基本概念
本文解释了数据加密服务(Data Encryption Workshop, DEW)的基本术语概念,帮助您正确理解和使用DEW。
对称密钥加密
对称密钥加密又称专用密钥加密。信息的发送方和接收方使用相同密钥去加密和解密数据。
优点:加密和解密速度快。
缺点:每对密钥需保持唯一性,所以用户量大时密钥管理困难。
适用场景:加密大量数据。
加密过程:假设有一个明文消息“Hello”,发送方使用对称密钥(例如“key123”)通过某种对称加密算法(如AES)将“Hello”加密为密文,比如“#%&*”。接收方收到这个密文后,使用相同的密钥“key123”和相同的算法(AES)将密文“#%&*”解密回明文“Hello”。
更多信息请参见密钥概述。
非对称密钥加密
非对称密钥加密又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密的操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。
优点:加密和解密使用密钥不同,所以安全性高。
缺点:加密和解密速度较慢。
适用场景:对敏感信息加密。
加密过程:假设发送方要给接收方发送消息“秘密计划”。发送方获取接收方的公钥(假设为“public_key_A”),使用该公钥将“秘密计划”加密为密文“@#$%^&”。接收方收到密文后,使用自己的私钥(假设为“private_key_A”)将密文解密为明文“秘密计划”。即使其他人获取了公钥,也无法解密密文,因为他们没有对应的私钥。
更多信息请参见密钥概述。
HMAC算法
HMAC(Hash-based Message Authentication Code,HMAC)算法是一种基于密钥的消息认证码算法。HMAC算法使用信息与密钥结合,使用哈希函数对结果进行加密,由此实现对信息完整性的保护以及信息验证。
数字签名
数字签名(Digital Signature)又称公钥数字签名,通常用于验证消息的真实性和完整性。发送方通过私钥对信息加密签名后发送给接收方,接收方通过公钥进行解密验签,通过信息对比保障电子文件的安全性,达到预防篡改、伪装的目的。
硬件安全模块
硬件安全模块(Hardware Security Module,HSM)是一种用于保护和管理强认证系统所使用的密钥同时提供相关密码学操作的计算机硬件设备。
用户主密钥
用户主密钥(Customer Master Key,CMK)是加密系统中最高级别的密钥,用于生成和管理其他密钥(如会话密钥、数据加密密钥等),或者直接用于加密重要数据。它的安全性和保密性至关重要,因为一旦主密钥泄露,整个加密系统的安全性可能会受到严重威胁。
主密钥有以下特点:
- 高安全性:主密钥通常是系统中最敏感的密钥,需要严格保护,通常存储在安全的硬件设备(如硬件安全模块HSM)中。
- 长期使用:主密钥通常具有较长的生命周期,不会频繁更换,以确保系统的稳定性和一致性。
- 多用途:主密钥可以用于多种加密操作,包括生成子密钥、加密数据、签名验证等。
- 唯一性:在一个加密系统中,主密钥通常是唯一的,或者在分布式系统中,每个节点或区域可能有自己的主密钥。
主密钥包括自定义密钥和默认密钥。自定义密钥支持创建、查看、启用、禁用、计划删除、取消删除等操作。
- 自定义密钥可以通过创建副本密钥的方式实现跨区域使用。在不同区域生成密钥材料相同的副本密钥,便于在多个区域执行数据的加解密处理,提高业务效率。
- 自定义密钥分为“对称密钥”和“非对称密钥”。
- 对称密钥加密是最常用的数据加密保护方式。
- 相比对称密钥加密,非对称密钥通常用于在信任程度不对等的系统之间,实现数字签名验签或者加密传递敏感信息。非对称密钥由一对公钥和私钥组成,互相关联,其中的公钥可以被分发给任何人,而私钥必须被安全地保护起来,只有受信任者可以使用。
- 使用非对称密钥生成数字签名以及验证签名:签名者将验签公钥分发给消息接收者,使用签名私钥,对数据产生签名,并将数据以及签名传递给消息接收者。消息接收者获得数据和签名后,使用公钥针对数据验证签名的合法性。
副本密钥
副本密钥是指在数据加密服务中,通过对主密钥进行复制而生成的密钥。副本密钥是与主密钥具有相同密钥材料的密钥。它通常用于跨区域的数据加解密操作,以便在不同区域中使用相同的密钥进行数据处理。副本密钥在数据加密服务中提供了灵活性和高可用性,但需要合理管理以确保安全性和合规性。
副本密钥有以下特点:
- 跨区域使用:副本密钥可以在不同区域生成,从而实现跨区域的密钥共享。副本密钥在需要跨区域进行数据加解密的场景中非常有用,例如在分布式系统或云服务环境中。
- 高可用性:通过在多个区域创建副本密钥,可以提高系统的可用性,即使某个区域出现问题,其他区域的副本密钥仍可以继续工作。
- 操作限制:
- 副本密钥支持启用、禁用、在线加解密等操作,但不支持密钥轮换,密钥轮换需由主密钥发起。
- 仅支持对华北-北京四、华南-广州、西南-贵阳一、华东-上海一、亚太-新加坡、中东-利雅得区域的主密钥创建副本密钥。
主密钥与副本密钥的关系:
- 主密钥是副本密钥的来源:副本密钥是从主密钥派生出来的,用于跨区域或分布式环境中的数据加密。
- 主密钥的更新影响副本密钥:如果主密钥需要更新或轮换,通常需要重新生成副本密钥,以确保整个系统的加密一致性。
默认密钥
默认密钥是对象存储服务(Object Storage Service,OBS)等其他云服务自动通过密钥管理为用户创建的用户主密钥,其别名后缀为“/default”。默认密钥不支持禁用、计划删除操作。使用KMS加密的云服务,请参见使用KMS加密的云服务。
密钥材料
密钥材料(Key Material)是密码运算操作的重要输入之一,用于加密和解密过程中的密钥数据,与密钥ID、基本元数据共同组成用户主密钥(Customer Master Key,CMK)。导入密钥材料的操作请参见导入密钥材料。
信封加密
信封加密(Envelope Encryption)是一种加密手段,将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥直接加解密数据。
数据加密密钥
数据加密密钥(Data Encrypt Key,DEK)是用于加密数据的密钥。
SSH密钥对
SSH密钥对是一种用于加密和验证网络连接的安全协议。它由两个部分组成:私钥和公钥。
- 私钥是一个加密的文件,只有持有者可以访问它。
- 公钥是一个非加密的文件,可以与任何人共享。当一个用户想要连接到另一个用户的计算机时,可以使用公钥来加密消息,并使用私钥来解密消息。
这种加密方式比传统的密码验证更安全,因为私钥只有持有者可以访问,而公钥可以在不暴露私钥的情况下共享。
关于密钥对的更多信息,请参见密钥对管理。
私有密钥对
私有密钥对是仅支持当前账号查看或使用的密钥对。更多信息请参见创建密钥对。
账号密钥对
账号密钥对是支持本账号下所有用户查看或使用的密钥对。将私有密钥对升级为账号密钥对的操作,请参见升级密钥对。
凭据
“凭据”用于验证身份和授权访问的证明信息。在信息安全和身份认证领域,凭据是确保只有授权用户才能访问系统、资源或服务的关键机制。凭据的类型包括:用户名和密码、数字证书、密钥对(公钥和私钥)、令牌、生物识别信息、一次性密码、智能卡等。
更多信息请参见凭据管理。
