百度云提供的服務(wù)端加密技術(shù)實(shí)現(xiàn)了Object獨(dú)立、多層密鑰體系,且保證數(shù)據(jù)與密鑰管理分離,為云端數(shù)據(jù)提供了更安全可靠的保障。
一般來說,為了能讓用戶更加放心地使用云存儲服務(wù),云計(jì)算廠商提出的將數(shù)據(jù)加密后存儲落盤的策略,成為了一個(gè)合理并被廣泛使用的方案。
加密可以簡單分類為客戶端加密和服務(wù)端加密,傳統(tǒng)的客戶端加密方式需要用戶在客戶端執(zhí)行加密操作并管理加密所需的密鑰,這整個(gè)加密操作過程需要耗費(fèi)用戶寶貴的計(jì)算資源。并且,加密密鑰的存儲對存儲系統(tǒng)的安全性和可靠性都有較高的要求。想管理好這些密鑰,無疑會(huì)增加用戶業(yè)務(wù)邏輯的復(fù)雜性。
基于以上背景,BOS(百度對象存儲服務(wù))團(tuán)隊(duì)經(jīng)過長期的調(diào)研和研究,開發(fā)實(shí)現(xiàn)了安全、易用的服務(wù)端加密技術(shù),為每個(gè)Object建立獨(dú)立密鑰,設(shè)置多層密鑰體系,采用數(shù)據(jù)加密與密鑰加密隔離的安全機(jī)制,充分保障云上數(shù)據(jù)的安全性。
同時(shí),百度云的加密操作在服務(wù)端進(jìn)行,對用戶開放透明,并且托管全部密鑰,無需用戶管理大量密鑰,降低用戶業(yè)務(wù)邏輯的復(fù)雜性。
以下是具體的技術(shù)分析。
三個(gè)技術(shù)機(jī)制確保數(shù)據(jù)安全
特有的Object獨(dú)立密鑰
BOS服務(wù)端加密使用對稱加密算法AES256加密數(shù)據(jù),對稱加密算法使用同樣的密鑰加密和解密數(shù)據(jù)。為了提高數(shù)據(jù)安全性,我們對每個(gè)Object使用不同的密鑰加解密,獨(dú)立的密鑰可以極大地提高用戶數(shù)據(jù)的安全性,舉例說明,我們可以把每個(gè)Object文件看成一個(gè)箱子,文件的內(nèi)容就是箱子里的物品,為了防止箱子里的物品被盜,我們可以對箱子上鎖,類似執(zhí)行加密操作,用鑰匙開鎖相當(dāng)于對文件進(jìn)行解密操作。多個(gè)Object文件使用相同的密鑰相當(dāng)于多個(gè)箱子的鎖可以被同樣的鑰匙打開,而每個(gè)Object有獨(dú)立的密鑰相當(dāng)于每個(gè)鑰匙只能打開一個(gè)箱子的鎖。同理,每個(gè)Object獨(dú)立密鑰的機(jī)制具有更高的安全性。
高安全級別的多層密鑰體系
在BOS服務(wù)端加密機(jī)制中,密鑰是執(zhí)行加解密的關(guān)鍵,因此密鑰的安全性也是整個(gè)加密過程中的重要因素。為了保障密鑰的安全性,百度云開發(fā)了專門用于管理密鑰的服務(wù),即KMS(Key Manager Service),KMS使用了多層密鑰的加密機(jī)制,每個(gè)Object的密鑰data key都由一個(gè)master key加密后,以密文的形式存儲,而master key 又由root master key加密后也以密文的形式存儲,root master key使用硬件加密機(jī)器加密。從data key,master key,到root master key形成一個(gè)多層的加密體系,且都已密文的形式存儲物理介質(zhì)上,充分保障了密鑰的安全性。
數(shù)據(jù)與密鑰隔離,杜絕安全隱患
數(shù)據(jù)密文安全性和密鑰的安全性共同決定了數(shù)據(jù)的安全性。為了進(jìn)一步提高數(shù)據(jù)的安全性,我們將數(shù)據(jù)的加密和密鑰的加密分別放到兩個(gè)不同的系統(tǒng)去完成,數(shù)據(jù)的加密由BOS來完成,而密鑰的加密由KMS來完成。由于KMS和BOS是兩套獨(dú)立的系統(tǒng),且使用不同的認(rèn)證和鑒權(quán)方式,這種數(shù)據(jù)和密鑰的隔離機(jī)制又可以進(jìn)一步提高數(shù)據(jù)的安全性。
已經(jīng)應(yīng)用在BOS服務(wù)中
BOS服務(wù)端加密技術(shù)已經(jīng)應(yīng)用到了BOS服務(wù)中,按需保障每一份上傳百度云的數(shù)據(jù)的安全。可以說,被百度云服務(wù)端加密過的數(shù)據(jù),沒有人能夠在不執(zhí)行正常解密操作下拿到數(shù)據(jù)。
與此同時(shí),我們還設(shè)計(jì)了簡單易用的接口,最大程度方便用戶使用服務(wù)端加密功能。服務(wù)端加密對用戶來說是透明的,分配密鑰、數(shù)據(jù)加密、密鑰加密等操作都是在BOS服務(wù)端進(jìn)行處理,用戶只需在API中指定加密的header即可,使用非常便捷。除了API,服務(wù)端加密還支持控制臺,sdk等操作方式。
為進(jìn)一步方便用戶使用該功能,我們還在百度云前端管理控制臺實(shí)現(xiàn)了Bucket加密開關(guān)功能,即當(dāng)用戶打開此開關(guān)后,該Bucket的新增數(shù)據(jù)都會(huì)自動(dòng)執(zhí)行加密,進(jìn)一步提高了易用性。
隨著云計(jì)算技術(shù)的廣泛應(yīng)用以及對數(shù)據(jù)安全的重視,百度云持續(xù)在云存儲方面實(shí)現(xiàn)突破,目前已在國內(nèi)外游戲、安防、電商、金融等行業(yè)有大量成功案例應(yīng)用,未來也會(huì)在技術(shù)和產(chǎn)品方面不斷探索,為企業(yè)帶來更多價(jià)值。
用作品證明實(shí)力,網(wǎng)站建設(shè)行業(yè)排名前列
