写点什么

当 DR 灾备遇到 KMS(二)

  • 2019-12-20

  • 本文字数:1420 字

    阅读完需:约 5 分钟

当 DR 灾备遇到 KMS(二)

3. 场景三,客户端加密场景扩展,需要固定 DEK 支持密文对比

某些场景下,加密数据不会解密使用,而是用密文做对比,比如用户的密码,数据库存放的就是密文。用户在客户端输入的密码,在加密之后传输,通过密文与密文的对比来判断密码是否一致。这样的情况下,都不会涉及解密过程,但是要求不管任何时间对同样的明文,加密的密文保持不变。这样就要求 DEK 必须固定不变。在场景二介绍的 Encryption SDK 中,为了提高安全等级,DEK 是调用的时候临时生成的,每次调用,生成的 DEK 是不一样的。因此场景二的解决方案不能直接用于场景三。调整如下


为了保证 DEK 不变,需要将 DEK 从封装的方法中剥离出来,Client 端自己管理 DEK。具体如下

DEK 的生成和管理

首先,调用 Encryption SDK 中的 generateDataKey 方法,生成一个 DEK ****


Java


// generate data key, with CMK, with AES_128        GenerateDataKeyRequest dataKeyRequest = new GenerateDataKeyRequest();        //dataKeyRequest.setKeyId(KEYID);        dataKeyRequest.setKeyId(this.CMKKeyID);        dataKeyRequest.setKeySpec("AES_128");        GenerateDataKeyResult dataKeyResult = kms.generateDataKey(dataKeyRequest);```    ****
其次,对该DEK进行加密保护,在加密的时候,为了保证该DEK能够在DR场景下使用,也需要使用场景二中介绍的包含多个区域的CMK的Provider,对DEK进行加密保护,这样,我们就可以在不同的区域都可以将加密的DEK进行解密了。      ****
Java

复制代码


// plain text data key


ByteBuffer plainTextKey = dataKeyResult.getPlaintext();


// 使用 multiple provider 加密管理 datakey,以便跨区域使用


CryptoResult<byte[], ?> result = new AwsCrypto().encryptData(this.provider, plainTextKey.array());



经过加密的DEK,就可以保存在数据库中备用了。当然,还可以放一份在S3上作为冷备保存,借助S3高达11个9的持久性,更为放心。因为DEK已经加密了,所以也不担心安全的风险。
#### 数据加解密环节
从数据库中取出加密的DEK,调用场景二中的解密方法**decryptData()**,得到明文的DEK,这时候就可以使用该DEK对数据进行加解密了。由于encryption SDK 中包含的方法都有自己的DEK,因此建议使用成熟的库支持AES加密的SDK,对数据做加密和解密。比如java中的Cipher库 **javax.crypto.Cipher;**
### 4. 总结
无论是使用客户端加密还是服务器端加密的方式,AWS都提供了对应的DR(多区域)的方案。但是从具体的操作方式来看,服务器端的加密,更加简单方便,无需修改代码;而客户端的方式,是需要在代码层面进行调整的。因此我们建议优先使用服务器端加密的方式,在服务器端加密不能满足的场景下,再考虑客户端加密的方式。
**作者介绍:**
<footer>    ![](https://s3.cn-north-1.amazonaws.com.cn/awschinablog/Author/shengbo.jpg)
    ### [](https://amazonaws-china.com/cn/blogs/china/tag/%E9%99%88%E6%98%87%E6%B3%A2/)
    亚马逊AWS解决方案架构师,负责基于AWS的云计算方案架构的咨询和设计,同时致力于AWS云服务在国内的应用和推广。现致力于网络安全和大数据分析相关领域的研究。在加入AWS之前,在爱立信东北亚区担任产品经理,负责产品规划和方案架构设计和实施,在用户体验管理以及大数据变现等服务方面有丰富经验。</footer>
**本文转载自AWS技术博客。**
**原文链接:https://amazonaws-china.com/cn/blogs/china/when-the-dr-disaster-prepared-encounter-kms/**
复制代码


划线
评论
复制
2019-12-20 15:26633
语言 & 开发文化 & 方法亚马逊云科技编程语言行业深度企业动态后端

评论

发布
暂无评论

更多内容推荐

发现更多内容

推荐阅读

电子书

大厂实战PPT下载

换一换
    SaaS + AIGC 产品化与商业化实践
    SaaS + AIGC 产品化与商业化实践

    裘皓萍 | 微盟 高级技术总监

    立即下载
    开场致辞

    霍太稳 | 极客邦科技 创始人 & CEO

    立即下载
    阿里云超大规模弹性计算节点自动化运维稳定性实践

    唐磊 | 阿里巴巴 技术专家

    立即下载

SpringBoot核心应用第二弹

Java学术趴

7月月更

2022读过的书 -- 《Essential C++(中文版)》

SkyFire

c++ 读书 入门

Python 绘制精美可视化数据分析图表 (二)-pyecharts

迷彩

可视化 7月月更

深入JS函数中默认参数的使用

猪痞恶霸

前端 js 7月月更

Javac编译自定义注解及分析Lombok的注解实现

宁在春

注解 Java’ 7月月更

继承(二)

Jason199

js 继承 7月月更

图解网络:访问控制列表ACL,功能堪比防火墙!

wljslmz

防火墙 acl 网络技术 7月月更 访问控制列表

Wireshark抓包分析Eureka注册发现协议

程序员欣宸

Java SpringCloud Eureka 7月月更

新星计划Day4【数据结构与算法】 稀疏数组与队列

京与旧铺

7月月更

linux之抓包神器tcpdump

入门小站

Linux

ArrayBlockingQueue源码分析-删除数据

zarmnosaj

7月月更

在线SQL转TSV工具

入门小站

工具

你想知道的数组易错知识都在这了-C

芒果酱

7月月更

动态注册广播流程源码解析

北洋

Andriod 7月月更

OpenHarmony藏头诗应用

坚果

Open HarmonyOS OpenHarmony Open Harmony 7月月更

dotnetcore环境下优雅的执行计划任务

为自己带盐

7月月更

如何现实小老虎拼图游戏

自由

小游戏 7月月更

5G NR RRC连接控制

柒号华仔

5G 7月月更

C 语言入门(三)

逝缘~

7月月更

Go 语言入门很简单:上下文

宇宙之一粟

Go 语言 7月月更

《深入 Linux 设备驱动程序那和机制》读书笔记

贾献华

7月月更

Linux 0.12 源码阅读

贾献华

7月月更

Java中的泛型与通配符

未见花闻

7月月更

在线文本批量查找多个字符串出现的次数工具

入门小站

工具

【刷题记录】7. 整数反转

WangNing

7月月更

Flutter、ReactJS+小程序容器技术,降本增效急速提升100%

Speedoooo

flutter react.js 跨端开发 降本增效 小程序容器

【愚公系列】2022年7月 Go教学课程 009-数据类型之浮点型

愚公搬代码

7月月更

QT和MFC的优缺点比较

乌龟哥哥

7月月更

与众不同的破铜烂铁的算法爱好者和牛客的回忆

KEY.L

7月月更

解读《深入理解计算机系统(CSAPP)》第7章链接

小明Java问道之路

连接 csapp ELF 链接 7月月更

使用AssemblyScript 构建 WebAssembly 应用

devpoint

webassembly Wasm 7月月更 assemblyscript

Copyright © 2025, Geekbang Technology Ltd. All rights reserved. 极客邦控股(北京)有限公司 | 京 ICP 备 16027448 号 - 5京公网安备京公网安备 11010502039052号 | 产品资质
当 DR 灾备遇到 KMS(二)_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章