概念

对称密钥加密

对称密钥加密又称专用密钥加密。信息的发送方和接收方使用相同密钥去加密和解密数据。

优点：加密和解密速度快。

缺点：每对密钥需保持唯一性，所以用户量大时密钥管理困难。

适用场景：加密大量数据。

加密过程：假设有一个明文消息“Hello”，发送方使用对称密钥（例如“key123”）通过某种对称加密算法（如AES）将“Hello”加密为密文，比如“#%&*”。接收方收到这个密文后，使用相同的密钥“key123”和相同的算法（AES）将密文“#%&*”解密回明文“Hello”。

非对称密钥加密

非对称密钥加密又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密的操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私有密钥。

优点：加密和解密使用密钥不同，所以安全性高。

缺点：加密和解密速度较慢。

适用场景：对敏感信息加密。

加密过程：假设发送方要给接收方发送消息“秘密计划”。发送方获取接收方的公钥（假设为“public_key_A”），使用该公钥将“秘密计划”加密为密文“@#$%^&”。接收方收到密文后，使用自己的私钥（假设为“private_key_A”）将密文解密为明文“秘密计划”。即使其他人获取了公钥，也无法解密密文，因为他们没有对应的私钥。

硬件安全模块

硬件安全模块（Hardware Security Module，HSM）是一种用于保护和管理强认证系统所使用的密钥同时提供相关密码学操作的计算机硬件设备。

用户主密钥

用户主密钥（Customer Master Key，CMK）是加密系统中最高级别的密钥，用于生成和管理其他密钥（如会话密钥、数据加密密钥等），或者直接用于加密重要数据。它的安全性和保密性至关重要，因为一旦主密钥泄露，整个加密系统的安全性可能会受到严重威胁。

主密钥有以下特点：

• 高安全性：主密钥通常是系统中最敏感的密钥，需要严格保护，通常存储在安全的硬件设备（如硬件安全模块HSM）中。
• 长期使用：主密钥通常具有较长的生命周期，不会频繁更换，以确保系统的稳定性和一致性。
• 多用途：主密钥可以用于多种加密操作，包括生成子密钥、加密数据、签名验证等。
• 唯一性：在一个加密系统中，主密钥通常是唯一的，或者在分布式系统中，每个节点或区域可能有自己的主密钥。

主密钥包括自定义密钥和默认密钥。自定义密钥支持创建、查看、启用、禁用、计划删除、取消删除等操作。

默认密钥

默认密钥是对象存储服务（Object Storage Service，OBS）等其他云服务自动通过密钥管理为用户创建的用户主密钥，其别名后缀为“/default”。默认密钥不支持禁用、计划删除操作。

信封加密

信封加密（Envelope Encryption）是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。

数据加密密钥

数据加密密钥（Data Encrypt Key，DEK）是用于加密数据的密钥。