统一密码服务管理平台
资源层
资源层包括通用硬件资源以及各种密码硬件资源,密码硬件资源作为最底层设备支撑,通过统一标准接口为上层提供密码服务。
业务层
为本系统的应用端,统━密码服务接口提供统一的服务APl;应用系统使用SDK/API方式访问系统的密码服务,客户端浏览器为普通用户提供密码服务界面,为管理员提供本系统的管理界面。
服务层
为上层业务应用提供所需的多种密码服务。通过提供统—的服务API供上层业务进行调用,实现业务应用快速内嵌密码能力。
调度层
采用统—建设,集中管理的方式为密码设备提供集中化的管理与维护功能,解决业务系统对密码设备调用及管理的复杂问题。同时通过统━引擎接口及调度策略实现密码设备的资源调度,提供按需服务能力,应对业务高峰,灵活资源池配置,实现弹性扩展。
密码设备统一管理
统一适配各品牌、型号的密码设备,并能够通过平台对密码设备进行状态监测和异常检查,帮助用户实现对密码设备的集中管理和统一维护;密码设备池中的设备数量可根据需要动态增减。
密码服务能力统一输出
通过统一的密码服务接口向应用提供密码服务,屏蔽后台密码设备的多样性、指令的复杂性,实现业务系统的统━调用,为业务系统提供统一、安全、可扩展的密码服务。
全面密码服务
提供基础密码服务:包括随机数、完整性校验、加解密、签名验签、数字信封等服务;提供应用密码服务:可信身份认证、电子签章、时间戳、数据库加密等服务。
全局密钥管理
支持国家商用密码算法SM2/3/4/9等;与国际商用密码算法RSA/AES/SHA等;支持对称、非对称、标识密钥管理;符合国家商用密码标准GM/T0034、0038、0051,确保密钥管理合法合规。
统一身份认证及访问控制
支持应用和用户的身份认证;基于权限控制的单点登录;支持配置认证策略和访问策略。
密钥管理能力
支持对称、非对称的密钥全生命周期管理,最少支持千万级用户量,可根据用户需求支持存储亿级以上密钥。
密码设备兼容接入能力
支持国密主管部门认可的多种以及不同厂商密码设备接入,包括服务器密码机,签名验签服务器、云密码机、虚拟密码机,金融数据密码机、类网关等等。
密码计算资源调度能力
支持密码计算资源的静态、动态分配,可根据密码服务需求实时监控,自动扩展,至少支持1000台密码计算资源的实时调度。
整体安全,打造一体化安全密码保障体系
以密码为底层支撑,系统、完善的一体化密码应用体系。通过密码实现网络的可信互联、安全互通,为应用提供了身份认证、权限管理、访问控制、加解密等安全的密码服务,充分发挥了密码的基础支撑和安全保障作用。
合法合规,推进国产商用密码建设
建设遵循国家密码主管部门对商用密码的应用要求,强化了密码应用的合法合规,保障了密码应用的正确性、合规性,有效性。
打造全方位密码服务监管能力,实现“可测+可控+可审”
通过密码服务全景展示“—张图”,采用可视化展示方式,将可用密码资源、资源调用趋势、设备状态,以及应用接入、接入单位情况等数据直观展示,为密码相关的决策提供支撑。
简单易用的封装接口,提高开发/运行维护效率
对密码运算和密钥管理的开发接口和组件实现统——封装和定制,提供简单易用的安全分友接口同时对应用系统屏蔽密码设备的管理和调度细节,使得应用系统对密码设备的选择具有更大的自由度。
统━密码服务平台支持传统服务器环境及云环境部署。支持平台的两级部署模式,支持集中管控。
平台各子系统均为模块化设计,内含统━服务注册服务模块,每个子系统可按需部署多个服务实例,由统—服务注册服务模块实现多服务实例的业务调度来确保服务的高可用性。
平台可以作软件部署在传统服务器上,作为专用的密码安全基础设施。
平台亦可作为镜像,部署在云环境中的各个虚拟主机上,并且根据实际负载情况,快速扩容。
平台支持分布式部署,可在用户单位不同数据中心分别独立部署一套密码服务平台系统,就近提供密码服务,主中心实现对各丛中心的统—管控,同时各个系统之间互为备份。即独立运行,集群备份。
整个系统采用集群技术,增强系统内的可靠性及吞吐性能。
计算机软件著作权登记证书
