我是 HSM 的新手。
我想使用 MSCAPI 在 Linux 环境中从 HSM 访问加密功能。
我的客户要求是应该可以使用 MSCAPI 访问 HSM。
因此,我对如何使用 MSCAPI 在 Windows 中扩展 HSM(在 Linux 中运行的 HSM)功能感到非常困惑
请帮忙。
问候, Virudhai Paul
问问题
95 次
1 回答
1
有人购买 PCIe HSM 的原因是您无法从安装它的平台访问它。这被称为“离线”,它是“离线根证书颁发机构”使用的首选操作案例。您不希望有人能够访问它,除非他们登录到该机器。
“离线”的反面是“在线”访问,这通常由 HSM 供应商提供,通过销售带有两件东西的设备:
- 一个 PCIe HSM
- 位于套接字上并将传入流量传递给 HSM 并返回结果的服务器守护程序。
如果您需要从任何其他系统访问 PCIe HSM,无论它运行什么操作系统,都需要在 HSM 的主机上运行一个服务器。
没有服务器?没有访问权限。
您当然可以以某种方式实现服务器,以便服务器提供必要的访问权限。不过我不会——如果您不确切知道自己在做什么,您可以打开安全漏洞并允许您的 HSM 访问受到损害。
滚动您自己的服务器的风险和责任是 HSM 供应商对设备收取如此高昂费用的原因(即,设备相对于 PCIe 卡的溢价对于您从硬件中获得的东西来说似乎非常非常高),因为真正的成本是涵盖服务器守护程序的风险和责任方面。
因此,访问的第一步:供应商是否提供服务器应用程序,使 PCIe HSM 对网络的其余部分“可见”。
于 2021-03-13T18:59:25.113 回答