硬件安全模块- HSM

最新推荐文章于 2024-04-23 16:54:50 发布
最新推荐文章于 2024-04-23 16:54:50 发布
阅读量7.4k 收藏 75
点赞数 8
文章标签: 网络安全 密码学 汽车网络安全 HSM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ppyang395942297111/article/details/112647109
版权

目录

一、什么是硬件安全模块

二、HSM是如何工作的

三、HSM的应用

公钥基础设施(Public Key Infrastructure - PKI)

卡支付系统(Card Payment HSM)

安全套接字协议(Secure Sockets Layer - SSL)

车载电子控制单元(Electronic Control Unit - ECU)

一、什么是硬件安全模块

        硬件安全模块 - Hardware security module (HSM)  , 通常我们将其解释为一种可用于对密钥进行安全管理/存储,且可提供密码计算操作的硬件设备,该模块一般通过扩展或外部设备的形式连接到主设备。HSM是一个可防篡改和入侵的硬件,用来保护存储密钥,同时允许授权用户使用,系统中充当信任锚(Trust anchor)的角色。

        HSM通常作为公共基础设施(Public Key Infrastructure - PKI)或网上银行等关键基础设施的一部分,一般多个HSM 同时使用。现在随着车载ECU数量的不断增加、软件日益复杂及对车载网络安全的重视,HSM同样用于汽车零部件的开发以保障其对于通信实时性和降低性能开销。

二、HSM是如何工作的

        HSM拥有以安全为中心的操作系统,有受保护的内存,程序代码,数据闪存区,加速器及真随机数生成器(TRNG)。具备受限制的访问权限,并实现了用于操作系统操作和管理的角色分离机制。在其运行时实现系统安全、认证启动或主机监测,主机无法随意访问其密钥。 HSM的功能通常包括以下几点:

- 密钥的存储及管理

- 生成真随机数、对称及非对称密钥等

- 密码计算加速

- 生成签名及签名认证

- 针对多用户权限的完整认证和日志跟踪

        保护密钥对于维护安全系统至关重要,HSM对于密钥生命周期管理主要有六个步骤:

 - 创建:密钥由HSM或第三方进行创建。

- 备份和存储:制作密钥副本并安全存储,防止丢失泄露。副本可以存储在HSM或其外部,存储私钥必须进行加密。

- 部署:将密钥安置在加密设备中。

- 管理:根据相应标准进行控制监视等。密钥可轮换,在现有密钥过期时,可部署新的密钥。

- 归档:将过期密钥进行存储,以便后期使用

- 处理:密钥可在确定不适用的情况下,进行永久销毁。

三、HSM的应用

公钥基础设施(Public Key Infrastructure - PKI)

      在PKI场景中,证书机构(Certification Authority - CA)可以使用HSM 生成,存储和处理非对称密钥。在CA HSM 中,设备必须具备的基本功能为:

- 逻辑和物理高级保护

- 多部分用户授权方案

- 完整的审核和日志跟踪

- 安全密钥备份

卡支付系统(Card Payment HSM)

        卡支付系统HSM 属于交易和支付专用HSM,支持处理交易和遵守行业标准所需的通用功能,比CA HSM更轻量,不具备标准API 。设备必须具备的功能为:

- 验证用户输入的PIN 及发卡机构PIN匹配(PIN matching)

- 通过校验安全码或设备终端(ATM/POS)共同执行基于EMV的主机处理组件验证卡交易

- 支持crypto-API

- 重新加密PIN,发送至授权主机

- 安全密钥管理

- 支持设备终端(ATM\POS)网络管理协议

- 支持设备间密钥或数据交换API

- 生成及打印新的PIN密码卡

- 生成磁条卡(PVV\CVV)数据

- 生成卡密钥集,支持智能卡的个性化过程

安全套接字协议(Secure Sockets Layer - SSL)

        需要使用HTTPS(SSL/TLS)的性能敏感应用(对性能有严格要求的应用程序),通过使用带SSL 加速功能的HSM ,将RSA操作从主机移到HSM中,从而提升效率。HSM每秒可执行1-10000个1024RSA计算,现由于密钥长度不断增加导致速度下降,HSM开始支持椭圆曲线密码(Elliptic curve cryptography - ECC),专用HSM设备可达到每秒20000次操作。

车载电子控制单元(Electronic Control Unit - ECU)

       EVITA(E-safety Vehicle Intrustion Protected Applications )项目定义了可用于汽车网络信息安全领域的HSM相关规范,针对不同的硬件能力将其分为Full、Medium和Light HSM 。该规范基于SHE(Secure Hardware Extension),当前很多针对汽车行业的微处理器支持这个规范。

从上图中我们可以简单总结EVITA HSM 配置为:

- Full: 支持增强验证(如通过RSA/ECC等)

          支持复杂的分组密码/块密码

          高性能

- Medium: E2E通信安全

- Small: 关键传感器/执行器安全

           简单的分组密码/块密码

           低成本模块          

EVITA建议HSM集成在ECU 微控制芯片上,充当安全平台角色,一般由两个部分组成

- 逻辑部分(ROM/RAM/运算单元)

- 密码部分(硬件加速器)

        在车载ECU HSM中,当前比较典型和广泛应用的例子就是英飞凌AURIX芯片,该系列芯片集成了HSM ,将在另一篇文章中详细描述。

          除硬件部分,HSM还应有相应固件及驱动,在汽车电子中广泛用到的AUTOSAR也提供了接口。

 上图展示了与安全相关的架构,从其中我们可以看出,CSM是其分层设计的起点,是第一接口,CSM 通过Hardware Abstraction中 Crypto Interface(CRYIF)访问Crypto Drivers,整个过程为Crypto Stack。通过框架的最底层,进行相关部件(如HSM)的访问,实现加解密操作。

        

ppyang395942297111
关注
  • 8
    点赞
  • 75
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
硬件安全HSM介绍
酒无忧的博客
10-13 1943
随着汽车智能化和网联化的发展,汽车软件面临着更加严重的安全风险问题,为了应对一系列软件安全问题,就离不开硬件安全模块这个扮演着安全之锚的角色。HSM硬件安全模块的英语缩写,全称是Hardware Security Module。HSM可以用于车辆安全信息(比如密钥)的生成、存储以及处理,且能够隔离外部恶意软件的攻击。HSM可以用于构建、验证可靠的软件,以保护在软件加载并初次访问之前的安全启动。HSM包含有加密/解密硬件加速功能,和软件解决方案相比能够有效降低CPU负载。
硬件安全模块 (HSM)、硬件安全引擎 (HSE) 和安全硬件扩展 (SHE)的区别
baron-周贺贺-代码改变世界ctw
12-28 3859
汽车行业中,硬件安全模块 (HSM)、硬件安全引擎 (HSE) 和安全硬件扩展 (SHE) 的概念在确保关键系统和敏感数据的安全性和完整性方面发挥着关键作用。虽然这些技术的共同目标是增强安全性,但它们的应用和功能却存在显着差异。本文旨在探讨汽车行业背景下的 HSM、HSE 和 SHE 之间的区别,阐明它们的具体实施和优势。
英飞凌HSM模块介绍
qq_329563867的博客
02-23 2288
HSM(Hardware Security Module),是MCU上专门用于实现加解密算法的一个外设,它一般会有一个独立的CPU,专门用来进行加解密运算,还有一些针对特定算法的硬件加速器(如AES-128、SHA-256等)。下图为HSM的架构图,HSM有一个基于ARM Cortex-M3的CPU,有随机数生成器TRNG,和AES、Hash、PKC(公钥加密整数)算法的硬件加速器,以及中断、Timer等组成部分。核都可以读取,当状态为confirmed或errored时,只有HSM核可读。
从内部防护汽车网络安全——硬件安全模块(HSM)保护ECU主处理器内部
dianqicyuyan的博客
04-23 691
HSM是一种硬件,它以物理方式封装了安全功能。其集成芯片专为IT安全应用而设计,通常具有自己的处理器核心、各种内存(RAM、ROM、闪存等)和硬件密码加速器。此外,HSM必须满足用于车辆应用的特定标准,并且极其有效的集成对于降低成本至关重要。其主要要求包括ECU应用程序和HSM之间的安全接口,以及用于分析故障的调试/测试接口。HSM必须能够以尽可能短的等待时间处理加密信息,并能够承受汽车环境中的标准温度。从根本上说,HSM通过其自己的处理器核心来执行汽车应用场景所需的所有IT安全功能。
英飞凌汽车电子网络安全HSM技术资料分享及项目开发 - RSA、AES、签名验证、CMAC验证等多功能芯片应用
sWvCtDS的博客
04-22 1675
随后,本文将介绍几种常用的加密算法,如RSA、AES以及签名生成和验证、CMAC生成和验证等。最后,本文还会提供关于HSM的相关技术文档,包括常用加密算法介绍ppt、标准SHE介绍ppt、HSM刷写ppt等。为了帮助开发人员更好地了解和应用HSM技术,英飞凌公司为用户提供了多份技术文档,包括常用加密算法介绍ppt、标准SHE介绍ppt、HSM刷写ppt等。该芯片支持的算法包括RSA、AES等,同时还提供签名生成和验证、CMAC生成和验证等功能。AES算法是一种对称加密算法,可以广泛用于数据的加密和解密。
汽车信息安全之锚:HSM
weixin_48120109的博客
11-25 478
说起信息安全和加解密,我们很容易会在脑海中浮现出锁和钥匙。那我们来想象一个场景:假设一位父亲有三个儿子,他给每个儿子各买了一台掌上游戏机。为避免他们沉迷游戏,父亲把每台游戏机都锁到一个小盒子里。盒子归几个孩子自己保管。怎么保证儿子不会偷偷拿去玩呢?简单啊,钥匙由父亲来保管。儿子想玩的时候怎么办?简单啊,把盒子拿来父亲这里解锁。儿子想玩的时候,父亲能把钥匙给儿子吗?肯定不行啊,儿子自己去配一条钥匙咋办。那为啥不干脆把盒子也存父亲这里?因为父亲资源有限,不想随身携带盒子啊。
HSM 学习笔记
weixin_43399814的博客
08-21 583
EVITA(E-safety Vehicle Intrustion Protected Applications )项目定义了可用于汽车网络信息安全领域的HSM相关规范,针对不同的硬件能力将其分为Full、Medium和Light HSM。该规范基于SHE(Secure Hardware Extension),当前很多针对汽车行业的微处理器支持这个规范。HSM主要有两个功能:第一个是存储管理密钥。
[Cloud Computing]Mechanisms: Hardware Security Module
zjysource的专栏
07-13 746
Hardware Security Module The hardware security module (HSM) is a dedicated hardware cryptographic processor that is designed for the protection of the encryption key lifecycle. HSMs provide the
硬件安全模块HSM)
热门推荐
weixin_43586667的博客
03-17 3万+
一、什么是HSM 说起信息安全和加解密,我们很容易会在脑海中浮现出锁和钥匙。那我们来想象一个场景: 假设一位父亲有三个儿子,他给每个儿子各买了一台掌上游戏机。为避免他们沉迷游戏,父亲把每台游戏机都锁到一个小盒子里。盒子归几个孩子自己保管。 怎么保证儿子不会偷偷拿去玩呢?简单啊,钥匙由父亲来保管。 儿子想玩的时候怎么办?简单啊,把盒子拿来父亲这里解锁。 儿子想玩的时候,父亲能把钥匙给儿子吗?肯定不行啊,儿子自己去配一条钥匙咋办。 那为啥不干脆把盒子也存父亲这里?因为父亲资源有限,不想随身携带盒子啊。 在这个场
安全研究人员发现一家HSM硬件安全模块)供应商的产品中存在漏洞,
weixin_34121282的博客
06-17 435
两位安全研究人员最近披露了一些漏洞,这些漏洞可被远程利用,以检索存储在特殊计算机组件HSM硬件安全模块)中的敏感数据。HSM是一种硬件隔离设备,使用高级密码学来存储、操作和处理数字密钥、密码、PIN等敏感信息。HSM以计算机扩展卡、可联网的路由器式设备或USB连接的拇指驱动器式设备的形式存在,通常用于金融机构、政府机构、数据中心、云提供商和电信运营商等。尽管近20年来,它们一直是一种小型硬件组件...
全球与中国云硬件安全模块 (HSM)市场现状及未来发展趋势(2024版).docx
01-23
硬件安全模块 (HSM) 市场研究报告 云硬件安全模块 (HSM) 是一种专门的计算机硬件设备,旨在提供安全的加密、解密、签名和验证服务。随着云计算和大数据时代的到来,HSM 市场的需求日益增长,本报告将对全球与中国...
2024年俄罗斯硬件安全模块HSM)市场机会及渠道调研报告Sample.pdf
最新发布
06-19
横跨如半导体产业链(半导体设备及零部件、半导体材料、集成电路、制造、...模块、4G/5G/6G、宽带、IoT、数字经济、AI)、先进材料产业链(金属材料、高分子材料、陶瓷材料、纳米材料等)、机械制造产业链(数控机床、...
嵌入式系统/ARM技术中的全球第一款嵌入式硬件安全模块正式出货
12-03
nCipher 宣布全球第一个嵌入式硬件安全模块 (Embedded HSM) – miniHSM 量产上市, 并已出货给台湾某客户。  miniHSM 提供OEMs(original equipment manufacturers)厂商在资料加密、数字签章、身份认证等需求上一个...
行业分类-设备装置-具有安全模块可插拔功能的Android平台构建方法.zip
08-18
1. 安全模块概述:安全模块通常指的是硬件或软件组件,用于存储和处理敏感信息,如密钥、证书等,确保数据的安全性和隐私性。在Android平台上,这可以是Secure Element(SE)、Hardware Security Module(HSM)或者...
电信设备-基于硬件安全模块的通信系统及通信方法.zip
09-18
硬件安全模块(Hardware Security Module,HSM)作为一种强化安全性的解决方案,广泛应用于通信系统中。本文将深入探讨“电信设备-基于硬件安全模块的通信系统及通信方法”的核心概念、工作原理以及实际应用。 硬件...
硬件安全硬件安全模块HSM,2024年最新2024网络安全大厂面试集合
2401_83739529的博客
04-14 925
在一些场景下,这种设计相当实用,例如用户可以在这种安全、受控的环境下运行一些特殊的算法或者业务逻辑,哪怕攻击者获取了计算机的完全控制权限,存储在HSM(连接到计算机)中的程序也无法被提取或篡改。值得注意的是,用户自定义的程序与HSM本身的程序之间存在隔离,这使程序的存在不会影响到HSM本身的安全。许多HSM系统提供安全备份外部密钥的机制。尽管HSM主要用于处理公钥密码学使用的密钥对(可能以数字证书的形式存在,如X.509格式证书),一些情况下也处理对称密码学使用的对称密钥或者任意类型的数据。
汽车信息安全之锚:HSM
2301_76563067的博客
08-01 1563
说起信息安全和加解密,我们很容易会在脑海中浮现出锁和钥匙。那我们来想象一个场景:假设一位父亲有三个儿子,他给每个儿子各买了一台掌上游戏机。为避免他们沉迷游戏,父亲把每台游戏机都锁到一个小盒子里。盒子归几个孩子自己保管。怎么保证儿子不会偷偷拿去玩呢?简单啊,钥匙由父亲来保管。儿子想玩的时候怎么办?简单啊,把盒子拿来父亲这里解锁。儿子想玩的时候,父亲能把钥匙给儿子吗?肯定不行啊,儿子自己去配一条钥匙咋办。那为啥不干脆把盒子也存父亲这里?因为父亲资源有限,不想随身携带盒子啊。
硬件安全模块如何启用AUTOSAR
吴建明wujianming_110117
07-07 1101
硬件安全模块如何启用AUTOSAR How hardware security modules enable AUTOSAR 越来越复杂的软件和车内连接需要越来越多的加密保护。这种保护也必须由经典的实时AUTOSAR系统来实现。硬件安全模块HSM)具有合适的固件,即使在资源不足的情况下,也能保证系统的加密。 汽车电子控制单元(ecu)的连通度多年来一直在提高,控制单元之间相互连接,也与外界相连。然而,随着越来越复杂的软件面临新的需求,对通信的需求也在不断增加。从安全角度来看,这意味着从孤立的单一系统到高度
Design Implementation and Evaluation of a Vehicular HSM
05-05
2. **硬件安全模块HSM)**:HSM是一种专门用于处理加密和安全操作的硬件设备,可以提供强安全性的环境,以保护关键数据和密钥。 3. **ECU安全保护**:强调了对ECU进行有效保护的重要性,尤其是在涉及车辆安全的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值