产品背景
    目前我国电子政务、金融、医疗、电力等领域信息化已全面普及，对计算机网络的安全也越来越重视。密码安全作为信息安全的基础性核心技术，是信息保护和网络信任体系建设的基础，也是实行信息安全等级保护不可或缺的关键技术，充分利用密码技术能够有效地保障信息安全等级保护制度的落实，科学合理的利用密码技术及其产品，是落实信息安全体系建设最为有效、经济和便捷的手段。
    而随着大型信息系统的出现，应用对密码服务系统的工作性能（包括系统吞吐率、加解密速度、支持算法等方面）也提出了更高的要求，要求从体系结构设计上更好的支持密码服务系统性能、功能扩展，降低系统应用开发的复杂性，以构筑信息安全整体防护体系。
    针对上述需求，我们依据长期信息安全领域的经验，结合重点行业应用，研制开发了密码安全服务平台。通过屏蔽密码硬件的差异，为应用系统提供统一方便的密码运算开发接口及密码安全服务。密码硬件设备的管理和维护都在密码服务平台中进行，从而降低了密码设备管理和维护的成本，同时提供数据加密/解密、签名/验证、身份鉴别、摘要计算、密钥管理、数字签章、时间戳等全面信息安全服务，全面提升信息系统安全等级。
需求分析
    大型企事业单位信息系统较多，部分已经采用了基于国产密码算法的硬件设备，其目前的安全现状及存在的问题如下：
1）单个安全产品需求逐步减少，独立产品各自为营的局面不能实现整体的信息安全防护，而平台化的整合将是信息安全建设的思路和趋势。
2）业务系统较多，各自调用的硬件设备的类型不同，厂家也不同，导致管理和开发的复杂性。
3）每个业务系统由不同应用厂商开发，不同安全设备的接口不同，专业化程度不同，且与各自业务系统关联性强，导致设备管理分散，并且设备更换或升级复杂性高。
4）各业务系统数字证书、密钥、算法及安全协议管理分散，无法共用，更重要的是对于密钥的产生、传输、存储以及销毁等没有安全规范，存在安全隐患。     
    针对上述问题及需求，我们利用自身的密码技术优势，结合多年的信息安全服务经验，自主研制开发了密码安全服务平台，借鉴成熟的平台技术框架与技术理念并自主创新，作为业务系统安全防护的支撑平台。
平台简介 　　
    密码服务平台以商用密码为基础，结合国内安全需求与产业市场，借鉴成熟的平台技术框架与技术理念并自主创新，为安全应用的身份鉴别、数据完整性、数据机密性和不可否认性等提供密码支撑。
平台体系结构如下：

                      密码服务平台体系机构图

    平台根据高性能密码服务系统的应用和安全需求，结合密码设备集群系统可扩展性的特点，采用了基于集群系统的密码安全体系结构，通过密码接口引擎支持多密码设备、多密码算法并行，向上提供平台身份鉴别、数据完整性、数据机密性和不可否认性等安全服务。   
    平台由密码接口引擎、密码设备管理、密码服务管理及用户管理、安全管理、运行管理等管理模块组成。   
    密码接口引擎是平台的基础，它提供各种密码算法运算和安全协议的软硬件实现；提供统一的底层设备API接口完成对密码设备的调用，接口功能灵活，便于引擎对密码功能资源进行统一的管理和调度。
    密码设备管理是平台系统的核心，负责密码资源的管理与调度，包括几个主要功能部分：（1）密码设备安全管理引擎，完成设备访问控制、存储管理和密钥管理等安全功能；（2）协议实现引擎，用于对应用层安全协议的格式进行处理，转换成标准的数据格式；（3）资源管理器，实现底层安全模块中软/硬件算法单元的抽象处理，并注册密码运算可用资源；（4）作业调度管理器，针对请求作业（密码运算功能请求人物），根据调度策略分配可用资源进行处理。　　
    密码服务管理是面向应用提供统一的密码服务API接口，按密码服务的类型可分为密码服务、信任服务、证书服务等。应用从平台中获得安全服务（如签名服务、数据加密服务等），而不是针对某个密码设备的密码函数功能，密码服务的实现对应用层完全透明。　　
    平台的管理模块实现对平台自身的管理，运行管理实现平台系统的系统配置、网络配置等；用户管理实现平台用户的管理、平台应用资源的管理等；安全管理实现平台密钥管理、证书管理及内部安全协议的管理。
平台特点　　
    以商用密码为基础，结合国内安全需求与产业市场，借鉴成熟的平台技术框架与技术理念并自主创新，作为业务系统安全防护的基础性支撑产品，具有下列特点：　　   
    1）密码设备的集中安全管理　　
    将通用的密码安全设备，包括时间戳服务器、签名验证服务器、密码机、安全应用网关、电子签章系统等统一配置、统一管理，对平台内密钥的产生、分发、处理、存储以及销毁等生命周期的各个环节进行集中安全管理，将密钥、证书的安全管理流程化、制度化，提升整体安全性。　　
    2）密码设备的资源共享　　实现密码设备的应用共享，通过统一规范的密码服务接口，将密码设备提供多应用共享使用，最大程度的发挥密码设备的性能。通过不同的密钥ID及证书，互不影响。同时，设备的共享使用提高产品利用率，降低投资成本。　　
    3）支持集群式部署　　通过密码设备接口引擎（SM2引擎、SM3引擎、SM4引擎、随机数发生器、HMAC引擎、执行引擎及安全存储器等），支持密码设备双机热备、负载均衡部署，即针对应用调用密码设备时，实现处理的智能负载，保障处理性能的最大化。　　
    4）密码服务的标准规范　　支持国家密码管理局的密码功能与接口规范，针对不同业务系统提供密码服务时，提供统一的API接口（C、C++、JAVA及自定义接口），提高安全可靠性。同时，使业务系统与密码设备不必直接关联，降低了密码应用的开发难度。　　
    5）可靠的运行机制　　平台具备完善的运行管理机制，支持分布式部署，针对系统运行、各模块监控、业务操作等提供完整的日志记录，方便管理审计和故障排查。