0

我是 HSM 的新手。

我想使用 MSCAPI 在 Linux 环境中从 HSM 访问加密功能。

我的客户要求是应该可以使用 MSCAPI 访问 HSM。

因此,我对如何使用 MSCAPI 在 Windows 中扩展 HSM(在 Linux 中运行的 HSM)功能感到非常困惑

请帮忙。

问候, Virudhai Paul

4

1 回答 1

1

有人购买 PCIe HSM 的原因是无法从安装它的平台访问它。这被称为“离线”,它是“离线根证书颁发机构”使用的首选操作案例。您不希望有人能够访问它,除非他们登录到该机器。

“离线”的反面是“在线”访问,这通常由 HSM 供应商提供,通过销售带有两件东西的设备:

  1. 一个 PCIe HSM
  2. 位于套接字上并将传入流量传递给 HSM 并返回结果的服务器守护程序。

如果您需要从任何其他系统访问 PCIe HSM,无论它运行什么操作系统,都需要在 HSM 的主机上运行一个服务器。

没有服务器?没有访问权限。

您当然可以以某种方式实现服务器,以便服务器提供必要的访问权限。不过我不会——如果您不确切知道自己在做什么,您可以打开安全漏洞并允许您的 HSM 访问受到损害。

滚动您自己的服务器的风险和责任是 HSM 供应商对设备收取如此高昂费用的原因(即,设备相对于 PCIe 卡的溢价对于您从硬件中获得的东西来说似乎非常非常高),因为真正的成本是涵盖服务器守护程序的风险和责任方面。

因此,访问的第一步:供应商是否提供服务器应用程序,使 PCIe HSM 对网络的其余部分“可见”。

于 2021-03-13T18:59:25.113 回答