京东科技：面向金融行业的云密码服务平台

　　核心提示京东科技方案基于云计算技术架构与金融业务场景，形成“金融+云密码”的创新服务模式，为金融行业信息系统提供统一的密码资源池管理、统一的密码接口规范、统一的密码运维与监控等服务，满足金融行业密码应用安全合规要求。

　　　　案例名称

　　面向金融行业的云密码服务平台

　　　　案例简介

　　京东科技面向金融行业商用密码应用的核心场景，结合京东支付业务的密码应用实践与京东云的云计算技术能力，打造了面向金融行业、支持多云异构场景的“金融云密码服务平台”解决方案。

　　方案基于云计算技术架构与金融业务场景，形成“金融+云密码”的创新服务模式，为金融行业信息系统提供统一的密码资源池管理、统一的密码接口规范、统一的密码运维与监控等服务，满足金融行业密码应用安全合规要求。

　　创新技术/模式应用

　　在金融信息系统的密码应用实践中，通常会涉及多种密码设备的接入。由于多种密码设备堆叠提供服务，造成了京东支付的密码应用过程面临成本高、管理难、无法适配云环境、难以统一监控等实际问题。

　　针对上述问题，京东科技基于京东云的云计算技术架构，打造了面向金融场景的自研云密码服务平台解决方案。主要创新技术有以下五点：

　　1.技术架构创新：云化技术、资源整合

　　在技术架构上，金融云密码服务平台依托京东云计算技术体系，实现了从传统的设备直连模式到云化服务架构的突破，架构如下：

　　利用密码设备构建密码资源池，通过虚拟化技术实现密码服务平台，面向上层应用提供CRaaS（密码资源服务）、CFaaS（密码功能服务）和CBaaS（密码业务服务）等服务，实现密码资源的云化部署与管理。

　　2.服务模式创新：面向金融、多种服务

　　在服务模式上，金融云密码服务平台整合多种密码应用场景，实现从单一密码功能到统一密码服务的转变。提供金融密码服务、通用密码服务、典型密码服务等多种密码服务模式，业务应用可以根据自身的业务属性灵活选择。

　　3.业务接入创新：快捷接入、业务无感

　　在业务接入上，金融云密码服务平台实现了新增业务快捷接入、既有业务无感接入的创新模式。新增业务服务通过统一的密码原子接口实现不同场景的业务服务接口；既有业务通过平台进行透传服务接入，不会影响既有业务的稳定运行。

　　4.运维管理创新：集约赋能、一站管理

　　在运维管理上，金融云密码服务平台通过平台一体化设计，解决了传统密码模式中密码设备不可见、不可控的问题。平台支持对密码设备进行统一运维、管理、监控以及密码设备、密码服务运行状态可视化。

　　5.部署方案创新：灵活部署、便捷交付

　　在部署方案上，金融云密码服务平台打通了云上与云下两种不同的部署方式，实现部署场景全覆盖。平台既可以通过云平台的计算资源实现部署，也可以通过自身的虚拟化技术完成云化部署，同时支持云环境与非云环境的密码建设。

　　项目效果评估

　　1.解决痛点

　　（1）密码设备种类多、系统对接成本高

　　金融云密码服务平台基于云计算技术架构整合多元异构密码设备的高效管理，提供统一的密码资源池管理、密码接口规范、密码策略配置以及密码安全应用，满足应用信息系统的安全合规要求、密码技术统一标准化改造和密码资源统一管理与运维等要求，将密码系统设计、部署、运维、管理，计费等组合成一体化解决方案，以服务方式解决用户的各类密码应用需求。

　　（2）现有密码体系与云环境适配性差

　　云计算背景下的金融密码体系建设，需从产品形态、部署方式、商业模式等多个层面适应云计算中的服务化需求。金融云密码服务平台解决方案结合了京东自身在金融、云计算与密码领域多年的积累与实践，形成面向租户、弹性扩容、灵活部署的全栈云密码体系建设方案，为金融行业用户提供一站式云密码建设服务。

　　（3）金融行业信息系统商业密码应用改造

　　金融云密码服务平台及密码资源池中各密码设备均具备商用密码产品认证二级资质，满足《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》、《JR/T 0255-2022 金融行业信息系统商用密码应用基本要求》等密评标准要求，可支持金融行业云平台与云上应用的密评改造建设。

　　（4）复杂系统架构下密码资源难以统一纳管

　　金融行业常面临多云（公有云、专有云、混合云）以及非云化环境下的资源统筹管理难题。金融云密码服务平台解决方案支持对多个金融信息系统的异构密码资源进行集中管理，建立混合多云密码服务统一管理平台，对各系统密码服务进行全流程监控与管理，实现统一纳管。

　　2.效果数据

　　目前京东支付业务已全面接入建设金融云密码服务平台，架构如下：

　　平台同时支撑了京东科技内部1300+应用，并在亿级用户体量下经历了11.11、618等大促考验。

　　在2022年京东618大促期间，平台提供的密码服务峰值TPS达到百亿量级，平均延时小于2毫秒。此外，本系统支持了京东科技通过等保、PCI DSS、银联支付信息安全合规、可信云等17类检测与评审。

　　项目牵头人

　　刘会 机构负责人