Key Management Framework의 인스턴스 수준 키

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • (KMF) 아키텍처는 핵심 관리 프레임워크 보안을 염두에 두고 구축된 키 구조를 도입합니다. HSM KMF (하드웨어 보안 모듈)을 사용하면 봉투 암호화를 사용하여 관리 중인 KMF 모든 플랫폼 키가 키 체인을 통해 보호되도록 합니다. 생성한 KMF 고객 데이터 암호화 키(CDEK)도 포함됩니다.

    인스턴스 수준에서, KMF 전반에 걸쳐 Now Platform다양한 암호화 목적을 위해 내부적으로 사용되는 여러 키를 정의합니다.

    봉투 암호화는 다른 키를 사용하여 키를 암호화하는 방법입니다. 다음 그림은 봉투 암호화의 예를 제공합니다. 여기서 CDEK는 IKEK에 의해 봉투 암호화되고, 이는 다시 IRK에 의해 봉투 암호화되며, 최종적으로 RK에 의해 봉투 암호화됩니다. IRK는 HSM에서만 액세스할 수 있으므로 암호 해독을 위해 IKEK를 업로드해야 합니다.

    이 표에서는 에서 KMF관리하고 보호하는 사용 가능한 고객/앱 키의 하위 집합의 예를 제공합니다.

    위치 설명
    루트 키(RK) HSM(하드웨어 보안 모델) IRK의 암호를 해독하는 데 사용되는 루트 키입니다.
    인스턴스 루트 키(IRK) 증권 시세 표시기 여러 인스턴스 내부 키를 봉투 암호화하는 데 사용되는 인스턴스 고유의 키입니다.
    인스턴스 HMAC 키(IHK) 인스턴스 인스턴스마다 고유한 IHK는 HMAC(해시 기반 메시지 인증 코드) 목적으로 내부적으로 사용됩니다.

    IHK는 모듈 키의 신뢰성과 무결성을 확인하는 데 도움이 되며 KeySecure 또는 파일 키 저장소에 래핑됩니다.
    인스턴스 키 암호화 키(IKEK) 인스턴스

    IKEK는 모듈 키를 래핑하고 KeySecure 또는 파일 키 저장소에 래핑됩니다.
    인스턴스 비대칭 암호화 키(IAEK) 인스턴스 비대칭 암호화를 위해 내부적으로 사용되는 인스턴스에 고유한 키입니다.

    IAEK는 소비자 승인 중 키 교환인스턴스 데이터 복제 인스턴스 간에 기밀 메시지를 전송하는 데 사용됩니다.
    인스턴스 서명 키(ISK) 인스턴스 서명을 위해 내부적으로 사용되는 인스턴스에 고유한 키입니다.
    Password2(PW2) 인스턴스 를 사용하면 KMF필드의 키가 PW2 에 의해 KMF완전히 관리됩니다.
    고객 데이터 암호화 키(CDEK) 인스턴스 을 통해 KMF 생성된 암호화 키는 IKEK에 의해 봉투 암호화됩니다.
    인스턴스 데이터 복제(IDR) 데이터 암호화 키(DEK) 인스턴스 IDR 프로세스에 사용되는 특정 암호화 키입니다.