硬件安全模块

硬件安全模块（Hardware Security Module，HSM）是一种通过扩展卡或外部设备连接至计算机或服务器的专用硬件，主要用于保护和管理密钥并提供密码学操作 [1-2]。其采用篡改抵抗设计，内置安全协处理器防止物理或总线探测，支持密钥备份和高可用性配置如双电源及热插拔组件。设备允许用户使用C、.NET、Java等语言开发隔离运行的专用模块，并通过Common Criteria、FIPS 140等认证，其中FIPS 140（特别是FIPS 140-3）最高安全等级为Level 4 [1] [5]。

该模块广泛应用于PKI证书颁发、银行卡交易、SSL/TLS加速等领域。在SSL场景中可完成每秒1~10,000次1024位RSA签名，特定型号的操作速度可达20,000次每秒，部分型号支持椭圆曲线密码学（ECC）以提升效率。卡交易HSM标准由PCI安全标准委员会制定 [2]，同时支持密钥共享域配置及角色权限管理，初始化需使用专用命令并通过固件重启实现安全擦除 [3]。部分型号兼容SafeNet Luna SA、nCipher nShield Connect等设备，可执行密钥生成、存储及证书管理操作 [4]。随着量子计算的发展，后量子密码（PQC）技术开始与HSM结合，已有厂商获得相关的国际算法标准认证 [6]。