密钥管理服务(Key Management Service,KMS) 提供密钥全生命周期管理,用户可轻松创建并管理密钥,满足数据加解密及数字签名验签等需求。同时与天翼云云硬盘、对象存储、弹性文件等云产品无缝集成,实现云上资源原生数据的加密保护。
安全|监管合规
通过国家密码管理局安全行审查,获得《商用密码产品认证证书》,满足监管合规要求
易用|集中托管
提供密码基础设施的完全托管,用户可轻松实现密钥全生命周期管理,满足数据加解密和数字签名验签等需求
集成|云产品集成
与云主机、云硬盘等天翼云产品无缝集成,实现云上资源原生数据的加密保护,增强安全能力
可靠|稳定可用
采用分布式部署,构建多地域冗余的密码计算能力,确保密钥管理服务的高可用性
极简的应用加密接口
为简化应用调用密码服务,提供极简的密码运算接口,同时支持国密算法的加解密、签名验签、完整性校验等密码服务
密钥生命周期管理
提供密钥全生命周期管理,支持系统生成或导入自带密钥、启用/禁用密钥、自动轮转密钥、计划删除密钥等
硬件保护机制
采用由国家密码管理局批准的硬件密码设备,通过更高安全的保护机制确保密钥的保密性、完整性和可用性,满足监管合规需求
云产品一键加密
提供面向天翼云产品的服务端集成加密服务,支持选择用户自建密钥或系统创建的默认密钥进行一键加密保护
应用场景
敏感数据保护
场景说明
通过KMS的在线加密能力,在应用层对敏感数据进行加密保护后再存到数据库,增加攻击难度,降低数据批量明文泄露风险
需求痛点
互联网应用中存储有用户手机号码、身份证号、银行卡号等用户敏感数据,存在被攻击明文拖库的风险
方案优势
敏感数据集中加密存储
敏感数据在数据库持久化存储之前已经被KMS加密,数据加密密钥被密码机的硬件保护机制保护,任何人无法窃取,数据安全性高
业务系统按需解密数据
业务系统需要处理或展示敏感数据时,通过用户鉴权后调用KMS,按需解密数据,整个过程只有业务所需的小部分数据在内存中被解密为明文,数据暴露和泄露风险小
客户端文件数据加密
场景说明
应用信封加密技术实现客户端数据加解密,通过KMS进行密钥安全管理和交换,并使用数据加密密钥在本地完成数据加密,保障文件数据的安全性和加密效率
需求痛点
客户端应用需要对文件进行加密后传输或存储。常规将文件传递到密码机加密的方案,加密过程跨互联网,安全难保障,且网络开销导致加密时延较长
方案优势
三级密钥管理机制
密钥系统通过根密钥、用户主密钥、数据密钥三级架构确保加密数据密钥的随机性和安全性,用户通过可导出的数据密钥加密本地数据
海量数据离线加密缓解网络压力
信封加密方式通过在本地对大量数据进行加解密,只需要传输数据加密密钥的密文到KMS服务端解密,无需通过网络传输大量数据
弹性云主机
随时自助获取、弹性伸缩的云服务器资源
对象存储
高品质、低成本的云上存储服务
弹性文件服务
安全、可靠的共享文件存储服务
