KMS基本概念
基本概念:
HSM(Hardware Security Module)
硬件安全模块:用于保护和管理强认证系统所使用的密钥,同时提供相关密码学操作的计算机硬件设备。
CMK(Customer Master Key)
用户主密钥:用户或云服务通过密钥管理创建的密钥,是一种密钥加密密钥,主要用于加密并保护数据加密密钥。
简单的说,就是用于加密数据密钥(DEK)的密钥。它一般不直接用于加密业务数据。
用户主密钥分为:
自定义密钥:用户通过密钥管理界面自行创建或导入的密钥。自行创建的主密钥并没有导出功能,那么如何导入,下面会说。
默认密钥:在用户第一次通过对应云服务使用KMS加密时,云服务自动通过密钥管理为用户创建的密钥,其别名后缀为“/default”。
默认密钥可查询,但不支持禁用、计划删除操作。
比如别名:obs/default, evs/default(云硬盘Elastic Volume Service), kps/default(密钥对Key Pair Service)等
密钥材料(Key Material): 密码运算操作的重要输入之一,与密钥ID、基本元数据共同组成用户主密钥CMK。
当用户创建自定义密钥时,KMS系统会自动为该自定义密钥生成密钥材料。
用户也可通过“导入密钥”创建密钥材料为空的自定义密钥,并将自己的密钥材料导入该自定义密钥中。此时,用户需要确保符合自己安全要求的随机源生成密钥材料。并且在将密钥材料导入KMS之前,用户需要确保密钥材料的可用性和持久性。
参考 https://support.huaweicloud.com/usermanual-dew/dew_01_0089.html 导入密钥材料
DEK
数据加密密钥(Data Encrypt Key): 用于加密数据的密钥。
信封加密:将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥直接加解密数据。
已加密的数据和加密该数据时使用的数据加密密钥的密文,这2者是一起传递和存储的。也许这是叫信封加密的原因。
参考 https://support.huaweicloud.com/dew_faq/dew_01_0054.html 信封加密方式有什么优势?
使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景;而信封加密方式可以在本地对大量数据进行加解密。
信封加密方式:KMS通过使用HSM保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。
https://support.huaweicloud.com/productdesc-dew/dew_01_0006.html 密钥管理-使用场景 带图
其中第2.步的说明:
华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。
DWS加密
如果遇到物理介质(如硬盘)被黑客或者内部人员盗取的情况,恶意破坏方只需还原或附加数据库即可浏览用户数据。
有一种解决方案是加密数据库中的敏感数据,并保护加密数据的密钥,该方案可以防止任何没有密钥的人使用这些数据,但这种保护必须事先计划,也就是说开启加密必须在创建数据库时就确定,并且开启后也无法关闭。
未完待续
- 点赞
- 收藏
- 关注作者
评论(0)