案例名稱

面向金融行業的云密碼服務平臺

案例簡介

京東科技面向金融行業商用密碼應用的核心場景，結合京東支付業務的密碼應用實踐與京東云的云計算技術能力，打造了面向金融行業、支持多云異構場景的“金融云密碼服務平臺”解決方案。

方案基于云計算技術架構與金融業務場景，形成“金融+云密碼”的創新服務模式，為金融行業信息系統提供統一的密碼資源池管理、統一的密碼接口規范、統一的密碼運維與監控等服務，滿足金融行業密碼應用安全合規要求。

創新技術/模式應用

在金融信息系統的密碼應用實踐中，通常會涉及多種密碼設備的接入。由于多種密碼設備堆疊提供服務，造成了京東支付的密碼應用過程面臨成本高、管理難、無法適配云環境、難以統一監控等實際問題。

針對上述問題，京東科技基于京東云的云計算技術架構，打造了面向金融場景的自研云密碼服務平臺解決方案。主要創新技術有以下五點：

1.技術架構創新：云化技術、資源整合

在技術架構上，金融云密碼服務平臺依托京東云計算技術體系，實現了從傳統的設備直連模式到云化服務架構的突破，架構如下：

利用密碼設備構建密碼資源池，通過虛擬化技術實現密碼服務平臺，面向上層應用提供CRaaS（密碼資源服務）、CFaaS（密碼功能服務）和CBaaS（密碼業務服務）等服務，實現密碼資源的云化部署與管理。

2.服務模式創新：面向金融、多種服務

在服務模式上，金融云密碼服務平臺整合多種密碼應用場景，實現從單一密碼功能到統一密碼服務的轉變。提供金融密碼服務、通用密碼服務、典型密碼服務等多種密碼服務模式，業務應用可以根據自身的業務屬性靈活選擇。

3.業務接入創新：快捷接入、業務無感

在業務接入上，金融云密碼服務平臺實現了新增業務快捷接入、既有業務無感接入的創新模式。新增業務服務通過統一的密碼原子接口實現不同場景的業務服務接口；既有業務通過平臺進行透傳服務接入，不會影響既有業務的穩定運行。

4.運維管理創新：集約賦能、一站管理

在運維管理上，金融云密碼服務平臺通過平臺一體化設計，解決了傳統密碼模式中密碼設備不可見、不可控的問題。平臺支持對密碼設備進行統一運維、管理、監控以及密碼設備、密碼服務運行狀態可視化。

5.部署方案創新：靈活部署、便捷交付

在部署方案上，金融云密碼服務平臺打通了云上與云下兩種不同的部署方式，實現部署場景全覆蓋。平臺既可以通過云平臺的計算資源實現部署，也可以通過自身的虛擬化技術完成云化部署，同時支持云環境與非云環境的密碼建設。

項目效果評估

1.解決痛點

（1）密碼設備種類多、系統對接成本高

金融云密碼服務平臺基于云計算技術架構整合多元異構密碼設備的高效管理，提供統一的密碼資源池管理、密碼接口規范、密碼策略配置以及密碼安全應用，滿足應用信息系統的安全合規要求、密碼技術統一標準化改造和密碼資源統一管理與運維等要求，將密碼系統設計、部署、運維、管理，計費等組合成一體化解決方案，以服務方式解決用戶的各類密碼應用需求。

（2）現有密碼體系與云環境適配性差

云計算背景下的金融密碼體系建設，需從產品形態、部署方式、商業模式等多個層面適應云計算中的服務化需求。金融云密碼服務平臺解決方案結合了京東自身在金融、云計算與密碼領域多年的積累與實踐，形成面向租戶、彈性擴容、靈活部署的全棧云密碼體系建設方案，為金融行業用戶提供一站式云密碼建設服務。

（3）金融行業信息系統商業密碼應用改造

金融云密碼服務平臺及密碼資源池中各密碼設備均具備商用密碼產品認證二級資質，滿足《GB/T 39786-2021 信息安全技術 信息系統密碼應用基本要求》、《JR/T 0255-2022 金融行業信息系統商用密碼應用基本要求》等密評標準要求，可支持金融行業云平臺與云上應用的密評改造建設。

（4）復雜系統架構下密碼資源難以統一納管

金融行業常面臨多云（公有云、專有云、混合云）以及非云化環境下的資源統籌管理難題。金融云密碼服務平臺解決方案支持對多個金融信息系統的異構密碼資源進行集中管理，建立混合多云密碼服務統一管理平臺，對各系統密碼服務進行全流程監控與管理，實現統一納管。

2.效果數據

目前京東支付業務已全面接入建設金融云密碼服務平臺，架構如下：

平臺同時支撐了京東科技內部1300+應用，并在億級用戶體量下經歷了11.11、618等大促考驗。

在2022年京東618大促期間，平臺提供的密碼服務峰值TPS達到百億量級，平均延時小于2毫秒。此外，本系統支持了京東科技通過等保、PCI DSS、銀聯支付信息安全合規、可信云等17類檢測與評審。

項目牽頭人

劉會 機構負責人

責任編輯：陳愛