【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及改进的数据处理系统,更具体地说,涉及用于使用密码系统进行数据存储保护的方法和设备。
技术介绍
实际上,在每个网络系统中,管理系统通过限制对资源的访问来保护资源。在企业中的网络可以具有许多种类的可以被访问的资源诸如客户机器之类的物理资源;和诸如计算程序之类的逻辑资源。不同资源可以具有不同的验证方案。当实体想要访问受限制的资源时,需要实体将自己对代表所请求的服务进行工作的验证服务或者所请求的服务进行验证。对关于授权实体的信息进行管理以支持这些验证方案产生大量的费用和管理工作。因此,最好具有一种机制用来管理在由数据处理系统内的硬件实体所提供的信任之上建立的数据处理系统中的实体之间的信任关系。
技术实现思路
提供一种机制,用于在主机系统内保护密码功能,以使得当系统管理员经由硬件安全令牌物理地允许它时才可以对它进行使用。此外,将硬件安全单元集成到数据处理系统,并且硬件安全单元充当硬件证书管理机构(authority)。可以将硬件安全单元看作是对分布式数据处理系统内的依赖网络或者信任体系进行支持。硬件安全单元可以签署在包含硬件安全单元的机器上所安装的软件。使用在机器上运行的所签署的软件的服务器过程可以根据它们共同的硬件安全单元的信任,与硬件安全单元并且在其他服务器过程之间建立相互信任关系。例如,数据处理系统接受可拆卸硬件设备,在可拆卸硬件设备和硬件安全单元相互验证它们自己以后,可拆卸硬件设备变为与数据处理系统内的系统单元电连接,以使得允许硬件安全单元内的特定功能。当可拆卸硬件设备保持与系统单元的电连接时,硬件安全单元可以充当证书管理机构来发放用于软件模块 ...
【技术保护点】
一种数据处理系统,包括:系统单元,包括:处理器,用于执行软件模块中的指令;和第一硬件安全单元,包括:用于存储第一非对称密码密钥对的私钥和第二非对称密码密钥对的公钥的装置;验证软件模块的装置;和用于充当证书管理机构以发放数字证书给软件模块的装置;和第一软件模块,其可以在系统单元上执行,包括:用于存储第二非对称密码密钥对的私钥和第一非对称密码密钥对的公钥的装置;和用于验证硬件安全单元的装置。
【技术特征摘要】
【国外来华专利技术】US 2004-1-8 10/753,8201.一种数据处理系统,包括系统单元,包括处理器,用于执行软件模块中的指令;和第一硬件安全单元,包括用于存储第一非对称密码密钥对的私钥和第二非对称密码密钥对的公钥的装置;验证软件模块的装置;和用于充当证书管理机构以发放数字证书给软件模块的装置;和第一软件模块,其可以在系统单元上执行,包括用于存储第二非对称密码密钥对的私钥和第一非对称密码密钥对的公钥的装置;和用于验证硬件安全单元的装置。2.根据权利要求1所述的数据处理系统,其中硬件安全单元还包括用于接收与不包括在系统单元中的第二硬件安全单元所拥有的私钥对应的数字证书的装置;和用于存储所接收到的数字证书的装置。3.根据权利要求1或者2所述的数据处理系统,还包括可拆卸硬件设备,包括用于存储第三非对称密码密钥对的私钥和第一非对称密码密钥对的公钥的装置;第一硬件接口,用于与系统单元电连接;和用于验证硬件安全单元的装置;和系统单元还包括第二硬件接口,用于电连接可拆卸硬件设备。4.根据权利要求3所述的数据处理系统,其中硬件安全单元还包括用于允许硬件安全单元充当证书管理机构在可拆卸硬件设备和硬件安全单元已经相互验证之后、根据可拆卸硬件设备是否保持与系统单元的电连接来发放数字证书给软件模块的装置。5.根据前面任何一个权利要求所述的数据处理系统,其中第一软件模块还包括用于对在数据处理系统中正在执行的第二软件模块进行验证的装置。6.根据权利要求5所述的数据处理系统,还包括用于接收第二软件模块的数字证书的装置;和用于检验所接收到的数字证书为已经由硬件安全单元所发放的数字证书的装置。7.根据权利要求5所述的数据处理系统,还包括用于接收第二软件模块的数字证书的装置;用于从硬件安全单元检索一组数字证书的装置;和用于根据来自硬件安全单元的一组数字证书中的证书来检验用于第二软件模块的数字证书的装置。8.根据前面任何一个权利要求所述的数据处理系统,还包括用于在执行软件模块之前要求在系统单元上可执行的软件模块已经被第一硬件安全单元签名的装置。9.根据前面任何一个权利要求所述的数据处理系统,还包括用于在执行之前要求在系统单元上可执行的所有软件模块都已经被第一硬件安全单元签名的装置。10.根据前面任何一个权利要求所述的数据处理器系统,还包括用于在执行之前要求在系统单元上可执行的所有软件模块都能够对第一硬件安全单元进行验证的装置。11.根据前面任何一个权利要求所述的数据处理器系统,还包括软件智能密钥模块,由第一硬件安全单元对其进行签名,其中第一硬件安全单元包括用于充当证书管理机构的装置。12.根据权利要求11所述的数据处理系统,还包括用于在执行之前要求在系统单元上可执行的软件模块已经由软件智能密钥模块或第一硬件安全单元签名的装置。13.根据权利要求11所述的数据处理系统,还包括用于在执行之前要求在系统单元上可执行的所有软件模块都能够对软件智能密钥模块或者对第一硬件安全单元进行验证的装置。14.根据权利要求11所述的数据处理系统,还包括用于辅助软件证书管理机构以信任体系的倒金字塔形式从第一硬件安全单元中导出信任管理权的装置。15.根据权利要求11所述的数据处理系统,还包括用于允许软件证书管理机构模块对从属软件证书管理机构模块进行签名的装置。16.根据权利要求1所述的数据处理系统,还包括用于要求在系统单元上安装的所有交互软件应用程序都能够相互对彼此验证的装置。17.根据权利要求16所述的数据处理系统,还包括用于允许交互软件应用程序彼此检验为由信任的软件证书管理机构或者由第一硬件安全单元进行签名的软件应用程序的装置。18.根据前面任何一个权利要求所述的数据处理器系统,还包括用于将不同系统单元上的硬件安全单元的数字证书断言到第一硬件安全单元中的信任的证书管理机构列表的装置。19.根据前面任何一个权利要求所述的数据处理器系统,还包括用于将在不同的数据处理系统上所信任的软件证书管理机构的数字证书断言到第一硬件安全单元中的信任的证书管理机构列表的装置。20.一种在数据处理系统中执行密码功能的方法,该方法包括在包括硬件安全单元的系统单元上执行软件模块,其中硬件安全单元包括第一非对称密码密钥对的私钥和第二非对称密码密钥对的公钥;在硬件安全单元和软件模块之间执行相互验证操作,其中软件模块包括第二非对称密码密钥对的私钥和第一非对称密码密钥对的公钥;和硬件安全单元发放数字证书给软件模块。2...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。