数据泄露是一个始终存在的威胁；攻击者不断寻找拦截数据并勒索公司金钱的方法。硬件安全模块(HSM) 是组织中用于保护敏感数据的宝贵工具。简而言之，HSM 存储用于加密数据的加密密钥。我们还将探讨支付型HSM 及其扩展的特定功能如何保护支付信息不被拦截或窃取。

什么是 HSM？

HSM（或硬件安全模块）是用于在防篡改的安全环境中保护密钥并执行加密操作的设备。虽然某些 HSM 远程存储密钥，但这些密钥是加密的且不可读。只有 HSM 可以在内部解密和使用这些密钥。通过使用这些加密密钥在 HSM 的安全硬件环境内加密数据，加密或解密的数据可以免受外部攻击。

虽然加密不需要 HSM，但不利用 HSM 的加密模式必须解决某些问题。让我们讨论和探索这些内容，以便更好地了解 HSM 的用途以及谁应该使用 HSM。

1. 静态数据必须加密。

2. 传输中的数据可能存在风险。

3. 解密数据以供使用会带来攻击点。

4. 密钥必须与其保护的数据分开存储。

5. 为了满足各种安全标准，必须强制执行角色/职责分离

静态数据必须加密

任何安全平台或应用程序最基本的用例可能是静态数据的加密。为了防止充满敏感信息的数据库被泄露给公众，数据库应该被加密。这意味着简单的访问不足以获取数据库内的信息。然而，与简单地加密文件相比，加密数据库的每个条目要好得多。这可以最大程度地减少攻击面并提高仅需要数据库中的单个条目的较小操作的性能。

传输中的数据可能存在风险

上面管理静态数据，但为了最终使用这些数据，必须在某个时刻对其进行解密。可以最大限度地减少暴露此数据的点的数量。

例如，两台计算机可以拥有一组共享密钥来加密文件，以便文件在这两台计算机之间传输时不易受到攻击。

但是，当应用程序设计需要一个不一定像数据库位置那样隔离或可信的端点时，传输中的数据比静态数据更容易受到攻击。这种增加的漏洞是限制数据传输的另一个原因。通过使用 HSM 存储加密数据库内容的密钥，未加密的数据永远不会受到内部攻击。闯入数据中心的员工或攻击者将永远无法看到所需数据库的内容，其中可能包括信用卡号等敏感信息。

解密数据以供使用会成为攻击点

当数据被解密使用时，即使仅存储在内存中，它本身也很容易受到攻击。通过提供用户和攻击者无法打开的防篡改机器，如果应用程序需要，即使用户也永远不会知道密钥或文件的内容。这一额外的硬件安全层将 HSM 与常规计算机的执行操作区分开来。

密钥必须与其保护的数据分开存储

为了正确保护数据库，将密钥与其所保护的数据分开非常重要。如果数据库已加密，但密钥存储在同一目录中，则数据库可能根本不加密。加密提供的唯一安全性是要求将来自不同位置的两个组件组装在同一位置才能访问信息。

但是，当密钥变得太难以访问或使用时，就会给自动化大规模应用程序带来问题。HSM 提供了一个环境，其中密钥可以与数据库主机分开存储，但仍可轻松访问。授权应用程序可以通过将加密数据传递到 HSM 来使用密钥，并且如果需要，可以对 HSM 内的数据进行操作。

强制角色和职责分离以满足安全标准

虽然不同的应用程序需要满足不同的标准，但共同的标准是角色和职责的分离。此类标准指的是用户必须仅具有完成其任务所需的最低访问级别的概念。例如，验证签名的客户端应用程序不应具有用于签署文件的密钥。这可以防止密钥通过代码注入等攻击被滥用。HSM 可以基于每个客户端限制客户端权限。

HSM 还可以强制要求法定人数来完成某些操作。这意味着如果没有法定人数中一定数量的其他用户的存在和批准，单个用户将无权执行该操作。HSM 能够在必要时在物理层面强制执行这种职责分离，这是使用 HSM 的主要优势之一。

支付型HSM（Payment HSM）

支付型HSM是专门为支付行业执行特定操作的 HSM。这些操作与特定于操作的密钥捆绑在一起，示例包括区域 PIN 密钥和区域主密钥。区域 PIN 密钥仅限于 pin 转换操作，这与通常可以执行各种基本级功能的常规 HSM 上的密钥有很大不同。基础级功能包括加密、解密、验证签名等。支付HSM中的密钥通常不能执行这些基本或低级操作，而是具有特定的多步骤高级操作。

在支付处理中，单个交易可能需要多个此类高级操作（例如 PIN 转换），因此手动对多个加密/解密操作进行编程不仅不切实际，而且可能会在操作之间带来攻击面或安全风险。如果不使用专门设计的支付型HSM，密钥滥用的风险就会增加。通过将所有密钥锁定到特定操作，并确保所有代码在 HSM 中以单个高级操作运行，可以最大限度地减少攻击面，并防止密钥滥用。

示例应用：PIN翻译

PIN码翻译是支付行业的常见操作。当在 ATM 或 POS 系统中输入 PIN 码时，确保其安全传输并在到达最终目的地的途中进行加密至关重要。但直接通往银行的直通路径根本不切实际，而且也不符合支付领域的运作方式。密码翻译服务器在密码从一个点转手到另一个点时持续保护密码，直到它到达银行以验证密码是否正确。PIN 转换密钥被锁定以利用此操作，所涉及的密钥将解密，然后在支付型HSM 范围内的单个操作中加密移动 PIN。

支付行业

支付处理是一个带来独特挑战的环境，这些挑战在许多情况下与标准 HSM 可以开箱即用解决的问题不同。然而，支付型HSM 不仅配备了应对这些挑战的解决方案，而且配备了操作工具箱，使支付处理安全、简单且高效。支付行业正在迅速扩张，并在商业世界中无处不在，然而，为了在支付行业取得成功，拥有良好的客户信任网络至关重要。

在这种情况下，客户是您的组织代表完成这些交易的金融机构。没有他们的信任，您的公司将根本无法在该行业运营。因此，安全至关重要。一个失误就可能对金融机构所服务的客户产生永久性或持久的影响。这些机构不太可能冒险与之前犯过重大错误的组织合作。 

数据泄露

数据泄露是任何行业中始终存在的威胁。消费者信任企业会保护他们的数据，并且通常不会考虑他们的数据不受保护的后果或可能性。当大规模、引人注目的攻击发生时，公司的声誉损失可能会持续数年甚至数十年。加密是消费者数据的主要保护者。即使攻击者能够访问数据库，加密也将保护数据库内容不被泄露或被恶意使用。因为总是存在人为错误或内部不良行为者的空间，所以没有一家公司能够完全免受数据泄露的影响，但是如果采取适当的步骤，数据泄露可能会变得非常罕见，并且很难从中获得任何价值。 

各种类型的数据泄露

虽然多种形式的攻击可能会困扰您的组织，但常见的数据泄露通常属于几个类别之一。中间人攻击侧重于拦截数据或冒充端点。攻击者可以收集用户信息，使您的客户面临风险。代码注入攻击可能更严重，并在更短的时间内造成更大的损害。通过执行恶意代码，攻击者可能会破坏数据或窃取数据库，并将信息发送到外部。用户数据面临的最大威胁通常涉及组织内的成员，数据的意外泄露通常会给组织的声誉带来巨大风险。使用 HSM 加密可以使数据变得无用，从而有助于防止所有这些攻击。

支付行业的数据泄露

如果支付行业的组织发生数据泄露，攻击者可以拦截通信并获取从客户密码到信用卡号和其他重要帐户信息的信息。通过访问这些私钥，攻击者可以轻松获取此信息，而您的组织却不会意识到该信息已被泄露。正是由于这些原因，HSM 对于支付行业来说是必要的。

只有 HSM 才能在专用硬件环境中正确保护密钥，并实施必要的策略以确保这些密钥免受攻击或滥用。事实上，为了符合PCI-DSS，强烈建议使用支付型HSM。同时，某些FIPS合规级别要求使用 HSM 来存储密钥。投资 HSM 不仅可以帮助您保持符合这些标准，还可以最大限度地减少攻击面并充分保护您的公司免受数据泄露。

结论

总之，HSM 通过充当私钥不会离开的安全盒来保护消费者数据。支付型HSM通过强制执行这些密钥的角色并将操作限制为在 HSM 范围内运行的高级行业特定功能，将这一概念更进一步。通过以这种方式操作，可以安全可靠地处理交易，而不会影响速度。攻击面很小，满足不断变化的标准比为每个操作开发原始代码要经济得多。实施支付型HSM 将大大降低数据泄露的风险，并且几乎可以确保任何泄露的数据都处于攻击者无法利用的状态。

揽阁信息出售的Thales payShield 10K在全球市场达到80%，是众多客户优先选择的支付型HSM，欢迎联系我们获取该产品的更多资料。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 适合每位居民的欧盟数字身份钱包：利用HSM和开放标准SSCD