(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210784838.9 (22)申请日 2022.07.06 (65)同一申请的已公布的文献号 申请公布号 CN 114866346 A (43)申请公布日 2022.08.05 (73)专利权人 北京神州安 付科技股份有限公司 地址 102200 北京市昌平区回龙观龙域中 街1号院1号楼龙域中心 A座1102室 (72)发明人 张敏　赵宁宁　崔焕　管巫浩　 (74)专利代理 机构 北京专赢专利代理有限公司 11797 专利代理师 李斌 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01)(56)对比文件 CN 108306972 A,2018.07.20 CN 110572258 A,2019.12.13 CN 104104513 A,2014.10.15 CN 113949551 A,202 2.01.18 US 2019097 791 A1,2019.0 3.28 US 202025 0318 A1,2020.08.0 6 US 201401975 3 A1,2014.01.16 何明等.云数据中心密码服 务技术研究. 《广 东通信技术》 .2017,(第1 1期), 高秀武等.大 数据环境下密码资源 池多租户 安全隔离 研究. 《计算机技 术与发展》 .2018,(第 09期), 陈亚男等.一种基 于密码云的政务云密码应 用研究. 《信息安全研究》 .2020,(第09期), 焦少波等.政务云平台国密应用技 术研究. 《网络安全技 术与应用》 .2020,(第10期), 审查员 王莹莹 (54)发明名称 一种基于分散式的密码服 务平台 (57)摘要 本发明公开了一种基于分散式的密码服务 平台， 属于网络安全技术领域， 包括密码设备资 源层、 核心服务层， 接口层和业务服务层， 本发明 采用多点分布式方式进行架构设计， 应用服务模 块、 密码资源池、 密钥管理模 块 （数据库模块） ， 同 时， 他们之间的通信采用了自定义安全通道， 安 全通道建立过程采用了国密SM2 ‑SM3‑SM4算法套 件完成， 安全属性高。 权利要求书1页 说明书7页 附图1页 CN 114866346 B 2022.09.13 CN 114866346 B 1.一种基于分散式的密码服 务平台， 其特 征在于， 包括： 密码设备资源层， 由云密码资源池作为密码基础支撑， 云密码服务平台构成， 资源池底 层由云服务器密码机、 服务器密码机、 签名验签服务器产品构成， 通过云密码服务平台统一 为云上租户提供虚拟密码服务； 政务云平台通过云密码服务平台为云上租户分配虚拟密码 机， 为云上租户提供通用密码运算服务， 云上租户通过本地部署密码服务中间件向云密码 服务平台发起密码服务请求； 云密码服务平台调用该云上租户相应的虚拟密码机提供密码 运算服务， 同时， 云密码服务平台为云上租户分配密码资源后， 通过配置云上租户VP C 与云 密码资源池VP C网络联通， 配合云密码服务平台对云上租户侧的资源隔离、 安全通道及认证 机制， 确保云上租户只能访问到自己被分配的虚拟密码资源， 从而实现不同用户的密码服 务隔离； 核心服务层， 用于从业务规划角度助力各种应用业务完成与密码技术的结合与应用， 从规范的角度实现密码资源统一管理与调度、 密码服 务统一管控、 密钥集中管理； 接口层， 对外提供各类多样的密码服务能力， 提供对称密码服务和公钥密码服务， 为上 层提供基于数据在保密性、 完整性、 身份鉴别、 抗抵 赖基本功能； 业务服务层， 采用密码支撑层和密码服务层提供的服务来满足云密码服务平台上各类 业务应用系统密码应用合 规性需求， 实现政务云平台对密码合 规性保障的能力； 依据建设采用的产品不同， 密码服务展现形式不同， 云密码服务平台所提供的云密码 服务包括云密码资源池服务、 通用密码服务、 典型密码服务以及云密钥服务四个方面， 其 中： 云密码资源池服务即虚拟密码机； 通用密码服务即加/解密运算服务、 完整性运算服务、 签名验签运算服务； 典型密码服务即电子签章服务、 数据库加密服务、 云文件加密服务； 云 密钥服务即统一身份认证服务、 可信时间服务， 云密钥管理服务是提供统一的、 全生命周期 的密钥管理服 务。 2.根据权利要求1所述的一种基于分散 式的密码服务平台， 其特征在于， 所述虚拟密码 服务， 由分配给 各云上租户的密码子系统实现。 3.根据权利要求2所述的一种基于分散 式的密码服务平台， 其特征在于， 所述密码子系 统均由虚拟密码机、 物理密码机和相应API  接口组成， 对用户传输数据或者存储数据提供 密钥加密、 解密、 签名、 验签密码运 算功能。 4.根据权利要求1所述的一种基于分散 式的密码服务平台， 其特征在于， 所述本地部署 密码服务中间件部署于云上租户业 务应用系统服 务器。 5.根据权利要求1所述的一种基于分散 式的密码服务平台， 其特征在于， 所述核心服务 层包括应用管理、 密码资源池管理、 密钥管理、 密码服务管理、 多云上租户管理、 统计分析、 审计管理、 运维监控核心 功能。 6.根据权利要求5所述的一种基于分散 式的密码服务平台， 其特征在于， 所述应用管理 是指对需要连接到密码服务平台的应用业务系统的管理， 应用业务系统在使用密码服务 前， 必须完成应用信息在平台 中的登记 注册， 并配置对应的应用认证策略。 7.根据权利要求5所述的一种基于分散 式的密码服务平台， 其特征在于， 所述密钥管理 包含： 密钥标签管理、 历史密钥管理、 销毁密钥 管理、 备用密钥管理、 在用密钥管理、 密钥巡 检管理。权　利　要　求　书 1/1 页 2 CN 114866346 B 2一种基于分散式的密码服务平台 技术领域 [0001]本发明涉及网络安全技 术领域， 具体是一种基于分散式的密码服 务平台。 背景技术 [0002]随着密码应用及国产密码算法在电子政务、 金融、 电力、 交通、 医疗等各个领域的 显著推广， 安全应用方案的部署日益增多， 密钥管理作为安全应用系统中的重要组成部分 也变得越来越重要和复杂， 密钥管理不善可能使组织机构遭受不必要的安全风险。 [0003]然而， 企业通常针对不 同的业务用途选择不 同的独立云密码服务平台， 不同密钥 管理产品通常都有一套自己的密钥生成、 分配、 保存和密钥生命周期的管理方法， 且各个产 品之间没有统一的密钥使用接口规范。 企业的安全管理者陷入了管理不同厂商不同产品密 钥的大量手动工作， 阻碍了企业部署加密应用的进程。 同时在一些业务场景中， 企业对不同 业务系统之间的密钥使用限制等策略要求以及更多的密钥数量等需求也对云密码服务平 台提出了更高的要求， 同时在云环境中实时性、 高频次、 海量级的密钥管理和统一数据加解 密需求对于云密码服 务平台也是一个极大的挑战。 [0004]为了解决企业面临的上述问题， 本设计制定云密码服务平台产品目标： 实现对称 密钥、 非对称密钥等加密 对象统一管 理、 提供密钥 细粒度访问策略控制、 提供密码运算服务 功能， 实现密钥管理服 务实时高可用， 提高易用性的同时保证其 安全性。 发明内容 [0005]本发明的目的在于提供一种基于分散式的密码服务平台， 以解决上述背景技术中 提出的问题。 [0006]为实现上述目的， 本发明提供如下技 术方案： [0007]一种基于分散式的密码服 务平台， 包括： [0008]密码设备资源层， 由云密码资源池作为密码基础支撑， 云密码服务平台构成， 资源 池底层由云服务器密码机、 服务器密码机、 签名验签服务器产品构成， 通过云密码服务平台 统一为云上租户提供虚拟密码服务； 政务云平台通过云密码服务平台为云上租户分配虚拟 密码机， 为云上租户提供通用密码运算服务， 云上租户通过本地部署密码服务中间件向云 密码服务平台发起密码服务请求； 云密码服务平台调用该云上租户相应的虚拟密码机提供 密码运算服务， 同时， 云密码服务平台为云上租户分配密码资源后， 通过配置云上租户VPC   与云密码资源池VP C网络联通， 配合云密码服务平台对云上租户侧的资源隔离、 安全通道及 认证机制， 确保云上租户只能访问到 自己被分配的虚拟密码资源， 从而实现不同用户的密 码服务隔离； [0009]核心服务层， 用于从业务规划角度助力各种应用业务完成与密码技术的结合与应 用， 从规范的角度实现密码资源统一管理与调度、 密码服 务统一管控、 密钥集中管理； [0010]接口层， 对外提供各类多样的密码服务能力， 提供对称密码服务和公钥密码服务， 为上层提供基于数据在保密性、 完整性、 身份鉴别、 抗抵 赖基本功能；说　明　书 1/7 页 3 CN 114866346 B 3