021-54410609
在众多安全行业的会议里,您能听到许多对话都是从“您是否拥有硬件安全模块(HSM)?”开始的,或“我已经有HSM ...为什么我需要密钥管理器(KMS)?” KMS与HSM有非常明显的区别。主要区别在于KMS或HSM如何使用加密密钥。但是,还有其他更重要的区别因素,让我们从密钥管理者如何利用开放标准开始,例如密钥管理互操作性协议(KMIP)以及什么是HSM。
KMS密钥用法——KMIP的“可以”内容是什么
KMS使用管理或管理密码系统的密码密钥的过程。密码系统由三种算法组成:密钥生成、加密和解密。KMS扩展了密码系统密钥的整个生命周期,以包括密钥的保护、存储、交换、替换和使用。密钥管理者在密钥生命周期中(从创建到激活和使用,再到撤销和销毁)都将重点放在密钥的治理上。大多数企业KMS都使用KMIP。KMIP是用于存储和维护密钥、证书和秘密对象的客户端/服务器通信协议。KMIP由结构化信息标准促进组织(OASIS)监管。
HSM密钥用法——使用HSM锁定密钥
HSM是一种安全的加密处理器,可提供加密密钥和快速加密操作。HSM为用于各种应用程序的快速加密、解密和身份验证的密钥和证书提供存储和保护。HSM使用物理防篡改和强身份验证。这些模块没有操作系统,并且从外部连接到它们正在服务的设备,因此提供了更高级别的安全性。HSM可以是物理屏蔽的LAN设备、智能卡和/或PCI插件卡等。此外,它们使用两人完整性来防御内部和外部黑客的攻击。
具有现代加密架构环境的组织同时使用KMS和HSM。区分KMS和HSM的主要要点是什么?
多少个加密密钥?
可以说,最重要的区别是它们都支持的密钥数量。HSM具有成百上千个范围的最大密钥限制。KMS通常支持数百万个密钥,而最先进的系统则支持10亿和数亿个密钥。
完整的密钥生命周期支持?
HSM本质上会创建和保护那些密钥,并且对HSM外部的那些密钥的完整生命周期管理有限制。KMS实际上通过围绕HSM内部和外部的分发和存储建立保护来进行完整的密钥生命周期管理。
我的企业密钥环境的分组和策略?
对于HSM而言,它的意义不大,因为它通常将密钥放在一个“安全的世界”中,并且没有精细的策略引擎。这个单一的安全世界为所有硬件安全设备和密钥管理操作提供了一个安全的环境。安全世界是可扩展的;您可以将多个硬件安全设备添加到服务器,并在多个服务器之间共享“安全性世界”。相反,最高级的KMS可以将密钥分组以匹配您的组织结构,并将策略应用于这些分组。一些KMS甚至具有密钥的分层保护;不是将密钥存储在一个大型安全容器中,而是基于层次结构,另一个系统看不到来自一个系统的密钥。
如何在各种系统,应用程序和设备上放置密钥?
HSM密钥的默认状态是不可导出的,这使得外部密钥管理成为一个挑战。HSM还利用并非所有系统,应用程序或设备都固有地称为PKCS#11的协议。高级KMS不仅可以与HSM集成,还可以使用KMIP在整个环境中将密钥传递给客户端,系统和位置。如果系统,应用程序或设备本身不讲KMIP,则某些市售的KMS可以通过诸如REST API的转换机制来支持密钥管理。
HSM的好处是什么?
HSM提供许多好处,包括:
FIPS 140-2认证(某些支持Level 3甚至Level 4)
交易速度
专为安全而设计
用于安全功能的专用硬件和软件。
KMS有什么好处?
KMS提供许多好处,包括:
FIPS 140-2认证(通常为Level 1或Level 2)
启用需要密钥才能使用加密的现有产品
提供集中点以管理跨异构产品的密钥。
为什么同时使用HSM和KMS?
为组织创建加密策略时,最好的办法是同时利用KMS和HSM。HSM将加密操作移至安全区域,从而将所有加密操作与应用程序分开。KMS将密钥管理移至安全的区域,仅隔离密钥管理,从而允许应用程序执行其自己的加密功能。两者结合使用是在任何企业组织中部署的可行且智能的解决方案。
简而言之,KMS和HSM的区别在于一个问题的答案——谁放出了密钥(以便在组织的其余部分轻松分发和管理)?具有KMIP而不是HSM的KMS。
总之,即使利用HSM,有效的密钥管理也是加密的最大障碍。加密的想法是一个简单的概念,但是其大规模实施带来了许多实际挑战。
揽阁信息提供的HSM和KMS产品,是被广泛使用的组合方案,如需了解更多产品和方案信息,请联系我们。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话