[发明专利]加密对象管理方法和加密对象管理系统

说明书

加密对象管理方法和加密对象管理系统。提供了一种包括物理上隔离的第一对象管理站点和第二对象管理站点的加密对象管理系统。第一对象管理站点和第二对象管理站点各自分别包括：HSM、连接至所述HSM中的各个HSM的HSM服务器以及连接至HSM服务器的持久层。HSM服务器分别管理所述HSM中的各个HSM的操作。第一对象管理站点的HSM服务器包括管理并控制加密对象管理系统的对象管理器模块。持久层分别存储站点加密对象以供所述HSM使用。HSM中的各个HSM分别对加密对象中的一个或更多个加密对象执行加密处理。

技术领域

本公开涉及用于跨多个远程站点进行加密对象管理的系统和方法。

背景技术

EMV是针对信用/借记芯片卡以及被设计成使用这些芯片卡来执行信用/借记交易的装置的支付系统规范。EMV规范是由Europay International、MastercardInternational以及Visa International(因此，称为“EMV”)联合开发和维护的。EMV规范的既定目的是确保在信贷/借记交易中使用的芯片卡与任何终端之间的全球互用性。将诸如信用卡的EMV凭证个性化的过程称为发行，并且是EMV发行系统的功能。EMV发行通常涉及密码管理系统的使用。

发明内容

本公开涉及用于跨多个远程站点进行加密对象管理的系统和方法。

本文所述的实施方式可以在持久层中安全地存储令牌外(off-token)的加密对象资料，并且依赖于硬件安全模块(HSM)来进行加密处理。这可以扩展HSM容量，而不会影响例如EMV发行的加密对象管理。

本文所述的实施方式还可以提供用于创建加密对象管理系统(例如，EMV发行系统)的仿射性(affinity)的负载平衡池。这可以帮助减轻与HSM的地理隔离有关的问题，并且可以帮助管理时延并减少运行时访问失败。这些实施方式可以提供持久层到加密对象资料和负载平衡池的本地副本的复制，而无需对生产站点进行任何集中式(手动)管理，以便提高加密对象管理系统的可用性并且可以使能实现灾难恢复。一旦将复制的加密对象资料填充到持久层的本地副本中，该复制的加密对象资料也就允许立即并自动从所有HSM和加密对象管理系统进行访问。

本文所述的实施方式可以与标准信息技术(IT)协议一起使用，防止加密对象资料泄密，并且降低IT经营成本。

通过将令牌存储在可以由HSM按需导入的持久层中，本文所述的实施方式还可以实际上支持用于加密对象隔离的令牌的数量不受限制。当不再使用导入的令牌时，HSM可以在内部安全地删除导入的令牌，以允许导入其它令牌。因此，可以通过这样管理存储在持久层中的虚拟令牌来实现加密对象隔离，并且每个虚拟令牌可以由其自己的加密对象来进行保护。

本文所述的实施方式可以在卡个性化系统中使用。用于卡个性化的打印装置的类型和打印装置的子组件(下文中简称为打印装置)例如可以包括：中央卡发行系统、台式卡打印机、台式压花机、护照系统、台式层压机、台式压花机、智能卡读取器、输入和/或输出卡斗等。

在一个实施方式中，提供了一种包括物理上隔离的第一对象管理站点和第二对象管理站点的加密对象管理系统。所述第一对象管理站点和第二对象管理站点各自分别包括：HSM、连接至所述HSM中的每个HSM的HSM服务器以及连接至所述HSM服务器的持久层。所述HSM服务器分别管理所述HSM中的每个HSM的操作。所述第一对象管理站点的所述HSM服务器包括管理并控制所述加密对象管理系统的对象管理器模块。所述持久层分别存储站点加密对象以供所述所述HSM使用。所述HSM中的每个HSM分别对所述加密对象中的一个或更多个加密对象执行加密处理。