数据加密服务 DEW-概述:原理介绍

时间:2024-11-18 15:32:01

原理介绍

华为云服务基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,华为云服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。

图1 华为云服务使用KMS加密原理
加密流程说明如下:
  1. 用户需要在KMS中创建一个用户主密钥。
  2. 华为云服务调用KMS的“create-datakey”接口创建 数据加密 密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。

    密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。

  3. 华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。
  4. 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。

用户通过华为云服务下载数据时,华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。

support.huaweicloud.com/bestpractice-dew/dew_06_0003.html