数据加密与密钥分层(Envelope Encryption、KMS、透明加密)
采用信封加密与 KMS 管理数据密钥,实现分层与轮换,结合透明加密在存储层保障数据安全,并提供验证方法。
密钥
JWE敏感负载加密与密钥轮换(AES-GCM/RSA-OAEP)最佳实践
通过AES-GCM加密敏感负载与RSA-OAEP封装CEK,并实施kid标识与轮换策略,保障传输与存储的机密性与可追溯性。
"机密与密钥管理(KMS与Vault)实施指南与运维最佳实践"
"以KMS与Vault为核心的机密治理方案,覆盖密钥生命周期、信封加密、动态凭证与TTL控制,在应用侧实现最小暴露与可审计的机密管理。"
密钥与机密管理(KMS/Vault、轮换、最小权限与审计)
构建机密管理体系,采用 KMS/Vault 管理密钥与凭证,实施轮换与最小权限,并提供审计与验证方法。
"Web Crypto HKDF与密钥派生前端安全使用最佳实践"
"在前端使用Web Crypto HKDF安全派生密钥,结合盐值与上下文信息、AES-GCM加密封装与最小暴露策略,构建可验证的密钥管理方案。"
KMS密钥轮换与Envelope Encryption最佳实践
使用Envelope Encryption实现数据加密,包含数据密钥生成与AES-GCM加密、数据密钥用主密钥(CMK)包裹、密钥轮换与元数据管理,附加解与轮换示例与参数校验。
"JWT 与 JWK 密钥轮换与 RS256 验证实践"
"采用 JWK 进行密钥轮换与 RS256 验证,覆盖 JWK 拉取、kid 选择、签名验证与安全注意事项。"
Crypto.getRandomValues:安全随机数与密钥材料
使用 `crypto.getRandomValues` 生成加密安全的随机数与密钥材料,避免使用 `Math.random` 等不安全来源,给出长度与类型建议。
WebCrypto 密钥封装与跨会话保存
使用 `wrapKey/unwrapKey` 对会话密钥进行封装与解封,结合 RSA-OAEP 或 AES-KW,实现跨会话的安全密钥保存与恢复。
Secret 管理与密钥轮换(2025)
Secret 管理与密钥轮换(2025)Secret 管理是安全工程的基础。本文从存储、轮换与审计展开。一、存储与访问集中存储:使用 KMS/Vault 管理密钥与访问控制。细粒度权限:按角色与范围授权,记录访问目的。二、轮换与废弃定期轮换:制定周期与触发条件,自动化执行。废弃管理:下线废弃密钥并清
