案例名稱

面向金融行業的云密碼服務平臺

【資料圖】

案例簡介

京東科技面向金融行業商用密碼應用的核心場景，結合京東支付業務的密碼應用實踐與京東云的云計算技術能力，打造了面向金融行業、支持多云異構場景的“金融云密碼服務平臺”解決方案。

方案基于云計算技術架構與金融業務場景，形成“金融+云密碼”的創新服務模式，為金融行業信息系統提供統一的密碼資源池管理、統一的密碼接口規范、統一的密碼運維與監控等服務，滿足金融行業密碼應用安全合規要求。

創新技術/模式應用

在金融行業信息系統的密碼應用中，通常會涉及多種密碼設備的接入。以京東支付為例，其支付系統需要接入金融數據密碼機，門戶系統接入云服務器密碼機，此外還接入了簽名驗簽服務器、時間戳服務器等密碼設備。由于需要多種設備堆疊提供密碼服務，造成了京東支付的密碼應用面臨成本高、管理難、無法適配云環境、難以統一監控等實際問題。

針對上述問題，京東科技基于京東云的云計算技術架構，打造了面向金融場景的自研云密碼服務平臺解決方案。主要創新技術有以下五點：

1.云化服務、資源整合

金融云密碼服務平臺利用密碼設備構建密碼資源池，通過實現云化部署、管理，提供面向租戶管理及租戶自管理；整合不同廠商，不同型號密碼設備能力實現設備復用、利舊，保護已有投資；支持混合多云場景下的密碼服務統一管理。

2.面向金融、多種服務

金融云密碼服務平臺提供金融密碼服務、通用密碼服務、典型密碼服務等多種密碼服務，其中金融密碼服務主要面向金融場景，基于金融數據密碼機向支付、網銀、交易等系統提供密碼服務；業務應用可以根據自身的業務屬性靈活選擇。

3.按需調用、彈性擴容

金融云密碼服務平臺通過密碼服務實例向業務應用提供密碼服務，并采用容器虛擬化技術，實現服務實例的按需分配與彈性擴容；云密碼虛擬化支持彈性擴展。

4.集約賦能、一站管理

金融云密碼服務平臺通過平臺一體化設計，統一資源管理，統一服務接口，提供標準化組件化服務能力；支持對密碼設備進行統一運維、管理、監控以及密碼設備、密碼服務運行狀態可視化。

5.靈活部署、便捷交付

金融云密碼服務平臺支持云上與云下兩種部署方式，既可以通過云平臺的計算資源與網絡實現部署，也可以通過自身的虛擬化技術生成服務實例；支持多云異構場景，可以實現混合多云密碼服務的統一管理；通過平臺可以實現應用快速對接、快速上線。

項目效果評估

1.解決痛點

（1）密碼設備種類多、系統對接成本高

金融云密碼服務平臺基于云計算技術架構整合多元異構密碼設備的高效管理，提供統一的密碼資源池管理、密碼接口規范、密碼策略配置以及密碼安全應用，滿足應用信息系統的安全合規要求、密碼技術統一標準化改造和密碼資源統一管理與運維等要求，將密碼系統設計、部署、運維、管理，計費等組合成一體化解決方案，以服務方式解決用戶的各類密碼應用需求。

（2）現有密碼體系與云環境適配性差

云計算背景下的金融密碼體系建設，需從產品形態、部署方式、商業模式等多個層面適應云計算中的服務化需求。金融云密碼服務平臺解決方案結合了京東自身在金融、云計算與密碼領域多年的積累與實踐，形成面向租戶、彈性擴容、靈活部署的全棧云密碼體系建設方案，為金融行業用戶提供一站式云密碼建設服務。

（3）金融行業信息系統商業密碼應用改造

金融云密碼服務平臺及密碼資源池中各密碼設備均具備商用密碼產品認證二級資質，滿足《GB/T 39786-2021 信息安全技術 信息系統密碼應用基本要求》、《JR/T 0255-2022 金融行業信息系統商用密碼應用基本要求》等密評標準要求，可支持金融行業云平臺與云上應用的密評改造建設。

（4）復雜系統架構下密碼資源難以統一納管

金融行業常面臨多云（公有云、專有云、混合云）以及非云化環境下的資源統籌管理難題。金融云密碼服務平臺解決方案支持對多個金融信息系統的異構密碼資源進行集中管理，建立混合多云密碼服務統一管理平臺，對各系統密碼服務進行全流程監控與管理，實現統一納管。

2.效果數據

目前京東支付業務已全面接入建設金融云密碼服務平臺，平臺同時支撐了京東科技內部1300+應用，并在億級用戶體量下經歷了11.11、618等大促考驗。在2022年京東618大促期間，平臺提供的密碼服務峰值TPS達到百億量級，平均延時小于2毫秒。此外，本系統支持了京東科技通過等保、PCI DSS、銀聯支付信息安全合規、可信云等17類檢測與評審。

項目牽頭人

劉會

關鍵詞：