키 관리 프레임워크의 인스턴스 수준 키
(KMF) 아키텍처는 핵심 관리 프레임워크 보안을 염두에 두고 빌드된 키 구조를 도입합니다. HSM KMF (하드웨어 보안 모듈)을 사용하면 봉투 암호화를 사용하여 관리 중인 KMF 모든 플랫폼 키가 키 체인을 통해 보호됩니다. 에서 KMF 생성한 CDEK(고객 데이터 암호화 키)도 포함됩니다.
인스턴스 수준에서는 KMF 에서 다양한 암호화 목적으로 Now Platform내부적으로 사용되는 여러 키를 정의합니다.
봉투 암호화는 다른 키로 키를 암호화하는 방법입니다. 다음 그림은 봉투 암호화의 예를 보여줍니다. 여기서 CDEK는 IKEK에 의해 암호화된 봉투이며, 이는 다시 IRK에 의해 암호화된 봉투이며, 최종적으로 RK에 의해 암호화된 봉투입니다. IRK는 HSM에서만 액세스할 수 있으므로 암호 해독을 위해 IKEK를 업로드해야 합니다.
이 표에서는 에서 KMF관리하고 보호하는 사용 가능한 고객/앱 키의 하위 집합의 예를 제공합니다.
| 키 | 위치 | 설명 |
|---|---|---|
| 루트 키(RK) | HSM(하드웨어 보안 모델) | IRK의 암호를 해독하는 데 사용되는 루트 키입니다. |
| 인스턴스 루트 키(IRK) | HSM (HSM) | 여러 인스턴스 내부 키를 봉투 암호화하는 데 사용되는 인스턴스 고유 키입니다. |
| 인스턴스 HMAC 키(IHK) | 인스턴스 | 인스턴스마다 고유한 IHK는 내부적으로 HMAC(해시 기반 메시지 인증 코드) 용도로 사용됩니다. IHK는 모듈 키의 신뢰성과 무결성을 보장하는 데 도움이 되며 KeySecure 또는 파일 키 저장소에 래핑됩니다. |
| 인스턴스 키 암호화 키(IKEK) | 인스턴스 | IKEK는 모듈 키를 래핑하고 KeySecure 또는 파일 키 저장소에 래핑됩니다. |
| 인스턴스 비대칭 암호화 키(IAEK) | 인스턴스 | 비대칭 암호화를 위해 내부적으로 사용되는 인스턴스에 고유한 키입니다. IAEK는 소비자 승인 중 키 교환 또는 인스턴스 데이터 복제 인스턴스 간에 기밀 메시지를 전송하는 데 사용됩니다. |
| 인스턴스 서명 키(ISK) | 인스턴스 | 서명 목적으로 내부적으로 사용되는 인스턴스에 고유한 키입니다. |
| Password2(PW2) | 인스턴스 | 를 사용하면 KMF필드의 PW2 키가 에 의해 KMF완전히 관리됩니다. |
| 고객 데이터 암호화 키(CDEK) | 인스턴스 | 생성된 KMF 암호화 키는 IKEK에 의해 봉투로 암호화됩니다. |
| 인스턴스 데이터 복제(IDR) 데이터 암호화 키(DEK) | 인스턴스 | IDR 프로세스에 사용되는 특정 암호화 키입니다. |