< 文档首页
全部产品
弹性计算
存储服务
数据库
网络
视频与CDN
域名与网站
工商财税 知识产权
应用服务
互联网中间件
移动研发平台 EMAS
移动研发平台EMAS-专有云
云通信
安全
大数据
人工智能
ET大脑
物联网
物联网行业方案
数字金融
管理与监控
区块链
云市场
API与工具
解决方案
钉钉
会员服务
专有云
更多

    什么是信封加密?

    更新时间:2017-06-07 13:26:11

    ★ 我的收藏
    本页目录

    信封加密

    信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递、和使用,不再使用主密钥直接加解密数据。

    直接的加解密服务不适合云场景

    由云服务直接为用户加解密数据存在以下问题:

    • 安全性隐患
      • 通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险,例如:窃听、钓鱼。
    • 信任和可信证明难做
      • 用户不一定信任云服务,愿意上传如此敏感的数据。
      • 云服务也难以证明自己不会误用和泄露这些数据。
    • 性能差、成本高
      • 大量数据需要通过安全信道传递到服务端,加密后再返回给用户。对用户服务的性能影响很大。
      • 我们都知道,在分布式系统中,我们应该尽可能的移动计算而不是移动数据,大量的移动数据会带来巨大的成本。

    信封加密场景:加密本地文件

    图例 含义
    用户主密钥
    明文数据密钥
    密文数据密钥
    明文文件
    密文文件

    加密流程:

    1.首先用户需要创建一个主密钥。

    2.调用KMS服务的GenerateDataKey接口,产生数据密钥。这里用户能够得到一个明文的数据密钥和一个密文的数据密钥。

    3.用户使用明文的数据密钥,加密文件,产生密文文件。

    4.用户将密文数据密钥和密文文件一同存储到持久化存储设备或服务中。

    解密流程:

    1.用户从持久化存储设备或服务中读取密文数据密钥和密文文件。

    2.调用KMS服务的Decrypt接口,解密数据密钥,取得明文数据密钥。

    3.使用明文数据密钥解密文件。

    上一篇:使用KMS信封加密在本地加密或解密数据
    下一篇:密钥管理服务的端点为何无法访问?
    相关文档
    相关产品
    • 密钥管理服务
      密钥管理服务(Key Management Service,简称:KMS)是阿里云提供的一款安全、易用的管理类服务。用户无需花费大量成本来保护密钥的保密性、完整性和可用性,借助密钥管理服务,用户可以安全、便捷的使用密钥,专注于开发加解密功能场景。
    • 加密服务
      加密服务CloudHSM(Alibaba Cloud Data Encryption Service)即云密码机,是云上的加密解决方案。加密服务使用经国家密码管理局检测认证的硬件密码机作为服务底层,通过虚拟化技术,帮助您满足数据安全方面的监管合规要求,保护云上业务数据隐私。借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。
    • 访问控制
      访问控制(Resource Access Management,RAM)是阿里云提供的一项管理用户身份与资源访问权限的服务。使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。