北京市商用密码协会2019年9月发布《云密码服务技术白皮书（2019）》，在文中介绍了云密码相关技术和最新发展情况。关于云密码服务安全访问技术，文中给出了在云环境下使用软密码模块的方案。文中附录给出了多个应用系统的改造方案。

定义

云密码是云计算密码的简称。在现有环境下，云密码是以云计算技术架构的要求，提供密码服务的应用。广义条件下，独立统一的密码服务也可以被称作云密码。

标准现状

国密和国标，并没有发布相关标准。

• 云服务器密码机技术规范（送审稿）
• 云服务器密码机管理接口规范（送审稿）
• 云计算密码应用技术体系框架研究
• 云计算密码应用指南（征求意见稿）
• 云密码资源池技术标准研究
• 云身份鉴别服务密码标准体系研究
• 基于云计算的电子签名服务密码标准体系研究
• 基于云的电子签名服务技术要求（送审稿）

云密码的分类

云密码资源服务、云密码功能服务、云密码业务服务。最下层对应实体的密码设备，可抽象成密码基础设施层。

密码业务服务层，依靠云密码资源服务、云密码功能服务支撑

部署方式

1. 部署在云计算服务提供商的环境中
2. 部署在云密码服务提供商的环境中
3. 混合方式部署。通常情况下，需要定制组件完成特定功能。

访问方式 

1. 协议方式。云密码通过暴露API方式开放能力。
2. 接口库方式。SDK方式，将接口能力封装。
3. 代理方式。通过代理服务，hook数据通信和身份认证。 在使用代理方式集成时，代理通常是一个单独的密码产品。

协议运行之前，使用者需要通过密码访问提供商提供的机制进行注册，以获得访问的凭据，然后在协议中，使用此凭据访问，在协议请求报文中要求包含客户端身份认证、数据完整性保护等机制。服务收到请求后，会进行一系列身份认证、访问控制、状态判断等等，判断无误后向客户端返回密码功能处理结果或执行所请求的操作。

云密码服务安全访问技术

1.链路安全，建议使用国密ssl。

2.通信实体的身份认证。密码运算和密钥安全，物理终端使用硬件密码模块，如pc上使用USBKEY，在服务器上使用密码卡。但在云中的服务器或一些手机终端上无法增加硬件密码模块，不得不使用软件密码模块。