剖析網(wǎng)絡(luò)安全之?dāng)?shù)據(jù)加密解密問題
本文以網(wǎng)絡(luò)數(shù)據(jù)加密為研究對象,以數(shù)據(jù)加密、解密的安全性、有效性為研究目的,通過對嵌入式加密設(shè)備、加密算法、數(shù)據(jù)有效傳輸以及數(shù)據(jù)證書管理的研究、可以得出的結(jié)論是:數(shù)據(jù)在通過特定設(shè)備的傳輸后,通過有效算法加密,在終端用戶目的機(jī)上解密,可以保證數(shù)據(jù)的完整性、有效性。
信息在傳輸過程中容易丟失或老受損,而有效的數(shù)據(jù)傳輸應(yīng)該首先數(shù)據(jù)的完整性,通常在數(shù)據(jù)加密問題上,VPN 設(shè)備具有實(shí)現(xiàn)數(shù)據(jù)完整性傳輸?shù)墓δ堋Mㄟ^對信息的鑒別能夠反應(yīng)出其信息的真實(shí)性和有效性,數(shù)據(jù)加密采用了一種數(shù)學(xué)函數(shù)的力一式,即 HASH,數(shù)據(jù)在解密的時(shí)候通過 HASH 的函數(shù)運(yùn)算,不過在這個(gè)數(shù)據(jù)包的傳輸過程中,如果通過對載體信息的比對發(fā)現(xiàn),其關(guān)鍵詞或者摘要并不相同后者有所出入,則此信息比對產(chǎn)生數(shù)據(jù)誤差,需要對信息的傳輸進(jìn)行反饋,同時(shí)指定該數(shù)據(jù)在傳輸過程中已經(jīng)被盜或者失去完整性,不再具有參考價(jià)值。上面通過這樣一種方式來闡述數(shù)據(jù)加密解密的一種過程,無論采用何種方式或者設(shè)備對數(shù)據(jù)進(jìn)行傳輸或者加工,都需要在設(shè)備的安裝以及數(shù)據(jù)的算法上進(jìn)行精密的核準(zhǔn),從而保證數(shù)據(jù)的有效性。
1 設(shè)備加密
設(shè)備是企業(yè)級的存儲(chǔ)加密系統(tǒng),這種基于硬件的系統(tǒng)旨在獲得高可用性和可擴(kuò)一展性。
性能。DataFort 硬件提供 AES-256 加密、集成密鑰管理以及策略執(zhí)行,對性能的影響兒乎可忽略不計(jì)。
可擴(kuò)展性。初始部署后易于擴(kuò)展,能夠用一個(gè)管理界面管理企業(yè)數(shù)百個(gè)設(shè)備。
簡單性。DataFort 是-種成套設(shè)備,對于應(yīng)用程序/操作系統(tǒng)是透明的。
DataFort 是一種網(wǎng)關(guān)式應(yīng)用服務(wù)器型產(chǎn)品,典型的部署方式是采后端加密方式運(yùn)作,將DataFort直接接上IP交換器或光纖信道交換器,透過交換器將前端送來的數(shù)據(jù)指向DataFort,經(jīng) DataFort 加密后才會(huì)送到儲(chǔ)存裝置。在比較大型的 SANS 中也可采取前端加密部署,將前端的服務(wù)器分組分別接上 DataFort,然后再將數(shù)據(jù)經(jīng)交換器送到儲(chǔ)存裝置上。DataFort 提供的加密機(jī)制為 AES256 與 SHA-1 與 SHA-256,產(chǎn)品有支持 IP 網(wǎng)絡(luò)環(huán)境的 E 系列、支持光纖 SAN 環(huán)境的 FC 系列,以及專門針對 SCSI 磁帶機(jī)的 S 系列。另外還有稱做 Lifetime Key Management 的密鑰管理應(yīng)用服務(wù)器,可為網(wǎng)絡(luò)中的多部 DataFort 提供自動(dòng)化的密鑰管理。圖 1 的典型部署網(wǎng)絡(luò)環(huán)境使用的基于硬件的加密設(shè)備使用的就是 DataFort F 系列:SAN/磁帶的 2Gbit 光纖通道。
2 服入式加密設(shè)備
2.1 設(shè)備
嵌入式加密設(shè)備在點(diǎn)對點(diǎn)的解決方案下,使得其擴(kuò)展的難度比較大,成本較高。在存儲(chǔ)設(shè)備的服務(wù)器和數(shù)據(jù)加密請求的服務(wù)器之間運(yùn)行的存儲(chǔ)區(qū)域網(wǎng)是嵌入式加密設(shè)備的所在,其工作方式是可以保護(hù)靜態(tài)數(shù)據(jù),在對存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行加密的同時(shí),保證能對返回的數(shù)據(jù)進(jìn)行解密。
為了縮小成本,通常跨分布式存儲(chǔ)安裝不再是成批量的硬件設(shè)備,對于整體而言,需要對每個(gè)設(shè)備進(jìn)行單獨(dú)安裝,對于每個(gè)單獨(dú)安裝的設(shè)備都必須進(jìn)行各自的配置和管理,從而保證能夠減小運(yùn)行負(fù)擔(dān),并且在運(yùn)行上處于成本較小。
2.2 管理加密數(shù)據(jù)
一旦確定了哪些數(shù)據(jù)需要加密,就必須決定怎樣解密這此數(shù)據(jù)以及按照什么規(guī)則解密。關(guān)于誰能看到加密數(shù)據(jù)和怎樣使用加密數(shù)據(jù),要制定嚴(yán)格的策略。必須由合適應(yīng)用中的合適用戶使用合適的機(jī)器訪問合適的數(shù)據(jù)庫。
把數(shù)據(jù)分門別類,然后按照所制訂的訪問協(xié)議,分別裝入不同的“保密容器”中,這些訪
問協(xié)議規(guī)定誰可以訪問什么信息。高層 IT 管理人員需要全面控制密鑰建立和管理過程,如果沒有非常強(qiáng)大的密鑰管理系統(tǒng),可能丟失所有數(shù)據(jù)。要確保了解密鑰管理和密鑰使用條件的所有含意和細(xì)節(jié)。
要定期測試密鑰系統(tǒng)。必須備份密鑰,并確定好密鑰和磁帶的恢復(fù)方法,以防發(fā)生災(zāi)難。備份與恢復(fù)缺不可,要考慮加密標(biāo)準(zhǔn)問題。盡管有些專用設(shè)備支持多種標(biāo)準(zhǔn),但是也有些只局限在一個(gè)標(biāo)準(zhǔn)上。要根據(jù)自己的數(shù)據(jù)存儲(chǔ)需求選擇所需標(biāo)準(zhǔn)。如果有些數(shù)據(jù)需要長時(shí)間保持機(jī)密狀態(tài),那么就需要設(shè)備支持高級加密標(biāo)準(zhǔn)和大型密鑰。
2.3 安全路由
路由器的安全加密在于其在路由過程中構(gòu)成的安全通道的問題。VPN 是其安全通道,安全路由器所具有的數(shù)據(jù)加密的功能使得數(shù)據(jù)在通過的時(shí)候會(huì)被其加密,這種加密過程通過一定的加密算法進(jìn)行加密,無論是接受還是發(fā)送,數(shù)據(jù)在通過的時(shí)候都會(huì)發(fā)生加密,IP 數(shù)據(jù)在到達(dá)目標(biāo)路由的時(shí)候會(huì)進(jìn)行同樣的算法進(jìn)行解密,數(shù)據(jù)傳輸過程中的 IP 值都是密文的形式,此種形式的傳播為式可以有效的杜絕信息的泄漏,從而形成能夠跨越公網(wǎng)的 Intranet。
3 廣域網(wǎng)加密
3.1PGP 證書管理中心
在廣域網(wǎng)內(nèi),對數(shù)據(jù)進(jìn)行加密需要符合 PGP Certificate Server 支持 LDAP 和 NTTP 協(xié)議,并且在網(wǎng)絡(luò)系統(tǒng)中,建立一個(gè)以 PGP CertificateServer 為基礎(chǔ)的證書管理中心。這樣做是為了能夠?qū)崿F(xiàn) Web 接口應(yīng)對管理員的功能,并且可以執(zhí)行數(shù)據(jù)配置與報(bào)告數(shù)據(jù)狀態(tài),對于遠(yuǎn)程終端能夠保證在 Sun Solaris(SPARC)或 Microsoft Windows NT Server (Intel)平臺(tái)上成功實(shí)現(xiàn)。證書管理中心的優(yōu)點(diǎn)是可以將 Lightweight Directoryaccess Protocol(LDAP)目錄和 PGP證書相結(jié)合,能夠靈活的處理各種配置數(shù)據(jù)和不同制度之間的差異性。
3.2 對文檔和電子郵件加密
廣域網(wǎng)上要求必須對文件系統(tǒng)和電子郵件能夠進(jìn)行加密,基本上能符合 Windows 操作系統(tǒng),能夠安裝 PGP for Business Security,這樣使得大型郵件在傳輸過程中才具有保密性,使得任何試圖打開郵件的非正常數(shù)據(jù)結(jié)構(gòu)都無法進(jìn)行。
3.3 應(yīng)用系統(tǒng)中集成 PGP 加密
在很多領(lǐng)域,系統(tǒng)開發(fā)人員都需要結(jié)合該領(lǐng)域的特點(diǎn)進(jìn)行數(shù)據(jù)加密,諸如商業(yè)系統(tǒng)、金融系統(tǒng)、電子商務(wù)方面,都需要利用 PGP SoftwareDevelopment Kit(PGP sdk)系統(tǒng)來實(shí)現(xiàn)復(fù)雜的數(shù)據(jù)加密,系統(tǒng)開發(fā)者通過對接口和錯(cuò)誤處理協(xié)議的分析,可以 PGP sdk 采用 C/C++ API的方式進(jìn)行。
推薦訪問: 網(wǎng)絡(luò)安全 剖析 加密解密在偉大祖國73華誕之際,我參加了單位組織的“光影鑄魂”主題黨日活動(dòng),集中觀看了抗美援朝題材影片《長津湖》,再一次重溫這段悲壯歷史,再一次深刻感悟偉大抗美援朝精神。1950年10月,新中國剛剛成立一年,
根據(jù)省局黨組《關(guān)于舉辦習(xí)近平談治國理政(第四卷)讀書班的通知》要求,我中心通過專題學(xué)習(xí)、專題研討以及交流分享等形式,系統(tǒng)的對《習(xí)近平談治國理政》(第四卷)進(jìn)行了深入的學(xué)習(xí)與交流,下面我就來談一談我個(gè)人
《習(xí)近平談治國理政》(第四卷)是在百年變局和世紀(jì)疫情相互疊加的大背景下,對以習(xí)近平同志為核心的黨中央治國理政重大戰(zhàn)略部署、重大理論創(chuàng)造、重大思想引領(lǐng)的系統(tǒng)呈現(xiàn)。它生動(dòng)記錄了新一代黨中央領(lǐng)導(dǎo)集體統(tǒng)籌兩個(gè)
《真抓實(shí)干做好新發(fā)展階段“三農(nóng)工作”》是《習(xí)近平談治國理政》第四卷中的文章,這是習(xí)近平總書記在2020年12月28日中央農(nóng)村工作會(huì)議上的集體學(xué)習(xí)時(shí)的講話。文章指出,我常講,領(lǐng)導(dǎo)干部要胸懷黨和國家工作大
在《習(xí)近平談治國理政》第四卷中,習(xí)近平總書記強(qiáng)調(diào),江山就是人民,人民就是江山,打江山、守江山,守的是人民的心。從嘉興南湖中駛出的小小紅船,到世界上最大的執(zhí)政黨,在中國共產(chǎn)黨的字典里,“人民”一詞從來都
黨的十八大以來,習(xí)近平總書記以馬克思主義戰(zhàn)略家的博大胸襟和深謀遠(yuǎn)慮,在治國理政和推動(dòng)全球治理中牢固樹立戰(zhàn)略意識(shí),在不同場合多次圍繞戰(zhàn)略策略的重要性,戰(zhàn)略和策略的關(guān)系,提高戰(zhàn)略思維、堅(jiān)定戰(zhàn)略自信、強(qiáng)化戰(zhàn)
《習(xí)近平談治國理政》第四卷集中展示了以習(xí)近平同志為核心的黨中央在百年變局和世紀(jì)疫情相互疊加背景下,如何更好地堅(jiān)持和發(fā)展中國特色社會(huì)主義而進(jìn)行的生動(dòng)實(shí)踐與理論探索;對于新時(shí)代堅(jiān)持和發(fā)展什么樣的中國特色社
在黨組織的關(guān)懷下,我有幸參加了區(qū)委組織部組織的入黨積極分子培訓(xùn)班。為期一周的學(xué)習(xí),學(xué)習(xí)形式多樣,課程內(nèi)容豐富,各位專家的講解細(xì)致精彩,對于我加深對黨的創(chuàng)新理論的認(rèn)識(shí)、對黨的歷史的深入了解、對中共黨員的
《習(xí)近平談治國理政》第四卷《共建網(wǎng)上美好精神家園》一文中指出:網(wǎng)絡(luò)玩命是新形勢下社會(huì)文明的重要內(nèi)容,是建設(shè)網(wǎng)絡(luò)強(qiáng)國的重要領(lǐng)域。截至2021年12月,我國網(wǎng)民規(guī)模達(dá)10 32億,較2020年12月增長4
剛剛召開的中國共產(chǎn)黨第十九屆中央委員會(huì)第七次全體會(huì)議上討論并通過了黨的十九屆中央委員會(huì)向中國共產(chǎn)黨第二十次全國代表大會(huì)的報(bào)告、黨的十九屆中央紀(jì)律檢查委員會(huì)向中國共產(chǎn)黨第二十次全國代表大會(huì)的工作報(bào)告和《