密钥可通过硬件安全模块(HSM)真随机数发生器生成,或在软件层面利用操作系统提供的密码学安全随机数生成器(如/dev/urandom、Windows CryptGenRandom)生成。高安全场景下,推荐使用经过第三方认证的 HSM 生成密钥材料,以满足等保和密评的合规性要求。腾讯云密钥管理系统(KMS)即基于国密局认证的硬件安全模块生成和保护密钥。
密钥管理通常采用分层架构:密钥加密密钥(KEK)用于保护数据加密密钥(DEK),DEK 直接对凭据进行加密。 KEK 可由 HSM 或 KMS 托管,DEK 则以密文形式与凭据一同存储。这种信封加密机制确保即使数据库被突破,攻击者也无法获取可用于解密的密钥材料。
密钥轮换是降低密钥泄露影响范围的重要手段。对称密钥可设置自动轮换周期(如每年轮换一次 KEK,每90 天轮换一次 DEK),轮换后旧密钥仍需保留一段时间以支持历史密文解密,之后进入归档或销毁流程。凭据管理系统支持按周期自动完成轮换并同步至应用端,无需人工介入。
部分密钥管理系统支持用户自带密钥(BYOK)模式,即用户使用本地 HSM 或密钥管理工具生成密钥材料,通过安全通道导入云端 KMS,使云端服务使用用户自有的密钥进行加解密。该模式适用于对密钥拥有权有严格要求的企业场景。