51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

保护密钥的安全,统一安全管控之密钥管理KMS

作者:hackeryeah
安全 数据安全
谈到信息安全免不了要解决一个问题就是数据加密。加密就会涉及到密钥相关的问题,比如密钥的生成、传输、保存、泄露等问题。如何保护好密钥的安全就成了信息安全的非常重要的一个部分。

一、为什么要统一管控密钥

谈到信息安全免不了要解决一个问题就是数据加密。加密就会涉及到密钥相关的问题,比如密钥的生成、传输、保存、泄露等问题。如何保护好密钥的安全就成了信息安全的非常重要的一个部分。某司员工将密钥泄漏到开源网站导致重要数据丢失事件,君们还记得否?如果有完善的KMS系统这种情况很大程度上就可以避免了。

对于大部分没有KMS管理系统的公司而言,密钥本地化会导致密钥分散在代码、配置文件中。缺乏统一管理,造成开发、维护成本巨大,而且导致密钥容易泄露。还有一部分公司采用硬件加密机来管理密钥即HSM,全称Hardware Security Module,这种方式管理密钥安全性确实很高,但是因为各级密钥都在HSM中管理所以成本过高。

采用软硬件结合是比较好的方式,通过项目密钥管理服务KMS轻松创建和管理密钥,同时提供对密钥的保护,避免密钥泄漏。使开发者没有必要投入大量时间和精力来保证密钥的保密性、完备性和可用性。通过密钥管理服务,开发者在处理密钥时会更安全、更方便简单,这样可以更集中时间精力去研发如何借助加解密功能来实现业务场景。

二、KMS设计

1. 密钥分级

这里按密钥作用划分为三级:

  • 数据加密密钥(DEK):将用于数据加密的密钥,也称三级密钥(DEK);一般公司里面一个应用对应一个DEK。
  • 密钥加密密钥(KEK):保护三级的密钥,也称二级密钥(KEK 即对DEK进行加密);一般公司里面一个部门对应一个KEK,DEK在KEK管辖之内。
  • 根密钥(RootKey):保护二级密钥的密钥,也称一级密钥(RootKey,即是对KEK进行加密),根密钥构成了整个密钥管理系统的关键。

2. 基本架构

本文中的KMS由三大部分组成SDK、后台服务、HSM。

SDK:主要提供给服务的使用者集成到自己开发的项目中,实现密钥的创建、导入、启用、禁用等相关密钥管理和加密以及解密等常见操作。SDK分为:Client模块、加解密模块,主要负责提供简单接口完成加密解密功能。

KMS服务:主要负责从硬件安全模块获取和保存根密钥,并且安全地保存在后台内存中,然后通过密钥的派生算法生成KEK进而生成DEK。分为,根密钥加载模块、密钥派生模块、Server模块。

HSM:提供根密钥生成和保管服务。

架构图

架构图描述:

根密钥生成,为了生成根密钥的保密性,由三个人分别输入三段约定好算法的随机因子到HSM中去生成根密钥,非法读取HSM中的根密钥会导致HSM被破坏而不可用从而保护了根密钥不被泄露。另外为了保存好根密钥以备及时恢复,要将三段随机因子分别保存到三个保险柜中。

为了防止根密钥被泄露,根密钥RootKey由密钥管理服务KMS从硬件安全模块即HSM中读取,按照一定的分散算法打散存储在内存中。

开发者将SDK集成到自己开发的服务或者系统的代码中,以实现只需要调用较为简单抽象的接口就能够使用密钥管理服务的相关功能。SDK中进行加解密是为了防止业务方私自保存密钥。Client模块主要是负责SDK的Http请求相关的功能,加解密模块则是负责SDK加解密相关的功能。

3. 运行功能

密钥派生:

KMS中最为关键的模块是密钥派生模块。根据用户ID和随机因子通过伪随机函数派生出KEK或者DEK等密钥。KMS杜绝明文持久化保存密钥,派生出来的KEK通过Rootkey加密保存在数据库,派生出来的DEK通过KEK加密保存在数据库。

创建密钥:

  • 用户调用KMS提供的SDK中的创建用户数据密钥接
  • 用户传入用户ID等必要信息(如果要创建KEK则传入部门信息,如果创建DEK则传入应用信息)
  • KMS服务器验证请求
  • 验证通过,KMS服务器在该用户名下创建新的密钥并返回密钥ID

密钥加密(解密同理):

  • 服务调用方调用KMS提供的SDK中直接加密的接
  • 服务调用方传入用户ID、密钥ID、待加密明文
  • KMS服务器验证密钥ID、用户ID以及是否为用户ID名下
  • 验证通过,KMS服务器返回DEK到SDK中
  • SDK加密算法中对明文进行加密,并返回密文

三、推动业务方使用KMS

就算KMS再安全,业务方不愿意使用对于安全来说无疑也是掩耳盗铃。

如何让业务方愿意使用,需要技术和管理相结合去推动。管理上:自上往下推动,通过高管的支持通知业务方使用KMS以及讲述使用KMS带来的收益,并通过KMS管理规范约定不通过KMS来使用密钥所承担的责任。通过定期安全宣传和培训从反面和正面去讲述其中利害。技术上:定期进行专项检查,通过代码扫描查看代码中存在的密钥硬编码,如果存在密钥硬编码则说明很有可能业务方自行创建保管密钥;定期去大数据平台进行扫描将个别字段传入KMS加密接口查看返回密文跟数据库中的密文对比,如果一样说明采用了KMS加密,如果不一样很有可能就是自行保管密钥。

现有一切加密技术都是建立在密钥破解时间很长的情况下,畅想下如果量子计算机出现了,几秒钟就能破解2048位的密钥,那么现有的加密技术都将形同虚设。

 

责任编辑:赵宁宁 来源: FreeBuf
密钥KMS信息安全
相关推荐
掌握AWS密钥管理服务KMS增强云安全方法
AWS的密钥管理服务是个很好的云加密密钥管理工具。专家DaveShackleford带你检视AWSKMS的细节及其对企业的益处。亚马逊Web服务(AWS)最近发布了崭新的加密管理平台,AWS密钥管理服务(KMS)。AWSKMS允许用户在几个AWS最热门的功能中加密数据和管理加密密钥。

2015-03-24 17:29:40

AWS密钥管理云安全
谷歌推“安全密钥”账号安全保护服务
谷歌周二宣布推出一种新的账号安全保护方法,用户可通过这种所谓的“安全密钥”(SecurityKey)支持服务从第三方提供商那里拿到实体USBKey,可配合GoogleAccounts和Chrome保护账号安全。

2014-10-22 10:44:16

保护云中API密钥 改善企业云安全
API密钥和SSL密钥一样是安全策略中头等大事。很多人口头上都说要保护云中的信息,但事实上在云安全方面我们都是摸着石头过河而已。

2011-11-14 16:07:22

除了密钥,公有云还有哪些安全保护方式
现在,越来越多的企业将系统内部管理的机密信息迁移到云端,与此同时,企业也需要花更多的力气去保护这些机密信息,而作为公有云最强的布道者,各云厂商也在竭尽全力的打消大众对安全性的担忧。

2015-08-10 14:54:57

公有云云安全数据加密
趋势科技刘政平:移动安全要形成统一安全
近几年来,电子商务发展迅猛,从而带动了网上支付、移动支付的发展。目前无论是大型的银行和中小银行,还是券商、保险公司在移动安全方面的建设都颇为引人关注,目前金融行业面临安全威胁趋势也呈现出一些新的特征。

2012-11-27 12:23:28

AWS密钥管理服务如何增强云安全
亚马逊Web服务(AWS)最近发布了崭新的加密管理平台,AWS密钥管理服务(KMS)。AWSKMS允许用户在几个AWS最热门的功能中加密数据和管理加密密钥。

2015-03-20 17:29:04

密钥管理AWS云安全
谷歌Cloud KMS简化密钥管理服务,但缺少亮点
密钥管理服务的质量在于其简化保护加密密钥安全的能力。虽然专家对谷歌CloudKMS的易用性印象深刻,但该产品并没有提供任何特别的新功能。

2017-02-06 12:16:43

Android安全开发浅谈密钥硬编码
信息安全的基础在于密码学,而常用的密码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;对于非对称密码算法或者签名算法,根据密钥和要加密的明文,很容易获得计算出签名值,从而伪造签名。

2016-05-18 09:52:20

基于CA签名统一SSH登陆密钥管理
本文我们介绍了一个通过CA签名用户公钥的证书统一管理方法。通过该方法可以实现基于角色通过ssh管理对服务器的访问。

2020-10-13 06:59:12

CA签名密钥SSH
云端加密数据时5个保持密钥理由
随着企业客户的市场需求增加,多个云提供者包括亚马逊、谷歌,Salesforce已经扩展他们的加密功能到了客户持有的加密密钥或称BringYourOwnKeys(BYOK)领域。以前,这些云提供商不但进行数据加密而且对加密密钥保留控制权。如今,通过允许企业自行管理密钥,云服务提供商正在向客户引入另一种保证数据安全和隐私的方式。

2016-11-28 19:48:07

统一用户采访
在此次的采访中,用户对于统一管控的概念并不是很强,有很多用户使用了KVM之类的统一管控工具,但是对于统一管控的概念理解并不时很深入。甚至很多的用户并没有采用统一管控的工具或者解决方案,遇到问题时所采用的办法还是传统的远程管理办法。

2009-12-27 21:29:02

混合云安全:惠普密钥拆分加密
HPAtalla云加密保护了一系列的非结构化数据,比如支付信息、电子健康档案和金融机构核心关键系统,且能够贯穿其整个生命周期。

2014-06-13 14:27:46

思科单SSH密钥安全出错
由于密钥是与虚拟设备远程管理接口关联的,攻击者成功登录后就可以在设备里到处转悠。俗称博格的思科日前宣布,旗下的网络安全网关(WSAv)、电子邮件安全网关(ESAV)以及安全管理网关(SMAv)等虚拟设备在远程支持服务里用的是默认密钥。

2015-06-30 11:25:40

量子密钥有望实现潜艇安全通信
据英国《新科学家》杂志近日报道,潜艇潜入水中时必须保持与遥远的海军基地之间的安全通信,而量子通讯有望支持它们赢得这场安全技术挑战的胜利。潜艇通常采用随机的密钥,即用后立即销毁的一次性密码来加密信息。由于每个密钥仅使用一次,这使窃听者几乎无法破译密码。

2011-11-02 12:12:01

量子安全通信安全
SSH密钥管理
SSH的密钥管理主要包括两个方面:生成公钥私钥对以及公钥的分发。

2012-10-23 09:54:17

浅析SQL Server 2008中代码安全四:主密钥
本文主要介绍服务主密钥的备份与还原,数据库的主密钥的创建、重新生成、删除和备份、还原。

2011-03-10 15:03:40

SQL Server主密钥
生物识别与量子密钥:银行安全未来
银行业务依赖于保证存款安全,而黑客总能找到更高级的方法来染指客户存款。但世界顶尖的研究机构展现了银行技术的未来,包括量子密钥分发和生物识别技术。

2017-02-20 15:58:07

浅析Docker容器安全方法
,本文将对Docker容器生命周期的安全问题及相应的改善方法进行若干探讨,挂一漏万,抛砖引玉,希望各位读者予以批评指正!

2019-12-20 07:28:45

Docker容器安全云计算
云计算安全需要控制加密密钥
谁有权访问组织的加密密钥?这取决于组织的数据在云中是否安全。除非组织自己拥有对加密密钥的独占控制权,否则可能面临风险。不幸的是,情况并非如此,这也是很多组织收到电子邮件,得知数据其已被泄露的原因之一。

2019-05-06 10:21:09

加密密钥云安全云计算
GitHub 现在支持 FIDO2 安全密钥
GitHub新提供了在进行SSHGit操作时使用FIDO2安全密钥的支持,以增加对账户的保护。

2021-05-11 09:00:29

GitHub安全密钥防盗
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服