凯发k8国际娱乐官网入口-k8凯发> 数据加密服务 dew> 产品介绍> > 功能特性
更新时间:2023-12-29 gmt 08:00

功能特性-凯发k8国际娱乐官网入口

密钥管理,即密钥管理服务(key management service, kms),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。

kms通过使用硬件安全模块hsm(hardware security module, hsm)保护密钥的安全,所有的用户密钥都由hsm中的根密钥保护,避免密钥泄露。并且hsm模块满足fips 140-2 level 3安全要求。

kms对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。

功能介绍

表1 密钥管理

功能

服务内容

密钥全生命周期管理
  • 创建、查看、启用、禁用、计划删除、取消删除自定义密钥
  • 修改自定义密钥的别名和描述

用户自带密钥

导入密钥、删除密钥材料

小数据加解密

在线工具加解密小数据

签名验签

消息或消息摘要的签名、签名验证

说明:

仅支持通过api调用。

密钥标签

添加、搜索、编辑、删除标签

密钥轮换

开启、修改、关闭密钥轮换周期

密钥授权

创建、撤销、查询授权

退役授权

说明:

仅支持通过api调用。

云服务加密

对象存储服务obs加密

云硬盘服务evs加密

镜像服务ims加密

弹性文件服务sfs加密(sfs文件系统加密)

弹性文件服务sfs加密(sfs turbo文件系统加密)

云数据库rds(mysql、postgresql、sql server引擎)加密

文档数据库服务dds加密

数据仓库服务dws加密

数据加密密钥管理

创建、加密、解密数据加密密钥

说明:

仅支持通过api调用。

生成硬件真随机数

生成512bit的随机数,为加密系统提供基于硬件真随机数的密钥材料和加密参数

说明:

仅支持通过api调用。

消息认证码

生成、验证消息认证码

说明:

仅支持通过api调用。

密钥库管理

创建、禁用、删除密钥库

kms支持的密钥算法

kms创建的对称密钥使用的是aes、sm4加解密算法。kms创建的非对称密钥支持rsa、ecc、sm2算法。

表2 kms支持的密钥算法类型

密钥类型

算法类型

密钥规格

说明

适用场景

对称密钥

aes

aes_256

aes对称密钥
  • 数据的加解密
  • 加解密数据密钥
    说明:

    小量数据的加解密可通过控制台在线工具进行。

    大量数据的加解密需要调用api接口进行。

对称密钥

sm4

sm4

国密sm4对称密钥
  • 数据的加解密
  • 加解密数据密钥

对称密钥

aes
  • hmac_256
  • hmac_384
  • hmac_512

hmac对称密钥

生成和校验消息认证码

对称密钥

sm3

hmac_sm3

国密sm3对称密钥

生成和校验消息认证码

非对称密钥

rsa
  • rsa_2048
  • rsa_3072
  • rsa_4096

rsa非对称密钥
  • 数字签名和验签
  • 数据的加解密
    说明:

    非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。

ecc
  • ec_p256
  • ec_p384

椭圆曲线密码,使用nist推荐的椭圆曲线

数字签名和验签

非对称密钥

sm2

sm2

国密sm2非对称密钥
  • 数字签名和验签
  • 小量数据的加解密

通过外部导入的密钥支持的密钥包装加解密算法如表3所示。

表3 密钥包装算法说明

密钥包装算法

说明

设置

rsaes_oaep_sha_256

具有“sha-256”哈希函数的oaep的rsa加密算法。

请您根据自己的hsm功能选择加密算法。

如果您的hsm支持“rsaes_oaep_sha_256”加密算法,推荐使用“rsaes_oaep_sha_256”加密密钥材料。

须知:

“rsaes_oaep_sha_1”加密算法已经不再安全,请谨慎选择。

rsaes_oaep_sha_1

具有“sha-1”哈希函数的oaep的rsa加密算法。

sm2_encrypt

国密推荐的sm2椭圆曲线公钥密码算法。

请在支持国密的局点使用sm2加密算法。

专属密钥库

kms通过专属密钥库支持hyok功能,帮助用户完全自主可控名下的用户主密钥,用户主密钥不脱离加密机,并且密码运算完全在加密机中完成。与默认密钥库不同,用户可以通过专属加密集群随时对密钥进行全生命周期管理。

专属加密实例基础版、铂金版(国内)均支持hyok功能。

hyok(hold your own key)是指用户可以完全控制其密钥,密钥始终归用户所有。

专属密钥库操作可参见以及。专属密钥库支持的算法类型如表 专属密钥库的密钥算法类型所示。

表4 专属密钥库的密钥算法类型

密钥类型

算法类型

密钥规格

说明

适用场景

对称密钥

aes

aes_256

aes对称密钥
  • 数据的加解密
  • 加解密数据密钥
    说明:

    小量数据的加解密可通过控制台在线工具进行。

    大量数据的加解密需要调用api接口进行。

对称密钥

sm4

sm4

国密sm4对称密钥
  • 数据的加解密
  • 加解密数据密钥

非对称密钥

rsa
  • rsa_2048
  • rsa_3072
  • rsa_4096

rsa非对称密钥
  • 数字签名和验签
  • 数据的加解密
    说明:

    非对称密钥适用于签名和验签场景,加密数据效率不高,加解密数据推荐使用对称密钥。

ecc
  • ec_p256
  • ec_p384

椭圆曲线密码,使用nist推荐的椭圆曲线

数字签名和验签

非对称密钥

sm2

sm2

国密sm2非对称密钥
  • 数字签名和验签
  • 小量数据的加解密
父主题:
分享:
网站地图