生成、存储、导入、导出和管理加密密钥，包括对称密钥和非对称密钥对。

使用对称和非对称算法加密和解密数据。

使用哈希函数计算消息摘要和基于哈希的消息身份验证代码 (HMAC)。

对数据进行数字签名和验证签名。

生成安全随机数据。

当您的本地机房密码机应用迁移到云上服务器时，您可以直接使用加密服务替代本地机房密码机，实现数据的加解密、签名验签等功能，保护您的云上数据安全。

例如，在证券、银行支付结算等场景，您可以使用金融数据密码机EVSM实现PIN加密、PIN转加密等来保护金融数据安全；在网联平台支付清算等场景，您可以使用签名验证服务器SVSM实现签名验签、证书解析、证书链验证功能，确保业务的真实性、完整性和不可否认性。

例如，您可以借助加密服务为阿里云专属KMS实现应用系统敏感数据的加解密，为数据库加密应用实现数据库数据的加解密，为文件加密应用实现文件存储的加解密等。

加密服务提供SSL卸载，减少服务器的性能压力，提升客户端的访问响应速度。同时加密服务使用密码机生成证书私钥，加强了私钥保护防止从服务器泄漏私钥，从而提升其安全性。

对于由证书颁构机构颁发的数字证书，您可以将证书私钥存储在密码机中，并使用密码机执行签名操作，保护您的证书私钥安全。

加密服务与Oracle数据库集成，向用户提供透明数据加密 (Transparent Data Encryption，TDE) 功能。TDE将加密密钥存储在数据库外部的加密机中，并使用密钥在数据文件中加密敏感数据，保证敏感数据的安全性。

在公共服务、电子商务、金融等行业中，可以将加密服务与应用程序集成，来加密处理或者存储用户敏感数据，以满足安全性和合规性要求。

金融数据密码机EVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0045-2016金融数据密码机技术规范》要求。

通用数据密码机GVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0030-2014服务器密码机技术规范》要求。

签名验证服务器SVSM满足《GMT 0028-2014 密码模块安全技术要求》、《GM/T 0029-2014签名验签服务器技术规范》要求。

通用密码机满足FIPS 140-2 3级认证。

加密服务支持丰富的行业标准接口和加密算法。例如EVSM在支持原有金融业务安全需求的基础上，扩展了SM1、SM2、SM3、SM4国产密码算法在金融领域中的应用支持，并且符合PBOC2.0、PBOC3.0、GP等应用规范，以及建设部、交通等行业规范。

设备管理和密钥管理权限分离。阿里云只能管理密码机硬件设备，主要包括监控设备可用性指标、开通服务等。密钥完全由客户管理，阿里云没有任何方法可以获取客户密钥。

在使用加密服务时，您可以根据实际情况，灵活地调整部署购买的密码机的数量，通过负载均衡来满足不同的加解密运算要求。

加密服务支持集群管理的功能。您可以将购买的多个密码机添加到一个集群中，快速增加密码机的高可用性，降低业务中断及核心数据丢失风险。

借助加密服务，您可以将购买的密码机部署在您指定的VPC专有网络中，通过指定的私网IP地址进行安全管理和调用，便捷地与云服务器上的业务配合使用。

密码机实例是密码机的硬件加密模块虚拟化形成的资源。密码机实例与硬件加密模块具有同样的合规性，可以实现加密服务的所有功能，具备对数据的加解密运算能力。

身份认证卡（USB Key）是加密服务的唯一身份识别信息，可以配合密码机的客户端管理工具管理密钥。

功能特性 说明 功能描述 EVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0045-2016金融数据密码机技术规范》要求，同时支持国密算法的金融业务应用，和其他各类行业IC卡的应用，可用于金融支付领域，确保金融数据安全。EVSM能帮助您实现密码的管理功能，包括PIN加密、PIN转加密、MAC产生和校验、通用数据加解密、签名验证以及密钥管理等。 接口规范 符合的规范：PBOC 2.0、PBOC 3.0、EMV2000、GP、TSM、ESIM和交通一卡通 支持的指令集：雷卡相关和金融IC卡相关 加密算法 对称加密算法：支持SM1、SM4、DES、3DES、AES（支持128和256位密钥） 非对称加密算法：支持SM2、RSA（2048～4096位密钥长度）、ECC（NISTP192/P256、SECP192/256、BRAINPOOLP256、FRP256、X25519） 摘要算法：支持SM3、SHA1、SHA256、SHA384、SHA512 性能参考 数据通讯协议：TCP/IP 最大并发连接数：256 测试数据长度32字节，性能如下： SM1加密运算性能：600次/秒，响应时间：0.006秒 SM2密钥产生性能：4,000次/秒，响应时间：0.006秒 SM2签名运算性能：3,000次/秒，响应时间：0.008秒 SM2验签运算性能：2,000次/秒，响应时间：0.026秒 RSA2048密钥产生性能：6对/秒，响应时间：8.605秒 RSA2048公钥运算性能：3,500次/秒，响应时间：0.008秒 RSA2048私钥运算性能：400次/秒，响应时间：0.018秒 SM3摘要运算性能：5,000次/秒，响应时间：0.009秒 SM4加密运算性能：5,000次/秒，响应时间：0.003秒 AES128运算性能：7,000次/秒，响应时间：0.004秒 AES256运算性能：6,000次/秒，响应时间：0.004秒

功能特性 说明 功能描述 GVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0030-2014服务器密码机技术规范》要求，提供国际通用的密码服务接口，支持国密算法的PKI（Public Key Infrastructure）业务应用。GVSM能帮助您独立或并行为多个应用实体提供密码服务和密钥管理服务。 接口规范 国密GMT0018-2012密码设备应用接口规范 PKCS#11接口规范 SunJCE接口规范 Microsoft Cryptography API: Next Generation (CNG) 加密算法 对称加密算法：支持SM1、SM4、DES、3DES、AES（支持128和256位密钥） 非对称加密算法：支持SM2、RSA（2048～4096位密钥长度）、ECC（NIST P256、BRAINPOOLP256、FRP256） 摘要算法：支持SM3、SHA1、SHA256、SHA384、SHA512 性能参考 数据通讯协议：TCP/IP 最大并发连接：64 测试数据长度32字节，性能如下： SM1加密运算性能：600次/秒，响应时间：0.006秒 SM2密钥产生性能：4,000次/秒，响应时间：0.006秒 SM2签名运算性能：3,000次/秒，响应时间：0.008秒 SM2验签运算性能：2,000次/秒，响应时间：0.026秒 RSA2048密钥产生性能：6对/秒，响应时间：8.605秒 RSA2048公钥运算性能：3,500次/秒，响应时间：0.008秒 RSA2048私钥运算性能：400次/秒，响应时间：0.018秒 SM3摘要运算性能：5,000次/秒，响应时间：0.009秒 SM4加密运算性能：5,000次/秒，响应时间：0.003秒 AES128运算性能：7,000次/秒，响应时间：0.004秒 AES256运算性能：6,000次/秒，响应时间：0.004秒

功能特性 说明 功能描述 SVSM满足《GMT 0028-2014 密码模块安全技术要求》、《GM/T 0029-2014签名验签服务器技术规范》要求，提供基于PKI体系和数字证书运算功能，包括XML、二维码、条码、电子签章、时间戳等签名验签功能和证书解析、证书链验证功能。 您可以在以下场景中使用SVSM，保证业务信息的真实性、完整性和不可否认性。 人民银行二代支付 网联平台支付清算 银联无卡支付业务 海关跨境电商 接口规范 支持PKCS#1签名验证 支持PKCS#7签名验证 支持PKCS#7数字信封 加密算法 对称加密算法：支持SM1、SM4、DES、3DES、AES（支持128和256位密钥） 非对称加密算法：支持SM2、RSA（2048～4096位密钥长度）、ECC 摘要算法：支持SM3、SHA1、SHA256、SHA384、SHA512 性能参考 数据通讯协议：TCP/IP、HTTP、HTTPS 最大并发连接：1,000 测试数据长度256字节，性能如下： SM2 PKCS#7 Attached带原文的签名运算性能：2,100次/秒，响应时间：0.009秒 SM2 PKCS#7 Attached带原文的验签运算性能：1,100次/秒，响应时间：0.018秒 SM2 PKCS#7 Detached不带原文的签名运算性能：2,200次/秒，响应时间：0.009秒 SM2 PKCS#7 Detached不带原文的验签运算性能：1,200次/秒，响应时间：0.025秒 SM2 PKCS#1 Raw裸签名运算性能：2,300次/秒，响应时间：0.006秒 SM2 PKCS#1 Raw裸验签运算性能：1,300次/秒，响应时间：0.018秒 RSA2048 PKCS#7 Attached带原文的签名运算性能：350次/秒，响应时间：0.78秒 RSA2048 PKCS#7 Attached带原文的验签运算性能：1,500次/秒，响应时间：0.025秒 RSA2048 PKCS#7 Detached不带原文的签名运算性能：330次/秒，响应时间：0.018秒 RSA2048 PKCS#7 Detached不带原文的验签运算性能：1,800次/秒，响应时间：0.025秒 RSA2048 PKCS#1 Raw裸签名运算性能：400次/秒，响应时间：0.075秒 RSA2048 PKCS#1 Raw裸验签运算性能：2,300次/秒，响应时间：0.011秒

功能特性 说明 功能描述 通用密码机的硬件和固件满足FIPS 140-2 3级认证。用户能够对密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 接口规范 PKCS#11接口规范 加密算法 对称加密算法：支持DES、3DES、AES（支持128、192和256位密钥） 非对称加密算法：支持RSA（2048～4096位密钥长度）、ECC 摘要算法：支持SHA1、SHA256、SHA384、SHA512 性能参考 RSA2048签名验签运算性能：1,100次/秒 EC P256点乘运算性能：315次/秒 AES256双工通讯加密速率：300兆/秒 RSA2048密钥产生性能：0.5对/秒 随机数生成速率：20兆/秒