跨多个远程站点的加密对象管理的制作方法
本公开涉及用于跨多个远程站点进行加密对象管理的系统和方法。
背景技术:
emv是针对信用/借记芯片卡以及被设计成使用这些芯片卡来执行信用/借记交易的装置的支付系统规范。emv规范是由europayinternational、mastercardinternational以及visainternational(因此,称为“emv”)联合开发和维护的。emv规范的既定目的是确保在信贷/借记交易中使用的芯片卡与任何终端之间的全球互用性。将诸如信用卡的emv凭证个性化的过程称为发行,并且是emv发行系统的功能。emv发行通常涉及密码管理系统的使用。
技术实现要素:
本公开涉及用于跨多个远程站点进行加密对象管理的系统和方法。
本文所述的实施方式可以在持久层中安全地存储令牌外(off-token)的加密对象资料,并且依赖于硬件安全模块(hsm)来进行加密处理。这可以扩展hsm容量,而不会影响例如emv发行的加密对象管理。
本文所述的实施方式还可以提供用于创建加密对象管理系统(例如,emv发行系统)的仿射性(affinity)的负载平衡池。这可以帮助减轻与hsm的地理隔离有关的问题,并且可以帮助管理时延并减少运行时访问失败。这些实施方式可以提供持久层到加密对象资料和负载平衡池的本地副本的复制,而无需对生产站点进行任何集中式(手动)管理,以便提高加密对象管理系统的可用性并且可以使能实现灾难恢复。一旦将复制的加密对象资料填充到持久层的本地副本中,该复制的加密对象资料也就允许立即并自动从所有hsm和加密对象管理系统进行访问。
本文所述的实施方式可以与标准信息技术(it)协议一起使用,防止加密对象资料泄密,并且降低it经营成本。
通过将令牌存储在可以由hsm按需导入的持久层中,本文所述的实施方式还可以实际上支持用于加密对象隔离的令牌的数量不受限制。当不再使用导入的令牌时,hsm可以在内部安全地删除导入的令牌,以允许导入其它令牌。因此,可以通过这样管理存储在持久层中的虚拟令牌来实现加密对象隔离,并且每个虚拟令牌可以由其自己的加密对象来进行保护。
本文所述的实施方式可以在卡个性化系统中使用。用于卡个性化的打印装置的类型和打印装置的子组件(下文中简称为打印装置)例如可以包括:中央卡发行系统、台式卡打印机、台式压花机、护照系统、台式层压机、台式压花机、智能卡读取器、输入和/或输出卡斗等。
在一个实施方式中,提供了一种包括物理上隔离的第一对象管理站点和第二对象管理站点的加密对象管理系统。所述第一对象管理站点和第二对象管理站点各自分别包括:hsm、连接至所述hsm中的每个hsm的hsm服务器以及连接至所述hsm服务器的持久层。所述hsm服务器分别管理所述hsm中的每个hsm的操作。所述第一对象管理站点的所述hsm服务器包括管理并控制所述加密对象管理系统的对象管理器模块。所述持久层分别存储站点加密对象以供所述所述hsm使用。所述hsm中的每个hsm分别对所述加密对象中的一个或更多个加密对象执行加密处理。
在另一实施方式中,提供了一种加密对象管理系统。所述系统包括第一对象管理站点以及与所述第一对象管理站点在物理上隔离的第二对象管理站点。所述第一对象管理站点包括:多个第一hsm、第一hsm服务器以及第一持久层。所述第一hsm服务器连接至所述第一hsm中的每个第一hsm。所述第一hsm服务器管理并控制所述多个第一hsm中的每个hsm的操作。而且,所述第一hsm服务器包括对象管理器模块,所述对象管理器模块管理并控制所述加密对象管理系统。所述第一持久层连接至所述第一hsm服务器并且存储多个第一站点加密对象以供所述第一hsm使用。所述第一hsm中的每个第一hsm对存储在所述第一持久层中的所述多个第一站点加密对象中的一个或更多个第一站点加密对象执行加密处理。所述第二对象管理站点包括:多个第二hsm、第二hsm服务器以及第二持久层。所述第二hsm服务器连接至所述第二hsm中的每个第二hsm。所述第二hsm服务器管理并控制所述多个第二hsm中的每个第二hsm的操作。所述第二持久层连接至所述第二hsm服务器并且存储多个第二站点加密对象以供所述第二hsm使用。所述第二hsm中的每个第二hsm对存储在所述第二持久层中的所述多个第二站点加密对象中的一个或更多个第二站点加密对象执行加密处理。
附图说明
图1例示了根据一个实施方式的加密对象管理系统的示意图;
图2a和图2b例示了根据一个实施方式的加密对象管理系统的hsm和持久层的示意图。
图3例示了根据一个实施方式的加密对象管理系统内的操作员组管理的示意图。
具体实施方式
本公开涉及用于跨多个远程站点进行加密对象管理的系统和方法。
本文所述的实施方式可以在持久层中安全地存储令牌外的加密对象资料,并且依赖于硬件安全模块(hsm)来进行加密处理。这可以扩展hsm容量,而不会影响例如emv经营和管理的加密对象管理。
本文所述的实施方式还可以提供用于创建加密对象管理系统(例如,emv发行系统)的仿射性的负载平衡池。这可以帮助减轻与hsm的地理隔离有关的问题,并且可以帮助管理延迟并减少运行时访问失败。这些实施方式可以提供持久层到加密对象资料和负载平衡池的本地副本的复制,而无需对生产站点进行任何集中式(手动)管理,以便提高加密对象管理系统的可用性并且可以使能实现灾难恢复。一旦将复制的加密对象资料填充到持久层的本地副本中,该复制的加密对象资料也就允许立即并自动从所有hsm和加密对象管理系统进行访问。
本文所述的实施方式可以与标准信息技术(it)协议一起使用,防止加密对象资料泄密,并且降低it经营成本。
通过将令牌存储在可以由hsm按需导入的持久层中,本文所述的实施方式还可以实际上支持用于加密对象隔离的令牌的数量不受限制。当不再使用导入的令牌时,hsm可以在内部安全地删除导入的令牌,以允许导入其它令牌。因此,可以通过这样管理存储在持久层中的虚拟令牌来实现加密对象隔离,并且每个虚拟令牌可以由其自己的加密对象来进行保护。
本文所述的实施方式可以在卡个性化系统中使用。用于卡个性化的打印装置的类型和打印装置的子组件(下文中简称为打印装置)例如可以包括:中央卡发行系统、台式卡打印机、台式压花机、护照系统、台式层压机、台式压花机、智能卡读取器、输入和/或输出卡斗等。
可以针对相对小规模的个人证件个性化和生产来设计卡个性化系统。在这些系统中,将要个性化的单个证件输入到处理机器中,该处理机器通常包括一个或两个个性化/处理能力,诸如打印和层压。这些处理机器通常被称为台式处理机器,因为它们具有相对小的占地面积,旨在准许该处理机器驻留在台面上。台式处理机器的许多示例是已知的,例如可从datacardcorporationofminnetonka,minnesota获得的sd或sp系列台式卡打印机。在美国专利7,434,728和7,398,972中公开了台式处理机器的其它示例,其中每个专利的全部内容通过引用而并入于此。
为了大量成批生产个性化证件,机构经常利用采用多个处理站或模块的系统来同时处理多个证件,以减少每证件的总处理时间。在美国专利4,825,054、5,266,781以及其后续专利6,783,067和6,902,107中公开了这种系统的示例,这些专利都通过引用它们的全部内容而并入于此。正如台式证件处理机器那样,批处理系统还包括打印和层压能力。
如本文所定义的,加密对象是指可以被用于安全通信的加密资料。加密对象的示例例如可以包括:加密令牌(cryptographictoken)、加密密钥、加密公钥、加密私钥、加密证书(cryptographiccertificate)、十进制表、弱pin列表(weakpinlist)、操作员组列表等。在一些实施方式中,可以将加密对象用于促进在emv证件(例如,智能芯片卡)上生成个性化数据。
如本文所定义的,加密令牌是指在特定的安全背景下进行保护的加密对象的集合。在创建(例如,初始化)加密令牌时,可以建立安全背景。在本文所述实施方式中,这可以通过将用户组和/或安全员组指派给令牌来完成。更改令牌的内容可能需要用户组或安全员组的成员(根据他们的访问级别)在进行更改之前首先进行认证。因此,可能需要进行认证以便创建、修改或去除令牌中的加密对象。
如本文所定义的,操作员令牌(operatortoken)是指用于虚拟令牌及其关联的加密对象的运行时使用的安全容器。在本文所述实施方式中,可以在硬件安全模块(hsm)上创建并存储操作员令牌。
如本文所定义的,虚拟令牌是指存储在持久层中的加密令牌。在本文所述实施方式中,虚拟令牌在操作员令牌中进行加载和解密以便使用。可定义将虚拟令牌可以映射至任何操作员令牌,并且不固定至特定的操作员令牌。因此,可以在一个会话期间将虚拟令牌解密并与第一操作员令牌一起使用,而在另一会话中,可以在第二会话期间将虚拟令牌解密并与第二操作员令牌一起使用。
如本文所定义的,hsm是指对存储认证和提供加密处理的加密对象进行保护和管理的物理计算装置。
如本文所定义的,hsm服务器可以指加载到已存在的服务器机器上的软件、在服务器机器的制造期间预加载有所述软件的所述服务器机器以及由一个或更多个虚拟服务器机器运行的所述软件。如本文所述,该软件管理和控制多个hsm中的每个hsm的操作。在一些实施方式中,该软件包括对加密对象管理系统进行管理和控制的对象管理器模块。在一些实施方式中,该软件运行对象管理器模块。
图1例示了根据一个实施方式的加密对象管理系统100的示意图。加密对象管理系统100例如可以是允许操作员发行和生产emv卡的emv发行系统。加密对象管理系统100包括经由网络110连接的多个对象管理站点105。图1所示的实施方式示出了主对象管理站点105a和次对象管理站点105b。
主对象管理站点105a和次对象管理站点105b可以处于物理上隔离的位置,并且可以被配置成独立工作。应当清楚,在其它实施方式中,加密对象管理系统100可以包括三个或更多个对象管理站点105。当加密对象管理系统100是emv发行系统时,可以将对象管理站点105a、105b中的任一个对象管理站点用于生成emv证件。在一些实施方式中,操作员可以选择使用主对象管理站点105a还是次对象管理站点105b。
主对象管理站点105a包括:对象管理用户界面115a、具有对象管理器模块125的主站点hsm服务器120a、持久层130a以及多个hsm135a至135c。在一些实施方式中,主对象管理站点105a还可以包括一个或更多个可选的hsm服务器140。所述多个hsm135a至135c被一起分组到主负载平衡池145a中。次对象管理站点105b包括:对象管理用户界面115b、次站点hsm服务器120b、持久层130b以及多个hsm135d至135f。所述多个hsm135d至135f被一起分组到次负载平衡池145b中。
如图1所示,对象管理用户界面115a、115b可以与对象管理器模块125进行通信,并且可以提供对于对象管理站点105a、105b两者都可用的加密对象的冗余访问和管理。在一些实施方式中,可以将对象管理用户界面115a配置成允许操作员控制和管理主对象管理站点105a。而且,在一些实施方式中,可以将对象管理用户界面115b配置成允许操作员控制和管理次对象管理站点105b。在一些实施方式中,对象管理用户界面115a、115b可以是例如通过web浏览器访问的用户界面。在一些实施方式中,用户界面115a、115b可以允许操作员查看有关所选择的hsm135的信息(例如,固件版本、型号等)。
hsm服务器120连接至多个hsm135。主hsm服务器120a连接至作为负载平衡池145a的一部分的hsm135a至135c。在一些实施方式中,主服务器120a经由可选的hsm代理150连接至hsm135a至135c。次hsm服务器120b连接至作为负载平衡池145b的一部分的hsm135d至135f。在一些实施方式中,次服务器120b经由可选的hsm代理150连接至hsm135d至135f。hsm代理150中的每个hsm代理可以负责处理与多个hsm135中的一个hsm的通信。这可以允许hsm代理150与特定的hsm135重新连接,而不会干扰其它hsm135的使用。主站点hsm服务器120a被配置成管理和控制hsm135a至135c的操作。
主站点hsm服务器120a的对象管理器模块125配置成管理和控制加密对象管理系统100。在一些实施方式中,对象管理器模块125是作为hsm服务器120a的一部分的硬件装置。在一些实施方式中,对象管理器模块125是由主站点hsm服务器120a运行的软件应用。对象管理器模块125连接至对象管理用户界面115a、115b。在一些实施方式中,可以将对象管理器模块125用于管理财务证件的发行。
对象管理器模块125可以与主对象管理站点105a的hsm135a至135c进行通信并加以管理,并且可以与次对象管理站点105b的hsm135d至135f进行通信并加以管理。对象管理器模块125可以引入并管理要在加密对象管理系统100中使用的加密对象。对象管理器模块125可以通过指示多个hsm135中的一个或更多个hsm来为hsm135生成新的加密对象来引入加密对象。对象管理器模块125还可以向对象管理站点105中的一个对象管理站点添加一个或更多个hsm135或者从所述对象管理站点中去除一个或更多个hsm135。
对象管理器125还可以向hsm135提供维护、更新hsm135中的每个hsm的固件并且可以向对象管理站点105a、105b中的任一个对象管理站点添加一个或更多个hsm135或者从对象管理站点105a、105b中的任一个对象管理站点中去除一个或更多个hsm135。在一些实施方式中,对象管理器125可以对多个hsm135中的一个或更多个hsm执行维护,同时剩余的hsm135正在执行生产/发行活动。
在一些实施方式中,对象管理器125可以与具有hsm固件和证书的一个或更多个文件捆绑在一起。通过允许自动地选择用于特定类型或特定的hsm135的恰当文件,这可以改善加密对象管理系统100的可用性和完整性。因此,不需要操作员浏览两个或更多个文件位置并选择适合于所述特定类型或特定的hsm135的文件版本。
持久层130a、130b被配置成存储通常存储在hsm135中的加密对象。持久层130a、130b例如可以是网络存储装置、数据库等。加密对象例如可以包括:加密令牌、加密密钥、加密公钥、加密私钥、加密证书、十进制表、弱pin列表、操作员组列表等。存储在持久层130a、130b中的加密对象(也称为持久加密对象)被加密。在一些实施方式中,加密对象可以作为密码存储在持久层130a、130b中。在加密对象管理系统100的运行期间,当hsm135a至130c中的一个hsm需要加密对象时,持久层130a被配置成经由主站点hsm服务器120a来向特定的hsm135a至135c提供加密对象。类似地,当hsm135d至130f中的一个hsm需要加密对象时,持久层130b被配置成经由次站点hsm服务器120b向特定的hsm135d至135f提供加密对象。
持久层130a、130b也经由网络110连接。在加密对象管理系统100的运行期间,持久层130a、130b可以通信以提供持久层130a、130b的自动复制。因此,可以在持久层130b中自动地复制对持久层130a中的加密对象的任何添加、去除或者更改,反之亦然。在一些实施方式中,持久层130a、130b可以经历完整的自动复制处理。在其它实施方式中,持久层130a、130b可以按照加密对象管理系统100的要求经历部分自动复制处理。例如,可能希望仅使存储在持久层130a中的加密对象中的一些加密对象在站点105b处可用。在这些实施方式中,存储在持久层130a中的信息的一部分可以被复制并存储在持久层130b中。通过使加密对象可用于持久层130a、130b中的每个持久层,当主对象管理站点105a或次对象管理站点105b中的一个对象管理站点不工作时(例如,在断电、例行维修、网络中断、自然或人为灾难等期间),加密对象管理系统100可以帮助满足灾难恢复要求。
多个hsm135被配置成提供存储在持久层130a、130b中的加密对象的加密处理。hsm135中的每个hsm具有有限的存储空间。通过将加密对象存储在持久层130a、130b中而不是存储在hsm135中,hsm135可以避免遇到存储容量问题。多个hsm135a至135c共享持久层130a,并且多个hsm135d至135f共享持久层130b。因此,多个hsm135可以提供加密处理,而无需提供加密对象的持久存储。
而且,对象管理器模块125对存储在持久层130a、130b中的一个持久层中的加密对象所做的添加或去除导致针对hsm135中的每个hsm来自动更新该加密对象。即,hsm135中的每个hsm可以具有对已经添加或更新至持久层130a、130b的加密对象中的每个加密对象的自动和实时访问。因此,当对加密对象进行编辑、添加或去除时,不需要更新hsm135中的每个hsm。
在一些实施方式中,可以将多个hsm135中的一个或更多个hsm置于维护模式,由此hsm135保持连接至hsm服务器120、140中的一个hsm服务器,但是不用于生产/发行活动。因此,加密对象管理系统100可以在hsm135中的一个或更多个hsm135上执行功能(例如,更新固件等),而不必停止系统100的生产/发行。即,即使在hsm135中的一个或更多个hsm处于维护模式时,余下的hsm135也可以根据需要来工作以进行生产/发行活动。
在一些实施方式中,hsm135中的一个或更多个hsm可以生成加密密钥,并且可以在满足行业规范(例如,支付卡行业(pci)规范)的同时,导出在hsm135外部形成该密码密钥的两个或多个组分。加密对象管理系统100还可以允许hsm135中的一个或更多个hsm接收形成加密私钥的两个或更多个组分,并在满足行业规范的同时组合两个或更多个组分以获得加密密钥。在一些实施方式中,可以将没有存储器或内部处理的装置(例如,哑终端)直接连接至hsm135中的一个或更多个hsm,以允许该hsm135导出形成加密私钥的一个或更多个组分并且接收形成加密私钥的一个或更多个组分。在这些实施方式中的一些实施方式中,操作员可以指定特定的hsm135(例如,连接至哑终端的hsm135)导出或接收形成密码私钥的一个或更多个组分。
负载平衡池145允许对hsm135的操作员(例如,用户、安全员等)与多个hsm135中的特定的一组hsm之间的仿射性进行配置。因此,可以例如基于网络拓扑、维护需要等来隔离hsm135的活动。当对象管理器模块125请求多个加密对象时,负载平衡池145可以减少滞后时间。例如,hsm服务器120a和可选的hsm服务器140可以选择使用hsm135a至135c中的哪个hsm来提供对存储在持久层130a中的所请求的加密对象中的每个加密对象的加密处理。类似地,hsm服务器120b可以选择使用hsm135d至135f中的哪个hsm来提供对存储在持久层130b中的所请求的加密对象中的每个加密对象的加密处理。通过对负载平衡池145a、145b中的每个负载平衡池内的hsm135中的每个hsm上的负载进行平衡,可以改善地理仿射性,并且可以减少加密对象管理系统100中的时延。在一些实施方式中,对象管理站点105a、105b中的任一个或两个可以包括多个负载平衡池145,这些负载平衡池将特定的对象管理站点105内的不同的hsm135进行分组。
可以部署可选的hsm服务器140,以在加密对象管理系统100中提供冗余。应当清楚,hsm服务器120a、120b和可选hsm服务器140中的每个hsm服务器被配置成与特定的负载平衡池145一起工作。例如,hsm服务器120a与负载平衡池145a一起工作。而且,hsm服务器120b和可选的hsm服务器140二者与负载平衡池145b一起工作。即,hsm服务器120a、120b、140的数量等于或大于负载平衡池145的数量。
网络110可以另选地称为通信网络110。网络110的示例可以包括但不限于,局域网(lan)、广域网(wan)、因特网、有线通信链路等。在一些实施方式中,对象管理用户界面115、对象管理器模块125以及持久层130可以通过使用wifi、蓝牙、zigbee或其它类似无线通信协议的无线连接来经由网络110安全地发送和接收数据。在一些实施方式中,对象管理用户界面115、对象管理器模块125以及持久层130可以通过蜂窝、3g、4g或其它无线协议来经由网络110安全地发送和接收数据。在一些实施方式中,对象管理用户界面115、对象管理器模块125以及持久层130可以经由有线线路、光缆、通用串行总线“usb”线缆等安全地发送和接收数据。应当清楚,对象管理用户界面115、对象管理器模块125以及持久层130可以通过前述有线和无线通信方法的适当组合经由网络110安全地通信。在一些实施方式中,对象管理用户界面115、hsm服务器120、对象管理器模块125、持久层130、hsm135、可选的hsm服务器140以及可选的hsm代理150之间的通信可以使用超文本传输协议(http)或者安全超文本传输协议(https)来执行。
图2a和图2b例示了根据一个实施方式的加密对象管理系统100的hsm135和持久层130的示意图。如图2a所示,hsm135包括管理令牌205和多个操作员令牌210a至210n。持久层130包括可以被存储为密码的多个加密对象215a至215n。管理令牌205包括装置主钥(dmk)212,所述装置主钥可以用于导出一个或更多个令牌主钥(tmk)以及存储在持久层(例如,持久层130a、130b)中的一个或更多个加密令牌的内容。可以将dmk212共享并存储在加密对象管理系统100的每个hsm135中。一个或更多个操作员令牌210中的每个操作员令牌处于hsm135的内部,并且被配置成对存储在持久层中的虚拟令牌连同该虚拟令牌的关联的操作员组以及包含在该虚拟令牌中的加密对象一起进行操作。操作员令牌210中的每个操作员令牌可以与存储在持久层130中的加密对象215中的一个或更多个加密对象相关联。
在加密管理系统100的操作期间,当持久化虚拟令牌中的一个持久化虚拟令牌被请求供多个操作员令牌210中的一个操作员令牌使用时,一个或更多个加密对象215和/或持久化虚拟令牌从持久层传递至操作员令牌210。持久层经由hsm服务器(例如,图1所示的hsm服务器125、140中的一个hsm服务器)将所请求的一个或更多个加密对象215安全地发送至提出请求的hsm135。然后,hsm135可以将所请求的加密对象215加载到所请求的操作员令牌210中,其中,基于dmk212对所请求的加密对象215进行解密以获得安全的数据(例如,个性化财务数据)以供加密对象管理系统100使用。一旦不再需要所请求的加密对象215,就从hsm135中去除所请求的这些加密对象。
图2b例示了何时在hsm135中加载加密对象215b以进行加密处理的示例。在该示例中,将加密对象215b加载到操作员令牌210a中。当将加密对象215b加载到操作员令牌210a中时,dmk212在运行时导出令牌主钥(tmk)220和令牌加密密钥/令牌签名密钥(tek/tsk)225。tmk220和tek/tsk225用于对加密对象215b进行解密以获得安全的数据(例如,个性化财务数据)以供加密对象管理系统使用。tmk220是从dmk212导出的中间密钥,并且专用于特定的虚拟令牌。可以将tmk220用于导出tek/tsk225。可以将tek用于对持久化加密对象(例如,存储在持久层中的加密对象)进行加密,以帮助确保那些加密对象的安全性。可以将tsk用于对持久化加密对象进行签名,以帮助确保那些加密对象的安全性。一旦检索到安全化数据,hsm135就可以去除加密对象215b。
在一些实施方式中,hsm135可以通过周期性地替换dmk212,来针对操作员令牌210中的每个操作员令牌周期性地轮换tmk220和tek/tsk225。密钥轮换可以在后台运行,同时仍允许加密对象管理系统运行(例如,生成emv证件)。
图3例示了根据一个实施方式的在加密对象管理系统100内的操作员组管理的示意图。图3包括:操作员组列表305a、305b、多个hsm135以及存储在hsm135中的每个hsm内的令牌310a、310b。操作员组列表305a指示有权访问令牌310a的操作员。在这个实施方式中,操作员组列表305a包括操作员:albert、bonnie、chuck以及doris。操作员组列表305b指示有权访问令牌310b的操作员。在这个实施方式中,操作员组列表305b包括操作员:arthur、bonnie、carol、david以及edwin。
在一些实施方式中,操作员组列表305a、305b中的一个或两个都可以是用户组列表,用户组列表指示有权访问存储在持久层(例如,图1所示的持久层130a、130b)中的一个或更多个令牌310的用户。在一些实施方式中,操作员组列表305a、305b中的一个或两个可以是安全员组列表,安全员组列表指示有权访问并被授权管理存储在持久层中的一个或更多个令牌310的安全员。
在一些实施方式中,操作员组列表305a、305b可以是可存储在持久层中的加密对象。因此,在对象管理器(例如,图1所示的对象管理器模块125)修改操作员组列表305a、305b中的一个操作员组列表的信息(例如,向该操作员组列表添加用户或安全员);从操作员组列表中去除用户或安全员;在操作员组列表中修改有关用户或安全员的信息;等等)时,只要将操作员组列表305a、305b传递至hsm135中的一个hsm,就会呈现该修改。当改变有关哪些操作员有权访问特定的令牌的修改时,可以减少并防止要求修改各个hsm135中的各个令牌的麻烦的管理。
例如,在具有四个hsm,每hsm有三个令牌,每个令牌有三个用户以及每个令牌有三个安全员的一种情况下,总共可以有72个操作员要管理。然而,通过在持久层中提供一个或更多个操作员组列表,可以将要管理的操作员的数量减少至六个(即,三个用户和三个安全员)。
可以将本文所述的各方面具体实施为系统、方法或者计算机可读介质。在一些实施方式中,所描述的各方面可以采用硬件、软件(包括固件等)或它们的组合来实现。一些方面可以在包括用于由处理器执行的计算机可读指令的计算机可读介质中实现。可以使用一个或更多个计算机可读介质的任何组合。
计算机可读介质可以包括计算机可读信号介质和/或计算机可读存储介质。计算机可读信号介质可以包括任何有形介质,该有形介质能够存储计算机程序以供可编程处理器使用,以通过对输入数据进行操作并生成输出来执行本文所述的功能。计算机程序是可以在计算机系统中直接或间接使用的指令集,以执行特定功能或确定某种结果。计算机可读存储介质的示例包括但不限于,软盘;硬盘;随机存取存储器(ram);只读存储器(rom);半导体存储器装置(例如但不限于,可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)、闪速存储器等);便携式光盘只读存储器(cd-rom);光学存储装置;磁存储装置;其它类似装置;或者前述的合适组合。计算机可读信号介质可以包括具有计算机可读指令的传播的数据信号。传播信号的示例包括但不限于,光学传播信号、电磁传播信号等。计算机可读信号介质可以包括不是计算机可读存储介质的任何计算机可读介质,该计算机可读介质可以传播计算机程序以供可编程处理器使用,以通过对输入数据进行操作并生成输出来执行本文所述的功能。
可以通过云计算基础结构来提供一些实施方式。云计算通常包括通过网络(例如,互联网等)提供可扩展的计算资源作为服务。
尽管本文描述了许多方法和系统,但考虑到单个系统或方法可以包括上面讨论的主题中的一个以上的主题。因此,可以在单个系统或方法中一起使用多个上述系统和方法。
方面:
要清楚的是,方面1至9、方面10至13以及方面14至18中的任一方面都可以组合。
方面1.一种加密对象管理系统,所述加密对象管理系统包括:
第一对象管理站点,其中,所述第一对象管理站点包括:
多个第一硬件安全模块(hsm),
第一hsm服务器,所述第一hsm服务器连接至所述第一hsm中的每个第一hsm,其中,所述第一hsm服务器管理并控制所述多个第一hsm中的每个hsm的操作,并且其中,所述第一hsm服务器包括对象管理器模块,所述对象管理器模块管理并控制所述加密对象管理系统,以及
第一持久层,所述第一持久层连接至所述第一hsm服务器,其中,所述第一持久层存储多个第一站点加密对象以供所述第一hsm使用,
其中,所述第一hsm中的每个第一hsm对存储在所述第一持久层中的所述多个第一站点加密对象中的一个或更多个第一站点加密对象执行加密处理;并且
第二对象管理站点,所述第二对象管理站点与所述第一对象管理站点在物理上隔离开,其中,所述第二对象管理站点包括:
多个第二hsm,
第二hsm服务器,所述第二hsm服务器连接至所述第二hsm中的每个第二hsm,其中,所述第二hsm服务器管理并控制所述多个第二hsm中的每个第二hsm的操作,以及
第二持久层,所述第二持久层连接至所述第二hsm服务器,其中,所述第二持久层存储多个第二站点加密对象以供所述第二hsm使用,
其中,所述第二hsm中的每个第二hsm对存储在所述第二持久层中的所述多个第二站点加密对象中的一个或更多个第二站点加密对象执行加密处理。
方面2.根据方面1所述的系统,其中,所述多个第一站点加密对象中的每个第一站点加密对象和所述多个第二站点加密对象中的每个第二站点加密对象是以下项中的一项:加密令牌、加密密钥、加密公钥、加密私钥、加密证书、十进制表、弱pin列表以及操作员组列表。
方面3.根据方面1和2中任一项所述的系统,其中,所述多个第一站点加密对象和所述多个第二站点加密对象是相同。
方面4.根据方面1至3中任一项所述的系统,其中,所述对象管理器模块经由网络连接至所述第二hsm中的每个hsm。
方面5.根据方面1至4中任一项所述的系统,其中,所述第一持久层经由网络连接至所述第二持久层,其中,存储在所述第一持久层中的所述多个第一站点加密对象中的一个或更多个第一站点加密对象被复制在所述第二持久层中,并且其中,存储在所述第二持久层中的所述多个第二站点加密对象中的一个或更多个第二站点加密对象被复制在所述第一持久层。
方面6.根据方面1至5中任一项所述的系统,其中,当指示所述多个第一hsm中的一个第一hsm对存储在所述第一持久层中的所述多个第一站点加密对象中的一个或更多个第一站点加密对象执行加密处理时,所述一个或更多个加密对象经由所述第一hsm服务器发送至所述第一hsm并且临时存储在所述第一hsm中,直到所述第一hsm完成了加密处理。
方面7.根据方面1至6中任一项所述的系统,其中,所述对象管理器模块被配置成,对所述多个第一站点加密对象中的一个或更多个第一站点加密对象以及所述多个第二站点加密对象中的一个或更多个第二站点加密对象进行编辑,
其中,所述对象管理器模块被配置成,将新的加密对象添加至所述第一持久层和所述第二持久层中的至少一个持久层,并且
其中,所述对象管理器模块被配置成,将所述多个第一站点加密对象和所述多个第二站点加密对象中的一个或更多个加密对象去除。
方面8.根据方面1至7中任一项所述的系统,其中,所述第一hsm服务器和所述第二hsm服务器中的每个hsm服务器是以下项中的至少一项:加载到已存在的服务器机器上的软件、在服务器机器的制造期间预加载有所述软件的所述服务器机器以及由一个或更多个虚拟服务器机器运行的所述软件,其中,所述软件管理并控制所述多个hsm中的每个hsm的操作。
方面9.根据方面1至8中任一项所述的系统,其中,所述软件包括所述对象管理器模块。
方面10.一种卡生产系统,所述卡生产系统包括:
多个硬件安全模块(hsm),
hsm服务器,所述hsm服务器连接至所述多个hsm中的每个hsm,其中,所述hsm服务器管理并控制所述多个hsm中的每个hsm的操作,
持久层,所述持久层连接至所述hsm服务器,其中,所述持久层存储多个加密对象以供所述hsm使用,以及
卡个性化系统,所述卡个性化系统在工作上联接至所述hsm服务器。
方面11.根据方面10所述的卡生产系统,其中,所述多个加密对象中的每个加密对象是以下项中的一项:加密令牌、加密密钥、加密公钥、加密私钥、加密证书、十进制表、弱pin列表以及操作员组列表。
方面12.根据方面10和11中任一项所述的卡生产系统,其中,当指示所述多个hsm中的一个hsm对存储在所述持久层中的所述多个加密对象中的一个或更多个加密对象执行加密处理时,将所述一个或更多个加密对象经由所述hsm服务器发送至所述hsm并且临时存储在所述hsm中,直到所述hsm完成了加密处理。
方面13.根据方面10至12中任一项所述的卡生产系统,其中,所述卡个性化系统是以下项中的一项:中央卡发行系统、台式卡打印机、台式压花机、护照系统、台式层压机、台式压花机、智能卡读取器以及输入和/或输出卡斗。
方面14.一种加密对象管理方法,所述加密对象管理方法包括:
将存储在持久层中的加密对象传递至存储在hsm中的操作员令牌;
将所述加密对象加载到所述操作员令牌中;以及
对所述操作员令牌中的所述加密对象进行解密。
方面15.根据方面14所述的加密对象管理方法,其中,所述加密对象是以下项中的一项:加密令牌、加密密钥、加密公钥、加密私钥、加密证书、十进制表、弱pin列表以及操作员组列表。
方面16.根据方面14和15中任一方面所述的加密对象管理方法,其中,所述持久层是网络存储装置和数据库中的一者。
方面17.根据方面14至16中任一方面所述的加密对象管理方法,所述加密对象管理方法还包括:所述hsm在对所述加密对象进行解密之后将所述加密对象从所述操作员令牌中去除。
方面18.根据方面14至17中任一方面所述的加密对象管理方法,其中,所述加密对象是经由hsm服务器传递至所述操作员令牌的。
可以在不脱离本发明的精神或基本特征的情况下按其它形式来具体实施本发明。本申请中公开的实施方式要如例示性而非限制性那样按所有方面来加以考虑。本发明的范围是通过所附权利要求而非前述描述来指示的;并且落入权利要求的等同物的含义和范围内的所有改变都被涵盖于此。
- 还没有人留言评论。精彩留言会获得点赞!