本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 键 以下列表定义了本文档中引用的密钥。 **HBK** HSM 备用密钥:HSM 备用密钥是 256 位根密钥,从中派生特定用途密钥。 **DK** 域密钥:域密钥是一个 256 位的 AES-GCM 密钥。它在所有域成员之间共享,用于保护 HSM 备用密钥材料和 HSM 服务主机会话密钥。 **DKEK** 域密钥加密密钥:域密钥加密密钥是在主机上生成的 AES-256-GCM 密钥,用于加密跨 HSM 主机同步域状态的当前域密钥组。 ** (dHAK,QHAK) ** HSM 协议密钥对:每个启动的 HSM 在曲线 secp384r1 (NIST-P384) 上都有一个本地生成的椭圆曲线 Diffie-Hellman 协议密钥对。 ** (dE, QE)** 临时协议密钥对:HSM 和服务主机会生成临时协议密钥。这些密钥是曲线 secp384r1 (NIST-P384) 上的椭圆曲线 Diffie-Hellman 密钥。它们是在两个用例中生成的:建立 host-to-host加密密钥以在域令牌中传输域密钥加密密钥,以及建立 HSM-Service 主机会话密钥以保护敏感通信。 **(dHSK,QHSK) ** HSM 签名密钥对:每个启动的 HSM 在曲线 secp384r1 (NIST-P384) 上都有一个本地生成的椭圆曲线数字签名密钥对。 ** (dOS,QOS) ** Operator signature key pair:服务主机 AWS KMS 运营商和运营商都有一个身份签名密钥,用于向其他域参与者进行身份验证。 **K** 数据加密密钥:一个 256 位 AES-GCM 密钥,源自 HBK,在计数器模式下使用 NIST SP800 -108 KDF,使用 HMAC 和。 SHA256 **SK** 会话密钥:创建会话密钥是服务主机运营商与 HSM 之间交换经身份验证的椭圆曲线 Diffie-Hellman 密钥的结果。交换的目的是保护服务主机与域成员之间的通信。