当前位置：首页 > news >正文

【安当产品应用案例100集】042-基于安当KADP实现机密文件安全流转

news 来源：原创 2025/7/17 11:19:07

一、客户需求

某集团公司客户，在系统业务流中，存在大量的内部文件流转的需求。内部业务文件有不同的安全密级，最初在文件流转时，公司内部规定点对点的文件传输，要使用加密工具加密后再发给需要的一方。这种方式虽然能部分保证业务数据的安全，但是存在管理困难，无法监督等问题，而且也影响正常工作内容交互的效率。

近期客户准备升级内部业务系统，于是将内部文件安全流转的需求提高优先级，在升级系统时落地。安当在与客户进行你深入讨论后，给出了基于安当KSP密钥管理系统+KADP加密组件的解决方案及全套的流程对接方案。这个案例中我们将介绍一下使用安当的产品是如何解决这个文件加密流转的需求的。

二、需求痛点分析

1. 密钥分散管理

现状问题：

平台集中管理用户主密钥，数据分散存储，存在主密钥泄露风险。

需求目标：

采用密钥分散机制（如基于SM2/SM3的密钥派生），由平台生成主密钥，业务系统通过分散因子动态派生子密钥，避免主密钥直接暴露。

2. 全生命周期合规审计

现状问题：

需满足国标（如GM/T 0054-2018）对密钥生成、存储、使用、销毁的全流程审计要求。

需求目标：

集成密钥管理系统（KSP），记录密钥操作日志（如生成时间、调用者身份、解密次数），支持审计追溯。

3. 业务系统无缝集成

现状问题：

各业务系统需调用用户主密钥加密文件，但缺乏标准化集成方案。

需求目标：

提供统一密钥服务SDK（KADP），业务系统通过令牌（Token）获取临时密钥，无需本地存储主密钥。

4. 免密登录密钥管理系统（KSP）

现状问题：

用户登录平台后需重复认证，进入登录页面才能访问密钥管理系统（KSP）。

需求目标：

实现 SSO（单点登录）集成，通过平台颁发的JWT令牌自动鉴权密钥管理系统（KSP），避免二次输入账号密码。

5. 离线解密支持

现状问题：

在线加密的文件（如刻录光盘）需在无网络环境下解密。

需求目标：

采用基于软件的离线解密方案，预置密钥材料，通过本地安全环境解密。

三、安当解决方案及组件介绍

1. 解决方案概览

经过详细的痛点分析后，安当给出的解决方案简图如下：

2. KSP密钥管理系统的核心能力

上海安当KSP（Key Security Platform）为金融机构提供集中化、自动化密钥管理方案：

全生命周期管理

支持SM2/SM4/SM3等国密算法，以及RSA/AES等国际算法密钥的统一托管；
自动生成、备份、轮换密钥，减少人工干预，密钥轮换效率提升90%。

硬件级安全防护

与HSM（硬件安全模块）深度集成，根密钥永不离开加密机，符合FIPS 140-2 Level 3和国密标准；
提供“白盒加密”技术，防止内存攻击导致密钥泄露。

细粒度权限控制

按角色（运维员、审计员、管理员）划分密钥访问权限，操作需双人审批；
实时记录密钥操作日志，支持对接SOC平台，满足《个人金融信息保护技术规范》。

3. KADP集成包

密钥生命周期管理：与KSP平台深度集成，三级密钥体系：

根密钥（KEK）：存储于国密二级认证加密机，三员分权管理
数据密钥（DEK）：按业务系统动态生成，加密后存储于KSP分布式库
会话密钥（SEK）：API调用时临时下发，有效期满自动销毁
- 自动轮换机制：
- 数据密钥按时间（如90天）或用量（加密1TB数据）自动轮换
- 密钥轮换期间业务无感知，兼容7×24小时高可用场景

全栈算法支持：

算法类型	标准协议	性能指标
SM4-CBC	GM/T 0002-2012	单核加密速度≥450MB/s
SM3哈希	GM/T 0004-2012	哈希计算速度≥600万次/秒
SM2签名	GM/T 0003-2012	签名生成速度≥8000次/秒

跨平台兼容性：

支持ARM架构服务器

灵活的方法调用：

内部对称密钥加密解密
导入外部密钥(AES,DES,SM4)加密解密
支持非对称密钥(RSA,SM2)运算
支持非对称密钥(RSA,SM2)签名验签
支持SM3摘要算法运行
支持FPE加密解密
大文件分片分片加密

4. 离线解密客户端

客户端发送到授权用户，文件密文、文件密钥；文件私钥；通过分盘带到异地上传离线客户端解密。

5. KSP Iframe 嵌入平台，跨平台免密登录

专门调用KSP一键登录接口，通过授权的账号跳过登录页面直接进入KSP密钥管理系统。

四、安当技术优势：多种加解密场景支撑

我们有国密认证密钥管理系统。
利于客户集成开发的SDK，基于本地数据、大文件或者大模型文件加密的场景。
基于结合本地加密后的文件离线解密客户端。
提供跨平台的无缝衔接方案。

五、案例总结

集团公司在业务系统升级时引入安当的KSP（密钥管理系统）、KADP（加解密SDK）、离线客户端后，成功解决了用户密钥管理、本地文件加解密、加密文件授权流转、加密文件异地解密的需求。这一成功案例充分证明了安当产品在实际应用中的整体解决方案的综合能力。

文章作者：青城 ©本文章解释权归安当西安研发中心所有

一、客户需求

二、需求痛点分析

1. 密钥分散管理

2. 全生命周期合规审计

3. 业务系统无缝集成

4. 免密登录密钥管理系统（KSP）

5. 离线解密支持

三、安当解决方案及组件介绍

1. 解决方案概览

2. KSP密钥管理系统的核心能力

3. KADP集成包

4. 离线解密客户端

5. KSP Iframe 嵌入平台，跨平台免密登录

四、安当技术优势：多种加解密场景支撑

五、案例总结

相关文章：