1.從密碼生成的硬件或軟件取得數據加密密鑰,此種密鑰通常是對稱加密密鑰。

2.用對稱加密密鑰加密明文,把密文保存到存儲平台。

3.用主密鑰加密數據加密密鑰,把其上傳到存儲平台。

部分重要術語有：

·加密區域(EZ):加密區域是HDFS中的目錄及其所有內容,即其中的每個加密文件與子目錄。此目錄中的文件將在寫入時被透明加密,並在讀取時被透明解密。每個加密區域都與創建區域時指定的密鑰相關聯。加密區域中的每個文件還有其自己的加密/解密密鑰。系統從不永久存儲這些DEK,除非用加密區域的密鑰對其加密。該加密DEK叫做EDEK。EDEK會作為Name Node上的文件元數據的一部分永久存儲。密鑰可有多個密鑰版本,每個版本均有自己不一樣的密鑰材料。顺利获得修改加密區域的密鑰可實現密鑰旋轉,即提高其版本。然後,顺利获得用新的加密區域密鑰重新加密文件的DEK來實現單文件密鑰輪換,以創建新的EDEK。加密密鑰可顺利获得密鑰的名稱或顺利获得特定的密鑰版本獲取。

·加密區域密鑰(EZK):對加密區域的數據加密密鑰進行加密的密鑰,可以是對稱密鑰，也可以是非對稱密鑰。

·數據加密密鑰(DEK):執行數據加密的密鑰,是對稱加密密鑰。

·密鑰管理服務(KMS):KMS服務是可與代表HDFS守護程序和客戶端的後備key store交互的代理。後備key store和KMS均實施Hadoop Key Provider客戶端API。加密和解密EDEK完全發生在KMS上。更為重要的是,客戶端請求創建或解密EDEK時從不處理EDEK的加密密鑰。在加密區域中創建新文件時,NameNode會要求KMS生成使用加密區域的密鑰加密的新EDEK。從加密區域讀取文件時,NameNode給客戶端给予文件的EDEK與加密EDEK的加密區域密鑰版本。然後,客戶端請求KMS解密EDEK,包括檢查客戶端是否有權訪問加密區域密鑰版本。如果成功,客戶端將借DEK解密文件內容。讀取和寫入的全部步驟均將自動由DFSClient、NameNode與KMS間的交互進行。藉助正常的HDFS文件系統權限控制訪問加密文件數據與元數據。通常情況下,後備key store配置成僅允許最終用戶訪問用來加密DEK的加密區域密鑰。這意味着HDFS可安全地存儲與處理EDEK,因HDFS用戶將不能訪問EDEK加密密鑰。也就是說,如果HDFS受到破壞,惡意用戶將只取得已加密文本和EDEK的訪問權限。這不會帶來安全威脅,因為加密區域密鑰的訪問權限由KMS和key store的一組單獨權限控制。

·EDEK:數據加密密鑰的加密密鑰。