硬件安全模塊（HSM）是一個物理計算裝置使保障和管理數字鍵，執行加密和解密功能為數字簽名，強認證和其它密碼功能。這些模塊通常以插件卡或直接連接到計算機或網絡服務器的外部設備的形式出現。硬件安全模塊包含一個或多個安全密碼?處理器芯片。

由于它們在保護應用程序和基礎結構中所起的關鍵作用，硬件安全模塊和/或加密模塊通常經過國際公認的標準（例如，通用標準或FIPS 140）的認證，以向用戶提供產品和加密產品的設計和實現的獨立保證，算法是合理的。FIPS 140安全認證的最高級別是安全級別4（總體）。在金融支付應用中使用時，通常會根據付款卡行業安全標準委員會定義的HSM要求來驗證HSM的安全性。

可以在任何使用數字密鑰的應用程序中使用硬件安全模塊。通常，密鑰具有很高的價值-這意味著如果密鑰被盜用，會對密鑰所有者產生重大的負面影響。

硬件安全模塊的功能是：

• 機載安全加密密鑰生成
• 板載安全加密密鑰存儲，至少用于頂層和最敏感的密鑰，通常稱為主密鑰
• 密鑰管理
• 使用加密和敏感數據材料，例如執行加密或數字簽名功能
• 卸載應用服務器以獲得完整的非對稱和對稱加密。

還部署了硬件安全模塊，以管理數據庫的透明數據加密密鑰和存儲設備（例如磁盤或磁帶）的密鑰。

硬件安全模塊為這些材料（包括加密密鑰）提供邏輯和物理保護，以防泄露，未經授權的使用和潛在的攻擊者。

硬件安全模塊支持對稱和非對稱（公鑰）加密。對于某些應用程序，例如證書頒發機構和數字簽名，加密材料是在公共密鑰加密中使用的非對稱密鑰對（和證書）。對于其他應用程序，例如數據加密或金融支付系統，加密材料主要由對稱密鑰組成。

一些HSM系統也是硬件加密加速器。對于對稱鍵操作，它們通常無法擊敗純硬件解決方案的性能。但是，由于性能范圍為每秒1到10,000個1024位RSA符號，HSM可以為非對稱密鑰操作提供大量的CPU負載。由于美國國家標準技術研究院（NIST）從2010年開始建議使用2,048位RSA密鑰，因此密鑰長度較長時的性能變得越來越重要。為解決此問題，大多數HSM現在都支持橢圓曲線加密（ ECC），可使用較短的密鑰長度提供更強大的加密。

在PKI環境中，證書頒發機構（CA）和注冊機構（RA）可以使用HSM?生成，存儲和處理非對稱密鑰對。在這些情況下，設備必須具有一些基本功能，即：

• 邏輯和物理高級保護
• 多部分用戶授權方案
• 完整的審核和日志跟蹤
• 安全密鑰備份

另一方面，在PKI環境中，在聯機和脫機操作中，設備性能通常都不太重要，因為注冊機構的程序代表了基礎結構的性能瓶頸。

專用HSM在支付卡行業中使用。硬件安全模塊支持處理交易和遵守行業標準所需的通用功能和專用功能。它們通常不具有標準API。

典型的應用是交易授權和支付卡個性化，需要以下功能：

• 驗證用戶輸入的PIN與發卡機構已知的參考PIN匹配
• 通過檢查卡安全碼或通過與ATM控制器或POS終端一起執行基于EMV的交易的主機處理組件，來驗證信用卡/借記卡交易
• 通過智能卡（例如EMV）支持crypto-API
• 重新加密PIN塊以將其發送到另一個授權主機
• 執行安全密鑰管理
• 支持POS ATM網絡管理協議
• 支持事實上的主機-主機密鑰標準|?數據交換API
• 生成并打印“ PIN郵件”
• 生成磁條卡（PVV、CVV）的數據
• 生成卡密鑰集并支持智能卡的個性化過程

制定和維護銀行市場上HSM的標準的主要組織是“?支付卡行業安全標準委員會”，ANS X9和ISO。

必須使用HTTPS（SSL?/?TLS）的對性能有嚴格要求的應用程序可以通過將RSA操作（通常需要幾次大整數乘法）從主機CPU移到HSM設備而從SSL加速HSM中受益。典型的HSM設備每秒可以執行大約1到10,000個1024位RSA操作。在更長的密鑰大小下，某些性能變得越來越重要。為了解決這個問題，一些HSM現在支持ECC。專用的HSM設備可以達到每秒20,000次操作的數量。

越來越多的注冊管理機構使用HSM來存儲用于簽署大型區域文件的密鑰材料。OpenDNSSEC是用于使用HSM管理DNS區域文件簽名的開源工具。

2007年1月27日，針對根區域的DNSSEC部署正式開始。它是由ICANN和Verisign在美國商務部的支持下進行的。根簽名的詳細信息可以在根DNSSEC的網站上找到。

可以將加密貨幣存儲在硬件安全模塊上的xxx錢包中。