KMS基本概念

举报
黄生 发表于 2023/11/20 11:05:08 2023/11/20
【摘要】 基本概念:HSM(Hardware Security Module)硬件安全模块:用于保护和管理强认证系统所使用的密钥,同时提供相关密码学操作的计算机硬件设备。CMK(Customer Master Key)用户主密钥:用户或云服务通过密钥管理创建的密钥,是一种密钥加密密钥,主要用于加密并保护数据加密密钥。简单的说,就是用于加密数据密钥(DEK)的密钥。它一般不直接用于加密业务数据。用户主密...

基本概念:
HSM(Hardware Security Module)
硬件安全模块:用于保护和管理强认证系统所使用的密钥,同时提供相关密码学操作的计算机硬件设备。

CMK(Customer Master Key)
用户主密钥:用户或云服务通过密钥管理创建的密钥,是一种密钥加密密钥,主要用于加密并保护数据加密密钥。
简单的说,就是用于加密数据密钥(DEK)的密钥。它一般不直接用于加密业务数据。

用户主密钥分为:
自定义密钥:用户通过密钥管理界面自行创建或导入的密钥。自行创建的主密钥并没有导出功能,那么如何导入,下面会说。
默认密钥:在用户第一次通过对应云服务使用KMS加密时,云服务自动通过密钥管理为用户创建的密钥,其别名后缀为“/default”。
默认密钥可查询,但不支持禁用、计划删除操作。
比如别名:obs/default, evs/default(云硬盘Elastic Volume Service), kps/default(密钥对Key Pair Service)等

密钥材料(Key Material): 密码运算操作的重要输入之一,与密钥ID、基本元数据共同组成用户主密钥CMK。

当用户创建自定义密钥时,KMS系统会自动为该自定义密钥生成密钥材料。
用户也可通过“导入密钥”创建密钥材料为空的自定义密钥,并将自己的密钥材料导入该自定义密钥中。此时,用户需要确保符合自己安全要求的随机源生成密钥材料。并且在将密钥材料导入KMS之前,用户需要确保密钥材料的可用性和持久性。
参考 https://support.huaweicloud.com/usermanual-dew/dew_01_0089.html 导入密钥材料

DEK
数据加密密钥(Data Encrypt Key): 用于加密数据的密钥。

信封加密:将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥直接加解密数据。
已加密的数据和加密该数据时使用的数据加密密钥的密文,这2者是一起传递和存储的。也许这是叫信封加密的原因。

参考 https://support.huaweicloud.com/dew_faq/dew_01_0054.html 信封加密方式有什么优势?

使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景;而信封加密方式可以在本地对大量数据进行加解密。

信封加密方式:KMS通过使用HSM保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。

https://support.huaweicloud.com/productdesc-dew/dew_01_0006.html 密钥管理-使用场景 带图

其中第2.步的说明:
华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。

DWS加密
如果遇到物理介质(如硬盘)被黑客或者内部人员盗取的情况,恶意破坏方只需还原或附加数据库即可浏览用户数据。
有一种解决方案是加密数据库中的敏感数据,并保护加密数据的密钥,该方案可以防止任何没有密钥的人使用这些数据,但这种保护必须事先计划,也就是说开启加密必须在创建数据库时就确定,并且开启后也无法关闭。

未完待续

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。