03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强（一）

开发者学习笔记【阿里云云安全助理工程师认证（ACA）课程：03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强（一）】

课程地址：https://edu.aliyun.com/course/3111981/lesson/18866

03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强（一）

内容介绍：

一、加密服务简介

二、密钥管理服务简介

三、SSL证书

四、PCA：私有证书

五、可信计算

六、隐私增强计算

七、阿里云数据安全整体解决方案

一、加密服务简介

加密服务是云密码机，全名是 cloud data encryption service，或者称为 cloud HSM，它是云上的加密解决方案，使用了国家密码管理局检测认证的硬件密码机来作为服务的底层，然后通过虚拟化的技术提供了弹性的、高性价比的虚拟化的密码机实例，给我们的客户上云提供原生的加密服务的能力，这样可以帮助我们的客户来满足数据安全方面的监管合规要求，来保护我们云上的数据隐私。
我们从这个架构图可以看到，加密服务支持的密码机种类很多，比较常见的是这三种，一是 GVSM ， 二是 EVSM 三是 SVSM， EVSM 的 e 指的是electronic，也就是经济金融，所以 EVSM 版主要是适用于金融数据的密码机,而这个 GVSM，G 是 general 的意思，所以这就叫做通用的数据的密码机,而 s v s m 的 s 指的是 sign， 签名的意思，所以又称为签名验证服务器的密码机。

请注意，这三类的密码机的SM就称为 security model，也即密码服务模块或者密码机，那么 v 就是 veature 虚拟机的意思，所以这三类的 VSM 都是属于我们虚拟化后的这个密码机的实例,另外两个像FIPS 是属于一个美国标准的一种密码机的一种接口， PCI 这是一个 Beta 版的功能，主要是指一些像常见的公控机的密码卡，这几个是有不同的实例规格，又对应不同的接口规范，我们可以根据自己的需要来有针对性地进行选择。

二、密钥管理服务简介

再学习密钥管理服务， k m s ，从字面上来理解，就是密钥的托管和提供密码的一种 SARS 服务，它是基于中国国家密码管理局国标的认证或者 FIPS 这种美标的认证资质的密码机，然后提供的这种基于安全合规的密码托管和密码服务，帮助我们来加密我们的敏感数据资产。 同前面上一节所讲的加密服务密码机相比，它们的工作形态是不一样的， k m s 是一种 SARS 化的能力，而这个 HSM 这种加密服务，它是一种 iaas方面的这种资源，这个大家注意区分开。
KMS 与阿里云的云产品进行了紧密的集成，支持了超过 20 款的云产品，比如像云服务器ECS、数据库RDS、对象存储 OSS 等，也能够基于云原生的能力跟K8S、 ack 容器服务去进行广泛的集成。
我们可以直接使用 KMS 里面的密钥去加密这些阿里云上的云产品里面的数据，可以非常轻松的来保护我们的数据资产。

从核心能力上看， KMS 提供了密钥的全方位管理，比如生命周期的全生命周期管理，我们可以禁用秘钥，启用秘钥，也可以通过延迟，删除的方式来销毁秘钥，对于自带的秘钥我们也可以设置自动删除，或者设置自动过期销毁等,对于 KMS ，我们可以去设置自定义的轮转策略，帮助我们自动化的把我们的密钥去进行周期性的轮转，这样就能够使我们的密钥的安全性进一步的提高。

我们再简单对比KMS 和加密服务两者之间的能力，我们已经知道 KMS 是一个 SARS 化的服务，加密服务是一个 iaas化的服务，所以从工作的层级上看， KMS 我们可能需要操心的事情是更少的，两者都是可以直接加密的，加密服务就是HSM，那么通过虚拟化加密机的方式提供的加密算法是更丰富的。

但是加密虚拟机是不支持对云产品直接进行落盘加密的，是需要通过 KMS 跟云产品直接相结合，比如在数据库里面去引用KMS，或者云盘里和 KMS 直接结合做落盘加密。对于协议接口标准， KMS 主要是阿里云内部的产品之间的结合使用，所以它并不完全符合国密的标准。 而加密服务所提供的虚拟化的加密机，它是一定要符合国密的标准的，当然并不是指 KMS 它不符合国密标准，而是 KMS 底层的技术它也是要采用国密标准的密码机，或者 f IPS 美标准的密码机，但由于跟云产品相结合后需要做落盘的这些动作，它不一定完全的匹配国密的要求，是阿里会在国密的基础上进行一些调整，这是它们本质的区别。

三、SSL证书

我们再学习证书服务，证书或者数字证书，又叫做网络身份证，它主要是用于身份认证，并且是在同类技术当中性价比最高，备受法律认可的安全技术。

在很多的场景里主要是用于像防劫持、防篡改、防监听等，在很多时候我们的网站会被强制要求要 h t p s 化实现，我们用户去访问网站之间的交互链路要全程进行加密，这时候就需要我们的数字证书，数字证书是需要向专门的颁发机构去申请，阿里云是联合了在中国以及在国外的这个多家数字证书的颁发机构，我们这里列出来的有六家，三家国产的，三家国外的，阿里云已经跟这六个可信的证书颁发机构又叫CA 机构，已经内部完成了互通。

所以我们去购买证书只需要在阿里云的控制台去购买，不需要专门跳出去进行购买，在阿里云的控制台内部就可以完成一键式的这种购买跟使用的过程，非常的方便。

像 SSL 证书主要的应用场景是用于通讯链路的加密，所以包含像网站访问出现的不安全的提示，也是我们的浏览器那里会显示这种不安全的这个提示，如果站点配置了证书后，浏览器显示的时候就会有一个锁的安全标志，这时我们就可以通过 h t b s 去进行访问。相同的比如小程序或者手机 APP 或者是服务器之间进行数据传输，要去符合等保护的密屏等相关的合规要求时，也要求是加密传输，这时都要用到 SSL 证书。

我们在使用 SSL 证书的时候，经常会听到一个叫 PK i 的名词，那 PK i 是什么意思？

PK i 叫做 public key infraster，公钥基础设施，就是利用公钥理论和技术所建立起来的关于安全服务的基础设施，一般的过程当中 PK i 是我们采用证书来管理公钥，这个公钥是通过像我们前面所说跟 CA 机构去获取的 SSL 证书里面的公钥，然后跟我们个人的一些其他的标识捆绑在一起，这样来验证这种客户的实际的身份，所以整个过程能确保我们的信息是安全传输的。

因此 PK i 的应用场景所需要的关键词其实还是我们的SSL，也就是数字证书。