通过PKCS#11实现多个HSM

Question

我有多个SafeNet HSM，我希望在任何时候从单个客户端连接到所有这些HSM。我知道这不能通过PKCS#11完成，因为PKCS#11的概念是一次只有一个具有多个插槽的高速缓存。

那么，是否可以同时连接到多个HSM？

Answer 1

是的，Safenet的HSM模型支持高可用性模式。这允许应用程序看到一个虚拟HSM，而不是一组HSM。

Answer 2

我不确定这个问题是指为了不同的功能而连接到不同的HSM的能力，还是指在HSM之间进行负载平衡和提供故障转移的能力。

对于第一种情况，如果您有多个向客户端注册的HSM，它们应该显示为单独的插槽，并且您可以在PKCS #11代码中使用所需的插槽：

Output from ckdemo option 11 (Slot Info):

Slots available:
        slot#1 - LunaNet Slot
        slot#2 - LunaNet Slot

正如Raj提到的，Safenet露娜HSM确实具有允许负载平衡和故障转移的高可用性(HA)模式。在此基础上，如果您将HSM配置为使用HA，并使用vtl haAdmin命令在Safenet客户端上创建一个HA组，则除了各个HSM的单独插槽外，还会看到一个虚拟插槽：

ckdemo选项11的输出(插槽信息)：

Slots available:
        slot#1 - LunaNet Slot
        slot#2 - LunaNet Slot
        slot#3 - HA Virtual Card Slot 

现在，您可以使用PKCS #11代码中的虚拟插槽与HA池中的HSM连接，Safenet客户端软件将负责确定如何在HSM之间路由请求。