ارایه سرویس های امنیت مبتنی بر HSM

ارایه سرویس های امنیت مبتنی بر HSM با هدف سیستم های بلاکچین و ارزهای دیجیتالی از طریق رایانش ابری (Cloud – HSM)

 

در این مقاله ما ابتدا انواع خدماتی که یک HSM به ما می دهد شامل مدیریت کلید، مدیریت PIN ، حفاظت کلید، رمزنگاری و رمزگشایی و نگهداری امن داده را جهت استفاده در سیستم های بلاکچین و ارزهای دیجیتالی بررسی می کنیم و سپس روش های مختلف استفاده از یک HSM مانندStandalone ، Network و Cloud را در یک سیستم بلاکچین بیان می کنیم. با توجه به نیاز بالای خدمات HSM و محدودیت های تحریم در کشور، نیاز به خدمات رایانش ابری در این حوزه کاملا مشخص و مبرهن است. در این راستا ابتدا راهکار شرکت آمازون را در این خصوص مورد بررسی قرارداده ایم و سپس راه کاری جهت ارایه این سرویس به صورت بومی بیان شده است که مزایا و معایب آن نیز بررسی می شود.

در بخش بعد شرایط مورد نیاز جهت ایجاد فضای رایانش ابری HSM بحث و بررسی شده است که در آن اکوسیستم گردش اطلاعات و همچنین فرایندهای تجاری مشخص شده است. در این بخش مقاله سعی شده است فاکتورهایی برای رایانش ابری حوزه HSM چون Flexibility، Secure Store، Cryptography ، Key Management ، Implement ،Accessibility ، Availability، Performance و قیمت بررسی و به چالش کشیده شوند. از جمله موارد دیگر که بررسی شده است می توان به سناریو های ممکن برای Disaster Recovery و Physical Backup اشاره نمود.

در بخش سوم مقاله محدویت ها و الزامات فنی، رایانش ابری HSM برای بلاک چین بیان شده است، که در آن با توجه به فاکتورهای بررسی شده در بخش دوم مقاله پیشنهادات مناسب برای آنها ارایه می گردد.

نهایتا می توان گفت که سرویس رایانش ابری HSM به سرویس$های بلاکچین، ارزهای دیجیتالی کمک خواهد کرد که نیازمندی ها و الزامات قانونی خود را در خصوص امنیت اطلاعات دریافت نمایند.

سرویسهای ارائه شده در رایانش ابری به سه دسته کلی تقسیم میشوند، زیرساخت به عنوان سرویس، سکو به عنوان سرویس و نرم افزار به عنوان سرویس. به منظور بررسی نقش رایانش ابری در بانکداری، خدماتی که بانک میتواند در هر یک از این سه دسته از آن بهره برد توضیح داده شده است.

 

 -1زیرساخت به عنوان سرویس

در حال حاضر سامانه های کشور در هر شعبه به ازای هر کاربر یک رایانه اختصاص میدهند که و هر سیستم میبایست به اندازه کافی قدرتمند باشد تا سرویس‏ های مورد نیاز سامانه را بدون فوت وقت و با درصد دسترسی بسیار بالا ارائه دهد. این بدان معنی است که در صورت نیاز به بروز رسانی سکو و نرم افزار مربوط به هسته سامانه، میبایست سخت افزار مورد نیاز این سکو از حداقل سیستم ‏های موجود در سرویس بیشتر نباشد .همچنین سیستم‏ هایی که بتوانند در بیش از 99 درصد مواقع در دسترس باشند، هزینه بسیار بیشتری نسبت به سیستمهای عادی خواهد داشت. در چنین شرایطی انتقال عملیات مربوط به کاربران سامانه به ابر مزیتهای قابل ملاحظه های برای سرویس ها خواهد داشت. با این کار، کافی است هر کاربر دستگاهی با توان پردازشی محدود و تنها با قابلیت اتصال به وب داشته باشد، در این صورت میتواند کلیه امور خود را در سرویس تحت وب ارائه شده توسط ابر انجام دهد. در چنین شرایطی تغییر سیستم نرم افزار به صورت متمرکز صورت میگیرد و تنها کافی است میزبان سرویس در ابر به روز رسانی شود تا در تمامی کاربران انجام شود.

به علاوه کل سیستم مربوط به هسته مرکزی سرویس میبایست در همه مواقع در دسترس باشد و در مواقعی همانند زمان پرداخت های دسته ای، که تعداد تراکنش‏ ها بسیار بالا است، به توان پردازشی قابل ملاحظه‏ای نیازمند است. در این شرایط هر سرویس میبایست برای سیستم مرکزی خود، توان پردازشی به اندازه ماکزیمم توان مورد نیاز در مواقع حساس خریداری کند. همچنین نگهداری از چنین سیستمی نیز بسیار هزینه بردار است. مشکلات گفته شده، استاندارد مسائل حل شده در محاسبات ابری است، به عبارت دیگر با استفاده از ابر، میتوان توان پردازش را در هنگام نیاز افزایش داد و هزینه تعمیر و نگهداری بسیار ارزانتر خواهد بود، همچنین تامین کننده ابر در دسترس بودن سیستم را تضمین میکند .

 

2- سکو به عنوان سرویس

سرویس‏های ارائه شده در این رده باعث میشود تا بهترین بهره از امکانات موجود در لایه زیرساخت بدست آید. از مهمترین سرویس‏های موجود در این رده از دید سرویس‏ها، نرم افزارهای مدیریت پایگاه داده و وب سرورها است. حجم بسیار بالای دادگان و نیاز به دستیابی، ویرایش و ذخیره سریع اطلاعات در سیستم پرداخت باعث میشود تا استفاده از ابزار صحیح مدیریت پایگاه داده اهمیتی دو چندان یابد. در چنین شرایطی سرویس ها به دنبال بهره بردن از بهترین نرمافزار خواهند بود، اما با توجه به قیمت بالای این گونه نرم‏افزارها و همچنین بحث‏های پیرامون نگهداشت، استفاده از این سرویس در ابر برای سرویس ها مقرون به صرفه خواهد بود. وب سرور نیز مورد دیگری است که بانک به جهت ارائه خدمات الکترونیکی خود نیازمند آن خواهد بود.

 

3- نرم افزار به عنوان سرویس

در سیستم های نرم افزاری از تعداد قابل ملاحظه های نرم افزار به جهت ارائه خدمات استفاده میشود، این نرم افزارها علاوه به هزینه خرید مجوز به ازای هر بار نصب، هزینه ‏های مربوط به نگهداری و بروز رسانی را نیز در بر خواهند داشت. بنابراین با استفاده از خدمات ابر در این لایه و طراحی مجدد نرم افزارها به گونه قابل ارائه بر روی ابر، میتوان با کیفیت و هزینه کمتر، عملیات موجود در نرم افزار را بر روی ابر ارائه کرد.

همچنین در نصل جدید پایانه‏های پرداخت، دستگاه نصب شده تنها یک صفحه وب را بارگذاری میکند و بعد از خواندن کارت مغناطیسی، ادامه عملیات در صفحه وب انجام می شود. مزیت اصلی در استفاده از این دستگاه‏ها امکان بروز رسانی آسان و سریع است. مزیت دیگر در این دستگاه ‏ها که عمدتا از صفحه نمایش لمسی با اندازه حداقل 7 اینچی برخوردارند، امکان ارائه دیگر سرویس‏ های مورد نیاز در مراکز فروش، همانند انبارداری و محاسبات مالی است. پس از مطرح شدن این دسته پوزها، به سرعت امکان استفاده از پردازش ابری بررسی و پیاده سازی شد به صورتی که هم اکنون Cloud POS عنوانی شناخته شده است. مشکلات انتقال سرویس های بلاک چین و ارزهای دیجیتال به رایانش ابری

در سیستم ‏های رایانه ه‏ای که نیاز به ایجاد حد بالایی از امنیت وجود دارد و اسناد و مدارک محرمانه ایجاد، ویرایش و یا منتقل میشود، امنیت توسط ماژول سخت افزاری امنیتی تامین میشود. سخت افزار امنیتی (HSM) دستگاه امنی است که قابلیت‏های رمزنگاری لازم برای تامین امنیت در تبادل اطلاعات و انجام الگوریتم‏های رمزنگاری را فراهم می ‏آورد .کاربردهای اصلی این دستگاه در ساختن کلید و ذخیره امن آن، پردازش گواهیه‏ای امنیتی، و مدیریت کلیدهای رمزنگاری PKI است .

 

دستگاه HSM در کاربردهایی که در آنها امنیت کلیدهای رمزنگاری و داده‏ها اهمیت بالایی دارند استفاده میشود. برخی از این کاربردها عبارتند از:

 

1- سیستم‏ های مالی و بانکی

در سیستم‏های مالی و بانکی، به دلیل رد و بدل شده پول، امنیت از دیرگاه اهمیت ویژهای داشته است. با توسعه این سیستم‏ها و افزایش میزان تقلب (Fraud) در آنها، بانک‏ها از فناوری کارت‏های هوشمند برای بالا بردن امنیت استفاده کردند و استانداردهایی مانند EMV و VSDC بدین منظور ارائه گردیدند .

در استانداردهای جهانی بانکی، دستگاه HSM نقش مهمی را در تامین امنیت سیستم، چه در هنگام صدور کارتها و چه در زمان انجام تراکنش ایفا میکند. بر اساس استاندارد EMV و همچنین ابلاغیه بانک مرکزی ایران، جهت نگهداری امن کلیدهای رمزنگاری کارتهای هوشمند و همچنین انجام عملیات رمزنگاری بر اساس این کلیدها، لازم است از دستگاه HSM استفاده شود.

 

2- سیستم‏ های تجارت الکترونیکی (E-Commerce)

 

 

 

در سیستم‏های تجارت الکترونیکی نیز راهکار امن برای تولید امضای دیجیتال تراکنش، تولید کد MAC و چک کردن آن، انجام عملیات رمزنگاری و رمزگشایی داده‏های رد و بدل شده استفاده از دستگاه HSM میباشد.

 

3- سیستم‏ های صدور کارت و پرداخت خرد

 

 

در این سیستمها که به دلیل برخط نبودن امنیت از اهمیت بیشتری نیز برخوردار است، فرآیند صادر کردن کارتها میبایست در محیطی امن انجام شود. همچنین ماژول دسترسی امن که وظیفه ایجاد ارتباط امن با کارت و کسر موجودی را دارد باید توسط ماژول امن ایجاد شود. مرحله تشخیص جعل که پس از جمع آوری گزارشات کسر انجام میشود نیز محتاج حضور ماژول امن است.

 

1- سیستم‏ های بلاک چین و ارزهای دیجیتال

 

 

در سیستم‏های بلاکچین و ارزهای دیجیتال، به دلیل رد و بدل شده ارزش، امنیت تراکنش اهمیت ویژهای داشته است. با توسعه این سیستم‏ها و افزایش میزان تقلب) Fraud) در آنها، محافظت از کلیدها و مدیریت آنها بسیار مهم می باشد. در استانداردهای جهانی امضاء دیجیتال، دستگاه HSM نقش مهمی را در تامین امنیت امضا، مدیریت و کنترل چرخه حیات کلید ایفا میکند.

 

روش های برقراری امنیت در رایانش ابری

 

ماژول سخت افزاری امنیت ابری را میتوان ابداعی مهم در زمینه امنیت رایانش ابری دانست که اولین بار توسط شرکت آمازون پیاده سازی و عرضه شده است. در این سرویس مدیریت کلیدها بر عهده فرد استفاده کننده و نگهداری و ارائه سخت افزار بر عهده عرضه کننده ابر است. تا پیش از این استفاده کنندگان محاسبات ابری هیچگونه راهی برای ذخیره سازی امن اطلاعات خود در ابر نداشتند، در صورتی که با استفاده از این سرویس، ایجاد و نگهداری کلیدها، رمز کردن و رمزگشایی در محیطی کاملا امن انجام میشود و چنانچه موسسه‏ای بخواهد اطلاعات حساس و یا تراکنشهای مالی را در ابر مدیریت و ذخیره کند، میتواند با استفاده از این سرویس نسخه رمز شده را در سرویس پایگاه داده ابری ذخیره کند.

Your comments