百度云平台由两个主要的子系统构成，包括云管控Console平台和云运维NoahEE平台，因此应用和数据的密评改造主 要针对云Console、云NoahEE两个主要子系统和配套基础设施进行密码应用安全性的改造。 改造工作包括密码设备上架及云平台改造两部分,首先需要在云平台区域部署服务器密码机、签名验签服务器和数据库 加密网关，并且在云上的公共管理VPC环境中，将数字证书认证系统和国密密钥管理系统部署在虚机计算实例中，为云 平台应用搭建专属的密码资源。随后基于资源池的SDK或API接口，进行平台身份鉴别流程改造、平台访问控制信息完 整性校验改造、重要数据（在云平台中,主要是身份鉴别信息、配置信息）传输机密性和完整性改造、重要数据存储机密 性和完整性改造等工作，以保障云平台对商用密码应用的合规有效。 ·身份鉴别：云平台管理和操作人员，使用带有证书（由国密证书认证系统签发）的UKey登录Console和NoahEE，在密 评改造后云平台系统支持通过调用签名验签服务接口的方式，验证证书及Ukey的特征口令，保障云平台登录用户身份 的真实性和不可否认性; ·数据存储完整性和机密性：部署数据库加密网关，通过代理云平台访问基础数据库的链路，进行写入、读取数据过程的 信息、操作审计数据等）存储进行加密，平台系统调用需要敏感数据需要经过代理的加解密和完整性校验。 ·数据传输完整性和机密性:在应用层通过改造使用基于签名证书的SM2+HMAC-SM3算法进行传输完整性的保障；而 考虑到应用侧传输加密的性能和可用性要求,利用网络侧的VPN端到端加密链路（SM2、SM3、SM4）+应用侧 RSA2048 算法，保障数据传输机密性符合商用密码应用安全性的要求。