曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        SafeNet Luna HSM的M of N說明
        發布時間:2019-10-19 10:38:09   閱讀次數:

        SafeNet Luna HSM所提供的M of N

        SafeNet Luna HSM中S系列的產品,提供了PED+PED Key的認證方式,通過此方式,可以有效的實現M of N的管理功能。

        SafeNet Luna HSM的M of N說明

        關于M of N

        M of N功能提供了一種手段,組織將密碼模塊用于敏感操作,可以通過這種方式對密碼模塊或其選定方面的訪問實施多人控制。所有配置為使用SafeNet PED,PIN輸入設備(PED)和關聯的PED Key進行身份驗證的SafeNet HSM均具有此功能。


        M of N涉及將身份驗證機密(secret)拆分為多個部分或拆分。共享機密在多個PED Keys之間分配(或“拆分”)(“拆分知識訪問控制”)。創建PED所管理的HSM認證機密的每種類型都可以對其進行拆分:

        • 藍色SO PED Key,

        • 紅色的克隆域PED Key,

        • 藍色分區SO PED Key,

        • 黑色Crypto Officer PED Key,

        • 灰色的加密用戶PED Key,

        • 橙色的遠程PED Key,

        • 紫色的安全恢復PED Key,

        • 白色的審核PED Key。


        M of N的運作方式  

        對于未經PED身份驗證(即,對于密碼身份驗證)的HSM,您可以通過為兩個人(或更多人)分別分配一部分文本字符串來驗證M of N的角色或功能,從而模擬M of N的弱形式。 HSM。然后,您將需要第三方來監督每個身份驗證,以確保部分密碼字符串的持有者以正確的順序輸入了它們,并且沒有查看彼此的部分。


        對于經過PED認證的HSM,真正的M of N是一種更強大的自我執行功能。


        在沒有M of N的情況下,您可以初始化HSM,以便僅產生一個藍色的HSM Admin / SO PED Key即可登錄并執行HSM管理功能,并且必須產生一個黑色的Crypto Officer PED Key才能激活分區。接收客戶端連接并允許客戶端應用程序在分區內執行操作,并且對于上面列出的任何其他角色和身份驗證機密類似。那可能就是您的安全和監督范圍。如果足夠,您可以停止閱讀本主題。


        對于M of N,仍然需要一個藍色SO PED Key或一個黑色Crypto Officer PED Key(或紅色域 Key或灰色Crypto User Key或橙色Remote PED Key或紫色Secure Recovery Key或白色Auditor Key)中包含的身份驗證密鑰,但是不再足以進行身份驗證?,F在,訪問需要由監督者或幾個監督者或協作的共同密鑰持有者進行額外的身份驗證。這種額外的監督構成了角色機密各個部分的“ M”個持有者,該角色現在是M of N的“分裂知識共享機密”。這意味著SO機密,分區Crypto Officer機密或克隆域(以及Remote PED機密和Secure Recovery機密以及Audit機密和Crypto User機密,如果使用的話,則可以分為幾部分(在當前顏色的多個PED Key上,而不是僅一個),并且必須將定義數量的這些部分放在一起,以便重新創建完整的秘密。具有一個PED Key的一個人不能再針對已設置M of N的HSM角色或功能進行身份驗證。


        在初始化時或角色創建時,您將被帶到PED,在這里您可以指定將每個身份驗證機密劃分為多少個拆分或共享-這是數量N(可以是1到16之間的任何數字)。您還指定了必須由SafeNet PED將多少個拆分或份額合并在一起才能重新創建機密-這是數量M。M可以小于或等于N。請通過提供“ Nvalue”來指定這些數量以及SafeNet PED提示時的“ Mvalue”。這些值與該秘密相關聯,并且在該秘密的生命周期中是必需的,直到您導致創建新的秘密為止。在更改或重置角色的“密碼”(PED Key機密)或生成新的遠程PED矢量時,可能會發生這種情況,或生成新的安全恢復向量。如果您恢復出廠設置,然后重新初始化HSM,也可能發生這種情況,但前提是您選擇不重復使用現有的PED Keysets(請參閱下面的“重復使用”)。  


        創建沒有M of N與使用M of N的身份驗證機密   

        SafeNet Luna HSM的M of N說明

        在上面的圖示中,右側描繪了在四個藍色PED Key之間劃分的SO秘密(可以是HSM Admin / SO,或者可以是按分區SO上下文中的應用程序分區SO)。這不是一個秘密的四個副本-這是一個秘密的四個不同部分或拆分。如圖所示,Mvalue(將來進行任何身份驗證所需的拆分數量)可以設置為1到Nvalue之間的任何值(在這種情況下為4)。


        ?將M設置為1將毫無意義。同樣,您也可以將Nvalue設置為1,并為您的備件完全復制該單個完全秘密密鑰。


        ?將Mvalue設置為4是有效的,但要求在每次進行身份驗證時,所有藍鍵拆分的持有人都必須在場-藍鍵持有人不得在不控制自己/他人的情況下休假或請假或出差旅行將其拆分給其他負責人,而不是現有拆分持有人之一。


        ?當Nvalue為4時,合適的Mvalue設置將為M = 3或M = 2。


        N = 4只是一個方便的示例大小。我們可以使用最多16個的nValue,但是更大的數字將構成一個更麻煩的示例來解釋這個概念。


        驗證中

        要使用有效的M of N登錄或進行身份驗證,首先會提示您提供藍色的PED Key(或黑色的PED Key,或適合于該任務的任何一種顏色),然后提示您提供一個該顏色的另一個(不同)鍵(從該組開始),并重復進行直到顯示出M個分割為止-只要所有鍵都不同,這些鍵可以按任何順序以任意順序出現。也就是說,機密分布在N個密鑰上,但是您僅需要M個密鑰即可在需要時重新創建完整密鑰(其中M通常小于N)。


        如下圖所示,如果將M of N設置為N = 4和M = 3,則當SafeNet PED提示您進行SO登錄時,可以顯示其中的三個。

        SafeNet Luna HSM的M of N說明

        密碼分割2、3和4(上方)組合在一起以重現完整的SO身份驗證密碼。  

        秘密分組1變灰,表示在PED提示時出示2、3和4時,在身份驗證時不需要它。

        SafeNet Luna HSM的M of N說明

        或者,秘密分割1、3和4合并以重現完整的SO身份驗證秘密,而不需要2。

        SafeNet Luna HSM的M of N說明

        或者,秘密分割1、2和4合并以重現完整的SO身份驗證秘密,而不需要3。

        1-191019111G6307.png

        或者,秘密分割1、2和3合并以重現完整的SO身份驗證秘密,而不需要4。


        從M of N = 3 of 4的集合中,上述任何3-PED-Key組合都會帶您進入該HSM或分區。


        當尋求M of N劃分的機密時,SafeNet PED不會要求進行特定的劃分。它所需要的只是一個拆分,它是請求的機密的一部分,但與您在此身份驗證嘗試期間提供的任何先前拆分不同。當它成功接收到PED Key標頭中指示的不同拆分的數量時,將在HSM上進行身份驗證嘗試。


        何時何地使用M of N

        當您希望某種類型的HSM訪問權限需要多個人員在場時,請使用M of N。M of N是每個身份驗證密碼調用的。也就是說,它僅適用于您在創建/標記秘密時故意選擇調用M of N的那些秘密。因此,您可以對HSM SO和克隆域強加M of N多人控制,但不能對分區加密官,SRK,RPV ...或在您的環境中有意義的任何其他組合強加。請查看我需要多少個PED鑰匙?在做出有關為一個或多個HSM的一個或多個身份驗證密碼調用M of N的決定之前。


        在HSM的初始化和管理期間,如果需要,HSM管理員或安全員[SO]會調用M of N,因為該過程已到達創建/標記每個身份驗證機密的地步。HSM SO監督藍色PED Key或一組N個藍色密鑰的壓印。SO指定將共享共享機密的共享數量(有時也稱為“拆分”)。該總數為N,并且可以是16之間的任意數字。然后,SO指定在每次登錄/身份驗證或身份驗證時需要總數(當前顏色)的PED密鑰總數。第二個數字M可以是最大為N的任何數字。在初始化期間,SO還將為HSM管理分區的克隆域提供相同的選擇。


        從那時起,將來任何特定身份驗證(藍色密鑰或紅色密鑰)登錄或調用到HSM都需要提供M個該顏色共享密鑰。結果是,沒有任何人可以操作HSM的該方面。


        然后,在創建應用程序分區并為其創建角色和機密時會發生相同的選擇。加密官員密鑰或HSM Admin / SO密鑰的一位持有人(例如)必須在HSM或HSM之前召集M個不同的股東(包括他/她本人),每個人都擁有相應的黑鍵或藍鍵之一。分區可以被解鎖。


        同樣,這同樣適用于調用M of N的任何其他顏色(角色/秘密),RPK,SRK,審核員。


         

        HSM角色或秘密

        如果一個角色/秘密已調用M of N,則每個角色/秘密所需的拆分次數
        創建的分割數(N)
        [注1]  
        認證所需的分割數(M)
        [注2]   
        藍色-HSM管理員或安全員(SO)  1至16之間的任何值從1到N的任何值
        藍色-應用程序分區安全員(SO)1至16之間的任何值從1到N的任何值
        紅色-克隆域1至16之間的任何值從1到N的任何值
        黑色-加密官員(有時稱為沒有分區SO的”舊”分區的應用程序分區所有者)  1至16之間的任何值從1到N的任何值
        灰色-加密用戶  1至16之間的任何值從1到N的任何值
        橙色-遠程PED向量  1至16之間的任何值從1到N的任何值
        白色-審核員  1至16之間的任何值從1到N的任何值
        紫色-安全恢復向量  1至16之間的任何值從1到N的任何值
        [注1-在標記角色或機密時,選擇N值為1表示該角色/秘密不會分裂M of N;單個PED Key可解鎖該角色或功能。
        選擇一個大于1的Nvalue時,在烙印角色或機密時,意味著該機密將拆分為N個顏色的PED Key。  
        [注2-通常不將Mvalue選為1(當N> 1時),因為這多數會破壞設置M of N的目的。
        通常不選擇Mvalue作為N,因為當疾病,休假,商務旅行或其他原因導致一個或多個秘密拆分PED Key的持有人不可用時,Mvalue不會進行身份驗證。因此,通常是1 <M <N。

        上表的目的是明確強調M of N設置在HSM上完全獨立于每個角色或秘密。

        ?是否為一個角色或功能機密設置M of N不會影響是否可以為任何其他角色或機密設置M of N。

        ?為一個角色或功能機密設置Mvalue和Nvalue不會影響您可能為另一個角色或功能設置的值。  


        不要錯誤的理解M of N  

        M of N不是私鑰的分割;它拆分了SafeNet HSM的各個身份驗證/訪問密碼。也就是說,M of N是秘密的分割,可讓您解鎖HSM的功能,但不能分割HSM內包含的工作(加密,解密,簽名,驗證)秘密(您的密鑰和證書)。

        注意:    通常,如果要將每個包含拆分的PED Key提供給不同的人,請使用M of N。我們建議您僅在確定有必要時才使用M of N。拆分知識,共享機密,多人訪問控制的額外安全性帶來了額外的管理開銷,并增加了發生管理或處理錯誤的可能性,從而使您無法訪問密鑰和證書。


        重用(Reuse)

        當PED Key包含來自HSM或分區的身份驗證密鑰,并且您要為新的HSM或分區烙印密鑰時,系統會提示您“重用現有密鑰集?”或覆蓋PED Key的任何內容(說明)共享或組PED Key中的詳細信息)。


        如果您提供的PED密鑰包含來自M of N集中的單個拆分,則PED會檢測到它正在查看部分機密,并提示您對該機密進行其他拆分,以重現該私密并將其重構到當前HSM上(該角色)。也就是說,您不能將來自M of N組的單個拆分用作另一個HSM或分區上的完整密鑰。如果另一個HSM擁有該秘密或角色的M of N,并且您選擇重用,則必須重用所有它,因此,您要在新HSM上為該角色選擇M of N,就像在原始HSM上一樣。


        歷史筆記

        在以前的SafeNet HSM版本中,M of N是通過hsm init命令在命令行(lunash:>或lunacm:>)上進行的選擇。您可以通過hsm init命令的選項選擇是否使用M of N 。M of N是一個單獨的秘密,分布在N個綠色鍵上。如果您調用M of N,則它對于該HSM始終有效(直到重新初始化HSM)。如果調用M of N,則它在HSM范圍內有效。如上所述,現代M of N的行為有很大不同,如果您要從較舊的SafeNet HSM遷移,我們建議您花一些時間來了解它們的區別和含義。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精