云数据安全方面，有哪些加密方式和密钥管理服务？

2020-10-27新闻15

云计算、大数据等信息技术正在深刻改变着人们的思维、生产、生活和学习方式，并延深进入人们的日常生活。但数据信息在很多环节暴露出的大数据安全问题日益突出，成为了制约大数据应用发展的瓶颈。

今儿聊聊云数据安全方面，会涉及到哪些加密方式和密钥管理服务。毕竟云计算技术的发展导致大数据在收集、存储、共享、使用等过程面临的安全威胁愈演愈烈，大数据泄露的企业个人隐私信息给用户带来了巨大的损失。

△ 云数据安全越来越重要

1、企业的数据加密需求

加密不是一项新技术，但在过去，加密的数据存储在服务器上，而服务器摆放在公司内部，公司直接控制着它们。但如今，许多流行的业务应用程序和数据则托管在云端。

△ 很多企业把数据托管在云端

如今，许多流行的业务应用程序托管在云端。而企业主管们有两种选择方式：

1、依赖合同条文来保护资产。企业自己先加密数据，再选择一家云服务提供商，然后将数据和业务资产等发送到云端以便存储或处理；

2、企业与软件即服务(SaaS)提供商合作，由SaaS服务商管理其企业数据的加密和解密工作。

2、客户端加密方式

其实在客户端主要做的是数据的可见性，而主要的安全问题还是放在服务端。

△ 非对称加密示意图

整个加解密过程：一般的都会做传输数据加密，有的公司app不存在敏感信息，就只用post get方式。之前的加密是用的DES和RSA加密方式。

1）加密数据。先生成一个DESKey然后用RSA公钥加密DESKey，然后用DESKey加密数据；

2）数据传输。最后将加密后的数据和加密后的DESKey一同传输到后台;

3）数据解密。后台先用RSA私钥解密DESKey，然后用解密后的DESKey解密数据。

这是整个加解密过程，但是因为后台解密速度达不到要求(后台解密压力太大，因为RSA解密太耗时，客户端可能没什么感觉)，所以进行了改进：先和服务端交换DESKey(先将加密后的DESKey传输到后台)，返回交换成功后，再将用DESKey加密的数据传输到后台。这样做服务端可以用传输间隙进行解密，适当的缓解服务端压力。

△ 对称加密示意图

PS：AES和DES加密都是对称加密，RSA是非对称加密，区别和使用可以查查相关资料~

3. 云服务端加密方式

△ 云服务端加密

一共有2种加密方式，内容感知加密和保格式加密。

1）内容感知加密：在数据防泄露中使用，内容感知软件理解数据或格式，并基于策略设置加密，如在使用email将一个信用卡卡号发送给执法部门时会自动加密;

2）保格式加密：加密一个消息后产生的结果仍像一个输入的消息，如一个16位信用卡卡号加密后仍是一个16位的数字，一个电话号码加密后仍像一个电话号码，一个英文单词加密后仍像一个英语单词;

云服务端加密服务是云上的加密解决方案。服务底层使用经国家密码管理局检测认证的硬件密码机，通过虚拟化技术，帮助用户满足数据安全方面的监管合规要求，保护云上业务数据的隐私性要求。借助加密服务，用户能够对密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。

4. 云服务器密码机

△ 云服务器密码机

云服务器密码机是硬件密码机，采用虚拟化技术，在一台密码机中按需生成多台虚拟密码机(以下简称VSM)，每台VSM对外提供与普通服务器密码机一致的密钥管理和密码运算服务(支持SM1/SM2/SM3/SM4算法)。同时，云服务器密码机采用安全隔离技术，保障各VSM之间密钥的安全隔离。

5. 密钥管理服务

△ 密钥管理系统示意图

现有的云服务提供商可以提供基础加密密钥方案来保护基于云的应用开发和服务，或者他们将这些保护措施都交由他们的用户决定。当云服务提供商向支持健壮密钥管理的方案发展时，需要做更多工作来克服应用中的障碍。

6. 数据加密(存储&传输) 、应用层加密

△ 数据加密技术—应用层加密

加密技术就是用来保护数据在存储和传输(链路加密技术)过程中的安全性。对做存储的技术人员来说，平常遇到的主要是存储后端支持加密的方案和技术，如加密盘或存储加密。但加密技术从数据加密位置划分，一般分为应用层加密(如备份软件，数据库)、网关层加密(如加密服务器，加密交换机等)、存储系统加密和加密硬盘技术，一共4种。

兼容性最好的当属应用层加密技术(很多办公软件都是这种加密实现方式)，因为这种加密方案在存储、网络层是无感知的。个人认为应用层加密技术意义和实用价值更大些，可以保证数据端到端的安全性，而不是只在存储侧或磁盘上数据是安全加密的。

7、总结

通过以上内容的介绍，相信大家已经对云数据安全有了更深入的理解。