Key Management Framework의 인스턴스 수준 키
봉투 암호화를 사용하여 관리 중인 KMF 모든 플랫폼 키가 키 체인을 통해 보호되도록 하는 ()KMF 키 구조에 대해 핵심 관리 프레임워크 알아봅니다. 생성한 KMF 고객 데이터 암호화 키(CDEK)도 이 구조에 포함됩니다
.
KMF 키 스토리지 아키텍처
KMF 키 구조는 SafeNet KeySecure HSM(하드웨어 보안 모듈)을 사용합니다. HSM은 FIPS 140-2-L3 보안 표준을 충족하도록 물리적 및 전자적으로 변조 방지되도록 설계되었습니다. KMF 은 봉투 암호화를 사용하여 에서 생성할 KMF수 있는 모듈 키를 포함한 키 체인을 통해 관리 중인 KMF 모든 플랫폼 키를 보호합니다.
봉투 암호화
봉투 암호화는 다른 키를 사용하여 키를 암호화하는 방법으로, 래핑이라고도 합니다. 모듈 키는 인스턴스 키 암호화 키(IKEK)에 의해 봉투 암호화되고, 이 키는 인스턴스 루트 키(IRK)에 의해 봉투 암호화되며, 최종적으로 루트 키(RK)에 의해 봉투 암호화됩니다. IRK는 HSM에서만 액세스할 수 있으므로 암호 해독을 위해 IKEK를 업로드해야 합니다.
인스턴스 수준에서, KMF 전반에 걸쳐 ServiceNow AI Platform다양한 암호화 목적을 위해 내부적으로 사용되는 여러 키를 정의합니다.
이 표에서는 에서 관리하고 보호하는 사용 가능한 키의 하위 집합에 대한 KMF예를 제공합니다.
| 키 | 위치 | 설명 |
|---|---|---|
| 루트 키(RK) | HSM(하드웨어 보안 모델) | IRK의 암호를 해독하는 데 사용되는 루트 키입니다. |
| 인스턴스 루트 키(IRK) | 증권 시세 표시기 | 여러 인스턴스 내부 키를 봉투 암호화하는 데 사용되는 인스턴스 고유의 키입니다. |
| 인스턴스 HMAC 키(IHK) | 인스턴스 | 인스턴스마다 고유한 IHK는 HMAC(해시 기반 메시지 인증 코드) 목적으로 내부적으로 사용됩니다. IHK는 모듈 키의 신뢰성과 무결성을 확인하는 데 도움이 되며 KeySecure 또는 파일 키 저장소에 래핑됩니다. |
| 인스턴스 키 암호화 키(IKEK) | 인스턴스 |
IKEK는 모듈 키를 래핑하고 KeySecure 또는 파일 키 저장소에 래핑됩니다. |
| 인스턴스 비대칭 암호화 키(IAEK) | 인스턴스 | 비대칭 암호화를 위해 내부적으로 사용되는 인스턴스에 고유한 키입니다. IAEK는 소비자 승인 중 키 교환인스턴스 데이터 복제 인스턴스 간에 기밀 메시지를 전송하는 데 사용됩니다. |
| 인스턴스 서명 키(ISK) | 인스턴스 | 서명을 위해 내부적으로 사용되는 인스턴스에 고유한 키입니다. |
| Password2(PW2) | 인스턴스 | 를 사용하면 KMF필드의 키가 PW2 에 의해 KMF완전히 관리됩니다. |
| 고객 데이터 암호화 키(CDEK) | 인스턴스 | 을 통해 KMF 생성된 암호화 키는 IKEK에 의해 봉투 암호화됩니다. |
| 인스턴스 데이터 복제(IDR) 데이터 암호화 키(DEK) | 인스턴스 | IDR 프로세스에 사용되는 특정 암호화 키입니다. |