剖析網絡安全之數據加密解密問題

　本文以網絡數據加密為研究對象，以數據加密、解密的安全性、有效性為研究目的，通過對嵌入式加密設備、加密算法、數據有效傳輸以及數據證書管理的研究、可以得出的結論是：數據在通過特定設備的傳輸后，通過有效算法加密，在終端用戶目的機上解密，可以保證數據的完整性、有效性。

　 信息在傳輸過程中容易丟失或老受損，而有效的數據傳輸應該首先數據的完整性，通常在數據加密問題上，VPN 設備具有實現數據完整性傳輸的功能。通過對信息的鑒別能夠反應出其信息的真實性和有效性，數據加密采用了一種數學函數的力一式，即 HASH，數據在解密的時候通過 HASH 的函數運算，不過在這個數據包的傳輸過程中，如果通過對載體信息的比對發現，其關鍵詞或者摘要并不相同后者有所出入，則此信息比對產生數據誤差，需要對信息的傳輸進行反饋，同時指定該數據在傳輸過程中已經被盜或者失去完整性，不再具有參考價值。上面通過這樣一種方式來闡述數據加密解密的一種過程，無論采用何種方式或者設備對數據進行傳輸或者加工，都需要在設備的安裝以及數據的算法上進行精密的核準，從而保證數據的有效性。

　 1 設備加密

　 設備是企業級的存儲加密系統，這種基于硬件的系統旨在獲得高可用性和可擴一展性。

　 性能。DataFort 硬件提供 AES-256 加密、集成密鑰管理以及策略執行，對性能的影響兒乎可忽略不計。

　 可擴展性。初始部署后易于擴展，能夠用一個管理界面管理企業數百個設備。

　 簡單性。DataFort 是-種成套設備，對于應用程序/操作系統是透明的。

　 DataFort 是一種網關式應用服務器型產品，典型的部署方式是采后端加密方式運作，將DataFort直接接上IP交換器或光纖信道交換器，透過交換器將前端送來的數據指向DataFort，經 DataFort 加密后才會送到儲存裝置。在比較大型的 SANS 中也可采取前端加密部署，將前端的服務器分組分別接上 DataFort，然后再將數據經交換器送到儲存裝置上。DataFort 提供的加密機制為 AES256 與 SHA-1 與 SHA-256，產品有支持 IP 網絡環境的 E 系列、支持光纖 SAN 環境的 FC 系列，以及專門針對 SCSI 磁帶機的 S 系列。另外還有稱做 Lifetime Key Management 的密鑰管理應用服務器，可為網絡中的多部 DataFort 提供自動化的密鑰管理。圖 1 的典型部署網絡環境使用的基于硬件的加密設備使用的就是 DataFort F 系列：SAN/磁帶的 2Gbit 光纖通道。

　 2 服入式加密設備

　 2.1 設備

　 嵌入式加密設備在點對點的解決方案下，使得其擴展的難度比較大，成本較高。在存儲設備的服務器和數據加密請求的服務器之間運行的存儲區域網是嵌入式加密設備的所在，其工作方式是可以保護靜態數據，在對存儲設備的數據進行加密的同時，保證能對返回的數據進行解密。

　 為了縮小成本，通常跨分布式存儲安裝不再是成批量的硬件設備，對于整體而言，需要對每個設備進行單獨安裝，對于每個單獨安裝的設備都必須進行各自的配置和管理，從而保證能夠減小運行負擔，并且在運行上處于成本較小。

　2.2 管理加密數據

　 一旦確定了哪些數據需要加密，就必須決定怎樣解密這此數據以及按照什么規則解密。關于誰能看到加密數據和怎樣使用加密數據，要制定嚴格的策略。必須由合適應用中的合適用戶使用合適的機器訪問合適的數據庫。

　 把數據分門別類，然后按照所制訂的訪問協議，分別裝入不同的“保密容器”中，這些訪

　問協議規定誰可以訪問什么信息。高層 IT 管理人員需要全面控制密鑰建立和管理過程，如果沒有非常強大的密鑰管理系統，可能丟失所有數據。要確保了解密鑰管理和密鑰使用條件的所有含意和細節。

　 要定期測試密鑰系統。必須備份密鑰，并確定好密鑰和磁帶的恢復方法，以防發生災難。備份與恢復缺不可，要考慮加密標準問題。盡管有些專用設備支持多種標準，但是也有些只局限在一個標準上。要根據自己的數據存儲需求選擇所需標準。如果有些數據需要長時間保持機密狀態，那么就需要設備支持高級加密標準和大型密鑰。

　 2.3 安全路由

　 路由器的安全加密在于其在路由過程中構成的安全通道的問題。VPN 是其安全通道，安全路由器所具有的數據加密的功能使得數據在通過的時候會被其加密，這種加密過程通過一定的加密算法進行加密，無論是接受還是發送，數據在通過的時候都會發生加密，IP 數據在到達目標路由的時候會進行同樣的算法進行解密，數據傳輸過程中的 IP 值都是密文的形式，此種形式的傳播為式可以有效的杜絕信息的泄漏，從而形成能夠跨越公網的 Intranet。

　 3 廣域網加密

　 3.1PGP 證書管理中心

　 在廣域網內，對數據進行加密需要符合 PGP Certificate Server 支持 LDAP 和 NTTP 協議，并且在網絡系統中，建立一個以 PGP CertificateServer 為基礎的證書管理中心。這樣做是為了能夠實現 Web 接口應對管理員的功能，并且可以執行數據配置與報告數據狀態，對于遠程終端能夠保證在 Sun Solaris(SPARC)或 Microsoft Windows NT Server (Intel)平臺上成功實現。證書管理中心的優點是可以將 Lightweight Directoryaccess Protocol(LDAP)目錄和 PGP證書相結合，能夠靈活的處理各種配置數據和不同制度之間的差異性。

　 3.2 對文檔和電子郵件加密

　 廣域網上要求必須對文件系統和電子郵件能夠進行加密，基本上能符合 Windows 操作系統，能夠安裝 PGP for Business Security，這樣使得大型郵件在傳輸過程中才具有保密性，使得任何試圖打開郵件的非正常數據結構都無法進行。

　 3.3 應用系統中集成 PGP 加密

　 在很多領域，系統開發人員都需要結合該領域的特點進行數據加密，諸如商業系統、金融系統、電子商務方面，都需要利用 PGP SoftwareDevelopment Kit(PGP sdk)系統來實現復雜的數據加密，系統開發者通過對接口和錯誤處理協議的分析，可以 PGP sdk 采用 C/C++ API的方式進行。

推薦訪問： 網絡安全 剖析 加密解密