一、系统介绍

    密码管理服务平台为信息系统提供统一、规范、易实施的开发接口；通过安全开发接口，应用系统能够方便的调用平台提供的密码运算及密钥管理服务，底层的密码运算可以由密码安全服务平台调用密码硬件设备完成，保证应用系统中数据的机密性、完整性。

    1.系统

    管理平台服务：用户可以通过平台管理工具web页面对服务进行配置管理，登录管理工具时提供用户名密码认证和证书认证双因子认证方式。

    统一认证平台：提供签名验签服务和时间戳服务。

    云密码服务后台服务：为应用提供算法支持，包括SM2、SM3、SM4算法，以及密钥管理业务支撑。

    2.模块

    (1)管理工具

    作为管理人员和密钥管理系统的交互接口，实现对各种密钥的管理、对服务和加密机的监控。

    (2)外联接口

    作为业务系统和应用系统的交互接口，实现应用系统对平台服务的各种功能服务接口的调用。

    (3)密码运算模块

    密码运算模块是密钥管理系统的后台服务，负责接受来自应用系统的密码运算请求，根据请求类型进行对应处理，包括密钥处理、运算处理等，然后将处理结果返回给应用系统。

    密钥管理模块实现密钥的管理，包括密钥的增加、删除、更新、查询。

    3.密码硬件

    加密机集群：负责密钥的生成和密码运算。支持国产密码算法（SM2、SM3、SM4）。

    签名验签服务器组：负责数据的签名运算、验签计算、数字信封的生成和解封。

    时间戳服务器组。

    二、功能介绍

    密码管理服务平台主要由密码设备管理、密码服务管理、密钥管理、密码审计及监控管理服务等模块组成，其中密码设备管理模块通过统一的密码设备管理接口对服务器密码机、云服务器密码机、签名服务器等设备进行统一的运维管理，减轻管理的复杂度；密码服务管理模块主要是基于密码资源层封装统一的标准密码设备应用接口，为密码服务层提供基础密码运算服务，实现业务负载均衡等功能；密钥管理模块主要实现业务所涉及的各种对称、非对称密钥的全生命周期管理，保证密钥的安全；密码审计及监控管理服务主要针对密码管理服务平台对外部业务系统提供密码服务的前期申请、密码服务接口的授权和访问控制、密码服务相关模块的状态监控、密码服务数据的统计汇总分析和展现等功能，同时可以根据整体管理的要求，把密码管理服务平台运行相关的数据汇总到安全运维管理中心，进行更为全面、深入的分析和展现。

    三、应用场景

    密钥管理系统主要实现业务所涉及的各种对称、非对称密钥的全生命周期管理，保证密钥的安全，密钥是密钥管理系统的核心。在密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档和销毁等整个生命周期过程中，都需要通过密码技术对密钥进行保护，以确保密钥的全生命周期安全。密钥管理系统的密码应用需求主要包括以下内容：

    1.密钥的安全分发需求。密钥管理中心主密钥／密钥对在本地存储，不进行传输；其他密钥一般采用离线方式或在线方式进行传输，并配以保密性和完整性保护措施。

    2.关键设备的安全管理需求。在远程管理设备时，实现鉴别信息的防窃听，保证系统资源访问控制信息的完整性，对各类设备的日志记录进行完整性保护。

    3.业务系统密钥的安全需求。保证密钥等关键数据在传输、存储过程中的保密性、完整性。

    4.密钥管理需求。对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档、销毁等环节进行全生命周期安全管理，采用必要的密码技术保证各环节的密钥保密性和完整性。这些要求不仅适用于本系统所管理的业务系统密钥，也适用于保护密钥管理系统本身而使用的密钥。