先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
硬件安全模块一般通过扩展卡或外部设备的形式直接连接到电脑或网络服务器。
设计
HSM提供篡改留证(tamper evidence/proof)、篡改抵抗(tamper evidence)两种方式的防篡改功能,前者设计使得篡改行为会留下痕迹,后者设计使得篡改行为会令HSM销毁密钥一类的受保护信息。[1]每种HSM都会包括一个或多个安全协处理器,用于阻止篡改或总线探测。
许多HSM系统提供安全备份外部密钥的机制。密钥可以以数据包形式备份并存储在计算机磁盘或其他介质上,或安全的便携式设备(如智能卡或其他安全令牌)存储于外部。[2]
由于HSM通常是公钥基础设施(PKI)或网路银行一类关键基础设施的一部分,一般会同时使用多个HSM以实现高可用性。一些HSM具备双电源、无需停机更换配件(如冷却风扇)等设计,以确保在数据中心等环境中的高可用性要求。
少数HSM可以让用户在其内部处理器上运行专门开发的模块。在一些场景下,这种设计相当实用,例如用户可以在这种安全、受控的环境下运行一些特殊的算法或者业务逻辑,哪怕攻击者获取了计算机的完全控制权限,存储在HSM(连接到计算机)中的程序也无法被提取或篡改。
一般HSM允许用户使用C、.NET、Java等编程语言开发这种专用程序。值得注意的是,用户自定义的程序与HSM本身的程序之间存在隔离,这使程序的存在不会影响到HSM本身的安全。
安全性
考虑到硬件安全模块(HSM)在应用程序与基础设施的安全中扮演的关键角色,此类密码学模块通常都会经过Common Criteria、FIPS 140等受到国际承认的认证。
这将为用户提供产品设计与实现上的保障,同时确保相应的密码学算法能按预期方式正确工作。FIPS 140安全认证最高认证等级为Level 4(整体),目前仅有极少数HSM成功通过这一等级的认证,大部分设备处于Level 3等级。
使用
硬件安全模块可在任何涉及到密钥的场景下使用。通常来说,这些密钥具有较高的价值,一旦泄露会导致严重的后果。
硬件安全模块的功能通常包括:
- 板载密码学安全密钥生成
- 板载密码学安全密钥存储,至少是顶级和最敏感的密钥,通常称为主密钥
- 密钥管理
- 加密且敏感资料的使用
- 卸载(代办)应用程序服务器的对称与非对称加密计算。
HSM也用于数据库透明加密的密钥管理。
对于密钥在内的敏感信息,HSM同时提供逻辑层面与物理层面的保护,以防止未经授权的访问或者可能的入侵。[3]
尽管HSM主要用于处理公钥密码学使用的密钥对(可能以数字证书的形式存在,如X.509格式证书),一些情况下也处理对称密码学使用的对称密钥或者任意类型的数据。
一些HSM系统也用作硬件密码学加速器。尽管此类HSM在对称密码学相关的运算性能上不如那些为对称密码学加速特化设计的硬件,但它们在进行公钥密码学操作时能大大减轻连接到的主机的CPU运算负荷。它们一般每秒能完成1~10,000次1024位RSA签名操作。由于自2010年起,NIST推荐选取2048位及以上的RSA密钥长度,[4] 在更长密钥下保证速度就变得越来越重要了。对此,有些HSM已经支持同等安全程度仅需更短密钥的椭圆曲线密码学(ECC) 。
PKI应用场景 (证书颁发机构硬件安全模块)
在PKI场景下,证书颁发机构(CA)及注册机构(RA)可能使用HSM生成、储存、使用密钥对。此时,设备必须具备以下的基本特性:
- 高等级的逻辑及物理安全保护
- 需要多用户同时参与的授权方案 (参见Blakley-Shamir方案)
- 日志记录及审计
- 密钥安全备份
另一方面,由于线上或线下的PKI操作一般都需要注册机构人工审核(DV验证除外),处理速度瓶颈在于人工流程,因此该场景下设备性能相对次要。
卡交易应用场景 (银行硬件安全模块)
用于卡交易系统的HSM一般会比用于CA的HSM更加轻量,同时通常也不会提供标准API。此类设备主要可被分为以下两类:
ATM、POS终端中的HSM用于:
- 当用户使用卡时,加密输入的PIN码
- 加载密钥到受保护的内存区域
授权与自定义模块用于: - 使用在线数据验证加密的PIN数据块
- 与ATM控制器共同使用,以便通过检查CVV2码或调用EMV卡内组件,验证借记卡/信用卡的交易合法性
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
(img-ofIZrdiT-1713368813075)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!