密钥管理系统(KMS)的数据加、解密应用

当网络中没有密钥管理系统（以下简称KMS）时，各业务系统需要承担起保护密钥安全的责任，这种方式存在两个问题：一方面，保护密钥的机密性、完整性和可用性将耗费业务的大量精力；另一方面，如果业务系统被黑客攻克，密钥就会随之泄露，黑客就能直接还原业务数据了。

而依赖KMS密钥管理服务的数据加、解密过程，由业务系统和KMS共同完成。也就是说，黑客即便攻克了业务系统，也不能还原其中的数据。

那么依赖KMS的数据加、解密的过程到底是怎样的呢？

首先我们一起了解3个相关的概念：

1. DEK(Data Encryption Key，数据加密密钥)：它是由KMS随机生成，专门负责对数据进行加密的密钥；
2. KEK(Key Encryption Key，密钥加密密钥)：它被加密存储在KMS系统中，一般情况下，公司里每一个部门都会对应一个KEK，专门负责对DEK进行加密的密钥；
3. 根密钥(Root Key)：专门负责将KEK加密存储在KMS上的密钥。

了解相关概念后，我们一起看看KMS的数据加、解密过程：

1. KMS的数据加密过程

• 第一步，KMS系统随机生成DEK;
• 第二步，使用DEK对数据进行加密；
• 第三步，使用KEK对DEK进行加密；
• 第四步，将加密后的数据和加密后的DEK一并存入数据库。

2. KMS解密过程

• 第一步，从数据库提取出加密后的数据和加密后的DEK；
• 第二步，使用KEK对加密后的DEK进行解密；
• 第三步，使用解密后的DEK对加密后的密文数据进行解密，得到原始数据。

云产品应用KMS

目前，阿里云和AWS的云产品中均广泛集成了KMS，我们可以轻松使用KMS来加密保护我们敏感的云上数据资产。具体应用请参考阿里云和AWS的KMS产品说明，网址如下：

阿里云

https://www.alibabacloud.com/zh/product/kms
https://help.aliyun.com/document_detail/28935.html

AWS

https://amazonaws-china.com/cn/kms/
https://amazonaws-china.com/cn/kms/faqs/