Thiết bị lưu khóa bảo mật được chia thành 2 loại: loại dành cho cá nhân là Smartcard hoặc eToken, và loại dành cho hệ thống gọi là HSM (Hardware Security Module).
Hình minh họa: Thiết bị token ký số
Hình minh họa: Thiết bị Smartcard
Smartcard hay eToken cũng có thể được coi là một dạng thiết bị HSM thu nhỏ, có năng suất hoạt động thấp. Bài viết này sẽ giúp độc giả hiểu về HSM - thiết bị lưu khóa chuyên dùng dành cho hệ thống.
Hình minh họa: Thiết bị HSM
Tương tự Smartcard hay eToken, thiết bị HSM lưu khóa trong môi trường vật lý và logic hoàn toàn bảo mật nhằm chống lại việc sao chép hoặc nguy cơ bị giả mạo. Tuy nhiên, HSM có nhiều tính năng cao cấp hơn để có thể phục vụ hoạt động của cả một hệ thống ứng dụng, ví dụ để sinh và bảo vệ mã PIN, bảo vệ các giao dịch sử dụng thẻ ATM trong hệ thống dịch vụ ATM của ngân hàng, hay hoạt động ký tự động xác nhận đã nhận được hồ sơ khai thuế của doanh nghiệp trong dịch vụ khai thuế qua mạng Internet của Tổng cục Thuế.
Về hình dạng, thiết bị HSM có thể có dạng thẻ PCMCIA hay card PCI lắp vào trong máy tính, hoặc là một hệ thống độc lập đấu trực tiếp vào mạng. Về mục đích sử dụng, có thể phân loại thiết bị HSM thành 2 dòng sản phẩm: sản phẩm HSM dành cho các ứng dụng PKI và HSM dùng cho hệ thống thanh toán. Về hiệu suất, HSM có thể thực hiện từ hàng trăm tới hàng nghìn thao tác ký trong một giây, trong khi eToken hay Smartcard chỉ thực hiện được tối đa 5 thao tác ký trong 1 giây. Do vậy, HSM là lựa chọn tối ưu dành cho các ứng dụng cần số lượng lớn các thao tác ký số lên tài liệu điện tử, hay ứng dụng cần đảm bảo độ tin cậy và bảo mật.
Thiết bị HSM hỗ trợ đa dạng hệ điều hành: Microsoft Window, Sunsolaris, HP-UX, IBM AIX, Linux... do vậy có thể đáp ứng linh hoạt các nhu cầu của hệ thống. Hầu hết thiết bị HSM hỗ trợ các ngôn ngữ lập trình tiêu chuẩn API, nên có thể tích hợp nhanh HSM với nhiều ứng dụng khác như web, application server, PKI, database và các ứng dụng kinh doanh của doanh nghiệp. Giao diện quản trị HSM có thể là giao diện đồ họa GUI hoặc giao diện dòng lệnh SCLI - Secure Command Line, điều này cho phép quản trị HSM từ xa linh hoạt và vận hành trôi chảy, tuy nhiên vẫn đảm bảo an toàn, bảo mật, do quá trình truy cập thiết bị được kiểm soát chặt chẽ bằng nhiều cơ chế xác thực như sử dụng smartcard để xác thực, hoặc bằng cách nhập mã PIN vào thiết bị xác thực nhập cầm tay.
Các thiết bị HSM dạng độc lập có thêm một số tính năng so với thiết bị dạng thẻ PCMCIA và card PCI. Chúng thường hỗ trợ HA (high-availability), cho phép sử dụng kết hợp 2 hoặc nhiều thiết bị để tăng tính sẵn sàng của hệ thống, khi một thiết bị lỗi, thì thiết bị còn vẫn tiếp tục phục vụ, không làm gián đoạn dịch vụ. Một số thiết bị HSM đặc biệt có hỗ trợ chế độ hoạt động chia tải, điều này có nghĩa là thiết bị HSM có thể được chia thành các đơn vị logic nhỏ vận hành song song với nhau, nhằm giảm thiểu rủi ro và nguy cơ mất dịch vụ, đồng thời tăng chất lượng và thông lượng. Ngoài ra, thiết bị HSM dạng độc lập hỗ trợ sao lưu khóa ra Smartcard hoặc thẻ PCMCIA, nhằm đảm bảo duy trì quá trình vận hành hoạt động của dịch vụ trong trường hợp khóa bị mất hoặc thay đổi cơ cấu thay đổi hệ thống.
eHoaDon Online triển khai việc ứng dụng nhiều giải pháp phù hợp theo từng điều kiện tương ứng: Từ sign server, HSM, ảo hóa HSM, và cả Cloud HSM trên nền tảng điện toán đám mây của BizStore để mang đến hệ thống có hiệu suất tốt nhất cho các khách hàng và đối tác.
Đừng ngần ngại liên hệ chúng tôi nếu bạn có thắc mắc hay cần thêm sự hỗ trợ!