在數字時代的今天，網絡犯罪分子隨處可見，他們瞄準并攻擊每一個易受攻擊的設備、軟件或系統。為了防止黑客攻擊，這需要公司和個人采取必備的安全措施，例如使用加密密鑰來保護其IT資產。

但是，管理加密密鑰（包括生成、存儲和審核它們）通常是保護系統的主要障礙。當然，您可以使用硬件安全模塊 （HSM） 安全地管理加密密鑰。

什么是硬件安全模塊 （HSM）？

硬件安全模塊 （HSM） 是保護和管理加密密鑰的物理計算設備。它通常至少有一個安全加密處理器，用以作為插件卡（SAM / SIM卡）或直接連接到計算機或網絡服務器的外部設備。

硬件安全模塊 （HSM） 專門用于使用防篡改的硬件模塊，以此來為加密密鑰的全生命周期提供保護，并通過多種技術（包括加密和解密）保護數據。它們還充當加密密鑰的安全存儲庫，用于數據加密、數字版權管理 （DRM） 和文檔簽名等任務。

硬件安全模塊如何工作？

在預配期間，硬件安全模塊 （HSM）將生成、備份和加密唯一密鑰，并進行存儲。然后，授權人員將密鑰部署到 硬件安全模塊 （HSM） 中，從而實現受控訪問。

硬件安全模塊 （HSM）根據行業標準和組織策略提供用于加密密鑰監視、控制和輪換的管理功能。例如，最新的 HSM 通過強制執行 NIST 關于使用至少 2048 位的 RSA 密鑰的建議來確保合規性。

一旦不再主動使用加密密鑰，就會觸發數據的存檔。另外，如果不再需要這些密鑰，它們將被安全且永久地銷毀。

硬件安全模塊的用途是什么？

硬件安全模塊 （HSM）的主要目的是保護加密密鑰，并提供用于保護標識、應用程序和事務的基本服務。硬件安全模塊 （HSM）支持多種連接選項，包括連接到網絡服務器或作為獨立設備脫機使用。

硬件安全模塊 （HSM） 可以作為智能卡、PCI 卡、離散設備或稱為 HSM 即服務 （HSMaaS） 的云服務。在銀行業，硬件安全模塊 （HSM） 用于 ATM、EFT 和 PoS 系統等。

硬件安全模塊的類型

Sun Microsystems 加密加速器 1000 PCI 卡

硬件安全模塊 （HSM） 分為兩大類，每類都提供針對特定行業量身定制的不同保護功能。以下是可用的不同類型的硬件安全模塊 （HSM）。

1、通用硬件安全模塊 （HSM）

通用硬件安全模塊 （HSM） 具有多種加密算法，包括對稱、非對稱和哈希函數。這些最受歡迎的硬件安全模塊 （HSM）以其在保護敏感數據類型（如加密錢包和公鑰基礎設施）方面的卓越性能而聞名。

硬件安全模塊 （HSM） 管理大量加密操作，通常用于 PKI、SSL/TLS 和通用敏感數據保護。因此，通常采用通用硬件安全模塊 （HSM）來幫助滿足一般行業標準，如 HIPAA 安全要求和 FIPS 合規性。

另外，通用 硬件安全模塊 （HSM）還支持使用 Java 加密體系結構 （JCA）、Java 加密擴展 （JCE）、下一代加密 API （CNG）、公鑰加密標準 （PKCS） #11 和Microsoft加密應用程序編程接口 （CAPI） 的 API 連接，使用戶能夠選擇最適合其加密操作的框架。

2、支付和交易 HSM

支付和交易硬件安全模塊 （HSM） 專為金融行業設計，用于保護敏感的支付信息，如信用卡號。這些 HSM 支持支付協議（如 APACS），同時堅持多個行業特定標準（如 EMV 和 PCI HSM）以實現合規性。

硬件安全模塊 （HSM）通過在傳輸和存儲過程中保護敏感數據，為支付系統增加了額外的保護層。這使得包括銀行和支付處理商在內的金融機構將其作為確保安全處理支付和交易的整體解決方案。

硬件安全模塊的主要特點

硬件安全模塊 （HSM） 是確保遵守網絡安全法規、增強數據安全性和保持最佳服務級別的關鍵組件。以下是硬件安全模塊 （HSM） 的主要功能。

1、防篡改

使 HSM 防篡改的主要目標是在 HSM 受到物理攻擊時保護您的加密密鑰。

根據 FIPS 140-2，HSM 必須包含防篡改密封，才有資格獲得 2 級（或更高級別）設備的認證。任何篡改 HSM 的嘗試（例如從其 PCIe 總線中刪除保護服務器 PCIe 2）都將觸發篡改事件，從而刪除所有加密材料、配置設置和用戶數據。

2、安全設計

HSM 配備了獨特的硬件，符合 PCI DSS 設定的要求，并符合各種政府標準，包括通用標準和 FIPS 140-2。

大多數 HSM 都通過了各種 FIPS 140-2 級別的認證，主要是 3 級認證。在級別 4（最高層）認證的精選 HSM 是尋求峰值級別保護的組織的絕佳解決方案。

3、身份驗證和訪問控制

HSM 充當看門人的角色，控制對它們所保護的設備和數據的訪問。通過主動監控 HSM 以防篡改和有效響應的能力。

如果檢測到篡改，某些 HSM 將停止工作或擦除加密密鑰以防止未經授權的訪問。為了進一步增強安全性，HSM 采用強大的身份驗證實踐，例如多重身份驗證和嚴格的訪問控制策略，將訪問權限限制為授權的個人。

4、合規和審計

為了保持合規性，HSM 需要遵守各種標準和法規。主要包括歐盟的通用數據保護條例 （GDPR）、域名系統安全擴展 （DNSSEC）、PCI 數據安全標準、通用標準和 FIPS 140-2。

遵守標準和法規可確保數據和隱私保護、DNS 基礎設施安全、安全支付卡交易、國際公認的安全標準以及遵守政府加密標準。

HSM 還包括日志記錄和審核功能，允許出于合規性目的監視和跟蹤加密操作。

5、集成和接口

HSM 支持流行的 API，如 CNG 和 PKCS #11，允許開發人員將 HSM 功能無縫集成到其應用程序中。它們還與其他幾個API兼容，包括JCA，JCE和Microsoft CAPI。

保護您的加密密鑰

硬件安全模塊 （HSM）在物理設備中提供了一些最高級別的安全性。它們能夠生成加密密鑰、安全存儲密鑰并保護數據處理，使其成為任何尋求增強數據安全性的人的理想解決方案。

硬件安全模塊 （HSM）包括安全設計、防篡改和詳細的訪問日志等功能，使其成為加強關鍵加密數據安全性的值得投資。

原文標題：What Is a Hardware Security Module and Why Is It Important?

原文作者：DENIS MANYINSA