曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        HSM與集中式密鑰管理系統之間的關系
        發布時間:2019-11-14 10:45:59   閱讀次數:

        即使在小規模環境中,管理密碼關系和密碼密鑰生命周期也可能具有挑戰性。對于那些生活在國際加密架構世界中的CISO和IT安全專業人員(例如在銀行和金融業中發現的那些人)而言,成功的障礙清單可能會變得異常龐大。

        好消息是,只要對硬件安全模塊HSM)與密鑰管理系統(KMS)之間的關系和通信有清晰的了解,保護任務密鑰型業務應用程序可能會比您想象的要容易。


        將KMS與HSM相關

        密鑰的生成、保護、更換、分發和最終退役(統稱為“ 密鑰生命周期 ”)必須格外小心,尤其是用于保護特別敏感或有價值的數據(例如信用卡數據、金融交易等等。)。

        HSM與集中式密鑰管理系統之間的關系(圖1)

        現代密鑰管理系統就是為此目的而設計的,從而可以在整個生命周期內對密鑰進行主動管理。KMS通常是一臺服務器(通過遠程PC客戶端進行管理),它充當集中式集線器,可控制密鑰的生命周期并安全地處理密鑰的出站(推送)和入站(拉出)請求。密鑰管理系統還維護安全的審核日志,以出于安全和合規目的跟蹤密鑰。為了使密鑰管理團隊能夠安全地管理密鑰的生命周期,KMS服務器應由其專用的HSM備份,以便適當地生成和保護KMS管理的密鑰。


        HSM是專用的加密硬件設備,已根據FIPS 140-2,Common Criteria或PCI-HSM等標準進行了獨立認證(SafeNet Luna HSM)。HSM充當強密碼和密鑰生成的可信來源,并提供必要的邏輯和物理保護,以保護敏感密鑰并為依賴強密碼的應用程序/系統執行適當的密碼功能。例如,當HSM對安全應用程序執行加密操作(例如,密鑰生成,加密或身份驗證)時,它將確保密鑰永遠不會“清晰”地暴露在HSM的安全環境之外。


        當KMS需要生成密鑰并分發密鑰信息時,它會與其專用的HSM進行交互以生成、檢索、加密和共享密鑰到授權目標(安全應用服務器或另一個HSM)。此通信通常由PKCS#11標準控制,該標準提供了此交互的要求。結果是一組用于確保KMS與HSM之間安全交互的標準API。


        HSM本身也通常被認為是密鑰管理系統。在這種情況下,HSM專用于保護特定應用程序/系統的密鑰,并從應用程序服務器上卸載密碼處理。但是,在管理密鑰的生命周期方面,HSM并不是很容易管理。對于單個位置而言,這實際上不是問題,但是當多個位置和多個應用程序一起使用時,維護安全性和合規性的挑戰就會成倍增長。這是集中式KMS成為理想解決方案的地方。


        簡而言之,密鑰管理系統用于根據特定的合規性標準提供對加密密鑰整個生命周期的簡化管理,而HSM是安全生成,保護和使用密鑰的基礎。金融服務組織中有許多系統/應用程序,需要它們自己的專用HSM作為信任根。一個集中式的密鑰管理系統應該能夠管理屬于整個組織使用和保護這些硬件安全模塊應用密鑰的生命周期。


        集中式KMS,可提高概覽和效率

        處理大型IT基礎架構時的第一個挑戰是處理龐大的在線應用程序以及隨后需要管理的大量加密密鑰。在全球范圍內進行交互的銀行和金融組織將處理數百個應用程序和更敏感的密鑰-分布在多個業務部門和地理位置。 


        高效的操作和優化是密鑰管理系統的主要目標之一??绶植际骄W絡管理,跟蹤和更新應用程序密鑰通常給銀行和/或政府組織帶來大量開銷。這需要全面概述網絡中需要注意的許多密鑰中的哪些。如果沒有集中的概述和自動化的流程,則管理員必須準確定位密鑰的存儲位置,然后前往每個位置以手動更新密鑰(這也需要獲得對存儲密鑰的硬件/系統的訪問權限)。 


        通過使用集中式密鑰管理系統,可以從一個安全的操作場所集中管理此過程,該操作場所具有多個經過安全驗證的用戶,每個用戶都有其特定的授權管理角色。系統管理員或操作員只需單擊一個按鈕,就可以在每個應用程序上更新或配置這些鍵,即使在另一個大洲也是如此。


        與HSM目標集成以進行自動密鑰更新

        在大型國際環境中,密鑰管理的另一個主要挑戰是處理各種各樣的目標應用程序和HSM,其中各種格式的密鑰材料需要在單個系統上共享或更新。您的集中式KMS將需要能夠與這些外部HSM無縫集成并與其通信,以便有效地管理使用密鑰的系統/應用程序的密鑰生命周期。在這里,可以將偵聽器部署為集中式KMS解決方案的一部分,以消除這一障礙。


        此類偵聽器是在CKMS服務器與目標HSM或密鑰目標之間部署的軟件組件。它們的作用是允許將密鑰自動推送到HSM。它們還能夠與一系列密鑰目標進行交互,例如Java密鑰庫,Microsoft證書庫和BYOK的云應用程序。 

        HSM與集中式密鑰管理系統之間的關系(圖2)

        由于偵聽器位于集中式KMS與目標HSM之間,因此它將直接從KMS服務器接收加密的密鑰信息。然后,它將使用預定義的分發接口將該信息提供給目標HSM。該分發界面可能包含受密碼保護的用戶帳戶,主密鑰加密以及受完整性保護的設置和日志。這確保了有關密鑰的信息永遠不會在HSM外部未經加密地獲得。


        部署這些偵聽器后,安裝過程將需要一次一次性初始化過程。這涉及手動交換根密鑰加密密鑰(Root KEK),以便在中央KMS和HSM之間建立信任通道。一旦完成此設置過程,就可以按需推送、更新和刪除密鑰。

        HSM與集中式密鑰管理系統之間的關系(圖3)

        集中密鑰管理的好處

        大型國際組織需要具有處理大量密鑰的能力以及與各種安全應用程序、HSM集成的能力。一個集中的KMS結構與正常通信用的HSM肯定會實現這個目標。此外,這些大型組織將從集中式密鑰管理的顯著效率方面受益。這包括減少了管理基礎架構以及簡化流程和程序的開銷,同時減少了審計和合規性失敗風險。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精