Mục lục
HSM là gì
HSM là gì? tên tiếng Anh Hardware Security Module: Là thiết bị phần cứng có thể sinh cặp khóa (khóa bí mật và khóa công khai) và bảo vệ khóa bí mật đó. Được giao cho khách hàng để thực hiện ký số
Thiết bị lưu khóa bảo mật được chia thành 2 loại: loại dành cho cá nhân là Smartcard hoặc eToken. Và loại dành cho hệ thống gọi là HSM (Hardware Security Module). Smartcard hay eToken cũng có thể được coi là một dạng thiết bị HSM thu nhỏ. Có năng suất hoạt động thấp.
Tương tự Smartcard hay eToken, thiết bị HSM lưu khóa trong môi trường vật lý và logic hoàn toàn bảo mật. Nhằm chống lại việc sao chép hoặc nguy cơ bị giả mạo. Tuy nhiên, HSM có nhiều tính năng cao cấp hơn. Để có thể phục vụ hoạt động của cả một hệ thống ứng dụng. Ví dụ để sinh và bảo vệ mã PIN, bảo vệ các giao dịch sử dụng thẻ ATM trong hệ thống dịch vụ ATM của ngân hàng. Hay hoạt động ký tự động xác nhận đã nhận được hồ sơ khai thuế của doanh nghiệp. Trong dịch vụ khai thuế qua mạng Internet của Tổng cục Thuế.
Hình dạng của thiết bị HSM là gì?
Về hình dạng, thiết bị HSM có thể có dạng thẻ PCMCIA hay card PCI lắp vào trong máy tính. Hoặc là một hệ thống độc lập đấu trực tiếp vào mạng. Về mục đích sử dụng, có thể phân loại thiết bị HSM thành 2 dòng sản phẩm:
- Sản phẩm HSM dành cho các ứng dụng PKI.
- HSM dùng cho hệ thống thanh toán.
Về hiệu suất, HSM có thể thực hiện từ hàng trăm tới hàng nghìn thao tác ký trong một giây. Trong khi eToken hay Smartcard chỉ thực hiện được tối đa 5 thao tác ký trong 1 giây. Do vậy, HSM là lựa chọn tối ưu dành cho các ứng dụng cần số lượng lớn. Các thao tác ký số lên tài liệu điện tử. Hay ứng dụng cần đảm bảo độ tin cậy và bảo mật.
Thiết bị HSM hỗ trợ đa dạng hệ điều hành
Thiết bị HSM hỗ trợ đa dạng hệ điều hành: Microsoft Window, Sunsolaris, HP-UX, IBM AIX, Linux…. Do vậy có thể đáp ứng linh hoạt các nhu cầu của hệ thống.
Hầu hết thiết bị HSM hỗ trợ các ngôn ngữ lập trình tiêu chuẩn API. Nên có thể tích hợp nhanh HSM với nhiều ứng dụng khác như: Web, application server, PKI, database và các ứng dụng kinh doanh của doanh nghiệp.
Giao diện quản trị HSM có thể là giao diện đồ họa GUI hoặc giao diện dòng lệnh SCLI – Secure Command Line. Điều này cho phép quản trị HSM từ xa linh hoạt và vận hành trôi chảy. Tuy nhiên vẫn đảm bảo an toàn, bảo mật, do quá trình truy cập thiết bị được kiểm soát chặt chẽ. Bằng nhiều cơ chế xác thực như sử dụng smartcard để xác thực, hoặc bằng cách nhập mã PIN vào thiết bị xác thực nhập cầm tay.
Các thiết bị HSM dạng độc lập
Các thiết bị HSM dạng độc lập có thêm một số tính năng so với thiết bị dạng thẻ PCMCIA và card PCI. Chúng thường hỗ trợ HA (high-availability), cho phép sử dụng kết hợp 2 hoặc nhiều thiết bị để tăng tính sẵn sàng của hệ thống. Khi một thiết bị lỗi, thì thiết bị còn vẫn tiếp tục phục vụ, không làm gián đoạn dịch vụ. Một số thiết bị HSM đặc biệt có hỗ trợ chế độ hoạt động chia tải. Điều này có nghĩa là thiết bị HSM, có thể được chia thành các đơn vị logic nhỏ vận hành song song với nhau. Nhằm giảm thiểu rủi ro và nguy cơ mất dịch vụ, đồng thời tăng chất lượng và thông lượng. Ngoài ra, thiết bị HSM dạng độc lập hỗ trợ sao lưu khóa ra Smartcard hoặc thẻ PCMCIA. Nhằm đảm bảo duy trì quá trình vận hành hoạt động của dịch vụ. Trong trường hợp khóa bị mất hoặc thay đổi cơ cấu thay đổi hệ thống.
Các nhà cung cấp thiết bị HSM nổi tiếng là Safenet, nCipher và AEP. Trong đó Safenet và nCipher đã có kênh phân phối tại Việt Nam. Sản phẩm HSM của AEP cũng đã bắt đầu được sử dụng tại Việt Nam.
Nguồn: http://www.taichinhdientu.vn/kien-thuc-thu-thuat/thiet-bi-luu-khoa-bao-mat-danh-cho-he-thong-hsm-78514.html