专利名称:提供密码对象的部署生命周期管理的方法与系统的制作方法
技术领域:
本发明涉及提供密码对象的部署生命周期管理的方法与系统,密码对象具体地是指网络中的密钥使用实体(key use entity)所消耗的密码密钥(cryptographic key)。
背景技术:
密钥管理是一种进程,通过此进程,密码密钥根据合适的策略(policy)产生,并且为了不同的应用而被传送至消耗该这些密钥的单元。密码密钥在它们生命周期结束时可能被删除。在传统系统中大部分是以人为方式来管理例如密码密钥或证书的密码对象 (cryptographic object)CO的,具体地是管理密码对象的部署与分发。此种人为操作的密码对象的部署与分发很容易出错。具体地说,不能保证所有必要的密码对象被正确地部署与分发到需要它们的精确位置或单元处,而且不能保证现有的密码对象CO部署没有任何风险。这是因为典型的企业或组织密钥管理系统可能涉及多个密码对象,例如密码密钥或密码证书,其中大部分这些密码对象都定期地更新或刷新(refreshed),并且其中存在多个密钥部署点。因此,在传统系统中,及时且有效的分发密码对象的管理工作固有地是既复杂又容易出错的。
发明内容
在实施例中,本发明的一个方面提供一种部署生命周期管理的系统,包括至少一个执行单元,以异步的方式来运行部署进程和分发进程,所述部署进行提供密码对象(CO)的部署规范,所述分发进程响应于记录在永久性数据存储体中的CO部署规范来执行和部署有关的操作。在根据本发明的系统的实施例中,提供接口,用以接收至少一个CO部署规范,其根据预定的部署图样而指示将一个或多个密码对象部署至一个或多个密钥使用实体。在根据本发明的系统的实施例中,CO部署规范包括将密码对象加入至密钥使用实体中或从网络的密钥使用实体删除密码对象的指示符;响应于应用需求而将密码对象传送至网络的密钥使用实体的指示符;更新(或刷新)密钥使用实体所使用的现有密码对象或更新该密码对象的一个或多个属性的指示符。在根据本发明的系统的实施例中,该CO部署规范是由密钥管理系统提供或是由用户输入至部署生命周期管理的系统中。在根据本发明的系统的实施例中,在执行单元上运行的部署进程包括相对于预定的安全策略来确认已接收的CO部署规范。在根据本发明的系统的实施例中,在该执行单元上运行的分发进程包括通过以下方式来执行被记录在永久性数据存储体中的每个经确认的CO部署规范根据各个CO部署规范将密码对象分发至该网络的密钥使用实体;根据各个CO部署规范来更新或刷新该网络的密钥使用实体所使用的现有密码对象;以及根据各个部署规范从该网络的密钥使用实体撤回密码对象。在根据本发明的系统的实施例中,数据存储体是永久性数据存储体并且包括用以在部署进程及分发进程之间交换消息信息数据的数据域,其中提供分发动作数据域用以表示各个CO部署规范所需要的特定动作,且其中提供分发状态数据域用以指示各个CO部署规范的执行状态。在根据本发明的系统的实施例中,永久性数据存储体的所述分发动作数据域指示动作类型,包括暂停(hold)动作,其在CO部署规范尚未准备好时通知分发进程跳过各个CO部署;部署动作,其指示准备部署的需求;更新动作,其指示CO部署规范已被修改并且命令分发进程通过再次执行对应的和部署相关的操作来刷新CO部署;以及撤回类型,其指示分发进程将撤回现有的CO部署。在根据本发明的系统的实施例中,永久性数据存储体的分发状态数据域指示执行状态,包括初始状态,其指示各个CO部署规范正在等待由分发进程执行;运行状态,其指示各个CO部署规范目前正被分发进程执行;完成状态,其指示CO部署已根据对应的CO部署规范成功地被分发进程执行;以及重试状态,其指示分发进程已经尝试过执行CO部署至少一次但是还未成功地完成。在根据本发明的系统的实施例中,密码对象包括密码密钥,其包含私钥、公钥、对称秘密密钥、以及密钥对;由证书机构的密钥签名的密码证书,密码秘密数据;以及用户凭证。在根据本发明的系统的实施例中,密码对象的CO部署规范包含CO部署规范,该CO 部署规范包括至少一个部署源;至少一个部署目的地;至少一个CO部署图样(pattern),其指定将密码对象从源分发至目的地,所述部署规范还包括所述密码对象的一个或多个CO属性,具体地是时间属性。在根据本发明的系统的实施例中,密钥使用实体消耗密码对象,所述密钥使用实体包括网络中的节点或在网络的节点上运行的应用。本发明的另一方面还提供一种数据网络,其包括消耗分发管理器所分发的密码对象的网络实体,该分发管理器响应于在部署进程中被部署管理器记录在数据存储体中的CO 部署规范,而在分发进程中执行和部署有关的操作,以将密码对象分发至实体,其中,该分发进程和该部署进程独立且异步地执行。本发明的另一方面提供一种用以执行密码对象的部署生命周期管理的方法,包括以下步骤在部署进程中为密码对象提供至少一个CO部署规范;以及在分发进程中响应于所提供的CO部署规范执行和部署有关的操作,其中,该部署进程和该分发进程以异步的方式独立地执行。本发明的另一方面提供一种数据载体,其包括用以执行这种方法的指令。下文中,参考附图来说明根据本发明的系统与方法的可能实施例。
图1示出用于图示根据本发明的用于部署生命周期管理的系统的可能实施例的方块图;图2示出用于图示根据本发明的用以执行密码对象的部署生命周期管理的方法的可能的实施例的图;图3示出用于图示根据本发明的生命周期管理的系统方法的可能实施例的状态图。
具体实施例方式从图1中能够看出,在可能的实施例中,用于部署生命周期管理的系统1包括分发管理单元2,其具有用以接收CO部署规范(C0DQ的接口 2A,以及用以分发密码对象CO的接口 2B。分发管理单元2包括至少一个执行单元2C,例如微处理器,用以运行或执行各种进程。在可能的实施例中,分发管理单元2还包括至少一个永久性数据存储体2D,用以记录CO部署规范CODS。接口 2A被提供用以接收至少一个CO部署规范C0DS,其指示将一个或多个密码对象CO部署至一个或多个密钥使用实体3-1、3-2、3-3、3-Ν,如图1中所示。密钥使用实体3-i消耗每一个或多个密码对象CO。在可能的实施例中,密钥使用实体3-i可以是网络(例如数据网络)的节点。在替代的实施例中,密钥使用实体3-i可以是在网络的节点上运行的应用。网络中的每个节点可以包括数个应用,每个应用形成消耗一个或数个密码对象CO的密钥使用实体。分发管理单元2经由其接口 2A从密钥管理系统4接收至少一个CO部署规范CODS。 在替代的实施例中,分发管理系统能够接收CO部署规范CODS作为来自用户的输入。该CO 部署规范CODS指示根据预定映射图样将一个或多个密码对象CO部署至一个或多个密钥使用实体3-i。在可能的实施例中,每个CO部署规范CODS可以包括将密码对象CO加入至密钥使用实体3-i中或从网络的密钥使用实体3-i删除密码对象的指示符。另外,在可能的其体实施例中,该CO部署规范CODS可以包括响应于应用需求而将密码对象CO传送至网络的密钥使用实体3-i的指示符。在可能的实施例中,该CO部署规范CODS还可以包括更新密钥使用实体3-i所使用的现有密码对象CO或更新相应密码对象CO的属性之一的指示符。
每个密码对象CO可以包括一个或数个密钥,例如,私钥、公钥、对称或不对称密钥、以及密钥对。该密码对象CO还能够由密钥证书机构签名的密码证书来形成。该密码对象还能够由密码秘密数据或由用户的用户凭证来形成。在可能的实施例中,提供给密码对象CO的CO部署规范CODS包括CO部署规范。在可能的实施例中,该CO部署规范可以包括至少一个CO部署源;至少一个CO部署目的地;以及至少一个CO部署图样,用以指定将密码对象CO从对象源分发至对象目的地。在可能的实施例中,部署规范还可以包括各个密码对象的一个或多个CO属性。这些对象属性可以包括时间属性。执行单元2C能够同时执行数个进程。在根据本发明的系统中,执行单元2C异步地运行部署进程Pl和分发进程P2,所述部署进程Pl用以提供CO部署规范CODS给密码对象C0,所述分发进程P2响应于记录在永久性数据存储体2D中的CO部署规范CODS来执行和部署有关的操作。分发进程P2与部署进程Pl以异步的方式独立执行。进程P1、P2两者没有关联(decoupled)并且以异步的方式工作。在可能的实施例中,在执行单元2C上运行的部署进程Pl可以包括相对于预定的安全策略来确认已接收的CO部署规范CODS。另外,部署进程Pl能够更新部署规范对象属性或者能够执行CODS的撤回。CO从密钥使用实体(KUE)的实际撤回由分发进程来完成。在实施例中,可以在分发管理单元2的相同或不同执行单元2C上执行的分发进程 P2包括执行记录在永久性数据存储体2D中的每个经确认的CO部署规范CODS。这通过以下方式来执行根据各个CO部署规范CODS将密码对象CO分发至网络的密钥使用实体3-i ; 根据各个CO部署规范CODS来更新或刷新该网络的密钥使用实体3-i所使用的现有密码对象;以及根据各个部署规范从网络的密钥使用实体3-i撤回密码对象CO。数据存储体2D是永久性数据存储体并且包括数个数据域以便允许这两个独立运行的进程PI、P2相互通信。因此,永久性数据存储体2D包括用以在部署进程Pl及分发进程P2之间交换消息信息数据的数据域。在可能的实施例中,提供分发动作数据域,用以表示各个CO部署规范CODS所需要的特定动作。另外,提供分发状态数据域,用以指示各个CO 部署规范CODS的执行状态。在可能的实施例中,永久性数据存储体2D的分发动作数据域表示动作类型。此动作类型可以包括暂停(hold)动作,其在CO部署规范CODS尚未准备好时通知分发进程P2 跳过各个CO部署。动作类型可以进一步包括部署动作,其指示准备部署的需求。另外,动作类型可以包括更新动作,其指示CO部署规范CODS已被修改并且命令分发进程P2通过再次执行对应的和部署相关的操作来刷新该CO部署。另外,该动作类型可以包括撤回类型, 其指示分发进程P2要撤回现有的CO部署。除了指示动作类型的分发动作数据域以外,永久性数据存储体2D可以包括指示执行状态的分发状态数据域。此执行状态可以包括不活动(inert)或初始状态,其指示各个CO部署规范CODS正在等待分发进程P2执行。该执行状态还可以包括运行状态,其指示各个CO部署规范CODS目前正被分发进程P2执行。另外,该执行状态可以包括完成状态, 其指示该CO部署已根据对应CO部署规范CODS成功地被分发进程P2执行。另外,该执行状态可以包括重试状态,其指示分发进程P2已经尝试过执行该CO部署至少一次但是还未成功地完成。
根据本发明的方法和系统分离指定部署需求的工作和分发工作,即,实际执行和部署有关的操作的工作,使得该分发工作能够完全自动化,而不需要人为介入。第一进程称为部署进程P1,其致力于经由用户接口来与管理者或安全人员交互,并且接收与确认这些部署需求,例如根据特定图样将一个或多个密码密钥或证书部署至一个或多个端点,例如,密钥使用实体3-i ;更新部署特有属性;撤回部署等。接着,经确认的部署规范被记录在永久性数据存储体2D中。第二进程P2称为分发进程,其构成负责实际执行存储在永久性数据存储体2D中的部署规范的进程。分发进程P2负责多个动作,例如将密码密钥或证书分发至端点,例如,密钥使用实体3-i ;更新现有的部署,例如,刷新密钥或证书;以及从端点(例如,密钥使用实体)撤回密码密钥或证书。在这两种进程P1、P2之间传递的消息经由在其中可以存储部署规格的记录与状态的永久性数据存储体2D来执行,且被PI、P2两种进程存取。提供密钥管理系统使得组织能使用密码学来管理风险并且符合管理的需求,以跨越多个应用以及数千个服务器、终端用户及网络设备来提供密码密钥K和数字证书C的生命周期管理。密码对象CO的部署与分发的完整生命周期包括密码对象的确认、执行、更新、 以及撤回。管理密码对象CO部署与分发的生命周期的挑战在于指定符合应用的有效部署需求,同时不违背安全策略。将密码对象CO (例如密钥K)实际分发至远程网络端点或删除远程端点的密钥可以是冗长的进程,其在传统的系统中使管理者等待完全的确定。相反地,根据本发明的方法与系统提供异步的部署与分发,其将传统的顺序串分解成异步工作的两个独立进程P1、P2。通过根据本发明的系统,指定部署需求的工作和实际执行与部署有关的操作的工作相分离。因此,不需要人为介入便可以实际执行与部署有关的操作。第一进程Pl 致力于经由用户接口来与管理者交互,以便接收部署需求,例如,根据特定图样将一个或多个密码对象CO部署至一个或多个端点。另外,可以修该部署特有的属性,过期密钥或证书可以被刷新,这与部署规范有关。另外,可能撤回现有的部署。这些CO部署规范CODS能够由系统的其它组件自动产生。举例来说,当密钥管理系统(KMS)的生命周期管理引擎决定终止密码密钥或证书时,和此密钥或证书有关的所有部署都必须因此被撤回。这导致自动产生适当的部署规范,而非人为产生。在可能的实施例中,管理者输入的CO部署规范CODS 不被接受,直到其相对于预定的安全策略被确认。接着,仅经确认的部署规范CODS被记录在永久性数据存储体2D中,这表示它们准备好实际执行。该进程称为部署进程P1。另一进程P2为分发进程P2,其负责实际执行被存储在永久性数据存储体2D中的已接受的部署规范。此进程P2负责以下动作,例如将密钥或证书分发至端点3-i ;修改现有部署的与部署有关的属性;刷新部署中所涉及的过期密钥或证书;以及最后,从如图1中所示的端点或密钥使用实体3-i处,撤回密钥K或证书C。PU P2两种进程经由保留部署规范的状态的永久性数据存储体2D相互通信。有两种可能的实施例使分发进程P2察觉尚未被执行的任何CO部署规范CODS。在实施例中, 部署进程Pl会通知分发进程P2有新的部署规范进来。在替代实施例中,分发进程P2定期检查永久性数据存储体2D中的CO部署规范CODS的状态并且然后据以采取行动。两种变化都可用来触发执行CO部署规范CODS。图2中图解用以协调密钥证书部署与分发的生命周期管理的异步的部署与分发的无关联的进程P1、P2。
在可能的实施例中,被存储在永久性数据存储体2D中的CO部署规范CODS可以使用两个域以在部署进程Pl与分发进程P2之间交换信息。第一数据域为分发动作数据域而第二数据域为分发状态数据域。分发动作数据域可以采取以下四种动作类型的值暂停、部署、更新、以及撤回。分发状态数据域可以代表该部署规范的执行状态并且可以包括以下四种状态初始、运行、完成、以及重试。分发动作数据域主要由部署进程Pl用来和分发进程P2沟通关于部署规范预期哪些操作。分发状态数据域用来由分发进程按步骤来处理CO部署规范CODS的实际执行。分发动作数据域与分发状态数据域两者中的上述状态都能被扩充以实现分发进程的更精细控制。部署的生命周期会被模拟成如图3中所示的分发动作数据域与分发状态数据域的组合。示出的状态转变仅示例性图解分发进程如何处理永久性数据存储体2D中的部署规范。如果分发进程没有成功完成部署规范,则将其标注为“重试”并且会有背景安排机制将该状态从“重试”变成“初始”。接着,分发进程尝试再次执行。在可能的实施例中,管理者可以通过查找状态域来查询任何部署规范的状态并且采取适当动作。在可能的实施例中,本发明可用在数据网络中。此数据网络可以包括消耗分发管理器(例如图1中所示的分发管理单元幻所分发的密码对象CO的多个网络实体。此分发管理单元2响应于在部署进程Pl中被分发管理单元2记录在数据存储体2D中的CO部署规范C0DS,在分发进程P2中执行和部署有关的操作,以将密码对象CO分发至网络实体3。 分发进程P2与部署进程Pl以异步的方式独立地执行。用以执行密码对象CO的部署生命周期管理的方法可以包括以下步骤在部署进程Pl中提供至少一个CO部署规范CODS给密码对象C0,并且在分发进程P2中响应于已提供的CO部署规范CODS来执行和该部署有关的操作,其中,部署进程Pl与分发进程P2以异步的方式独立地执行。此方法能够由包括用以执行该方法的指令的计算机程序来执行。此计算机程序可存储在数据载体中并且会被加载至计算机或服务器。如图1中所示的密钥使用实体3-i可以是网络(具体地是数据网络中)所提供的任何种类的节点或设备。密钥使用实体3-i会消耗任何种类的密码密钥或证书或凭证或秘密数据。图1中所示的实体3-i可经由通信线或网络或以无线方式相互通信。永久性数据存储体2D可被整合在如图1中所示的分发管理单元2中,但也能够由执行单元2C经由网络来存取。密钥使用实体3-i可以是数据网络中的移动或固定节点。在可能的实施例中,分发管理单元2被整合在如图1中所示的密钥管理系统4中。分发管理单元2可包括用于管理者或操作员的用户界面。
权利要求
1.一种用于密码对象(CO)部署生命周期管理的系统(1),包括至少一个执行单元(2C),异步地运行部署进程(Pl)和分发进程(P2),所述部署进程 (Pl)用于提供密码对象(CO)的部署规范(CODS),所述分发进程(P2)用于响应于记录在数据存储体QD)中的部署规范(CODS)来执行和分发有关的操作。
2.如权利要求1的系统,其中,提供接口以K)用以接收至少一个部署规范(C0DQ,其指示将一个或多个密码对象 (CO)部署至一个或多个密钥使用实体(3)。
3.如权利要求1或2的系统,其中所述部署规范(CODS)包括将密码对象(CO)加入至密钥使用实体(3)或从网络的密钥使用实体(3)删除密码对象(CO)的指示符;响应于应用需求而将密码对象(CO)传送至网络的密钥使用实体(3)的指示符; 更新密钥使用实体( 使用的现有密码对象(CO)或更新所述密码对象(CO)的属性之一的指示符。
4.如权利要求1至3的系统,其中,所述部署规范(CODS)由密钥管理系统(4)提供或由用户输入至所述用于部署生命周期管理的系统(1)中。
5.如权利要求1至4的系统,其中,在所述执行单元OC)上运行的所述部署进程(Pl)包括相对于预定的安全策略确认接收的部署规范(CODS)。
6.如权利要求1至5的系统,其中在所述执行单元OC)上运行的所述分发进程(P2) 包括通过以下方式来执行记录在所述永久性数据存储体OD)中的每个经确认的部署规范 (CODS)根据各个部署规范(CODS)将密码对象(CO)分发至所述网络的密钥使用实体(3); 根据各个部署规范(CODS)来更新或刷新所述网络的密钥使用实体(3)使用的现有密码对象(CO);以及根据各个部署规范(CODS)从所述网络的密钥使用实体(3)撤回密码对象(C0)。
7.如权利要求1至6的系统,其中所述数据存储体是永久性数据存储体QD)并且包括用以在所述部署进程(Pi)及所述分发进程(P》之间交换消息信息数据的数据域, 其中提供分发动作数据域用以表示各个部署规范(CODS)需要的特定动作,且其中提供分发状态数据域用以指示各个部署规范(C0DQ的执行状态。
8.如权利要求7的系统,其中所述永久性数据存储体OD)的所述分发动作数据域指示动作类型,包括 暂停动作,其通知所述分发进程(P》在部署规范(C0DQ未准备好时跳过各个部署; 部署动作,其指示准备部署的需求;更新动作,其指示所述部署规范(CODS)被修正并且命令分发进程(P2)通过再次执行对应的和部署相关的操作来刷新该部署;以及撤回动作,其指示将通过所述分发进程(P2)撤回现有的部署。
9.如权利要求7或8的系统,其中所述永久性数据存储体OD)的所述分发状态数据域指示执行状态,包括初始状态,其指示各个部署规范(C0DQ正在等待由所述分发进程(P》执行; 运行状态,其指示各个部署规范(C0DQ目前正被所述分发进程(P》执行; 完成状态,其指示所述分发进程(P》已经根据对应的部署规范(C0DQ成功地执行了所述部署;以及重试状态,其指示所述分发进程(P》已经尝试过执行所述部署至少一次,但是还未成功地完成。
10.如权利要求1到9的系统, 其中所述密码对象(CO)包括密码密钥(K),包含私钥、公钥、对称秘密密钥、以及密钥对; 由证书机构(CA)的密钥签名的加密证书; 加密秘密数据;以及用户凭证。
11.如权利要求1到10的系统,其中用于密码对象(CO)的所述部署规范(CODS)包括部署规范(CODS),包含至少一个部署源,即一个或多个密码对象;至少一个部署目的地,即一个或多个密钥使用实体(3);至少一个部署图样,指定将密码对象(CO)从源分发至目的地,所述部署规范还包括所述密码对象(CO)的一个或多个对象属性,具体地时间属性。
12.如权利要求2到11的系统,其中,所述密钥使用实体C3)消耗密码对象(C0),所述密钥使用实体C3)包括网络中的节点或在网络的节点上运行的应用程序。
13.一种数据网络,包括消耗分发管理器( 分发的密码对象(CO)的网络实体,该分发管理器( 响应于在部署进程(Pl)中由部署管理器( 记录在数据存储体中的部署规范(C0DQ,而在分发进程 (P2)中执行和部署有关的操作,以将所述密码对象(CO)分发至所述实体, 其中所述分发进程(P》和所述部署进程(Pl)独立地实施。
14.一种用于执行密码对象(CO)的部署生命周期管理的方法,包括步骤 在部署进程(Pl)中为密码对象(CO)提供至少一个部署规范(C0DQ ;以及在分发进程(P2)中,响应于所述提供的部署规范(CODS),执行和部署有关的操作, 其中所述部署进程(Pl)和所述分发进程(P》以异步的方式独立地执行。
15.一种数据载体,包括用于执行根据权利要求14的方法的指令。
全文摘要
一种用于密码对象(CO)部署生命周期管理的系统与方法,包括至少一个执行单元(2C),异步地运行部署进程(P1)和分发进程(P2),所述部署进程(P1)用于提供密码对象的CO部署规范,所述分发进程(P2)用于响应于被记录在分发管理单元(2)的数据存储体(2D)中的CO部署规范(CODS)来执行和部署有关的操作。
文档编号H04L29/06GK102577226SQ201080042426
公开日2012年7月11日 申请日期2010年9月17日 优先权日2009年9月25日
发明者I.伊利亚迪斯, M.武科利克, R.A.波利齐克, R.哈斯, 胡晓宇 申请人:国际商业机器公司