【产品技术】加解密技术
当有少量数据(例如:口令、证书、电话号码等)需要加解密时,可以通过密钥管理服务(Key Management Service,KMS)界面使用在线工具加解密数据,或者调用KMS的API接口使用指定主密钥直接加密、解密数据。
约束条件
当前支持不大于4KB的小数据加解密。
在线工具加解密
加密数据
目标用户主密钥的别名,进入密钥详细信息在线工具加密数据页面。
在“加密”文本框中输入待加密的数据
“执行”,右侧文本框显示加密后的密文数据。
加密数据时,使用当前指定的密钥加密数据。
“清除”,清除已输入的数据。
“复制到剪切板”拷贝加密后的密文数据,并保存到本地文件中。
解密数据
解密数据时,可单击任意“启用”状态的非默认主密钥别名,进入该密钥的在线工具页面。
单击“解密”,在左侧文本框中数据待解密的密文数据
在线工具自动识别并使用数据被加密时使用的密钥解密数据。
若该密钥已被删除,会导致解密失败。
“执行”,右侧文本框中显示解密后的明文数据。
可直接“复制到剪切板”拷贝解密后的明文数据,并保存到本地文件中。
调用API接口加解密
以保护服务器HTTPS证书为例,采用调用KMS的API接口方式进行说明
流程说明如下:
用户需要在KMS中创建一个用户主密钥。
用户调用KMS的“encrypt-data”接口,使用指定的用户主密钥将明文证书加密为密文证书。
用户在服务器上部署密文证书。
当服务器需要使用证书时,调用KMS的“decrypt-data”接口,将密文证书解密为明文证书。
2 云服务使用KMS加解密数据
使用KMS加密的云服务列表 |
||
类型 |
服务 |
加密方式说明 |
计算 |
弹性云服务器ECS |
弹性云服务器资源加密包括镜像加密和云硬盘加密。
|
镜像服务IMS |
IMS服务端加密 |
|
存储 |
对象存储服务OBS |
OBS服务端加密 |
云硬盘EVS |
EVS服务端加密 |
|
云硬盘备份VBS |
云硬盘备份主要对服务器中单个的云硬盘(系统盘和数据盘)创建在线备份,加密云硬盘的备份数据会以加密方式存放。 |
|
云服务器备份CSBS |
云服务器备份主要对服务器下所有云硬盘创建一致性在线备份,云服务器备份产生的备份,会显示在云硬盘备份中。加密云硬盘的备份数据会以加密方式存放。 |
|
弹性文件服务SFS |
SFS服务端加密 |
|
数据库 |
云数据库MySQL |
RDS数据库加密 |
云数据库Postgre SQL |
||
云数据库SQL Server |
||
文档数据库服务DDS |
DDS数据库加密 |
|
EI企业智能 |
数据仓库服务DWS |
DWS数据库加密 |
原理介绍
华为云服务基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,华为云服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。
加密流程说明如下:
用户需要在KMS中创建一个用户主密钥。
华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。
密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。
华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。
华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。
通过华为云服务下载数据时,华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。
- 点赞
- 收藏
- 关注作者
评论(0)