- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
车辆内应用程序安全架构——HSM攻击说明
HSM 我们本次文章先从这里讲起 HSM是指硬件安全模块(Hardware Security Module) 是一种专门用于提供硬件级别安全性的安全处理器。 HSM可以为不同的应用提供安全服务,如加密、解密、签名、认证、密钥生成、密钥管理等。HSM可以安全地存储密钥和证书,确保它们不会被恶意软件或攻击者访问。 HSM通常由硬件和软件两部分组成。 HSM在车辆中的应用 车辆安全通信:HSM可以提供安全通信协议的支持,如TLS(传输层安全协议),用于加密车辆和其他设备之间的通信,以防止窃听和数据篡改。 特别是,特斯拉的HSM没有使用安全引导程序(secure boot),也没有对存储在HSM中的密钥进行正确的隔离和保护。这使得黑客能够轻松地从HSM中读取密钥,并使用这些密钥控制车辆。 总结如何避免HSM漏洞的出现 及时升级:定期更新HSM设备的软件和固件,以便修复已知的漏洞,并确保使用最新的安全补丁和更新。
1.6K20编辑于 2023-04-26 - 来自专栏智能生信
Nat. Methods | 利用机器学习对蛋白质-肽相互作用和信号网络进行生物物理预测
图1 HSM示意图 第一个约束是由PBD-肽共聚体的原子分辨率结构驱动的。适用于一个PBD家族中所有领域的模型被描述为HSM/ID (HSM for Independent Domains)。 使用共享势能并满足 HSM/ID 约束的模型称为HSM/D(HSM for Domains)。 HSM/ID & HSM/D模型评估 为了评估对学习能量实施不同约束的优点,文中培训了8个单独的 HSM/ID 模型(对应前文的8个领域),以及覆盖所有PBD族的单个统一HSM/D 模型。 与其他方法相比,HSM涵盖的PBD族和每个PBD族的比例要大得多。 HSM/P 作者使用了HSM方法对所有蛋白质进行建模,即HSM/P(HSM for Proteins)。 HSM/P在高通量实验方法上有所改进,同时覆盖了表征不佳的相互作用的空间。 HSM在预测新的PPI有很好的效果。
1.1K11发布于 2021-03-03 - 来自专栏数据库与数据安全实战
云厂商被黑,车企跟着遭殃?BYOK如何让整车厂把密钥牢牢攥在手里
,由云HSM管理,密钥明文限定在云HSM安全区内。 生成一对KEM公私钥,将公钥导出给车企本地HSM车企本地HSM用KEM公钥封装工作密钥,产生密态密钥密态密钥传输到云端HSM,由云端HSM用KEM私钥解封装——密钥明文出现在HSM内部后续所有加解密操作 ,密钥明文只在HSM内部寄存器中流转,永不出HSM这里有一个容易忽视的细节:KEM私钥本身也必须由车企的本地HSM管控,而不是云厂商HSM自管理。 以安当等国产密码安全厂商的CAS-KMS方案为例,支持将KEM根密钥托管在车企自建的HSM集群中,云厂商HSM只作为执行层,不具备密钥根控制权。 BYOK架构下,升级包签名密钥生成和存储完全在车企本地HSM中完成:签名私钥永不出HSM——生成的签名通过HSM内部运算完成云端仅存放签名公钥,用于车辆端验证即使云端被完全攻破,攻击者也无法获取签名私钥场景
13010编辑于 2026-06-10 - 来自专栏全栈程序员必看
n个进程访问一个临界资源,则设置的互斥信号量_多线程同步和互斥有几种实现方法
; HANDLE hSM2; HANDLE hSM3; HANDLE hSM4; HANDLE hSM5; HANDLE hSM6; HANDLE hSM7; HANDLE hTH1; HANDLE = CreateSemaphore(NULL, 1, 1, "V"); hSM2 = CreateSemaphore(NULL, 0, 1, "i"); hSM3 = CreateSemaphore (NULL, 0, 1, "c"); hSM4 = CreateSemaphore(NULL, 0, 1, "o"); hSM5 = CreateSemaphore(NULL, 0, 1, "N") ; hSM6 = CreateSemaphore(NULL, 0, 1, "B"); hSM7 = CreateSemaphore(NULL, 0, 1, " "); // 创建6个线程 hTH1 ); CloseHandle(hSM2); CloseHandle(hSM3); CloseHandle(hSM4); CloseHandle(hSM5); CloseHandle(hSM6)
1K10编辑于 2022-09-23 我做 Agent Memory 论文时踩过的四个坑:从合成数据到真实长对话
这当然是重要能力,但它和 HSM-CR 的核心能力并不完全匹配。 结果是:HSM-CR:60.4%Full Context:70.1%HSM-CR 输给了 Full Context,而且差距接近 10 个百分点。这个结果不意外。 结果是:HSM-CR:45.7%Sliding Window:46.7%HSM-CR 仍然略输 1 个百分点。 问题在于,当前 HSM-CR 的结构化记忆质量还不够好。 而 HSM-CR 的核心价值是:你能不能治理好记忆状态?这两个当然有关,但不是一回事。如果用 QA accuracy 来衡量 HSM-CR,就像用尺子称重量。
20320编辑于 2026-05-30- 来自专栏DrugOne
Nat. Methods | 基于机器学习和生物物理的蛋白质-肽相互作用预测
在这里,研究者介绍了一种定制的机器学习方法,即分层统计机器建模(HSM),能够准确预测跨多个蛋白质家族的PBD-肽相互作用的亲和力。 通过在现代机器学习框架内合成生物物理实验,HSM优于现有的计算方法和高通量实验分析。 HSM模型可以在三个空间尺度上以熟悉的生物物理术语来解释:蛋白质-肽结合的能量学、蛋白质-蛋白质相互作用的多齿组织和信号网络的整体架构。 针对第一个限制,研究者提出适用于一个PBD家族中的所有域的模型描述为独立域的HSM (HSM/ID)(图1d)。 5 讨论 因为已学习的伪哈密顿量是HSM的基础,所以可以用熟悉的特定位置的结合能来解释已学习的相互作用。
97941发布于 2021-02-01 - 来自专栏深度学习与python
WhatsApp 是如何实现端到端加密备份的?
如果选择的手动输入的密码,那么密钥将会被保管在一个基于硬件安全模块(HSM)组件开发的备份密钥库之中,HSM 是专门为这类需求开发的安全组件,可以用于存储密钥。 客户端与基于 HSM 的备份密钥库将会交换加密信息,其内容将不会被 ChatD 本身访问。 基于 HSM 的备份密钥库将会位于 ChatD 的后端,为备份的加密密钥提供高度可用和安全的存储。 WhatsApp 为超过 20 亿人提供服务,该产品的核心挑战之一是确保基于 HSM 的备份密钥库能够可靠地运行。 备份同样可以由密码保护,密钥将会被存储到一个基于 HSM 的备份密钥库中。 基于 HSM 的备份密钥库以及加密 / 解密流程 如果 WhatsApp 账户的所有者选择使用输入密码来对端对端备份的数据进行保护,基于 HSM 的备份密钥库会将其存储并保管。
1.5K20发布于 2021-12-01 - 来自专栏存储内核技术交流
Lustre PCC 初探
Lustre 启用和配置 // 每个mdt节点启用,hsm_control=enabled [root@dgdpl1915 ~]# lctl set_param mdt.lustrefs-MDT0000 .hsm_control=enabled mdt.lustrefs-MDT0000.hsm_control=enabled [root@dgdpl1915 ~]# lctl get_param mdt.lustrefs-MDT0000 .hsm_control mdt.lustrefs-MDT0000.hsm_control=enabled //客户端节点 lhsmtool_posix --daemon --hsm-root
1.2K30编辑于 2022-08-17 - 来自专栏数据库与数据安全实战
企业级密钥管理深度实践:从HSM硬件选型到多云KMS密钥生命周期的全链路治理
L2→L3:HSM向KMS提供密码运算能力,KMS不直接持有密钥明文——密钥的"使用"和"存储"分离。 二、HSM硬件选型:被低估的关键决策HSM是密钥管理体系的物理根基。选型失误的代价不仅是成本浪费,更可能导致整个加密体系推倒重来。 部分国产HSM只支持自签SM2根证书,无法与现有的国际CA体系对接。如果你的企业同时服务国内外客户(需要RSA和SM2双证书体系),必须确认HSM支持在同一设备上维护两套独立的证书链。 3.1多Region密钥联邦架构推荐的架构方案是"一中心、多节点、分层分发":展开代码语言:TXTAI代码解释┌──────────────────┐│RootCA/HSM│←离线根密钥│(自建或云HSM 如果把HSM比作保险柜,密钥生命周期就是保险柜的使用守则。
19221编辑于 2026-06-16 物联网数据增长迅速,安全仍是最大障碍
强大的加密来源于由像硬件安全模块(HSM,Hardware security module的质量源产生的强大的加密密钥,HSM可以用于创建,存储和管理加密密钥。 将密钥和加密数据分开 HSM在确保物联网产生的数据安全保存在云中发挥着至关重要的作用。HSM不仅可以生成密钥,还在主密钥周围提供安全的包装,所有这些都在一个安全和防止篡改的环境中进行。 此前,使用HSM意味着在购买和维护物理设备的前提下--无论是作为PCI卡或者是安装在机架上的设备。如同其他迁移至云端的商业服务,现在你可以以HSM作为服务模型通过云端获得HSM的全部优势。 同样,HSM作为服务通常具有多租户架构,其中多个客户将通过云端HSM上的安全分区提供服务。潜在的问题是,如果该特定服务器由于另一个客户的行为而被法律当局传唤或扣押。 这些密钥可以通过将数据存储在远离数据存储提供商的云端或者在他们控制的本地物理HSM中来保护数据。一旦加密密钥在单独的云端HSM或本地HSM中保持安全状态,即使存储物联网数据的供应商也无法访问密钥。
1.2K60发布于 2018-04-27- 来自专栏金融知识
什么叫KIF?
一般被认为包含以下要素的组合:人员与职责:密钥管理员、操作员、审核/授权人(常见要求:双人控制、分割知识等)受控场所:限制进入的房间/区域、门禁、访客登记、视频监控等设备与安全边界:用于密钥生成/装载/分发的加密设备(可能是HSM 不是“密钥”,也不是“终端”密钥(key):被注入的对象终端/设备(PED/POI/KLD):被注入的载体KIF:完成“安全注入”所需的场所+人员+设备+流程+记录的整体结合你们场景(APOSA8、无HSM )如果你们确实不使用HSM,而是在APOSA8(KLD/PED安全边界)内完成密钥装载/注入,那么你们的KIF更像是:一个(或多个)受控操作点/房间+APOSA8作为注入/装载使用的SCD边界设备+双人控制 /授权、工单与日志留痕等流程与记录也就是说:即使没有HSM,你们仍然可能“有KIF”——因为KIF是“设施与流程体系”,不是“必须有HSM”。
18510编辑于 2026-03-06 - 来自专栏数据库与数据安全实战
你的密钥凭什么放在我的云上?汽车行业BYOK云上密钥管理落地实践
决策2:客户的HSM怎么跟云平台打通这是BYOK落地中最"硬"的工程问题。客户通常会要求"根密钥永远留在我的HSM里,不出机房"。 但云平台加密数据时需要派生工作密钥——如果每次加密都要远程调用客户HSM,延迟和可用性都没法接受。 用DomainKey加密数据关键设计点:客户根密钥(KRK)只在初始化时通过安全通道传输一次,存在云端HSM的独立分区中,不落磁盘域密钥由云端HSM动态派生,不在任何位置持久存储,用完即焚客户随时可以发起根密钥轮换 如果客户HSM生成的根密钥3个月轮换一次,但云端存了3个月前的密文数据还没重新加密,轮换后这些数据就成了"死数据"——旧密钥已销毁,新密钥解不了旧密文。 它是一套涉及密钥生命周期管理、跨境合规、HSM互操作和性能权衡的系统工程。
3410编辑于 2026-06-17 - 来自专栏数据库与数据安全实战
你的车机被"拆箱"了——车载软件防逆向与License授权的工程实践
方案三:反调试与完整性校验在运行时持续检测:是否存在调试器附加(ptrace检测、调试标志位检测)代码段是否被篡改(启动时计算代码段SHA-256,与HSM内预置值比对)是否在模拟器/测试环境运行(虚拟机检测 必须在HSM或TEE内完成验签,不能在应用层验证(否则直接patch跳过)License撤销怎么做? ├──验证License签名(公钥预置于HSM)├──核对VIN绑定关系├──检查有效期└──写入安全存储区(功能标志位)关键设计原则:功能标志位必须存储在HSM安全存储区,不能存在普通FlashLicense 验签必须在TEE/HSM内执行,应用层拿不到验签结果整车厂保留私钥,License只能从官方服务器下发四、防破解方案选型建议维度软件混淆代码虚拟化TEE+HSM绑定保护强度★★★★★★★★★★★★★性能影响低中 验签必须在硬件安全区域(TEE/HSM)执行,这是底线。坑3:OTA订阅功能没考虑撤销场景用户退订后,如果车端没有License撤销机制,订阅功能实际上无法真正关闭。
10710编辑于 2026-06-11 - 来自专栏Opensource翻译专栏
Openstack Barbican部署选项如何保护您的云[Openstack]
PKCS#11插件+ HSM PKCS#11是最通用的插件之一。它将PKCS#11与硬件安全模块(HSM)对话,例如来自Yubikey、Thales、Safenet或ATOS的那些模块。 HSM存储两个主密钥:主加密密钥(MKEK)和主HMAC签名密钥。然后HSM使用这些密钥对各个租户密钥加密密钥(pkek)进行加密和签名。pkek用于为每个租户加密机密。 PKCS#11 +软件HSM 基于软件的HSM最初是DNSSEC集团的一个项目,是一个使用PKCS#11通信的加密设备的软件实现。与基于硬件的HSM一样,它使用多键方法。 在软件HSM中使用PKCS#11插件并不提供对硬件HSM的审计、篡改保护和安全认证。但是,与简单的加密相比,它确实提供了重要的改进,因为它允许更简单的密钥旋转和每个项目的kek。 3个外接KMS插件 KMIP 与PKCS#11插件一样,KMIP插件使用HSM来帮助保护秘密。区别在于KMIP插件的加密秘密直接存储在HSM上。
2.8K00发布于 2019-11-11 T-Sec 密钥管理系统 KMS 概要
商业差异化卖点 安全合规:HSM 获 FIPS-140-2 认证及国密合规,满足《密码法》《网络安全法》、PCI DSS、SOC 等国内外标准。 高可用低成本:单地域多机房部署,HSM 多机房集群+双机房冷备份;云 API3.0 分地域接入(统一域名+地域独立域名);无需自建密钥管理基础设施。 产品优势 安全合规:HSM 获 FIPS-140-2 认证及国密合规;满足《密码法》《网络安全法》、PCI DSS 等标准。 解决方案:采用香港金融云 KMS(底层 HSM 满足 FIPS 标准);密钥全流程自动化管控,一年一次密钥轮换(对用户透明);无缝集成云服务;多机房无状态部署。 解决方案:采用 KMS 独享版(独占 HSM 集群)+云产品集成加密(COS、CFS、TDSQL、CBS)。 成效:满足合规审查要求,实现云上数据存储加密。
20310编辑于 2026-04-30- 来自专栏SSL加密
新规要求OV 代码签名证书私钥强制硬件存储,“软证书”即将停发!
新颁发证书2023 年 06 月 01 日起,新颁发的OV代码签名证书及私钥,必须存储并安装在FIPS 140 2级以上、Common Criteria EAL 4级以上或同等认证级别的令牌或硬件安全模块(HSM 和EV代码签名证书一样,有三个选项供选择:使用沃通配置的硬件令牌使用您自己准备的硬件令牌安装在硬件安全模块(HSM)上硬件令牌和HSM设备必须经过FIPS 140 2级以上、Common Criteria EAL 4级以上或同等级别认证;要使用硬件安全模块(HSM),您必须提交包含审计函的证明函。 4、重新颁发证书从 2023 年 06 月 01 日起,重新颁发OV代码签名证书时,证书申请者必须在受支持的硬件令牌或硬件安全模块(HSM)上安装证书。
1.2K20编辑于 2023-03-31 - 来自专栏算法与数据结构
SpringBoot 引入第三方 jar
SpringBoot 引入第三方 jar 项目结构 -BCJS |--lib |--hsm-talos-1.0.1.jar |--src |--pom.xml step1 : 配置第三方 jar 依赖中引入第三方 jar <dependency> <groupId>cn.org.bjca.hms.client</groupId> <artifactId>hsm-talos <type>jar</type> <scope>system</scope> <systemPath>${project.basedir}/lib/hsm-talos <dependency> <groupId>cn.org.bjca.hms.client</groupId> <artifactId>hsm-talos <type>jar</type> <scope>system</scope> <systemPath>${project.basedir}/lib/hsm-talos
97410编辑于 2022-05-11 抗物理攻击拉满!安谋科技发布“山海”S30FP/S30P安全方案
该产品是完善的HSM子系统,全面增强抗物理攻击能力与系统可靠性,功能安全可达到最高等级ASIL D,助力客户芯片实现CC EAL4+及国密二级等高等级安全认证,并默认支持Arm® TrustZone®和硬件虚拟化 ●信息安全适应场景广:完整的HSM安全子系统,支持丰富的信息安全算法,通过可配置能力满足不同安全等级及不同应用场景的需求。 ●隔离层级丰富:独立的HSM子系统,内部CPU支持运行RTOS操作系统,提供内核隔离、应用隔离等多种隔离手段,为HSM内部支持多TA提供安全保障。 硬件层面,“山海”S30FP/S30P是完善的HSM子系统,支持多种国际通用算法以及中国商用密码算法,可按需灵活配置,较上一代增加SHA3、Whirlpool、ED25519/448等多种算法,同时,通过多种软硬件手段增强抗物理攻击的能力 软件方面,“山海”S30FP/S30P软件更加丰富,HSM内部CPU支持OS,为HSM中多安全TA提供更好的隔离,并提供完善的安全启动、安全调试,以及丰富的固件。
12410编辑于 2026-03-20腾讯云 T-Sec 密钥管理系统 (KMS) 核心能力与应用实践概要
一、 产品定位与核心亮点 腾讯云 T-Sec 密钥管理系统 (Key Management Service, KMS) 是一款基于硬件安全模块 (HSM) 的密钥全生命周期管理与数据加密服务。 功能框架 产品采用集群化高可用架构,通过云API 3.0对外提供服务,底层依赖多机房部署的HSM集群(含双机房冷备份),确保服务与设备的高可用性。 2. 高可用性与可靠性:服务与HSM均采用多机房集群化部署,提供地域级高可用保障。 迁移方案:提供从其他公有云KMS迁移至腾讯云KMS的方案,支持直接加密数据与信封加密数据的平滑迁移。 4. 四、 典型案例 案例1: 中国香港某保险公司 背景:业务云化过程中需满足香港保监会(IA)、金管局(HKMA)及证监局(SFC)的严格监管要求,包括HSM设备合规性与密钥管理策略。 解决方案:采用KMS独享版服务,为其提供独占的HSM集群,并与COS, CFS, TDSQL, CBS等云产品集成加密。 成效:满足了云上数据加密需求并通过了合规审查。
23810编辑于 2026-04-29- 来自专栏深度学习和计算机视觉
【CVPR 2025】高效视觉Mamba模块EfficientViM,即插即用!
本文贡献: HSM-SSD层设计:EfficientViM的核心是基于隐藏状态混合器的SSD层(HSM-SSD),该层通过在隐藏状态空间内进行通道混合操作,有效降低了计算成本。 EfficientViM块中HSM-SSD层的示意图在图2中呈现。 图2. (左) NC-SSD和(右) HSM-SSD层的示意图。 在HSM-SSD层中,计算密集型的投影通过HSM中的减少隐藏状态处理,如突出显示所示。红色、蓝色和橙色分别表示需要复杂度为O(LD^2)、O(LND)和O(ND^2)的操作。 Hidden State Mixer (HSM) 是一种用于优化计算效率的机制,它通过减少计算复杂度来提高模型性能。 单头设计:HSM-SSD采用单头设计,通过设置∆ ∈ RL×N和ˆa ∈ RN来估计每个状态的token重要性。
1.4K00编辑于 2025-03-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号