当 DR 灾备遇到 KMS（二）_语言 & 开发_亚马逊云科技 (Amazon Web Services）



 写点什么

3. 场景三，客户端加密场景扩展，需要固定 DEK 支持密文对比

某些场景下，加密数据不会解密使用，而是用密文做对比，比如用户的密码，数据库存放的就是密文。用户在客户端输入的密码，在加密之后传输，通过密文与密文的对比来判断密码是否一致。这样的情况下，都不会涉及解密过程，但是要求不管任何时间对同样的明文，加密的密文保持不变。这样就要求 DEK 必须固定不变。在场景二介绍的 Encryption SDK 中，为了提高安全等级，DEK 是调用的时候临时生成的，每次调用，生成的 DEK 是不一样的。因此场景二的解决方案不能直接用于场景三。调整如下

为了保证 DEK 不变，需要将 DEK 从封装的方法中剥离出来，Client 端自己管理 DEK。具体如下

DEK 的生成和管理

首先，调用 Encryption SDK 中的 generateDataKey 方法，生成一个 DEK ****

Java

// generate data key, with CMK, with AES_128        GenerateDataKeyRequest dataKeyRequest = new GenerateDataKeyRequest();        //dataKeyRequest.setKeyId(KEYID);        dataKeyRequest.setKeyId(this.CMKKeyID);        dataKeyRequest.setKeySpec("AES_128");        GenerateDataKeyResult dataKeyResult = kms.generateDataKey(dataKeyRequest);```    ****
其次，对该DEK进行加密保护，在加密的时候，为了保证该DEK能够在DR场景下使用，也需要使用场景二中介绍的包含多个区域的CMK的Provider，对DEK进行加密保护，这样，我们就可以在不同的区域都可以将加密的DEK进行解密了。      ****
Java

复制代码

// plain text data key

ByteBuffer plainTextKey = dataKeyResult.getPlaintext();

// 使用 multiple provider 加密管理 datakey，以便跨区域使用

CryptoResult<byte[], ?> result = new AwsCrypto().encryptData(this.provider, plainTextKey.array());


经过加密的DEK，就可以保存在数据库中备用了。当然，还可以放一份在S3上作为冷备保存，借助S3高达11个9的持久性，更为放心。因为DEK已经加密了，所以也不担心安全的风险。
#### 数据加解密环节
从数据库中取出加密的DEK，调用场景二中的解密方法**decryptData()**，得到明文的DEK，这时候就可以使用该DEK对数据进行加解密了。由于encryption SDK 中包含的方法都有自己的DEK，因此建议使用成熟的库支持AES加密的SDK，对数据做加密和解密。比如java中的Cipher库 **javax.crypto.Cipher;**
### 4. 总结
无论是使用客户端加密还是服务器端加密的方式，AWS都提供了对应的DR（多区域）的方案。但是从具体的操作方式来看，服务器端的加密，更加简单方便，无需修改代码；而客户端的方式，是需要在代码层面进行调整的。因此我们建议优先使用服务器端加密的方式，在服务器端加密不能满足的场景下，再考虑客户端加密的方式。
**作者介绍：**
<footer>    ![](https://s3.cn-north-1.amazonaws.com.cn/awschinablog/Author/shengbo.jpg)
    ### [](https://amazonaws-china.com/cn/blogs/china/tag/%E9%99%88%E6%98%87%E6%B3%A2/)
    亚马逊AWS解决方案架构师，负责基于AWS的云计算方案架构的咨询和设计，同时致力于AWS云服务在国内的应用和推广。现致力于网络安全和大数据分析相关领域的研究。在加入AWS之前，在爱立信东北亚区担任产品经理，负责产品规划和方案架构设计和实施，在用户体验管理以及大数据变现等服务方面有丰富经验。</footer>
**本文转载自AWS技术博客。**
**原文链接：https://amazonaws-china.com/cn/blogs/china/when-the-dr-disaster-prepared-encounter-kms/**

复制代码

发布

暂无评论

创作场景

当 DR 灾备遇到 KMS（二）

3. 场景三，客户端加密场景扩展，需要固定 DEK 支持密文对比

DEK 的生成和管理

评论

开放原子开发者大会 | 开源就是国际化，华为大力推动开源社区建设

京东商品评论数据接口（JD.item_review）

只需一个bitget钱包，让你的web3体验翻倍

《环太平洋》流浪者机甲3D模型特效还原

科学启智，AI赋能：AI for Science塑造多学科研究新范式

法线贴图实现地形模型皱褶、凹凸不平的纹理效果

XSKY SDS V6.3 版本发布：持续强化非结构化存储和管理能力

个人年度总结：大模型驱动技术的趋势洞察

软件测试/测试开发/丨人工智能与测试开发沙龙(PPT和回放集锦)

得物商家域精准测试实践

万界星空MES系统的十大核心功能

测试用例设计方法六脉神剑——第六剑：心法至简，百家之长集成

人工智能与测试开发自动化沙龙(PPT和回放集锦)

瑶池数据库Serverless+AI训练营开营啦，参营享千元好礼

软件测试/测试开发丨名企私教服务加盟全栈开发与自动化测试班

一分钟带你了解人工神经网络（ANN）

Mac电脑文献管理推荐 EndNote 21激活最新版

万界星空科技铜线MES、漆包线MES系统

企业级“RAS”的数据平台如何炼成？

法线贴图实现衣服上皱褶特效

GLTF/GLB模型在线预览、编辑、动画查看以及材质修改

软件测试/测试开发 | 测试开发线下高薪私教班助力你的职场晋升

解析$nextTick魔力，为啥大家都爱它？

云原生技术：实践探索与未来展望

如何通过ETLCloud的API对接功能实现各种SaaS平台数据对接

CQ 社区版 V2.7.0 发布 | 数据源版本扩充、新增批量执行功能等

石磊：BANI时代下，企业人才管理破局之道

创作场景

当 DR 灾备遇到 KMS（二）

3. 场景三，客户端加密场景扩展，需要固定 DEK 支持密文对比

DEK 的生成和管理

评论

更多内容推荐

推荐阅读

电子书

大厂实战PPT下载