本文主要罗列了密钥管理系统(KMS)的基本概念。
密钥生命周期
密钥生命周期指密钥的生成、存储、分发、导入、导出、使用、恢复、归档与销毁等一系列环节,其中密钥管理系统 KMS 提供密钥全生命周期管理,确保密钥以安全的方式完成该系列操作,防止密钥被泄露。
对称加解密
对称加密指采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密。
说明:
密钥管理系统 KMS 提供了对称加解密方案,详细请参见 对称加解密。 非对称加解密
非对称加解密需要两个密钥:公开密钥和私有密钥。公钥和私钥是一对密钥,信息传送者使用公钥对数据进行加密,信息接受者只有用对应的私钥才能解密。另一方面,信息传送者可使用私钥对机密信息进行签名,信息接受者使用对应的公钥对接收的数据进行验签。
说明:
密钥管理系统 KMS 也提供了非对称加解密方案,详情请参见 非对称加解密。 敏感数据
敏感数据是指用户相关的敏感、隐私的信息内容,例如密钥、证书、配置文件、银行账号、身份证号码等。
硬件安全模块
硬件安全模块(Hardware Security Module,HSM) 是一种用于保护和管理强认证系统所使用的密钥,并同时提供相关密码学操作的计算机硬件设备 。KMS 底层使用国家密码局或 FIPS-140-2 认证的硬件安全模块 HSM 来保护密钥的安全,确保密钥的保密性、完整性和可用性。
BYOK
BYOK(Bring Your Own Key)是指用户可以自行导入密钥材料至用户主密钥中,详情请参见 外部密钥导入 。