什么是加密服務(wù)
加密服務(wù)是云上的硬件加密解決方案,通過使用加密服務(wù),您能運(yùn)用多種加密算法對云上業(yè)務(wù)數(shù)據(jù)進(jìn)行可靠的加解密運(yùn)算,實(shí)現(xiàn)數(shù)據(jù)保護(hù),同時(shí)滿足數(shù)據(jù)安全方面的監(jiān)管合規(guī)要求。
前置概念
閱讀本文前,您可能需要了解如下概念:
概述
加密服務(wù)的服務(wù)底層使用經(jīng)國家密碼管理局檢測認(rèn)證的硬件密碼機(jī),通過虛擬化技術(shù),幫助用戶滿足數(shù)據(jù)安全方面的監(jiān)管合規(guī)要求,保護(hù)云上業(yè)務(wù)數(shù)據(jù)的隱私性要求。借助加密服務(wù),用戶能夠?qū)γ荑€進(jìn)行安全可靠的管理,也能使用多種加密算法來對數(shù)據(jù)進(jìn)行可靠的加解密運(yùn)算。
加密服務(wù)可以幫助您執(zhí)行如下密碼計(jì)算:
生成、存儲、導(dǎo)入、導(dǎo)出和管理加密密鑰,包括對稱密鑰和非對稱密鑰對。
使用對稱和非對稱算法加密和解密數(shù)據(jù)。
使用哈希函數(shù)計(jì)算消息摘要和基于哈希的消息身份驗(yàn)證代碼 (HMAC)。
對數(shù)據(jù)進(jìn)行數(shù)字簽名和驗(yàn)證簽名。
生成安全隨機(jī)數(shù)據(jù)。
密碼機(jī)
加密服務(wù)是密碼機(jī)的硬件加密模塊虛擬化形成的資源,加密服務(wù)與硬件加密模塊具有同樣的合規(guī)性,具備對數(shù)據(jù)的加解密運(yùn)算能力。加密服務(wù)為您提供虛擬密碼機(jī)和專屬密碼機(jī)。密碼機(jī)的詳細(xì)參數(shù),請參見密碼機(jī)類型。
虛擬密碼機(jī)
部署在多租戶環(huán)境,通常由多個(gè)用戶共享硬件資源,滿足國家密碼法要求及國際安全標(biāo)準(zhǔn)FIPS 140-2/3,適合中小企業(yè)或?qū)π阅芤蟛桓叩膽?yīng)用場景。支持的密碼機(jī)類型有:金融數(shù)據(jù)密碼機(jī)EVSM、通用數(shù)據(jù)密碼機(jī)GVSM、簽名驗(yàn)證服務(wù)器SVSM、通用密碼機(jī)FIPS。
專屬密碼機(jī)
硬件資源完全由單一用戶獨(dú)享,專有硬件資源確保了高吞吐量和低延遲。提供最高級別的物理安全,防篡改設(shè)計(jì),符合國際安全標(biāo)準(zhǔn)FIPS 140-2/3。適合大型企業(yè)、金融機(jī)構(gòu)或?qū)Π踩浴⑿阅芤髽O高的場景。提供專業(yè)權(quán)威機(jī)構(gòu)(國家密碼局/NIST( FIPS 140-2/3)/PCI HSM v3)認(rèn)證的物理專屬獨(dú)享加密機(jī)。
應(yīng)用場景
本地機(jī)房中的密碼機(jī)應(yīng)用遷移到云上服務(wù)器
當(dāng)您的本地機(jī)房密碼機(jī)應(yīng)用遷移到云上服務(wù)器時(shí),您可以直接使用加密服務(wù)替代本地機(jī)房密碼機(jī),實(shí)現(xiàn)數(shù)據(jù)的加解密、簽名驗(yàn)簽等功能,保護(hù)您的云上數(shù)據(jù)安全。
金融支付相關(guān)領(lǐng)域
例如,在證券、銀行支付結(jié)算等場景,您可以使用金融數(shù)據(jù)密碼機(jī)EVSM實(shí)現(xiàn)PIN加密、PIN轉(zhuǎn)加密等來保護(hù)金融數(shù)據(jù)安全;在網(wǎng)聯(lián)平臺支付清算等場景,您可以使用簽名驗(yàn)證服務(wù)器SVSM實(shí)現(xiàn)簽名驗(yàn)簽、證書解析、證書鏈驗(yàn)證功能,確保業(yè)務(wù)的真實(shí)性、完整性和不可否認(rèn)性。
為加密應(yīng)用提供合規(guī)的加解密功能
例如,您可以借助加密服務(wù)為阿里云專屬KMS實(shí)現(xiàn)應(yīng)用系統(tǒng)敏感數(shù)據(jù)的加解密,為數(shù)據(jù)庫加密應(yīng)用實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的加解密,為文件加密應(yīng)用實(shí)現(xiàn)文件存儲的加解密等。
支持HTTPS網(wǎng)站的SSL卸載
加密服務(wù)提供SSL卸載,減少服務(wù)器的性能壓力,提升客戶端的訪問響應(yīng)速度。同時(shí)加密服務(wù)使用密碼機(jī)生成證書私鑰,加強(qiáng)了私鑰保護(hù)防止從服務(wù)器泄漏私鑰,從而提升其安全性。
保護(hù)證書私鑰
對于由證書頒構(gòu)機(jī)構(gòu)頒發(fā)的數(shù)字證書,您可以將證書私鑰存儲在密碼機(jī)中,并使用密碼機(jī)執(zhí)行簽名操作,保護(hù)您的證書私鑰安全。
Oracle TDE集成
加密服務(wù)與Oracle數(shù)據(jù)庫集成,向用戶提供透明數(shù)據(jù)加密 (Transparent Data Encryption,TDE) 功能。TDE將加密密鑰存儲在數(shù)據(jù)庫外部的加密機(jī)中,并使用密鑰在數(shù)據(jù)文件中加密敏感數(shù)據(jù),保證敏感數(shù)據(jù)的安全性。
敏感數(shù)據(jù)加密
在公共服務(wù)、電子商務(wù)、金融等行業(yè)中,可以將加密服務(wù)與應(yīng)用程序集成,來加密處理或者存儲用戶敏感數(shù)據(jù),以滿足安全性和合規(guī)性要求。
產(chǎn)品優(yōu)勢
滿足監(jiān)管合規(guī)要求
加密服務(wù)支持的密碼機(jī)已通過國家密碼管理局的檢測認(rèn)證,并且符合密碼行業(yè)的技術(shù)規(guī)范,包括《GM/T 0028-2014 密碼模塊安全技術(shù)要求》、《GM/T 0045-2016金融數(shù)據(jù)密碼機(jī)技術(shù)規(guī)范》、《GM/T 0030-2014 服務(wù)器密碼機(jī)技術(shù)規(guī)范》、《GM/T 0029-2014簽名驗(yàn)簽服務(wù)器技術(shù)規(guī)范》。
豐富的行業(yè)標(biāo)準(zhǔn)接口和加密算法
加密服務(wù)支持豐富的行業(yè)標(biāo)準(zhǔn)接口和加密算法。例如EVSM在支持原有金融業(yè)務(wù)安全需求的基礎(chǔ)上,擴(kuò)展了SM1、SM2、SM3、SM4國產(chǎn)密碼算法在金融領(lǐng)域中的應(yīng)用支持,并且符合PBOC2.0、PBOC3.0、GP等應(yīng)用規(guī)范,以及建設(shè)部、交通等行業(yè)規(guī)范。
關(guān)于加密服務(wù)支持的接口規(guī)范和加密算法的更多信息,請參見密碼機(jī)類型。
安全的密鑰管理
設(shè)備管理和密鑰管理權(quán)限分離。阿里云只能管理密碼機(jī)硬件設(shè)備,主要包括監(jiān)控設(shè)備可用性指標(biāo)、開通服務(wù)等。密鑰完全由客戶管理,阿里云沒有任何方法可以獲取客戶密鑰。
彈性擴(kuò)展
在使用加密服務(wù)時(shí),您可以根據(jù)實(shí)際情況,靈活地調(diào)整部署購買的密碼機(jī)的數(shù)量,通過負(fù)載均衡來滿足不同的加解密運(yùn)算要求。
集群高可用性
加密服務(wù)支持集群管理的功能。您可以將購買的多個(gè)密碼機(jī)添加到一個(gè)集群中,快速增加密碼機(jī)的高可用性,降低業(yè)務(wù)中斷及核心數(shù)據(jù)丟失風(fēng)險(xiǎn)。
便捷的云上使用
借助加密服務(wù),您可以將購買的密碼機(jī)部署在您指定的VPC專有網(wǎng)絡(luò)中,通過指定的私網(wǎng)IP地址進(jìn)行安全管理和調(diào)用,便捷地與云服務(wù)器上的業(yè)務(wù)配合使用。
支持的地域和可用區(qū)
地域 | 地域ID | 可用區(qū) |
華東1(杭州) | cn-hangzhou | 可用區(qū)A、可用區(qū)G |
華東2(上海) | cn-shanghai | 可用區(qū)A、可用區(qū)B |
華東2(北京) | cn-beijing | 可用區(qū)A、可用區(qū)K |
華南1(深圳) | cn-shenzhen | 可用區(qū)A、可用區(qū)E |
西南1(成都) | cn-chengdu | 可用區(qū)A、可用區(qū)B |
常見術(shù)語
密碼機(jī)實(shí)例
密碼機(jī)實(shí)例是密碼機(jī)的硬件加密模塊虛擬化形成的資源。密碼機(jī)實(shí)例與硬件加密模塊具有同樣的合規(guī)性,可以實(shí)現(xiàn)加密服務(wù)的所有功能,具備對數(shù)據(jù)的加解密運(yùn)算能力。
身份認(rèn)證卡
身份認(rèn)證卡(USB Key)是加密服務(wù)的唯一身份識別信息,可以配合密碼機(jī)的客戶端管理工具管理密鑰。