物联传媒 旗下网站
登录 注册
RFID世界网 >  技术文章  >  其他  >  正文

剖析网络安全之数据加密解密问题

作者:王琭珉
来源:万方数据
日期:2012-02-28 09:29:21
摘要:本文以网络数据加密为研究对象,以数据加密、解密的安全性、有效性为研究目的,通过对嵌入式加密设备、加密算法、数据有效传输以及数据证书管理的研究、可以得出的结论是:数据在通过特定设备的传输后,通过有效算法加密,在终端用户目的机上解密,可以保证数据的完整性、有效性。

  本文以网络数据加密为研究对象,以数据加密、解密的安全性、有效性为研究目的,通过对嵌入式加密设备、加密算法、数据有效传输以及数据证书管理的研究、可以得出的结论是:数据在通过特定设备的传输后,通过有效算法加密,在终端用户目的机上解密,可以保证数据的完整性、有效性。

  信息在传输过程中容易丢失或老受损,而有效的数据传输应该首先数据的完整性,通常在数据加密问题上,VPN设备具有实现数据完整性传输的功能。通过对信息的鉴别能够反应出其信息的真实性和有效性,数据加密采用了一种数学函数的力一式,即HASH,数据在解密的时候通过HASH的函数运算,不过在这个数据包的传输过程中,如果通过对载体信息的比对发现,其关键词或者摘要并不相同后者有所出入,则此信息比对产生数据误差,需要对信息的传输进行反馈,同时指定该数据在传输过程中已经被盗或者失去完整性,不再具有参考价值。上面通过这样一种方式来阐述数据加密解密的一种过程,无论采用何种方式或者设备对数据进行传输或者加工,都需要在设备的安装以及数据的算法上进行精密的核准,从而保证数据的有效性。

  1设备加密

  设备是企业级的存储加密系统,这种基于硬件的系统旨在获得高可用性和可扩一展性。

  性能。DataFort硬件提供AES-256加密、集成以及策略执行,对性能的影响儿乎可忽略不计。

  可扩展性。初始部署后易于扩展,能够用一个管理界面管理企业数百个设备。

  简单性。DataFort是-种成套设备,对于应用程序/操作系统是透明的。

  DataFort是一种网关式应用服务器型产品,典型的部署方式是采后端加密方式运作,将DataFort直接接上IP交换器或光纤信道交换器,透过交换器将前端送来的数据指向DataFort,经DataFort加密后才会送到储存装置。在比较大型的SANS中也可采取前端加密部署,将前端的服务器分组分别接上DataFort,然后再将数据经交换器送到储存装置上。DataFort提供的加密机制为AES256与SHA-1与SHA-256,产品有支持IP网络环境的E系列、支持光纤SAN环境的FC系列,以及专门针对SCSI磁带机的S系列。另外还有称做Lifetime Key Management的密钥管理应用服务器,可为网络中的多部DataFort提供自动化的密钥管理。图1的典型部署网络环境使用的基于硬件的加密设备使用的就是DataFort F系列:SAN/磁带的2Gbit光纤通道。

  2服入式加密设备

  2.1设备

  嵌入式加密设备在点对点的解决方案下,使得其扩展的难度比较大,成本较高。在存储设备的服务器和数据加密请求的服务器之间运行的存储区域网是嵌入式加密设备的所在,其工作方式是可以保护静态数据,在对存储设备的数据进行加密的同时,保证能对返回的数据进行解密。

  为了缩小成本,通常跨分布式存储安装不再是成批量的硬件设备,对于整体而言,需要对每个设备进行单独安装,对于每个单独安装的设备都必须进行各自的配置和管理,从而保证能够减小运行负担,并且在运行上处于成本较小。

  2.2管理加密数据

  一旦确定了哪些数据需要加密,就必须决定怎样解密这此数据以及按照什么规则解密。关于谁能看到加密数据和怎样使用加密数据,要制定严格的策略。必须由合适应用中的合适用户使用合适的机器访问合适的数据库。

  把数据分门别类,然后按照所制订的访问协议,分别装入不同的“保密容器”中,这些访问协议规定谁可以访问什么信息。高层IT管理人员需要全面控制密钥建立和管理过程,如果没有非常强大的密钥管理系统,可能丢失所有数据。要确保了解密钥管理和密钥使用条件的所有含意和细节。

  要定期测试密钥系统。必须备份密钥,并确定好密钥和磁带的恢复方法,以防发生灾难。备份与恢复缺不可,要考虑加密标准问题。尽管有些专用设备支持多种标准,但是也有些只局限在一个标准上。要根据自己的数据存储需求选择所需标准。如果有些数据需要长时间保持机密状态,那么就需要设备支持高级加密标准和大型密钥。

  2.3安全路由

  路由器的安全加密在于其在路由过程中构成的安全通道的问题。VPN是其安全通道,安全路由器所具有的数据加密的功能使得数据在通过的时候会被其加密,这种加密过程通过一定的加密算法进行加密,无论是接受还是发送,数据在通过的时候都会发生加密,IP数据在到达目标路由的时候会进行同样的算法进行解密,数据传输过程中的IP值都是密文的形式,此种形式的传播为式可以有效的杜绝信息的泄漏,从而形成能够跨越公网的Intranet。

  3广域网加密

  3.1PGP证书管理中心

  在广域网内,对数据进行加密需要符合PGP Certificate Server支持LDAP和NTTP协议,并且在网络系统中,建立一个以PGP CertificateServer为基础的证书管理中心。这样做是为了能够实现Web接口应对管理员的功能,并且可以执行数据配置与报告数据状态,对于远程终端能够保证在Sun Solaris(SPARC)或Microsoft Windows NT Server (Intel)平台上成功实现。证书管理中心的优点是可以将Lightweight Directoryaccess Protocol(LDAP)目录和PGP证书相结合,能够灵活的处理各种配置数据和不同制度之间的差异性。

  3.2对文档和电子邮件加密

  广域网上要求必须对文件系统和电子邮件能够进行加密,基本上能符合Windows操作系统,能够安装PGP for Business Security,这样使得大型邮件在传输过程中才具有保密性,使得任何试图打开邮件的非正常数据结构都无法进行。

  3.3应用系统中集成PGP加密

  在很多领域,系统开发人员都需要结合该领域的特点进行数据加密,诸如商业系统、金融系统、电子商务方面,都需要利用PGP SoftwareDevelopment Kit(PGP sdk)系统来实现复杂的数据加密,系统开发者通过对接口和错误处理协议的分析,可以PGP sdk采用C/C++ API的方式进行。