曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        HSM的密鑰管理和使用案例
        發布時間:2019-10-15 21:45:33   閱讀次數:

        HSM的密鑰管理和使用案例

        電子商務的興起使公司組織和銀行可以更輕松地在全球范圍內擴展業務和服務。


        在線服務,例如電子銀行,增加了對身份和應用程序之間的加密,解密和強身份驗證的需求。為此,企業部署HSM來保護客戶和業務交易。


        硬件安全模塊(Hardware Security Moudel)

        硬件安全模塊(HSM)是一個專用的硬件機器具有嵌入式處理器執行加密操作,并保護加密密鑰。密碼學領域的鑰匙類似于鎖門的物理鑰匙。加密密鑰的管理是使用加密技術是必不可少的。加密密鑰在其生命中經歷了很多階段,例如生成、安全存儲、安全分發、備份和銷毀。HSM明確用于在其生命周期的每個階段保護這些密鑰。HSM管理來自對手和未經授權的實踐的加密密鑰的邏輯和物理安全性。


        合規的HSM

        支付行業內的一個領導機構名為PCI SSC(支付卡行業安全標準委員會),成立于2006年,其設計標準包括確保HSM安全的完整要求。標準“支付卡行業PTS HSM模塊化安全要求”的最新版本3.0于2016年6月發布。這些HSM安全要求摘自已經存在的ISO,ANSI和NIST標準;以及金融支付行業認可的/公認的良好實踐。


        HSM的最佳做法和用途

        使用HSM可以提高加密吞吐量,并為您的解決方案提供更安全有效的體系結構。HSM成為安全解決方案的重要組成部分,它不僅可以最大程度地降低業務風險,而且可以在加密操作中實現最先進的性能。


        安全控制只有在獲得正確和正確理解的情況下才有效。同樣,如果對產品的解決方案體系結構設計,應用程序級別實現,安全分析,用戶培訓和安全策略進行了適當的研究和考慮,則HSM為密鑰管理提供“萬無一失”的安全性。


        以下是HSM的一些最佳實踐和用例,目前全球各地的安全專業人員都在關注這些HSM:

        1. CA密鑰的存儲:的安全CA密鑰是在PKI(公鑰基礎設施)最為關鍵。如果CA密鑰被泄露,則整個基礎架構的安全性將受到威脅。CA密鑰主要存儲在專用HSM上,以提供對未授權實體的篡改和公開保護。普通CA部署包括一個根CA和一個頒發或子CA。根CA始終保持脫機狀態,并且從不連接到任何網絡。頒發/子CA保持聯機狀態,并負責所有證書和密鑰管理。部署了高級物理控件和安全機制來保護根和子CA服務器。


        2. 應用程序主密鑰的存儲: 密碼學雖然在許多情況下是必不可少的,但由于HSM的強大性能也得到了很大幫助,但它可能是業務流程中的速率限制因素。這可能是由于延遲(您必須等待多長時間*一次*)或吞吐量(每秒可以為多少人提供服務)造成的。由于HSM針對這些算法進行了優化(并且所需數據永遠不會非常大),因此HSM在使使用非對稱(公鑰)加密對性能造成的影響降到最低方面發揮了驚人的作用,但是,將CPU用于任何情況下仍然更加有效。批量(對稱)加密(同時確認這樣做的安全漏洞)。某些應用采用這種混合架構,其中HSM直接保護主密鑰(非對稱,例如RSA),間接保護大容量加密密鑰(對稱,像AES)。一個典型的例子是數據庫加密(不能容忍每個事務的高延遲)。


        3. 所有應用程序密鑰的存儲:在過去的幾年中,HSM制造商一直在關注其批量加密性能,但現在并沒有如此明顯的區別,以至于HSM保護除了以下以外的所有密鑰都是可行的對延遲最敏感的應用程序。


        4. 基于板載安全密鑰生成的TRNG :HSM包含TRNG(真實隨機數生成器),它們基于熱,雪崩和大氣噪聲生成實時隨機數。這些隨機數用作安全生成加密密鑰的種子。密鑰和算法的安全性主要取決于這些隨機數。如果隨機數生成器是可預測的或弱的,則整個密鑰/算法在密碼上是弱的。


        5. 板載安全密鑰管理:HSM提供最高級別的安全性,因為加密密鑰的使用始終在硬件中執行。HSM是安全且防篡改的設備,可以保護存儲的密鑰。無法以可讀格式從HSM提取或導出整個密鑰。


        6. 卸載加密操作:加密操作有時會很耗時,并且會使應用程序變慢。HSM具有專用且功能強大的加密處理器,可以同時執行數千個加密操作。通過從應用程序服務器卸載加密操作,可以有效地使用HSM。


        7. 與HSM的通信:由于HSM存儲最敏感的材料類型(加密密鑰),因此與HSM進行通信的訪問控制機制和工作流程必須高度安全。為此目的,最著名,最常用且業界接受的標準是PKCS#11。PKCS#11標準“ PKCS#11密碼令牌接口基本規范”由RSA Labs在1994年設計,最新版本(2.40)在2015年4月發布,由RSA Labs和OASIS共同設計。PKCS#11是更集中的技術標準之一,它指定了標準公共密鑰密碼功能及其與平臺無關的編程接口的詳細要求。它為加密令牌(例如HSM和智能卡)定義了平臺無關的API。所有提供HSM的組織都實現對PKCS#11標準的支持。對于基于Microsoft Windows的部署環境,API是DLL文件;對于基于Linux的環境,API是SO文件。該API實現了最常用的對稱和非對稱令牌/密鑰(DES/3DES、AES、RSA、DSA等密鑰和X)。


        8. 完整的審計和日志跟蹤以及多用戶授權:HSM必須根據執行操作的日期和時間來維護日志/記錄加密操作的順序,例如密鑰管理、加密、解密、數字簽名和哈希。記錄或記錄事件的過程涉及時間源的真實性和保護。修改日期時間設置界面需要智能卡或至少兩個人的強力驗證才能批準或授權此任務。


        9. 密鑰歸零:HSM遵循嚴格的設計要求。HSM的最重要材料是密鑰。在成功進行物理或邏輯攻擊的情況下,HSM會將其所有密鑰清零或擦除,以免它們落入壞人之手。如果HSM(例如,通過物理滲透,異常電活動或異常溫度)檢測到物理篡改,則HSM(取決于其安全級別)應將自身“歸零”(擦除所有敏感數據)。這是為了防止已獲得對硬件的物理訪問權限的對手檢索其中受保護的密鑰。


        10. FIPS 140-2驗證:FIPS 140-2是用于批準諸如HSM和智能卡之類的加密模塊的設備安全標準。它定義了HSM的安全合規性的四個級別,并從“Level 1”到“Level 4”命名。FIPS驗證不是產品完善性和效率的基準。這僅表示技術專家在FIPS合格的測試站點對HSM進行了一些合理的標準安全檢查。


        11. 加密算法的支持:結合用于數據安全的應用程序和協議的安全服務的正確方法是使用加密方法。有許多公共/開源和專有算法。HSM在使用加密機制時提供了很多選擇。這可能包括開源和專有或本地算法。開源算法是公開的,并且經過了壓力測試和安全性分析,應始終被首選。采用過時的或鮮為人知的/本地算法可能會導致數據和信息的安全性遭到破壞。在這種情況下,正確配置HSM使其不使用專有算法很重要。


        HSM的密鑰管理

        人們經常說,密碼學中最困難的部分是密鑰管理。這是因為密碼學是一門成熟的科學,其中處理了大多數主要問題(盡管我們正處于一個非常有趣的時間點-量子計算時代的來臨-隨之而來的是一大堆新問題將變得相關),而密鑰管理的學科是相對不成熟的藝術,受個人設計和偏好的約束,而不是客觀事實。一個很好的例子就是HSM制造商采用了極為多樣化的方法來實施其密鑰管理,其中一些方法確保密鑰永遠不會脫離HSM的物理限制(安全但完全不切實際,因為HSM會在發生故障時將其隨身丟棄。 )和其他允許密鑰導出的文件(在這樣做之前安全加密密鑰?。?。此外,在許多情況下,HSM制造商不允許對某些非常不安全的做法進行檢查,從而導致可能導出密鑰材料,這通常是由于獨立密鑰管理系統(例如PKCS#11,這是非常常見的標準)的設計不佳所致。 


        因此,在尋找通用的、安全的、完整的密鑰生命周期管理系統時,明智的做法是檢查那些具有可追溯的系譜(出色的客戶參考以及生產中至少10年的較長部署壽命)的系統。每年,此類系統的提供商列表越來越小,因為它是一個利基市場,只有最強大的生存者。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精