曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        Luna HSM PED KEY的最佳實踐
        發布時間:2022-09-01 08:25:20   閱讀次數:

        image.png

        Luna PED 是一種身份驗證設備,允許訪問 PED 身份驗證 HSM 的管理界面。多因素 (PED) 身份驗證僅適用于 Luna S 系列。PED 客戶端和服務器是允許 HSM PED 通過傳輸控制協議/互聯網協議 (TCP/IP) 網絡進行通信的軟件組件。PED 服務器位于通過 USB 連接具有遠程功能的 Luna PED 的主機上。PED 服務器客戶端駐留在托管 HSM 的系統上,它可以通過網絡連接向 PED 服務器請求 PED 服務。一旦建立數據路徑并且 PED 和 HSM 進行通信,它就會創建一個通用數據加密密鑰 (DEK),用于 PED 協議數據加密并相互驗證。在 PED 和 HSM 之間傳輸的敏感數據是端到端加密的。


        了解 PED KEY是什么以及做什么

        PED 是一種電子編程設備,其 USB 接口嵌入在模制塑料主體中,便于操作。具體來說,PED KEY是具有 FIPS 配置的 SafeNet iKey 身份驗證設備型號 1000。與 PED 2 或 PED 2 Remote 結合使用時,PED KEY可以以電子方式印上識別信息,并一直保留到故意更改為止。PED KEY包含一個生成的機密,可以解鎖一個或多個 HSM。


        該機密是通過初始化第一個 HSM 創建的。然后可以將機密復制(使用 PED 2.x)到其他 PED KEY以進行備份或允許多人訪問受該機密保護的 HSM。該密鑰也可以復制到其他 HSM(當這些 HSM 被初始化時),以便一個 HSM 密鑰可以解鎖多個 HSM。HSM 相關密鑰可能是一個或多個 HSM 的訪問控制、HSM 內分區的訪問控制,或者允許在共享域的 HSM 之間安全移動/復制/共享密鑰的域密鑰。


        PED 和 PED KEY是驗證和允許訪問 PED 驗證 HSM 的管理界面的唯一方法。它們是符合 FIPS 140-2 Level 3的 Thale Luna HSM 的兩部分客戶端身份驗證的第一部分,帶有可信路徑身份驗證。PED 和 PED KEY可防止主機 HSM 上的密鑰記錄漏洞。身份驗證信息通過獨立的可信路徑接口直接從手持式 PED 傳遞到 HSM。用戶不用在電腦鍵盤上輸入認證信息,認證信息不會通過計算機內部,惡意軟件可以攔截。


        HSM 或分區不知道 PED KEY PIN,PIN 和機密存儲在 PED KEY上。在 PED 上輸入 PIN 并解鎖或允許將存儲在 PED KEY上的機密提供給 HSM 或分區以進行身份驗證。PED 不保存 HSM 身份驗證機密。PED 促進了這些機密的創建和通信,但這些機密本身駐留在便攜式 PED KEY上。印記的 PED KEY只能與共享特定機密的 HSM 一起使用,但 PED 是可互換的。


        PED 角色的類型

        PED KEY是根據特定角色生成的。這些是在 HSM 上發生某些事件時確定的。使用這些角色,可以創建 M 個 N PED KEY的法定人數,其中 M 是作為該角色完成運行命令所需的密鑰數,N 是創建的密鑰總數。以下角色是可以在 Luna HSM 上創建的角色類型:

        Security Officer - SO

        使用新 SafeNet HSM 的第一個操作包括創建 SO PIN 和印記 SO PED KEY??梢蕴砑?PED PIN(在 PED 觸摸板上鍵入的附加可選密碼)。通過在后續 HSM 上印上 PED KEY上已有的 SO PIN,可以復制 SO PED KEY以進行備份和在 HSM 之間共享。SO 身份用于對 HSM 進行進一步的管理操作,例如創建 HSM 分區用戶和更改密碼、備份 HSM 對象以及控制 HSM 策略設置。建議將 3/7 的法定人數與藍色貼紙KEY一起使用。


        Partition User or Crypto Officer

        HSM 分區用戶密鑰。需要此 PED KEY才能以 HSM 分區所有者或Crypto Officer的身份登錄。它是分區維護、創建和銷毀密鑰對象等所必需的。登錄的本地部分是允許遠程客戶端(或加密用戶)訪問分區所必需的??梢蕴砑?PED KEY質詢(在 LunaCM 中鍵入的附加可選密碼)??梢允褂谩癎roup PED KEY”選項在 HSM 分區之間復制和共享黑色用戶 PED KEY。建議將 3/7 的法定人數與黑色貼紙KEY一起使用。


        Crypto User

        Crypto User 限制了對應用程序分區對象的只讀管理訪問。Crypto User生成的挑戰機密可以授予客戶端應用程序對分區對象的受限、簽名驗證訪問權限。建議將 3/7 的法定人數與灰色貼紙KEY一起使用。


        Key Cloning Vector (KCV) or Domain ID key

        此 PED KEY攜帶使用密鑰克隆/備份的任何 HSM 組的域標識符。紅色 PED KEY是在 HSM 初始化時創建/印記的。另一個是使用每個 HSM 分區創建/印記的??寺∮蛎荑€將域(通過 PED)攜帶到其他 HSM 或 HSM 分區,以使用相同的域進行初始化,從而允許(僅)在這些容器和令牌之間進行備份和恢復。紅色域 PED KEY在第一次使用時會收到一個域標識符,此時 HSM 會生成一個隨機域并將其發送到紅色貼紙的Domain KEY和當前 HSM 分區。印記后,該域標識符將永久保留在紅色貼紙的Domain PED KEY上 - 以及共享其域的任何 HSM 分區或令牌上。使用該紅色貼紙的Domain PED KEY的任何未來操作都應將該域復制到未來的 HSM 分區或備份令牌(通過 PED),以便它們能夠參與備份和恢復操作。紅色貼紙的Domain PED KEY可以復制用于備份或多個密鑰副本。建議將 3/7 的法定人數與紅色貼紙KEY一起使用。


        Remote PED


        Audit Key

        Audit(審計)是一個 HSM 角色,負責在獨立控制下處理審計日志。審計角色被初始化并印上一個白色的 PED KEY,而不需要 SO 或其他角色。審核員配置和維護審核日志記錄功能,確定記錄了哪些 HSM 活動和其他日志記錄參數,例如翻轉周期等。單獨的審核角色的目的是滿足某些安全要求,同時確保沒有其他人——包括HSM SO – 可以修改日志或隱藏 HSM 上的任何操作。在初始化之前,審計角色是可選的。


        PED KEY管理最佳實踐

        場外成套數量

        組織是否打算對許多 Luna HSM 使用通用身份驗證?沒有限制。例如,單個藍色 SO PED KEY上的身份驗證機密可用于任意數量的 HSM。但是,如果組織希望限制泄露通用藍色 PED KEY的風險,他們將需要擁有一組 HSM,每個組都有一個不同的藍色 PED KEY。每次組織初始化時,HSM(通過 PED)允許他們“重用現有密鑰集”——使當前 HSM 成為現有組的一部分,該組由已印記的 PED KEY(或已印記的 M N keyset) – 或使用由當前 HSM 生成的新的、唯一的密鑰。


        每組的 HSM 數量

        這將告訴組織組的數量以及他們需要多少個不同的藍色 PED KEY?,F在,至少將這個數字翻倍,以便在外部備份副本丟失或損壞時將其保存在安全存儲中。在大多數情況下,HSM 的內容具有一定的價值,因此每個藍色 PED KEY必須至少存在一個備份。如果組織只有一個用于一組 HSM 的藍色 PED KEY,并且該 PED KEY丟失或損壞,則必須重新初始化該組的 HSM(所有內容丟失)并印上新的藍色 PED KEY。


        一對一

        組織可能更喜歡單獨的藍色 SO PED KEY,其中包含系統中每個 HSM 的不同/唯一的安全官身份驗證機密。在這種情況下,沒有一個藍色 PED KEY可以解鎖多個 HSM。他們需要的藍鍵數量就是 HSM 的數量?,F在將該數字翻倍,以使每個藍色鍵至少有一個備份。


        M of N(推薦)

        組織的安全策略是否允許他們信任其人員?也許該組織希望通過拆分 SO 身份驗證機密并調用多人身份驗證來分散責任并減少單方面行動的可能性。選擇 M of N 選項,以便沒有單個藍色 PED KEY足以解鎖 HSM。訪問每個 HSM 需要兩個或更多藍色 PED KEY(他們的選擇,每個 SO 機密最多 16 個拆分)。將每個拆分分配給不同的人,確保沒有人可以解鎖 HSM。


        Partition BLACK PED Keys

        每個 HSM 可以有多個分區。該數量取決于他們的操作要求和組織購買的數量,最高可達每個 HSM 每單位的產品最大值。每個分區都需要身份驗證——一個黑色的 PED KEY。


        組織對于藍色 SO PED KEY具有所有相同的選項——組織應為每個主要的黑色 PED KEY提供至少一個備份。組織可能有多個具有唯一身份驗證機密的分區;因此,每個人都有一個唯一的 PED KEY?;蛘?,組織可能選擇將其分區分組為共同所有權,以便分區組(在一個或多個 HSM 上)可以共享黑色 PED KEY。

        與 SO 機密一樣,組織也可以通過調用M of N 選項來選擇拆分分區黑色 PED KEY機密(當 PED 提示“M 值”和“N 值”時——如果組織在分區創建操作開始時選擇“重用現有密鑰集”)。


        Domain RED PED KEY

        每個 HSM 都有一個域。每個 HSM 分區都有一個域。如果組織希望將 HSM 內容從一個復制到另一個,例如在進行備份時,該域由紅色 PED KEY承載,并且必須與另一個 HSM 共享。


        域必須跨分區匹配,組織才能克隆或備份其分區或將 HSM 分區組裝到 HA 組中。


        對于紅色的 PED KEY,組織可以對唯一性、分組、M of N(或不)等進行安排。


        其他 PED KEY

        如果組織使用遠程 PED 選項(包含遠程 PED 向量 (RPV) 的橙色遠程 PED KEY (RPK)),則該組織可能擁有橙色 PED KEY。如果組織調用審核角色 審核角色選項(白色審核 PED KEY包含審核員的身份驗證,審核員控制審核日志記錄功能),則他們可能擁有白色 PED KEY。組織可以根據自己的選擇調用或不調用 N 中的 M,這會影響他們必須管理的橙色或白色 PED KEY的數量。


        橙色遠程 PED KEY和白色審核 PED KEY可以在多個 HSM 和 PED 工作站之間共享/共用,就像所有其他 PED KEY顏色一樣。


        所有其他 PED KEY角色都允許他們用新機密覆蓋任何密鑰(任何顏色)。如果密鑰不為空,則會發出警告,但組織可以選擇覆蓋或暫停。同時,組織發現了一個空的或 過時的密鑰(在這種情況下,“過時”是指他們通過重新初始化 HSM 或刪除/重新創建分區或其他活動使之前印記的 PED KEY變得無關緊要)使特定 PED KEY中包含的機密不再相關;PED KEY在其使用壽命期間不會“老化”并變得無效——只有對 HSM 的故意操作才會導致 PED KEY上的機密變得無效)。


        考慮到以上所有因素,不可能針對他們的情況建議一個“正確”數量的 PED KEY。這取決于組織在幾個階段做出的選擇。在所有情況下,我們重復建議至少有一個備份,以防 PED KEY(任何顏色)丟失或損壞。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精