曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        硬件安全模塊(HSM):它是什么?它在保護支付卡數據中的作用是什么?
        發布時間:2020-10-21 15:35:15   閱讀次數:

        使用加密技術在存儲和傳輸期間保護敏感數據所引起的主要問題之一是管理加密密鑰生命周期(生成、存儲、導入/導出、分發、循環、替換、備份、吊銷、暫停、銷毀、審核等)的復雜性。密碼系統的安全性必須在于密鑰的安全性(Kerckhoffs原理)。由于假定潛在的攻擊者可以知道或可以訪問密碼系統的所有其他參數(使用的算法、加密文本、明文),因此必須盡可能安全地管理此密鑰。如果密鑰被泄露,則整個密碼系統也受到破壞(“即使系統中除密鑰之外的所有東西都在公共知識范圍內,加密系統也應是安全的”)。


        從這個意義上說,管理密碼密鑰的最推薦替代方法之一是使用硬件安全模塊HSM)。HSM也稱為安全應用程序模塊(SAM),安全密碼設備(SCD),硬件密碼設備(HCD)或密碼模塊。它是一種安全的,防篡改的密碼處理器,專門設計用于保護密碼密鑰的生命周期并執行加密和解密例程。它在機密性,完整性和加密密鑰以及所處理的任何敏感數據的可用性方面提供了高級別的安全性。

        1-201021154342Z5.png

        硬件安全模塊(HSM)的示意圖。資料來源:帕特雷大學。

        HSM可以在智能卡、便攜式設備、專用卡(加密卡)、獨立設備(設備)中找到,也可以作為云服務提供(HSM即服務)。


        HSM類型

        根據要求,HSM設備可以分為兩種類型:

        1. 通用型HSM:包含多種標準加密算法(對稱,非對稱和哈希函數)的HSM設備,使用公鑰密碼學標準(PKCS)#11,Microsoft密碼應用程序編程接口(CAPI)支持API互連,下一代密碼學API(CNG),Java密碼學體系結構(JCA),Java密碼學擴展(JCE)等。這些設備通常用于PKI環境、HTTPS通道、DNSSEC、通用敏感數據保護和加密錢包等。


        2. 交易和支付型HSM:用于保護支付交易的特定HSM設備,包括使用PIN(在POS和ATM上進行的交易中PIN塊的生成、管理、驗證和翻譯),電子資金轉帳的保護(EFT),在卡生產和個性化過程中為磁條和EMV芯片生成數據,使用借記卡和信用卡進行支付交易以及對卡、用戶和密碼進行驗證。這些設備通常為大多數品牌的卡的支付應用程序提供加密支持,并且它們的互連接口通常比通用HSM受到更多限制。


        驗證HSM設備的安全級別

        已經定義了一系列國際標準來驗證此類設備的安全級別,其中我們發現以下內容:

        1. FIPS(聯邦信息處理標準)140-2(密碼模塊的安全要求):該標準旨在驗證密碼硬件的有效性。盡管它是美國和加拿大的聯邦標準,但在政府和私營部門中都得到了全世界的認可。該認證定義了四個安全級別,從最低級別(1級)到最高限制級別(4級):

          • Level 1:包括基本安全要求(必須使用至少一種批準的算法或功能),從而允許使用未經測試的操作系統在通用系統上執行加密模塊的軟件和固件組件。不包括物理安全機制。示例:個人計算機的加密卡。 


          • Level 2:該級別通過要求使用篡改證據檢測和基于角色的身份驗證機制來增強1級安全性。軟件實現必須在Common Criteria EAL2批準的操作系統上運行。 


          • Level 3:此級別需要其他要求,包括防篡改、篡改響應和基于身份的身份驗證。它還需要接口之間的邏輯隔離,關鍵安全參數通過該邏輯隔離進入和退出系統。私鑰只能以加密形式導入或導出。 


          • Level 4:最后一個級別包括高級入侵防護(防篡改),并且是為在不受物理保護的環境中運行的產品而設計的。 


        2. 通用標準Common Criteria (ISO / IEC 15408):信息技術安全評估通用標準是國際公認的IT產品和系統安全認證標準。它是由加拿大、法國、德國、荷蘭、英國和美國在1990年代開發的。根據通用標準進行評估的產品分為等級(評估保證等級-EAL),其中EAL1最低,EAL 7最嚴格。 


        3. 支付卡行業(PCI)PTS HSM安全要求PCI HSM):PCI HSM標準是PCI SSC PIN交易安全(PTS)標準組的一部分,它定義了制造、運輸、使用,以及拆卸金融交易中使用的HSM設備。 


        此外,一些國家,例如德國、法國(CB MEPS)、澳大利亞(APCA CECS)或意大利,已經為HSM設備中的密鑰和算法管理制定了特定的標準,這可能需要特殊的認證。


        HSM設備與PCI SSC標準的關系

        密碼學是用于保護與支付卡相關的交易數據的主要機制之一。 因此,PCI SSC標準中的許多控件(PCI DSS、PCI PIN、PCI P2PE、PCI 3DS、PCI卡生產等)都需要對密鑰進行正式管理,并且在某些情況下需要使用特定的密鑰、 HSM和證書。 下面列出了一些PCI SSC標準及其對HSM設備使用的要求:


        PCI DSS v3.2.1

        • 相關要求:

          3.5.x,3.6.x


        • 評論:

          PCI DSS標準不需要使用HSM設備來管理加密密鑰。但是,這些設備的使用促進了安全密鑰存儲(3.5.3和3.6.3),密鑰生成(3.6.1),密鑰分發(3.6.2),循環/加密周期(3.6.4),密鑰替換(3.6.5),實施“雙重控制”和“拆分知識”(3.6.6),密鑰替換預防(3.6.7)和托管管理(3.6.8)。


        PCI PIN v3.0

        • 相關要求:

          1-x


        • 評論:

          PCI PIN標準要求:

          • PIN數據在歸類為安全加密設備(SCD)并認證為PCI HSM或FIPS 140-2 3級或更高級別的設備中處理


          • 用于PIN加密/解密的所有加密密鑰必須在認證為PCI HSM,FIPS 140-2 3級或更高級別的設備中生成,或使用NIST 800-22對齊的隨機數生成器生成。


          • 密鑰注入過程必須在認證為PCI HSM或FIPS 140-2 3級或更高級別的設備上執行。


        PCI P2PE v3.0

        • 相關要求:

          4A-1

          5-1


        • 評論:

          PCI P2PE標準要求

          • 解密環境中使用的設備是認證為PCI HSM或FIPS 140-2 3級或更高級別的HSM。


          • 用于PIN加密/解密的所有加密密鑰必須在認證為PCI HSM,FIPS 140-2 3級或更高級別的設備中生成,或使用NIST 800-22對齊的隨機數生成器生成。


          • 密鑰注入過程必須在認證為PCI HSM或FIPS 140-2 3級或更高級別的設備上執行


        PCI 3DS v1.0

        • 相關要求:

          P2-6.1.2


        • 評論:

          PCI 3DS標準要求提供訪問控制服務器(ACS)或目錄服務器(DS)服務的實體使用PCI HSM或FIPS 140-2 3級或更高認證的HSM。


          對于提供諸如3DS服務器(3DSS)之類的服務的實體,不是強制性的,但強烈建議使用HSM。


        PCI卡生產(邏輯)v2.0

        • 相關要求:

          8.5(密鑰生成)

          8.7(按鍵加載)

          8.14(密鑰管理安全硬件)


        • 評論:

          PCI卡生產(邏輯)標準要求使用認證為PCI HSM或FIPS 140-2 3級或更高級別的HSM進行密鑰生成,密鑰加載和敏感數據保護過程。


        結論

        布魯斯·施耐爾(Bruce Schneier)在他的《應用密碼學》一書中說:“密碼密鑰的管理是密碼學中最困難的部分,而且常常是安全系統的致命弱點?!眻绦写斯芾淼囊环N安全且不太復雜的方法是使用硬件安全模塊(HSM)。這些設備允許安全密鑰管理,安全處理敏感數據并滿足嚴格的可驗證安全性要求,并且是使用通用密碼軟件庫的安全替代方法。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精