[go: up one dir, main page]

JP7758735B2 - ハードウェア・セキュリティ・モジュールのリモート管理 - Google Patents

ハードウェア・セキュリティ・モジュールのリモート管理

Info

Publication number
JP7758735B2
JP7758735B2 JP2023534181A JP2023534181A JP7758735B2 JP 7758735 B2 JP7758735 B2 JP 7758735B2 JP 2023534181 A JP2023534181 A JP 2023534181A JP 2023534181 A JP2023534181 A JP 2023534181A JP 7758735 B2 JP7758735 B2 JP 7758735B2
Authority
JP
Japan
Prior art keywords
key
encrypted
hsm
mobile device
decrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023534181A
Other languages
English (en)
Other versions
JPWO2022122578A5 (ja
JP2023552421A (ja
Inventor
サリヴァン、ゲリー、ジョセフ
クーン、ジェームス、リチャード
ジョーダン、マイケル、ジョセフ
ヤング、マイケル
ドハーティ、ジェシカ
デロベルティス、クリストファー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2023552421A publication Critical patent/JP2023552421A/ja
Publication of JPWO2022122578A5 publication Critical patent/JPWO2022122578A5/ja
Application granted granted Critical
Publication of JP7758735B2 publication Critical patent/JP7758735B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)
  • Selective Calling Equipment (AREA)

Description

本発明は、一般に、暗号に関連しており、より詳細には、ハードウェア・セキュリティ・モジュールのリモート管理に関連している。
コンピューティング・システムは、許可されていないアクセスからデータを保護するために、さまざまなデータ・セキュリティ手段を利用することができる。例えば、ハードウェア・セキュリティ・モジュール(HSM:hardware security module)は、デジタル署名、強力な認証のための暗号化関数および復号関数、ならびに他の暗号関数を含む、暗号鍵を保護および管理するための暗号関数を提供するコンピューティング・デバイスおよび関連するソフトウェアである。HSMは、セキュアなコンピューティング・デバイスまたはネットワーク・サーバに直接接続されるか、または取り付けられる、物理的なプラグイン・カードまたは外部コンピューティング・デバイスの形態であることができる。
HSM管理の解決策のための既存の技術は、データの保護を保証するために、二重制御および他のセキュリティ技術を利用する。例えば、HSM管理の解決策は、HSM用のマスター鍵の鍵の部分を含んでいるスマート・カードを持っている複数の管理者が、同時にセキュアな物理的空間内に集まり、各鍵の部分を含んでいる管理者のスマート・カードをシステムに提示して、HSMを構成することを要求することができる。しかし、管理者が同時に同じセキュアな物理的空間内に集まることができない状況では、HSM管理は、非実用的であり、必要とされるプロセスを妨げる可能性がある。例えば、1人または複数の管理者が、各鍵の部分を含んでいる管理者のスマート・カードを提示するために物理的空間内にいることができない場合、マスター鍵を形成するために必要な鍵の部分のすべてが存在していないため、HSMは構成され得ない。これは、全員が自宅から作業しなければならないか、1人または複数の管理者が、セキュアな空間に移動することが物理的にできないか、または必要とされる管理者のすべてがセキュアな空間内に物理的に存在することを妨げる他の同様の障害の場合に、発生する可能性がある。
HSMをリモートで管理するための従来技術は、リモート管理者によって必要とされる共有された秘密をめぐるセキュリティ、および本物のリモート管理者からの要求の信頼性に関する懸念を引き起こした。共有された秘密は、セキュア通信において、関与する関係者のみに知られたデータである。システムのリモート管理者は、セキュアな環境の外側でHSMを管理するために、共有された秘密を利用する必要がある。HSM管理のための既存の技術から生じる1つのセキュリティ上の懸念は、共有された秘密をリモート管理者との間で安全に輸送する方法を含む。一部の例では、モバイル・デバイスとサーバの間の接続が侵害される可能性があり、共有された秘密が、許可されていないユーザによって傍受され、このようにして、共有された秘密のセキュリティを侵害することがある。
一部の既存のHSM管理の解決策は、共有された秘密がセキュアな環境の外側で生成されることを可能にする。場合によっては、HSM管理システムは、エンドユーザまたはリモート管理者が、自分自身の識別情報またはモバイル・デバイスに関する情報を使用して自分自身の共有された秘密を生成することを許可する。攻撃者が、共有された秘密を生成するために使用された情報(例えば、ユーザ識別情報、モバイル・デバイス情報など)にアクセスし、共有された秘密を復号するか、または他の方法で取得できる場合、リモート管理者によってセキュアな環境の外側で生成されて共有された秘密は、悪用に対して脆弱であることがある。攻撃者がユーザに関する十分な情報を収集したか、またはユーザのデバイスにアクセスできる場合、システムを攻撃に対して脆弱にすることができ、そのようなシステムは、破壊されることがある。
一部の既存のHSM管理の解決策では、共有された秘密は、リモート管理者によって保持された場合、セキュアな環境の外側で十分に保護されないことがある。例えば、共有された秘密は、モバイル・デバイスによって暗号化されず、暗号化されていない状態でモバイル・デバイスに格納される可能性がある。許可されていないユーザがモバイル・デバイスにアクセスした場合、許可されていないユーザは、保護されていない共有された秘密を取得できることがあり、このようにして、システムを許可されていないユーザによるアクセスに対して脆弱にする。
一部の既存のHSM管理の解決策では、リモート管理者から受信された管理上の要求が、有効でなく、または本物でないことがある。攻撃者は、リモート管理者によって制御されているデバイスのクローンを作成するか、またはリモート管理者の知識なしでデバイスにアクセスし、システムにアクセスしようとすることがある。そのような要求は、有効または本物であるように見え、許可されていないユーザに、システムに対するアクセス権限を提供することがある。
本発明の実施形態は、ハードウェア・セキュリティ・モジュール(HSM)をリモートで管理することを対象にする。本発明の態様によれば、コンピューティング・デバイスのプロセッサによって、モバイル・デバイスからコマンド要求を受信することを含んでいるコンピュータ実装方法が提供されており、コマンド要求は、暗号化された鍵の部分および暗号化された署名鍵を含む。HSMは、モバイル・デバイスのセキュリティ・ゾーンに関連付けられた鍵を使用してコマンド要求を復号する。HSMは、暗号化された鍵の部分および暗号化された署名鍵を復号して、復号された鍵の部分および復号された署名鍵を生成する。暗号化された鍵の部分および暗号化された署名鍵を復号することは、モバイル・デバイスのセキュリティ・ゾーンに関連付けられた鍵、およびモバイル・デバイスに関連付けられたリモート管理者に関連付けられた鍵を使用することを含む。コマンドは、ターゲットHSMを含んでいるドメインに対して生成され、コマンド要求に基づく。コマンドは、復号された鍵の部分および復号された署名鍵を使用して生成される。コマンドは、ターゲットHSMによる実行のために、ドメインに送信される。
本発明の別の態様によれば、HSMをリモートで管理するためのシステムが提供されている。システムの非限定的な例は、コンピュータ可読命令を含んでいるメモリ、およびコンピュータ可読命令を実行するための1つまたは複数のプロセッサを含む。コンピュータ可読命令は、上記の方法を実施してよい。
本発明の別の態様によれば、HSMをリモートで管理するためのコンピュータ・プログラム製品が提供されており、コンピュータ・プログラム製品は、プログラム命令が具現化されているコンピュータ可読ストレージ媒体を含む。これらのプログラム命令は、プロセッサに上記の方法を実行させるために、プロセッサによって実行可能である。
したがって有利に、本発明の1つまたは複数の実施形態は、HSMをリモートで管理するために使用される共有された秘密を安全に管理する。これによって、共有された秘密が保護されたままであることを保証しながら、リモート管理者が、1か所に集まることを必要とせずに、HSM管理を実行することを可能にすることができる。
本発明は、コマンド要求が、リモート管理者に関連付けられた暗号化されたログオン鍵をさらに含むことができ、コンピュータ実装方法が、HSMが暗号化されたログオン鍵を復号して、復号されたログオン鍵を生成することをさらに含む、方法を提供するのが好ましい。暗号化されたログオン鍵を復号することは、モバイル・デバイスのセキュリティ・ゾーンに関連付けられた鍵、およびモバイル・デバイスに関連付けられたリモート管理者に関連付けられた鍵を使用することを含む。復号されたログオン鍵は、コマンドと共にドメインに送信される。このようにして、有利に、ログオン鍵がコマンドと共にドメインに送信され得る。
本発明は、第2のモバイル・デバイスからの第2のコマンド要求が受信され得る、方法を提供するのが好ましい。第2のコマンド要求は、第2の暗号化された鍵の部分および第2の暗号化された署名鍵を含むことができる。HSMは、モバイル・デバイスのセキュリティ・ゾーンに関連付けられた鍵を使用して第2のコマンド要求を復号する。HSMは、第2の暗号化された鍵の部分および第2の暗号化された署名鍵を復号して、第2の復号された鍵の部分および第2の復号された署名鍵を生成する。第2の暗号化された鍵の部分および第2の暗号化された署名鍵を復号することは、セキュリティ・ゾーンに関連付けられた鍵、および第2のモバイル・デバイスに関連付けられた異なるリモート管理者に関連付けられた異なる鍵を使用することを含む。第2のコマンドは、第2の復号された鍵の部分および第2の復号された署名鍵を使用して、ターゲットHSMを含んでいるドメインに対して生成され得る。第2のコマンドは、ドメインに送信され得る。したがって有利に、異なる鍵の部分を持っている複数のリモート管理者が、共有された秘密が保護されたままであることを保証しながら、1か所に集まることを必要とせずに、HSMをリモートで管理することができる。
本発明は、復号された鍵の部分および第2の復号された鍵の部分が、ドメインのターゲットHSMに関連付けられたマスター鍵の部分である、方法を提供するのが好ましい。したがって有利に、HSMは、HSMのマスター鍵の部分である異なる鍵の部分を使用する異なる管理者によって、二重制御を使用して管理され得る。
本発明は、セキュリティ・ゾーン内でモバイル・デバイスを登録し、モバイル・デバイスをリモート管理者に関連付けることによって、モバイル・デバイスがプロビジョニングされ得る、方法を提供するのが好ましい。したがって有利に、HSMをリモートで管理するために使用されるモバイル・デバイスは、システムによって使用される共有された秘密の保護を保証するように構成される。
本発明は、ターゲットHSMによる実行のために、コマンドをドメインに送信する前に、復号された署名鍵を使用してコマンドが署名され得る、方法を提供するのが好ましい。したがって有利に、HSMをリモートで管理するためのコマンドが、ドメインへの送信中にセキュリティの追加の層によって保護される。
本発明は、ドメインから受信された結果に基づいて、メッセージがモバイル・デバイスに送信され得る、方法を提供するのが好ましい。したがって有利に、ドメインから受信されたコマンドの結果を使用して、リモート管理者が更新される。
本発明の別の態様によれば、HSMをリモートで管理することを対象にするコンピュータ実装方法が提供されている。コンピュータ実装方法の非限定的な例は、コンピューティング・デバイスのプロセッサによって、リモート管理者に関連付けられたモバイル・デバイスから、暗号化された鍵の部分および暗号化された署名鍵を含んでいる鍵読み込み要求を受信することを含む。モバイル・デバイスからの鍵読み込み要求の妥当性が確認され得る。暗号化された鍵の部分および暗号化された署名鍵が復号され、復号された鍵の部分および復号された署名鍵を生成することができる。暗号化された鍵の部分および暗号化された署名鍵を復号することは、セキュリティ・ゾーン用の認証機関(CA:certificate authority)証明書の公開鍵に対応する秘密鍵、およびリモート管理者のプロファイルのCA証明書の公開鍵に対応する秘密鍵を使用することを含むことができる。鍵読み込みコマンドは、鍵読み込み要求によって指定されたドメインに対して構築され得る。鍵読み込みコマンドは、復号された鍵の部分を含むことができ、復号された署名鍵を使用して署名される。鍵読み込みコマンドは、ドメインのターゲット・ハードウェア・セキュリティ・モジュール(HSM)による実行のために、ドメインに送信され得る。
したがって有利に、本発明の1つまたは複数の実施形態は、HSMをリモートで管理するために使用される共有された秘密を安全に管理する。これによって、共有された秘密が保護されたままであることを保証しながら、リモート管理者が、1か所に集まることを必要とせずに、HSM管理を実行することを可能にすることができる。
本発明は、セキュリティ・ゾーン用のCA証明書の公開鍵を使用して鍵読み込み要求が暗号化され、鍵読み込み要求の妥当性を確認することが、セキュリティ・ゾーン用のCA証明書の公開鍵に対応する秘密鍵を使用して鍵読み込み要求を復号することを含む、コンピュータ実装方法を提供するのが好ましい。したがって有利に、システムへの要求の送信中に、共有された秘密が保護されることを保証するために、モバイル・デバイスによって鍵読み込み要求が暗号化される。
本発明の別の態様によれば、HSMをリモートで管理することを対象にするコンピュータ実装方法が提供されている。コンピュータ実装方法の非限定的な例は、セキュアなコンピューティング・デバイスのプロセッサによって、リモート管理者に関連付けられたモバイル・デバイスから、暗号化された鍵の部分および暗号化された署名鍵を含んでいる暗号化されたハードウェア・セキュリティ・モジュール(HSM)コマンド要求を受信することを含むことができる。モバイル・デバイスからの暗号化されたHSMコマンド要求が復号され得る。セキュアなコンピューティング・デバイスのHSMは、暗号化された鍵の部分および暗号化された署名鍵を復号して、復号された鍵の部分および復号された署名鍵を生成する。復号された鍵の部分および復号された署名鍵に少なくとも部分的に基づいて、指定されたドメインに対する暗号化されたHSMコマンド要求に対応するHSMコマンドが生成され得る。HSMコマンドは、指定されたドメインのターゲットHSMによる実行のために、指定されたドメインに送信され得る。
したがって有利に、本発明の1つまたは複数の実施形態は、HSMをリモートで管理するために使用される共有された秘密を安全に管理する。これによって、共有された秘密が保護されたままであることを保証しながら、リモート管理者が、1か所に集まることを必要とせずに、HSM管理を実行することを可能にすることができる。
本発明は、セキュリティ・ゾーン用のCA証明書の公開鍵を使用して鍵読み込み要求が暗号化され、鍵読み込み要求の妥当性を確認することが、セキュリティ・ゾーン用のCA証明書の公開鍵に対応する秘密鍵を使用して鍵読み込み要求を復号することを含む、コンピュータ実装方法を提供するのが好ましい。したがって有利に、システムへの要求の送信中に、共有された秘密が保護されることを保証するために、モバイル・デバイスによって鍵読み込み要求が暗号化される。
本発明は、指定されたドメインから受信された結果に基づいて、メッセージがモバイル・デバイスに送信され得る、コンピュータ実装方法を提供するのが好ましい。したがって有利に、ドメインから受信されたコマンドの結果を使用して、リモート管理者が更新される。
その他の技術的特徴および利点が、本発明の技術によって実現される。本発明の実施形態および態様は、本明細書において詳細に説明され、請求される主題の一部と見なされる。さらに良く理解するために、詳細な説明および図面を参照されたい。
本明細書に記載された専有権の詳細は、本明細書の最後にある特許請求の範囲において具体的に指摘され、明確に請求される。本発明の各実施形態の前述およびその他の特徴および長所は、添付の図面と共に、以下で行われる詳細な説明から明らかになる。
1つまたは複数の実施形態例に従って、ハードウェア・セキュリティ・モジュールのリモート管理のためのモバイル・デバイスのプロビジョニングを示す概略図である。 1つまたは複数の実施形態例に従って、ハードウェア・セキュリティ・モジュールのリモート管理を示す概略図である。 1つまたは複数の実施形態例に従って、ハードウェア・セキュリティ・モジュールのリモート管理のためにモバイル・デバイスをプロビジョニングするための例示的な方法のプロセス・フロー図である。 1つまたは複数の実施形態例に従って、モバイル・デバイスによるハードウェア・セキュリティ・モジュールのリモート管理のための例示的な方法のプロセス・フロー図である。 1つまたは複数の実施形態例に従って、セキュア・サーバによるハードウェア・セキュリティ・モジュールのリモート管理のための例示的な方法のプロセス・フロー図である。 本発明の1つまたは複数の実施形態に従う、コンピュータ・システムの図である。
本明細書において示された図は、例示である。本発明の範囲から逸脱することなく、本明細書に記載された図または動作の多くの変形が存在することが可能である。例えば、動作は異なる順序で実行されることが可能であり、または動作は追加、削除、もしくは変更されることが可能である。また、「結合される」という用語およびその変形は、2つの要素間に通信経路が存在することを表しており、それらの要素間に要素/接続が介在しない要素間の直接的接続を意味していない。これらのすべての変形は、本明細書の一部であると見なされる。
本発明の実施形態例は、特に、ハードウェア・セキュリティ・モジュール(HSM)のリモート管理のためのシステム、方法、コンピュータ可読媒体、技術、および手段に関連する。HSMをリモートで管理するための従来の手法は、リモート管理者によって必要とされる共有された秘密のセキュリティ、およびリモート管理者からの要求の信頼性に関する懸念を引き起こす。HSMを管理するための既存の技術は、通常、適合性レベル管理技術を使用してHSMが管理されることを必要とする規格および規制の順守を保証するために、管理者が同時に同じ物理的空間内に集まることを必要とする。しかし、管理者が1か所に集まることが物理的にできない環境では、そのような技術は非実用的である。
本発明の1つまたは複数の実施形態は、リモートHSM管理を対象にし、HSM用のマスター鍵は、鍵の部分に分けられ、保護されたストレージに格納され、保護された環境内で異なるリモート管理者に安全に配布される。管理者は、同じセキュアな物理的空間内に物理的に集まることを必要とせずに、二重制御の要件を順守しながら、HSMをリモートで管理することができる。共有された秘密は、要求が許可された管理者から来ていること、および管理者のモバイル・デバイスのセキュリティが侵害されていないことを保証するために、システムによって管理者から受信された要求が許可されていることを保証しながら、安全に配布される。
一部の実施形態では、セキュア・サーバなどのセキュア・デバイスが、セキュアな環境内にある。セキュアな環境は、アクセスが制限された建物内のセキュアな部屋または階などの、セキュアな場所であり、その場所に、リモートHSM管理をサポートするために使用されるセキュア・デバイスが位置している。セキュア・デバイスは、Webアプリケーションなどのアプリケーションを実行して、リモートHSM管理用のセキュアな環境の外側にある、リモートに位置しているモバイル・デバイスと通信する。スマートフォンなどのモバイル・デバイスは、セキュアな環境内でプロビジョニングされる。モバイル・デバイスは、セキュリティ・ゾーンに登録され、リモート管理者に割り当てられる。HSM管理に使用される共有された秘密は、セキュアな環境内にいるときに、プロビジョニングされたモバイル・デバイスに読み込まれる。共有された秘密は、指定されたHSMによって使用されるマスター鍵の構成要素である鍵の部分を含むことができる。共有された秘密は、モバイル・デバイスに転送される前に、セキュアな環境内で暗号化され、モバイル・デバイスのセキュリティが含まれている場合、モバイル・デバイス上の共有された秘密が、安全であり、デバイスのユーザによっても、または誰によっても、復号され得ないことを保証する。
リモート管理者は、モバイル・デバイスをセキュアな環境の外側に持ち運び、それらのモバイル・デバイスをリモートHSM管理に使用することができる。例えば、リモート管理者は、セキュアな環境の外側にいながら、自分のモバイル・デバイス上でアプリケーションを開き、多要素認証を使用することなどによって、自分自身を認証することができる。リモート管理者は、HSMのリストから構成されるHSMを選択し、指定されたドメインのターゲットHSM上で実行するコマンドを選択する。リモート管理者は、セキュアな環境内ですでに暗号化されている鍵の部分または署名鍵あるいはその両方などの、必要とされる(例えば、プロビジョニング時にモバイル・デバイスに読み込まれた)共有された秘密を選択する。アプリケーションは、リモート管理者の選択を使用して要求を構築し、リモート管理者の認証機関(CA)証明書内の公開鍵を使用して、この要求を暗号化する。暗号化された要求は、セキュアな環境内のセキュア・デバイスに送信される。
セキュア・デバイスは、リモート管理者のモバイル・デバイスから、暗号化された要求を受信する。セキュア・デバイスは、要求の妥当性を確認し、リモート管理者のモバイル・デバイスから受信された各要求からの情報を使用してHSMコマンドを構築する。各HSMコマンドは、各要求から取得された署名鍵を使用して署名され、各要求によって指定されたドメインに送信される。このコマンドは、指定されたドメインのターゲットHSMによって実行される。ターゲットHSMは、指定されたすべてのリモート管理者から要求を受信し、収集された鍵の部分を使用してマスター鍵が形成されるまで、リモート管理者の各々から鍵の部分を集めることができる。マスター鍵の完成時に、ターゲットHSMによってHSMコマンドが実行される。ターゲットHSMによって実行されたコマンドの結果が、セキュア・デバイスに返送される。セキュア・デバイスは、ドメインから受信された結果を示すメッセージを生成し、このメッセージをモバイル・デバイスに送信することができる。本明細書に記載されたシステムおよび方法は、二重制御などの適合性レベル管理技術を使用して、さまざまな規格および規制を順守しながら、HSMをリモートで管理する能力を提供する。
HSM管理のための既存の技術から生じる1つのセキュリティ上の懸念は、共有された秘密をリモート管理者との間で安全に輸送する方法である。一部の例では、モバイル・デバイスとサーバの間の接続が侵害される可能性があり、共有された秘密が、意図されない受信者によって傍受され、このようにして、共有された秘密のセキュリティを侵害することがある。本発明の1つまたは複数の実施形態は、セキュアな環境内にあるセキュア・デバイスのHSMによる共有された秘密の生成を容易にする。共有された秘密は、二重に暗号化され得る。例えば、鍵の部分などの共有された秘密は、モバイル・デバイスのセキュリティ・ゾーン用の共有された秘密を使用して暗号化され、特定のリモート管理者に関連付けられた共有された秘密を使用して暗号化され得る。次に、二重に暗号化されて共有された秘密は、HSMのリモート管理のためにリモート管理者によって使用されているプロビジョニングされたモバイル・デバイスに読み込まれ得る。セキュアな環境内でHSMによって生成された、二重に暗号化されて共有された秘密は、セキュアな環境の外側にいる間、復号されることは決してない。リモート管理者がHSMをリモートで管理する場合、リモート管理者は、セキュア・デバイスに送信されるコマンド要求に含めるために、二重に暗号化されて共有された秘密を選択することができる。したがって、セキュアな場所でセキュア・デバイスによって、二重に暗号化されて共有された秘密の送信元であるモバイル・デバイスの妥当性が適切に確認されない限り、二重に暗号化されて共有された秘密は、傍受された場合でも、許可されていないユーザによって復号され得ず、HSMをリモートで管理するために使用され得ない。
一部の既存のHSM管理の解決策は、共有された秘密がセキュアな環境の外側で生成されることを可能にする。HSM管理システムは、エンドユーザが、自分自身の識別情報またはモバイル・デバイスに関する情報を使用して、共有された秘密を生成することを可能にしてよい。攻撃者が、共有された秘密を生成するために使用された情報にアクセスし、共有された秘密を復号するか、または他の方法で取得できる場合、リモート管理者によってセキュアな環境の外側で生成されて共有された秘密は、悪用に対して脆弱であることがある。本発明の1つまたは複数の実施形態は、セキュア・デバイスおよび関連するHSMによってセキュアな環境内で生成されて暗号化された、二重に暗号化されて共有された秘密の使用を容易にする。共有された秘密は、セキュアな環境の外側で復号されず、復号された状態でモバイル・デバイスに格納されない。したがって、セキュア・デバイスのHSMによって生成されて共有された秘密は、モバイル・デバイスに読み込まれるときに二重に暗号化され、モバイル・デバイスによって、HSMをリモートで管理するためのHSMコマンド要求の一部として、セキュア・デバイスに返送されるときに、さらに暗号化されるため、セキュアな環境の外側で保護され、このようにして、既存のHSM管理の解決策によって示される脆弱性を取り除く。
以下では、図1および2を参照して、HSMのリモート管理のための例示的なシステムを詳細に説明する。図3~5に関連して、対応するコンピュータ実装方法が詳細に説明される。加えて、図6に関連して、本明細書に記載された実施形態のうちの1つまたは複数を実装するための例示的なコンピューティング・システムおよびネットワーク・アーキテクチャが詳細に説明される。
図1は、HSMをリモートで管理するモバイル・デバイスのプロビジョニングのための例示的なシステム100のブロック図である。この図に示されているように、例示的なシステム100は、1つまたは複数のタスクを実行するための1つまたは複数のモジュールを含んでよい。下でさらに詳細に説明されるように、モジュールは、セキュア・サーバ130のHSM管理モジュール135、または各モバイル・デバイス110A、110B、110Cのアプリケーション115A、115B、115C、あるいはその両方を含んでよい。図1のモジュールは別々の要素として示されているが、図1のモジュールのうちの1つまたは複数は、単一のモジュールまたはアプリケーションの一部を表してよい。
ここで図1を参照すると、本発明の実施形態例に従って構成されたシステム100は、セキュアな環境105を含んでいる。セキュア・サーバ130は、セキュアな環境105内にあることができる。セキュアな環境105は、組織または実体の建物内のセキュアな部屋または階などの、セキュアな場所であることができる。セキュアな環境105は、限定されたアクセスまたは制限されたアクセスを含むことができる。図1の実施形態に示されているように、セキュア・サーバ130は、HSM管理モジュール135およびHSM140を含んでいる。本発明の1つまたは複数の実施形態では、HSM140は、セキュア・サーバ130に接続されるか、または取り付けられる。
一部の実施形態では、セキュア・サーバ130を設定または構成することは、HSM管理モジュール135が1つまたは複数のターゲットHSMへのパスを作成することを含むことができる。HSM管理モジュール135は、1つまたは複数のターゲットHSMをリモートで管理するためにセキュアな環境105の外側からプロビジョニングされて使用されているモバイル・デバイス(例えば、110A、110B、110C)と通信するために使用される、Webアプリケーションなどのアプリケーションを実行すること、または管理すること、あるいはその両方が可能である。さらに、セキュア・サーバ130は、セキュリティ・ゾーンに登録され得る。セキュリティ・ゾーンは、認証機関(CA)によって指定され、証明書を発行するか、または管理するか、あるいはその両方を行う実体または組織を表すことができる。一部の実施形態では、CAスマート・カード、CA証明書などが、セキュリティ・ゾーンを定義することができる。CA証明書は、デバイス(例えば、モバイル・デバイス110A、110B、110C、セキュア・サーバ130など)を暗号によってリンクすることができる。
一部の実施形態では、HSM管理モジュール135は、共有された秘密120A、120B、120C、120Dの生成および管理を容易にすることができる。HSM管理モジュール135は、HSM140によって、共有された秘密120A、120B、120C、120Dの生成および管理を容易にすることができる。共有された秘密120A、120B、120C、120Dの例としては、リモート管理者のプロファイルのログオン鍵、CCA通常モード署名鍵(CCA normal mode signing keys)、CCA PCIモード署名鍵(CCAPCI mode signing keys)、EP11署名鍵(EP11 signing keys)、または鍵の部分、あるいはその組み合わせが挙げられ得る。CCA通常署名鍵(CCA normal signing keys)は、クレジットカード業界(PCI:payment card industry)の制約の影響を受けない非対称鍵であることができる。CCA PCIモード署名鍵は、PCIルールを順守している非対称鍵であることができる。EP11署名鍵は、暗号トークンへのPKCS#11公開鍵暗号APIインターフェイスに従う非対称鍵であることができる.HSM管理モジュール135は、ターゲットHSMのマスター鍵を異なる鍵の部分に分けるか、分割するか、または他の方法で分解し、それらの鍵の部分を異なるリモート管理者に割り当てるのを容易にすることができる。各モバイル・デバイス110A、110B、110Cは、セキュリティ・ゾーンを定義するCA証明書の公開鍵、および各リモート管理者に関連付けられた各リモート管理者のプロファイルの各公開鍵によって暗号化され得る異なる共有された秘密120A、120B、120C(例えば、鍵の部分、署名鍵など)を含んでいる。HSM管理モジュール135は、HSMをリモートで管理するために使用されるモバイル・デバイス110A、110B、110Cに配布される、暗号化されて共有された秘密120Dを生成して格納することができる。
セキュア・サーバ130のHSM管理モジュール135は、モバイル・デバイス110A、110B、110Cがプロビジョニングされた後に、共有された秘密120Dがモバイル・デバイス110A、110B、110Cに読み込まれ、特定のリモート管理者に割り当てられ得るように、共有された秘密120Dを準備することができる。HSM管理モジュール135は、セキュリティ・ゾーンを定義するCA証明書の公開鍵を使用して、共有された秘密120D(例えば、鍵の部分、署名鍵、リモート管理者のログオン鍵など)を暗号化することができる。HSM管理モジュール135は、リモート管理者のプロファイルの証明書の公開鍵を使用して、共有された秘密を暗号化することができる。一部の実施形態では、HSM管理モジュール135は、ある期間内に共有された秘密120Dがモバイル・デバイス110A、110B、110Cにダウンロードされ得る回数を制限するために、最大ダウンロード数を設定することができる。
モバイル・デバイス110A、110B、110Cは、セキュアな環境105内でプロビジョニングされる。一部の実施形態では、各モバイル・デバイスは、セキュア・サーバ130に直接接続される。例えば、モバイル・デバイス110Aは、ユニバーサル・シリアル・バス(USB:Universal Serial Bus)接続などの直接接続150を介してセキュア・サーバ130に接続され得る。一部の実施形態では、モバイル・デバイス110Aは、必要なデータを含んでいるメモリ・カードをモバイル・デバイス110Aに取り付けること、モバイル・デバイス110AによってQRコードをスキャンすること、Bluetooth(TM)もしくは近距離無線通信(NFC:Near Field Communication)などの短距離無線技術を使用すること、または同様の技術によって、プロビジョニングされ得る。
一部の実施形態では、モバイル・デバイス110Aはセキュリティ・ゾーンに登録される。モバイル・デバイス110Aは、セキュリティ・ゾーンを定義するCA証明書をダウンロードすることによって、セキュリティ・ゾーンに登録され得る。セキュリティ・ゾーンは、CA証明書を管理するか、または発行するか、あるいはその両方を行う実体または組織とのデバイスの連係を示す。モバイル・デバイス110Aは、リモート管理者に割り当てられ得る。一部の実施形態では、モバイル・デバイス110Aは、リモート管理者のプロファイルのログオン鍵の共有された秘密をモバイル・デバイス110Aに読み込むことによって、リモート管理者に割り当てられ、この共有された秘密は、セキュア・サーバ130のHSM140に格納されたリモート管理者のプロファイルの証明書の公開鍵であることができる。
一部の実施形態では、プロビジョニングされたモバイル・デバイス110A、110B、110Cにインストールするためのアプリケーション115A、115B、115Cは、セキュア・サーバ130に格納され、プロビジョニング時にモバイル・デバイス110A、110B、110Cに転送され得る。一部の実施形態では、アプリケーション115A、115B、115Cは、アプリ・ストアまたはアプリ・マーケットプレイスなどのアプリケーション配布プラットフォームからダウンロードできる。アプリケーション115A、115B、115Cは、セキュア・サーバ130とのセキュアな接続を確立し、セキュア・サーバ130と通信して1つまたは複数のHSMをリモートで管理するために、モバイル・デバイス110A、110B、110Cによって使用され得る。モバイル・デバイス110A、110B、110Cがアプリケーション配布プラットフォームからアプリケーション115A、115B、115Cダウンロードする場合、セキュアな環境105内で、別々のステップでモバイル・デバイス110A、110B、110Cのプロビジョニングが実行され得る。モバイル・デバイス110A、110B、110C上のアプリケーション115A、115B、115Cは、アプリケーションが最初に実行されるときにリモート管理者によって設定されたPINによってPIN保護され得る。さらに、プロビジョニングされたモバイル・デバイス110A、110B、110Cは、リモート管理者によって設定された異なるPINによって保護され得る。モバイル・デバイスのPINは、システム100の管理者によって決定された1つまたは複数のセキュリティ・ポリシーに従うことが必要とされ得る。一部の実施形態では、アプリケーション115A、115B、115Cは、プロビジョニング時に、HSM140によって生成されて暗号化され、各モバイル・デバイス110A、110B、110Cに転送された、共有された秘密120A、120B、120Cを格納することができる。一部の実施形態では、共有された秘密120A、120B、120Cは、各モバイル・デバイス110A、110B、110Cに割り当てられた異なる鍵の部分を含むことができ、これらの鍵の部分が結合されて、HSMにアクセスして管理するためのマスター鍵を形成する。一部の実施形態では、共有された秘密120A、120B、120Cは、セキュアな環境105内にある間に、プロビジョニング時にモバイル・デバイス110A、110B、110Cに読み込まれ得る。共有された秘密120Dは、モバイル・デバイスが、セキュアな環境105内にある間にプロビジョニングされ後に、モバイル・デバイス110A、110B、110Cに安全に送信され、その後、セキュアな環境105の外側に運ばれ得る。
一部の実施形態では、モバイル・デバイス110A、110B、110Cは、セキュアな環境105内でプロビジョニングされ、セキュアな環境105の外側にいるリモート管理者に送られるか、またはセキュアな環境105から外へ運ばれて、各リモート管理者に物理的に配達されるか、あるいはその両方が行われ得る。
図1のシステム100に関して本明細書に記載された実施形態は、任意の適切な論理を使用して実装されてよく、論理は、本明細書で参照されるとき、さまざまな実施形態において、任意の適切なハードウェア(例えば、特に、プロセッサ、組み込みコントローラ、または特定用途向け集積回路)、ソフトウェア(例えば、特に、アプリケーション)、ファームウェア、またはハードウェア、ソフトウェア、およびファームウェアの任意の適切な組み合わせを含むことができる。
図2は、HSMをリモートで管理するための例示的なシステム200のブロック図である。この図に示されているように、例示的なシステム200は、1つまたは複数のタスクを実行するための1つまたは複数のモジュールを含んでよい。下でさらに詳細に説明されるように、モジュールは、セキュア・サーバ130のHSM管理モジュール135、または各モバイル・デバイス110A、110B、110C上で実行されているアプリケーション115A、115B、115C、あるいはその両方を含んでよい。図1のモジュールは別々の要素として示されているが、図1のモジュールのうちの1つまたは複数は、単一のモジュールまたはアプリケーションの一部を表してよい。
モバイル・デバイス110A、110B、110Cがプロビジョニングされた後に、図1で説明され、図3でさらに詳細に説明されるように、これらのモバイル・デバイスは、セキュアな環境105から遠く離れた場所にあり、セキュアな環境105の外側からHSMをリモートで管理するために、モバイル・デバイスに割り当てられたリモート管理者によって使用され得る。各モバイル・デバイス110A、110B、110Cに読み込まれたアプリケーション115A、115B、115Cは、プロビジョニング時またはプロビジョニングが完了した後にこれらの各デバイスに読み込まれた、これらのモバイル・デバイスの各共有された秘密120A、120B、120Cを安全に格納するために使用され得る。一部の例では、モバイル・デバイス110A、110B、110Cのリモート管理者は、これらのモバイル・デバイスの各アプリケーション115A、115B、115Cを実行し、ネットワーク210を経由して、セキュアな環境105内にあるセキュア・サーバ130とのセキュアな接続を確立することができる。例えば、モバイル・デバイス110Aのリモート管理者は、アプリケーション115Aを使用して、パラメータ(例えば、構成するドメイン、共有された秘密120Aの選択、コマンドの選択など)を選択し、指定されたドメインのHSMで実行するためのHSMコマンド要求を生成することができる。アプリケーション115Aは、HSMコマンド要求を暗号化し、コマンド要求をセキュア・サーバ130のHSM管理モジュール135に安全に送信することができる。
HSM管理モジュール135は、モバイル・デバイス110A、110B、110Cから1つまたは複数のHSMコマンド要求を受信し、処理することができる。一部の実施形態では、HSM管理モジュール135は、モバイル・デバイス110A、110B、110Cから受信されたHSMコマンド要求の妥当性を確認することができる。一部の例では、HSM管理モジュール135は、モバイル・デバイス110A、110B、110Cから受信された、暗号化された要求を復号すること、または共有された秘密120A、120B、120Cを復号すること、あるいはその両方を実行することを、HSM140に指示することができる。HSM140は、HSM140に格納されている対応する共有された秘密120Dを使用して、暗号化された要求を復号すること、または共有された秘密120A、120B、120Cを復号すること、あるいはその両方を実行することができる。次に、HSM管理モジュール135は、受信されたHSMコマンド要求に基づいてHSMコマンドを構築し、このコマンドを、HSMコマンド要求内で指定された通りに、ターゲットHSMによって実行するために、指定されたドメインに送信することができる。
指定されたドメイン(図示されていない)は、HSM管理モジュール135からコマンドを受信することができる。HSM管理モジュール135は、各モバイル・デバイス110A、110B、110Cからの複数のコマンドを送信することができる。指定されたドメインのターゲットHSMは、HSM管理モジュール135から受信された異なるコマンドから共有された秘密120A、120B、120Cを取得することができ、マスター鍵が形成されるまで、共有された秘密120A、120B、120CをターゲットHSMの内部のレジスタに追加することができる。一部の例では、ターゲットHSMは、論理演算(例えば、排他的OR)またはデータを結合する他の手段を実行して、HSM管理モジュール135から受信された異なるコマンドから受信された共有された秘密120A、120B、120C(例えば、鍵の部分)を集め、マスター鍵を生成することができ、マスター鍵は、HSM管理モジュール135から受信されたコマンドを実行するために使用され得る。指定されたドメインのターゲットHSMによるコマンドの実行の完了時に、結果がHSM管理モジュール135に返送される。HSM管理モジュール135は、結果を受信し、ターゲットHSMによって実行されたコマンドの結果を示す、各モバイル・デバイス110A、110B、110Cへのメッセージを生成することができる。
図2のシステム200に関して本明細書に記載された実施形態は、任意の適切な論理を使用して実装されてよく、論理は、本明細書で参照されるとき、さまざまな実施形態において、任意の適切なハードウェア(例えば、特に、プロセッサ、組み込みコントローラ、または特定用途向け集積回路)、ソフトウェア(例えば、特に、アプリケーション)、ファームウェア、またはハードウェア、ソフトウェア、およびファームウェアの任意の適切な組み合わせを含むことができる。
ここで図3を参照すると、本発明の実施形態例に従って構成されたシステム100は、1つまたは複数のモバイル・デバイス110A、110B、110Cをプロビジョニングする。1つまたは複数のモバイル・デバイス110A、110B、110Cをプロビジョニングするために、図3を参照して説明される処理のすべてまたは一部が、図1のセキュアな環境105内のセキュア・サーバ130によって実行され得る。モバイル・デバイス110A、110B、110Cは、セキュアな環境105内で1つずつプロビジョニングされる。モバイル・デバイス110A、110B、110Cは、USB接続を使用すること、QRコードをスキャンすること、NFC技術またはBluetooth(TM)を使用することなどの直接接続150を使用して、モバイル・デバイス110A、110B、110Cをセキュア・サーバ130と(1つずつ)接続することによって、プロビジョニングされ得る。
ブロック302で、モバイル・デバイスをプロビジョニングするための方法300は、モバイル・デバイス110A、110B、110Cをセキュリティ・ゾーンに登録することを含む。一部の実施形態では、モバイル・デバイス110Aは、セキュリティ・ゾーンを定義するCA証明書をモバイル・デバイス110Aにダウンロードすることによって、セキュリティ・ゾーンに登録される。CA証明書は、CA証明書を管理するか、または発行するか、あるいはその両方を行う実体または組織とのデバイス(モバイル・デバイス110Aなど)の連係を示す。
ブロック304で、モバイル・デバイスをプロビジョニングするための方法300は、モバイル・デバイス110Aをリモート管理者に割り当てることを含む。一部の実施形態では、HSM管理モジュール135は、ユーザを定義または識別し、リモート管理者のプロファイルに割り当てることができる。一部の実施形態では、リモート管理者のプロファイルは、リモート管理者プロファイル・オブジェクトのセットとして格納され得る。一部の実施形態では、リモート管理者プロファイル・オブジェクトは、セキュア・サーバ130のHSM140に格納されるか、または含まれ得る。リモート管理者プロファイル・オブジェクトは、リモート管理者のプロファイルの証明書、およびリモート管理者のプロファイルの証明書内の公開鍵に対応する秘密鍵を含むことができる。一部の実施形態では、リモート管理者のプロファイルのログオン鍵の秘密を読み込むことによって、モバイル・デバイス110Aがリモート管理者に割り当てられる。
ブロック306で、モバイル・デバイスをプロビジョニングするための方法300は、共有された秘密120Aをモバイル・デバイス110Aに読み込むことを含む。一部の実施形態では、共有された秘密120Aは、プロビジョニング時にモバイル・デバイス110Aに読み込まれ得る。一部の実施形態では、ユーザは、モバイル・デバイス110A上で実行されているアプリケーション115Aを介して、共有された秘密120A(例えば、暗号化された鍵の部分、暗号化された署名鍵など)を送信するようにセキュア・サーバ130に要求することができる。一部の実施形態では、モバイル・デバイス110Aは、モバイル・デバイス110A上で実行されているアプリケーション115Aを介して、その特定のリモート管理者のために生成された新しい共有された秘密120Aを要求することができる。新しい共有された秘密120Aは、セキュア・サーバ130によって暗号化されて、モバイル・デバイス110Aに送信され得る。この方法は、モバイル・デバイスごとに繰り返され得る。例えば、ブロック302~306は、直接接続150を使用してモバイル・デバイス110Bをセキュア・サーバ130に接続し、モバイル・デバイス110Bをプロビジョニングし、アプリケーション115Bをダウンロードし、モバイル・デバイス110B用に生成されて暗号化された、共有された秘密120Bを読み込むことによって、モバイル・デバイス110Bを使用して繰り返され得る。ブロック302~306は、直接接続150を使用してモバイル・デバイス110Cをセキュア・サーバ130に接続し、モバイル・デバイス110Cをプロビジョニングし、アプリケーション115Cをダウンロードし、モバイル・デバイス110C用に生成されて暗号化された、共有された秘密120Cを読み込むことによって、モバイル・デバイス110Cを使用して繰り返され得る。共有された秘密120A、120B、120Cが各モバイル・デバイス110A、110B、110Cに対応するため、各モバイル・デバイス110A、110B、110Cは、単独でプロビジョニングされる。
図3のプロセス・フロー図は、方法300の動作がいずれかの特定の順序で実行されるということも、方法300の動作のすべてがすべての事例に含まれるということも、示すよう意図されていない。さらに、方法300は、任意の適切な数の追加の動作を含むことができる。
ここで図4を参照すると、方法400のブロック402で、本発明の実施形態例に従って構成されたシステム200が、セキュア・サーバ130との接続を確立する。HSMをリモートで管理するために、図4を参照して説明される処理のすべてまたは一部が、通常は図2のセキュアな環境105の外側にあるモバイル・デバイス110A、110B、110Cによって実行され得る。一部の例では、モバイル・デバイス110Aのアプリケーション115Aが、1つまたは複数のネットワーク210を経由してセキュア・サーバ130との接続を確立する。リモート管理者は、モバイル・デバイス110A上でアプリケーション115Aを開くことができる。モバイル・デバイス110A上のアプリケーション115Aは、アプリケーション115Aが最初に開かれるときにリモート管理者によって設定されたPINによって保護され得る。一部の実施形態では、リモート管理者は、セキュア・サーバ130上で実行されているWebアプリケーションにアクセスするために、Webアドレスを指定できる。リモート管理者は、多要素認証チャレンジなどによって、モバイル・デバイス110A上で実行されているアプリケーション115Aに対して認証する。
方法400のブロック404で、モバイル・デバイス110A上で実行されているアプリケーション115Aのコンピュータ実行可能命令は、ドメインのターゲットHSMに対するHSMコマンド要求を生成する。アプリケーション115Aは、リモート管理者による、使用可能なHSMのリストからの、構成されるターゲットHSMの選択を容易にする。リモート管理者は、LOADKEYコマンドなどの、ターゲットHSM上で実行するためのコマンドを選択し、ターゲットHSM上でコマンドを実行するために必要とされる共有された秘密120Aを選択することができる。モバイル・デバイス110Aの共有された秘密120Aは、リモート管理者のプロファイルに関連付けられ、モバイル・デバイス110Aのプロビジョニング時、またはモバイル・デバイス110Aがプロビジョニングされた後、あるいはその両方で読み込まれた、暗号化された鍵の部分、暗号化された署名鍵、または暗号化されたログオン鍵の秘密、あるいはその組み合わせを含むことができる。アプリケーション115Aは、リモート管理者の選択を使用して、指定されたドメインのターゲットHSMに対するHSMコマンド要求を生成することができる。
方法400のブロック406で、モバイル・デバイス110A上で実行されているアプリケーション115Aのコンピュータ実行可能命令は、HSMコマンド要求を暗号化する。一部の実施形態では、アプリケーション115Aは、セキュリティ・ゾーンを定義するCA証明書の公開鍵を使用してHSMコマンド要求を暗号化する。アプリケーション115Aは、暗号化されたHSMコマンド要求を、セキュアな環境105内で実行しているセキュア・サーバ130に送信する。一部の例では、アプリケーション115Aは、暗号化されたHSMコマンド要求を、セキュア・サーバ130のHSM管理モジュール135に送信する。
方法400のブロック408で、アプリケーション115Aのコンピュータ実行可能命令は、セキュア・サーバ130からメッセージを受信する。例えば、このメッセージは、指定されたドメインのターゲットHSM上で実行されたHSMコマンドの結果を含むことができる。一部の例では、このメッセージは、指定されたドメインのターゲットHSM上で実行されたHSMコマンドの実行の成功または失敗を示す肯定的ステートメントまたは否定的ステートメントを表示することができる。
図4のプロセス・フロー図は、方法400の動作がいずれかの特定の順序で実行されるということも、方法400の動作のすべてがすべての事例に含まれるということも、示すよう意図されていない。さらに、方法400は、任意の適切な数の追加の動作を含むことができる。
ここで図5を参照すると、方法500のブロック502で、本発明の実施形態例に従って構成されたシステム200が、110A、110B、または110Cなどのモバイル・デバイスから受信されたHSMコマンド要求を復号する。HSM管理モジュール135は、図3で説明されているように、モバイル・デバイス110A、110B、110C上で実行されている各アプリケーション115A、115B、115Cによって確立された接続を経由して、暗号化されたHSMコマンド要求を受信することができる。HSM管理モジュール135は、HSM140によって、モバイル・デバイス110A、110B、110Cから受信された要求を復号することを容易にすることができる。例えば、HSM140は、セキュリティ・ゾーンを定義するCA証明書の公開鍵に対応する秘密鍵を使用して、受信されたHSMコマンド要求を復号することができる。HSM管理モジュール135は、復号された要求内で受信された、共有された秘密120A、120B、120Cの復号を容易にすることができる。HSM140は、例えば、リモート管理者のプロファイルに関連付けられた鍵の部分、署名鍵、またはログオン鍵、あるいはその組み合わせを復号することができ、これらの各々は、互いに独立して暗号化され、セキュリティ・ゾーンを定義するCA証明書の公開鍵、およびリモート管理者のプロファイルのCA証明書の公開鍵を使用して、二重に暗号化され得る。HSM140は、HSM管理モジュール135の指示に従って、セキュリティ・ゾーンを定義するCA証明書の公開鍵に対応する秘密鍵などの、HSMに格納されている対応する共有された秘密120Dを使用して、モバイル・デバイス110A、110B、110Cから受信されたHSMコマンド要求の共有された秘密120A、120B、120Cを復号することができる。HSM140は、リモート管理者のプロファイルのCA証明書の公開鍵に対応する秘密鍵などの、共有された秘密120Dを使用して、モバイル・デバイス110A、110B、110Cから受信されたHSMコマンド要求の共有された秘密120A、120B、120Cを復号することができる。
方法500のブロック504で、セキュア・サーバ130上で実行されているHSM管理モジュール135のコンピュータ実行可能命令は、構成されるドメインに対するHSMコマンドを生成する。HSMコマンドは、モバイル・デバイス110Aから受信されたHSMコマンド要求に基づいて生成される。HSMコマンドは、HSM140によって復号された、リモート管理者に割り当てられた鍵の部分を含む。HSMコマンドは、HSMコマンド要求が生成されたときにリモート管理者によって指定された通りに構成されるドメインを含むことができる。HSMコマンドは、構成されるドメインのターゲットHSMによって実行するために生成され得る。
方法500のブロック506で、セキュア・サーバ130上で実行されているHSM管理モジュール135のコンピュータ実行可能命令は、HSMコマンドをドメインに送信する。一部の実施形態では、リモート管理者に割り当てられた鍵の部分は、構成されているターゲットHSMとセキュア・サーバ130の間でネゴシエートされた輸送鍵を使用してラップされ得る。
方法500のブロック508で、セキュア・サーバ130上で実行されているHSM管理モジュール135のコンピュータ実行可能命令は、HSMコマンド要求を送信したモバイル・デバイス110A、110B、110Cにメッセージを送信する。一部の実施形態では、このメッセージは、構成されているドメインのターゲットHSMによってHSMコマンドを実行した結果を受信することに応答して生成される。ターゲットHSMの結果は、セキュア・サーバ130のHSM管理モジュール135に送信され、モバイル・デバイスへのメッセージは、構成されているドメインのターゲットHSMから受信された結果に基づいて、肯定的指示または否定的指示を含む。
一部の実施形態では、セキュア・サーバ130は、各割り当てられたリモート管理者に関連付けられた異なるモバイル・デバイス110A、110B、110Cから、暗号化された要求を受信する。セキュア・サーバ130のHSM管理モジュール135は、要求の妥当性を確認し、リモート管理者のモバイル・デバイス110A、110B、110Cから受信された各要求からの情報を使用してHSMコマンドを構築する。各HSMコマンドは、各要求から取得された署名鍵を使用して署名され、各要求によって指定されたドメインに送信される。このコマンドは、指定されたドメインのターゲットHSMによって実行される。ターゲットHSMは、すべての指定されたリモート管理者からセキュア・サーバ130によって受信されたHSMコマンド要求に基づいて、HSMコマンドを受信する。指定されたドメインのターゲットHSMは、収集された鍵の部分を使用してマスター鍵が形成されるまで、リモート管理者の各々から鍵の部分を集める。一部の例では、ターゲットHSMによって受信されたコマンドの各々からの鍵の部分は、ターゲットHSMの内部のレジスタに追加される。ターゲットHSMのレジスタに格納された鍵の部分は、マスター鍵を生成するために、論理演算(例えば、XOR(排他的論理和))またはデータを結合する他の手段を使用して結合され得る。マスター鍵の完成または形成時に、ターゲットHSMによってHSMコマンドが実行される。ターゲットHSMによって実行されたコマンドの結果が、HSM管理モジュール135に返送される。HSM管理モジュール135は、ドメインから受信された結果を示すメッセージを生成し、このメッセージを各モバイル・デバイス110A、110B、110Cに送信する。
一部の実施形態では、セキュア・サーバ130上で実行されているHSM管理モジュール135は、リモート管理者のモバイル・デバイスによる異常なアクセスまたは許可されていないアクセスを検出する。例えば、HSM管理モジュール135は、同じIPアドレスから複数の無効な要求を受信する。HSM管理モジュール135は、このIPアドレスに関連付けられたモバイル・デバイス110A、110B、110Cを識別し、無効な要求の数が、指定されたしきい値を超えているということを決定する。モバイル・デバイス110A、110B、110Cは、制限されたリストまたは拒否リストに追加され得る。一部の例では、モバイル・デバイス110A、110B、110Cは、指定された期間(例えば、1時間)の間、リストに追加される。一部の実施形態では、モバイル・デバイス110A、110B、110Cは、管理者がモバイル・デバイス110A、110B、110Cを制限されたリストまたは拒否リストから除去するまで、セキュア・サーバ130へのアクセスを拒否される。一部の実施形態では、モバイル・デバイス110A、110B、110Cが制限されたリストまたは拒否リスト上に存在する場合、モバイル・デバイス110A、110B、110Cがリモートで消去されることが可能であるか、またはリモート管理者のプロファイルの証明書が取り消され、それによって、モバイル・デバイス110A、110B、110Cによるセキュア・サーバ130へのアクセスを除去する。一部の実施形態では、モバイル・デバイス110A、110B、110Cが、セキュリティを侵害されているか、または侵入されている疑いがある場合、1つまたは複数のセキュリティ・ポリシーに基づいてHSM管理モジュール135によって、またはシステムの管理者によって、モバイル・デバイス110A、110B、110Cがリモートで消去されることが可能であるか、またはリモート管理者のプロファイルの証明書が取り消されることが可能である。モバイル・デバイス110A、110B、110Cが消去されたか、またはリモート管理者のプロファイルの証明書が取り消された場合、リモート管理者がセキュア・サーバ130に対するアクセス権限を獲得するためには、モバイル・デバイス110A、110B、110Cが、セキュアな環境105に戻されて再びプロビジョニングされる必要があるか、またはリモート管理者のために新しいモバイル・デバイスがセキュアな環境105内でプロビジョニングされて、リモート管理者に配達される必要がある。
図5のプロセス・フロー図は、方法500の動作がいずれかの特定の順序で実行されるということも、方法500の動作のすべてがすべての事例に含まれるということも、示すよう意図されていない。さらに、方法500は、任意の適切な数の追加の動作を含むことができる。
ここで図6を参照すると、本発明の実施形態に従って、コンピュータ・システム600が概して示されている。コンピュータ・システム600は、本明細書において説明されているように、さまざまな通信技術を利用する任意の数および組み合わせのコンピューティング・デバイスおよびネットワークを備えるか、または採用するか、あるいはその両方である、電子的コンピュータ・フレームワークであることができる。コンピュータ・システム600は、容易に拡縮可能、拡張可能、およびモジュール式であり、異なるサービスに変化する能力、または他の機能とは無関係に、一部の機能を再構成する能力を有することができる。コンピュータ・システム600は、例えば、サーバ、デスクトップ・コンピュータ、ラップトップ・コンピュータ、タブレット・コンピュータ、またはスマートフォンであってよい。一部の例では、コンピュータ・システム600は、クラウド・コンピューティング・ノードであってよい。コンピュータ・システム600は、コンピュータ・システムによって実行されているプログラム・モジュールなどの、コンピュータ・システムによって実行可能な命令との一般的な関連において説明されてよい。通常、プログラム・モジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、論理、データ構造などを含んでよい。コンピュータ・システム600は、通信ネットワークを介してリンクされたリモート処理デバイスによってタスクが実行される、分散クラウド・コンピューティング環境で実行されてよい。分散クラウド・コンピューティング環境において、プログラム・モジュールは、メモリ・ストレージ・デバイスを含む、ローカルおよびリモートの両方のコンピュータ・システム・ストレージ媒体に配置されてよい。
図6に示されているように、コンピュータ・システム600は、1つまたは複数の中央処理装置(CPU:central processing units)601a、601b、601cなど(集合的または一般的に、プロセッサ601と呼ばれる)を含んでいる。プロセッサ601は、シングルコア・プロセッサ、マルチコア・プロセッサ、コンピューティング・クラスタ、または任意の数の他の構成であることができる。プロセッサ601は、処理回路とも呼ばれ、システム・バス602を介してシステム・メモリ603およびさまざまな他のコンポーネントに結合される。システム・メモリ603は、読み取り専用メモリ(ROM:read only memory)604およびランダム・アクセス・メモリ(RAM:random access memory)605を含むことができる。ROM604は、システム・バス602に結合され、コンピュータ・システム600の特定の基本機能を制御する基本入出力システム(BIOS:basic input/output system)を含んでよい。RAMは、プロセッサ601によって使用するためにシステム・バス602に結合された読み取り書き込みメモリである。システム・メモリ603は、動作中の前述の命令の動作のための一時的メモリ空間を提供する。システム・メモリ603は、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ、フラッシュ・メモリ、または任意の他の適切なメモリ・システムを含むことができる。
コンピュータ・システム600は、システム・バス602に結合された入出力(I/O:input/output)アダプタ606および通信アダプタ607を備えている。I/Oアダプタ606は、ハード・ディスク608または任意の他の類似するコンポーネントあるいはその両方と通信する小型コンピュータ・システム・インターフェイス(SCSI:small computer system interface)アダプタであってよい。I/Oアダプタ606およびハード・ディスク608は、本明細書では、マス・ストレージ610と総称される。
コンピュータ・システム600上で実行するためのソフトウェア611は、マス・ストレージ610に格納されてよい。マス・ストレージ610は、プロセッサ601によって読み取り可能な有形のストレージ媒体の例であり、ソフトウェア611は、プロセッサ601による実行のための命令として格納され、コンピュータ・システム600に、さまざまな図に関して本明細書において以下で説明されているように動作させる。本明細書では、コンピュータ・プログラム製品およびそのような命令の実行の例がさらに詳細に説明される。通信アダプタ607は、システム・バス602を、外部のネットワークであってよいネットワーク612と相互接続し、コンピュータ・システム600が他のそのようなシステムと通信できるようにする。1つの実施形態では、システム・メモリ603およびマス・ストレージ610の一部は、図6に示されたさまざまなコンポーネントの機能を調整するために、IBM Corporationのz/OSまたはAIXオペレーティング・システムなどの、任意の適切なオペレーティング・システムであってよいオペレーティング・システムを集合的に格納する。
ディスプレイ・アダプタ615およびインターフェイス・アダプタ616を介してシステム・バス602に接続されているように、その他の入出力デバイスが示されている。1つの実施形態では、アダプタ606、607、615、および616は、1つまたは複数のI/Oバスに接続されてよく、I/Oバスは、中間バス・ブリッジ(図示されていない)を介してシステム・バス602に接続される。ディスプレイ619(例えば、画面または表示モニタ)は、ディスプレイ・アダプタ615によってシステム・バス602に接続され、ディスプレイ・アダプタ615は、グラフィックス重視のアプリケーションおよびビデオ・コントローラの性能を向上するために、グラフィック・コントローラを含んでよい。キーボード621、マウス622、スピーカ623などは、インターフェイス・アダプタ616を介してシステム・バス602に相互接続されることが可能であり、例えばインターフェイス・アダプタ616は、複数のデバイス・アダプタを単一の集積回路に統合するスーパーI/Oチップを含んでよい。ハード・ディスク・コントローラ、ネットワーク・アダプタ、およびグラフィックス・アダプタなどの周辺機器を接続するのに適したI/Oバスは、通常、PCI(Peripheral Component Interconnect)などの一般的なプロトコルを含む。したがって、図6で構成されているように、コンピュータ・システム600は、プロセッサ601の形態での処理能力と、システム・メモリ603およびマス・ストレージ610を含んでいるストレージ能力と、キーボード621およびマウス622などの入力手段と、スピーカ623およびディスプレイ619を含んでいる出力能力とを含む。
一部の実施形態では、通信アダプタ607は、特に、インターネット、小型コンピュータ・システム・インターフェイスなどの任意の適切なインターフェイスまたはプロトコルを使用して、データを送信することができる。ネットワーク612は、特に、セルラー・ネットワーク、無線ネットワーク、広域ネットワーク(WAN:wide area network)、ローカル・エリア・ネットワーク(LAN:local area network)、またはインターネットであってよい。外部コンピューティング・デバイスは、ネットワーク612を介してコンピュータ・システム600に接続してよい。一部の例では、外部コンピューティング・デバイスは、外部Webサーバまたはクラウド・コンピューティング・ノードであってよい。
図6のブロック図は、コンピュータ・システム600が図6に示されたコンポーネントのすべてを含むことになるということを示すよう意図されていないということが、理解されるべきである。むしろ、コンピュータ・システム600は、任意の適切なより少ないコンポーネントまたは図6に示されていない追加のコンポーネント(例えば、追加のメモリ・コンポーネント、組み込まれたコントローラ、モジュール、追加のネットワーク・インターフェイスなど)を含むことができる。さらに、コンピュータ・システム600に関して本明細書に記載された実施形態は、任意の適切な論理を使用して実装されてよく、論理は、本明細書で参照されるとき、さまざまな実施形態において、任意の適切なハードウェア(例えば、特に、プロセッサ、組み込みコントローラ、または特定用途向け集積回路)、ソフトウェア(例えば、特に、アプリケーション)、ファームウェア、またはハードウェア、ソフトウェア、およびファームウェアの任意の適切な組み合わせを含むことができる。
本発明は、任意の可能な統合の技術的詳細レベルで、システム、方法、またはコンピュータ・プログラム製品、あるいはその組み合わせであってよい。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実行させるためのコンピュータ可読プログラム命令を含んでいるコンピュータ可読ストレージ媒体を含んでよい。
コンピュータ可読ストレージ媒体は、命令実行デバイスによって使用するための命令を保持および格納できる有形のデバイスであることができる。コンピュータ可読ストレージ媒体は、例えば、電子ストレージ・デバイス、磁気ストレージ・デバイス、光ストレージ・デバイス、電磁ストレージ・デバイス、半導体ストレージ・デバイス、またはこれらの任意の適切な組み合わせであってよいが、これらに限定されない。コンピュータ可読ストレージ媒体のさらに具体的な例の非網羅的リストは、ポータブル・フロッピー(R)・ディスク、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROM:erasable programmable read-only memoryまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM:static random access memory)、ポータブル・コンパクト・ディスク読み取り専用メモリ(CD-ROM:compact disc read-only memory)、デジタル・バーサタイル・ディスク(DVD:digital versatile disk)、メモリ・スティック、フロッピー(R)・ディスク、命令が記録されているパンチカードまたは溝の中の隆起構造などの機械的にエンコードされるデバイス、およびこれらの任意の適切な組み合わせを含む。本明細書において使用されるとき、コンピュータ可読ストレージ媒体は、電波もしくは他の自由に伝搬する電磁波、導波管もしくは他の送信媒体を伝搬する電磁波(例えば、光ファイバ・ケーブルを通過する光パルス)、またはワイヤを介して送信される電気信号などの,それ自体が一過性の信号であると解釈されるべきではない。
本明細書に記載されたコンピュータ可読プログラム命令は、コンピュータ可読ストレージ媒体から各コンピューティング・デバイス/処理デバイスへ、またはネットワーク(例えば、インターネット、ローカル・エリア・ネットワーク、広域ネットワーク、またはワイヤレス・ネットワーク、あるいはその組み合わせ)を介して外部コンピュータもしくは外部ストレージ・デバイスへダウンロードされ得る。このネットワークは、銅伝送ケーブル、光伝送ファイバ、ワイヤレス送信、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバ、あるいはその組み合わせを備えてよい。各コンピューティング・デバイス/処理デバイス内のネットワーク・アダプタ・カードまたはネットワーク・インターフェイスは、コンピュータ可読プログラム命令をネットワークから受信し、それらのコンピュータ可読プログラム命令を各コンピューティング・デバイス/処理デバイス内のコンピュータ可読ストレージ媒体に格納するために転送する。
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA:instruction-set-architecture)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路のための構成データ、またはSmalltalk(R)、C++などのオブジェクト指向プログラミング言語、および「C」プログラミング言語もしくは同様のプログラミング言語などの手続き型プログラミング言語を含む1つもしくは複数のプログラミング言語の任意の組み合わせで記述されたソース・コードもしくはオブジェクト・コードであってよい。コンピュータ可読プログラム命令は、ユーザのコンピュータ上で全体的に実行すること、ユーザのコンピュータ上でスタンドアロン・ソフトウェア・パッケージとして部分的に実行すること、ユーザのコンピュータ上およびリモート・コンピュータ上でそれぞれ部分的に実行すること、またはリモート・コンピュータ上もしくはサーバ上で全体的に実行することができる。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)もしくは広域ネットワーク(WAN)を含む任意の種類のネットワークを介してユーザのコンピュータに接続されてよく、または接続は、(例えば、インターネット・サービス・プロバイダを使用してインターネットを介して)外部コンピュータに対して行われてよい。一部の実施形態では、本発明の態様を実行するために、例えばプログラマブル論理回路、フィールドプログラマブル・ゲート・アレイ(FPGA:field-programmable gate arrays)、またはプログラマブル・ロジック・アレイ(PLA:programmable logic arrays)を含む電子回路は、コンピュータ可読プログラム命令の状態情報を利用することによって、電子回路をカスタマイズするためのコンピュータ可読プログラム命令を実行してよい。
本発明の態様は、本明細書において、本発明の実施形態に従って、方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照して説明される。フローチャート図またはブロック図あるいはその両方の各ブロック、およびフローチャート図またはブロック図あるいはその両方に含まれるブロックの組み合わせが、コンピュータ可読プログラム命令によって実装され得るということが理解されるであろう。
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラム可能なデータ処理装置のプロセッサを介して実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに指定される機能/動作を実施する手段を作り出すべく、汎用コンピュータ、専用コンピュータ、または他のプログラム可能なデータ処理装置のプロセッサに提供されてマシンを作り出すものであってよい。これらのコンピュータ可読プログラム命令は、命令が格納されたコンピュータ可読ストレージ媒体がフローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに指定される機能/動作の態様を実施する命令を含んでいる製品を備えるように、コンピュータ可読ストレージ媒体に格納され、コンピュータ、プログラム可能なデータ処理装置、または他のデバイス、あるいはその組み合わせに特定の方式で機能するように指示できるものであってもよい。
コンピュータ可読プログラム命令は、コンピュータ上、他のプログラム可能な装置上、または他のデバイス上で実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに指定される機能/動作を実施するように、コンピュータ、他のプログラム可能なデータ処理装置、または他のデバイスに読み込まれてもよく、それによって、一連の動作可能なステップを、コンピュータ上、他のプログラム可能な装置上、またはコンピュータ実装プロセスを生成する他のデバイス上で実行させる。
図内のフローチャートおよびブロック図は、本発明のさまざまな実施形態に従って、システム、方法、およびコンピュータ・プログラム製品の可能な実装のアーキテクチャ、機能、および動作を示す。これに関連して、フローチャートまたはブロック図内の各ブロックは、規定された論理機能を実装するための1つまたは複数の実行可能な命令を備える、命令のモジュール、セグメント、または部分を表してよい。一部の代替の実装では、ブロックに示された機能は、図に示された順序とは異なる順序で発生してよい。例えば、連続して示された2つのブロックは、実際には、含まれている機能に応じて、実質的に同時に実行されるか、または場合によっては逆の順序で実行されてよい。ブロック図またはフローチャート図あるいはその両方の各ブロック、およびブロック図またはフローチャート図あるいはその両方に含まれるブロックの組み合わせは、規定された機能もしくは動作を実行するか、または専用ハードウェアとコンピュータ命令の組み合わせを実行する専用ハードウェアベースのシステムによって実装され得るということにも注意する。
本発明のさまざまな実施形態の説明は、例示の目的で提示されているが、網羅的であることは意図されておらず、開示された実施形態に制限されない。説明された実施形態の範囲から逸脱することなく、多くの変更および変形が、当業者にとって明らかになるであろう。本明細書で使用された用語は、実施形態の原理、実際の適用、または市場で見られる技術を超える技術的改良を最も適切に説明するため、または他の当業者が本明細書に記載された実施形態を理解できるようにするために選択されている。
本明細書では、関連する図面を参照して、本発明のさまざまな実施形態が説明される。本発明の範囲を逸脱することなく、本発明の代替の実施形態が考案され得る。以下の説明および図面において、要素間のさまざまな接続および位置関係(例えば、上、下、隣接など)が示される。それらの接続または位置関係あるいはその両方は、特に規定されない限り、直接的または間接的であることができ、本発明はこの点において限定するよう意図されていない。したがって、実体の結合は、直接的結合または間接的結合を指すことができ、実体間の位置関係は、直接的位置関係または間接的位置関係であることができる。さらに、本明細書に記載されたさまざまな作業および工程段階は、本明細書に詳細に記載されない追加の段階または機能を含んでいるさらに包括的な手順または工程に組み込まれ得る。
以下の定義および略称が、特許請求の範囲および本明細書の解釈に使用される。本明細書において使用されるとき、「備える」、「備えている」、「含む」、「含んでいる」、「有する」、「有している」、「含有する」、もしくは「含有している」という用語、またはこれらの任意の他の変形は、非排他的包含をカバーするよう意図されている。例えば、要素のリストを含んでいる組成、混合、工程、方法、製品、または装置は、それらの要素のみに必ずしも限定されず、明示されていないか、またはそのような組成、混合、工程、方法、製品、または装置に固有の、他の要素を含むことができる。
さらに、「例示的」という用語は、本明細書では「例、事例、または実例としての役割を果たす」ことを意味するために使用される。「例示的」として本明細書に記載された実施形態または設計は、必ずしも他の実施形態または設計よりも好ましいか、または有利であると解釈されるべきではない。「少なくとも1つ」および「1つまたは複数」という用語は、1以上の任意の整数(すなわち、1、2、3、4など)を含んでいると理解されてよい。「複数」という用語は、2以上の任意の整数(すなわち、2、3、4、5など)を含んでいると理解されてよい。「接続」という用語は、間接的「接続」および直接的「接続」の両方を含んでよい。
「約」、「実質的に」、「近似的に」、およびこれらの変形の用語は、本願書の出願時に使用できる機器に基づいて、特定の量の測定に関連付けられた誤差の程度を含むよう意図されている。例えば、「約」は、特定の値の±8%もしくは5%、または2%の範囲を含むことができる。
簡潔さの目的で、本発明の態様の作成および使用に関連する従来技術は、本明細書に詳細に記載されることもあれば、または記載されないこともある。具体的には、本明細書に記載されたさまざまな技術的特徴を実装するためのコンピューティング・システムおよび特定のコンピュータ・プログラムのさまざまな態様は、よく知られている。したがって、簡潔さのために、多くの従来の実装に関する詳細は、本明細書では、既知のシステムまたは工程あるいはその両方の詳細を提供することなく、簡潔にのみ述べられるか、または完全に省略される。

Claims (25)

  1. コンピューティング・デバイスのプロセッサによって、モバイル・デバイス(110A)からコマンド要求を受信することであって、前記コマンド要求が、暗号化された鍵の部分および暗号化された署名鍵を含む、前記受信することと、
    ハードウェア・セキュリティ・モジュール(HSM)(140)によって、前記モバイル・デバイスのセキュリティ・ゾーンに関連付けられた鍵を使用して前記コマンド要求を復号することと、
    前記HSMによって、前記暗号化された鍵の部分および前記暗号化された署名鍵を復号して、復号された鍵の部分および復号された署名鍵を生成することであって、前記暗号化された鍵の部分および前記暗号化された署名鍵を復号することが、前記モバイル・デバイスの前記セキュリティ・ゾーンに関連付けられた前記鍵、および前記モバイル・デバイスに関連付けられたリモート管理者に関連付けられた鍵を使用することを含む、前記生成することと、
    前記復号された鍵の部分および前記復号された署名鍵を使用して、ターゲットHSMを含んでいるドメインに対して、前記コマンド要求に基づいてコマンドを生成することと、
    前記コマンドを、前記ターゲットHSMによる実行のために前記ドメインに送信することとを含む、コンピュータ実装方法。
  2. 前記コマンド要求が、前記リモート管理者に関連付けられた暗号化されたログオン鍵をさらに含み、前記コンピュータ実装方法が、
    前記HSM(140)によって、前記暗号化されたログオン鍵を復号して、復号されたログオン鍵を生成することであって、前記暗号化されたログオン鍵を復号することが、前記モバイル・デバイスの前記セキュリティ・ゾーンに関連付けられた前記鍵、および前記モバイル・デバイスに関連付けられた前記リモート管理者に関連付けられた前記鍵を使用することを含む、前記生成することと、
    前記復号されたログオン鍵を、前記コマンドと共に前記ドメインに送信することとをさらに含む、請求項1に記載のコンピュータ実装方法。
  3. 前記コンピューティング・デバイスの前記プロセッサによって、第2のモバイル・デバイス(110B)から第2のコマンド要求を受信することであって、前記第2のコマンド要求が、第2の暗号化された鍵の部分および第2の暗号化された署名鍵を含む、前記受信することと、
    前記HSM(140)によって、前記モバイル・デバイス(110A)の前記セキュリティ・ゾーンに関連付けられた前記鍵を使用して前記第2のコマンド要求を復号することと、
    前記HSMによって、前記第2の暗号化された鍵の部分および前記第2の暗号化された署名鍵を復号して、第2の復号された鍵の部分および第2の復号された署名鍵を生成することであって、前記第2の暗号化された鍵の部分および前記第2の暗号化された署名鍵を復号することが、前記セキュリティ・ゾーンに関連付けられた前記鍵、および前記第2のモバイル・デバイスに関連付けられた異なるリモート管理者に関連付けられた異なる鍵を使用することを含む、前記生成することと、
    前記第2の復号された鍵の部分および前記第2の復号された署名鍵を使用して、前記ターゲットHSMを含んでいる前記ドメインに対して、第2のコマンドを生成することと、
    前記第2のコマンドを前記ドメインに送信することとをさらに含む、請求項1に記載のコンピュータ実装方法。
  4. 前記復号された鍵の部分および前記第2の復号された鍵の部分が、前記ドメインの前記ターゲットHSMに関連付けられたマスター鍵の部分である、請求項3に記載のコンピュータ実装方法。
  5. 前記セキュリティ・ゾーン内で前記モバイル・デバイスを登録し、前記モバイル・デバイスを前記リモート管理者に関連付けることによって、前記モバイル・デバイス(110A)をプロビジョニングすることをさらに含む、請求項1に記載のコンピュータ実装方法。
  6. 前記ターゲットHSMによる実行のために、前記コマンドを前記ドメインに前記送信する前に、前記復号された署名鍵を使用して前記コマンドに署名することをさらに含む、請求項1に記載のコンピュータ実装方法。
  7. 前記ドメインから受信された結果に基づいて前記モバイル・デバイス(110A)にメッセージを送信することをさらに含む、請求項1に記載のコンピュータ実装方法。
  8. コンピュータ可読命令を実行するための1つまたは複数のプロセッサを備えているシステムであって、前記コンピュータ可読命令が、前記1つまたは複数のプロセッサを制御して、
    モバイル・デバイス(110A)からコマンド要求を受信することであって、前記コマンド要求が、暗号化された鍵の部分および暗号化された署名鍵を含む、前記受信することと、
    ハードウェア・セキュリティ・モジュール(HSM)(140)によって、前記モバイル・デバイスのセキュリティ・ゾーンに関連付けられた鍵を使用して前記コマンド要求を復号することと、
    前記HSMによって、前記暗号化された鍵の部分および前記暗号化された署名鍵を復号して、復号された鍵の部分および復号された署名鍵を生成することであって、前記暗号化された鍵の部分および前記暗号化された署名鍵を復号することが、前記モバイル・デバイスの前記セキュリティ・ゾーンに関連付けられた前記鍵、および前記モバイル・デバイスに関連付けられたリモート管理者に関連付けられた鍵を使用することを含む、前記生成することと、
    前記復号された鍵の部分および前記復号された署名鍵を使用して、ターゲットHSMを含んでいるドメインに対して、前記コマンド要求に基づいてコマンドを生成することと、
    前記コマンドを、前記ターゲットHSMによる実行のために前記ドメインに送信することとを含む動作を実行する、システム。
  9. 前記コマンド要求が、前記リモート管理者に関連付けられた暗号化されたログオン鍵をさらに含み、前記動作が、
    前記HSM(140)によって、前記暗号化されたログオン鍵を復号して、復号されたログオン鍵を生成することであって、前記暗号化されたログオン鍵を復号することが、前記モバイル・デバイスの前記セキュリティ・ゾーンに関連付けられた前記鍵、および前記モバイル・デバイスに関連付けられた前記リモート管理者に関連付けられた前記鍵を使用することを含む、前記生成することと、
    前記復号されたログオン鍵を、前記コマンドと共に前記ドメインに送信することとをさらに含む、請求項8に記載のシステム。
  10. 前記動作が、
    第2のモバイル・デバイス(110B)から第2のコマンド要求を受信することであって、前記第2のコマンド要求が、第2の暗号化された鍵の部分および第2の暗号化された署名鍵を含む、前記受信することと、
    前記HSM(140)によって、前記モバイル・デバイス(110A)の前記セキュリティ・ゾーンに関連付けられた前記鍵を使用して前記第2のコマンド要求を復号することと、
    前記HSMによって、前記第2の暗号化された鍵の部分および前記第2の暗号化された署名鍵を復号して、第2の復号された鍵の部分および第2の復号された署名鍵を生成することであって、前記第2の暗号化された鍵の部分および前記第2の暗号化された署名鍵を復号することが、前記セキュリティ・ゾーンに関連付けられた前記鍵、および前記第2のモバイル・デバイスに関連付けられた異なるリモート管理者に関連付けられた異なる鍵を使用することを含む、前記生成することと、
    前記第2の復号された鍵の部分および前記第2の復号された署名鍵を使用して、前記ターゲットHSMを含んでいる前記ドメインに対して、第2のコマンドを生成することと、
    前記第2のコマンドを前記ドメインに送信することとをさらに含む、請求項8に記載のシステム。
  11. 前記復号された鍵の部分および前記第2の復号された鍵の部分が、前記ドメインの前記ターゲットHSMに関連付けられたマスター鍵の部分である、請求項10に記載のシステム。
  12. 前記動作が、前記セキュリティ・ゾーン内で前記モバイル・デバイスを登録し、前記モバイル・デバイスを前記リモート管理者に関連付けることによって、前記モバイル・デバイス(110A)をプロビジョニングすることをさらに含む、請求項8に記載のシステム。
  13. 前記動作が、前記ターゲットHSMによる実行のために、前記コマンドを前記ドメインに前記送信する前に、前記復号された署名鍵を使用して前記コマンドに署名することをさらに含む、請求項8に記載のシステム。
  14. 前記動作が、前記ドメインから受信された結果に基づいて前記モバイル・デバイス(110A)にメッセージを送信することをさらに含む、請求項8に記載のシステム。
  15. プログラム命令が具現化されているコンピュータ可読ストレージ媒体を備えているコンピュータ・プログラムであって、1つまたは複数のプロセッサに、
    モバイル・デバイス(110A)からコマンド要求を受信することであって、前記コマンド要求が、暗号化された鍵の部分および暗号化された署名鍵を含む、前記受信することと、
    ハードウェア・セキュリティ・モジュール(HSM)(140)によって、前記モバイル・デバイスのセキュリティ・ゾーンに関連付けられた鍵を使用して前記コマンド要求を復号することと、
    前記HSMによって、前記暗号化された鍵の部分および前記暗号化された署名鍵を復号して、復号された鍵の部分および復号された署名鍵を生成することであって、前記暗号化された鍵の部分および前記暗号化された署名鍵を復号することが、前記モバイル・デバイスの前記セキュリティ・ゾーンに関連付けられた前記鍵、および前記モバイル・デバイスに関連付けられたリモート管理者に関連付けられた鍵を使用することを含む、前記生成することと、
    前記復号された鍵の部分および前記復号された署名鍵を使用して、ターゲットHSMを含んでいるドメインに対して、前記コマンド要求に基づいてコマンドを生成することと、
    前記コマンドを、前記ターゲットHSMによる実行のために前記ドメインに送信することとを含む動作を実行させる、コンピュータ・プログラム。
  16. 前記コマンド要求が、前記リモート管理者に関連付けられた暗号化されたログオン鍵をさらに含み、前記動作が、
    前記HSM(140)によって、前記暗号化されたログオン鍵を復号して、復号されたログオン鍵を生成することであって、前記暗号化されたログオン鍵を復号することが、前記モバイル・デバイスの前記セキュリティ・ゾーンに関連付けられた前記鍵、および前記モバイル・デバイスに関連付けられた前記リモート管理者に関連付けられた前記鍵を使用することを含む、前記生成することと、
    前記復号されたログオン鍵を、前記コマンドと共に前記ドメインに送信することとをさらに含む、請求項15に記載のコンピュータ・プログラム。
  17. 第2のモバイル・デバイス(110B)から第2のコマンド要求を受信することであって、前記第2のコマンド要求が、第2の暗号化された鍵の部分および第2の暗号化された署名鍵を含む、前記受信することと、
    前記HSM(140)によって、前記モバイル・デバイス(110A)の前記セキュリティ・ゾーンに関連付けられた前記鍵を使用して前記第2のコマンド要求を復号することと、
    前記HSMによって、前記第2の暗号化された鍵の部分および前記第2の暗号化された署名鍵を復号して、第2の復号された鍵の部分および第2の復号された署名鍵を生成することであって、前記第2の暗号化された鍵の部分および前記第2の暗号化された署名鍵を復号することが、前記セキュリティ・ゾーンに関連付けられた前記鍵、および前記第2のモバイル・デバイスに関連付けられた異なるリモート管理者に関連付けられた異なる鍵を使用することを含む、前記生成することと、
    前記第2の復号された鍵の部分および前記第2の復号された署名鍵を使用して、前記ターゲットHSMを含んでいる前記ドメインに対して、第2のコマンドを生成することと、
    前記第2のコマンドを前記ドメインに送信することとをさらに含む、請求項15に記載のコンピュータ・プログラム。
  18. 前記復号された鍵の部分および前記第2の復号された鍵の部分が、前記ドメインの前記ターゲットHSMに関連付けられたマスター鍵の部分である、請求項17に記載のコンピュータ・プログラム。
  19. 前記セキュリティ・ゾーン内で前記モバイル・デバイスを登録し、前記モバイル・デバイスを前記リモート管理者に関連付けることによって、前記モバイル・デバイス(110A)をプロビジョニングすることをさらに含む、請求項15に記載のコンピュータ・プログラム。
  20. 前記ターゲットHSMによる実行のために、前記コマンドを前記ドメインに前記送信する前に、前記復号された署名鍵を使用して前記コマンドに署名することをさらに含む、請求項15に記載のコンピュータ・プログラム。
  21. 前記ドメインから受信された結果に基づいて前記モバイル・デバイス(110A)にメッセージを送信することをさらに含む、請求項15に記載のコンピュータ・プログラム。
  22. コンピューティング・デバイスのプロセッサによって、リモート管理者に関連付けられたモバイル・デバイス(110A)から、暗号化された鍵の部分および暗号化された署名鍵を含んでいる鍵読み込み要求を受信することと、
    前記モバイル・デバイスからの前記鍵読み込み要求の妥当性を確認することと、
    前記暗号化された鍵の部分および前記暗号化された署名鍵を復号して、復号された鍵の部分および復号された署名鍵を生成することであって、前記暗号化された鍵の部分および前記暗号化された署名鍵を復号することが、セキュリティ・ゾーン用の認証機関(CA)証明書の公開鍵に対応する秘密鍵、および前記リモート管理者のプロファイルのCA証明書の公開鍵に対応する秘密鍵を使用することを含む、前記生成することと、
    前記鍵読み込み要求によって指定されたドメインに対する鍵読み込みコマンドを構築することであって、前記鍵読み込みコマンドが、前記復号された鍵の部分を含み、前記復号された署名鍵を使用して署名される、前記構築することと、
    前記鍵読み込みコマンドを、前記ドメインのターゲット・ハードウェア・セキュリティ・モジュール(HSM)による実行のために、前記ドメインに送信することとを含む、コンピュータ実装方法。
  23. 前記セキュリティ・ゾーン用の前記CA証明書の前記公開鍵を使用して前記鍵読み込み要求が暗号化され、前記鍵読み込み要求の妥当性を確認することが、前記セキュリティ・ゾーン用の前記CA証明書の前記公開鍵に対応する前記秘密鍵を使用して前記鍵読み込み要求を復号することを含む、請求項22に記載のコンピュータ実装方法。
  24. セキュアなコンピューティング・デバイスのプロセッサによって、リモート管理者に関連付けられたモバイル・デバイス(110A)から、暗号化された鍵の部分および暗号化された署名鍵を含んでいる暗号化されたハードウェア・セキュリティ・モジュール(HSM)コマンド要求を受信することと、
    前記モバイル・デバイスからの前記暗号化されたHSMコマンド要求を復号することと、
    前記セキュアなコンピューティング・デバイスのHSM(140)によって、前記暗号化された鍵の部分および前記暗号化された署名鍵を復号して、復号された鍵の部分および復号された署名鍵を生成することと、
    前記復号された鍵の部分および前記復号された署名鍵に少なくとも部分的に基づいて、指定されたドメインに対する前記暗号化されたHSMコマンド要求に対応するHSMコマンドを生成することと、
    前記HSMコマンドを、前記指定されたドメインのーゲットHSMによる実行のために、前記指定されたドメインに送信することとを含む、コンピュータ実装方法。
  25. 前記指定されたドメインから受信された結果に基づいて前記モバイル・デバイス(110A)にメッセージを送信することをさらに含む、請求項24に記載のコンピュータ実装方法。

JP2023534181A 2020-12-11 2021-12-03 ハードウェア・セキュリティ・モジュールのリモート管理 Active JP7758735B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/118,837 US12167236B2 (en) 2020-12-11 2020-12-11 Remote management of hardware security modules
US17/118,837 2020-12-11
PCT/EP2021/084143 WO2022122578A1 (en) 2020-12-11 2021-12-03 Remote management of hardware security modules

Publications (3)

Publication Number Publication Date
JP2023552421A JP2023552421A (ja) 2023-12-15
JPWO2022122578A5 JPWO2022122578A5 (ja) 2024-01-12
JP7758735B2 true JP7758735B2 (ja) 2025-10-22

Family

ID=79024431

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023534181A Active JP7758735B2 (ja) 2020-12-11 2021-12-03 ハードウェア・セキュリティ・モジュールのリモート管理

Country Status (7)

Country Link
US (1) US12167236B2 (ja)
EP (1) EP4260512B1 (ja)
JP (1) JP7758735B2 (ja)
KR (1) KR20230110287A (ja)
CN (1) CN116671062A (ja)
AU (1) AU2021394573B2 (ja)
WO (1) WO2022122578A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG10201903114RA (en) * 2019-04-08 2020-11-27 Mastercard International Inc Methods and systems for facilitating microservices for cryptographic operations
CN115190105B (zh) * 2021-04-06 2024-03-29 维沃移动通信有限公司 信息处理方法、装置和通信设备
US11915038B2 (en) 2021-04-23 2024-02-27 Dell Products L.P. Method and system for collectively-determining stackable system roles in an information handling system environment
US11698796B2 (en) 2021-04-23 2023-07-11 Dell Products L.P. Method and system for a semi-dictatorial determination of stackable system roles in an information handling system
US11736458B2 (en) * 2021-04-23 2023-08-22 Dell Products L.P. Method and system for securely applying a stackable system role to an information handling system
US12008415B2 (en) 2021-04-23 2024-06-11 Dell Products L.P. Method and system for a semi-democratic determination of stackable system roles in an information handling system environment
US12468822B2 (en) * 2023-01-20 2025-11-11 Omnissa, Llc Zero trust accessory management
EP4439348A1 (en) * 2023-03-30 2024-10-02 Thales Dis Cpl Usa, Inc. Digital wallet authentication with a hardware security module
KR20250059970A (ko) 2023-10-25 2025-05-07 (주)라닉스 인증서 발급 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170222802A1 (en) 2015-12-03 2017-08-03 Amazon Technologies, Inc. Cryptographic key distribution
US20190121797A1 (en) 2017-10-20 2019-04-25 Idemia France Methods for loading a profile to a secure element, manager and personalisable secure element
JP2019531646A (ja) 2016-09-23 2019-10-31 アップル インコーポレイテッドApple Inc. ネットワークトラフィックのセキュア通信

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8160244B2 (en) * 2004-10-01 2012-04-17 Broadcom Corporation Stateless hardware security module
CA2785611A1 (en) 2009-01-06 2010-07-15 Vetrix, Llc Integrated physical and logical security management via a portable device
US20120213370A1 (en) * 2011-02-18 2012-08-23 General Instrument Corporation Secure management and personalization of unique code signing keys
US9037865B1 (en) * 2013-03-04 2015-05-19 Ca, Inc. Method and system to securely send secrets to users
US9426154B2 (en) 2013-03-14 2016-08-23 Amazon Technologies, Inc. Providing devices as a service
US9331988B2 (en) 2014-03-20 2016-05-03 Oracle International Corporation System and method for provisioning secrets to an application (TA) on a device
US11178124B2 (en) * 2014-09-02 2021-11-16 Apple Inc. Secure pairing of a processor and a secure element of an electronic device
EP3010264A1 (en) * 2014-10-16 2016-04-20 Gemalto Sa Method to manage subscriptions in a provisioning server
US10541811B2 (en) * 2015-03-02 2020-01-21 Salesforce.Com, Inc. Systems and methods for securing data
US10778439B2 (en) * 2015-07-14 2020-09-15 Fmr Llc Seed splitting and firmware extension for secure cryptocurrency key backup, restore, and transaction signing platform apparatuses, methods and systems
US10644885B2 (en) 2015-07-14 2020-05-05 Fmr Llc Firmware extension for secure cryptocurrency key backup, restore, and transaction signing platform apparatuses, methods and systems
CN105790938B (zh) * 2016-05-23 2019-02-19 中国银联股份有限公司 基于可信执行环境的安全单元密钥生成系统及方法
US10447486B2 (en) * 2017-07-19 2019-10-15 Spyrus, Inc. Remote attestation of a security module's assurance level
BR102017017707A2 (pt) 2017-08-17 2019-03-26 Kryptus Segurança Da Informação Ltda Sistema de amplificação remota de confiança para autorização de operações em módulo de segurança criptográfico (msc)
US10972445B2 (en) * 2017-11-01 2021-04-06 Citrix Systems, Inc. Dynamic crypto key management for mobility in a cloud environment
SG10201805967SA (en) * 2018-07-11 2020-02-27 Mastercard International Inc Methods and systems for encrypting data for a web application

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170222802A1 (en) 2015-12-03 2017-08-03 Amazon Technologies, Inc. Cryptographic key distribution
JP2019531646A (ja) 2016-09-23 2019-10-31 アップル インコーポレイテッドApple Inc. ネットワークトラフィックのセキュア通信
US20190121797A1 (en) 2017-10-20 2019-04-25 Idemia France Methods for loading a profile to a secure element, manager and personalisable secure element

Also Published As

Publication number Publication date
WO2022122578A1 (en) 2022-06-16
AU2021394573B2 (en) 2024-09-26
EP4260512A1 (en) 2023-10-18
US20220191693A1 (en) 2022-06-16
CN116671062A (zh) 2023-08-29
US12167236B2 (en) 2024-12-10
KR20230110287A (ko) 2023-07-21
AU2021394573A9 (en) 2024-10-10
JP2023552421A (ja) 2023-12-15
AU2021394573A1 (en) 2023-06-22
EP4260512B1 (en) 2025-02-12

Similar Documents

Publication Publication Date Title
JP7758735B2 (ja) ハードウェア・セキュリティ・モジュールのリモート管理
JP7457173B2 (ja) モノのインターネット(iot)デバイスの管理
US8918641B2 (en) Dynamic platform reconfiguration by multi-tenant service providers
CN109074449B (zh) 在安全飞地中灵活地供应证明密钥
US11743048B2 (en) Method and apparatus for secure token generation
CN113614720B (zh) 一种动态配置可信应用程序访问控制的装置和方法
TWI536285B (zh) 用於公共事業應用程式之實體安全授權的控制方法,及用於公共事業網路的認證系統
US20160373430A1 (en) Distributing security codes through a restricted communications channel
CN108809907A (zh) 一种证书请求消息发送方法、接收方法和装置
US12452052B2 (en) Remote controlled hardware security module
US20160134423A1 (en) Off device storage of cryptographic key material
US12457098B2 (en) SPDM-based firmware protection system and method
US12265632B2 (en) Systems and methods for key distribution of low end SPDM devices
US8145917B2 (en) Security bootstrapping for distributed architecture devices
WO2023073200A1 (en) Method to establish a secure channel
WO2025080372A1 (en) Systems and methods for initializing a distributed cryptography as a service application
US12388658B2 (en) Systems and methods for initializing a distributed cryptography as a service application
US12423448B2 (en) Systems and methods for initializing a distributed cryptography as a service application
US12476798B2 (en) Systems and methods for distributed cryptography as a service key loading
US20240297871A1 (en) Systems and methods for cloning bmc profiles in a cluster environment
Aro et al. OPC UA Enables Secure Data Transfer and System Integrations in Private and Public Networks [J]
CN114338076A (zh) 适用于智能家居环境的分布式跨设备访问控制方法及装置
CN116668516A (zh) 授权管理方法、装置、电子设备及计算机介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231227

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240711

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250516

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250520

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250925

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20251009

R150 Certificate of patent or registration of utility model

Ref document number: 7758735

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150