数安商用密码
ZHEN
申请演示
Software · 软件产品

密钥管理系统 KMS
Key Management System

3-Layer Hierarchy · HSM / 密码卡 / 海光CPU · SM2 · SM4 · RSA · AES

企业级密钥全生命周期管理平台。3 层密钥架构(根密钥→主密钥→数据密钥),支持主流硬件密码机、密码卡及海光 CPU,SM2 / SM4 / RSA / AES 全面支持,自动密钥轮换,密评合规直接覆盖。

申请免费演示 查看功能详情
3 层密钥架构示意
ROOT KEY · 根密钥
HSM / 密码卡 / 海光CPU 硬件保护
永不以明文离开硬件
↓ 加密保护
MASTER KEY · 主密钥
SM2 / SM4 / RSA / AES · 按业务域隔离
↓ 加密保护
DATA KEY · 数据密钥
按需生成 · 用完即毁 · 定期轮换
3
层密钥架构
SM2+SM4
国密全支持
HSM+
硬件类型
自动
密钥轮换
全程
生命周期
产品概述

密钥是数据安全的地基

加密算法再强,密钥管理混乱等于白费。KMS 把密钥的生成、存储、分发、轮换、注销全部统一管理,三层隔离,每步留痕。

3 层架构,根密钥硬件保护
根密钥由 HSM / 密码卡 / 海光 CPU 保护,永不以明文离开硬件。主密钥和数据密钥分层加密,单层被攻击不影响整体安全边界。
自动轮换,业务无感知
按策略定时自动轮换密钥,存量密文无缝切换,业务系统调用接口不变,感知不到任何变化。
全生命周期审计
密钥每次生成、调用、轮换、注销均记录不可篡改的审计日志,密评评审所需材料平台直接输出。
SUPPORTED HARDWARE
🔐
硬件密码机(HSM)
国内主流型号全支持 · 国密局认证
💳
密码卡
PCI-E 密码卡 · 板卡级集成
🖥️
海光 CPU
国产 CPU 安全计算环境 · 信创兼容
核心功能

密钥全生命周期管理

密钥架构
自动轮换
算法支持
审计合规
3 层密钥架构,职责分离

根密钥→主密钥→数据密钥三层结构,每层职责单一。信封加密模式:数据密钥加密数据,主密钥加密数据密钥,根密钥加密主密钥。

  • 根密钥 — 存储于 HSM 硬件,永不以明文离开设备,用于加密主密钥
  • 主密钥 — 按业务域隔离,不同业务系统使用不同主密钥
  • 数据密钥 — 按需动态生成,用于实际数据加密,用完即毁
  • 信封加密 — 只传输密文密钥,不传输明文密钥,防止密钥在传输中泄露
ENVELOPE ENCRYPTION FLOW
# 1. 获取数据密钥
dk = kms.generate_data_key(
master_key_id="mk-001"
)
# 2. 用明文DK加密数据
ct = encrypt(data, dk.plaintext)
# 3. 存储密文DK + 密文
store(ct, dk.ciphertext_blob)
# 4. 明文DK即时销毁
dk.plaintext.zeroize()
自动密钥轮换,无感知切换

按时间、按使用次数、按数据量自动触发密钥轮换,存量密文自动迁移,业务系统调用接口不变。

  • 策略驱动 — 按周期(天/月/年)、调用次数、加密数据量设置轮换策略
  • 无感知切换 — 新密钥加密新数据,旧密钥保留解密存量,不影响业务
  • 版本管理 — 多版本并存,支持回滚,解密自动匹配对应版本
  • 轮换审计 — 每次轮换记录操作日志,满足密评对密钥轮换的审计要求
KEY ROTATION POLICY
period: 90 days   max_uses: 1,000,000
auto_rotate: true
v3 · 当前加密
v2 · 可解密
v1 · 退役
国密 + 国际算法全支持

SM2 / SM4 国密算法原生支持,RSA / AES 国际算法全面兼容,同一套 KMS 满足国内密评与国际业务双重需求。

  • SM2 — 非对称密钥,用于密钥交换、数字签名场景
  • SM4 — 对称密钥,128位分组,CBC/GCM/CTR 多模式
  • RSA 2048/4096 — 兼容已有 RSA 体系,支持平滑迁移国密
  • AES 128/256 — 兼容国际标准,支持混合使用场景
ALGORITHM SUPPORT
国密算法
SM2 · 非对称SM4 · 对称
国际算法
RSA 2048/4096AES 128/256
全生命周期审计,密评直达

密钥生成、调用、轮换、注销全部记录,一键导出密评所需密钥管理合规文档。

  • 操作全记录 — 每步均有时间戳和操作人,不可篡改
  • 密评材料 — 一键导出密评评审所需密钥管理说明文档
  • 访问控制 — 细粒度权限,不同系统只能访问自己的密钥
  • BYOK 支持 — 客户可导入自有密钥材料,满足数据主权要求
AUDIT LOG
{"event":"KEY_GENERATE",
"key_id":"mk-002",
"algorithm":"SM4",
"ts":1704038400}

 {"event":"KEY_ROTATE",
"v_old":2,"v_new":3,
"trigger":"SCHEDULE"}
技术规格

KMS 关键参数

密钥架构
密钥层级3层(根/主/数据)
根密钥保护HSM / 密码卡 / 海光CPU
密钥隔离按业务域隔离
BYOK支持
算法支持
国密对称SM4 · CBC/GCM/CTR
国密非对称SM2
国际对称AES 128/256
国际非对称RSA 2048/4096
生命周期
自动轮换支持,策略可配
版本管理多版本并存
审计日志全操作不可篡改
删除保护软删除 + 等待期
合规与接入
密评支持配套材料生成
API 接口RESTful
SDKC / Java / Go / Python
部署方式私有化
适用场景

最适合这三类场景

🏛️
GOVERNMENT · 政务
密评密钥管理合规
密评评审对密钥管理有明确要求:分层管理、硬件保护、定期轮换、全程审计。KMS 开箱即用。
🔐
ENTERPRISE · 企业
多系统统一密钥管理
企业多系统密钥散落混乱风险高。KMS 统一托管,细粒度权限控制,每个系统只能访问自己的密钥。
📊
FINANCE · 金融
数据加密密钥管理
数据库、文件、传输加密的密钥统一由 KMS 管理,信封加密模式,密钥不与数据一同泄露。
产品说明

配合密码服务平台,密评一次过

🔗
与密码服务平台联动
KMS 与密码服务平台深度集成,密码运算的密钥由 KMS 统一管理,无需单独部署密钥存储
📋
密评合规直接覆盖
清远市中级人民法院、广东省交通厅等密评项目,密钥管理合规均通过 KMS 满足,首次通过
🏗️
独立部署也支持
KMS 可独立部署,通过 API 为已有系统提供密钥管理服务,无需更换加密算法
申请技术方案咨询

把密钥管好,把安全打好基础

告诉我们你们密钥管理的现状,我们给出具体的 KMS 接入方案,3个工作日内书面交付,不收任何费用。

申请方案咨询(免费) 查看密码服务平台

免费咨询 · 3个工作日书面方案 · 无销售压力