摘自《大型網(wǎng)站技術(shù)架構(gòu)》（ 李智慧）

信息的安全是靠密鑰保障的。但在實(shí)際中經(jīng)常看到，有的工程師把密鑰直接寫(xiě)在源代碼中，稍好一點(diǎn)的寫(xiě)在配置文件中，線(xiàn)上和開(kāi)發(fā)環(huán)境配置不同的密鑰?？傊荑€本身是以明文的方式保存，并且很多人可以接觸到，至少在公司內(nèi)部，密鑰不是秘密。

實(shí)踐中，改善密鑰安全性的手段有兩種。

方案一

把密鑰和算法放在一個(gè)獨(dú)立的服務(wù)器上，甚至做成一個(gè)專(zhuān)用的硬件設(shè)施，對(duì)外提供加密和解密服務(wù)，應(yīng)用系統(tǒng)通過(guò)調(diào)用這個(gè)服務(wù)，實(shí)現(xiàn)數(shù)據(jù)的加密解密。由于密鑰和算法獨(dú)立部署，由專(zhuān)人維護(hù)，每次加密、解密都需要進(jìn)行一次遠(yuǎn)程服務(wù)調(diào)用，系統(tǒng)性能開(kāi)銷(xiāo)也較大。

方案二

將加密算法放在應(yīng)用中，密鑰則房子獨(dú)立服務(wù)器中，為了提高密鑰的安全性，實(shí)際存儲(chǔ)時(shí)，密鑰被切分成數(shù)片，加密后分別保存在不同存儲(chǔ)媒介中，監(jiān)護(hù)密鑰安全性的同時(shí)，有改善了性能，如圖所示：

應(yīng)用程序調(diào)用密鑰安全管理系統(tǒng)提供的加密解密服務(wù)接口對(duì)信息進(jìn)行加密解密，該接口實(shí)現(xiàn)了常用的加密解密算法并可根據(jù)需求任意擴(kuò)展。加解密服務(wù)接口通過(guò)密鑰服務(wù)器的密鑰服務(wù)取得加解密密鑰，并緩存在本地（定時(shí)更新）。而密鑰服務(wù)器中的密鑰則來(lái)自多個(gè)密鑰存儲(chǔ)服務(wù)器，一個(gè)密鑰分片存儲(chǔ)在多個(gè)存儲(chǔ)服務(wù)器中，每個(gè)服務(wù)器都有專(zhuān)人負(fù)責(zé)管理。密鑰申請(qǐng)這、密鑰管理者、安全審核人員通過(guò)密鑰管理控制臺(tái)管理更新密鑰，每個(gè)人各司其職，沒(méi)有人能查看完整的密鑰信息。

總結(jié)

以上是生活随笔為你收集整理的密钥安全管理的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。