zoukankan      html  css  js  c++  java
  • AWS CloudHSM 群集备份

    备份的安全性

    当 AWS CloudHSM 通过 HSM 制作备份时,HSM 将先加密其所有数据,然后再将这些数据发送给 AWS CloudHSM。数据绝不会以明文形式离开 HSM。

    为了对其数据进行加密,HSM 将使用称为“临时备份密钥 (EBK)”的唯一的临时加密密钥。EBK 是 AWS CloudHSM 制作备份时在 HSM 内部生成的 AES 256 位加密密钥。HSM 将生成 EBK,然后借助经 FIPS 批准的 AES 密钥包装方法 (此方法符合 NIST 特刊 800-38F) 通过 EBK 加密 HSM 的数据。然后,HSM 将加密的数据提供给 AWS CloudHSM。加密的数据包括 EBK 的加密副本。

    为了对 EBK 进行加密,HSM 使用另一个名为“永久备份密钥”(PBK) 的加密密钥。PBK 也是 AES 256 位加密密钥。为了生成 PBK,HSM 将在符合 NIST 特刊 800-108 的计数器模式下使用经 FIPS 批准的密钥派生函数 (KDF)。此 KDF 的输入包括:

    • 一个制造商密钥备份密钥 (MKBK),此密钥永久嵌入在硬件制造商提供的 HSM 硬件中。

    • 一个 AWS 密钥备份密钥 (AKBK),此密钥最初由 AWS CloudHSM 配置时安全地安装在 HSM 中。

    下图中总结了加密流程。备份加密密钥表示永久备份密钥 (PBK) 和临时备份密钥 (EBK)。

  • 相关阅读:
    salt执行报错一例
    state配置语言实战
    salt-ssh使用
    八、job管理
    六、saltstack的module组件
    五、Pillar数据管理中心
    Web Server与App Server
    二分查找的时间复杂度(TODO )
    二分查找的时间复杂度(TODO )
    git : error setting certificate verify locations
  • 原文地址:https://www.cnblogs.com/cloudrivers/p/11231877.html
Copyright © 2011-2022 走看看