文档首页/ 数据加密服务 DEW/ 用户指南/ 专属加密/ 专属加密概述
更新时间:2025-08-13 GMT+08:00
查看PDF
分享

专属加密概述

专属加密的核心在于为用户提供独立的加密资源定制化的加密服务,以满足特定的业务需求和安全要求。它通常包括以下几个关键要素:
  • 独立的加密资源:用户可以独享加密硬件(如硬件安全模块HSM)、密钥管理系统(KMS)等资源,确保加密操作的独立性和安全性。
  • 定制化的加密策略:根据用户的具体需求,定制加密算法、密钥管理策略、访问控制策略等。
  • 数据隔离:通过物理或逻辑隔离,确保用户的数据与其他用户的数据完全分开,防止数据泄露。

限制说明

  • 专属加密实例需要配合虚拟私有云(VPC)一起使用。创建专属加密实例后,需要在管理控制台实例化专属加密实例(配置VPC网络、安全组、网卡),才能正常使用。
  • 您需要将专属加密实例管理工具部署到与专属加密实例同一VPC网络中,才能对专属加密实例进行管理。

Dedicated HSM支持的密码算法

支持国际通用密码算法,满足用户各种加密算法需求。

表1 Dedicated HSM支持的密码算法

加密算法分类

通用密码算法

对称密码算法

AES

非对称密码算法

RSA、DSA、ECDSA、DH、ECDH

摘要算法

SHA1、SHA256、SHA384

Dedicated HSM支持的密码机类型

表2 Dedicated HSM支持的密码机类型

密码机类型

功能

适用场景

服务器密码机
  • 数据加密/解密
  • 数据签名/验签
  • 数据摘要
  • 支持MAC的生成和验证

满足各种行业应用中的基础密码运算需求,比如身份认证、数据保护、SSL密钥和运算卸载等。

金融密码机
  • 支持PIN码的生成/加密/转换/验证
  • 支持MAC生成及验证
  • 支持CVV生成及验证
  • 支持TAC生成及验证
  • 支持常用Racal指令集
  • 支持PBOC3.0常用指令集

满足金融领域密码运算需求,比如发卡系统、POS系统等。

签名验证服务器
  • 签名/验签
  • 编码/解码数字信封
  • 编码/解码带签名的数字信封
  • 证书验证

满足签名业务相关需求,比如CA系统、证书验证、大量数据的加密传输和身份认证。

操作指引

当用户需要在云上使用专属加密服务时,可通过Dedicated HSM界面创建专属加密实例。创建专属加密实例后,当用户收到Dedicated HSM邮寄的Ukey后,通过Ukey初始化,并管控专属加密实例。用户通过专属加密实例管理工具授权业务APP,允许业务用户通过业务APP访问专属加密实例。操作指引如图1所示。

图1 操作指引

操作指引说明如表3所示。

表3 操作指引说明

编号

操作步骤

说明

操作角色

1

创建专属加密实例

通过Dedicated HSM界面创建专属加密实例,华为云安全服务团队评估专属加密实例的使用场景,确认所购买的专属加密实例能够满足业务需求,即可下单付款。

用户

2

激活专属加密实例

您购买专属加密实例后,通过Dedicated HSM界面实例化专属加密实例。您需要选择专属加密实例所属的虚拟私有云,以及专属加密实例的功能类型,详细操作请参见激活专属加密实例

用户

3

分配专属加密实例

安全专家将通过您提供的联系方式与您联系,并确定您订购的专属加密实例是否满足您的业务要求,如果满足要求,安全专家将分配专属加密实例给您。

专属加密服务安全专家

4

获取UKey、配套初始化文档及软件
  • 安全专家将通过您提供的Ukey收件地址将Ukey邮寄给您。

    Ukey是Dedicated HSM提供给您的身份识别卡,此卡仅购买专属加密实例的用户持有,请妥善保管。

  • 安全专家将会为您提供初始化专属加密实例的软件及相关指导文档。

    如果您对软件或指导文档的使用有疑问,请联系安全专家进行指导。

    说明:

    可通过提交提交工单方式提供Ukey收件地址以及联系安全专家指导。

专属加密服务安全专家

5

初始化、管控(UKey认证)
  1. 在专属加密实例管理节点上安装为您提供的管理工具。
  2. 使用Ukey和管理工具初始化专属加密实例,并注册相应的管理员,管控专属加密实例,对密钥进行管理。

详细操作请参见初始化专属加密实例

用户

6

安装安全代理软件并授权

在业务APP节点上安装为您提供的安全代理软件并执行相关初始化操作。

详细操作请参见安装安全代理软件并授权

用户

7

访问

业务APP通过API或者SDK的方式访问专属加密实例。

用户

专属加密与密码系统服务的关系

专属加密服务(Dedicated HSM)和密码系统服务(CPCS)在云平台中都用于提供加密和安全功能,但它们在功能、应用场景和管理方式上存在一定的区别和联系。具体如表4所示。

表4 专属加密与密码系统服务的区别和联系

服务

专属加密服务(Dedicated HSM)

密码系统服务(CPCS)

功能对比
  • 提供专属的硬件安全模块(HSM),用户可以独占使用加密硬件资源。
  • 主要功能包括加解密、签名、验签、密钥生成和安全存储。
  • 支持多种加密算法,并符合国家密码管理局认证。
  • 适合对安全性和性能要求极高的场景,如金融支付、电子签名等。
  • 提供一站式的密码服务管理平台,支持集群化部署。
  • 功能更加广泛,包括加解密、签名验签、密钥管理、时间戳服务、电子签章服务、数据库加密等。

应用场景对比
  • 适用于对数据安全性和性能有极高要求的场景,如金融支付、电子签名、证券业务等。
  • 常用于满足监管合规要求的企业和机构。
  • 适用于需要多种密码服务和快速通过密评的企业和机构。
  • 适合电子合同、电子发票、电子病历等需要多种密码服务的场景。

管理方式对比
  • 用户通过管理客户端进行初始化和权限管理。
  • 提供高安全性的硬件资源,用户完全控制密钥的生成、存储和访问授权。
  • 通过控制台集中管理,支持自动化部署和监控。
  • 提供集群化部署能力,支持弹性伸缩和应用级隔离。

联系
  • 共同目标:两者都旨在提供安全的加密服务,保护数据的安全性和完整性。
  • 集成与互补:在某些场景下,两者可以集成使用。例如,专属加密服务(Dedicated HSM)可以作为密码系统服务(CPCS)的底层加密资源,提供高性能的加密运算支持。
父主题: 专属加密