键

以下列表定义了本文档中引用的密钥。

HBK

HSM 备用密钥：HSM 备用密钥是 256 位根密钥，从中派生特定用途密钥。

DK

域密钥：域密钥是一个 256 位的 AES-GCM 密钥。它在所有域成员之间共享，用于保护 HSM 备用密钥材料和 HSM 服务主机会话密钥。

DKEK

域密钥加密密钥：域密钥加密密钥是在主机上生成的 AES-256-GCM 密钥，用于加密跨 HSM 主机同步域状态的当前域密钥组。

(dHAK,QHAK)

HSM 协议密钥对：每个启动的 HSM 在曲线 secp384r1 (NIST-P384) 上都有一个本地生成的椭圆曲线 Diffie-Hellman 协议密钥对。

(dE, QE)

临时协议密钥对：HSM 和服务主机会生成临时协议密钥。这些密钥是曲线 secp384r1 (NIST-P384) 上的椭圆曲线 Diffie-Hellman 密钥。它们是在两个用例中生成的：建立 host-to-host加密密钥以在域令牌中传输域密钥加密密钥，以及建立 HSM-Service 主机会话密钥以保护敏感通信。

(dHSK,QHSK)

HSM 签名密钥对：每个启动的 HSM 在曲线 secp384r1 (NIST-P384) 上都有一个本地生成的椭圆曲线数字签名密钥对。

(dOS,QOS)

Operator signature key pair：服务主机 AWS KMS 运营商和运营商都有一个身份签名密钥，用于向其他域参与者进行身份验证。

K

数据加密密钥：一个 256 位 AES-GCM 密钥，源自 HBK，在计数器模式下使用 NIST SP8 00-108 KDF，使用 HMAC 和。 SHA256

SK

会话密钥：创建会话密钥是服务主机运营商与 HSM 之间交换经身份验证的椭圆曲线 Diffie-Hellman 密钥的结果。交换的目的是保护服务主机与域成员之间的通信。