全部产品
Search
文档中心

密钥管理服务:什么是加密服务

更新时间:Jul 16, 2024

加密服务是云上的硬件加密解决方案,通过使用加密服务,您能运用多种加密算法对云上业务数据进行可靠的加解密运算,实现数据保护,同时满足数据安全方面的监管合规要求。

概述

加密服务的服务底层使用通过FIPS 140-2 3级认证的密码硬件,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性要求。借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。

加密服务可以帮助您执行如下密码计算:

  • 生成、存储、导入、导出和管理加密密钥,包括对称密钥和非对称密钥对。

  • 使用对称和非对称算法加密和解密数据。

  • 使用哈希函数计算消息摘要和基于哈希的消息身份验证代码 (HMAC)。

  • 对数据进行数字签名和验证签名。

  • 生成安全随机数据。

密码机

加密服务是密码机的硬件加密模块虚拟化形成的资源,加密服务与硬件加密模块具有同样的合规性,具备对数据的加解密运算能力。加密服务为您提供虚拟密码机和专属密码机。密码机的详细参数,请参见密码机类型

虚拟密码机

部署在多租户环境,通常由多个用户共享硬件资源,满足国家密码法要求及国际安全标准FIPS 140-2/3,适合中小企业或对性能要求不高的应用场景。支持的密码机类型有:金融数据密码机EVSM、通用数据密码机GVSM、签名验证服务器SVSM、通用密码机FIPS。

专属密码机

硬件资源完全由单一用户独享,专有硬件资源确保了高吞吐量和低延迟。提供最高级别的物理安全,防篡改设计,符合国际安全标准FIPS 140-2/3。适合大型企业、金融机构或对安全性、性能要求极高的场景。提供专业权威机构(国家密码局/NIST( FIPS 140-2/3)/PCI HSM v3)认证的物理专属独享加密机。

应用场景

产品优势

  • 安全密钥存储

    使用硬件密码机保护用户密钥,加密模块的硬件和固件经过FIPS 140-2 3级认证。

  • 安全的密钥管理

    设备管理和密钥管理权限分离。阿里云只能管理密码机硬件设备,主要包括监控设备可用性指标、开通服务等。密钥完全由客户管理,阿里云没有任何方法可以获取客户密钥。

  • 弹性扩展

    在使用加密服务时,您可以根据实际情况,灵活地调整部署购买的密码机的数量,通过负载均衡来满足不同的加解密运算要求。

  • 集群高可用性

    加密服务支持集群管理的功能。您可以将购买的多个密码机添加到一个集群中,快速增加密码机的高可用性,降低业务中断及核心数据丢失风险。

  • 便捷的云上使用

    借助加密服务,您可以将购买的密码机部署在您指定的VPC专有网络中,通过指定的私网IP地址进行安全管理和调用,便捷地与云服务器上的业务配合使用。

支持的地域和可用区

地域

地域ID

可用区

中国香港

cn-hongkong

可用区B、可用区C

新加坡

ap-southeast-1

可用区A、可用区B

沙特(利雅得)

me-central-1

可用区A、可用区B

马来西亚(吉隆坡)

ap-southeast-3

可用区A、可用区B

使用限制

加密服务的使用限制如下表所示,表中配额暂不支持调整。

限制项

限制

一个加密机支持存储的密钥数量

3,300

一个加密机支持的用户数量

1,024

用户名的字符长度

31

用户密码的长度范围

7~32

常见术语

密码机实例

密码机实例是密码机的硬件加密模块虚拟化形成的资源。密码机实例与硬件加密模块具有同样的合规性,可以实现加密服务的所有功能,具备对数据的加解密运算能力。