oss加密的工作流程

本文涉及的产品
对象存储 OSS,20GB 3个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
对象存储 OSS,恶意文件检测 1000次 1年
简介: 阿里云OSS提供服务器端(SSE-KMS BYOK、SSE-KMS默认密钥)和客户端(CSE)加密。SSE-KMS通过KMS托管密钥或默认密钥在服务器端自动加密/解密对象,减轻用户负担。CSE则在客户端加密数据,使用SDK和用户密钥,灵活性高但管理复杂。两者均保障数据传输和存储的安全。用户可依据安全需求和合规性选择加密方式。

阿里云对象存储服务(OSS,Object Storage Service)的加密工作流程可以按照服务器端加密(Server-Side Encryption,SSE)和客户端加密(Client-Side Encryption)两种模式分别描述:

服务器端加密(SSE)工作流程:

  1. SSE-KMS BYOK

    • 用户启用服务器端加密功能,并选择使用KMS托管密钥(Bring Your Own Key, BYOK)的方式。
    • 用户在上传对象到OSS时,可以选择通过指定请求头X-OSS-server-side-encryption设置为KMS,同时指明X-OSS-server-side-encryption-key-id为特定的CMK(客户主密钥)ID。
    • OSS服务在接收到上传请求后,使用指定的CMK加密对象数据。
    • 加密后的对象被存储在OSS中,对应的CMK ID会被记录在对象的元数据中。
    • 当用户下载加密的对象时,OSS服务会检查元数据中的CMK ID,调用KMS服务自动解密数据,然后将解密后的原始数据返回给用户。
  2. SSE-KMS 默认密钥

    • 用户开启SSE-KMS加密但不指定密钥时,OSS会使用默认的KMS托管密钥加密对象。
    • 同样在上传和下载过程中,OSS会负责加密和解密操作。

客户端加密(CSE)工作流程:

  1. 客户端加密
    • 用户使用阿里云提供的客户端加密SDK,在本地对数据进行加密。
    • 加密过程发生在客户端应用程序中,通常使用用户自行管理的密钥对数据进行加密。
    • 加密后的数据通过安全通道上传至OSS。
    • 下载时,用户需要使用相同的密钥在本地解密从OSS下载回来的加密数据。

共享流程要点:

  • 对于服务器端加密,OSS会在数据写入存储介质前加密,并在读取时自动解密,减轻了用户的加密管理负担。
  • 对于客户端加密,加密和解密的责任在于客户端应用,提供了更高的灵活性但同时也增加了管理复杂性。
  • 不论哪种加密方式,都确保了在传输和静止状态下数据的安全性。

在实际操作中,用户可以根据自己的安全需求和合规性要求选择合适的加密方法。

相关文章
|
6月前
|
存储 安全 API
oss客户端加密密钥管理
阿里云OSS数据加密涉及SSE-C和SSE-KMS两种方案。SSE-C中,客户端自动生成并管理DEK,负责加密和解密数据,需确保密钥的安全存储和访问控制。SSE-KMS则利用KMS生成和管理密钥,客户端通过API请求加密/解密密钥,实现更安全的密钥管理。无论哪种方式,都需要遵循密钥生命周期管理、访问控制、安全存储和定期轮换等最佳实践。选择SSE-C需要客户端有安全的密钥存储,而SSE-KMS则需关注与KMS的API交互和访问策略。
183 3
|
6月前
|
存储 安全 开发工具
oss加密存储
阿里云OSS为数据安全提供多种加密机制,包括服务器端的SSE-S3(AES-256透明加密)、SSE-C(用户管理密钥)和CSE-KMS(结合KMS进行密钥管理)。此外,OSS支持客户端加密SDK和HTTPS传输加密,确保数据在传输和存储时的安全。通过ACL、Bucket策略和访问密钥身份验证,实现权限控制与身份验证,全方位保障用户数据的安全性和隐私。用户可按需选择适合的加密方式。
270 2
|
1月前
|
NoSQL Java Redis
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
这篇文章介绍了如何使用Spring Boot整合Apache Shiro框架进行后端开发,包括认证和授权流程,并使用Redis存储Token以及MD5加密用户密码。
31 0
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
|
6月前
|
安全 算法 网络安全
HTTPS 的加密流程
HTTPS (Hyper Text Transfer Protocol Secure) 是基于 HTTP 协议之上的安全协议,用于在客户端和服务器之间通过互联网传输数据的加密和身份验证。它使用 SSL/TLS (Secure Sockets Layer/Transport Layer Security) 协议来保护数据的安全性,可以防止数据被窃听、篡改或伪造。
165 3
|
6月前
|
安全 数据管理 测试技术
网络安全与信息安全:防范漏洞、加强加密与提升安全意识深入探索自动化测试框架的设计原则与实践应用化测试解决方案。文章不仅涵盖了框架选择的标准,还详细阐述了如何根据项目需求定制测试流程,以及如何利用持续集成工具实现测试的自动触发和结果反馈。最后,文中还将讨论测试数据管理、测试用例优化及团队协作等关键问题,为读者提供全面的自动化测试框架设计与实施指南。
【5月更文挑战第27天】 在数字化时代,网络安全与信息安全已成为维护国家安全、企业利益和个人隐私的重要环节。本文旨在分享关于网络安全漏洞的识别与防范、加密技术的应用以及提升安全意识的重要性。通过对这些方面的深入探讨,我们希望能为读者提供一些实用的建议和策略,以应对日益严峻的网络安全挑战。 【5月更文挑战第27天】 在软件开发周期中,自动化测试作为保障软件质量的关键步骤,其重要性日益凸显。本文旨在剖析自动化测试框架设计的核心原则,并结合具体案例探讨其在实际应用中的执行策略。通过对比分析不同测试框架的优缺点,我们提出一套高效、可扩展且易于维护的自动
|
6月前
|
机器学习/深度学习 安全 网络安全
利用深度学习优化图像识别流程网络安全与信息安全:防范漏洞、强化加密、提升意识
【5月更文挑战第27天】 在本文中,我们探索了深度学习技术如何革新传统的图像识别过程。通过构建一个基于卷积神经网络(CNN)的模型,我们展示了从数据预处理到特征提取再到分类决策的整个优化流程。实验结果表明,该模型在处理复杂图像数据集时,不仅提高了识别准确率,还显著缩短了处理时间。文章最后讨论了模型在现实世界应用中的潜力以及未来改进的方向。 【5月更文挑战第27天】在数字时代,网络安全与信息安全已成为全球关注的焦点。本文将深入探讨网络安全漏洞的成因与危害,加密技术的重要性及其应用,以及提升公众安全意识的必要性。通过对这些关键领域的分析,我们旨在为读者提供一套全面的安全防护策略,以应对日益复杂的
|
6月前
|
存储 Java API
阿里云OSS使用购买流程
本文介绍了阿里云对象存储OSS的基本使用,包括准备工作、购买开通阿里云账号并进行实名认证,以及通过Web控制台、命令行工具ossutil和SDK进行文件操作。此外,还提到了RESTful API和图形化工具OSSBrowser的使用,并给出了Java SDK下载对象的示例代码。文章内容包括了OSS的基本概念,如存储空间Bucket和对象Object,以及不同类型的存储类型。
|
6月前
|
存储 安全 开发工具
oss客户端加密
阿里云OSS支持客户端加密,允许用户在本地加密数据后上传,确保数据在传输和存储时的隐私安全。用户管理主密钥,控制数据密钥加密与解密,增强数据控制和合规性。此机制适用于高安全需求场景,如金融、医疗等,但用户需负责密钥管理和加密操作。
163 8
|
6月前
|
存储 安全 API
oss服务器端加密(SSE)
阿里云OSS提供服务器端加密(SSE),自动加密上传的数据并透明解密下载,保护云端对象的隐私和机密性。SSE支持两种方式:SSE-KMS(使用KMS托管CMK)和SSE-OSS(OSS管理加密密钥)。加密过程在服务器端完成,对用户应用透明且兼容标准HTTP接口。云盒和ossutil工具也支持此功能,让用户轻松管理加密对象,确保数据存储和传输安全。用户可按需选择密钥管理方式。
199 4
|
6月前
|
存储 安全 开发工具
oss客户端密钥管理数据密钥加密与上传
阿里云OSS实现数据安全加密和访问控制,通过KMS托管CMK或客户端加密管理DEK。数据加密流程中,可使用KMS加密DEK后存储在OSS元数据,或利用SDK在本地加密文件再上传。上传时,HTTP请求头含加密参数,通过RAM临时凭证初始化SDK客户端,调用API上传加密文件,确保数据传输和存储的安全。
232 2
下一篇
无影云桌面