产品优势

优势 腾讯云 密钥管理服务 KMS 传统密钥管理解决方案
低成本
无预支费用,按需付费,内测期间免费
  • 您无需预支任何费用,只需为使用部分付费,且内测期间可免费使用;
  • 您无需考虑部署和维护成本,腾讯云为您保证可用性和安全性。
  • 需要购买昂贵的密码服务器硬件;
  • 启用后还有高额后续维护成本。
高可靠
集群管理,安全可靠
  • 腾讯云为您提供高可用的密码服务器和专业开发及运维人员,保证服务高可用;
  • 服务涉及的各个流程均采用高安全性协议通信,保证服务高安全;
  • 提供分布式集群管理和热备份,保证服务高可靠。
  • 通常通过离线备份的方式来实现可靠性,过程纯手工操作繁琐易错,且出错时,服务恢复时长也不可控;
  • 密码服务器本身可以保障使用安全,但是涉及自研密码模块可能会有使用漏洞;
  • 依赖熟悉密码服务器的运维人员,人员请假或离职将带来安全风险。
简单易用
化繁为简,统一易用
  • 将繁杂的密码机接口统一成腾讯云简单易用的 HTTPS 接口,方便调用;
  • 为多个主流开发平台提供 SDK,满足多平台使用需求;
  • 只要拥有安全访问权限,即可随时随地使用。
  • 密码服务器业界无统一标准,需要培养专业人员;
  • 调试和部署密码服务器需要耗费大量精力,且处理晦涩的密码服务器接口困难。
 

产品功能

密钥类型

腾讯云密钥管理服务(KMS )涉及两类密钥,即用户主密钥(CMK)与数据密钥(Datakey)。

  • 用户主密钥 用于加密数据密钥或密码、证书、配置文件等小包数据(最多4KB)。支持 控制台或调用 API 两种方式创建。
  • 数据密钥 用于加密业务数据,您可以调用腾讯云 API创建。

您可以使用 KMS 创建用户主密钥,并通过该密钥再次加密业务使用到的数据密钥或其他密码、证书或配置文件等敏感数据,保障数据的安全性。

敏感信息加密

敏感信息加密是密钥管理服务(KMS)最核心的能力,实际应用中主要用来保护服务器硬盘上敏感数据的安全,如密钥、证书、配置文件等。

腾讯云 KMS 提供在线加解密工具,您可以通过 控制台使用,也可以 调用 API进行信息加解密。

您可以使用用户主密钥加密敏感数据信息,而非直接将明文放置到云服务器上;使用时,再将密钥解密到内存,保证明文不落盘。这样,即使云服务器因为个人疏忽而遭受不明人员访问,这些数据信息也不会泄漏;对于攻击者来说,获取密文信息后还需要再寻找解密主密钥 ID、获取访问权限,并编写解密程序,这将大大提高获取明文信息的难度和被发现的可能性。

信封加密

信封加密是一种应对海量数据的安全解决方案,密钥管理服务(KMS)能够保证方案中数据密钥的安全,从而提高整体业务数据的安全性。

在信封加密方案中,海量的 业务数据 在存储或通信过程中使用 数据密钥(DataKey)以对称加密的方式加密,而 数据密钥 又通过 用户主密钥(CMK)采用非对称加密方式加密保护。解密时,以通信场景为例,发送方将数据密文和数据密钥密文一起传输,接收方先通过用户主密钥解密出数据密钥明文,然后通过数据密钥解密出数据明文。由此实现高效且安全易用的海量数据通信解决方案。

密钥管理

除创建密钥及加解密之外,密钥管理服务(KMS)为您提供了更多管理功能,包括禁用与开启密钥、查看密钥详情、修改相关信息等。

 

应用场景

网页 / 应用开发

网页或应用开发商,在提供 HTTPS 等服务时需要使用到证书、密钥,这些信息若以明文保存本地,攻击者可以轻易获取。

您可以通过 KMS 的 API 或在线工具对密钥加解密,加密后本地保存密钥的密文文件,使用时解密且不保存本地,使得攻击者难以获取,从而保证网页和应用的安全性。

核心数据保护

通过核心知识产权建立业界竞争优势的开发商,需要对核心知识产权做严格保护,一旦泄露,对公司的打击难以估算。部分开发商有将敏感数据加密后保存,但是无法保证数据密钥的安全。

您可将所有核心数据通过数据密钥加密,保存在对应的存储容器内,数据密钥再经过 KMS 加密,为核心数据提供双重保护。同时,缺乏有效权限的人员,即使拿到密文的数据密钥和数据,也无法得到其中内容,保障核心数据不会泄漏。

政府 / 金融通信安全

政府或金融等机构,其日常工作通信中难以避免会涉及高敏感性的信息,通常需要对不同终端和不同服务器之间的协议进行加密处理,但是用于加密协议包的密钥本身安全保证是个问题。

密钥管理服务提供密钥加密保护和权限管理,通过使用该服务,您可以为加密协议的密钥添加一层防护,保证密钥的安全性,进而保证通信信息不被窃取。