网络犯罪分子无处不在，他们瞄准并攻击他们遇到的每一个易受影响的设备、软件或系统。这要求个人和公司采取更高级别的安全措施（例如使用加密密钥）来保护其 IT 资产。

然而，管理加密密钥（包括生成、存储和审核它们）通常是保护系统安全的主要障碍。好消息是，您可以使用硬件安全模块 (HSM/加密机) 安全地管理加密密钥。

什么是硬件安全模块 (HSM)？

HSM 是一种保护和管理加密密钥的物理计算设备。它通常具有至少一个安全加密处理器，并且通常可用作插入卡（SAM/SIM 卡）或直接连接到计算机或网络服务器的外部设备。

HSM 专门用于使用防篡改、防篡改硬件模块来保护加密密钥的生命周期，并通过多种技术（包括加密和解密）保护数据。它们还充当加密密钥的安全存储库，用于数据加密、数字版权管理 (DRM) 和文档签名等任务。

硬件安全模块如何工作？

HSM 通过生成、保护、部署、管理、归档和处置加密密钥来确保数据安全。

在配置期间，将生成、备份并加密唯一密钥以进行存储。然后，授权人员将密钥部署到 HSM 中，从而实现受控访问。

HSM 根据行业标准和组织政策提供加密密钥监视、控制和轮换的管理功能。例如，最新的 HSM 通过执行 NIST 关于使用至少 2048 位 RSA 密钥的建议来确保合规性。

一旦不再主动使用加密密钥，就会触发存档过程，如果不再需要密钥，它们将被安全且永久地销毁。

硬件安全模块有什么用？

HSM 的主要目的是保护加密密钥并提供保护身份、应用程序和交易的基本服务。HSM 支持多种连接选项，包括连接到网络服务器或作为独立设备离线使用。

HSM 可以打包为智能卡、PCI 卡、离散设备或称为 HSM 即服务 (HSMaaS) 的云服务。在银行业，HSM 用于 ATM、EFT 和 PoS 系统等。

HSM 保护许多日常服务，包括信用卡数据和 PIN、医疗设备、国民身份证和护照、智能电表和加密货币。

硬件安全模块的类型

HSM 分为两大类，每一类都提供针对特定行业量身定制的独特保护功能。以下是可用的不同类型的 HSM。

1. 通用 HSM

通用 HSM 具有多种加密算法，包括对称、非对称和哈希函数。这些最受欢迎的 HSM 以其在保护敏感数据类型（例如加密钱包和公钥基础设施）方面的卓越性能而闻名。

HSM 管理大量加密操作，通常用于 PKI、SSL/TLS 和通用敏感数据保护。因此，通常采用通用 HSM 来帮助满足 HIPAA 安全要求和 FIPS 合规性等一般行业标准。

通用 HSM 还支持使用 Java 加密体系结构 (JCA)、Java 加密扩展 (JCE)、下一代加密 API (CNG)、公钥加密标准 (PKCS) #11 和 Microsoft 加密应用程序编程接口 (CAPI) 的 API 连接），使用户能够选择最适合其加密操作的框架。

2. 支付和交易 HSM

支付和交易 HSM 专为金融行业设计，用于保护信用卡号等敏感支付信息。这些 HSM 支持 APACS 等支付协议，同时支持 EMV 和 PCI HSM 等多个行业特定标准以确保合规性。

HSM 通过在传输和存储过程中保护敏感数据，为支付系统增加了一层额外的保护。这导致包括银行和支付处理商在内的金融机构将其作为确保安全处理支付和交易的整体解决方案。

硬件安全模块的主要特性

HSM 是确保遵守网络安全法规、增强数据安全和维持最佳服务水平的关键组件。以下是帮助他们实现这一目标的 HSM 的主要功能。

1. 防篡改

使 HSM 防篡改的主要目标是在 HSM 遭受物理攻击时保护您的加密密钥。

根据 FIPS 140-2，HSM 必须包含防篡改密封件，才有资格获得 Level 2（或更高）设备认证。任何篡改 HSM 的尝试（例如从 PCIe 总线上移除 ProtectServer PCIe 3 HSM）都将触发篡改事件，从而删除所有加密材料、配置设置和用户数据。

2. 安全设计

HSM 配备了独特的硬件，满足 PCI DSS 设定的要求并符合各种政府标准，包括通用标准和 FIPS 140-2。

大多数 HSM 均获得了各种 FIPS 140-2 级别的认证，其中大部分为 Level 3 认证。经过 Level 4（最高级别）认证的精选 HSM 对于寻求最高级别保护的组织来说是一个很好的解决方案。

3. 身份验证和访问控制

HSM 充当看门人，控制对其保护的设备和数据的访问。这通过他们主动监控 HSM 的篡改和有效响应的能力就可以明显看出。

如果检测到篡改，某些 HSM 将停止工作或擦除加密密钥以防止未经授权的访问。为了进一步增强安全性，HSM 采用强大的身份验证实践，例如多因素身份验证和严格的访问控制策略，限制对授权个人的访问。

4. 合规与审计

为了保持合规性，HSM 需要遵守各种标准和法规。主要包括欧盟通用数据保护条例 (GDPR)、域名系统安全扩展 (DNSSEC)、PCI 数据安全标准、CC通用标准和 FIPS 140-2。

遵守标准和法规可确保数据和隐私保护、DNS 基础设施安全、安全支付卡交易、国际公认的安全标准以及遵守政府加密标准。

HSM 还包括日志记录和审核功能，允许出于合规性目的监视和跟踪加密操作。

5. 集成和API

HSM 支持流行的 API，例如 CNG 和 PKCS #11，允许开发人员将 HSM 功能无缝集成到他们的应用程序中。它们还与其他几个 API 兼容，包括 JCA、JCE 和 Microsoft CAPI。

保护您的加密密钥

HSM 提供物理设备中最高级别的安全性。它们生成加密密钥、安全存储密钥并保护数据处理的能力使它们成为任何寻求增强数据安全性的人的理想解决方案。

HSM 具有安全设计、防篡改和详细访问日志等功能，这使其成为增强关键加密数据安全性的一项值得投资。

您可以在下方查看揽阁信息提供的HSM产品，或直接联系我们，与我们的安全专家交流您对HSM的需求和面临的问题。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 适合每位居民的欧盟数字身份钱包：利用HSM和开放标准SSCD