概览
IGA(Identity Governance & Administration,身份治理与管理)平台
跳板机 / 堡垒机(Jump Server / Bastion Host)
统一的特权访问控制平台(Privileged Access Management / PAM)
KMSS(Key Management & Security Service)
数据脱敏平台 Data Masking / Data Protection Platform
相关开源项目
可以参考一下老马开源的项目:
敏感词核心库: https://github.com/houbb/sensitive-word
敏感词控台:https://github.com/houbb/sensitive-word-admin
日志脱敏:https://github.com/houbb/sensitive
加密工具:https://github.com/houbb/encryption-local
加密机 / 密钥管理服务 KMSS(Key Management & Security Service)
以下内容对"加密机 / 密钥管理服务 KMSS(Key Management & Security Service)"进行专业、系统、可落地的完整展开,涵盖平台定位、架构、核心能力、与 HSM 的关系、密钥生命周期、密钥模型、租户隔离、主要 API、合规体系、组件设计、实施路线等。可直接作为企业级密钥管理系统(KMSS)的蓝图文档。
一、KMSS 的平台定位
KMSS 的核心目标:
- 统一管理企业所有密钥、证书、机密(Keys / Certificates / Secrets)。
- 为业务系统提供安全的加解密能力(Encrypt/Decrypt/Sign/Verify)。
- 利用硬件加密机 HSM 作为根信任根(Root of Trust)。
- 提供安全编排能力:密钥轮换、密钥签发、PKI、证书管理。
- 构建"安全能力服务化"的基础设施,解决业务散乱加密带来的安全问题。
典型使用者:
- IAM 平台(Token 签名、会话加密、证书验证)
- SSO / Passport(OpenID、OAuth2 Token、JWT 私钥签名)
- API Gateway(流量加密、证书管理)
- 数据平台(列加密、FPE 格式保留加密)
- 日志平台(敏感字段加密)
- 业务系统(接口安全、防篡改)
- 数据脱敏平台(加密 / 解密能力)
- 终端、代理、设备接入(Mutual TLS)
二、KMSS 与 HSM 的关系(必须理解)
KMSS(软件平台) 与 HSM(硬件模块)关系如下:
- HSM 是提供"物理安全级别"的硬件(密钥不可导出)
- KMSS 是构建在 HSM 上的企业级密钥管理系统(Key Service)
KMSS 架构:
客户系统 → KMSS API → KMSS Service Layer → HSM → Key Storage意义:
- HSM 提供密钥安全的"根"
- KMSS 提供"密钥生命周期管理 + 加密服务化"
- HSM 降低被攻破概率
- KMSS 提供多租户、多密钥类型、自动轮换等能力
三、KMSS 顶层架构设计(Top Architecture)
KMSS Platform
├── Key Management(密钥管理)
│ ├── Key Create
│ ├── Key Import
│ ├── Key Backup
│ ├── Key Rotation
│ ├── Key Disable/Destroy
│
├── Crypto Service(加密服务)
│ ├── Encrypt/Decrypt API
│ ├── Sign/Verify API
│ ├── Hash/Random
│ ├── FPE / Tokenization
│
├── Secret Management(机密管理)
│ ├── App Secret
│ ├── API Keys
│ ├── DB Password
│
├── PKI & Certificate(证书中心)
│ ├── CA / Sub-CA
│ ├── CSR 签发
│ ├── 证书轮换
│ ├── mTLS 证书发放
│
├── Policy Engine(策略中心)
│ ├── 密钥使用策略(用途/范围)
│ ├── 访问策略(IAM 集成)
│ ├── Key Access Audit
│
├── Governance(治理)
│ ├── 密钥审计
│ ├── 密钥资产台账
│ ├── 密钥使用告警
│ ├── 合规(PCI-DSS/国密/ISO)
│
└── HSM Driver Layer(HSM 抽象层)
├── PKCS#11
├── KMIP
└── Soft-HSM(测试环境)四、KMSS 核心能力详解
1. 密钥管理(Key Lifecycle Management)
密钥生命周期:
Generate → Activate → Use → Rotate → Deactivate → DestroyKMSS 支持的密钥类型:
- 对称密钥(AES、SM4)
- 非对称密钥(RSA、ECC、SM2)
- HMAC
- Tokenization key
- FPE Key(格式保留加密)
- JWT 私钥(供 IAM 使用)
KMSS 提供:
- Key Versioning(v1, v2, v3...)
- Key Rotation Policy(定期自动轮换)
- Key Tagging(业务标签、系统标签)
- Key Scoping(按服务划分 Key Namespace)
重要:"密钥永不出 HSM,业务只调用 crypto API"。
2. 加密服务层(Crypto Service)
KMSS 通过 API 向所有业务提供"加解密服务化"。
常见 API:
POST /encrypt
POST /decrypt
POST /sign
POST /verify
POST /random
POST /hmac高级能力:
- FPE(Format-Preserving Encryption)格式保持加密
- Tokenization(令牌化)
- Envelope Encryption(信封加密)
- 高速流量加密(提供给网关)
3. 证书管理(PKI)
KMSS 内置 CA/子 CA,提供:
- 自动签发 TLS 证书
- CSR 自动审批
- 自动续期(与 Nginx/K8s/Ingress Controller 集成)
- 设备证书(设备接入 Zero Trust)
- JWT/OIDC 授权中使用的私钥安全存储
可与 IAM 配合:
- JWT 私钥在 HSM 保护
- SSO 系统用"Sign API"签发 Token
- 私钥永不落盘
4. Secrets 管理(Secret Vault)
类似 AWS Secrets Manager + HashiCorp Vault:
- DB 密码
- API Key
- OAuth Client Secret
- 微服务配置机密
支持功能:
- 自动轮换数据库密码(与 RDS/账号中心整合)
- 零信任服务间调用时的 token 下发
- 凭据读取审计
5. 审计(Audit)
KMSS 全量审计每个动作:
- 谁访问了哪个 Key
- 进行了什么操作(Encrypt/Decrypt/Sign)
- 来源 IP / 系统 / 角色
- 操作耗时、失败次数
- 密钥轮换变更记录
- 密钥权限变更记录
与审计中心联动:
- 违规解密 → 告警
- 高频解密 → 风控
- 服务越权行为 → 风险阻断
6. 密钥策略中心(Key Policy Engine)
支持:
谁(subject)
可以对哪个密钥(key)
做哪些操作(action: encrypt/decrypt/sign)
在什么场景(context)动作与 IAM 结合:
- IAM 提供 ABAC 属性
- KMSS 做最终加密权限决策
策略示例:
allow service:order-v1 to use key:payment_aes for encrypt only
deny user:dev to decrypt key:user_data
allow service:* to verify signature with key:jwt_pub