摘自《大型網站技術架構》（ 李智慧）

信息的安全是靠密鑰保障的。但在實際中經常看到，有的工程師把密鑰直接寫在源代碼中，稍好一點的寫在配置文件中，線上和開發環境配置不同的密鑰。總之密鑰本身是以明文的方式保存，并且很多人可以接觸到，至少在公司內部，密鑰不是秘密。

實踐中，改善密鑰安全性的手段有兩種。

方案一

把密鑰和算法放在一個獨立的服務器上，甚至做成一個專用的硬件設施，對外提供加密和解密服務，應用系統通過調用這個服務，實現數據的加密解密。由于密鑰和算法獨立部署，由專人維護，每次加密、解密都需要進行一次遠程服務調用，系統性能開銷也較大。

方案二

將加密算法放在應用中，密鑰則房子獨立服務器中，為了提高密鑰的安全性，實際存儲時，密鑰被切分成數片，加密后分別保存在不同存儲媒介中，監護密鑰安全性的同時，有改善了性能，如圖所示：

應用程序調用密鑰安全管理系統提供的加密解密服務接口對信息進行加密解密，該接口實現了常用的加密解密算法并可根據需求任意擴展。加解密服務接口通過密鑰服務器的密鑰服務取得加解密密鑰，并緩存在本地（定時更新）。而密鑰服務器中的密鑰則來自多個密鑰存儲服務器，一個密鑰分片存儲在多個存儲服務器中，每個服務器都有專人負責管理。密鑰申請這、密鑰管理者、安全審核人員通過密鑰管理控制臺管理更新密鑰，每個人各司其職，沒有人能查看完整的密鑰信息。

總結

以上是生活随笔為你收集整理的密钥安全管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。