OSS通過服務(wù)器端加密機(jī)制，提供靜態(tài)數(shù)據(jù)保護(hù)。適合于對(duì)于文件存儲(chǔ)有高安全性或者合規(guī)性要求的應(yīng)用場(chǎng)景。例如，深度學(xué)習(xí)樣本文件的存儲(chǔ)、在線協(xié)作類文檔數(shù)據(jù)的存儲(chǔ)。針對(duì)不同的應(yīng)用場(chǎng)景，OSS有以下兩種服務(wù)器端加密方式：

• 使用KMS托管密鑰進(jìn)行加解密（SSE-KMS）

  上傳文件時(shí)，可以使用默認(rèn)KMS（Key Management Service）托管的CMK（Customer Master Key）或者指定的CMK ID進(jìn)行加解密操作。這種場(chǎng)景適合于大量的數(shù)據(jù)加解密。數(shù)據(jù)無需通過網(wǎng)絡(luò)發(fā)送到KMS服務(wù)端進(jìn)行加解密，是一種低成本的加解密方式。

  KMS是阿里云提供的一款安全、易用的管理類服務(wù)。用戶無需花費(fèi)大量成本來保護(hù)密鑰的保密性、完整性和可用性。借助密鑰管理服務(wù)，用戶可以安全、便捷的使用密鑰，專注于開發(fā)加解密功能場(chǎng)景。用戶可以通過KMS控制臺(tái)中查看和管理KMS密鑰。

  除了采用AES-256加密算法外，KMS負(fù)責(zé)保管用戶主密鑰CMK（對(duì)數(shù)據(jù)密鑰進(jìn)行加密的密鑰），以及生成數(shù)據(jù)加密的密鑰，通過信封加密機(jī)制，進(jìn)一步防止未經(jīng)授權(quán)的數(shù)據(jù)訪問。CMK可通過使用OSS默認(rèn)托管的KMS密鑰的方式或者通過BYOK的方式生成，其中使用的BYOK材料可以由阿里云提供，也可以由用戶自主提供。

  SSE-KMS服務(wù)器端加密的邏輯示意圖如下。

  

• 使用OSS完全托管加密（SSE-OSS）

  基于OSS完全托管的加密方式，是Object的一種屬性。OSS服務(wù)器端加密使用行業(yè)標(biāo)準(zhǔn)的強(qiáng)加密算法AES-256（即256位高級(jí)加密標(biāo)準(zhǔn)）加密每個(gè)對(duì)象，并為每個(gè)對(duì)象使用不同的密鑰進(jìn)行加密。作為額外的保護(hù)，使用主密鑰對(duì)加密密鑰本身進(jìn)行加密。該方式適合于批量數(shù)據(jù)的加解密。

  該加密方式下，數(shù)據(jù)加密密鑰的生成和管理由OSS負(fù)責(zé)。您可以將Bucket默認(rèn)的服務(wù)器端加密方式設(shè)置為AES-256，也可以在上傳Object或修改Object的元數(shù)據(jù)時(shí)，在請(qǐng)求中攜帶X-OSS-server-side-encryption并指定其值為AES256，即可實(shí)現(xiàn)該Object的服務(wù)器端加密存儲(chǔ)。

對(duì)于主密鑰的使用，目前支持以下兩種方式：

• 使用KMS托管用戶主密鑰

  當(dāng)使用KMS托管用戶主密鑰用于客戶端數(shù)據(jù)加密時(shí)，無需向OSS加密客戶端提供任何加密密鑰，只需要在上傳對(duì)象時(shí)指定KMS用戶主密鑰ID（也就是CMK ID）。具體工作原理如下圖所示。

  

• 使用用戶自主管理密鑰

  使用用戶自主管理密鑰時(shí)，需要您自主生成并保管加密密鑰。當(dāng)本地客戶端加密Object時(shí)，由用戶自主上傳加密密鑰（對(duì)稱加密密鑰或者非對(duì)稱加密密鑰）至本地加密客戶端。其具體加密過程如下圖所示。