键 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

以下列表定义了本文档中引用的密钥。

HBK

HSM 备用密钥:HSM 备用密钥是 256 位根密钥,从中派生特定用途密钥。

DK

域密钥:域密钥是一个 256 位的 AES-GCM 密钥。它在所有域成员之间共享,用于保护 HSM 备用密钥材料和 HSM 服务主机会话密钥。

DKEK

域密钥加密密钥:域密钥加密密钥是在主机上生成的 AES-256-GCM 密钥,用于加密跨 HSM 主机同步域状态的当前域密钥组。

(dHAK,QHAK)

HSM 协议密钥对:每个启动的 HSM 在曲线 secp384r1 (NIST-P384) 上都有一个本地生成的椭圆曲线 Diffie-Hellman 协议密钥对。

(dE, QE)

临时协议密钥对:HSM 和服务主机会生成临时协议密钥。这些密钥是曲线 secp384r1 (NIST-P384) 上的椭圆曲线 Diffie-Hellman 密钥。它们是在两个用例中生成的:建立 host-to-host 加密密钥以在域令牌中传输域密钥加密密钥,以及建立 HSM-Service 主机会话密钥以保护敏感通信。

(dHSK,QHSK)

HSM 签名密钥对:每个启动的 HSM 在曲线 secp384r1 (NIST-P384) 上都有一个本地生成的椭圆曲线数字签名密钥对。

(dOS,QOS)

运营商签名密钥对:服务主机运营商和 AWS KMS 运营商都有一个身份签名密钥,用于向其他域参与者验证自身的身份。

K

数据加密密钥:派生自 HBK 的 256 位 AES-GCM 密钥,在计数器模式(HMAC 与 SHA256 配合使用)下使用 NIST SP800-108 KDF。

SK

会话密钥:创建会话密钥是服务主机运营商与 HSM 之间交换经身份验证的椭圆曲线 Diffie-Hellman 密钥的结果。交换的目的是保护服务主机与域成员之间的通信。