模块安全技术要求》第二级要求；

2

台

3.

协同签名系统

1）支持移动端用户注册，包括单用户注册和批量用户注册以及对接业务系统接口同步注册用户；

2）支持移动端用户管理，可对移动端用户生成授权码和批量生成授权码，启用/禁用以及注销移动端用户；

3）支持对移动端证书延期审批管理，支撑证书的延期业务审核，可对移动用户的证书延期申请进行审批、驳回；

4）支持对移动设备管理，可查看当前设备所使用的签名证书、加密证书等信息；

5)系统支持提供移动证书下载、延期证书下载等服务。

6)系统支持采用密钥分割技术，提供协同签名，与客户端配合生成完整签名。

7)针对系统登录日志、操作日志，系统采用密码技术进行保护、支持提供可视化界面完整性校验功能，以确保日志完整性；

8）移动智能密码模块，支持以SDK方式向移动终端提供密码服务；SDK客户端支持Android\IOS\鸿蒙系统集成；SDK支持密码模块初始化、证书下载、签名等功能。

9）响应和满足国产化要求，要求协同签名客户端兼容适配鸿蒙操作系统。（提供与鸿蒙操作系统兼容互认技术认证证书并加盖投标人公章）

10）协同签名系统****认证中心颁发的《商用密码产品认证证书》，密码模块安全等级为二级。

1

套

4.

SSL站点证书

1）支持标识服务器的网络身份；

2）支持证书格式标准遵循X.509 V3标准；

3）支持国密SM2算法；

4）1年授权；

1

套

5.

数据库加密机

1）设备为2U机架式设备，国产化平台，冗余电源，内存：≧32G，千兆电口≧6个，千兆光口≧4个； SM4 加解密: ≧3000Mbps；支持网关模式与SDK模式部署；

2）支持数据库类型包括不限于：MySql、Postgresql、Oracle、达梦、神通、人大金仓、华为高斯、腾讯TDSQL、**云PolarDB、南**用、TIDB、海量等

3）支持设备网络管理、系统权限管理、密钥管理、数据库机密性管理、数据库完整性管理、数据库代理配置管理、数据应急管理及统计管理等功能；

4）支持应用接入与授权，未授权应用无法使用数据库加解密功能；支持对应用透明加解密，无需业务应用修改业务代码逻辑；支持数据库用户级权限控制，未授权数据库用户只能看到密文，无法获取明文；

5）支持数据库应急，支持数据库密钥备份恢复，且支持所有配置信息定时备份；

6）支持自动敏感数据识别，一键发现敏感字段，实现“先识别、后加密”的闭环防护；支持敏感数据规则配置，内置不低于 10 种敏感识别规则；

7）支持SQL执行总量统计，新增、删除、改写、更新、查询SQL量分别统计，以及加密表数量和加密字段数量统计。支持全天SQL执行的TPS与QPS统计，并以可视化图形展示每个时间点的执行情况。支持以数据库维度、接入应用的维度统计SQL执行量；（提供经 CMA 或 CNAS 认证 的第三方检测机构出具的产品检验报告复印件并加盖原厂商公章）

8）支持对系统运行环境进行自检和手动检测状态，包括密码卡、随机数据正确性检查、SM1算法正确性检查、SM2算法正确性检查、SM3算法正确性检查、SM4算法正确性检查、SM7算法正确性检查、SM9算法正确性检查、固件完整性正确性检查、密钥完整性正确性检查等；（提供经 CMA 或 CNAS 认证 的第三方检测机构出具的产品检验报告复印件并加盖原厂商公章）

9）产品****认证中心颁发的《商用密码产品认证证书》，并符合GM/T 0028《密码模块安全技术要求》安全等级二级的安全性认证。

2

台

6.

签名验签服务器

1) 设备支持国产化平台，设备为2U机架式设备，冗余电源，内存：≧16G，千兆电口≧4个，千兆光口≧4个

2) 设备性能：SM2 P1签名≥50000次/秒，SM2 P1验签≥17000次/秒，SM2 P7attach签名≥15000次/秒，SM2 P7attach验签≥5700次/秒，SM2 P7detach签名≥15000次/秒，SM2 P7detach验签≥5000次/秒；

3）支持国密SM1/SM2/SM3/SM4算法；支持256位SM2公钥密码算法；对称算法支持ECB、CBC多种算法模式；提供随机数产生功能，使用硬件产生随机数，产生的随****管理局颁布的《随机数检测规范》；

4）支持设备内部密钥以密文形式备份，以及密钥恢复；

5）支持密钥管理功能，密钥产生、存储、导入、删除、销毁；

6）提供客户端访问签名验签服务器IP地址过滤功能(白名单)；

7）提供系统日志审计功能,对签名验签服务器运行情况进行审查；

8）提供系统监测功能，可监测硬件及软件的运行状态；

9）支持WEB方式进行配置管理，实现对设备的配置管理、密钥管理操作；支持双机热备部署，确保系统高可用；

10）支持不同CA的用户证书验证，提供CRL/OCSP/LDAP等多种方式的证书有效性验证；

11）支持 PKCS1/PKCS7 Attach/PKCS7 Detach/xml Sign等多种格式的数字签名和验证功能；

12）支持多维度风险感知，实时异常行为监测、动态追踪密码**负载、物理环境检测，提供三级风险预警体系；（提供经 CMA 或 CNAS 认证 的第三方检测机构出具的产品检验报告复印件并加盖原厂商公章）

13）****认证中心颁发的《商用密码产品认证证书》，密码模块安全等级为二级。

2

台

7.

身份认证系统

1）设备支持国产化平台，设备为2U机架式设备，冗余电源，内存：≧16G，千兆电口≧2个；

2）支持CA管理，包括生成、延期、注销以及根证书下载；支持签发多条证书链，也可以支持签发多级CA证书的证书链；

3）支持证书用户注册，对系统内注册用户的审核；

4）支持证书签发，可对用户签发数字证书包括个人证书、移动证书、设备证书、服务器证书，以及按需下载数字证书；

5）支持证书模板管理，能自定义证书模板，定义证书扩展项符合《GMT 0015-2012 基于SM2密码算法的数字证书格式规范》；

6）支持证书维护，能对签发证书查看、延期、密钥恢复、冻结、解冻以及证书吊销等；

7）支持对CRL管理，系统生成CRL，提供CRL下载能力；

8）支持身份认证，提供产生随机数、身份验证能力等服务，能验证客户端身份以确保身份真实性；

9）身份认证控件，该控件要求支持获取智能密码钥匙序列号、证书CN项OU项等信息，以提供签名等服务能力；（提供产品功能截图证明材料并加盖原厂商公章）

10）支持日志审计功能，可记录登录日志、操作日志，并可根据IP地址、用户以及时间段等条件查看日志，导出日志和对日志进行完整性校验。

11）针对系统登录日志、操作日志，系统采用密码技术进行保护、支持提供可视化界面完整性校验功能，以确保日志完整性；

12****管理局颁发的《商用密码产品认证证书》；

1

台

8.

国密门禁系统

1）支持国密门禁管理网关服务器，包含门禁管理系统、完整性审计系统、加密卡；

2）支持采用国密算法进行身份认证以及采用密码技术确保进出记录的完整性。

2

套

9.

智能密码钥匙

1）SM2密钥对生成速率≥ 46ms/对；加/解密速率≥60.00Kbps/180Kbps；

签名速率≥9ms/次，验签速率≥16ms/次；SM3运 算速率≥3Mbps。支持双因子身份认证，认证时需同时提供证书和PIN码，安全性高；

2）支持同时存储多组密钥和证书；

3）可同时提供身份认证、数据加解密、安全存储等功能；

4）32位高性能智能安全芯片；

5）≥128K安全存储空间；

6）接口类型支持USB2.0或USB3.0；

7）提供标准的安全中间件（PKCS#11、CSP、SKF）以及API接口，可定制化，易于开发和升级；

8）支持X.509v3，SSLv3，IPSec，SKF，PKCS#11，CSP等。

9）响应和满足国产化要求，要求智能密码钥匙兼容适配鸿蒙操作系统。（提供与鸿蒙操作系统兼容互认技术认证证书并加盖投标人公章）

10）****认证中心颁发的《商用密码产品认证证书》，密码模块安全等级为二级。

1000

套

10.

国密浏览器

1）支持 SSL 单项及双向链接；双算法支持，同时支持国密算法和国际通用算法；

2）支持证书管理，可以提供HTTPS/SSL传输协议中根证书的与集成和证书的导入导出功能；

3）支持基于SM2 算法的数字证书、数字证书撤销列表（CRL）；

4）支持数据安全通讯功能，建立安全浏览器客户端软件与相关应用系统服务端间建立基于国密算法的加密数据传输安全通道；

5）支持国密网站、国密应用自动识别及国密标识展现；

6）支持对国密网关、证书、插件、key、业务系统等环节的适配联调工作；支持通过国密 SKF 接口访问硬件数字证书；

7）支持与DNS服务器的安全通讯功能，支持安全浏览器客户端软件与DNS服务器间建立基于国密算法的加密数据传输安全通道，实现域名解析请求和返回的IP地址信息的加密传输；（提供经CMA或CNAS认证的第三方检测机构出具的产品检验报告复印件并加盖原厂商公章）

8）浏览器的任何操作行为数据都不会向外部（如： 境外Chrome 后台）发送，确保数据安全；（提供经CMA或CNAS认证的第三方检测机构出具的产品检验报告复印件并加盖原厂商公章）

9）确保在国产化环境中的长期稳定运行，要求兼容龙芯、兆芯、飞腾、华为鲲鹏国产CPU芯片,国内银河**、统信U0S、中科方德、万里红、**信安、一铭、普华国产操作系统，以满足在不同国产化环境下的使用需求。

10）具有专业测试机构出具的产品知识产权状况评估报告（提供浏览器知识产权状况评估报告并加盖原厂商公章）

11）****认证中心颁发的《商用密码产品认证证书》，密码模块安全等级为二级。

1000

套

11.

应用系统改造服务

应用厂商根据商用密码应用要求进行ETC发行系统改造、接口对接；

1

项

12.

密码对接服务

提供密码方案编写、密码对接服务，配合测评机构提供辅助服务；

1

项