剖析網(wǎng)絡(luò)安全之?dāng)?shù)據(jù)加密解密問(wèn)題

　　本文以網(wǎng)絡(luò)數(shù)據(jù)加密為研究對(duì)象，以數(shù)據(jù)加密、解密的安全性、有效性為研究目的，通過(guò)對(duì)嵌入式加密設(shè)備、加密算法、數(shù)據(jù)有效傳輸以及數(shù)據(jù)證書(shū)管理的研究、可以得出的結(jié)論是：數(shù)據(jù)在通過(guò)特定設(shè)備的傳輸后，通過(guò)有效算法加密，在終端用戶目的機(jī)上解密，可以保證數(shù)據(jù)的完整性、有效性。

　　信息在傳輸過(guò)程中容易丟失或老受損，而有效的數(shù)據(jù)傳輸應(yīng)該首先數(shù)據(jù)的完整性，通常在數(shù)據(jù)加密問(wèn)題上，VPN設(shè)備具有實(shí)現(xiàn)數(shù)據(jù)完整性傳輸?shù)墓δ?。通過(guò)對(duì)信息的鑒別能夠反應(yīng)出其信息的真實(shí)性和有效性，數(shù)據(jù)加密采用了一種數(shù)學(xué)函數(shù)的力一式，即HASH，數(shù)據(jù)在解密的時(shí)候通過(guò)HASH的函數(shù)運(yùn)算，不過(guò)在這個(gè)數(shù)據(jù)包的傳輸過(guò)程中，如果通過(guò)對(duì)載體信息的比對(duì)發(fā)現(xiàn)，其關(guān)鍵詞或者摘要并不相同后者有所出入，則此信息比對(duì)產(chǎn)生數(shù)據(jù)誤差，需要對(duì)信息的傳輸進(jìn)行反饋，同時(shí)指定該數(shù)據(jù)在傳輸過(guò)程中已經(jīng)被盜或者失去完整性，不再具有參考價(jià)值。上面通過(guò)這樣一種方式來(lái)闡述數(shù)據(jù)加密解密的一種過(guò)程，無(wú)論采用何種方式或者設(shè)備對(duì)數(shù)據(jù)進(jìn)行傳輸或者加工，都需要在設(shè)備的安裝以及數(shù)據(jù)的算法上進(jìn)行精密的核準(zhǔn)，從而保證數(shù)據(jù)的有效性。

　　1設(shè)備加密

　　設(shè)備是企業(yè)級(jí)的存儲(chǔ)加密系統(tǒng)，這種基于硬件的系統(tǒng)旨在獲得高可用性和可擴(kuò)一展性。

　　性能。DataFort硬件提供AES-256加密、集成以及策略執(zhí)行，對(duì)性能的影響兒乎可忽略不計(jì)。

　　可擴(kuò)展性。初始部署后易于擴(kuò)展，能夠用一個(gè)管理界面管理企業(yè)數(shù)百個(gè)設(shè)備。

　　簡(jiǎn)單性。DataFort是-種成套設(shè)備，對(duì)于應(yīng)用程序/操作系統(tǒng)是透明的。

　　DataFort是一種網(wǎng)關(guān)式應(yīng)用服務(wù)器型產(chǎn)品，典型的部署方式是采后端加密方式運(yùn)作，將DataFort直接接上IP交換器或光纖信道交換器，透過(guò)交換器將前端送來(lái)的數(shù)據(jù)指向DataFort，經(jīng)DataFort加密后才會(huì)送到儲(chǔ)存裝置。在比較大型的SANS中也可采取前端加密部署，將前端的服務(wù)器分組分別接上DataFort，然后再將數(shù)據(jù)經(jīng)交換器送到儲(chǔ)存裝置上。DataFort提供的加密機(jī)制為AES256與SHA-1與SHA-256，產(chǎn)品有支持IP網(wǎng)絡(luò)環(huán)境的E系列、支持光纖SAN環(huán)境的FC系列，以及專(zhuān)門(mén)針對(duì)SCSI磁帶機(jī)的S系列。另外還有稱(chēng)做Lifetime Key Management的密鑰管理應(yīng)用服務(wù)器，可為網(wǎng)絡(luò)中的多部DataFort提供自動(dòng)化的密鑰管理。圖1的典型部署網(wǎng)絡(luò)環(huán)境使用的基于硬件的加密設(shè)備使用的就是DataFort F系列：SAN/磁帶的2Gbit光纖通道。

　　2服入式加密設(shè)備

　　2.1設(shè)備

　　嵌入式加密設(shè)備在點(diǎn)對(duì)點(diǎn)的解決方案下，使得其擴(kuò)展的難度比較大，成本較高。在存儲(chǔ)設(shè)備的服務(wù)器和數(shù)據(jù)加密請(qǐng)求的服務(wù)器之間運(yùn)行的存儲(chǔ)區(qū)域網(wǎng)是嵌入式加密設(shè)備的所在，其工作方式是可以保護(hù)靜態(tài)數(shù)據(jù)，在對(duì)存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行加密的同時(shí)，保證能對(duì)返回的數(shù)據(jù)進(jìn)行解密。

　　為了縮小成本，通常跨分布式存儲(chǔ)安裝不再是成批量的硬件設(shè)備，對(duì)于整體而言，需要對(duì)每個(gè)設(shè)備進(jìn)行單獨(dú)安裝，對(duì)于每個(gè)單獨(dú)安裝的設(shè)備都必須進(jìn)行各自的配置和管理，從而保證能夠減小運(yùn)行負(fù)擔(dān)，并且在運(yùn)行上處于成本較小。

　　2.2管理加密數(shù)據(jù)

　　一旦確定了哪些數(shù)據(jù)需要加密，就必須決定怎樣解密這此數(shù)據(jù)以及按照什么規(guī)則解密。關(guān)于誰(shuí)能看到加密數(shù)據(jù)和怎樣使用加密數(shù)據(jù)，要制定嚴(yán)格的策略。必須由合適應(yīng)用中的合適用戶使用合適的機(jī)器訪問(wèn)合適的數(shù)據(jù)庫(kù)。

　　把數(shù)據(jù)分門(mén)別類(lèi)，然后按照所制訂的訪問(wèn)協(xié)議，分別裝入不同的“保密容器”中，這些訪問(wèn)協(xié)議規(guī)定誰(shuí)可以訪問(wèn)什么信息。高層IT管理人員需要全面控制密鑰建立和管理過(guò)程，如果沒(méi)有非常強(qiáng)大的密鑰管理系統(tǒng)，可能丟失所有數(shù)據(jù)。要確保了解密鑰管理和密鑰使用條件的所有含意和細(xì)節(jié)。

　　要定期測(cè)試密鑰系統(tǒng)。必須備份密鑰，并確定好密鑰和磁帶的恢復(fù)方法，以防發(fā)生災(zāi)難。備份與恢復(fù)缺不可，要考慮加密標(biāo)準(zhǔn)問(wèn)題。盡管有些專(zhuān)用設(shè)備支持多種標(biāo)準(zhǔn)，但是也有些只局限在一個(gè)標(biāo)準(zhǔn)上。要根據(jù)自己的數(shù)據(jù)存儲(chǔ)需求選擇所需標(biāo)準(zhǔn)。如果有些數(shù)據(jù)需要長(zhǎng)時(shí)間保持機(jī)密狀態(tài)，那么就需要設(shè)備支持高級(jí)加密標(biāo)準(zhǔn)和大型密鑰。

　　2.3安全路由

　　路由器的安全加密在于其在路由過(guò)程中構(gòu)成的安全通道的問(wèn)題。VPN是其安全通道，安全路由器所具有的數(shù)據(jù)加密的功能使得數(shù)據(jù)在通過(guò)的時(shí)候會(huì)被其加密，這種加密過(guò)程通過(guò)一定的加密算法進(jìn)行加密，無(wú)論是接受還是發(fā)送，數(shù)據(jù)在通過(guò)的時(shí)候都會(huì)發(fā)生加密，IP數(shù)據(jù)在到達(dá)目標(biāo)路由的時(shí)候會(huì)進(jìn)行同樣的算法進(jìn)行解密，數(shù)據(jù)傳輸過(guò)程中的IP值都是密文的形式，此種形式的傳播為式可以有效的杜絕信息的泄漏，從而形成能夠跨越公網(wǎng)的Intranet。

　　3廣域網(wǎng)加密

　　3.1PGP證書(shū)管理中心

　　在廣域網(wǎng)內(nèi)，對(duì)數(shù)據(jù)進(jìn)行加密需要符合PGP Certificate Server支持LDAP和NTTP協(xié)議，并且在網(wǎng)絡(luò)系統(tǒng)中，建立一個(gè)以PGP CertificateServer為基礎(chǔ)的證書(shū)管理中心。這樣做是為了能夠?qū)崿F(xiàn)Web接口應(yīng)對(duì)管理員的功能，并且可以執(zhí)行數(shù)據(jù)配置與報(bào)告數(shù)據(jù)狀態(tài)，對(duì)于遠(yuǎn)程終端能夠保證在Sun Solaris(SPARC)或Microsoft Windows NT Server (Intel)平臺(tái)上成功實(shí)現(xiàn)。證書(shū)管理中心的優(yōu)點(diǎn)是可以將Lightweight Directoryaccess Protocol(LDAP)目錄和PGP證書(shū)相結(jié)合，能夠靈活的處理各種配置數(shù)據(jù)和不同制度之間的差異性。

　　3.2對(duì)文檔和電子郵件加密

　　廣域網(wǎng)上要求必須對(duì)文件系統(tǒng)和電子郵件能夠進(jìn)行加密，基本上能符合Windows操作系統(tǒng)，能夠安裝PGP for Business Security，這樣使得大型郵件在傳輸過(guò)程中才具有保密性，使得任何試圖打開(kāi)郵件的非正常數(shù)據(jù)結(jié)構(gòu)都無(wú)法進(jìn)行。

　　3.3應(yīng)用系統(tǒng)中集成PGP加密

　　在很多領(lǐng)域，系統(tǒng)開(kāi)發(fā)人員都需要結(jié)合該領(lǐng)域的特點(diǎn)進(jìn)行數(shù)據(jù)加密，諸如商業(yè)系統(tǒng)、金融系統(tǒng)、電子商務(wù)方面，都需要利用PGP SoftwareDevelopment Kit(PGP sdk)系統(tǒng)來(lái)實(shí)現(xiàn)復(fù)雜的數(shù)據(jù)加密，系統(tǒng)開(kāi)發(fā)者通過(guò)對(duì)接口和錯(cuò)誤處理協(xié)議的分析，可以PGP sdk采用C/C++ API的方式進(jìn)行。