密钥管理服务:什么是加密服务

密钥管理服务:什么是加密服务

beat365唯一官网 2025-10-07 12:35:14 admin 阅读 6710 点赞 274

概述 加密服务的服务底层使用经国家密码管理局检测认证或通过FIPS 140-2 Level 3认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性要求。借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。

加密服务可以帮助您执行如下密码计算:

生成、存储、导入、导出和管理加密密钥,包括对称密钥和非对称密钥对。

使用对称和非对称算法加密和解密数据。

使用哈希函数计算消息摘要和基于哈希的消息身份验证代码(HMAC)。

对数据进行数字签名和验证签名。

生成安全随机数据。

密码机加密服务是密码机的硬件加密模块虚拟化形成的资源,加密服务与硬件加密模块具有同样的合规性,具备对数据的加解密运算能力。加密服务为您提供虚拟密码机和专属密码机。密码机的详细参数,请参见虚拟密码机性能数据。

虚拟密码机部署在多租户环境,通常由多个用户共享硬件资源,满足国家密码法要求及国际安全标准FIPS 140-2 Level 3认证,适合中小企业或对性能要求不高的应用场景。支持的密码机类型有:

中国内地密码机:通用国密密码机。

非中国内地密码机:通用FIPS密码机。

专属密码机硬件资源完全由单一用户独享,专有硬件资源确保了高吞吐量和低延迟。提供最高级别的物理安全,防篡改设计,符合国际安全标准FIPS 140-2/3。适合大型企业、金融机构或对安全性、性能要求极高的场景。提供专业权威机构(国家密码局/NIST (FIPS 140-2 级别3认证)/PCI HSM v3)认证的物理专属独享加密机。

应用场景本地机房中的密码机应用迁移到云上服务器

当您的本地机房密码机应用迁移到云服务器时,您可以直接使用加密服务替代本地机房密码机,实现数据的加解密、签名验签等功能,保护您的云上数据安全。

为加密应用提供合规的加解密功能

例如,您可以借助加密服务为阿里云专属KMS实现应用系统敏感数据的加解密,为数据库加密应用实现数据库数据的加解密,为文件加密应用实现文件存储的加解密等。

支持HTTPS网站的SSL卸载

中国内地的GVSM提供SSL卸载功能,减少服务器的性能压力,提升客户端的访问响应速度。同时加密服务使用密码机生成证书私钥,加强了私钥保护防止从服务器泄漏私钥,从而提升其安全性。

保护证书私钥

对于由证书颁发机构颁发的数字证书,您可以将证书私钥存储在密码机中,并使用密码机执行签名操作,保护您的证书私钥安全。

Oracle TDE集成

加密服务与Oracle数据库集成,向用户提供透明数据加密(Transparent Data Encryption,TDE)功能。TDE将加密密钥存储在数据库外部的加密机中,并使用密钥在数据文件中加密敏感数据,保证敏感数据的安全性。

敏感数据加密

在公共服务、电子商务、金融等行业中,可以将加密服务与应用程序集成,来加密处理或者存储用户敏感数据,以满足安全性和合规性要求。

产品优势满足监管合规要求

中国内地密码机已通过国家密码管理局的检测认证,并且符合密码行业的技术规范,包括《GM/T 0028-2014 密码模块安全技术要求》、《GM/T 0030-2014 服务器密码机技术规范》。

非中国内地密码机已通过FIPS 140-2 Level 3认证。

丰富的行业标准接口和加密算法

加密服务支持丰富的行业标准接口和加密算法。关于加密服务支持的接口规范和加密算法的更多信息,请参见虚拟密码机性能数据。

安全的密钥管理

设备管理和密钥管理权限分离。阿里云只能管理密码机硬件设备,主要包括监控设备可用性指标、开通服务等。密钥完全由客户管理,阿里云没有任何方法可以获取客户密钥。

弹性扩展

在使用加密服务时,您可以根据实际情况,灵活地调整部署购买的密码机的数量,通过负载均衡来满足不同的加解密运算要求。

集群高可用性

加密服务支持集群管理的功能。您可以将购买的多个密码机添加到一个集群中,快速增加密码机的高可用性,降低业务中断及核心数据丢失风险。

便捷的云上使用

借助加密服务,您可以将购买的密码机部署在您指定的VPC专有网络中,通过指定的私网IP地址进行安全管理和调用,便捷地与云服务器上的业务配合使用。

支持的地域和可用区中国内地

地域

地域ID

可用区

华东1(杭州)

cn-hangzhou

可用区A、可用区G

华东2(上海)

cn-shanghai

可用区A、可用区B、可用区F

华北2(北京)

cn-beijing

可用区A、可用区F、可用区K

华南1(深圳)

cn-shenzhen

可用区A、可用区E

西南1(成都)

cn-chengdu

可用区A、可用区B

非中国内地

地域

地域ID

可用区

中国香港

cn-hongkong

可用区B、可用区C

新加坡

ap-southeast-1

可用区A、可用区B

马来西亚(吉隆坡)

ap-southeast-3

可用区A、可用区B

沙特(利雅得)

me-central-1

可用区A、可用区B

印度尼西亚(雅加达)

ap-southeast-5

可用区A、可用区B

常见术语密码机实例

密码机实例是密码机的硬件加密模块虚拟化形成的资源。密码机实例与硬件加密模块具有同样的合规性,可以实现加密服务的所有功能,具备对数据的加解密运算能力。

身份认证卡(USB Key)

加密服务的唯一身份识别信息,可以配合密码机的客户端管理工具管理密钥,仅中国内地密码机提供。

集群服务

加密服务提供集群服务,通过将处于同一地域不同可用区、用于相同业务的一组密码机实例关联起来,进行统一管理,为业务应用提供密码计算的高可用性、负载均衡以及横向扩展的能力。一个集群中包括一个主密码机实例与若干个非主密码机实例。集群内一个可用区的密码机实例使用同一子网。

相关推荐