产品定义
数据是企业的核心资产,每个企业都有自己的核心敏感数据。这些数据都需要被加密,从而保护它们不会被他人窃取。
数据加密服务(Data Encryption Workshop, DEW)是一个综合的云上数据加密服务。它提供密钥管理(KMS)、专属加密(DHSM),安全可靠的为您解决数据安全、密钥安全、密钥管理复杂等问题。其密钥由硬件安全模块(Hardware Security Module,HSM) 保护,并与多个云服务集成。您也可以借此服务开发自己的加密应用。
服务介绍
数据加密包含密钥管理服务和专属加密两个服务模块。
| 名称 | 定义 |
|---|---|
| 密钥管理服务(Key Management Service, KMS) | 密钥管理是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。KMS通过使用硬件安全模块(Hardware Security Module,HSM)保护密钥安全,帮助用户轻松创建和管理密钥,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。 |
| 专属加密(Dedicated Hardware Security Module,Dedicated HSM) | 专属加密是一种云上数据加密的服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。Dedicated HSM为您提供经国家密码管理局检测认证的加密硬件,帮助您保护弹性云服务器上数据的安全性和完整性,满足监管合规要求。同时,用户能够对专属加密实例生成的密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。 |
基本概念
| 名称 | 定义 |
|---|---|
| 硬件安全模块(Hardware Security Module,HSM) | 硬件安全模块是一种用于保护和管理强认证系统所使用的密钥同时提供相关密码学操作的计算机硬件设备。 |
| 用户主密钥(Customer Master Key,CMK) | 用户主密钥是用户或云服务通过密钥管理创建的密钥,是一种密钥加密密钥,主要用于加密并保护数据加密密钥。一个用户主密钥可以加密多个数据加密密钥。 |
| 默认主密钥(Default Master Key) | 默认主密钥是对象存储服务(Object Storage Service,OBS)等其他云服务自动通过密钥管理为用户创建的用户主密钥,其别名后缀为“/default”。 |
| 密钥材料(Key Material) | 密钥材料是密码运算操作的重要输入之一,与密钥ID、基本元数据共同组成用户主密钥(Customer Master Key,CMK)。 |
| 信封加密(Envelope Encryption) | 信封加密是一种加密手段,将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥直接加解密数据。 |
| 数据加密密钥(Data Encrypt Key,DEK) | 数据加密密钥是用于加密数据的密钥。 |
| 对称密钥加密 | 对称密钥加密又称专用密钥加密。信息的发送方和接收方使用相同密钥去加密和解密数据。 优点:加密和解密速度快。 缺点:每对密钥需保持唯一性,所以用户量大时密钥管理困难。 适用场景:加密大量数据。 |
| 非对称密钥加密 | 非对称密钥加密又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密的操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。 优点:加密和解密使用密钥不同,所以安全性高。 缺点:加密和解密速度较慢。 适用场景:对敏感信息加密。 |
