数安商用密码
Software · 软件产品

密钥管理系统 KMS
Key Management System

3-Layer Hierarchy · HSM / 密码卡 / 海光CPU · SM2 · SM4 · RSA · AES

密钥管理系统(KMS)是面向企业的密钥全生命周期管理平台。3 层密钥架构(根密钥→主密钥→数据密钥),支持硬件密码机、密码卡、海光 CPU,SM2 / SM4 / RSA / AES,自动轮换,覆盖密评合规。

最后更新:2026-07

企业级 KMS 密钥管理中心控制台界面
密钥分层、生命周期、审计日志与 HSM 集群状态一屏呈现
3 层密钥架构示意
ROOT KEY · 根密钥
HSM / 密码卡 / 海光CPU 硬件保护
永不以明文离开硬件
↓ 加密保护
MASTER KEY · 主密钥
SM2 / SM4 / RSA / AES · 按业务域隔离
↓ 加密保护
DATA KEY · 数据密钥
按需生成 · 用完即毁 · 定期轮换
3
层密钥架构
SM2+SM4
国密全支持
HSM+
硬件类型
自动
密钥轮换
全程
生命周期
产品概述

密钥是数据安全的地基

算法再强,密钥管理混乱也等于白费。KMS 统一管理密钥的生成、存储、分发、轮换、注销,三层隔离,每步留痕。

3 层架构,根密钥硬件保护
根密钥由 HSM / 密码卡 / 海光 CPU 保护,永不以明文离开硬件。主密钥、数据密钥分层加密,单层被攻击不破坏整体安全边界。
自动轮换,业务无感知
按策略定时自动轮换密钥,存量密文无缝切换,业务系统调用接口不变。
全生命周期审计
密钥每次生成、调用、轮换、注销均记录不可篡改的审计日志,密评所需材料一键输出。
SUPPORTED HARDWARE
🔐
硬件密码机(HSM)
国内主流型号 · 国密局认证
💳
密码卡
PCI-E 密码卡 · 板卡级集成
🖥️
海光 CPU
国产 CPU 安全计算环境 · 信创兼容
核心功能

密钥全生命周期管理

密钥架构
自动轮换
算法支持
审计合规
3 层密钥架构,职责分离

根密钥→主密钥→数据密钥三层结构,每层职责单一。信封加密:数据密钥加密数据,主密钥加密数据密钥,根密钥加密主密钥。

  • 根密钥 — 存储于 HSM 硬件,永不以明文离开设备,用于加密主密钥
  • 主密钥 — 按业务域隔离,不同业务系统使用不同主密钥
  • 数据密钥 — 按需动态生成,用于实际数据加密,用完即毁
  • 信封加密 — 只传密文密钥,不传明文密钥,防止传输中泄露
ENVELOPE ENCRYPTION FLOW
# 1. 获取数据密钥
dk = kms.generate_data_key(
master_key_id="mk-001"
)
# 2. 用明文DK加密数据
ct = encrypt(data, dk.plaintext)
# 3. 存储密文DK + 密文
store(ct, dk.ciphertext_blob)
# 4. 明文DK即时销毁
dk.plaintext.zeroize()
自动密钥轮换,无感知切换

按时间、使用次数、数据量自动触发轮换,存量密文自动迁移,业务调用接口不变。

  • 策略驱动 — 按周期(天/月/年)、调用次数、加密数据量设策略
  • 无感知切换 — 新密钥加密新数据,旧密钥保留解密存量
  • 版本管理 — 多版本并存,支持回滚,解密自动匹配对应版本
  • 轮换审计 — 每次轮换记录操作日志,满足密评对密钥轮换的审计要求
KEY ROTATION POLICY
period: 90 days   max_uses: 1,000,000
auto_rotate: true
v3 · 当前加密
v2 · 可解密
v1 · 退役
国密 + 国际算法全支持

SM2 / SM4 国密算法原生支持,RSA / AES 国际算法兼容,同一套 KMS 满足国内密评与国际业务。

  • SM2 — 非对称密钥,用于密钥交换、数字签名场景
  • SM4 — 对称密钥,128位分组,CBC/GCM/CTR 多模式
  • RSA 2048/4096 — 兼容已有 RSA 体系,平滑迁移国密
  • AES 128/256 — 兼容国际标准,支持混合使用场景
ALGORITHM SUPPORT
国密算法
SM2 · 非对称SM4 · 对称
国际算法
RSA 2048/4096AES 128/256
全生命周期审计,密评直达

密钥生成、调用、轮换、注销全部记录,一键导出密评所需密钥管理合规文档。

  • 操作全记录 — 每步均有时间戳和操作人,不可篡改
  • 密评材料 — 一键导出密评所需密钥管理说明文档
  • 访问控制 — 细粒度权限,不同系统只能访问自己的密钥
  • BYOK 支持 — 客户可导入自有密钥材料,满足数据主权要求
AUDIT LOG
{"event":"KEY_GENERATE",
"key_id":"mk-002",
"algorithm":"SM4",
"ts":1704038400}

{"event":"KEY_ROTATE",
"v_old":2,"v_new":3,
"trigger":"SCHEDULE"}
技术规格

KMS 关键参数

密钥架构
密钥层级3层(根/主/数据)
根密钥保护HSM / 密码卡 / 海光CPU
密钥隔离按业务域隔离
BYOK支持
算法支持
国密对称SM4 · CBC/GCM/CTR
国密非对称SM2
国际对称AES 128/256
国际非对称RSA 2048/4096
生命周期
自动轮换支持,策略可配
版本管理多版本并存
审计日志全操作不可篡改
删除保护软删除 + 等待期
合规与接入
密评支持配套材料生成
API 接口RESTful
SDKC / Java / Go / Python
部署方式私有化
适用场景

最适合这三类场景

🏛️
GOVERNMENT · 政务
密评密钥管理合规
密评对密钥管理有明确要求:分层管理、硬件保护、定期轮换、全程审计,KMS 逐项满足。
🔐
ENTERPRISE · 企业
多系统统一密钥管理
多系统密钥散落、风险高。KMS 统一托管,细粒度权限,每个系统只能访问自己的密钥。
📊
FINANCE · 金融
数据加密密钥管理
数据库、文件、传输加密的密钥统一由 KMS 管理,信封加密,密钥不随数据一同泄露。
产品说明

配合密码服务平台,密评一次过

🔗
与密码服务平台联动
KMS 与密码服务平台集成,密码运算的密钥由 KMS 统一管理,无需单独部署密钥存储
📋
密评合规直接覆盖
多个政务密评项目中,密钥管理合规由 KMS 满足,密评首次通过
🏗️
独立部署也支持
KMS 可独立部署,通过 API 为已有系统提供密钥管理服务,无需更换加密算法
FAQ · 常见问题

关于密钥管理系统 KMS的常见问题

KMS 是什么?
密钥管理系统统一管理密钥的产生、存储、分发、轮换、撤销、销毁全生命周期,避免密钥散落、明文存储与人工台账管理的合规风险。
KMS 和密码机(HSM)有什么区别?
HSM 是在硬件内做密码运算与密钥保护的执行层,KMS 是覆盖密钥全生命周期的管理层,通常 KMS 依托 HSM 或密码卡来保护根密钥。
密钥安全吗?
采用三层密钥架构(根密钥 / 密钥加密密钥 / 数据密钥),根密钥由硬件保护、永不出硬件边界。
支持哪些算法?
支持国密 SM2、SM4 等密钥类型,依托 HSM、密码卡或支持国密的 CPU。
能私有化部署吗?
支持私有化部署。

把密钥管好,把安全打好基础

告诉我们你们密钥管理的现状,我们给出 KMS 接入方案,3个工作日内书面交付,免费。

免费咨询 · 3个工作日书面方案 · 无销售压力