密钥管理系统（KMS）术语

密钥（Key）：密钥是一串用于加密和解密数据的信息，是保护数据不被未授权访问的基础。根据用途和级别，密钥可分为主密钥、工作密钥等。

主密钥/本地主密钥（Master Key / Local Master Key）：作为密钥管理体系中最高级别的密钥，主密钥用于加密和保护其他密钥（如工作密钥）。由于其重要性，通常由硬件加密机（也称为：硬件安全模块（HSM））生成和存储，确保其安全性，所以也经常称为本地主密钥。

区别主密钥（Zone Master Key）：区别主密钥，用于密钥传输前的加密。比如要把工作密钥传输到各安全服务中心，就需要使用ZMK先加密工作密钥。一般使用公私钥来做。

工作密钥（Working Key）：直接用于业务数据的加解密操作。工作密钥由主密钥加密保护，以保障其安全。

数据加密密钥（Data Encryption Key，DEK）：专门用于加密和解密业务数据的密钥。在某些文献中，工作密钥和数据加密密钥可以是同一概念。

密钥加密密钥（Key Encryption Key，KEK）：专门用于加密和解密工作密钥的密钥。在分布式环境下，我们需要把一些工作密钥缓存在各机房的安全服务中心，就使用KEK加密后缓存，而不是缓存明文。

硬件安全模块（Hardware Security Module，HSM）：一种物理设备，专门用于生成、存储和管理数字密钥。就是我们俗称的硬件加密机。HSM提供了物理隔离和高级安全功能，确保密钥的安全。一般只能由特定授权的公司才能生产。在银行业，执牌金融机构基本都需要使用硬件加密机。

密钥生命周期（Key Lifecycle）：描述了密钥从生成到销毁整个过程中的各个阶段，包括生成、分发、激活、使用、轮换、废弃和销毁等。

密钥轮换（Key Rotation）：定期更换密钥的过程。通过轮换密钥，可以减少密钥被破解的风险，增强系统的安全性。

双因素认证（Two-Factor Authentication，2FA）：一种安全措施，要求用户提供两种不同形式的身份验证，通常是密码和物理令牌或手机接收到的一次性密码（OTP），用于增强安全性。比如在硬件加密机维护时，需要用户插入管理卡，并输入密码。

数字签名（Digital Signature）：使用私钥签名，公钥验签。用于验证消息或文档的完整性和来源的真实性。

加密（Encryption）：数据保护手段，将明文数据通过特定的算法和密钥转换成密文数据，需要解密后才能再次读取明文数据。常见的加密算法包括AES、RSA等。