【安当产品应用案例100集】010-基于国密UKEY的信封加密应用案例

2024-08-23 07:36

本文主要是介绍【安当产品应用案例100集】010-基于国密UKEY的信封加密应用案例,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

安当有个客户开发了一套C/S架构的软件,Server在云端,Client由不同的用户使用。最初软件设计开发的时候,没有考虑数据安全形势日渐严峻的问题,Server端和Client端直接就建立一个socket连接来进行通信,Server端发出去的数据还涉及到一些敏感字段和指令,随着越来越多的用户开始关注安全问题,这个安全架构显然已经不满足最基本的数据安全要求。

由于Client端数量较多,客户希望能有一种相对成本可控的安全加固方案。如下的案例介绍,我们会分享一下安当如何通过在Client端增加UKEY,通过信封加密的方法在应用层将数据加密,实现数据的安全传递的。

一、什么是信封加密

信封加密(Envelope Encryption)是一种高效的加密技术,特别适用于处理海量数据场景。顾名思义,信封加密是一种类似数字信封技术的加密手段,它通过将加密数据的数据密钥(Data Encryption Key, DEK)封入一个“信封”中进行存储、传递和使用,而不再直接使用用户的主密钥(Customer Master Key, CMK)来加密和解密数据。这种方式结合了对称加密(如AES)和非对称加密(如RSA)两种技术的优势。

通常各个厂家的KMS都提供了支持客户软件通过API调用来完成信封加密的过程。我们以安当的KSP密钥安全平台为例来看看信封加密的具体过程:

1. 生成密钥:

  • 首先,通过KSP的GenerateDataKey接口生成一个数据密钥(DEK),这个接口会同时返回一个明文DEK和一个用CMK加密后的密文DEK。
  • 接着,可以在本地生成RSA密钥对(如果需要的话,这一步不是必须的,因为DEK的密文已经由CMK加密)。

2. 加密数据:

  • 使用明文DEK对需要加密的数据进行对称加密,生成密文数据。
  • 将密文DEK(即DEK的密文)和密文数据一起存储或传输。这里的密文DEK和密文数据可以被形象地比喻为“信封”和“信件”。

再来看看具体解密过程:

1. 获取密钥:

  • 从存储设备中取得密文DEK和密文数据。
  • 如果使用了RSA加密DEK的密文,则需要使用RSA私钥解密密文DEK,得到明文DEK(这一步在实际场景中可以直接使用KSP的Decrypt接口解密密文DEK)。

2. 解密数据:

  • 使用明文DEK对密文数据进行对称解密,得到原始数据。

二、C/S架构软件中的信封加密实例

该案例中,客户从综合数据安全解决方案的角度,计划在后续的迭代中引入密钥管理系统来进行完整的数据安全加固。在项目前期,先通过给Client配发UKEY智能密码钥匙,配合UKEY预置的RSA密钥对来实现信封加密机制,实现应用层的数据加密。

整个方案流程如下:

以上流程中,基于场景描述需要,我们给不同的密钥的不同的命名,具体含义如下:

  • PUB-KEY:RSA加密公钥
  • PRI-KEY:RSA加密私钥
  • D-KEY:后台数据加密密钥
  • S-KEY:临时会话密钥

方案流程只是原理示例,具体设计到的安当UKEY的一些接口使用,案例中就不赘述了。经过这一层安全加固之后,显而易见的两个好处:

  1. 首先传输的数据安全了:原来socket接口上的数据流,被S-KEY加密过了,即使被监听,监听者即使拿到加密后的S-KEY,没有UKEY内置的私钥,是没办法解密的。
  2. 其次Server端对Client有硬件令牌管控了,客户端配发UKEY的方式,也相当于每个客户端有了一个身份令牌。

三、安当的其他安全加固建议

安当目前帮客户实施的只是应用层的数据加密,C/S架构软件实现客户端和服务端之间的数据安全传输,需要一个系统的加固方案。

1. 应用加密技术确保应用层和传输层数据安全

传输层加密

  • SSL/TLS协议:这是最常用的传输层加密协议之一,它可以在客户端和服务器之间建立一个加密的通道,确保数据在传输过程中的机密性和完整性。SSL/TLS协议通过握手过程协商加密密钥,并使用这些密钥对数据进行加密和解密。

应用层加密

  • 对称加密:如AES(高级加密标准),客户端和服务端可以使用相同的密钥对数据进行加密和解密。但密钥的安全传输是一个问题,通常需要使用非对称加密技术来安全地交换密钥。
  • 非对称加密:如RSA,客户端和服务器各自拥有一对公私钥。私钥保密,公钥公开。客户端可以使用服务器的公钥加密敏感数据或对称密钥,然后发送给服务器,服务器使用自己的私钥解密。

2. 安全协议的选择

  • HTTPS:基于HTTP协议和SSL/TLS协议,为Web应用提供安全的数据传输。HTTPS是C/S架构中Web服务常用的加密通信协议。
  • 自定义协议:在某些特定场景下,开发者可能会根据业务需求自定义安全协议,以确保数据传输的安全性和效率。

3. 数据完整性和校验

  • 数字签名:服务端可以使用私钥对消息进行签名,客户端使用服务端的公钥验证签名的真实性,以确保消息在传输过程中未被篡改。
  • 哈希校验:在数据传输前后使用哈希算法对数据进行校验,确保数据的完整性和一致性。

4. 访问控制和认证

  • 用户认证:通过用户名、密码、令牌等方式对客户端进行身份认证,确保只有合法的用户才能访问服务端资源。
  • 权限控制:根据用户的身份和角色,限制其对服务端资源的访问权限,防止未授权的数据访问。

5. 网络安全措施

  • 防火墙:在服务器和网络边界部署防火墙,过滤非法访问和攻击流量,保护服务端资源的安全。
  • 入侵检测系统:实时监控网络流量和服务器日志,检测潜在的入侵和攻击行为,并及时采取应对措施。

数据安全无止境,只有综合评估企业业务系统架构以及数据全生命周期的各个环节,才能在成本与安全之间达到一个合适的平衡。安当建议客户考虑数据全生命周期的安全方案,依托安当的KDPS解决方案,对生产环节数据、传输环节数据、存储环节数据都做好安全保护。

文章作者:太白 ©本文章解释权归安当西安研发中心所有

这篇关于【安当产品应用案例100集】010-基于国密UKEY的信封加密应用案例的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1098754

相关文章

Python中随机休眠技术原理与应用详解

《Python中随机休眠技术原理与应用详解》在编程中,让程序暂停执行特定时间是常见需求,当需要引入不确定性时,随机休眠就成为关键技巧,下面我们就来看看Python中随机休眠技术的具体实现与应用吧... 目录引言一、实现原理与基础方法1.1 核心函数解析1.2 基础实现模板1.3 整数版实现二、典型应用场景2

Python Dash框架在数据可视化仪表板中的应用与实践记录

《PythonDash框架在数据可视化仪表板中的应用与实践记录》Python的PlotlyDash库提供了一种简便且强大的方式来构建和展示互动式数据仪表板,本篇文章将深入探讨如何使用Dash设计一... 目录python Dash框架在数据可视化仪表板中的应用与实践1. 什么是Plotly Dash?1.1

Android Kotlin 高阶函数详解及其在协程中的应用小结

《AndroidKotlin高阶函数详解及其在协程中的应用小结》高阶函数是Kotlin中的一个重要特性,它能够将函数作为一等公民(First-ClassCitizen),使得代码更加简洁、灵活和可... 目录1. 引言2. 什么是高阶函数?3. 高阶函数的基础用法3.1 传递函数作为参数3.2 Lambda

Java中&和&&以及|和||的区别、应用场景和代码示例

《Java中&和&&以及|和||的区别、应用场景和代码示例》:本文主要介绍Java中的逻辑运算符&、&&、|和||的区别,包括它们在布尔和整数类型上的应用,文中通过代码介绍的非常详细,需要的朋友可... 目录前言1. & 和 &&代码示例2. | 和 ||代码示例3. 为什么要使用 & 和 | 而不是总是使

SpringBoot3使用Jasypt实现加密配置文件

《SpringBoot3使用Jasypt实现加密配置文件》这篇文章主要为大家详细介绍了SpringBoot3如何使用Jasypt实现加密配置文件功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编... 目录一. 使用步骤1. 添加依赖2.配置加密密码3. 加密敏感信息4. 将加密信息存储到配置文件中5

SpringBoot整合jasypt实现重要数据加密

《SpringBoot整合jasypt实现重要数据加密》Jasypt是一个专注于简化Java加密操作的开源工具,:本文主要介绍详细介绍了如何使用jasypt实现重要数据加密,感兴趣的小伙伴可... 目录jasypt简介 jasypt的优点SpringBoot使用jasypt创建mapper接口配置文件加密

Python循环缓冲区的应用详解

《Python循环缓冲区的应用详解》循环缓冲区是一个线性缓冲区,逻辑上被视为一个循环的结构,本文主要为大家介绍了Python中循环缓冲区的相关应用,有兴趣的小伙伴可以了解一下... 目录什么是循环缓冲区循环缓冲区的结构python中的循环缓冲区实现运行循环缓冲区循环缓冲区的优势应用案例Python中的实现库

SpringBoot整合MybatisPlus的基本应用指南

《SpringBoot整合MybatisPlus的基本应用指南》MyBatis-Plus,简称MP,是一个MyBatis的增强工具,在MyBatis的基础上只做增强不做改变,下面小编就来和大家介绍一下... 目录一、MyBATisPlus简介二、SpringBoot整合MybatisPlus1、创建数据库和

python中time模块的常用方法及应用详解

《python中time模块的常用方法及应用详解》在Python开发中,时间处理是绕不开的刚需场景,从性能计时到定时任务,从日志记录到数据同步,时间模块始终是开发者最得力的工具之一,本文将通过真实案例... 目录一、时间基石:time.time()典型场景:程序性能分析进阶技巧:结合上下文管理器实现自动计时

Java实现MD5加密的四种方式

《Java实现MD5加密的四种方式》MD5是一种广泛使用的哈希算法,其输出结果是一个128位的二进制数,通常以32位十六进制数的形式表示,MD5的底层实现涉及多个复杂的步骤和算法,本文给大家介绍了Ja... 目录MD5介绍Java 中实现 MD5 加密方式方法一:使用 MessageDigest方法二:使用