原文链接:https://blog.csdn.net/qq_39325340/article/details/123471184

背景介绍
密钥管理服务(KMS)是一套密钥管理系统, 可以针对云上数据/各端上的加密需求精心设计的密码应用服务,为您的应用提供符合各种要求的密钥服务及极简应用加解密服务,助您轻松使用密钥来加密保护敏感的数据资产。

方案


架构图描述:

1. KMS: 根密钥生成,为了生成根密钥的保密性,由三个人分别输入三段约定好算法的随机因子到HSM中去生成根密钥,非法读取HSM中的根密钥会导致HSM被破坏而不可用从而保护了根密钥不被泄露。另外为了保存好根密钥以备及时恢复,要将三段随机因子分别保存到三个保险柜中。为了防止根密钥被泄露,根密钥RootKey由密钥管理服务KMS从硬件安全模块即HSM中读取,按照一定的分散算法打散存储在内存中。
2.SDK: 开发者将SDK集成到自己开发的服务或者系统的代码中,以实现只需要调用较为简单抽象的接口就能够使用密钥管理服务的相关功能。SDK中进行加解密是为了防止业务方私自保存密钥。Client主要是负责SDK的Http请求相关的功能,加解密模块则是负责SDK加解密相关的功能。

KMS核心功能
包括密钥生命周期:
1、密钥生成 - 统一管理密钥的生成,一般要求根密钥具备较高的随机性以防止密钥被猜测、应用密钥通过安全的分散算法派生生成。
2、密钥存储 - 安全的存储密钥,如使用专用的安全存储设施或采用高强度加密保护,防止密钥的泄露和窃取。
3、密钥分发 - 确保密钥从生成、存储环境向使用环境传输的过程中不被泄露。
4、密钥注销 - 密钥生命周期完结之后,合理、安全地销毁密钥,并对销毁步骤作进行记录。
5、密钥更新 - 通过合理的密钥更替机制,降低密钥长期使用带来的暴露风险。一般要求:根密钥长期有效,具备更替能力;应用密钥定期更新,防止恶意破解;过程密钥一次一密,并通过引入时间戳、流水号等应用数据防止重放攻击。
6、密钥备份 - 保证重要密钥的备份恢复机制,在密钥丢失、灾难场景下,能够较快恢复密码服务能力,恢复时间目标(RTO)和恢复点目标(RPO)满足业务方需求。
7、密钥应用和密码运算服务 - 在具体的应用场景下,KMS还负责为业务方提供与应用相关的安全接口,如:数据加密封装、隐私数据脱敏、接口签名等。

一般情况下我们将KMS系统划分为三个核心模块:
1、安全区 - 整个系统的安全根,主要负责安全存储系统的根密钥,仅对系统内必要的功能模块开放访问权限。
2、服务层 - 系统主要功能的实现部分,为用户和KMS的应用提供密钥管理、数据加密、数字签名等服务,这也是KMS中与业务逻辑关系最紧密的部分。
3、接入层 - 面向应用系统提供业务接入能力,通过提供多语言、多框架适配的SDK,来支持无侵入或低侵入的集成。

【转】密钥管理服务(KMS)相关推荐

  1. ebs查看服务状态_浅析AWS KMS密钥管理服务

    AWS Key Management Service (AWS KMS) 是一个密钥管理服务,可以用来创建和管理您的主密钥,AWS KMS使用对称加密算法,即使用相同的算法和密钥来加密和解密数字数据. ...

  2. hadoop-KMS密钥管理服务配置使用

    KMS是hadoop自2.6.0版本开始自带的一个密钥管理web服务,提供了一系列API来创建,获取和维护密钥.kms与hadoop结合,可以实现hdfs客户端透明的数据加密传输以及细粒度的权限控制. ...

  3. 云知识 -云服务 KMS -Key Management Service

    凡牵涉到公网,必谈安全.谈到安全,必谈密钥. 云端专门提供个服务来进行密钥管理,因而就有了KMS. 比较知名的KMS是微软的.微软用KMS来激活自己的产品.

  4. Vault部署及创建密钥管理服务

    安装 源码编译安装(需要Golang和Git环境,具体步可骤参见网上) 源码下载到GOPATH git clone https://github.com/hashicorp/vault 进入代码目录, ...

  5. 使用MaxCompute LOAD命令批量导入OSS数据最佳实践—STS方式LOAD开启KMS加密OSS数据

    简介: MaxCompute使用load overwrite或load into命令将外部存储的数据(如:oss)导入到MaxCompute前的授权操作. MaxCompute使用load overw ...

  6. esxi6.7.0重置密码与kms服务器激活测试 2019.7.1

    忘记了密码又不想丢失数据所以选择了进行esxi的密码恢复. 之前在网上查到的关于使用安装镜像来进行恢复密码,但是尝试多次之后均以失败告终.没有出现过重置密码的界面只有升级界面.所以我尝试使用Linux ...

  7. KMS激活方案(一)

    第1章 激活服务概述 在2006年5月为了减少盗版或未经授权的软件给系统给用户带来的危害微软在Windows Vista 推出之际同时启用了新一代的激活认证机制既Volume Activation 2 ...

  8. 搭建Office 2010 KMS服务器

    上一篇博文已经谈到搭建Windows 的KMS服务器,在此基础上在搭建Office的 KMS服务器就方便多了.Office 2010 的KMS服务器激活分为两种方式,第一种方式是通过电话激活,第二种方 ...

  9. ecs加解密_ECS云盘加密

    当您的业务因为安全需求或法规合规要求等原因,需要对存储在云盘上的数据进行加密保护时,您可以使用阿里云ECS云盘加密功能,无需构建.维护和保护自己的密钥管理基础设施,即可保护数据的隐私性和自主性. 本文 ...

最新文章

  1. vi编辑器简单应用(摘抄)
  2. Python 模块学习 logging(1)
  3. N 组连续子串最大和
  4. Spring AOP capabilities and goals
  5. 三菱plc编程实例3000_三菱入门PLC编程PLC系统程序包括哪些
  6. Program terminated with signal SIGSEGV, Segmentation fault.
  7. 百度seo排名点击器_SEO整站优化思路 - 百度seo排名点击
  8. js与html页面分开,javascript – 当画布分割在多个页面上时,如何在使用html2canvas和jspdf时添加上边距?...
  9. cocos js 3.8.1 clippingNode 不能被 ccui.ScrollView 或者ccui.Layout裁剪的bug
  10. 如何把 json对象转换成 数组
  11. css -- 背景图片自适应屏幕大小
  12. [索尼]笔记本电脑驱动程序安装顺序?
  13. 矩阵的迹(Trace)
  14. Web页面切图和CSS注意事项
  15. vue3监听网页窗口关闭
  16. android+美拍加表情,美拍怎么添加表情文字在哪
  17. 讲一下创业公司的技术架构演进
  18. python3爬取教务系统的个人学期课程表(无头谷歌浏览模拟登录)
  19. 播放器可以完成:开机自动打开指定网页,自动运行浏览器打开指定的网页。
  20. 搭建spring-eureka项目时遇到的问题【已解决】

热门文章

  1. 【渝粤题库】陕西师范大学202521中国古代文学(三) 作业(高起专)
  2. 使用VGG模型自定义图像分类任务
  3. JLINK在线调试——软件调试方法与技巧
  4. PhalApi+Gearman,接口MQ异步队列任务的完整开发教程
  5. html里a标签的鼠标效果,html如何实现鼠标悬停提示A标签内容
  6. 个人永久性免费-Excel催化剂功能第34波-提取中国身份证信息、农历日期转换相关功能...
  7. aws上传找不到endpoint url或者The Aws Access Key Id you provided does not exist in our recordss
  8. secret学习笔记
  9. unity中使用手柄控制角色移动
  10. 4000字干货长文!从校招和社招的角度说说如何准备大厂Java后端面试?