TW201546649A

TW201546649A - 用於基於硬體安全模組的基於雲端的ｗｅｂ服務安全管理的系統和方法

Info

Publication number: TW201546649A
Application number: TW104108426A
Authority: TW
Inventors: Phanikumar Kancharla; Ram Kumar Manapragada
Original assignee: Cavium Inc
Priority date: 2014-06-05
Filing date: 2015-03-17
Publication date: 2015-12-16
Also published as: US20150358311A1; TW201642169A; US20150358313A1; US20160028551A1; US20150358312A1; US20150358294A1

Abstract

提出了一種涉及支援安全性管理的系統和方法的新方案，該安全性管理支援託管在資料中心處的雲端中的多個web服務以將它們的加密操作卸載到部署在雲端中的一個或多個硬體安全模組(HSM)。每個HSM都是用於web服務的加密加速的高性能、符合聯邦資訊處理標準(FIPS)140的安全解決方案。每個HSM包括多個分區，其中每個HSM分區被專用於支援web服務主機/伺服器之一來通過網路經由多個HSM虛擬機器(VM)之一卸載它們的加密操作。HSM管理VM還可以被部署以監視並管理HSM-VM的操作以支援多個web服務。

Description

用於基於硬體安全模組的基於雲端的WEB服務安全管理的系統和方法

本發明涉及以雲端為根基的網路服務安全管理系統和方法，尤其是涉及一種基於硬體安全模組之雲端網路服務安全管理系統和方法。

隨著服務提供者越來越多地將它們的web服務(例如，網站)託管在諸如亞馬遜web服務(AWS)和Google站之類的雲端中的第三方資料中心處，針對在第三方資料中心處託管的這些web服務的安全以及金鑰管理已經變成重要的問題。與這些web服務進行可靠通信所需的加密和解密操作，諸如RSA之類的加密操作，消耗了託管web服務的伺服器處的大量CPU週期和計算資源，並且優選是被卸載到專用於該目的的獨立模組。

硬體安全模組(HSM)是物理計算設備，其保護並管理用於強力認證的金鑰並且提供加密處理能力。每個HSM傳統上以插入卡或外部設備的形式出現，該插入卡或外部設備直接附接到電腦或網路服務器以便從伺服器卸載金鑰管理和加密操作。然而，硬體卸載不總是可用的，尤其是針對在第三方資料中心託管的web服務而言，這是因為資料中心處的大多數服務不具有硬體RSA加速器。此外，諸如VMWare的vSphere以及微軟的Hyper-V之類的用於在伺服器上運行虛擬機器的一些超管理器(hypervisor)產品不支援非聯網單根I/O虛擬化(SR-IOV)，其使得設備分別存取其在各個周邊元件連接(PCI)快速(PCIe)硬體功能之中的資源，並因此使得它們非常難以提供用於加密操作的硬體卸載。因此，需要一種改良的系統和方法以提供對於經由HSM在第三方資料中心處託管的基於雲端的web服務的可靠金鑰管理。

相關技術的前述示例以及與此相關的限制旨在說明性的而非排他性的。在閱讀說明書以及研究附圖之後，相關技術的其它限制將變得顯而易見。

為改良金鑰管理的可靠性，本發明提供一種用於卸載用於基於雲端的web服務的金鑰存儲、管理和加密操作的系統，該系統包括硬體安全模組(HSM)、運行於主機上的HSM管理虛擬機器(VM)及運行於主機上的所述一個或多個虛擬機器(HSM-VM)。其中，HSM包括一個或多個HSM分區，所述HSM分區中的每一個HSM分區被配置來執行用於web服務主機的金鑰管理和加密操作。所述HSM管理虛擬機器在操作中被配置來創建一個或多個HSM-VM，所述HSM-VM中的每一個HSM-VM，以一對一對應地方式，被所述HSM的HSM分區中的一個HSM分區所認證並專用於所述一個HSM分區。

再者，操作中每一個HSM-VM被配置來執行下列步驟：在所述web服務主機與將由專用於所述HSM-VM的HSM分區所服務的所述HSM-VM之間，通過網路建立安全通信通道；經由所述安全通信通道從所述web服務主機接收請求和/或資料，並將所述請求和/或資料向所述HSM分區提供；以及由所述HSM分區，經由所述安全通信通道，將所述金鑰管理和加密操作的結果提供回所述web服務主機。

同樣地，為改良金鑰管理的可靠性，本發明提供一種用於卸載用於基於雲端的web服務的金鑰存儲、管理和加密操作的方法。該方法包括，在主機上創建一個或多個VM，其中每一個VM被認證並且一對一對應地專用於HSM的多個分區中的一個；在web服務主機與將由專用於所述VM的HSM分區服務的VM之間通過網路建立安全通信通道；經由所述安全通信通道，從所述web服務主機接收請求及/或資料並將其向所述HSM分區提供；經由用於所述web服務主機的專用HSM分區，執行金鑰管理和加密操作；以及經由所述安全通信通道，將所述金鑰管理和加密操作的結果，提供回所述web服務主機。

100‧‧‧系統

102‧‧‧硬體安全模組(HSM)

103‧‧‧計算單元/裝置/主機

104‧‧‧HSM虛擬機器(HSM-VM)

106‧‧‧HSM管理VM

108‧‧‧HSM分區

109‧‧‧金鑰存儲

110‧‧‧超管理器

112‧‧‧安全OS

200‧‧‧HSM設備

202‧‧‧HSM轉接器

204‧‧‧計算單元

206‧‧‧SR-IOV PCIe橋

208‧‧‧多核處理器

210‧‧‧安全性處理器

212‧‧‧PCIe插槽

300‧‧‧流程圖

302‧‧‧方塊

118‧‧‧VF HSM驅動器118

114‧‧‧虛擬功能(VF)網路驅動器

116‧‧‧網路適配器

120‧‧‧安全通信伺服器

122‧‧‧安全OS

124‧‧‧物理功能(PF)網路驅動器

126‧‧‧PF HSM驅動器

304‧‧‧方塊

306‧‧‧方塊

308‧‧‧方塊

310‧‧‧方塊

與附圖一起閱讀時，從隨後詳細說明中將最佳地理解本發明的諸多方面。應當指出：按照工業上的標準實踐，各個特徵未按比例繪製。實際上，為了討論清楚起見，各個特徵的維度可以任意增加或減少。

第一圖繪出了根據一些實施例的、支持經由HSM的基於雲端的web服務的加密操作卸載和加速的系統100的圖示示例。

第二圖繪出了根據一些實施例的、在第一圖中繪出的用於經由HSM的基於雲端的web服務安全管理的系統100的硬體實現的示例。

第三圖繪出了根據一些實施例的、支持經由HSM的基於雲端的web服務的加密操作卸載和加速的處理示例的流程圖。

第四圖繪出了根據一些實施例的、用於HSM從初始重置狀態移向操作狀態的處理流程示例的圖示。

第五圖繪出了根據一些實施例的、在PF HSM驅動器和HSM之間的四向交握(four-way handshake)的示例圖。

第六圖繪出了根據一些實施例的、在VF HSM驅動器和HSM分區之間的四向交握的示例圖。

以下公開內容提供許多不同實施例或示例，用於實施主題的不同特徵。在下面描述組件和佈置的特定示例以簡化本公開內容。當然，這些僅僅是示例而並不旨在限制。此外，本公開內容可以在各個示例中重複參考標號和/或字母。此類重複是為了簡潔和清楚的目的，其本身不指示所討論的各個實施例和/或配置之間的關係。

提出了一種新的方法，其考量了支持託管在資料中心處的雲端中的多個web服務，將它們的金鑰存儲、管理和加密操作卸載到在雲端中部署的一個或多個硬體安全模組(HSM)的安全管理的系統和方法。每個HSM都是用於web服務的加密加速的高性能、符合聯邦資訊處理標準(FIPS)140的安全解決方案。具體地，每個HSM可以是硬體/韌體多晶片嵌入式密碼模組，其提供密碼功能，包括但不限於金鑰管理、模組式取冪(modular exponentiation)、亂數產生和雜湊處理，以及支援各種安全協定的協定特定的指令。在一些實施例中，每個HSM包括多個分區(partition)，其中每個HSM分區被專用於支援web服務主機/伺服器中之一來通過網路經由多個HSM虛擬機器(VM)之一卸載它們的加密操作。單個HSM-VM與該web服務主機和該HSM分區二者建立安全通信通道，並且使web服務主機能夠利用HSM的金鑰管理和密碼功能。HSM管理VM還可以被部署來監視並管理HSM-VM的操作以支援多個web服務。

所提議的方法使得將它們的網站託管在第三方資料中心的web服務提供者，能夠將它的金鑰管理和加密操作卸載到一個或多個基於雲端的HSM上，以節省網站主機上的計算資源。重要的是，每個網站的金鑰和憑證保存在HSM上符合FIPS 140-2的安全環境中，其只可被網站和專用於服務該web服務主機的相應HSM所存取。甚至託管該網站的第三方資料中心也不能存取它的金鑰和憑證。這樣的方法使得web服務提供者的金鑰管理和加密操作能夠以高度安全的方式來完成。

第一圖繪出了支援經由硬體安全模組(HSM)的基於雲端的web服務的加密操作卸載和加速的系統100的圖示示例。雖然圖示將元件繪出為功能上分離的，但是這樣的繪出只是為了說明的目的。很顯然，在此圖中描繪的元件可以任意地組合或分成分開的軟體、韌體和/或硬體元件。而且，還將顯而易見的是：此類元件，無論它們如何組合或分開，都能夠在同一主機或多個主機上執行，並且其中，該多個主機能夠通過一個或多個網路相連接。

在第一圖的示例中，系統100包括至少一個硬體安全模組(HSM)102、多個HSM虛擬機器(HSM-VM)104、以及HSM管理VM 106。在一些實施例中，HSM 102是多晶片嵌入式硬體/韌體密碼模組，具有軟體、韌體、硬體或被用於實現一目的的另一元件。HSM-VM 104和HSM管理VM 106典型地運行於根據聯邦資訊處理標準(FIPS)認證的計算單元/裝置/主機103上用於執行安全密碼操作。計算單元/裝置/主機103包括以下中的一個或多個：CPU或微處理器、諸如RAM之類的記憶體(也稱為主記憶體)以及諸如非揮發性記憶體(也稱為次要存放裝置)之類具有存儲在其中用於實施一個或多個過程的軟體指令的存儲單元。當軟體指令被執行時，該軟體指令的至少一個子集被載入到記憶體中，並且計算單元就變成用於實施本處理的專用計算單元。當在通用計算單元上實施時，電腦程式代碼分段配置計算單元以產生特定邏輯電路。該處理可以可選地至少部分地體現在由用於執行該處理的專用積體電路(ASIC)所形成的數位訊號處理器中。對於非限制性示例，主機103可以是計算設備、通信設備、存放裝置、或任何電子設備，其中該計算設備可以是但並不限於膝上型PC、桌上型PC，移動設備或諸如x86伺服器之類的伺服器機器，並且該通信設備可以是但不限於行動電話。

在圖1的示例中，HSM 102、HSM-VM 104和HSM管理VM 106中的每一個都具有通信介面(如下所述)，這是一個使得元件通過遵循某些通信協定(比如TCP/IP協定)的網路(未示出)彼此通信以及與其它設備/主機/伺服器通信的元件。此類網路可以是但不限於：互聯網、內聯網、廣域網路(WAN)、局域網(LAN)、無線網路、藍牙、WiFi、移動通信網路、或任何其它網路類型。網路的物理連接和通信協定是本領域那些技術人員所熟知的。

第二圖描繪了在第一圖中繪出的用於經由HSM的基於雲端的web服務安全管理的系統100的硬體實現200的示例。如第二圖的示例中所示出的，FIPS認證的HSM設備200包括FIPS 140-2 2級和3級認證的計算單元204，具有一個或多個CPU、RAM和存儲單元，並且被配置來運行多個(例如，上至32個)諸如 HSM-VM 104和HSM管理VM 106之類的虛擬機器。HSM設備200還包括FIPS認證的SR-IOV啟用的HSM轉接器202，這是針對HSM 102的硬體設備。如第二圖的示例中所示出的，HSM適配器202還包括SR-IOV PCIe橋206，其經由第一PCIe連接(例如，PCIe Gen2 x8)將HSM轉接器202連接到計算單元204中的CPU，其中PCIe是高速串列電腦擴展匯流排標準，其被設計以支援硬體I/O虛擬化，從而針對匯流排設備實現最大的系統匯流排輸送量、低I/O引腳數和小物理尺寸。橋206被進一步配置為跨過高速通信介面(例如，10G的XAUI介面)連接到HSM轉接器202的多核處理器208(例如，多核MIPS64處理器，如OCTEON CN6130)。HSM轉接器202還包括經由第二PCIe連接(例如，PCIe Gen2 x4)的安全處理器210(例如，NITROX CNN3550)，其中，安全性處理器210被配置，通過利用硬體加速器和實現安全演算法的嵌入軟體執行加密操作，來啟用密碼加速。在一些實施例中，HSM設備200被提供並被預先配置有預設網路和認證憑證，使得HSM設備200針對加密卸載以及金鑰和憑證存放區可以是符合FIPS的。

在第一圖的示例中，HSM 102被配置來，通過卸載web服務主機的金鑰存儲和密碼操作，來向多個web服務提供者/主機提供FIPS 140-2總體3級認證的安全解決方案。對於非限制性示例，加密/解密金鑰管理是針對對稱和/或非對稱(例如，RSA)金鑰，並且要被加速的加密操作是針對諸如被設計以提供互聯網上通信的安全性的傳輸層安全性(TLS)和/或安全通訊端層(SSL)之類的密碼協定。如第二圖中所示，HSM 102的HSM轉接器202經由PCIe插槽212被物理地連接到運行HSM-VM 104和HSM管理VM 106的計算單元204，以便以安全的方式與web服務主機進行互動並向其提供高速加密加速。由HSM 102提供的密碼功能包括但不限於模組式取冪、亂數產生、和雜湊處理，以及經由嵌入在HSM轉接器202中的安全處理器210的支持諸如TLS/SSL之類的各種安全協定的協定特定的指令。由HSM 102提供的這些密碼功能可以被系統100的其它元件經由由HSM 102定義並提供的應用程式設計介面(API)來存取。

在一些實施例中，HSM 102可被進一步劃分為多個HSM分區108，其中每一個HSM分區108被專用於利用一個或多個加密加速單元、一個或多個使用者基於身份的檔案、金鑰存儲109來支援一個web服務提供者/主機，所述金鑰存儲109接受並保持安全認證證書、用戶生成/導入的金鑰和配置中的一個或多個。在此，所有密碼和/或憑證在HSM分區108中被存儲並認證，而在系統100中的其他地方(例如，HSM-VMS 104的主機103)沒有存儲任何東西。因此，除了HSM分區108和web服務提供者/主機之外沒有實體可以存取認證憑證。

在一些實施例中，HSM分區108是通過利用HSM 102的韌體來創建的軟分區。HSM 102確保了HSM分區108具有以下安全特徵：

●HSM分區108與HSM-虛擬機器104具有一對一之對應，其中每個HSM分區108僅與HSM-虛擬機器104中的一個互動，並允許僅從一個HSM-虛擬機器104進行存取。在一些實施例中，一個唯一靜態秘密(例如12位元組長)在系統100和它的驅動器的初始化期間被配置並指派給每個HSM-VM 104。然後對照分配給特定HSM-VM 104的靜態秘密以及在HSM分區108和HSM-VM 104之間的互動過程期間即時提供的動態秘密(例如，8位元組長)，來檢查從該特定HSM-VM 104向HSM分區108的每個後續請求。

●web服務提供者/主機被要求打開一個通信會話並通過安全通信通道向HSM-VM 104認證它本身，以便能夠與HSM 102的對應HSM分區108進行互動並存取之。在這裡，通信會話的持續時間隨著web服務提供者/主機的每次登錄嘗試而不同，並且安全通信通道只能在web服務提供者/主機和HSM-VM 104之間的成功安全交握之後建立。在一些實施例中，用於向HSM分區108驗證HSM-VM 104的動態秘密也在安全通信通道建立後產生。

在一些實施例中，每個HSM分區108支持並且要求FIPS 140-2 3級所要求的針對其操作的基於身份的認證。每個身份允許不同的API調用集合用於不同類型的命令，這些命令用於初始化分區、管理分區、和/或對web服務的主機提供加密加速。HSM分區108可用的命令的類型基於登錄到HSM分區108的用戶的類型而有所不同，並且一些API調用不需要任何使用者登錄。對於非限制性示例，HSM管理VM 106可以利用不同類型的命令來初始化HSM 102和管理該HSM 102的HSM分區108。

在第一圖的示例中，每個HSM-VM 104經由安全通信通道與web服務提供者/主機進行互動，以將web服務提供者/主機的金鑰管理和加密操作卸載到專用於該HSM-VM 104的HSM 102的特定HSM分區108。該HSM-VM 104僅與如上所述已被HSM-VM 104認證的一個或多個web服務提供者/主機建立安全連接並與之進行通信。HSM-VM 104在超管理器(即管理程式)(hypervisor)110之上部運行，該超管理器110在主機103上運行HSM-VM 104和HSM管理VM 106。超管理器110向每個VM呈現虛擬操作平臺，並且管理主機103上的每個VM的執行。每個HSM-VM 104是執行程式來類比諸如作業系統(OS)之類計算環境的軟體實現。

在一些實施例中，每個HSM-VM 104包含一個或多個以下軟體元件：安全作業系統(例如，安全性增強的Linux或SE-Linux)112；虛擬功能(VF)網路驅動器114，被配置來與主機103的物理網路介面轉接器/卡(總稱網路適配器)116進行互動，以接收和發送專用於特定HSM-VM 104的通信(例如，封包)；以及VF HSM驅動器118，被配置來與專用於特定HSM-VM 104的HSM 102的HSM分區108進行互動，並且在HSM-VM 104和HSM分區108之間建立一請求/回應通信路徑。HSM-VM 104的VF HSM驅動器118和HSM 102的HSM分區108如上所述通過SR-IOV PCIe橋而彼此進行通信，並且每個通信以符合FIPS的方式發生。如本文所指的那樣，VF驅動器是與網路介面卡(例如，網路介面卡116) 上的PCIe物理功能(PF)相關聯的羽量級PCIe功能，該網路介面卡支持單根I/O虛擬化(SR-IOV)並且代表網路介面卡的虛擬化實例。每個VF與PF和其它VF共用網路介面卡上的一個或多個物理資源，諸如外部網路埠。

在一些實施例中，在主機103上的相同超管理器110上運行的HSM-VM 104彼此隔離，並且一個HSM-VM 104不能存取任何其它HSM-VM 104的資料/通信。在通信期間，通過HSM-VM 104的VF網路驅動器114從物理網路介面卡116接收的封包經由靜態目的地MAC位址進行過濾，這對於每個VF驅動器而言是唯一的並且不能被VF驅動器改變/配置。基於SR-IOV映射，將MAC位址向HSM-VM 104的VF網路驅動器114直接遞送。當從HSM-VM 104發送封包時，VF網路驅動器114直接把該封包放到硬體佇列中，其在封包不接觸主機側或者運行在同一主機103上的任何其它HSM-VM 104的情況下，從物理網路介面卡116被發送出。

在一些實施例中，每個HSM-VM 104進一步包括安全通信伺服器120(例如，TurboSSL加速瘦伺服器)，被配置來通過網路建立web服務提供者的伺服器/主機與HSM-VM 104之間的安全通信通道。為了確保安全通信，安全通信伺服器120在HSM-VM 104和web服務主機之間採用基於認可的相互認證，並使用利用最高安全性設置的受限密碼。在其操作期間，安全通信伺服器120從web服務提供者接收每個請求並將其轉換成命令，繼而向專用於該HSM-VM 104的HSM分區108傳遞命令以用於進一步處理。

在第一圖的示例中，HSM管理VM 106被配置來服務於管理員角色，以管理多個HSM-VM 104以及由HSM-VM 104所利用的各種設備。具體而言，HSM管理VM 106決定HSM 102內的有效HSM分區108的數目，裝載用於與HSM分區108通信的各種設備(例如，物理網路介面卡116和HSM 102)的驅動器，啟動並監視專用於HSM分區108的HSM-VM 104，以及處理用於各種設備的關鍵/管理更新。在一些實施例中，HSM管理VM 106運行安全OS(例如，安全性增強的Linux或SE-Linux)122。在一些實施例中，HSM管理VM 106包括物理功能(PF)網路驅動器124，其被配置來將HSM-VM 104的VF網路驅動器114所使用的物理網路介面卡/卡116初始化，以與它們各自的web服務供應者通信。如本文所指的那樣，PF驅動器是支援SR-IOV介面的網路介面卡(例如，網路介面卡116)上的PCIe功能。PF驅動器被用來配置和管理網路介面卡的SR-IOV功能，如啟用虛擬化和暴露PCIe VF。

在一些實施例中，HSM管理VM 106還包括PF HSM驅動器126，其被配置來安裝和初始化HSM 102以用於利用HSM-VM 104的VF HSM驅動器118操作其HSM分區108。PF HSM驅動器126執行初始交握並與HSM 102建立請求/回應通信通道。PF HSM驅動器126識別HSM 102中的有效HSM分區108的數量，並將其向HSM管理VM 106傳遞。如果在HSM 102上存在有效HSM分區108，則HSM管理VM 106檢查相應VM影像的完整性，創建多個HSM-VM 104，其中的每一個專用於一個HSM分區108，並使用可用來對HSM 102進行初始化並管理HSM 102的HSM分區108的命令。如果在HSM 102中沒有有效HSM分區是可用的，則HSM管理VM 106不啟動HSM-VM 104。HSM管理VM 106隨後可以基於HSM 102中有效的HSM分區的數目和/或請求卸載金鑰管理和加密操作的web服務提供者的數目，來創建和/或移除HSM-VM 104。

第三圖繪出了支援經由HSM的基於雲端的web服務的加密操作卸載和加速的處理示例的流程圖。雖然此圖為了說明的目的描繪了特定順序的功能步驟，但是該過程不限於任何特定順序或設置的步驟。相關技術領域的技術人員將理解，在此圖中描繪的各種步驟可以以各種方式被省略、重新佈置、合併和/或適用。

在第三圖的示例中，流程圖300開始於方塊302，在那裡，一個或多個虛擬機器(VM)在主機上被創建，其中，每個虛擬機器被認證並以一對一的對應關係專用於硬體安全模組(HSM)的多個分區中的一個。流程圖300繼續到方塊304，在那裡，在每個VM和由專用於該VM的HSM分區所服務的web服務主機之間建立安全通信通道。流程圖300繼續到方塊306，在那裡，來自web 服務主機的請求和/或資料經由安全通信通道而被VM接收並向HSM分區提供。流程圖300繼續到方塊308，在那裡，金鑰管理和加密操作被卸載到web服務主機的專用HSM分區並被它執行。流程圖300在方塊310結束，在那裡，金鑰管理和加密操作的結果經由安全通信通道被專用VM提供回web服務主機。

雖然在第一圖中描繪的系統100處於操作中，但是HSM管理VM 106與HSM 102通信，以識別HSM 102中可用的有效HSM分區108的數量。HSM管理VM 106然後在主機103上創建多個HSM-VM 104，其中，每個HSM-VM 104專用於遵循適當認證的HSM分區108中的一個並與之具有一對一的對應關係。HSM管理VM 106還對HSM-VM 104所使用的多個網路介面卡/卡116進行初始化，以與web服務提供者進行通信。在它的操作期間，每個HSM-VM 104建立與web服務主機的安全通信通道，用於從web服務主機接收和向web服務主機發送資料和請求的封包。當HSM-VM 104從web服務主機經由其網路介面卡116接收請求時，HSM-VM 104將請求轉換成用於HSM 102的指令，並將該命令向專用於服務HSM-VM 104和web服務主機的HSM分區108傳遞。專用HSM分區108為處於FIPS 140-2 3級認證環境中的web服務主機維護加密/解密金鑰以及其它憑證。HSM分區108還執行加密操作，包括但不限於從web服務主機卸載的金鑰生成和大量資料加密/解密操作。HSM分區108然後經由網路介面卡116通過由HSM-VM 104建立的安全通信通道將金鑰和/或加密操作的結果提供回web服務主機。

第四圖繪出了HSM 102從初始重置狀態移向操作狀態的處理流程示例的圖示。當接通電源時，HSM 102在它變成可由HSM-VM 104存取以執行任何密碼操作之前歷經各種狀態。HSM 102在它第一次通電時處於安全的出廠預設值狀態。當HSM 102在此狀態下或PF管理員操作(PFAdmin Operational)狀態時，其中HSM管理VM 106創建HSM分區108，HSM 102定義信息傳遞協定，HSM管理VM 106的PF HSM驅動器126遵循該協定來將HSM 102移到安全操作狀態，並且PF HSM驅動器126和HSM 102之間的所有通信通過主機配置的緩衝器發生。第五圖繪出了在PF HSM驅動器126和HSM 102之間的四向(four-way)交握的示例圖。作為通信的一部分，向HSM管理VM 106提供HSM分區108的數目。PF HSM驅動器126接收HSM分區108的數目並啟動與HSM分區108一對一對應的多個HSM-VM 104。另外，作為通信的一部分，PF HSM驅動器126向每個HSM-VM 104傳送每HSM分區108一個靜態秘密，以被使用用於向HSM分區108認證。此靜態秘密在HSM 102上針對特定HSM分區108而被配置，並且它不能被另一個HSM分區108讀取。一旦此交換完成，則HSM 102移動到安全操作狀態，在此狀態下，它準備執行金鑰管理和加密操作。

類似地，每個HSM-VM 104及其相應的HSM分區108還從初始重置狀態移到操作狀態，其中，分區108可以被它的HSM-VM 104為各種密碼操作而存取。當HSM 102正在被HSM管理VM 106首次初始化時，HSM-VM 104處於單個HSM預設狀態(SingleHSM Default)。當處於單個HSM預設或單個HSM操作(SingleHSM Operational)狀態時，其中，HSM-VM 104的VF HSM驅動器118尚有待於將HSM分區108初始化，HSM 102定義信息傳遞協定，VF HSM驅動器118遵照該協定將HSM分區108移到安全操作狀態，並且VF HSM驅動器118和HSM分區108之間的所有通信交握通過VF配置的暫存器而發生。第六圖繪出了在VF HSM驅動器118和HSM分區108之間的四向交握的示例圖。作為此握手機制的一部分，靜態秘密的一部分被交換，其和上面所討論的與PF HSM驅動器126交換的秘密一起聯合，形成不能被任何其它HSM分區108讀取的靜態秘密。一旦此交換完成時，HSM-VM 104移到單個HSM安全操作狀態，其中，HSM-VM 104與其相應的HSM分區108一起工作，以執行從web服務主機卸載到HSM-VM 104的金鑰管理和加密操作。

本文所描述的方法和系統可以至少部分地以用於實施那些過程的電腦所實現的方法和設備的形式來體現。所公開的方法也可以至少部分地以用電腦程式代碼編碼的有形、非臨時性電腦可讀存儲介質的形式來體現。該介質可以例如包括RAM、ROM、CD-ROM、DVD-ROM、BD-ROM、硬碟驅動器、閃速記憶體或任何其它非臨時性電腦可讀存儲介質，其中，當電腦程式代碼被載入電腦中並且由其執行時，電腦成為用於實施該方法的裝置。該方法還可以至少部分地以電腦的形式來體現，在其中載入和/或執行電腦程式代碼，如此使得電腦成為用於實施該方法的專用電腦。當在通用處理器上實現時，電腦程式程式碼片段對處理器進行配置以創建特定邏輯電路。該方法也可以至少部分地體現在用於執行所述方法的專用積體電路形式的數位訊號處理器中。

為了說明和描述的目的，已經提供了所要求保護標的的各個實施例的前述描述。它並非意在耗盡或將所要求的標的限制為所公開的精確形式。許多修改和變化對於本領域技術人員而言將是顯而易見。實施例被選擇並描述以便最好地描述本發明及其實際應用，由此使得相關技術領域其它技術人員能夠理解所要求保護的標的，各種實施例的原理、各個實施例、以及適合於預期的特定用途的各種修改。