CN116671062A - 硬件安全模块的远程管理 - Google Patents
硬件安全模块的远程管理 Download PDFInfo
- Publication number
- CN116671062A CN116671062A CN202180083290.9A CN202180083290A CN116671062A CN 116671062 A CN116671062 A CN 116671062A CN 202180083290 A CN202180083290 A CN 202180083290A CN 116671062 A CN116671062 A CN 116671062A
- Authority
- CN
- China
- Prior art keywords
- key
- encrypted
- hsm
- mobile device
- decrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
- Selective Calling Equipment (AREA)
- Storage Device Security (AREA)
Abstract
一种用于硬件安全模块(HSM)的远程管理的计算机实现的方法,包括从移动设备接收命令请求。命令请求包括加密的密钥部分和加密的签名密钥。HSM使用与移动设备的安全区域相关联的密钥来解密命令请求。HSM对加密的密钥部分和加密的签名密钥进行解密。对加密的密钥部分和加密的签名密钥进行解密包括使用与移动设备的安全区域相关联的密钥和与远程管理员相关联的密钥,远程管理员与所述移动设备相关联。为具有目标HSM的域生成命令。使用解密的密钥部分和解密的签名密钥来生成命令。该命令被传输到域以由目标HSM执行。还公开了各种其他方法、***和计算机可读介质。
Description
背景技术
本发明一般涉及密码学,尤其涉及硬件安全模块的远程管理。
计算***可以利用不同的数据安全措施来保护数据免受未授权访问。例如,硬件安全模块(HSM)是提供密码功能以保护和管理密码密钥的计算设备和相关联的软件,该密码密钥包括用于数字签名的加密和解密功能、强认证和其他密码功能。HSM可以是直接连接或附着到安全计算设备或网络服务器的物理***卡或外部计算设备的形式。
HSM管理解决方案的现有技术利用双重控制以及其它安全技术来确保数据的保护。例如,HSM管理解决方案可能需要多个管理员(administrator),这些管理员具有包含HSM的主密钥的密钥部分的智能卡,以同时在物理安全空间中组装,并将包含其各自密钥部分的其智能卡呈现给***以配置HSM。然而,在管理员不能同时聚集在相同的物理安全空间中的情况下,HSM管理可能是不切实际的,并且阻碍了所需的进程。例如,如果一个或多个管理员不能在物理空间中呈现包含其各自密钥部分的其智能卡,则HSM不能被配置,因为形成主密钥所必需的所有密钥部分都不存在。如果每个人必须在家工作、一个或多个管理员在物理上不能前往安全空间、或阻止所有所需的管理员在物理上存在于安全空间中的其它类似障碍,则这可能发生。
用于远程管理HSM的常规技术已经引起了对远程管理员所需的共享秘密(sharedsecret)周围的安全性以及来自合法远程管理员的请求的真实性的关注。共享秘密是在安全通信中仅对所涉及的各方已知的数据片段。***的远程管理员需要利用共享秘密来管理安全环境之外的HSM。源于HSM管理的现有技术的一个安全问题包括如何安全地向和从远程管理员传输共享秘密。在一些示例中,移动设备和服务器之间的连接可能被危及,并且共享秘密可能被未授权用户截取,从而危及共享秘密的安全性。
一些现有的HSM管理解决方案使得能够在安全环境之外生成共享秘密。在一些情况下,HSM管理***允许终端用户或远程管理员使用他们自己的身份或关于移动设备的信息来生成他们自己的共享秘密。如果攻击者能够访问用于生成共享秘密的信息(例如,用户身份、移动设备信息等)并且解密或以其他方式获得共享秘密,则远程管理员在安全环境之外生成的共享秘密可能易受到利用的攻击。如果攻击者已经收集了关于用户的足够信息或者已经访问了他们的设备,这可能使得***易受攻击,则这样的***可能被破坏。
在一些现有的HSM管理解决方案中,当共享秘密被远程管理员持有时,在安全环境之外可能不能被充分地保护。例如,共享秘密可以由移动设备不加密,并且以未加密状态存储在移动设备上。如果未授权用户访问移动设备,则他们可能能够获得未受保护的共享秘密,从而使得***易受未授权用户的访问。
在一些现有的HSM管理解决方案中,从远程管理员接收的管理请求可能不是有效的或可信的。攻击者可以克隆由远程管理员控制的设备或者在不知道远程管理员的情况下访问该设备并且尝试访问***。这样的请求可以表现为有效或真实的,并且向未授权用户提供对***的访问。
发明内容
本发明的实施例涉及远程管理硬件安全模块(HSM)。根据本发明的一方面,提供了一种计算机实现的方法,包括由计算设备的处理器从移动设备接收命令请求,该命令请求包括加密的密钥部分和加密的签名密钥。HSM使用与移动设备的安全区域相关联的密钥来解密命令请求。HSM对加密的密钥部分和加密的签名密钥进行解密,以生成解密的密钥部分和解密的签名密钥。对加密的密钥部分和加密的签名密钥进行解密包含使用与移动设备的安全区域相关联的密钥和与远程管理员相关联的密钥,远程管理员与移动设备相关联。基于命令请求,为具有目标HSM的域生成命令。使用解密的密钥部分和解密的签名密钥来生成命令。该命令被传输到域以由目标HSM执行。
根据本发明的另一方面,提供了一种用于远程管理HSM的***。该***的非限制性示例包括具有计算机可读指令的存储器和用于执行计算机可读指令的一个或多个处理器。计算机可读指令可以实现上述方法。
根据本发明的另一方面,提供了一种用于远程管理HSM的计算机程序产品,该计算机程序产品包括其中包含有程序指令的计算机可读存储介质。程序指令可由处理器执行以使处理器执行上述方法。
因此,有利地,本发明的一个或多个实施例安全地管理用于远程管理HSM的共享秘密。这可允许远程管理员执行HSM管理而不必在一个位置组装,同时确保共享秘密保持受保护。
优选地,本发明提供一种方法,其中命令请求还可以包括与远程管理员相关联的加密的登录密钥,并且计算机实现的方法还可以包括HSM对加密的登录密钥进行解密以生成解密的登录密钥。对加密的登录密钥进行解密包含使用与移动设备的安全区域相关联的密钥和与远程管理员相关联的密钥,远程管理员与移动设备相关联。解密的登录密钥与命令一起被传输到域。因此,有利地,登录密钥可以与命令一起被传输到域。
优选地,本发明提供了一种方法,其中可以接收来自第二移动设备的第二命令请求。第二命令请求可以包括第二加密的密钥部分和第二加密的签名密钥。HSM使用与移动设备的安全区域相关联的密钥解密第二命令请求。HSM对第二加密的密钥部分和第二加密的签名密钥进行解密,以生成第二解密的密钥部分和第二解密的签名密钥。对第二加密的密钥部分和第二加密的签名密钥进行解密包括使用与安全区域相关联的密钥和与不同远程管理员相关联的不同密钥,不同远程管理员与第二移动设备相关联。使用第二解密的密钥部分和第二解密的签名密钥,可以为具有目标HSM的域生成第二命令。第二命令可被传输到域。因此,有利地,具有不同密钥部分的多个远程管理员可以远程管理HSM,而不必在一个位置组装,同时确保共享秘密保持受保护。
优选地,本发明提供了一种方法,其中,解密的密钥部分和第二解密的密钥部分是与域的目标HSM相关联的主密钥的一部分。因此,有利地,HSM可以由使用不同密钥部分的不同管理员使用双重控制来管理,不同密钥部分是HSM的主密钥的一部分。
优选地,本发明提供一种方法,其中可通过将移动设备登记在安全区域中并使移动设备与远程管理员相关联来提供移动设备。因此,有利地,用于远程管理HSM的移动设备被配置为确保对***所使用的共享秘密的保护。
优选地,本发明提供了一种方法,其中在将命令传输到域以由目标HSM执行之前,可以使用解密的签名密钥来对命令进行签名。因此,有利地,在向域传输期间,通过附加安全层来保护远程管理HSM的命令。
优选地,本发明提供了一种方法,其中可以基于从域接收的结果将消息传输到移动设备。因此,有利地,用从域接收的命令的结果来更新远程管理员。
根据本发明的另一方面,提供了一种用于远程管理HSM的计算机实现的方法。计算机实现的方法的非限制性实例包含由计算设备的处理器从与远程管理员相关联的移动设备接收包括加密的密钥部分和加密的签名密钥的加载密钥请求。可以验证来自移动设备的加载密钥请求。可以对加密的密钥部分和加密的签名密钥进行解密,以生成解密的密钥部分和解密的签名密钥。对加密的密钥部分和加密的签名密钥进行解密可包括使用与用于安全区域的证书授权机构(CA)证书的公钥相对应的私钥和与远程管理员的简档的CA证书的公钥相对应的私钥。可以为加载密钥请求指定的域建立加载密钥命令。加载密钥命令可包括解密的密钥部分,并使用解密的签名密钥来签名。加载密钥命令可被传输到域以供该域的目标硬件安全模块(HSM)执行。
因此,有利地,本发明的一个或多个实施例安全地管理用于远程管理HSM的共享秘密。这可允许远程管理员执行HSM管理而不必在一个位置组装,同时确保共享秘密保持受保护。
优选地,本发明提供一种计算机实现的方法,其中,使用用于安全区域的CA证书的公共密钥来加密加载密钥请求,并且验证加载密钥请求包括使用与用于安全区域的CA证书的公共密钥相对应的私有密钥来解密加载密钥请求。因此,有利地,由移动设备对加载密钥请求进行加密,以确保在将请求传输到***期间共享秘密受到保护。
根据本发明的另一方面,提供了一种针对远程管理HSM的计算机实现的方法。计算机实现的方法的非限制性示例可以包括由安全计算设备的处理器从与远程管理员相关联的移动设备接收包括加密的密钥部分和加密的签名密钥的加密的硬件安全模块(HSM)命令请求。来自移动设备的加密的HSM命令请求可以被解密。安全计算设备的HSM对加密的密钥部分和加密的签名密钥进行解密,以生成解密的密钥部分和解密的签名密钥。可以至少部分地基于解密的密钥部分和解密的签名密钥来生成与针对指定域的加密的HSM命令请求相对应的HSM命令。HSM命令可被发送到指定域,以便由指定域的目标HSM执行。
因此,有利地,本发明的一个或多个实施例安全地管理用于远程管理HSM的共享秘密。这可允许远程管理员执行HSM管理而不必在一个位置组装,同时确保共享秘密保持受保护。
优选地,本发明提供一种计算机实现的方法,其中,使用用于安全区域的CA证书的公共密钥来加密加载密钥请求,并且验证加载密钥请求包括使用与用于安全区域的CA证书的公共密钥相对应的私有密钥来解密加载密钥请求。因此,有利地,由移动设备对加载密钥请求进行加密,以确保在将请求传输到***期间共享秘密受到保护。
优选地,本发明提供了一种计算机实现的方法,其中,可以基于从指定域接收的结果向移动设备传输消息。因此,有利地,用从所述域接收的命令的结果来更新远程管理员。
通过本发明的技术实现了额外的技术特征和益处。本发明的实施例和方面在本文中详细描述,并且被认为是所要求保护的主题的一部分。为了更好地理解,参考详细描述和附图。
附图说明
在说明书所附的权利要求中特别指出并清楚地要求了本文描述的专有权的细节。从下面结合附图的详细描述中,本发明的实施例的前述和其它特征和优点将变得显而易见,其中:
图1是示出根据一个或多个示例实施例的用于硬件安全模块的远程管理的移动设备提供的示意图。
图2是示出根据一个或多个示例实施例的硬件安全模块的远程管理的示意图。
图3是根据一个或多个示例实施例的用于提供移动设备以用于硬件安全模块的远程管理的说明性方法的过程流程图。
图4是根据一个或多个示例实施例的用于由移动设备远程管理硬件安全模块的说明性方法的过程流程图。
图5是根据一个或多个示例实施例的用于由安全服务器远程管理硬件安全模块的说明性方法的过程流程图。
图6是根据本发明的一个或多个实施例的计算机***。
本文描述的图是说明性的。在不脱离本发明的范围的情况下,可以对其中描述的图或操作进行许多变化。例如,可以以不同的顺序执行动作,或者可以添加、删除或修改动作。此外,术语“耦合”及其变型描述了在两个元件之间具有通信路径,并且不暗示元件之间的直接连接,而在它们之间没有中间元件/连接。所有这些变化都被认为是说明书的一部分。
具体实施方式
本发明的示例实施例尤其涉及用于硬件安全模块(HSM)的远程管理的***、方法、计算机可读介质、技术和方法。用于远程管理HSM的传统方法引起了对远程管理员所需的共享秘密的安全性以及来自远程管理员的请求的真实性的关注。用于管理HSM的现有技术通常要求管理员在相同的物理空间中同时进行组装,以确保遵守要求使用符合级别的管理技术来管理HSM的标准和规定。然而,在管理员物理上不能在单个位置组装的情况下,这种技术是不切实际的。
本发明的一个或多个实施例针对远程HSM管理,其中HSM的主密钥(master key)被分成密钥部分(key part),存储在受保护存储装置中,并在受保护环境中安全地分发到不同的远程管理员。管理员能够远程管理HSM,同时遵守双重控制要求,而不必在相同的物理安全空间中进行物理组装。共享秘密被安全地分发,同时确保由***从管理员接收的请求被认证以确保请求来自经授权的管理员并且其移动设备未被危及。
在一些实施例中,诸如安全服务器的安全设备位于安全环境中。安全环境是安全位置,诸如具有有限访问的建筑物中的安全室间或楼层,用于支持远程HSM管理的安全设备位于该安全位置。安全设备执行诸如web应用的应用,以与安全环境之外的远程定位的移动设备通信,以用于远程HSM管理。在安全环境中提供诸如智能电话的移动设备。移动设备在安全区域中注册并被分配给远程管理员。当在安全环境中时,用于HSM管理的共享秘密被加载到所提供的移动设备上。共享秘密可以包括密钥部分,其是由指定的HSM使用的主密钥的组成部分。共享秘密在被传送到移动设备之前在安全环境中被加密,确保移动设备上的共享秘密是安全的,并且不能被设备的用户解密,或者如果移动设备的安全性已经被包括,则不能被任何人解密。
远程管理员可以将移动设备带到安全环境之外,并将它们用于远程HSM管理。举例来说,当在安全环境外部时,远程管理员可在其移动设备上打开应用且例如通过使用多因素认证来认证其自身。远程管理员从HSM列表中选择HSM以进行配置,并选择命令以在指定域的目标HSM上运行。远程管理员选择所需的共享秘密(例如,在提供期间加载到移动设备上),诸如密钥部分和/或签名密钥,其先前已在安全环境中加密。应用使用远程管理员的选择来建立请求,且用远程管理员的证书管理机构(CA)证书中的公钥来加密该请求。将加密的请求传输到安全环境中的安全设备。
安全设备从远程管理员的移动设备接收加密的请求。安全设备验证请求,并使用来自从远程管理员的移动设备接收的相应请求的信息来构建HSM命令。使用从相应请求获得的签名密钥对每个HSM命令进行签名,并将其发送到由相应请求指定的域。该命令由指定域的目标HSM执行。目标HSM将从所有指定的远程管理员接收请求,并可以从远程管理员中的每一个组装密钥部分,直到使用所收集的密钥部分形成主密钥。HSM命令由目标HSM在主密钥完成时执行。由目标HSM执行的命令的结果被发送回安全设备。安全设备可以生成指示从域接收的结果的消息,并且将该消息发送到移动设备。本文描述的***和方法提供了在遵守各种标准和规定的同时使用诸如双重控制的符合级别的管理技术来远程管理HSM的能力。
源于HSM管理的现有技术的安全问题是如何安全地向和从远程管理员传输共享秘密。在一些示例中,移动设备和服务器之间的连接可能被危及安全,并且共享秘密可能被非预期的接收者截取,从而危及共享秘密的安全性。本发明的一个或多个实施例便于由位于安全环境中的安全设备的HSM生成共享秘密。共享秘密可以被双重加密。例如,诸如密钥部分的共享秘密可以使用移动设备的安全区域的共享秘密来加密,并且使用与特定远程管理员相关联的共享秘密来加密。双重加密的共享秘密然后可以被加载到由远程管理员用于HSM的远程管理的提供的移动设备上。在安全环境中由HSM生成的双重加密共享秘密在安全环境之外时从不被解密。当远程管理员远程管理HSM时,他们可以选择双重加密的共享秘密以包括在发送到安全设备的命令请求中。因此,即使双重加密的共享秘密被截取,它也不能被未授权用户解密或被用来远程管理HSM,除非从其发送该秘密的移动设备已经被安全位置的安全设备正确地验证。
一些现有的HSM管理解决方案使得能够在安全环境之外生成共享秘密。HSM管理***可以使终端用户能够使用他们自己的身份或关于移动设备的信息来生成共享秘密。如果攻击者能够访问用于生成共享秘密并解密或以其他方式获得共享秘密的信息,则由远程管理员在安全环境之外生成的共享秘密可能易受到利用的攻击。本发明的一个或多个实施例便于使用双重加密的共享秘密,该共享秘密是由安全设备和相关联的HSM在安全环境中生成和加密的。共享秘密在安全环境之外不被解密,并且不以解密状态存储在移动设备上。因此,由安全设备的HSM生成的共享秘密在安全环境之外受到保护,因为它们被双重加密并且当被加载到移动设备上时,并且当作为用于远程管理HSM的HSM命令请求的一部分被移动设备发送回安全设备时被进一步加密,因此消除了现有HSM管理解决方案所呈现的漏洞。
下面将参考图1和图2提供对用于HSM的远程管理的示例***的详细描述。将结合图3至图5提供对应的计算机实现的方法的详细描述,此外,将结合图6提供用于实现本文描述的一个或多个实施例的示例计算***和网络体系结构的详细描述。
图1是用于远程管理HSM的移动设备提供的示例***100的框图。如该图中所示,示例***100可以包括用于执行一个或多个任务的一个或多个模块。如下文将更详细地解释,该模块可包括安全服务器130的HSM管理模块135及/或相应移动设备110A、110B、110C的应用115A、115B、115C。尽管图1中的一个或多个模块被示为单独的元件,但是它们可以表示单个模块或应用的一部分。
现在参考图1,根据本发明的示例实施例配置的***100包括安全环境105。安全服务器130可位于安全环境105中。安全环境105可以是安全位置,诸如组织或实体的建筑物中的安全室或楼层。安全环境105可以具有有限或受限的访问。如图1中的实施例所示,安全服务器130包括HSM管理模块135和HSM 140。在本发明的一个或多个其它实施例中,HSM 140连接到或附着到安全服务器130。
在一些实施例中,设置或配置安全服务器130可包括HSM管理模块135,其创建到一个或多个目标HSM的路径。HSM管理模块135可以执行和/或管理用于与已经被提供并且从安全环境105外部用来远程管理一个或多个目标HSM的移动设备(例如,110A、110B、110C)通信的应用,诸如web应用。另外,安全服务器130可以在安全区域中登记。安全区域由证书授权机构(CA)指定,并且可以表示发放和/或管理证书的实体或组织。在一些实施例中,CA智能卡、CA证书等可以定义安全区域。CA证书可密码链接设备(例如,移动设备110A、110B、110C、安全服务器130等)。
在一些实施例中,HSM管理模块135可以促进共享秘密120A、120B、120C、120D的生成和管理。HSM管理模块135可以促进HSM 140对共享秘密120A、120B、120C、120D的生成和管理。共享秘密120A、120B、120C、120D的示例可以包括远程管理员简档登录密钥、CCA正常模式签名密钥、CCA PCI模式签名密钥、EP11签名密钥和/或密钥部分。CCA正常签名密钥可以是不受支付卡行业(PCI)约束的非对称密钥。CCA PCI模式签名密钥可以是遵循PCI规则的非对称密钥。EP11签名密钥可以是遵守PKCS#11公钥加密API接口到加密令牌的非对称密钥。HSM管理模块135可以促进将目标HSM的主密钥分割、划分或以其他方式分解成不同的密钥部分,并将这些密钥部分分配给不同的远程管理员。每一移动设备110A、110B、110C具有不同的共享秘密120A、120B、120C(例如,密钥部分、签名密钥等),其可由CA证书的定义安全区域的公钥和与每一相应远程管理员相关联的相应远程管理员简档的相应公钥来加密。HSM管理模块135可以生成并存储分发给移动设备110A、110B、110C以用于远程管理HSM的加密的共享秘密120D。
安全服务器130的HSM管理模块135可以准备共享秘密120D,从而在它们被提供并分配给特定远程管理员之后,它们可以被加载到移动设备110A、110B、110C。HSM管理模块135可以用定义安全区域的CA证书的公共密钥来加密共享秘密120D(例如,密钥部分、签名密钥、远程管理员登录密钥等)。HSM管理模块135可以用远程管理员的简档的证书的公钥来加密共享秘密。在一些实施例中,HSM管理模块135可以设置最大下载计数,以限制在一段时间内,移动设备110A、110B、110C可以下载共享秘密120D的次数。
在安全环境105中提供移动设备110A、110B、110C。在一些实施例中,每个移动设备直接连接到安全服务器130。例如,移动设备110A可以通过直接连接150(诸如通用串行总线(USB)连接)连接到安全服务器130。在一些实施例中,可以通过在移动设备110A中安装具有必要数据的存储器卡、由移动设备110A扫描QR码、使用诸如BluetoothTM或近场通信(NFC)的短距离无线技术或类似技术来提供移动设备110A。
在一些实施例中,移动设备110A在安全区域中登记。移动设备110A可以通过下载定义安全区域的CA证书来在安全区域中登记。安全区域指示设备与管理和/或发布CA证书的实体或组织的从属关系。可将移动设备110A分配给远程管理员。在一些实施例中,通过将远程管理员简档登录密钥共享秘密加载到移动设备110A上而将移动设备110A分配给远程管理员,远程管理员简档登录密钥共享秘密可以是存储在安全服务器130的HSM 140上的远程管理员简档的证书的公钥。
在一些实施例中,用于安装在所提供的移动设备110A、110B、110C上的应用115A、115B、115C可以存储在安全服务器130上,并且在提供期间被传送到移动设备110A、110B、110C。在一些实施例中,应用115A、115B、115C可以可用于从诸如应用商店或应用市场的应用分发平台下载。应用115A、115B、115C可以由移动设备110A、110B、110C用来建立到安全服务器130的安全连接,以与安全服务器130通信来远程管理一个或多个HSM。如果移动设备110A、110B、110C从应用分发平台下载应用115A、115B、115C,则可以在安全环境105中的单独步骤中完成移动设备110A、110B、110C提供。移动设备110A、110B、110C上的应用115A、115B、115C可为在第一次执行应用时由远程管理员设置的PIN保护的PIN。另外,所提供的移动设备110A、110B、110C可以由远程管理员设置的不同PIN来保护。可以要求移动设备PIN符合由***100的管理员确定的一个或多个安全策略。在一些实施例中,应用115A、115B、115C可以存储由HSM 140生成和加密并在提供期间被传送到相应移动设备110A、110B、110C的共享秘密120A、120B、120C。在一些实施例中,共享秘密120A、120B、120C可以包括分配给相应移动设备110A、110B、110C的不同密钥部分,这些密钥部分被组合以形成主密钥,以访问和管理HSM。在一些实施例中,共享秘密120A、120B、120C可以在安全环境105中时在提供期间被加载到移动设备110A、110B、110C上。在移动设备已经在安全环境105中被提供并且随后被传输到安全环境105之外之后,共享秘密120D可以被安全地传输到移动设备110A、110B、110C。
在一些实施例中,移动设备110A、110B、110C在安全环境105中提供,且可在安全环境105外部发送到远程管理员和/或从安全环境105输送出且物理地递送到相应远程管理员。
在此关于图1的***100描述的实施例可以用任何适当的逻辑来实现,其中在此提及的逻辑可以包括任何适当的硬件(例如,处理器、嵌入式控制器或专用集成电路等)、软件(例如,应用等)、固件或在各种实施例中的硬件、软件和固件的任何适当的组合。
图2是用于远程管理HSM的示例***200的框图。如该图所示,示例***200可以包括用于执行一个或多个任务的一个或多个模块。如下文将更详细地解释,该模块可包括安全服务器130的HSM管理模块135及/或在相应移动设备110A、110B、110C上执行的应用115A、115B、115C。尽管图1中的一个或多个模块被示为单独的元件,但是它们可以表示单个模块或应用的一部分。
在如图1中所描述的以及图3中进一步详细描述的,已经配置了移动设备110A、110B、110C之后,它们可以远离安全环境105,并且由它们的分配的远程管理员从安全环境105的外部使用,以远程管理HSM。加载到相应移动设备110A、110B、110C上的应用115A、115B、115C可用于安全地存储它们相应的共享秘密120A、120B、120C,这些共享秘密在提供期间或在提供完成之后被加载到它们相应的设备上。在一些实例中,移动设备110A、110B、110C的远程管理员可执行其相应应用115A、115B、115C以经由网络210与位于安全环境105中的安全服务器130建立安全连接。例如,移动设备110A的远程管理员可以使用应用115A来选择参数(例如,要配置的域、共享秘密120A的选择、命令的选择等),以生成HSM命令请求,用于在指定域的HSM上执行。应用115A可以加密HSM命令请求,并且将命令请求安全地发送到安全服务器130的HSM管理模块135。
HSM管理模块135可以从移动设备110A、110B、110C接收一个或多个HSM命令请求,并对其进行处理。在一些实施例中,HSM管理模块135可以验证从移动设备110A、110B、110C接收的所接收的HSM命令请求。在一些示例中,HSM管理模块135可以指示HSM 140对加密的请求进行解密和/或对从移动设备110A、110B、110C接收的共享秘密120A、120B、120C进行解密。HSM 140可以使用存储在HSM 140中的对应的共享秘密120D来解密加密的请求和/或解密共享秘密120A、120B、120C。HSM管理模块135然后可以基于接收到的HSM命令请求来构建HSM命令,并且将该命令发送到指定域以供目标HSM执行,如HSM命令请求中所指定的。
指定域(未示出)可以从HSM管理模块135接收命令。HSM管理模块135可以发送来自相应移动设备110A、110B、110C的多个命令。指定域的目标HSM可以从接收自HSM管理模块135的不同命令获得共享秘密120A、120B、120C,并且可以将共享秘密120A、120B、120C添加到目标HSM内的寄存器,直到形成主密钥。在一些示例中,目标HSM可以执行逻辑操作(例如,XOR)或组合数据的其他手段,以组装从HSM管理模块135接收的不同命令接收的共享秘密120A、120B、120C(例如,密钥部分)以产生主密钥,该主密钥可以用于执行从HSM管理模块135接收的命令。在指定域的目标HSM完成命令的执行时,将结果发送回HSM管理模块135。HSM管理模块135可接收结果,并向相应的移动设备110A、110B、110C生成指示由目标HSM执行的命令的结果的消息。
在此关于图2的***200描述的实施例可以用任何适当的逻辑来实现,其中在此提及的逻辑可以包括任何适当的硬件(例如,处理器、嵌入式控制器或专用集成电路等)、软件(例如,应用等)、固件或在各种实施例中硬件、软件和固件的任何适当的组合。
现在参考图3,根据本发明的示例实施例配置的***100提供一个或多个移动设备110A、110B、110C。参考图3描述的处理的全部或一部分可以由图1的安全环境105中的安全服务器130执行,以提供一个或多个移动设备110A、110B、110C。在安全环境105中,一次一个地提供移动设备110A、110B、110C。可以通过使用直接连接150(诸如使用USB连接、扫描QR码、使用NFC技术或BluetoothTM等)将移动设备110A、110B、110C与安全服务器130连接(一次一个)来提供移动设备110A、110B、110C。
在框302处,用于提供移动设备的方法300包括将移动设备110A、110B、110C登记到安全区域。在一些实施例中,通过下载在移动设备110A上定义安全区域的CA证书,在安全区域中登记移动设备110A。CA证书指示诸如移动设备110A的设备与管理和/或发布CA证书的实体或组织的从属关系。
在框304处,用于提供移动设备的方法300包括将移动设备110A分配给远程管理员。在一些实施例中,HSM管理模块135可以定义或标识用户,并将它们分配给远程管理简档。在一些实施例中,远程管理员简档可以被存储为一组远程管理员简档对象。在一些实施例中,远程管理简档对象可以存储或包含在安全服务器130的HSM 140上。远程管理简档对象可以包含远程管理简档证书和与远程管理简档的证书中的公钥相对应的私钥。在一些实施例中,通过加载远程管理员简档登录密钥秘密将移动设备110A分配给远程管理员。
在框306处,用于提供移动设备的方法300包括将共享秘密120A加载到移动设备110A上。在一些实施例中,共享秘密120A在提供期间被加载到移动设备110A上。在一些实施例中,用户可以通过在移动设备110A上执行的应用115A请求安全服务器130发送共享秘密120A(例如,加密的密钥部分、加密的签名密钥等)。在一些实施例中,移动设备110A可以通过在移动设备110A上执行的应用115A请求为该特定远程管理员生成的新的共享秘密120A。新的共享秘密120A可以由安全服务器130加密并发送到移动设备110A。可以对每个移动设备重复该方法。例如,通过使用直接连接150将移动设备110B连接到安全服务器130、提供移动设备110B、下载应用115B和加载为移动设备110B生成和加密的共享秘密120B,可以对移动设备110B重复框302至306。通过使用直接连接150将移动设备110C连接到安全服务器130、提供移动设备110C、下载应用115C和加载为移动设备110C生成和加密的共享秘密120C,可以对移动设备110C重复框302至306。每个移动设备110A、110B、110C由其自身提供,因为共享秘密120A、120B、120C对应于它们各自的移动设备110A、110B、110C。
图3的过程流程图不旨在指示方法300的操作将以任何特定顺序执行,或者方法300的所有操作将被包括在每种情况中。另外,方法300可包括任何合适数量的附加操作。
现在参考图4,在方法400的框402,根据本发明的示例实施例配置的***200建立与安全服务器130的连接。参考图4描述的处理的全部或一部分可以由通常位于图2的安全环境105之外的移动设备110A、110B、110C执行,以远程管理HSM。在一些示例中,移动设备110A的应用115A通过一个或多个网络210建立与安全服务器130的连接。远程管理员可在移动设备110A上打开应用115A。移动设备110A上的应用115A可以在第一次打开应用115A时由远程管理员设置的PIN来保护。在一些实施例中,远程管理员可指定用以访问在安全服务器130上执行的网络应用的网络地址。远程管理员诸如通过多因素验证询问向在移动设备110A上执行的应用115A进行验证。
在方法400的框404处,在移动设备110A上执行的应用115A的计算机可执行指令生成对域的目标HSM的HSM命令请求。应用115A便于远程管理员从可用HSM列表中选择要配置的目标HSM。远程管理员可以选择用于在目标HSM上执行的命令,诸如LOADKEY命令,并选择在目标HSM上执行该命令所需的共享秘密120A。移动设备110A的共享秘密120A可包括在移动设备110A的提供期间和/或在提供移动设备110A之后加载的与远程管理员的简档相关联的加密的密钥部分、加密的签名密钥和/或加密的登录密钥秘密。应用115A可使用远程管理员的选择来生成用于指定域的目标HSM的HSM命令请求。
在方法400的框406处,在移动设备110A上执行的应用115A的计算机可执行指令对HSM命令请求进行加密。在一些实施例中,应用115A用定义安全区域的CA证书的公共密钥加密HSM命令请求。应用115A将加密的HSM命令请求发送到在安全环境105中执行的安全服务器130。在一些示例中,应用115A将加密的HSM命令请求传输到安全服务器130的HSM管理模块135。
在方法400的框408处,应用115A的计算机可执行指令从安全服务器130接收消息。例如,该消息可以包括在指定域的目标HSM上执行的HSM命令的结果。在一些示例中,消息可以显示肯定或否定的语句,其指示在指定域的目标HSM上执行的HSM命令的执行的成功或失败。
图4的过程流程图不旨在指示方法400的操作将以任何特定顺序执行,或者方法400的所有操作将被包括在每种情况中。另外,方法400可以包括任何适当数量的附加操作。
现在参考图5,在方法500的框502处,根据本发明示例性实施例配置的***200对从诸如110A、110B或110C的移动设备接收的HSM命令请求进行解密。HSM管理模块135可以通过由在移动设备110A、110B、110C上执行的相应应用115A、115B、115C建立的连接接收加密的HSM命令请求,如图3中所述,HSM管理模块135可以促进HSM 140对从移动设备110A、110B、110C接收的请求进行解密。例如,HSM 140可以使用与定义安全区域的CA证书的公共密钥相对应的私有密钥来解密所接收的HSM命令请求。HSM管理模块135可以促进对在解密的请求中接收的共享秘密120A、120B、120C的解密。HSM 140可以对例如与远程管理员的简档相关联的密钥部分、签名密钥和/或登录密钥进行解密,它们中的每一个可以彼此独立地加密,并且使用定义安全区域的CA证书的公钥和远程管理员的简档的CA证书的公钥来双重加密。HSM 140在HSM管理模块135的指导下,可以使用存储在HSM上的相应共享秘密120D,诸如与定义安全区域的CA证书的公共密钥相对应的私有密钥,来解密从移动设备110A、110B、110C接收的HSM命令请求的共享秘密120A、120B、120C。HSM 140可以使用共享秘密120D,诸如与远程管理员的简档的CA证书的公钥相对应的私钥,来对从移动设备110A、110B、110C接收的HSM命令请求的共享秘密120A、120B、120C进行解密。
在方法500的框504处,在安全服务器130上执行的HSM管理模块135的计算机可执行指令生成用于要配置的域的HSM命令。HSM命令是基于从移动设备110A接收的HSM命令请求而生成的。HSM命令包括已由HSM 140解密的分配给远程管理员的密钥部分。HSM命令可以包括当HSM命令请求被生成时将被配置为由远程管理员指定的域。HSM命令可以被生成以由要配置的域的目标HSM执行。
在方法500的框506处,在安全服务器130上执行的HSM管理模块135的计算机可执行指令将HSM命令传输到域。在一些实施例中,可以用在正被配置的目标HSM与安全服务器130之间协商的传输密钥来包装分配给远程管理员的密钥部分。
在方法500的框508处,在安全服务器130上执行的HSM管理模块135的计算机可执行指令将消息传输到传输HSM命令请求的移动设备110A、110B、110C。在一些实施例中,响应于接收到由正被配置的域的目标HSM执行HSM命令的结果而生成消息。目标HSM的结果被传输到安全服务器130的HSM管理模块135,并且传输到移动设备的消息包含基于从正被配置的域的目标HSM接收的结果的肯定或否定指示。
在一些实施例中,安全服务器130从与相应的分配的远程管理员相关联的不同的移动设备110A、110B、110C接收加密的请求。安全服务器130的HSM管理模块135验证请求,并使用来自从远程管理员的移动设备110A、110B、110C接收的相应请求的信息来构建HSM命令。使用从相应请求获得的签名密钥对每个HSM命令进行签名,并将其发送到由相应请求指定的域。该命令由指定域的目标HSM执行。目标HSM将基于由安全服务器130从所有指定的远程管理员接收的HSM命令请求来接收HSM命令。指定域的目标HSM组装来自每个远程管理员的密钥部分,直到使用所收集的密钥部分形成主密钥。在一些示例中,来自由目标HSM接收的每个命令的关键部分被添加到目标HSM内的寄存器。存储在目标HSM的寄存器上的密钥部分可以使用逻辑运算(例如XOR)或组合数据的其他手段来组合以产生主密钥。HSM命令由目标HSM在主密钥完成或形成时执行。由目标HSM执行的命令的结果被发送回HSM管理模块135。HSM管理模块135生成指示从域接收的结果的消息,并将该消息发送到相应的移动设备110A、110B、110C。
在一些实施例中,在安全服务器130上执行的HSM管理模块135检测远程管理员的移动设备的不寻常或未授权访问。例如,HSM管理模块135从相同的IP地址接收多个无效请求。HSM管理模块135标识与IP地址相关联的移动设备110A、110B、110C,并确定无效请求的数量超过指定阈值。移动设备110A、110B、110C可被添加到限制列表或拒绝列表。在一些示例中,移动设备110A、110B、110C在指定时间段(例如,1小时)内被添加到列表。在一些实施例中,拒绝移动设备110A、110B、110C访问安全服务器130,直到管理员从受限列表或拒绝列表中移除移动设备110A、110B、110C。在一些实施例中,如果移动设备110A、110B、110C在受限或拒绝列表上,那么可远程擦除移动设备110A、110B、110C或撤销远程管理员的简档的证书,借此移除移动设备110A、110B、110C对安全服务器130的访问。在一些实施例中,如果移动设备110A、110B、110C被怀疑被危及或渗透,则移动设备110A、110B、110C可以被远程擦除,或者远程管理员的简档的证书可以由HSM管理模块135基于一个或多个安全策略或由***的管理员撤销。如果移动设备110A、110B、110C已被擦除或远程管理员的简档的证书已被撤销,那么将需要将移动设备110A、110B、110C带回到安全环境105以再次提供,或将需要在安全环境105中为远程管理员提供新的移动设备并将其递送到远程管理员以使其获得对安全服务器130的访问。
图5的过程流程图不旨在指示方法500的操作将以任何特定顺序执行,或者方法500的所有操作将被包括在每种情况中。另外,方法500可以包括任何适当数量的附加操作。
现在转到图6,根据本发明的实施例一般地示出了计算机***600。计算机***600可以是包括和/或采用任何数量的计算设备和网络及其组合的电子计算机架构,该计算设备和网络利用各种通信技术,如本文所述。计算机***600可以是容易地可缩放、可扩展和模块化的,具有改变到不同服务或独立于其它特征重新配置一些特征的能力。计算机***600可以是例如服务器、台式计算机、膝上型计算机、平板计算机或智能电话。在一些示例中,计算机***600可以是云计算节点。计算机***600可以在计算机***可执行指令的一般上下文中描述,诸如由计算机***执行的程序模块。通常,程序模块可以包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机***600可以在分布式云计算环境中实践,其中任务由通过通信网络链接的远程处理设备执行。在分布式云计算环境中,程序模块可以位于包括存储器存储设备的本地和远程计算机***存储介质中。
如图6所示,计算机***600具有一个或多个中央处理单元(CPU)601a、601b、601c等(统称为或统称为处理器601)。处理器601可以是单核处理器、多核处理器、计算集群或任何数量的其他配置。处理器601也称为处理电路,其经由***总线602耦合到***存储器603和各种其它组件。***存储器603可以包括只读存储器(ROM)604和随机访问存储器(RAM)605。ROM 604耦合到***总线602,并且可以包括基本输入/输出***(BIOS),其控制计算机***600的某些基本功能。RAM是耦合到***总线602以供处理器601使用的读写存储器。***存储器603在操作期间为所述指令的操作提供临时存储器空间。***存储器603可以包括随机访问存储器(RAM)、只读存储器、闪存或任何其他合适的存储器***。
计算机***600包括耦合到***总线602的输入/输出(I/O)适配器606和通信适配器607。I/O适配器606可以是与硬盘608和/或任何其它类似组件通信的小型计算机***接口(SCSI)适配器。I/O适配器606和硬盘608在此被统称为大容量存储装置610。
用于在计算机***600上执行的软件611可以存储在大容量存储装置610中。大容量存储装置610是处理器601可读的有形存储介质的示例,其中软件611被存储为由处理器601执行以使计算机***600操作的指令,诸如本文以下关于各附图所描述的。计算机程序产品和这种指令的执行的示例在此更详细地讨论。通信适配器607将***总线602与网络612互连,该网络可以是外部网络,使得计算机***600能够与其他这样的***通信。在一个实施例中,***存储器603的一部分和大容量存储装置610共同存储操作***,该操作***可以是任何适当的操作***,诸如来自IBM公司的z/OS或AIX操作***,以协调图6中所示的各种组件的功能。
附加的输入/输出设备被示为经由显示适配器615和接口适配器616连接到***总线602。在一个实施例中,适配器606、607、615和616可以连接到一个或多个I/O总线,这些I/O总线经由中间总线桥(未示出)连接到***总线602。显示器619(例如,屏幕或显示监视器)通过显示适配器615连接到***总线602,该显示适配器可以包括图形控制器以提高图形密集应用和视频控制器的性能。键盘621、鼠标622、扬声器623等可以经由接口适配器616互连到***总线602,该接口适配器可以包括例如将多个设备适配器集成到单个集成电路中的超级I/O芯片。用于连接诸如硬盘控制器、网络适配器和图形适配器的***设备的合适的I/O总线通常包括公共协议,诸如***组件互连(PCI)。因此,如图6中所配置的,计算机***600包括处理器601形式的处理能力,以及包括***存储器603和大容量存储装置610的存储能力、诸如键盘621和鼠标622的输入设备,以及包括扬声器623和显示器619的输出能力。
在一些实施例中,通信适配器607可以使用任何合适的接口或协议(诸如因特网小型计算机***接口等)来传输数据。网络612可以是蜂窝网络、无线电网络、广域网(WAN)、局域网(LAN)或因特网等。外部计算设备可以通过网络612连接到计算机***600。在一些示例中,外部计算设备可以是外部网络服务器或云计算节点。
应当理解,图6的框图不旨在指示计算机***600要包括图6中所示的所有组件,相反,计算机***600可以包括图6中未示出的任何适当的更少或附加的组件(例如,附加的存储器组件、嵌入式控制器、模块、附加的网络接口等)。此外,本文关于计算机***600描述的实施例可以用任何适当的逻辑来实现,其中如本文所提到的逻辑可以在各种实施例中包括任何适当的硬件(例如,处理器、嵌入式控制器或专用集成电路等)、软件(例如,应用等)、固件或硬件、软件和固件的任何适当组合。
本发明可以是任何可能的技术细节集成水平的***、方法和/或计算机程序产品。计算机程序产品可以包括其上具有计算机可读程序指令的(一个或多个)计算机可读存储介质,该计算机可读程序指令用于使处理器执行本发明的各方面。
计算机可读存储介质可以是能够保持和存储指令以供指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机访问存储器(SRAM)、便携式光盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、诸如上面记录有指令的打孔卡或凹槽中的凸起结构的机械编码设备,以及上述的任何适当组合。如本文所使用的计算机可读存储介质不应被解释为暂时性信号本身,诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,通过光纤线缆的光脉冲)、或通过导线传输的电信号。
本文描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备,或者经由网络,例如因特网、局域网、广域网和/或无线网络,下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或网络接口从网络接收计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据,或者以一种或多种编程语言(包括面向对象的编程语言,例如Smalltalk、C++等)和过程式编程语言(例如“C”编程语言或类似的编程语言)的任何组合编写的源代码或目标代码。计算机可读程序指令可以完全在用户的计算机上执行,部分在用户的计算机上执行,作为独立的软件包执行,部分在用户的计算机上并且部分在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络连接到用户的计算机,包括局域网(LAN)或广域网(WAN),或者可以连接到外部计算机(例如,使用因特网服务提供商通过因特网)。在一些实施例中,为了执行本发明的各方面,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化。
在此参考根据本发明实施例的方法、装置(***)和计算机程序产品的流程图和/或框图描述本发明的各方面。将理解,流程图和/或框图的每个框以及流程图和/或框图中的框的组合可以由计算机可读程序指令来实现。
这些计算机可读程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图的一个或多个框中指定的功能/动作的装置。这些计算机可读程序指令还可以存储在计算机可读存储介质中,其可以引导计算机、可编程数据处理装置和/或其他设备以特定方式工作,使得其中存储有指令的计算机可读存储介质包括制品,该制品包括实现流程图和/或框图的一个或多个框中指定的功能/动作的方面的指令。
计算机可读程序指令还可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图的一个或多个框中指定的功能/动作。
附图中的流程图和框图示出了根据本发明的各种实施例的***、方法和计算机程序产品的可能实现的架构、功能和操作。在这点上,流程图或框图中的每个框可以表示指令的模块、段或部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些替代实施方式中,框中所注明的功能可不按图中所注明的次序发生。例如,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行,这取决于所涉及的功能。还将注意,框图和/或流程图图示的每个框以及框图和/或流程图图示中的框的组合可以由执行指定功能或动作或执行专用硬件和计算机指令的组合的专用的基于硬件的***来实现。
已经出于说明的目的给出了本发明的各种实施例的描述,但是其不旨在是穷尽的或限于所公开的实施例。在不背离所描述的实施例的范围的情况下,许多修改和变化对于本领域的普通技术人员将是显而易见的。选择本文所使用的术语以最好地解释实施例的原理、实际应用或对市场上存在的技术改进,或使本领域的其他普通技术人员能够理解本文所描述的实施例。
在此参考相关附图描述本发明的各种实施例。在不偏离本发明的范围的情况下,可以设计本发明的替代实施例。在以下描述和附图中,在元件之间阐述了各种连接和位置关系(例如,上方、下方、相邻等)。除非另有说明,这些连接和/或位置关系可以是直接的或间接的,并且本发明并不旨在在这方面进行限制。因此,实体的耦合可以指直接或间接耦合,并且实体之间的位置关系可以是直接或间接位置关系。此外,本文所述的各种任务和过程步骤可并入具有本文未详细描述的额外步骤或功能性的更综合程序或过程中。
以下定义和缩写用于解释权利要求和说明书。如本文所用,术语“包含”、“包括”、“具有”、“含有”或其任何其它变型旨在涵盖非排他性的包括。例如,包括一系列要素的组合物、混合物、工艺、方法、制品或装置不一定仅限于那些要素,而是可以包括未明确列出的或此类组合物、混合物、工艺、方法、制品或装置固有的其他要素。
另外,术语“示例性”在本文中用于表示“用作示例、实例或说明”。在此描述为“示例性”的任何实施例或设计不一定被解释为比其它实施例或设计更优选或有利。术语“至少一个”和“一个或多个”可以理解为包括大于或等于一的任何整数,即一、二、三、四等。术语“多个”可以理解为包括大于或等于二的任何整数,即二、三、四、五等。术语“连接”可以包括间接“连接”和直接“连接”两者。
术语“约”、“基本上”、“大约”及其变体旨在包括与基于提交本申请时可用的设备的特定量的测量相关联的误差度。例如,“约”可以包括给定值的±8%或5%或2%的范围。
为了简洁起见,与制造和使用本发明的方面相关的常规技术可以或可以不在本文中详细描述。特别地,用于实现本文描述的各种技术特征的计算***和特定计算机程序的各个方面是公知的。因此,为了简洁起见,许多常规实现细节在本文中仅简要提及或完全省略,而不提供众所周知的***和/或过程细节。
Claims (25)
1.一种计算机实现的方法,包括:
由计算设备的处理器从移动设备(110A)接收命令请求,所述命令请求包括加密的密钥部分和加密的签名密钥;
由硬件安全模块(HSM)(140)使用与所述移动设备的安全区域相关联的密钥来解密所述命令请求;
由所述HSM对所述加密的密钥部分和所述加密的签名密钥进行解密以生成解密的密钥部分和解密的签名密钥,其中对所述加密的密钥部分和所述加密的签名密钥进行解密包括使用与所述移动设备的安全区域相关联的密钥和与远程管理员相关联的密钥,所述远程管理员与所述移动设备相关联;
为具有目标HSM的域并且基于所述命令请求,使用所述解密的密钥部分和所述解密的签名密钥来生成命令;以及
将所述命令传输到所述域以供所述目标HSM执行。
2.根据权利要求1所述的计算机实现的方法,其中所述命令请求还包括与所述远程管理员相关联的加密的登录密钥,并且所述计算机实现的方法还包括:
由所述HSM(140)对所述加密的登录密钥进行解密以生成解密的登录密钥,其中对所述加密的登录密钥进行解密包括使用与所述移动设备的安全区域相关联的密钥和与所述远程管理员相关联的密钥,所述远程管理员与所述移动设备相关联;以及
将所述解密的登录密钥与所述命令一起发送到所述域。
3.根据权利要求1所述的计算机实现的方法,还包括:
由所述计算设备的处理器从第二移动设备(110B)接收第二命令请求,所述第二命令请求包括第二加密的密钥部分和第二加密的签名密钥;
由所述HSM(140)使用与所述移动设备(110A)的安全区域相关联的密钥解密所述第二命令请求;
由所述HSM对所述第二加密的密钥部分和所述第二加密的签名密钥进行解密以生成第二解密的密钥部分和第二解密的签名密钥,其中对所述第二加密的密钥部分和所述第二加密的签名密钥进行解密包括使用与所述安全区域相关联的密钥和与不同远程管理员相关联的不同密钥,所述不同远程管理员与所述第二移动设备相关联;
针对具有所述目标HSM的域,使用所述第二解密的密钥部分和所述第二解密的签名密钥生成第二命令;以及
将所述第二命令传输到所述域。
4.根据权利要求3所述的计算机实现的方法,其中所述解密的密钥部分和所述第二解密的密钥部分是与所述域的目标HSM相关联的主密钥的一部分。
5.根据权利要求1所述的计算机实现的方法,还包括通过将所述移动设备登记在所述安全区域中并且使所述移动设备与所述远程管理员相关联来提供所述移动(110A)设备。
6.根据权利要求1所述的计算机实现的方法,还包括在将所述命令传输到所述域以供所述目标HSM执行之前使用所述解密的签名密钥来对所述命令进行签名。
7.根据权利要求1所述的计算机实现的方法,还包括基于从所述域接收的结果向所述移动设备(110A)传输消息。
8.一种***,包括:
用于执行计算机可读指令的一个或多个处理器,所述计算机可读指令控制所述一个或多个处理器以执行操作,所述操作包括:
从移动设备(110A)接收命令请求,所述命令请求包括加密的密钥部分和加密的签名密钥;
由硬件安全模块(HSM)(140)使用与所述移动设备的安全区域相关联的密钥来解密所述命令请求;
由所述HSM对所述加密的密钥部分和所述加密的签名密钥进行解密以生成解密的密钥部分和解密的签名密钥,其中对所述加密的密钥部分和所述加密的签名密钥进行解密包括使用与所述移动设备的安全区域相关联的密钥和与远程管理员相关联的密钥,所述远程管理员与所述移动设备相关联;
为具有目标HSM的域并且基于所述命令请求,使用所述解密的密钥部分和所述解密的签名密钥来生成命令;以及
将所述命令传输到所述域以供所述目标HSM执行。
9.根据权利要求8所述的***,其中所述命令请求还包括与所述远程管理员相关联的加密的登录密钥,并且所述操作还包括:
由所述HSM(140)对所述加密的登录密钥进行解密以生成解密的登录密钥,其中对所述加密的登录密钥进行解密包括使用与所述移动设备的安全区域相关联的密钥和与所述远程管理员相关联的密钥,所述远程管理员与所述移动设备相关联;以及
将所述解密的登录密钥与所述命令一起发送到所述域。
10.根据权利要求8所述的***,其中所述操作还包括:
从第二移动设备(110B)接收第二命令请求,所述第二命令请求包括第二加密的密钥部分和第二加密的签名密钥;
由所述HSM(140)使用与所述移动设备(110A)的安全区域相关联的密钥解密所述第二命令请求;
由所述HSM对所述第二加密的密钥部分和所述第二加密的签名密钥进行解密以生成第二解密的密钥部分和第二解密的签名密钥,其中对所述第二加密的密钥部分和所述第二加密的签名密钥进行解密包括使用与所述安全区域相关联的密钥和与不同远程管理员相关联的不同密钥,所述不同远程管理员与所述第二移动设备相关联;
针对具有所述目标HSM的域,使用所述第二解密的密钥部分和所述第二解密的签名密钥生成第二命令;以及
将所述第二命令传输到所述域。
11.根据权利要求10所述的***,其中所述解密的密钥部分和所述第二解密的密钥部分是与所述域的目标HSM相关联的主密钥的一部分。
12.根据权利要求8所述的***,其中所述操作还包括通过将所述移动设备登记在所述安全区域中并且使所述移动设备与所述远程管理员相关联来提供所述移动设备(110A)。
13.根据权利要求8所述的***,其中所述操作还包括在将所述命令传输到所述域以供所述目标HSM执行之前使用所述解密的签名密钥来对所述命令进行签名。
14.根据权利要求8所述的***,其中所述操作还包括基于从所述域接收的结果向所述移动设备(110A)传输消息。
15.一种计算机程序产品,包括具有与其一起体现的程序指令的计算机可读存储介质,所述程序指令可由一个或多个处理器执行以使所述一个或多个处理器执行操作,所述操作包括:
从移动设备(110A)接收命令请求,所述命令请求包括加密的密钥部分和加密的签名密钥;
由硬件安全模块(HSM)(140)使用与所述移动设备的安全区域相关联的密钥来解密所述命令请求;
由所述HSM对所述加密的密钥部分和所述加密的签名密钥进行解密以生成解密的密钥部分和解密的签名密钥,其中对所述加密的密钥部分和所述加密的签名密钥进行解密包括使用与所述移动设备的安全区域相关联的密钥和与远程管理员相关联的密钥,所述远程管理员与所述移动设备相关联;
为具有目标HSM的域并且基于所述命令请求,使用所述解密的密钥部分和所述解密的签名密钥来生成命令;以及
将所述命令传输到所述域以供所述目标HSM执行。
16.根据权利要求15所述的计算机程序产品,其中所述命令请求还包括与所述远程管理员相关联的加密的登录密钥,并且所述操作还包括:
由所述HSM(140)对所述加密的登录密钥进行解密以生成解密的登录密钥,其中对所述加密的登录密钥进行解密包括使用与所述移动设备的安全区域相关联的密钥和与所述远程管理员相关联的密钥,所述远程管理员与所述移动设备相关联;以及
将所述解密的登录密钥与所述命令一起发送到所述域。
17.根据权利要求15所述的计算机程序产品,还包括:
从第二移动设备(110B)接收第二命令请求,所述第二命令请求包括第二加密的密钥部分和第二加密的签名密钥;
由所述HSM(140)使用与所述移动设备(110A)的安全区域相关联的密钥解密所述第二命令请求;
由所述HSM对所述第二加密的密钥部分和所述第二加密的签名密钥进行解密以生成第二解密的密钥部分和第二解密的签名密钥,其中对所述第二加密的密钥部分和所述第二加密的签名密钥进行解密包括使用与所述安全区域相关联的密钥和与不同远程管理员相关联的不同密钥,所述不同远程管理员与所述第二移动设备相关联;
针对具有所述目标HSM的域,使用所述第二解密的密钥部分和所述第二解密的签名密钥生成第二命令;以及
将所述第二命令传输到所述域。
18.根据权利要求17所述的计算机程序产品,其中所述解密的密钥部分和所述第二解密的密钥部分是与所述域的目标HSM相关联的主密钥的一部分。
19.根据权利要求15所述的计算机程序产品,还包括通过将所述移动设备登记在所述安全区域中并且使所述移动设备与所述远程管理员相关联来提供所述移动设备(110A)。
20.根据权利要求15所述的计算机程序产品,还包括在将所述命令传输到所述域以供所述目标HSM执行之前使用所述解密的签名密钥来对所述命令进行签名。
21.根据权利要求15所述的计算机程序产品,还包括基于从所述域接收的结果向所述移动设备(110A)传输消息。
22.一种计算机实现的方法,包括:
由计算设备的处理器从与远程管理员相关联的移动设备(110A)接收包括加密的密钥部分和加密的签名密钥的加载密钥请求;
验证来自所述移动设备的加载密钥请求;
对所述加密的密钥部分和所述加密的签名密钥进行解密以生成解密的密钥部分和解密的签名密钥,其中对所述加密的密钥部分和所述加密的签名密钥进行解密包括使用与用于安全区域的证书授权(CA)证书的公钥相对应的私钥和与所述远程管理员的简档的CA证书的公钥相对应的私钥;
为所述加载密钥请求指定的域建立加载密钥命令,其中所述加载密钥命令包括所述解密的密钥部分,并且使用所述解密的签名密钥来签名;以及
将所述加载密钥命令传输到所述域以供所述域的目标硬件安全模块(HSM)执行。
23.根据权利要求22所述的计算机实现的方法,其中使用用于所述安全区域的CA证书的公钥来加密所述加载密钥请求,并且验证所述加载密钥请求包括使用与用于所述安全区域的CA证书的公钥相对应的私钥来解密所述加载密钥请求。
24.一种计算机实现的方法,包括:
由安全计算设备的处理器从与远程管理员相关联的移动设备(110A)接收包括加密的密钥部分和加密的签名密钥的加密的硬件安全模块(HSM)命令请求;
对来自所述移动设备的加密的HSM命令请求进行解密;
由所述安全计算设备的HSM(140)对所述加密的密钥部分和所述加密的签名密钥进行解密,以生成解密的密钥部分和解密的签名密钥;
至少部分地基于所述解密的密钥部分和所述解密的签名密钥,生成与针对指定域的加密的HSM命令请求相对应的HSM命令;以及
将所述HSM命令传输到所述指定域以供所述指定域的目标HSM执行。
25.根据权利要求24所述的计算机实现的方法,还包括基于从所述指定域接收的结果向所述移动设备(110A)传输消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/118,837 | 2020-12-11 | ||
| US17/118,837 US20220191693A1 (en) | 2020-12-11 | 2020-12-11 | Remote management of hardware security modules |
| PCT/EP2021/084143 WO2022122578A1 (en) | 2020-12-11 | 2021-12-03 | Remote management of hardware security modules |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116671062A true CN116671062A (zh) | 2023-08-29 |
Family
ID=79024431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180083290.9A Pending CN116671062A (zh) | 2020-12-11 | 2021-12-03 | 硬件安全模块的远程管理 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20220191693A1 (zh) |
| EP (1) | EP4260512A1 (zh) |
| JP (1) | JP2023552421A (zh) |
| KR (1) | KR20230110287A (zh) |
| CN (1) | CN116671062A (zh) |
| AU (1) | AU2021394573A1 (zh) |
| WO (1) | WO2022122578A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG10201903114RA (en) * | 2019-04-08 | 2020-11-27 | Mastercard International Inc | Methods and systems for facilitating microservices for cryptographic operations |
| US12008415B2 (en) | 2021-04-23 | 2024-06-11 | Dell Products L.P. | Method and system for a semi-democratic determination of stackable system roles in an information handling system environment |
| US11698796B2 (en) | 2021-04-23 | 2023-07-11 | Dell Products L.P. | Method and system for a semi-dictatorial determination of stackable system roles in an information handling system |
| US11915038B2 (en) | 2021-04-23 | 2024-02-27 | Dell Products L.P. | Method and system for collectively-determining stackable system roles in an information handling system environment |
| US11736458B2 (en) * | 2021-04-23 | 2023-08-22 | Dell Products L.P. | Method and system for securely applying a stackable system role to an information handling system |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8160244B2 (en) * | 2004-10-01 | 2012-04-17 | Broadcom Corporation | Stateless hardware security module |
| US20120213370A1 (en) * | 2011-02-18 | 2012-08-23 | General Instrument Corporation | Secure management and personalization of unique code signing keys |
| US9037865B1 (en) * | 2013-03-04 | 2015-05-19 | Ca, Inc. | Method and system to securely send secrets to users |
| US11178124B2 (en) * | 2014-09-02 | 2021-11-16 | Apple Inc. | Secure pairing of a processor and a secure element of an electronic device |
| EP3010264A1 (en) * | 2014-10-16 | 2016-04-20 | Gemalto Sa | Method to manage subscriptions in a provisioning server |
| US10644885B2 (en) * | 2015-07-14 | 2020-05-05 | Fmr Llc | Firmware extension for secure cryptocurrency key backup, restore, and transaction signing platform apparatuses, methods and systems |
| US9660970B1 (en) * | 2015-12-03 | 2017-05-23 | Amazon Technologies, Inc. | Cryptographic key distribution |
| US10447486B2 (en) * | 2017-07-19 | 2019-10-15 | Spyrus, Inc. | Remote attestation of a security module's assurance level |
| US10972445B2 (en) * | 2017-11-01 | 2021-04-06 | Citrix Systems, Inc. | Dynamic crypto key management for mobility in a cloud environment |
| SG10201805967SA (en) * | 2018-07-11 | 2020-02-27 | Mastercard International Inc | Methods and systems for encrypting data for a web application |
-
2020
- 2020-12-11 US US17/118,837 patent/US20220191693A1/en active Pending
-
2021
- 2021-12-03 KR KR1020237019419A patent/KR20230110287A/ko active Search and Examination
- 2021-12-03 CN CN202180083290.9A patent/CN116671062A/zh active Pending
- 2021-12-03 WO PCT/EP2021/084143 patent/WO2022122578A1/en active Application Filing
- 2021-12-03 JP JP2023534181A patent/JP2023552421A/ja active Pending
- 2021-12-03 EP EP21824565.2A patent/EP4260512A1/en active Pending
- 2021-12-03 AU AU2021394573A patent/AU2021394573A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4260512A1 (en) | 2023-10-18 |
| KR20230110287A (ko) | 2023-07-21 |
| US20220191693A1 (en) | 2022-06-16 |
| WO2022122578A1 (en) | 2022-06-16 |
| JP2023552421A (ja) | 2023-12-15 |
| AU2021394573A1 (en) | 2023-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7280396B2 (ja) | 機器の安全なプロビジョニングと管理 | |
| JP7457173B2 (ja) | モノのインターネット(iot)デバイスの管理 | |
| US11258780B2 (en) | Securing a data connection for communicating between two end-points | |
| US9923881B2 (en) | System, apparatus and method for migrating a device having a platform group | |
| KR101530809B1 (ko) | 멀티-테넌트 서비스 제공자에 의한 동적 플랫폼 재구성 | |
| JP6121049B2 (ja) | プロキシを使用したリソースへの安全なアクセス | |
| US20220191693A1 (en) | Remote management of hardware security modules | |
| CN107547571B (zh) | 用于管理访问控制的方法和访问控制客户端供应服务器 | |
| TWI536285B (zh) | 用於公共事業應用程式之實體安全授權的控制方法,及用於公共事業網路的認證系統 | |
| CN111737366B (zh) | 区块链的隐私数据处理方法、装置、设备以及存储介质 | |
| US20150134953A1 (en) | Method and apparatus for offering cloud-based hsm services | |
| US8145917B2 (en) | Security bootstrapping for distributed architecture devices | |
| KR20140127303A (ko) | 다중 팩터 인증 기관 | |
| CN111049799B (zh) | 控制方法、装置和*** | |
| CN109274500B (zh) | 一种密钥下载方法、客户端、密码设备及终端设备 | |
| RU2685975C2 (ru) | Обеспечение безопасности связи с расширенными мультимедийными платформами | |
| CN113614720A (zh) | 一种动态配置可信应用程序访问控制的装置和方法 | |
| CN110213039B (zh) | 一种管理方法、终端和服务器 | |
| CN113438205A (zh) | 区块链数据访问控制方法、节点以及*** | |
| KR101836211B1 (ko) | 전자 기기 인증 매니저 장치 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| US11893550B2 (en) | System and method for hosting and remotely provisioning a payment HSM by way of out-of-band management | |
| JP2024501752A (ja) | 鍵付きハッシュメッセージ認証コードの鍵マテリアルとしての属性ベースの暗号化鍵ユーザ認証および認可 | |
| US11171786B1 (en) | Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities | |
| KR20170117682A (ko) | 전자 기기 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |