美文网首页
密钥管理系统(KMS)的数据加、解密应用

密钥管理系统(KMS)的数据加、解密应用

作者: 爱看时事的通信崔 | 来源:发表于2020-07-14 16:59 被阅读0次

    当网络中没有密钥管理系统(以下简称KMS)时,各业务系统需要承担起保护密钥安全的责任,这种方式存在两个问题:一方面,保护密钥的机密性、完整性和可用性将耗费业务的大量精力;另一方面,如果业务系统被黑客攻克,密钥就会随之泄露,黑客就能直接还原业务数据了。

    而依赖KMS密钥管理服务的数据加、解密过程,由业务系统和KMS共同完成。也就是说,黑客即便攻克了业务系统,也不能还原其中的数据。

    那么依赖KMS的数据加、解密的过程到底是怎样的呢?

    首先我们一起了解3个相关的概念:

    1. DEK(Data Encryption Key,数据加密密钥):它是由KMS随机生成,专门负责对数据进行加密的密钥;
    2. KEK(Key Encryption Key,密钥加密密钥):它被加密存储在KMS系统中,一般情况下,公司里每一个部门都会对应一个KEK,专门负责对DEK进行加密的密钥;
    3. 根密钥(Root Key):专门负责将KEK加密存储在KMS上的密钥。

    了解相关概念后,我们一起看看KMS的数据加、解密过程:

    1. KMS的数据加密过程

    • 第一步,KMS系统随机生成DEK;
    • 第二步,使用DEK对数据进行加密;
    • 第三步,使用KEK对DEK进行加密;
    • 第四步,将加密后的数据和加密后的DEK一并存入数据库。

    2. KMS解密过程

    • 第一步,从数据库提取出加密后的数据和加密后的DEK;
    • 第二步,使用KEK对加密后的DEK进行解密;
    • 第三步,使用解密后的DEK对加密后的密文数据进行解密,得到原始数据。

    云产品应用KMS

    目前,阿里云和AWS的云产品中均广泛集成了KMS,我们可以轻松使用KMS来加密保护我们敏感的云上数据资产。具体应用请参考阿里云和AWS的KMS产品说明,网址如下:

    阿里云

    https://www.alibabacloud.com/zh/product/kms
    https://help.aliyun.com/document_detail/28935.html
    

    AWS

    https://amazonaws-china.com/cn/kms/
    https://amazonaws-china.com/cn/kms/faqs/
    

    相关文章

      网友评论

          本文标题:密钥管理系统(KMS)的数据加、解密应用

          本文链接:https://www.haomeiwen.com/subject/gfyfhktx.html