什马知识

  1. 首页 > 生活百科 > >

HSM 什么是硬件安全模块 ?为什么它如此重要?

知识分享生活百科

什么是硬件安全模块 (HSM)?
HSM 是一种保护和管理加密密钥的物理计算设备 。它通常具有至少一个安全加密处理器,并且通常可用作插件卡(SAM/SIM 卡)或直接连接到计算机或网络服务器的外部设备 。
HSM 专门用于使用防篡改硬件模块来保护加密密钥的使用寿命,这些硬件模块是透明的,并通过各种技术(包括加密和解密)保护数据 。它们还可以作为加密密钥的安全存储,用于数据加密、数字版权管理 (DRM) 和文档签名等 。

HSM 什么是硬件安全模块 ?为什么它如此重要?

文章插图
硬件安全模块如何工作?HSM 通过生成、保护、部署、管理、存储和处理加密密钥来确保数据安全 。
在配置期间,将生成、备份并加密唯一密钥以进行存储 。然后,授权人员将密钥部署到 HSM 中,从而实现受控访问 。
HSM 提供根据行业标准和组织策略监视、控制和轮换加密密钥的管理功能 。例如,最新的 HSM 通过实施 NIST 建议使用至少 2048 位的 RSA 密钥来确保合规性 。
一旦加密密钥不再有效使用,归档过程就会被激活,如果不再需要密钥,它们将被安全且永久地销毁 。
硬件安全模块有什么用?HSM 的主要目的是保护加密密钥并提供基本服务来保护身份、应用程序和交易 。HSM 支持多种连接选项,包括连接到网络服务器或作为独立设备离线使用 。
HSM 可以打包为智能卡、PCI 卡、单独的设备或称为 HSM 即服务 (HSMaaS) 的云服务 。在银行业,HSM 用于 ATM、EFT 和 PoS 系统等 。
HSM 保护许多日常服务,包括信用卡数据和 PIN、医疗设备、身份证和护照、智能手表和加密货币 。
硬件安全模块的类型HSM 分为两大类,每一类都提供针对特定行业量身定制的独特保护 。以下是可用的不同类型的 HSM 。
1. 通用HSM通用 HSM 具有多种加密算法,包括对称、非对称和哈希函数 。这些最受欢迎的 HSM 以其在保护敏感数据类型(例如加密钱包和公钥基础设施)方面的卓越性能而闻名 。
HSM 管理许多加密操作,通常用于 PKI、SSL/TLS 和一般敏感数据保护 。因此,通用 HSM 通常用于帮助满足常见行业标准,例如 HIPAA 安全要求和 FIPS 合规性 。
一体式 HSM 还支持使用 Java 加密体系结构 (JCA)、Java 加密扩展 (JCE)、下一代加密 API (CNG)、公钥加密标准 (PKCS) #11 和 Microsoft 加密应用程序编程接口的 API 连接(CAPI),允许用户选择最适合其加密操作的框架 。
2. HSM支付和交易支付和交易 HSM 专为金融行业设计,用于保护信用卡号等敏感支付信息 。这些 HSM 支持 APACS 等支付协议,同时保持 EMV 和 PCI HSM 等许多行业特定标准的合规性 。
HSM 通过在传输和存储过程中保护敏感数据,为支付系统增加了一层额外的保护 。这使得包括银行和支付处理商在内的金融机构接受它作为确保安全处理支付和交易的不可或缺的解决方案 。
硬件安全模块主要特性HSM 是确保遵守网络安全法规、增强数据安全和维持最佳服务水平的关键组件 。以下是有助于实现这一目标的 HSM 的关键功能 。
1、防伪使 HSM 防篡改的主要目标是在 HSM 遭受物理攻击时保护您的加密密钥 。
根据 FIPS 140-2,HSM 必须包含防篡改密封件,才有资格获得 2 级(或更高)设备认证 。任何 HSM 篡改尝试(例如从 PCIe 总线上删除 ProtectServer PCIe 2)都将触发欺骗事件,删除所有加密文档、配置设置和用户数据 。
2、安全设计【HSM 什么是硬件安全模块 ?为什么它如此重要?】HSM 配备了独特的硬件,满足 PCI DSS 规定的要求并符合各种政府标准,包括通用标准和 FIPS 140-2 。
大多数 HSM 均经过各种 FIPS 140-2 级别(主要是 3 级)认证 。选择性 HSM 均经过最高级别 4 级认证,这对于寻求最高级别保护的组织来说是一个出色的解决方案 。
3. 认证和访问控制HSM 充当看门人,控制对设备及其保护的数据的访问 。这从他们主动监控 HSM 是否被篡改并有效响应的能力中可见一斑 。
如果检测到篡改,某些 HSM 将停用或删除加密密钥以防止未经授权的访问 。为了进一步增强安全性,HSM 使用强大的身份验证方法,例如多因素身份验证和严格的访问控制策略,限制对授权个人的访问 。
4. 合规与审计HSM 需要遵守各种标准和法规,包括欧盟的通用数据保护条例 (GDPR)、域名系统安全扩展 (DNSSEC)、PCI 数据安全标准、通用标准和 FIPS 140-2 。
遵守标准和法规可确保数据和隐私保护、DNS 基础设施安全、支付卡交易安全、国际公认的安全标准以及政府加密标准的合规性 。
HSM 还包括日志记录和审核功能,允许出于合规性目的监视和跟踪加密活动 。
5. 集成和 APIHSM 支持流行的 API,例如 CNG 和 PKCS #11,允许开发人员将 HSM 功能无缝集成到他们的应用程序中 。它们还与其他几个 API 兼容,包括 JCA、JCE 和 Microsoft CAPI 。


    上一篇:什么是安全自动化系统?它们真的有必要吗?

    下一篇:真心真意爱着你原唱