京東科技：面向金融行業(yè)的云密碼服務(wù)平臺(tái)

　　核心提示京東科技方案基于云計(jì)算技術(shù)架構(gòu)與金融業(yè)務(wù)場(chǎng)景，形成“金融+云密碼”的創(chuàng)新服務(wù)模式，為金融行業(yè)信息系統(tǒng)提供統(tǒng)一的密碼資源池管理、統(tǒng)一的密碼接口規(guī)范、統(tǒng)一的密碼運(yùn)維與監(jiān)控等服務(wù)，滿(mǎn)足金融行業(yè)密碼應(yīng)用安全合規(guī)要求。

　　　　案例名稱(chēng)

　　面向金融行業(yè)的云密碼服務(wù)平臺(tái)

　　　　案例簡(jiǎn)介

　　京東科技面向金融行業(yè)商用密碼應(yīng)用的核心場(chǎng)景，結(jié)合京東支付業(yè)務(wù)的密碼應(yīng)用實(shí)踐與京東云的云計(jì)算技術(shù)能力，打造了面向金融行業(yè)、支持多云異構(gòu)場(chǎng)景的“金融云密碼服務(wù)平臺(tái)”解決方案。

　　方案基于云計(jì)算技術(shù)架構(gòu)與金融業(yè)務(wù)場(chǎng)景，形成“金融+云密碼”的創(chuàng)新服務(wù)模式，為金融行業(yè)信息系統(tǒng)提供統(tǒng)一的密碼資源池管理、統(tǒng)一的密碼接口規(guī)范、統(tǒng)一的密碼運(yùn)維與監(jiān)控等服務(wù)，滿(mǎn)足金融行業(yè)密碼應(yīng)用安全合規(guī)要求。

　　創(chuàng)新技術(shù)/模式應(yīng)用

　　在金融信息系統(tǒng)的密碼應(yīng)用實(shí)踐中，通常會(huì)涉及多種密碼設(shè)備的接入。由于多種密碼設(shè)備堆疊提供服務(wù)，造成了京東支付的密碼應(yīng)用過(guò)程面臨成本高、管理難、無(wú)法適配云環(huán)境、難以統(tǒng)一監(jiān)控等實(shí)際問(wèn)題。

　　針對(duì)上述問(wèn)題，京東科技基于京東云的云計(jì)算技術(shù)架構(gòu)，打造了面向金融場(chǎng)景的自研云密碼服務(wù)平臺(tái)解決方案。主要?jiǎng)?chuàng)新技術(shù)有以下五點(diǎn)：

　　1.技術(shù)架構(gòu)創(chuàng)新：云化技術(shù)、資源整合

　　在技術(shù)架構(gòu)上，金融云密碼服務(wù)平臺(tái)依托京東云計(jì)算技術(shù)體系，實(shí)現(xiàn)了從傳統(tǒng)的設(shè)備直連模式到云化服務(wù)架構(gòu)的突破，架構(gòu)如下：

　　利用密碼設(shè)備構(gòu)建密碼資源池，通過(guò)虛擬化技術(shù)實(shí)現(xiàn)密碼服務(wù)平臺(tái)，面向上層應(yīng)用提供CRaaS（密碼資源服務(wù)）、CFaaS（密碼功能服務(wù)）和CBaaS（密碼業(yè)務(wù)服務(wù)）等服務(wù)，實(shí)現(xiàn)密碼資源的云化部署與管理。

　　2.服務(wù)模式創(chuàng)新：面向金融、多種服務(wù)

　　在服務(wù)模式上，金融云密碼服務(wù)平臺(tái)整合多種密碼應(yīng)用場(chǎng)景，實(shí)現(xiàn)從單一密碼功能到統(tǒng)一密碼服務(wù)的轉(zhuǎn)變。提供金融密碼服務(wù)、通用密碼服務(wù)、典型密碼服務(wù)等多種密碼服務(wù)模式，業(yè)務(wù)應(yīng)用可以根據(jù)自身的業(yè)務(wù)屬性靈活選擇。

　　3.業(yè)務(wù)接入創(chuàng)新：快捷接入、業(yè)務(wù)無(wú)感

　　在業(yè)務(wù)接入上，金融云密碼服務(wù)平臺(tái)實(shí)現(xiàn)了新增業(yè)務(wù)快捷接入、既有業(yè)務(wù)無(wú)感接入的創(chuàng)新模式。新增業(yè)務(wù)服務(wù)通過(guò)統(tǒng)一的密碼原子接口實(shí)現(xiàn)不同場(chǎng)景的業(yè)務(wù)服務(wù)接口；既有業(yè)務(wù)通過(guò)平臺(tái)進(jìn)行透?jìng)鞣��?wù)接入，不會(huì)影響既有業(yè)務(wù)的穩(wěn)定運(yùn)行。

　　4.運(yùn)維管理創(chuàng)新：集約賦能、一站管理

　　在運(yùn)維管理上，金融云密碼服務(wù)平臺(tái)通過(guò)平臺(tái)一體化設(shè)計(jì)，解決了傳統(tǒng)密碼模式中密碼設(shè)備不可見(jiàn)、不可控的問(wèn)題。平臺(tái)支持對(duì)密碼設(shè)備進(jìn)行統(tǒng)一運(yùn)維、管理、監(jiān)控以及密碼設(shè)備、密碼服務(wù)運(yùn)行狀態(tài)可視化。

　　5.部署方案創(chuàng)新：靈活部署、便捷交付

　　在部署方案上，金融云密碼服務(wù)平臺(tái)打通了云上與云下兩種不同的部署方式，實(shí)現(xiàn)部署場(chǎng)景全覆蓋。平臺(tái)既可以通過(guò)云平臺(tái)的計(jì)算資源實(shí)現(xiàn)部署，也可以通過(guò)自身的虛擬化技術(shù)完成云化部署，同時(shí)支持云環(huán)境與非云環(huán)境的密碼建設(shè)。

　　項(xiàng)目效果評(píng)估

　　1.解決痛點(diǎn)

　�。�1）密碼設(shè)備種類(lèi)多、系統(tǒng)對(duì)接成本高

　　金融云密碼服務(wù)平臺(tái)基于云計(jì)算技術(shù)架構(gòu)整合多元異構(gòu)密碼設(shè)備的高效管理，提供統(tǒng)一的密碼資源池管理、密碼接口規(guī)范、密碼策略配置以及密碼安全應(yīng)用，滿(mǎn)足應(yīng)用信息系統(tǒng)的安全合規(guī)要求、密碼技術(shù)統(tǒng)一標(biāo)準(zhǔn)化改造和密碼資源統(tǒng)一管理與運(yùn)維等要求，將密碼系統(tǒng)設(shè)計(jì)、部署、運(yùn)維、管理，計(jì)費(fèi)等組合成一體化解決方案，以服務(wù)方式解決用戶(hù)的各類(lèi)密碼應(yīng)用需求。

　�。�2）現(xiàn)有密碼體系與云環(huán)境適配性差

　　云計(jì)算背景下的金融密碼體系建設(shè)，需從產(chǎn)品形態(tài)、部署方式、商業(yè)模式等多個(gè)層面適應(yīng)云計(jì)算中的服務(wù)化需求。金融云密碼服務(wù)平臺(tái)解決方案結(jié)合了京東自身在金融、云計(jì)算與密碼領(lǐng)域多年的積累與實(shí)踐，形成面向租戶(hù)、彈性擴(kuò)容、靈活部署的全棧云密碼體系建設(shè)方案，為金融行業(yè)用戶(hù)提供一站式云密碼建設(shè)服務(wù)。

　�。�3）金融行業(yè)信息系統(tǒng)商業(yè)密碼應(yīng)用改造

　　金融云密碼服務(wù)平臺(tái)及密碼資源池中各密碼設(shè)備均具備商用密碼產(chǎn)品認(rèn)證二級(jí)資質(zhì)，滿(mǎn)足《GB/T 39786-2021 信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》、《JR/T 0255-2022 金融行業(yè)信息系統(tǒng)商用密碼應(yīng)用基本要求》等密評(píng)標(biāo)準(zhǔn)要求，可支持金融行業(yè)云平臺(tái)與云上應(yīng)用的密評(píng)改造建設(shè)。

　�。�4）復(fù)雜系統(tǒng)架構(gòu)下密碼資源難以統(tǒng)一納管

　　金融行業(yè)常面臨多云（公有云、專(zhuān)有云、混合云）以及非云化環(huán)境下的資源統(tǒng)籌管理難題。金融云密碼服務(wù)平臺(tái)解決方案支持對(duì)多個(gè)金融信息系統(tǒng)的異構(gòu)密碼資源進(jìn)行集中管理，建立混合多云密碼服務(wù)統(tǒng)一管理平臺(tái)，對(duì)各系統(tǒng)密碼服務(wù)進(jìn)行全流程監(jiān)控與管理，實(shí)現(xiàn)統(tǒng)一納管。

　　2.效果數(shù)據(jù)

　　目前京東支付業(yè)務(wù)已全面接入建設(shè)金融云密碼服務(wù)平臺(tái)，架構(gòu)如下：

　　平臺(tái)同時(shí)支撐了京東科技內(nèi)部1300+應(yīng)用，并在億級(jí)用戶(hù)體量下經(jīng)歷了11.11、618等大促考驗(yàn)。

　　在2022年京東618大促期間，平臺(tái)提供的密碼服務(wù)峰值TPS達(dá)到百億量級(jí)，平均延時(shí)小于2毫秒。此外，本系統(tǒng)支持了京東科技通過(guò)等保、PCI DSS、銀聯(lián)支付信息安全合規(guī)、可信云等17類(lèi)檢測(cè)與評(píng)審。

　　項(xiàng)目牽頭人

　　劉會(huì) 機(jī)構(gòu)負(fù)責(zé)人