文档

什么是加密服务

更新时间:

加密服务是云上的硬件加密解决方案,通过使用加密服务,您能运用多种加密算法对云上业务数据进行可靠的加解密运算,实现数据保护,同时满足数据安全方面的监管合规要求。

概述

加密服务的服务底层使用经国家密码管理局检测认证、或通过FIPS 140-2 3级认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性要求。借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。

加密服务可以帮助您执行如下密码计算:

  • 生成、存储、导入、导出和管理加密密钥,包括对称密钥和非对称密钥对。

  • 使用对称和非对称算法加密和解密数据。

  • 使用哈希函数计算消息摘要和基于哈希的消息身份验证代码 (HMAC)。

  • 对数据进行数字签名和验证签名。

  • 生成安全随机数据。

应用场景

  • 本地机房中的密码机应用迁移到云上服务器

    当您的本地机房密码机应用迁移到云上服务器时,您可以直接使用加密服务替代本地机房密码机,实现数据的加解密、签名验签等功能,保护您的云上数据安全。

  • 金融支付相关领域

    例如,在证券、银行支付结算等场景,您可以使用金融数据密码机EVSM实现PIN加密、PIN转加密等来保护金融数据安全;在网联平台支付清算等场景,您可以使用签名验证服务器SVSM实现签名验签、证书解析、证书链验证功能,确保业务的真实性、完整性和不可否认性。

  • 为加密应用提供合规的加解密功能

    例如,您可以借助加密服务为阿里云专属KMS实现应用系统敏感数据的加解密,为数据库加密应用实现数据库数据的加解密,为文件加密应用实现文件存储的加解密等。

  • 支持HTTPS网站的SSL卸载

    加密服务提供SSL卸载,减少服务器的性能压力,提升客户端的访问响应速度。同时加密服务使用密码机生成证书私钥,加强了私钥保护防止从服务器泄漏私钥,从而提升其安全性。

  • 保护证书私钥

    对于由证书颁构机构颁发的数字证书,您可以将证书私钥存储在密码机中,并使用密码机执行签名操作,保护您的证书私钥安全。

  • Oracle TDE集成

    加密服务与Oracle数据库集成,向用户提供透明数据加密 (Transparent Data Encryption,TDE) 功能。TDE将加密密钥存储在数据库外部的加密机中,并使用密钥在数据文件中加密敏感数据,保证敏感数据的安全性。

  • 敏感数据加密

    在公共服务、电子商务、金融等行业中,可以将加密服务与应用程序集成,来加密处理或者存储用户敏感数据,以满足安全性和合规性要求。

产品优势

  • 满足监管合规要求

    • 金融数据密码机EVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0045-2016金融数据密码机技术规范》要求。

    • 通用数据密码机GVSM满足《GMT0028-2014密码模块安全技术要求》、《GM/T0030-2014服务器密码机技术规范》要求。

    • 签名验证服务器SVSM满足《GMT 0028-2014 密码模块安全技术要求》、《GM/T 0029-2014签名验签服务器技术规范》要求。

    • 通用密码机满足FIPS 140-2 3级认证。

  • 丰富的行业标准接口和加密算法

    加密服务支持丰富的行业标准接口和加密算法。例如EVSM在支持原有金融业务安全需求的基础上,扩展了SM1、SM2、SM3、SM4国产密码算法在金融领域中的应用支持,并且符合PBOC2.0、PBOC3.0、GP等应用规范,以及建设部、交通等行业规范。

    关于加密服务支持的接口规范和加密算法的更多信息,请参见功能特性

  • 安全的密钥管理

    设备管理和密钥管理权限分离。阿里云只能管理密码机硬件设备,主要包括监控设备可用性指标、开通服务等。密钥完全由客户管理,阿里云没有任何方法可以获取客户密钥。

  • 弹性扩展

    在使用加密服务时,您可以根据实际情况,灵活地调整部署购买的密码机的数量,通过负载均衡来满足不同的加解密运算要求。

  • 集群高可用性

    加密服务支持集群管理的功能。您可以将购买的多个密码机添加到一个集群中,快速增加密码机的高可用性,降低业务中断及核心数据丢失风险。

  • 便捷的云上使用

    借助加密服务,您可以将购买的密码机部署在您指定的VPC专有网络中,通过指定的私网IP地址进行安全管理和调用,便捷地与云服务器上的业务配合使用。

支持的地域和可用区

地域

地域ID

可用区

华东1(杭州)

cn-hangzhou

可用区A、可用区G

华东2(上海)

cn-shanghai

可用区A、可用区B

华东2(北京)

cn-beijing

可用区A、可用区K

华南1(深圳)

cn-shenzhen

可用区A、可用区E

西南1(成都)

cn-chengdu

可用区A、可用区B

中国香港

cn-hongkong

可用区B、可用区C

新加坡

ap-southeast-1

可用区A、可用区B

马来西亚(吉隆坡)

ap-southeast-3

可用区A、可用区B

常见术语

  • 密码机实例

    密码机实例是密码机的硬件加密模块虚拟化形成的资源。密码机实例与硬件加密模块具有同样的合规性,可以实现加密服务的所有功能,具备对数据的加解密运算能力。

  • 身份认证卡

    身份认证卡(USB Key)是加密服务的唯一身份识别信息,可以配合密码机的客户端管理工具管理密钥。

  • 本页导读 (1)
文档反馈