一个简单的 KMS 实现

使用 GO 写了一个简单的秘钥管理系统，现在支持的功能

• 秘钥管理分为三层，rootkey ==> key encryption key ===>access key 。root key 使用服务端证书 hkdf 派生算出来。
• 每个 access key 按照 namespace & name 做索引。区分 environment （还没限制 environment 必须是 test/staging/production ，现在可以随便写）
• 使用 grpc 的 tls 双向认证做权限控制，每张 CA 签发出来的证书是一个用户，每个用户证书里面的 subject 需要有不同的 appkey 内容。用户创建 ak 后可以授权给其它用户读取或者更新

实现上：

• 使用 postgresql 做数据持久化
• 使用 grpc 的双向 tls 做认证

目前功能还比较简单，只有创建 /读取 /授权等功能。还没加入 KEK 轮转，AK 自动生成等功能。等待后期增强。

有什么建议可以直接提。谢谢

github 链接： https://github.com/hxndg/qkms