探索硬件安全模块 （HSM）在数据资产保护中的重要性

但是，管理加密密钥（包括生成、存储和审核它们）通常是保护系统的主要障碍。当然，您可以使用硬件安全模块 （HSM） 安全地管理加密密钥。

什么是硬件安全模块 （HSM）？

硬件安全模块 （HSM） 是保护和管理加密密钥的物理计算设备。它通常至少有一个安全加密处理器，用以作为插件卡（SAM / SIM卡）或直接连接到计算机或网络服务器的外部设备。

硬件安全模块 （HSM） 专门用于使用防篡改的硬件模块，以此来为加密密钥的全生命周期提供保护，并通过多种技术（包括加密和解密）保护数据。它们还充当加密密钥的安全存储库，用于数据加密、数字版权管理 （DRM） 和文档签名等任务。

硬件安全模块如何工作？

在预配期间，硬件安全模块 （HSM）将生成、备份和加密唯一密钥，并进行存储。然后，授权人员将密钥部署到 硬件安全模块 （HSM） 中，从而实现受控访问。

硬件安全模块 （HSM）根据行业标准和组织策略提供用于加密密钥监视、控制和轮换的管理功能。例如，最新的 HSM 通过强制执行 NIST 关于使用至少 2048 位的 RSA 密钥的建议来确保合规性。

一旦不再主动使用加密密钥，就会触发数据的存档。另外，如果不再需要这些密钥，它们将被安全且永久地销毁。

硬件安全模块的用途是什么？

硬件安全模块 （HSM）的主要目的是保护加密密钥，并提供用于保护标识、应用程序和事务的基本服务。硬件安全模块 （HSM）支持多种连接选项，包括连接到网络服务器或作为独立设备脱机使用。

硬件安全模块 （HSM） 可以作为智能卡、PCI 卡、离散设备或称为 HSM 即服务 （HSMaaS） 的云服务。在银行业，硬件安全模块 （HSM） 用于 ATM、EFT 和 PoS 系统等。

硬件安全模块的类型

Sun Microsystems 加密加速器 1000 PCI 卡

硬件安全模块 （HSM） 分为两大类，每类都提供针对特定行业量身定制的不同保护功能。以下是可用的不同类型的硬件安全模块 （HSM）。

1、通用硬件安全模块 （HSM）

通用硬件安全模块 （HSM） 具有多种加密算法，包括对称、非对称和哈希函数。这些最受欢迎的硬件安全模块 （HSM）以其在保护敏感数据类型（如加密钱包和公钥基础设施）方面的卓越性能而闻名。

硬件安全模块 （HSM） 管理大量加密操作，通常用于 PKI、SSL/TLS 和通用敏感数据保护。因此，通常采用通用硬件安全模块 （HSM）来帮助满足一般行业标准，如 HIPAA 安全要求和 FIPS 合规性。

另外，通用 硬件安全模块 （HSM）还支持使用 Java 加密体系结构 （JCA）、Java 加密扩展 （JCE）、下一代加密 API （CNG）、公钥加密标准 （PKCS） #11 和Microsoft加密应用程序编程接口 （CAPI） 的 API 连接，使用户能够选择最适合其加密操作的框架。

2、支付和交易 HSM

支付和交易硬件安全模块 （HSM） 专为金融行业设计，用于保护敏感的支付信息，如信用卡号。这些 HSM 支持支付协议（如 APACS），同时坚持多个行业特定标准（如 EMV 和 PCI HSM）以实现合规性。

硬件安全模块 （HSM）通过在传输和存储过程中保护敏感数据，为支付系统增加了额外的保护层。这使得包括银行和支付处理商在内的金融机构将其作为确保安全处理支付和交易的整体解决方案。

硬件安全模块的主要特点

硬件安全模块 （HSM） 是确保遵守网络安全法规、增强数据安全性和保持最佳服务级别的关键组件。以下是硬件安全模块 （HSM） 的主要功能。

1、防篡改

使 HSM 防篡改的主要目标是在 HSM 受到物理攻击时保护您的加密密钥。

根据 FIPS 140-2，HSM 必须包含防篡改密封，才有资格获得 2 级（或更高级别）设备的认证。任何篡改 HSM 的尝试（例如从其 PCIe 总线中删除保护服务器 PCIe 2）都将触发篡改事件，从而删除所有加密材料、配置设置和用户数据。

2、安全设计

HSM 配备了独特的硬件，符合 PCI DSS 设定的要求，并符合各种政府标准，包括通用标准和 FIPS 140-2。

大多数 HSM 都通过了各种 FIPS 140-2 级别的认证，主要是 3 级认证。在级别 4（最高层）认证的精选 HSM 是寻求峰值级别保护的组织的绝佳解决方案。

3、身份验证和访问控制

HSM 充当看门人的角色，控制对它们所保护的设备和数据的访问。通过主动监控 HSM 以防篡改和有效响应的能力。

如果检测到篡改，某些 HSM 将停止工作或擦除加密密钥以防止未经授权的访问。为了进一步增强安全性，HSM 采用强大的身份验证实践，例如多重身份验证和严格的访问控制策略，将访问权限限制为授权的个人。

4、合规和审计

为了保持合规性，HSM 需要遵守各种标准和法规。主要包括欧盟的通用数据保护条例 （GDPR）、域名系统安全扩展 （DNSSEC）、PCI 数据安全标准、通用标准和 FIPS 140-2。

遵守标准和法规可确保数据和隐私保护、DNS 基础设施安全、安全支付卡交易、国际公认的安全标准以及遵守政府加密标准。

HSM 还包括日志记录和审核功能，允许出于合规性目的监视和跟踪加密操作。

5、集成和接口

HSM 支持流行的 API，如 CNG 和 PKCS #11，允许开发人员将 HSM 功能无缝集成到其应用程序中。它们还与其他几个API兼容，包括JCA，JCE和Microsoft CAPI。

保护您的加密密钥

硬件安全模块 （HSM）在物理设备中提供了一些最高级别的安全性。它们能够生成加密密钥、安全存储密钥并保护数据处理，使其成为任何寻求增强数据安全性的人的理想解决方案。

硬件安全模块 （HSM）包括安全设计、防篡改和详细的访问日志等功能，使其成为加强关键加密数据安全性的值得投资。

原文What Is a Hardware Security Module and Why Is It Important?

原文作者：DENIS MANYINSA