专属加密概述
- 独立的加密资源:用户可以独享加密硬件(如硬件安全模块HSM)、密钥管理系统(KMS)等资源,确保加密操作的独立性和安全性。
- 定制化的加密策略:根据用户的具体需求,定制加密算法、密钥管理策略、访问控制策略等。
- 数据隔离:通过物理或逻辑隔离,确保用户的数据与其他用户的数据完全分开,防止数据泄露。
原理介绍
为进一步提升系统安全与业务可用性,用户可以在同一地域的多个不同可用区部署两台及以上专属密码机,并组建密码机集群。业务应用访问时,依托华为云负载均衡服务智能分发流量,自动选择最优密码机建立连接。同时搭配华为云私网连接(PrivateLink)实现全链路私有网络传输,杜绝公网暴露风险。各密码机采用相互独立的网络路径,具备完善的冗余能力,可有效应对单点故障,大幅提升系统可靠性与故障自愈能力。
以下架构图以用户配置两台密码机为例。
限制说明
- 专属加密实例需要配合虚拟私有云(VPC)一起使用。购买专属加密实例后,需要在管理控制台实例化专属加密实例(配置VPC网络、安全组、网卡),才能正常使用。
- 您需要将专属加密实例管理工具部署到与专属加密实例同一VPC网络中,才能对专属加密实例进行管理。
Dedicated HSM支持的密码算法
支持国密算法以及部分国际通用密码算法,满足用户各种加密算法需求。
| 加密算法分类 | 通用密码算法 | 国密算法 |
|---|---|---|
| 对称密码算法 | AES | SM1、SM4、SM7 |
| 非对称密码算法 | RSA、DSA、ECDSA、DH、ECDH、EdDSA | SM2、SM9 |
| 摘要算法 | SHA1、SHA256、SHA384 | SM3 |
Dedicated HSM支持的密码机类型
| 密码机类型 | 功能 | 适用场景 |
|---|---|---|
| 服务器密码机 |
| 满足各种行业应用中的基础密码运算需求,比如身份认证、数据保护、SSL密钥和运算卸载等。 |
| 金融密码机 |
| 满足金融领域密码运算需求,比如发卡系统、POS系统等。 |
| 签名验证服务器 |
| 满足签名业务相关需求,比如CA系统、证书验证、大量数据的加密传输和身份认证。 |
操作指引
当用户需要在云上使用专属加密服务时,可通过Dedicated HSM界面购买专属加密实例。购买专属加密实例后,用户需要通过Dedicated HSM界面实例化专属加密实例。当用户收到Dedicated HSM邮寄的Ukey后,通过Ukey初始化,并管控专属加密实例。用户通过专属加密实例管理工具授权业务APP,允许业务用户通过业务APP访问专属加密实例。操作指引如图2所示。
操作指引说明如表3所示。
| 编号 | 操作步骤 | 说明 | 操作角色 |
|---|---|---|---|
| 1 | 购买专属加密实例 | 通过Dedicated HSM界面购买专属加密实例,详细操作请参见购买专属加密实例。 | 用户 |
| 2 | 激活专属加密实例 | 您购买专属加密实例后,通过Dedicated HSM界面实例化专属加密实例。您需要选择专属加密实例所属的虚拟私有云,以及专属加密实例的功能类型,详细操作请参见激活专属加密实例。 | 用户 |
| 3 | 获取UKey、配套初始化文档及软件 |
| 专属加密服务安全专家 |
| 4 | 初始化、管控(UKey认证) |
详细操作请参见初始化专属加密实例。 | 用户 |
| 5 | 安装安全代理软件并授权 | 在业务APP节点上安装为您提供的安全代理软件并执行相关初始化操作。 详细操作请参见安装安全代理软件并授权。 | 用户 |
| 6 | 访问 | 业务APP通过API或者SDK的方式访问专属加密实例。 | 用户 |
专属加密与密码系统服务的关系
专属加密服务(Dedicated HSM)和密码系统服务(CPCS)在云平台中都用于提供加密和安全功能,但它们在功能、应用场景和管理方式上存在一定的区别和联系。具体如表4所示。
| 服务 | 专属加密服务(Dedicated HSM) | 密码系统服务(CPCS) |
|---|---|---|
| 功能对比 |
|
|
| 应用场景对比 |
|
|
| 管理方式对比 |
|
|
| 联系 |
| |
