最佳实践丨安御道合助力国有某大行国密改造

国有某大行为全面贯彻落实人行的国产密码全面深化应用的总体目标，遵循人行工作计划，建立以国产密码为主要支撑的网络安全防护体系，切实保障信息系统和基础设施的安全可控和平稳高效运行。随着网络安全相关政策法规的不断完善，从最初要求核心业务系统实现国密算法应用到现在要求银行信息系统全面应用国密算法，驱使了银行不断升级和完善应用系统的国密改造。

目前该银行新发卡的50%以上支持国密和国际双算法，新发国密盾均支持国密算法，仅移动支付发卡系统（APPLE PAY、三星PAY、华为PAY、小米PAY、HCE等）尚不支持国密算法，需要进行国密改造。该银行移动支付（金融）在新一代的系统架构中，升级国密算法涉及多个应用系统的改造，特别是密钥管理系统。

目前该银行新发卡的50%以上支持国密和国际双算法，新发国密盾均支持国密算法，仅移动支付发卡系统（APPLE PAY、三星PAY、华为PAY、小米PAY、HCE等）尚不支持国密算法，需要进行国密改造。该银行移动支付（金融）在新一代的系统架构中，升级国密算法涉及多个应用系统的改造，特别是密钥管理系统。

该银行密钥管理系统存在如下问题：

安御道合针对国有某大行密钥管理系统的现状部署了自研产品密钥管理系统，实现安全功能的组件化、标准化、专业化、智能化、参数化，面向所有安全对象为客户提供全面、集中、灵活、智能的新一代密钥管理体系，实现将安全功能以安全服务的形式为客户的信息系统提供完备、透明、高效、可靠的安全支撑。

安御道合根据银行实际情况搭建的密钥管理系统由密钥管理子系统和安全服务子系统组成。密钥管理子系统作为全行密钥管理的统一入口和数据加密处理中心（如对PIN验证、MAC产生与验证、验证ARQC并产生ARPC、IC卡脚本数据加密等），最终的加解密运算都由它们后部挂接的硬件密码机完成。密管子系统和安全服务子系统可以分开部署，也可以集中部署。

安御道合密钥管理系统部署方案如下：

安御道合密钥管理系统的搭建方案符合国有某大行移动支付（金融）在新一代系统架构的建设目标，方案实施以来，管理维护密码机组10+组，共计300+台密码机；管理维护IC 卡证书主密钥1000余个；日均生成和分发IC卡证书密钥100多万对；支持批量预制卡日均100-120万张；支持各类Pay的空中发卡以及即时制卡日均2-3万张；支撑认证服务日均交易量3000多万；认证交易平均响应时间9毫秒；交易成功率百分之百。

安御道合的密钥管理系统和方案对国有某大行移动支付（金融）在新一代中各应用系统的整体性能提升发挥了重要的作用，节省了运维的人力成本，提高了密码设备的运行效率，在推动银行关于国密改造的建设中起到了至关重要的作用。