加密服务是云上的硬件加密解决方案,通过使用加密服务,您能运用多种加密算法对云上业务数据进行可靠的加解密运算,实现数据保护,同时满足数据安全方面的监管合规要求。
概述
加密服务的服务底层使用通过FIPS 140-2 3级认证的密码硬件,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性要求。借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。
加密服务可以帮助您执行如下密码计算:
生成、存储、导入、导出和管理加密密钥,包括对称密钥和非对称密钥对。
使用对称和非对称算法加密和解密数据。
使用哈希函数计算消息摘要和基于哈希的消息身份验证代码 (HMAC)。
对数据进行数字签名和验证签名。
生成安全随机数据。
密码机
加密服务是密码机的硬件加密模块虚拟化形成的资源,加密服务与硬件加密模块具有同样的合规性,具备对数据的加解密运算能力。加密服务为您提供虚拟密码机和专属密码机。密码机的详细参数,请参见密码机类型。
虚拟密码机
部署在多租户环境,通常由多个用户共享硬件资源,满足国家密码法要求及国际安全标准FIPS 140-2/3,适合中小企业或对性能要求不高的应用场景。支持的密码机类型有:金融数据密码机EVSM、通用数据密码机GVSM、签名验证服务器SVSM、通用密码机FIPS。
专属密码机
硬件资源完全由单一用户独享,专有硬件资源确保了高吞吐量和低延迟。提供最高级别的物理安全,防篡改设计,符合国际安全标准FIPS 140-2/3。适合大型企业、金融机构或对安全性、性能要求极高的场景。提供专业权威机构(国家密码局/NIST( FIPS 140-2/3)/PCI HSM v3)认证的物理专属独享加密机。
应用场景
产品优势
安全密钥存储
使用硬件密码机保护用户密钥,加密模块的硬件和固件经过FIPS 140-2 3级认证。
安全的密钥管理
设备管理和密钥管理权限分离。阿里云只能管理密码机硬件设备,主要包括监控设备可用性指标、开通服务等。密钥完全由客户管理,阿里云没有任何方法可以获取客户密钥。
弹性扩展
在使用加密服务时,您可以根据实际情况,灵活地调整部署购买的密码机的数量,通过负载均衡来满足不同的加解密运算要求。
集群高可用性
加密服务支持集群管理的功能。您可以将购买的多个密码机添加到一个集群中,快速增加密码机的高可用性,降低业务中断及核心数据丢失风险。
便捷的云上使用
借助加密服务,您可以将购买的密码机部署在您指定的VPC专有网络中,通过指定的私网IP地址进行安全管理和调用,便捷地与云服务器上的业务配合使用。
支持的地域和可用区
地域 | 地域ID | 可用区 |
中国香港 | cn-hongkong | 可用区B、可用区C |
新加坡 | ap-southeast-1 | 可用区A、可用区B |
沙特(利雅得) | me-central-1 | 可用区A、可用区B |
马来西亚(吉隆坡) | ap-southeast-3 | 可用区A、可用区B |
使用限制
加密服务的使用限制如下表所示,表中配额暂不支持调整。
限制项 | 限制 |
一个加密机支持存储的密钥数量 | 3,300 |
一个加密机支持的用户数量 | 1,024 |
用户名的字符长度 | 31 |
用户密码的长度范围 | 7~32 |
常见术语
密码机实例
密码机实例是密码机的硬件加密模块虚拟化形成的资源。密码机实例与硬件加密模块具有同样的合规性,可以实现加密服务的所有功能,具备对数据的加解密运算能力。