1. 产品简介

• CTRUST CloudKMS (Cloud KEY MANAGEMENT SYSTEM) 云计算密钥管理系统为云计算平台的管理和业务提供集中的密钥管理功能，支持AES、DES、DSA、RSA、HMAC等国际主流密码算法，支持SMx等中国商用密码算法，并显著提升密钥保护强度，为用户提供高安全保障。

• 云计算密钥管理系统提供了基于可信计算、机密计算等安全技术的密钥生成、存储、分发的全过程保护；同时结合远程认证技术，对密钥管理系统及访问端进行身份认证，保证密钥全生命周期的安全；支持基于可信计算技术的系统完整性保护和可信启动，基于机密计算技术的硬件级实时性保护，有效增强系统和数据安全。

• 云计算密钥管理系统支持主流的商业与开源云管理平台、分布式存储等产品和方案，与基于OpenStack、Ceph等架构的平台无缝集成，兼容开源OpenStack Barbican API，支持与CTRUST TMS 可信安全管理套件或OpenStack的相关服务、OpenCIT云完整性方案等无缝集成，可适配基于KMIP协议的密钥生成/存储后端。

2. 主要功能

  a) 基础功能

• 提供高性能的基于硬件模块的密钥（对称/非对称）生成

• 提供基于硬件模块保护的密钥分发功能

• 支持基于用户的主密钥、数据密钥管理功能

• 支持密钥导入、销毁等管理功能

• 支持BYOK（Bring Your Own Key）方案

• 兼容OpenStack Barbican/Castellan 的API

• 支持多种第三方账号管理系统：OpenStack Keystone，LDAP等

• 支持高可用部署方案，支持实时密钥同步、备份

• 支持纯软件、一体机等多种产品形态，支持为云计算平台提供密钥SaaS服务

  b) 安全可信功能

• 支持基于可信运行环境的系统完整性安全增强，提供主动免疫能力

• 支持基于硬件的机密性增强方案，明文密钥不会暴露在存储介质、内存或网络中，从而保护密钥安全

• 支持可信计算远程证明，可信状态可通过认证中心统一管理

• 支持三权分立管理，实现最小化权限控制原则

• 支持基于租户、用户、用户角色或客户端可信状态的访问控制功能

• 支持密钥全流程审计功能