密钥管理系统(KMS)的数据加、解密应用

2020-07-14  本文已影响0人  爱看时事的通信崔

当网络中没有密钥管理系统(以下简称KMS)时,各业务系统需要承担起保护密钥安全的责任,这种方式存在两个问题:一方面,保护密钥的机密性、完整性和可用性将耗费业务的大量精力;另一方面,如果业务系统被黑客攻克,密钥就会随之泄露,黑客就能直接还原业务数据了。

而依赖KMS密钥管理服务的数据加、解密过程,由业务系统和KMS共同完成。也就是说,黑客即便攻克了业务系统,也不能还原其中的数据。

那么依赖KMS的数据加、解密的过程到底是怎样的呢?

首先我们一起了解3个相关的概念:

  1. DEK(Data Encryption Key,数据加密密钥):它是由KMS随机生成,专门负责对数据进行加密的密钥;
  2. KEK(Key Encryption Key,密钥加密密钥):它被加密存储在KMS系统中,一般情况下,公司里每一个部门都会对应一个KEK,专门负责对DEK进行加密的密钥;
  3. 根密钥(Root Key):专门负责将KEK加密存储在KMS上的密钥。

了解相关概念后,我们一起看看KMS的数据加、解密过程:

1. KMS的数据加密过程

2. KMS解密过程

云产品应用KMS

目前,阿里云和AWS的云产品中均广泛集成了KMS,我们可以轻松使用KMS来加密保护我们敏感的云上数据资产。具体应用请参考阿里云和AWS的KMS产品说明,网址如下:

阿里云

https://www.alibabacloud.com/zh/product/kms
https://help.aliyun.com/document_detail/28935.html

AWS

https://amazonaws-china.com/cn/kms/
https://amazonaws-china.com/cn/kms/faqs/
上一篇下一篇

猜你喜欢

热点阅读