密钥和机密管理

 

自带密钥是什么?

尽管云计算具有许多优势,但主要缺点是安全性,这是因为数据实际上保存在云服务提供商 (CSP) 那里,不受数据所有者的直接控制。 对于选择使用加密来保护数据的企业而言,保护加密密钥的安全至关重要。自带密钥 (BYOK) 允许企业加密数据并保留对加密密钥的控制和管理权。 但是,有些 BYOK 计划将加密密钥上传到 CSP 基础架构。 在这些情况下,企业再次丧失了对其密钥的控制权。解决这个“自带密钥”问题的最佳实践解决方案是企业在防篡改硬件安全模块 (HSM) 中生成强密钥,并对密钥安全导出到云进行控制,从而加强密钥管理实践。

 

什么是凭证管理系统?

要控制对敏感数据的访问,组织需要用户凭据。 部署健全的凭证管理系统(或多个凭证管理系统)对于确保所有系统和信息的安全至关重要。 当客户和员工不断增减或只是更换角色时,以及业务流程和政策不断发生变化时,主管部门必须能够创建和吊销凭据。 此外,隐私法规和其他安全要求的增加,使组织更加需要证明有能力验证在线消费者和内部特权用户的身份。

 

应对与凭据管理相关的挑战

  • 能够控制您的凭证管理系统的攻击者可以签发使其成为内部人员的凭据,并可能具有在不被检测到的情况下破坏系统的权限。
  • 凭证管理流程受到破坏会导致需要重新签发凭证,这可能是一个昂贵且耗时的过程。
  • 凭证验证率可能会有很大差异,并且很容易超出凭证管理系统的性能特征,从而危及业务连续性。
  • 业务应用程序所有者对安全性和信任模型的期望越来越高,可能会暴露出凭据管理是薄弱环节,可能危及合规性声明。

 

硬件安全模块 (HSM)

尽管可以在纯粹基于软件的系统中部署凭据管理平台,但这种方法本质上不太安全。 在认证 HSM 的加密边界之外处理的令牌签名和加密密钥明显更容易受到攻击,这些攻击可能会危及令牌签名和分发过程。 HSM 是唯一可靠且可审计的方式,可确保宝贵加密材料的安全并提供 FIPS 批准的硬件保护。

 

HSM 使您的企业能够:

  • 在精心设计的加密边界内确保令牌签名密钥的安全,采用强大的访问控制机制,强制执行职责分离,以确保密钥仅由授权实体使用
  • 采用复杂的密钥管理、存储和冗余功能,以确保可用性
  • 提供高性能,以满足企业对从不同设备和地点访问资源的日益苛刻的要求

 

什么是非对称密钥或非对称密钥加密?

非对称加密使用一对儿关联密钥来保护数据。 其中一个密钥,即私钥,由其所有者保密,用于签名和/或解密。 另一个密钥,即公钥,是公开的,任何人都可以用它来验证由私钥签名的消息,或者将文档加密给私钥所有者。

什么是对称密钥?

在加密中,对称密钥是用于进行加密、解密和消息身份验证的密钥。 这种做法也称为“秘密密钥加密”,意味着要解密信息,必须使用与加密信息相同的密钥。 实际上,这些密钥代表各方之间的共享机密,可用于维护私人信息链接。 密钥可以由两方或多方使用, 也可以仅由一方使用(例如,用于加密备份)。
对称加密的一个优势是,它明显比非对称加密更快。 对称加密用例的一个众所周知的例子是令牌化。

 

什么是密钥传输?

在密钥传输过程中(一方选择秘密密钥材料),加密的秘密密钥材料将从发送者传输到接收者。 密钥传输方案采用公钥技术或者公钥和对称密钥技术的组合(混合)。 发送秘密密钥材料的一方称为发送者,另一方称为接收者。

 

什么是密钥协议?

在密钥协议期间,派生的秘密密钥材料是双方贡献的结果。 密钥协议方案可以采用对称密钥和非对称密钥(公钥)技术。 启动密钥协议方案的一方称为发起者,另一方称为响应者。

什么是密钥创建?

可以通过使用密钥创建方案(即,使用密钥协议方案或密钥传输方案),在各方之间以电子方式创建秘密密钥材料。

 
即刻联系我们