百度云提供的服务端加密技术实现了Object独立的多层密钥体系，并确保数据与密钥管理相分离，为云上数据提供了更加安全可靠的保障。
通常情况下，为了让用户更放心地使用云存储服务，云计算厂商提出的加密数据后存储落盘策略成为一种合理且被广泛应用的方案。
客户端加密可简单地分为客户端加密和服务端加密，传统的客户端加密方式要求用户执行加密操作并管理客户端所需的密钥，这是一个对用户来说占用宝贵计算资源的加密操作。而且，加密密钥的存储对于存储系统的安全性和可靠性有着很高的要求。对这些密钥进行管理无疑会增加用户业务逻辑的复杂性。
在此背景下，百度对象存储服务(BOS)团队经过长期的调研和研究，开发了安全易用的服务端加密技术，为每一个对象建立独立密钥，设置多层密钥体系，采用数据加密与密钥隔离的安全机制，充分保障了云上数据的安全性。
与此同时，百度云的加密操作在服务端进行，对用户公开透明，托管所有的密钥，无需用户管理大量的密钥，降低了用户业务逻辑的复杂性。
下面是具体的技术分析。
三种技术机制保证数据安全。
特定Object独立密钥。
BOS服务端加密使用AES256的对称加密算法对数据进行加密，对称加密算法使用相同的密钥对数据进行加密和解密。为保证数据安全，我们对每一种对象都使用不同的密钥加解密，单独的密钥可以大大提高用户数据的安全性。例如，我们可以将每个Object文件看作一箱，文件的内容就是盒子内的物品，为防止箱子内的物品被盗，我们可以对箱子上锁，类似的加密操作，用钥匙开锁就等于将文件解密。一个以上的Object文件使用同一个密钥相当于多个盒子的锁可以用同一个钥匙打开，每个对象都有独立的密钥，相当于一把钥匙只能打开一箱。同样，每个Object独立密钥的机制也有较高的安全性。
一个高级别的多层密钥系统。
BOS服务端加密机制中，密钥是加解密的关键，因此密钥的安全性也是整个加密过程的一个重要因素。为保证密匙的安全，百度云专门开发了KMS(KeyManagerService)来管理密钥，KMS使用了多层密钥的加密机制，每个密钥的datakey由masterkey加密后，以密文的形式存储，而masterkey又由rootmasterkey加密后以密文的形式存储，rootmasterkey使用硬件加密。由datakey、masterkey和rootmasterkey组成一个多层加密系统，并且都以密文的形式存储物理介质上，充分保障了密钥的安全性。
数据和密钥隔离，消除安全隐患。
数据库的安全性取决于数据密文的安全性和密钥的安全性。为进一步提高数据的安全性，本文将加密数据和密钥加密分别放到两个不同的系统中完成，其中，由BOS完成数据加密，密钥加密由KMS完成。因为KMS和BOS是两套独立的系统，并且采用不同的认证和认证方法，这种数据密钥隔离机制能够进一步提高数据的安全性。
已用于BOS服务。
BOS服务端加密技术已被应用到BOS服务中，根据需要保证每份上传百度云的数据安全。可以说，被百度云服务端加密过的数据，没有人能在不进行正常解密操作的情况下获取数据。
同时，郑州做网站公司还设计了简单易用的界面，使用户最大程度方便地使用服务端的加密功能。对于用户来说，服务端的加密是透明的，密钥分配、数据加密、密钥加密等操作都是在BOS服务端处理的，用户只需在API中指定加密的header，使用十分方便。除API外，服务端加密还支持控制台、sdk等操作方式。
为了更好地方便用户使用该功能，我们还在百度云前端管理控制台实现了Bucket加密开关功能，即当用户打开这个开关时，该Bucket的新增加的数据将自动进行加密，便于使用。
伴随着云计算技术的广泛应用，以及对数据安全的关注，百度云在云存储上不断取得突破，目前在国内外游戏、安防、金融等行业中都有大量成功的应用，百度云在云存储领域取得了重大突破。