将密钥移植到其它系统

Infineon Security Platform

Infineon Security Platform 解决方案

将密钥移植到其它系统

系统用户设置为 Infineon Security Platform 用户后，可能需要提供不仅进行安装的计算机上的特定于用户的安全环境，还要提供用户可访问的其它计算机上的特定于用户的安全环境。不同计算机上的多个安装将不起作用，因为安全元素将不兼容 - 例如，由于不同签署密钥的关系，一台计算机上签署的电子邮件在其它计算机上将不被接受。

移植基本概念

Infineon Security Platform 通过为特定于用户秘密提供移植路径，来实现此情况的维护和管理。此技术的基本概念是严格分离移植的管理角色和操作角色。保证移植秘密的个人性需要此分离，同时确保在不知道管理例程的情况下无法转移秘密。

成功移植用户后，目标计算机将生成与源计算机上完全相同的安全环境。从 Infineon Security Platform 用户的角度看，两个系统的操作行为没有区别。

不过，两台计算机仍然是独立的 Infineon Security Platform。用户密钥的移植对 Infineon Security Platform 的主安全结构没有任何影响。最重要的是此操作不触及存储在 Trusted Platform Module 中的秘密。

在服务器模式下，特定于用户的凭证和设置的移植由 Trusted Computing Management Server 处理。在登录时，只要凭证和设置发生更改，用户就将获得必要更新。这也称为漫游。来自服务器数据库的更新将覆盖本地特定于用户的凭证和设置。
在独立模式下，移植源和目标计算机上的特定于用户的凭证和设置将合并。

移植操作通过使用 Infineon Security Platform 移植向导执行。

	移植到没有现有用户密钥和证书的计算机：移植过程将在移植到的计算机上安装新的用户密钥和证书。您需要配置 Security Platform 功能以使用这些新的密钥和证书。
	移植到具有现有用户密钥和证书的计算机（不同基本用户密钥）：移植过程将使移植到的计算机上安装的现有 Security Platform 密钥和证书无效。加密的数据可能因此操作而丢失。进行移植前请先解密加密的数据，或联系您的系统管理员了解数据恢复过程。
	移植到具有现有用户密钥和证书的计算机（相同基本用户密钥）：如果目标计算机已使用和源计算机相同的基本用户密钥，则移植过程将合并用户密钥和证书。移植后，移植档案中的密钥和证书将激活。旧的密钥和证书将保留。这样您将不会丢失任何加密数据。例如，如果您在移植源计算机和目标计算机上使用 EFS 或 PSD 加密数据，但在两台计算机上使用不同的证书，则移植将在目标计算机上启用源计算机上的证书。目标计算机上以前使用的证书将保留，并可随时重新启用。
	移植和 Personal Secure Drive：如果用户在可移动媒体上（例如 USB 闪存驱动器）配置了源计算机上的 Personal Secure Drive，则此媒体也可以在目标计算机上使用。如果用户在固定硬盘驱动器上配置了源计算机上的 Personal Secure Drive，则必须备份所有要移植的 Personal Secure Drive 映像文件，在源和目标计算机都可访问的位置存储源计算机的备份映像文件。要在目标计算机上使用源 Personal Secure Drive 的副本，必须还原源计算机的相关备份映像文件。注意，移植后，您在源和目标计算机上将有两个独立 Personal Secure Drive。用户可能需要重新配置目标计算机上的 Personal Secure Drive（参见管理您的 Personal Secure Drive）。要重新配置 Personal Secure Drive，请选择我要更改我的 Personal Secure Drive 设置并遵循屏幕上的指示。注意，如果源和目标计算机上的基本用户密钥不同，目标计算机上的现有 PSD 设置和凭证将覆盖。在此情况下，建议您在移植前保存 PSD 数据的未加密副本。您可以通过删除 PSD 和保存未加密副本选项来完成（参见管理您的 Personal Secure Drive）。

previous page start next page

	移植到没有现有用户密钥和证书的计算机：移植过程将在移植到的计算机上安装新的用户密钥和证书。您需要配置 Security Platform 功能以使用这些新的密钥和证书。
	移植到具有现有用户密钥和证书的计算机（不同基本用户密钥）：移植过程将使移植到的计算机上安装的现有 Security Platform 密钥和证书无效。加密的数据可能因此操作而丢失。进行移植前请先解密加密的数据，或联系您的系统管理员了解数据恢复过程。
	移植到具有现有用户密钥和证书的计算机（相同基本用户密钥）：如果目标计算机已使用和源计算机相同的基本用户密钥，则移植过程将合并用户密钥和证书。移植后，移植档案中的密钥和证书将激活。旧的密钥和证书将保留。这样您将不会丢失任何加密数据。例如，如果您在移植源计算机和目标计算机上使用 EFS 或 PSD 加密数据，但在两台计算机上使用不同的证书，则移植将在目标计算机上启用源计算机上的证书。目标计算机上以前使用的证书将保留，并可随时重新启用。
	移植和 Personal Secure Drive：如果用户在可移动媒体上（例如 USB 闪存驱动器）配置了源计算机上的 Personal Secure Drive，则此媒体也可以在目标计算机上使用。如果用户在固定硬盘驱动器上配置了源计算机上的 Personal Secure Drive，则必须备份所有要移植的 Personal Secure Drive 映像文件，在源和目标计算机都可访问的位置存储源计算机的备份映像文件。要在目标计算机上使用源 Personal Secure Drive 的副本，必须还原源计算机的相关备份映像文件。注意，移植后，您在源和目标计算机上将有两个独立 Personal Secure Drive。用户可能需要重新配置目标计算机上的 Personal Secure Drive（参见管理您的 Personal Secure Drive）。要重新配置 Personal Secure Drive，请选择我要更改我的 Personal Secure Drive 设置并遵循屏幕上的指示。注意，如果源和目标计算机上的基本用户密钥不同，目标计算机上的现有 PSD 设置和凭证将覆盖。在此情况下，建议您在移植前保存 PSD 数据的未加密副本。您可以通过删除 PSD 和保存未加密副本选项来完成（参见管理您的 Personal Secure Drive）。