Schlüssel auf Instanzebene im Key Management Framework

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Erfahren Sie mehr über Key Management Framework( KMF) Schlüsselstruktur, die Umschlagverschlüsselung verwendet, um sicherzustellen, dass alle Plattformschlüssel unter sind KMF Die Verwaltung wird durch eine Schlüsselkette geschützt. Kundendatenverschlüsselungsschlüssel (CDEKs) erstellt von KMF Sind auch in dieser Struktur enthalten

    an.

    KMF-Schlüsselspeicherarchitektur

    Die KMF Die Schlüsselstruktur verwendet das SafeNet KeySecure Hardware Security Module (HSM). Das HSM ist physisch und elektronisch manipulationssicher, um die zu erfüllen Sicherheitsstandard FIPS 140-2-L3 . KMF Verwendet Umschlagverschlüsselung, um sicherzustellen, dass alle Plattformschlüssel unter KMF Die Verwaltung wird durch eine Schlüsselkette geschützt, einschließlich der Modulschlüssel, die von generiert werden können KMF.

    Umschlagverschlüsselung

    Umschlagverschlüsselung ist die Praxis, einen Schlüssel mit einem anderen Schlüssel zu verschlüsseln, auch als Umbruch bezeichnet. Modulschlüssel werden durch den Instanzschlüssel-Verschlüsselungsschlüssel (IKEK) verschlüsselt, der wiederum durch den Instanzstammschlüssel (IRK) verschlüsselt wird, der schließlich durch den Stammschlüssel (Root Key, RK) verschlüsselt wird. Da auf das IRK nur vom HSM zugegriffen werden kann, muss das IKEK zur Entschlüsselung hochgeladen werden.

    Umschlagverschlüsselungs-Flow für ServiceNow-Schlüssel

    Auf Instanzebene KMF Definiert mehrere Schlüssel, die intern für unterschiedliche kryptografische Zwecke im verwendet werden ServiceNow AI Platform.

    Diese Tabelle enthält Beispiele für eine Teilmenge der verfügbaren Schlüssel, die von verwaltet und geschützt werden KMF.

    Schlüssel Standort Beschreibung
    Stammschlüssel (RK) Hardware-Sicherheitsmodell (HSM) Stammschlüssel, der zum Entschlüsseln des IRK verwendet wird.
    Instanz-Stammschlüssel (IRK) HSM Ein für Ihre Instanz eindeutiger Schlüssel, der zum Umhüllen der Verschlüsselung mehrerer interner Instanzschlüssel verwendet wird.
    Instanz-HMAC-Schlüssel (IHK) Instanz Das IHK ist pro Instanz eindeutig und wird intern für Zwecke des Hash-basierten Message Authentication Code (HMAC) verwendet.

    Das IHK hilft bei der Überprüfung der Authentizität und Integrität von Modulschlüsseln und wird entweder in KeySecure oder im Dateischlüsselspeicher eingeschlossen.
    Instanzschlüssel-Verschlüsselungsschlüssel (IKEK) Instanz

    Das IKEK umschließt die Modulschlüssel und wird entweder in KeySecure oder den Dateischlüsselspeicher eingeschlossen.
    Asymmetrischer Verschlüsselungsschlüssel für Instanz (IAEK) Instanz Ein für Ihre Instanz eindeutiger Schlüssel, der intern für asymmetrische Verschlüsselungszwecke verwendet wird.

    Das IAEK wird verwendet, um während vertrauliche Nachrichten zwischen einer Instanz zu übertragen Key Exchange Oder Instanzübergreifende Datenreplikation Verbrauchergenehmigung.
    Instanzsignaturschlüssel (ISK) Instanz Ein für Ihre Instanz eindeutiger Schlüssel, der intern zu Signierungszwecken verwendet wird.
    Password2 (PW2) Instanz Mit KMF, Der Schlüssel für PW2 Felder werden vollständig von verwaltet KMF.
    Kundendaten-Verschlüsselungsschlüssel (CDEK) Instanz Verschlüsselungsschlüssel, die über erstellt wurden KMF Sind von IKEK-Umschläge verschlüsselt.
    Datenverschlüsselungsschlüssel für Instanzdatenreplikation (IDR) (DEK) Instanz Bestimmte Verschlüsselungsschlüssel, die für den IDR-Prozess verwendet werden.