Autorización de partición
Permite cambiar el estado de las particiones configuradas para la autenticación M de N.
El estado de las particiones puede modificarse para asociarlas a un conjunto de tarjetas y también para autorizar una partición ya asociada.
Las claves criptográficas pueden crearse mientras la partición se encuentra en un estado no autorizado y pueden utilizarse eficazmente cuando se concede la autorización.
Tras introducir el identificador de la partición (es el mismo que el identificador de usuario), aparecerá una pantalla que le informará del estado actual de la partición, los permisos configurados actualmente y las opciones que le permiten cambiar el estado.
Las acciones posibles con las claves de partición se definen según los permisos habilitados y el estado. Por ejemplo, el permiso Exportación de claves puede estar habilitado, pero una clave de partición (exportable) sólo puede exportarse cuando está en estado Autorizado. La siguiente tabla muestra las posibles acciones en función del estado y los permisos.
Para cambiar de estado, es necesario presentar el conjunto de tarjetas del conjunto M de N e introducir la credencial de contraseña de la partición.
Información
Si el HSM forma parte de un dominio de replicación, el cambio de estado en la partición se replicará a los demás nodos.
A partir de la versión de firmware 5.3.0.0, es posible cambiar de estado en línea, mediante una de las consolas HSM o a través de la API. La estación de trabajo del usuario debe tener instalado el software cliente HSM y un lector de tarjetas inteligentes certificado conectado (véase Gestión remota), así como la presencia de los custodios de las tarjetas de partición. En el funcionamiento remoto existe un estado único para la sesión concreta en la que el usuario está conectado al HSM: Sesión autorizada. Un cambio en este estado no se refleja en las demás sesiones ni en el estado local de la partición en el HSM. El estado Autorizado puede establecerse en línea si la política correspondiente está activada.
El servicio debe estar en funcionamiento durante el cambio de estado.
Los permisos posibles para la partición son:
- Lectura de la clave: implícita, no se puede modificar;
- Exportación de claves: permite exportar claves, siempre que tengan el atributo exportable;
- Destruir llave: permite destruir llaves;
- Bloqueo de teclas: permite bloquear las teclas, impidiendo que se utilicen aunque estén a1. rizadas;
- Eliminar partición: permite la eliminación completa de la partición y la destrucción de todas las claves contenidas en ella, e incluye el permiso Destruir clave;
Las acciones permitidas y autorizadas para las claves se realizan a través de API o consola remota.
La figura siguiente ilustra las transiciones de estado.
---
title: Transições de estado na autorização de partições via API
---
%%{ init: { 'flowchart': { 'curve': 'basis' } } }%%
stateDiagram-v2
state "Initial" as initial
state "Associated" as associated
note left of associated
Set Permissions
end note
state "Authorized" as authorized
note left of authorized
Set Permissions
end note
note right of authorized
Set online if Policy
end note
state "Session Authorized" as e_auth
note left of e_auth
Online only
end note
classDef KeyUsage fill:darkgreen
classDef KeyBlocked fill:darkred
classDef movement font-style:italic
classDef badBadEvent fill:#f00,color:white,font-weight:bold,stroke-width:2px,stroke:yellow
%% the trailing spaces are needed, do dot delete them.
initial --> associated:
associated --> authorized:
%associated --> associated: Set permissions
associated --> initial: reset
associated --> e_auth:
authorized --> initial: reset
%authorized --> authorized: Set permissions
authorized --> associated:
authorized --> e_auth:
e_auth --> associated:
e_auth --> authorized:
e_auth --> initial: reset
class e_auth KeyUsage
class authorized KeyUsage
class initial KeyBlocked
class associated KeyBlockedLa siguiente tabla muestra las acciones posibles y las condiciones necesarias (estado y permisos) para que se lleven a cabo con éxito.
Advertencia
El estado de la partición se mantiene entre reinicios del HSM.
| Acción | Estado de la partición | Permiso necesario habilitado |
|---|---|---|
| Generación de claves | Inicial o asociado | - |
| Cierre con llave | Asociados | Bloque de llaves |
| Destrucción de llaves | Asociados | Key Destroy |
| Eliminación completa de particiones | Asociados | Eliminar partición (destruir todas las claves) |
| Exportación de claves | Autorizado | Clave Exportación |
| Utilización de claves (criptografía) | Autorizado | - |
Dinamo - Local Management Console
┌───────────────────┤ nsauth ├────────────────────┐
│ │
│ │
│ State: Initial │
│ │
│ [ ] - Key Read │
│ [ ] - Key Export │
│ [ ] - Key Destroy │
│ [ ] - Key Block │
│ [ ] - Partition Remove (destroy all keys) │
│ │
│ │
│ ┌─────────────┐ ┌─────────────┐ ┌───────┐ │
│ │ Associate │ │ Authorize │ │ Close │ │
│ └─────────────┘ └─────────────┘ └───────┘ │
│ │
└─────────────────────────────────────────────────┘
Service running... Replication Domain: <none>