查看创建密钥资料的选项

基于您的安全需求，探索创建 256 位对称加密密钥的选项。

例如，可以使用内部密钥管理系统（受经过 FIPS 验证的内部部署硬件安全模块 (HSM) 支持）在将密钥引入到云之前生成密钥资料。

如果您正在构建概念验证，也可以使用密码学工具包 如 OpenSSL 生成密钥材料，然后导入 Key Protect 以满足您的测试需求。

选择将密钥资料导入到 Key Protect 的选项

根据环境或工作负载所需的安全级别，从两个导入根密钥的选项中进行选择。

缺省情况下，Key Protect 使用传输层安全性 (TLS) 1.2 和 1.3 协议的受支持密码在传输过程中对密钥资料进行加密。 有关这些密码的更多信息，请查看 数据加密。

如果您正在构建概念验证或首次试用该服务 您可以将根关键材料导入 Key Protect (通过使用此缺省选项)。

如果您的工作负载需要 TLS 之外的安全机制，您也可以 使用导入令牌 将根密钥材料加密并导入服务。

提前计划加密密钥资料

如果选择使用导入令牌加密密钥材料，则应确定在密钥材料上运行 RSA 加密的 在密钥材料上运行 RSA 加密的方法。 您必须使用 RSAES_OAEP_SHA_256 加密方案，由 适用于 RSA 加密的 PKCS #1 v2.1 标准。

查看内部密钥管理系统或本地 HSM 的功能以确定您的选项，或者查看 安全导入教程 以获取示例。

提前计划加密现时标志

如果选择使用导入令牌对密钥资料进行加密，那么还必须确定在 Key Protect分发的现时标志上运行 AES-GCM 加密的方法。

现时标志充当会话令牌，用于检查请求的原创性，以防止恶意攻击和未经授权的调用。

查看内部密钥管理系统或本地 HSM 的功能以确定您的选项，或者查看 安全导入教程 以获取示例。

管理已导入的密钥资料的生命周期

将密钥资料导入服务之后，请记住，您负责管理密钥的整个生命周期。 通过使用 Key ProtectAPI 时，您可以为密钥设置有效期。 过期日期。

但是，如果您想 旋转已导入的根密钥、 你必须生成并提供新的密钥材料，以报废并替换现有密钥。 现有密钥。

运作方式

当你 为 Key Protect 实例创建导入令牌。 Key Protect 从其 HSM 生成 4096 位 RSA 密钥对。

当你 检索导入令牌，服务提供可用于将密钥加密并上载到 Key Protect的公用密钥。

以下列表描述了导入令牌工作流程。

1. 发送创建导入令牌的请求。

   1. Key Protect 从其 HSM 生成 RSA 密钥对。

   2. 根据您在创建时指定的策略，公用密钥可供检索。

   3. 专用密钥变为不可抽取，并且永不离开 HSM。

2. 发送请求以检索导入令牌。

   1. 您将收到导入令牌内容，包括:

      • 要导入到服务中的加密密钥资料的公用密钥。

      • 用于验证密钥导入请求的现时标志值。

3. 准备要导入到服务的密钥。

   1. 您可以使用本地密钥管理机制来生成密钥资料。

   2. 使用与您的环境兼容的 AES-GCM 加密方法，使用密钥资料对现时标志值进行加密。

   3. 通过使用与您的环境兼容的 RSA 加密方法，使用公用密钥对密钥资料进行加密。

4. 发送导入密钥的请求。

   1. 提供由 AES-GCM 算法生成的加密密钥资料，加密现时标志和初始化向量 (IV)。

   2. Key Protect 验证请求，解密加密包，并将密钥材料作为根密钥存储在 Key Protect 实例中。

一次只能为每个 Key Protect 实例创建一个导入令牌。 要了解有关导入令牌的检索限制的更多信息，请参阅 Key Protect API 参考文档。

要试用导入令牌功能，请参阅 教程: 创建和导入加密密钥。

API 方法

在幕后，Key Protect应用程序接口API 驱动导入令牌创建过程。

下表列出了用于设置导入令牌的 API 方法 Key Protect 实例。

要了解有关以编程方式管理密钥的更多信息，请执行以下操作: Key Protect，请查看 Key Protect API 参考文档。