客戶端加密指在把數據上傳到雲計算平台之前加密數據,有兩種密鑰選擇:

·使用客戶端主密鑰。

·使用雲服務商给予的密鑰管理服務託管的主密鑰。

1.使用客戶端主密鑰

使用客戶端主密鑰加密可實現數據安全傳輸,主密鑰無需上傳到雲計算平台,當客戶丟失加密密鑰後是不能解密客戶數據。

上傳數據的工作過程為:

1)用雲服務的客戶端庫在本地生成1個一次性的數據加密密鑰(一般是對稱加密密鑰），使用該密鑰加密客戶數據。

2)客戶端將加密的數據密鑰及其材料說明上傳到雲端,此後,材料說明幫助客戶端確定使用的客戶端主密鑰解密。

3)客戶端將加密數據上傳到雲端。

下載數據時,客戶端第一时间從雲端下載加密數據及其元數據,顺利获得使用元數據中的材料說明,客戶端第一时间確定主密鑰,然後解密已加密的數據加密密鑰,最後使用數據加密密鑰解密加密數據。

2.使用雲服務商託管的客戶主密鑰

如果由客戶给予主密鑰,則需客戶有相應的密鑰基礎設施並自行管理密鑰,這會增加客戶負擔。客戶可選擇用雲服務商给予的密鑰託管服務來给予數據加密密鑰。在該工作方式下,客戶無需给予任何加密密鑰,只需向雲服務给予客戶主密鑰標識信息即可。

這種方式下存儲數據的主要工作過程如下：

1)使用客戶主密鑰標識信息向雲服務發送密鑰分配請求,請求成功後返回數據加密密鑰。

2)客戶端用數據密鑰進行加密,並將加密後的數據上傳到雲計算平台。

下載客戶數據時,客戶端先從雲服務的密鑰管理服務中取得數據加密密鑰,然後使用的數據。