剖析網(wǎng)絡(luò)安全之?dāng)?shù)據(jù)加密解密問題

剖析網(wǎng)絡(luò)安全之?dāng)?shù)據(jù)加密解密問題

通過對信息的鑒別能夠反應(yīng)出其信息的真實(shí)性和有效性，數(shù)據(jù)加密采用了一種數(shù)學(xué)函數(shù)的力一式，即HASH，數(shù)據(jù)在解密的時(shí)候通過HASH的函數(shù)運(yùn)算，不過在這個(gè)數(shù)據(jù)包的傳輸過程中，如果通過對載體信息的比對發(fā)現(xiàn)，其關(guān)鍵詞或者摘要并不相同后者有所出入，則此信息比對產(chǎn)生數(shù)據(jù)誤差，需要對信息的傳輸進(jìn)行反饋，同時(shí)指定該數(shù)據(jù)在傳輸過程中已經(jīng)被盜或者失去完整性，不再具有參考價(jià)值。上面通過這樣一種方式來闡述數(shù)據(jù)加密解密的一種過程，無論采用何種方式或者設(shè)備對數(shù)據(jù)進(jìn)行傳輸或者加工，都需要在設(shè)備的安裝以及數(shù)據(jù)的算法上進(jìn)行精密的核準(zhǔn)，從而保證數(shù)據(jù)的有效性。1、設(shè)備加密設(shè)備是企業(yè)級的存儲(chǔ)加密系統(tǒng)，這種基于硬件的系統(tǒng)旨在獲得高可用性和可擴(kuò)一展性。性能。DataFort硬件提供AES-256加密、集成密鑰管理以及策略執(zhí)行，對性能的影響兒乎可忽略不計(jì)?？蓴U(kuò)展性。初始部署后易于擴(kuò)展，能夠用一個(gè)管理界面管理企業(yè)數(shù)百個(gè)設(shè)備。簡單性。DataFort是-種成套設(shè)備，對于應(yīng)用程序/操作系統(tǒng)是透明的。DataFort是一種網(wǎng)關(guān)式應(yīng)用服務(wù)器型產(chǎn)品，典型的部署方式是采后端加密方式運(yùn)作，將DataFort直接接上IP交換器或光纖信道交換器，透過交換器將前端送來的數(shù)據(jù)指向DataFort，經(jīng)DataFort加密后才會(huì)送到儲(chǔ)存裝置。在比較大型的SANS中也可采取前端加密部署，將前端的服務(wù)器分組分別接上DataFort，然后再將數(shù)據(jù)經(jīng)交換器送到儲(chǔ)存裝置上。DataFort提供的加密機(jī)制為AES256與SHA-1與SHA-256，產(chǎn)品有支持IP網(wǎng)絡(luò)環(huán)境的E系列、支持光纖SAN環(huán)境的FC系列，以及專門針對SCSI磁帶機(jī)的S系列。另外還有稱做LifetimeKeyManagement的密鑰管理應(yīng)用服務(wù)器，可為網(wǎng)絡(luò)中的多部DataFort提供自動(dòng)化的密鑰管理。圖1的典型部署網(wǎng)絡(luò)環(huán)境使用的基于硬件的加密設(shè)備使用的就是DataFortF系列：SAN/磁帶的2Gbit光纖通道。2、服入式加密設(shè)備2.1設(shè)備嵌入式加密設(shè)備在點(diǎn)對點(diǎn)的解決方案下，使得其擴(kuò)展的難度比較大，成本較高。在存儲(chǔ)設(shè)備的服務(wù)器和數(shù)據(jù)加密請求的服務(wù)器之間運(yùn)行的存儲(chǔ)區(qū)域網(wǎng)是嵌入式加密設(shè)備的所在，其工作方式是可以保護(hù)靜態(tài)數(shù)據(jù)，在對存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行加密的同時(shí)，保證能對返回的數(shù)據(jù)進(jìn)行解密。為了縮小成本，通常跨分布式存儲(chǔ)安裝不再是成批量的硬件設(shè)備，對于整體而言，需要對每個(gè)設(shè)備進(jìn)行單獨(dú)安裝，對于每個(gè)單獨(dú)安裝的設(shè)備都必須進(jìn)行各自的配置和管理，從而保證能夠減小運(yùn)行負(fù)擔(dān)，并且在運(yùn)行上處于成本較小。2.2管理加密數(shù)據(jù)一旦確定了哪些數(shù)據(jù)需要加密，就必須決定怎樣解密這此數(shù)據(jù)以及按照什么規(guī)則解密。關(guān)于誰能看到加密數(shù)據(jù)和怎樣使用加密數(shù)據(jù)，要制定嚴(yán)格的策略。必須由合適應(yīng)用中的合適用戶使用合適的機(jī)器訪問合適的數(shù)據(jù)庫。把數(shù)據(jù)分門別類，然后按照所制訂的訪問協(xié)議，分別裝入不同的“保密容器”中，這些訪問協(xié)議規(guī)定誰可以訪問什么信息。高層IT管理人員需要全面控制密鑰建立和管理過程，如果沒有非常強(qiáng)大的密鑰管理系統(tǒng)，可能丟失所有數(shù)據(jù)。要確保了解密鑰管理和密鑰使用條件的所有含意和細(xì)節(jié)。要定期測試密鑰系統(tǒng)。必須備份密鑰，并確定好密鑰和磁帶的恢復(fù)方法，以防發(fā)生災(zāi)難。備份與恢復(fù)缺不可，要考慮加密標(biāo)準(zhǔn)問題。盡管有些專用設(shè)備支持多種標(biāo)準(zhǔn)，但是也有些只局限在一個(gè)標(biāo)準(zhǔn)上。要根據(jù)自己的數(shù)據(jù)存儲(chǔ)需求選擇所需標(biāo)準(zhǔn)。如果有些數(shù)據(jù)需要長時(shí)間保持機(jī)密狀態(tài)，那么就需要設(shè)備支持高級加密標(biāo)準(zhǔn)和大型密鑰。2.3安全路由路由器的安全加密在于其在路由過程中構(gòu)成的安全通道的問題。VPN是其安全通道，安全路由器所具有的數(shù)據(jù)加密的功能使得數(shù)據(jù)在通過的時(shí)候會(huì)被其加密，這種加密過程通過一定的加密算法進(jìn)行加密，無論是接受還是發(fā)送，數(shù)據(jù)在通過的時(shí)候都會(huì)發(fā)生加密，IP數(shù)據(jù)在到達(dá)目標(biāo)路由的時(shí)候會(huì)進(jìn)行同樣的算法進(jìn)行解密，數(shù)據(jù)傳輸過程中的IP值都是密文的形式，此種形式的傳播為式可以有效的杜絕信息的泄漏，從而形成能夠跨越公網(wǎng)的Intranet。3、廣域網(wǎng)加密3.1PGP證書管理中心在廣域網(wǎng)內(nèi)，對數(shù)據(jù)進(jìn)行加密需要符合PGPCertificateServer支持LDAP和NTTP協(xié)議，并且在網(wǎng)絡(luò)系統(tǒng)中，建立一個(gè)以PGPCertificateServer為基礎(chǔ)的證書管理中心。這樣做是為了能夠?qū)崿F(xiàn)Web接口應(yīng)對管理員的功能，并且可以執(zhí)行數(shù)據(jù)配置與報(bào)告數(shù)據(jù)狀態(tài)，對于遠(yuǎn)程終端能夠保證在SunSolaris(SPARC)或MicrosoftWindowsNTServer(Intel)平臺上成功實(shí)現(xiàn)。證書管理中心的優(yōu)點(diǎn)是可以將LightweightDirectoryaccessProtocol(LDAP)目錄和PGP證書相結(jié)合，能夠靈活的處理各種配置數(shù)據(jù)和不同制度之間的差異性。3.2對文檔和電子郵件加密廣域網(wǎng)上要求必須對文件系統(tǒng)和電子郵件能夠進(jìn)行加密，基