让您的数据对黑客毫无用处

确保敏感数据受到妥善保护是公认的头等大事，处理敏感的医疗健康数据时尤为如此。基于 IBM LinuxONE 构建的 Hyper Protect 云服务将安全性提升至更高水平。该 DBaaS 服务无需任何应用程序更改，即可提供与生俱来的静态与动态数据加密。与其他 DBaaS 云服务不同，它可确保只有您才能访问自己的数据。在云管理员无法访问密钥的情况下，加密服务使您能够完全掌控加密密钥管理情况。

自然灾害带来的一个非常不好的负面影响就是常常导致孤注一掷的恶意行为，从而让宝贵的数据面临风险。如果您正在构建一个存储个人信息的应用程序（关于受灾人群、敏感的医疗信息、财务数据等），那么数据安全性就不是一种可有可无的选择，而是必不可少的。我将向您展示如何使用密钥管理服务轻松地在应用程序中融入安全性，让数据对黑客毫无用处。

IBM Hyper Protect Crypto Services 是一套完整的加密和密钥管理服务，由 LinuxONE 技术支持；现在，云用户也可以使用银行和金融服务所依赖的最先进加密技术。

网络可寻址硬件安全模块提供行业标准的安全PKCS#11 加密 API 接口，可以支持包括 Java 、Javascript 和 Swift 在内的不同的编程语言。它通过 IBM Z 加密硬件 FIPS-140-2 4 级认证技术（这是可达到的最高级别），支持安全密钥操作和随机数生成。您可以通过 Advanced Cryptography Service Provider (ACSP) 客户端访问 Hyper Protect Crypto Services，该客户端与 ACSP 服务器通信，使您能够访问后端加密资源。 在当今的公共云市场上，这是业界第一个也是唯一一个获得 FIPS 140-2 4 级认证的技术。

大多数移动应用程序都依赖服务器后端来实现集中式服务。此编程示例向您展示了如何在没有专业技能的情况下，快速轻松地将 IBM Hyper Protect Crypto Services 集成到您的应用基础架构中。

学习目标

使用下面的说明，创建您自己的 Hyper Protect Crypto Service 实例，然后处理您的加密请求。 这将允许您在硬件安全模块 (HSM) 的物理保护下执行操作。这意味着什么呢？ 键（更精确地说，是键的实际 值 ）安全地隐藏在此特殊硬件中，同时可以参考密钥材料来执行一组预定义的加密操作。加密和解密是最常用的操作，而符合 PKCS＃11 标准的 HSM 则支持执行签名、验证、密钥生成等更多操作。此外，您还可以选择各种密钥类型和长度，进而完全贴合您的需求。

前提条件

完成此操作指南不需要任何技术前提条件。

预计花费时间

完成此活动大约需要 30 分钟。

步骤

您可以通过 3 个简单步骤来访问应用中经过认证的 PKCS#11 硬件安全模块支持的加密操作和服务：

1. 获取一个 IBM Cloud 帐户
2. 配置 IBM Cloud Crypto
3. 安装和配置客户端库

获取一个 IBM Cloud 帐户

如果您已有一个帐户，可跳过此步骤。否则，执行以下操作：

1. 导航到IBM Cloud Portal 以创建您的帐户，然后选择 Create a free account 。
2. 用注册数据填写表单，然后选择 Create account 。

选择和初始启动 HPCS

如果您尚未登录IBM Cloud 帐户，应进行登录。

1. 访问 IBM Cloud 服务目录 ，查看服务列表。
2. 在左侧的 All Categories 导航窗格中，单击 Security and Identity 。
3. 在服务列表中，单击 Hyper Protect Crypto Services 。
4. 选择 Hyper Protect Crypto Services Lite Plan ，然后单击 Create ，在您登录的帐户、区域和资源组中配置 IBM CloudCrypto 实例。

片刻之后，您的新加密服务应该启动并运行。恭喜，您已完成了一半！

在您的应用服务器中安装和配置客户端库

完成以下步骤，在本地环境中安装 ACSP 客户端库：

1. 从 GitHub 存储库下载安装包。在 packages 文件夹中，选择适合您的操作系统和 CPU 架构的安装包文件。例如，对于 x86 上的 Ubuntu，选择 acsp-pkcs11-client_1.5-3.5_amd64.deb 。
2. 使用 dpkg 命令安装包和 ACSP 客户端库。例如， dpkg -i acsp-pkcs11-client_1.5-3.5_amd64.deb 。

注意：在当前的实验阶段，Hyper Protect Crypto Services 仅提供自签名证书。

配置 ACSP 客户端，与云中的服务实例建立正确的安全通信通道（相互 TLS）：

1. 在 IBM Cloud 中的 Hyper Protect Crypto Services 服务实例中，从左侧导航栏中选择 Manage 。
2. 在 Manage 屏幕上，单击 Download Config 按钮以下载 acsp_client_credentials.uue 文件。
3. 将 acsp_client_credentials.uue 文件复制到本地环境中的 /opt/ibm/acsp-pkcs11-client/config 目录。
4. 在 /opt/ibm/acsp-pkcs11-client/config 目录中，使用以下命令解码文件：

   base64 --decode acsp_client_credentials.uue > acsp_client_credentials.tar

5. 使用以下命令提取客户端凭证文件：

   tar xf acsp_client_credentials.tar

6. 使用以下命令将 server-config 文件移动到默认位置：

   mv server-config/* ./

7. 使用以下命令重命名客户端凭证文件：

   mv acsp.properties.client acsp.properties

8. （可选）使用以下命令更改文件的组 ID：

   chown root.pkcs11 *

9. 启用 ACSP 以正确配置云中的服务实例：

   export ACSP_P11=/opt/ibm/acsp-pkcs11-client/config/acsp.properties

您的 ACSP 客户端现已正常运行，Hyper Protect Crypto Services 也已可供使用！

结束语

IBM 的 Hyper Protect Services 系列以应用程序构建块形式而构建，可用于将标准云组件替换为专门强化的变体。不论是静态数据、动态数据，还是在数据处理期间，这些变体都可以提供最值得信赖的数据保护。

参考资源

• 创建值得信赖的 iOS 应用
• 快速创建高度安全的数据库
• 灾难时分的技术
• 将企业零售供应商与防灾准备和灾后救济联系起来
• 分秒必争时刻：灾难来袭时保障数据安全

本文翻译自： Render your data useless to hackers （2018-06-04）