【产品技术】KMS原理和加密

华为云服务基于信封加密技术，通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥，华为云服务在拥有用户授权的情况下，使用用户指定的用户主密钥对数据进行加密。

原理：

加密流程说明如下：

需要在KMS中创建一个用户主密钥。

华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。

密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。

华为云服务使用明文的数据加密密钥来加密明文文件，得到密文文件。

华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。

用户通过华为云服务下载数据时，华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密，并使用解密得到的明文的数据加密密钥来解密密文数据，然后将解密后的明文数据提供给用户下载。

Table1 使用KMS加密的云服务列表

类型

服务

加密方式说明

计算

弹性云服务器ECS

弹性云服务器资源加密包括镜像加密和云硬盘加密。

在创建弹性云服务器时，您如果选择加密镜像，弹性云服务器的系统盘会自动开启加密功能，加密方式与镜像保持一致。

在创建弹性云服务器时，您也可以对添加的数据盘进行加密。

镜像服务IMS

IMS服务端加密

存储

对象存储服务OBS

OBS服务端加密

云硬盘EVS

EVS服务端加密

云硬盘备份VBS

云硬盘备份主要对服务器中单个的云硬盘（系统盘和数据盘）创建在线备份，加密云硬盘的备份数据会以加密方式存放。

云服务器备份CSBS

云服务器备份主要对服务器下所有云硬盘创建一致性在线备份，云服务器备份产生的备份，会显示在云硬盘备份中。加密云硬盘的备份数据会以加密方式存放。

弹性文件服务SFS

SFS服务端加密

数据库

云数据库MySQL

RDS数据库加密

云数据库Postgre SQL

云数据库SQL Server

文档数据库服务DDS

DDS数据库加密

EI企业智能

数据仓库服务DWS

DWS数据库加密

通用安全

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。