1.从密码生成的硬件或软件获得数据加密密钥,此种密钥通常是对称加密密钥。
2.用对称加密密钥加密明文,把密文保存到存储平台。
3.用主密钥加密数据加密密钥,把其上传到存储平台。
部分重要术语有:
·加密区域(EZ):加密区域是HDFS中的目录及其所有内容,即其中的每个加密文件与子目录。此目录中的文件将在写入时被透明加密,并在读取时被透明解密。每个加密区域都与创建区域时指定的密钥相关联。加密区域中的每个文件还有其自己的加密/解密密钥。系统从不永久存储这些DEK,除非用加密区域的密钥对其加密。该加密DEK叫做EDEK。EDEK会作为Name Node上的文件元数据的一部分永久存储。密钥可有多个密钥版本,每个版本均有自己不一样的密钥材料。通过修改加密区域的密钥可实现密钥旋转,即提高其版本。然后,通过用新的加密区域密钥重新加密文件的DEK来实现单文件密钥轮换,以创建新的EDEK。加密密钥可通过密钥的名称或通过特定的密钥版本获取。
·加密区域密钥(EZK):对加密区域的数据加密密钥进行加密的密钥,可以是对称密钥,也可以是非对称密钥。
·数据加密密钥(DEK):执行数据加密的密钥,是对称加密密钥。
·密钥管理服务(KMS):KMS服务是可与代表HDFS守护程序和客户端的后备key store交互的代理。后备key store和KMS均实施Hadoop Key Provider客户端API。加密和解密EDEK完全发生在KMS上。更为重要的是,客户端请求创建或解密EDEK时从不处理EDEK的加密密钥。在加密区域中创建新文件时,NameNode会要求KMS生成使用加密区域的密钥加密的新EDEK。从加密区域读取文件时,NameNode给客户端提供文件的EDEK与加密EDEK的加密区域密钥版本。然后,客户端请求KMS解密EDEK,包括检查客户端是否有权访问加密区域密钥版本。如果成功,客户端将借DEK解密文件内容。读取和写入的全部步骤均将自动由DFSClient、NameNode与KMS间的交互进行。借助正常的HDFS文件系统权限控制访问加密文件数据与元数据。通常情况下,后备key store配置成仅允许最终用户访问用来加密DEK的加密区域密钥。这意味着HDFS可安全地存储与处理EDEK,因HDFS用户将不能访问EDEK加密密钥。也就是说,如果HDFS受到破坏,恶意用户将只获得已加密文本和EDEK的访问权限。这不会带来安全威胁,因为加密区域密钥的访问权限由KMS和key store的一组单独权限控制。
·EDEK:数据加密密钥的加密密钥。
