本文以網(wǎng)絡數(shù)據(jù)加密為研究對象，以數(shù)據(jù)加密、解密的安全性、有效性為研究目的，通過對嵌入式加密設備、加密算法、數(shù)據(jù)有效傳輸以及數(shù)據(jù)證書管理的研究、可以得出的結論是：數(shù)據(jù)在通過特定設備的傳輸后，通過有效算法加密，在終端用戶目的機上解密，可以保證數(shù)據(jù)的完整性、有效性。

　　信息在傳輸過程中容易丟失或老受損，而有效的數(shù)據(jù)傳輸應該首先數(shù)據(jù)的完整性，通常在數(shù)據(jù)加密問題上，VPN設備具有實現(xiàn)數(shù)據(jù)完整性傳輸?shù)墓δ?。通過對信息的鑒別能夠反應出其信息的真實性和有效性，數(shù)據(jù)加密采用了一種數(shù)學函數(shù)的力一式，即HASH，數(shù)據(jù)在解密的時候通過HASH的函數(shù)運算，不過在這個數(shù)據(jù)包的傳輸過程中，如果通過對載體信息的比對發(fā)現(xiàn)，其關鍵詞或者摘要并不相同后者有所出入，則此信息比對產(chǎn)生數(shù)據(jù)誤差，需要對信息的傳輸進行反饋，同時指定該數(shù)據(jù)在傳輸過程中已經(jīng)被盜或者失去完整性，不再具有參考價值。上面通過這樣一種方式來闡述數(shù)據(jù)加密解密的一種過程，無論采用何種方式或者設備對數(shù)據(jù)進行傳輸或者加工，都需要在設備的安裝以及數(shù)據(jù)的算法上進行精密的核準，從而保證數(shù)據(jù)的有效性。

　　1設備加密

　　設備是企業(yè)級的存儲加密系統(tǒng)，這種基于硬件的系統(tǒng)旨在獲得高可用性和可擴一展性。

　　性能。DataFort硬件提供AES-256加密、集成以及策略執(zhí)行，對性能的影響兒乎可忽略不計。

　　可擴展性。初始部署后易于擴展，能夠用一個管理界面管理企業(yè)數(shù)百個設備。

　　簡單性。DataFort是-種成套設備，對于應用程序/操作系統(tǒng)是透明的。

　　DataFort是一種網(wǎng)關式應用服務器型產(chǎn)品，典型的部署方式是采后端加密方式運作，將DataFort直接接上IP交換器或光纖信道交換器，透過交換器將前端送來的數(shù)據(jù)指向DataFort，經(jīng)DataFort加密后才會送到儲存裝置。在比較大型的SANS中也可采取前端加密部署，將前端的服務器分組分別接上DataFort，然后再將數(shù)據(jù)經(jīng)交換器送到儲存裝置上。DataFort提供的加密機制為AES256與SHA-1與SHA-256，產(chǎn)品有支持IP網(wǎng)絡環(huán)境的E系列、支持光纖SAN環(huán)境的FC系列，以及專門針對SCSI磁帶機的S系列。另外還有稱做Lifetime Key Management的密鑰管理應用服務器，可為網(wǎng)絡中的多部DataFort提供自動化的密鑰管理。圖1的典型部署網(wǎng)絡環(huán)境使用的基于硬件的加密設備使用的就是DataFort F系列：SAN/磁帶的2Gbit光纖通道。

　　2服入式加密設備

　　2.1設備

　　嵌入式加密設備在點對點的解決方案下，使得其擴展的難度比較大，成本較高。在存儲設備的服務器和數(shù)據(jù)加密請求的服務器之間運行的存儲區(qū)域網(wǎng)是嵌入式加密設備的所在，其工作方式是可以保護靜態(tài)數(shù)據(jù)，在對存儲設備的數(shù)據(jù)進行加密的同時，保證能對返回的數(shù)據(jù)進行解密。

　　為了縮小成本，通?？绶植际酱鎯Π惭b不再是成批量的硬件設備，對于整體而言，需要對每個設備進行單獨安裝，對于每個單獨安裝的設備都必須進行各自的配置和管理，從而保證能夠減小運行負擔，并且在運行上處于成本較小。

　　2.2管理加密數(shù)據(jù)

　　一旦確定了哪些數(shù)據(jù)需要加密，就必須決定怎樣解密這此數(shù)據(jù)以及按照什么規(guī)則解密。關于誰能看到加密數(shù)據(jù)和怎樣使用加密數(shù)據(jù)，要制定嚴格的策略。必須由合適應用中的合適用戶使用合適的機器訪問合適的數(shù)據(jù)庫。

　　把數(shù)據(jù)分門別類，然后按照所制訂的訪問協(xié)議，分別裝入不同的“保密容器”中，這些訪問協(xié)議規(guī)定誰可以訪問什么信息。高層IT管理人員需要全面控制密鑰建立和管理過程，如果沒有非常強大的密鑰管理系統(tǒng)，可能丟失所有數(shù)據(jù)。要確保了解密鑰管理和密鑰使用條件的所有含意和細節(jié)。

　　要定期測試密鑰系統(tǒng)。必須備份密鑰，并確定好密鑰和磁帶的恢復方法，以防發(fā)生災難。備份與恢復缺不可，要考慮加密標準問題。盡管有些專用設備支持多種標準，但是也有些只局限在一個標準上。要根據(jù)自己的數(shù)據(jù)存儲需求選擇所需標準。如果有些數(shù)據(jù)需要長時間保持機密狀態(tài)，那么就需要設備支持高級加密標準和大型密鑰。

　　2.3安全路由

　　路由器的安全加密在于其在路由過程中構成的安全通道的問題。VPN是其安全通道，安全路由器所具有的數(shù)據(jù)加密的功能使得數(shù)據(jù)在通過的時候會被其加密，這種加密過程通過一定的加密算法進行加密，無論是接受還是發(fā)送，數(shù)據(jù)在通過的時候都會發(fā)生加密，IP數(shù)據(jù)在到達目標路由的時候會進行同樣的算法進行解密，數(shù)據(jù)傳輸過程中的IP值都是密文的形式，此種形式的傳播為式可以有效的杜絕信息的泄漏，從而形成能夠跨越公網(wǎng)的Intranet。

　　3廣域網(wǎng)加密

　　3.1PGP證書管理中心

　　在廣域網(wǎng)內，對數(shù)據(jù)進行加密需要符合PGP Certificate Server支持LDAP和NTTP協(xié)議，并且在網(wǎng)絡系統(tǒng)中，建立一個以PGP CertificateServer為基礎的證書管理中心。這樣做是為了能夠實現(xiàn)Web接口應對管理員的功能，并且可以執(zhí)行數(shù)據(jù)配置與報告數(shù)據(jù)狀態(tài)，對于遠程終端能夠保證在Sun Solaris(SPARC)或Microsoft Windows NT Server (Intel)平臺上成功實現(xiàn)。證書管理中心的優(yōu)點是可以將Lightweight Directoryaccess Protocol(LDAP)目錄和PGP證書相結合，能夠靈活的處理各種配置數(shù)據(jù)和不同制度之間的差異性。

　　3.2對文檔和電子郵件加密

　　廣域網(wǎng)上要求必須對文件系統(tǒng)和電子郵件能夠進行加密，基本上能符合Windows操作系統(tǒng)，能夠安裝PGP for Business Security，這樣使得大型郵件在傳輸過程中才具有保密性，使得任何試圖打開郵件的非正常數(shù)據(jù)結構都無法進行。

　　3.3應用系統(tǒng)中集成PGP加密

　　在很多領域，系統(tǒng)開發(fā)人員都需要結合該領域的特點進行數(shù)據(jù)加密，諸如商業(yè)系統(tǒng)、金融系統(tǒng)、電子商務方面，都需要利用PGP SoftwareDevelopment Kit(PGP sdk)系統(tǒng)來實現(xiàn)復雜的數(shù)據(jù)加密，系統(tǒng)開發(fā)者通過對接口和錯誤處理協(xié)議的分析，可以PGP sdk采用C/C++ API的方式進行。