隨筆檔案

　　內(nèi)容感知加密和保格式加密是云計(jì)算的常用加密方法，下面小編將詳細(xì)介紹這兩種方法：

　　內(nèi)容感知加密：在數(shù)據(jù)防泄露中使用，內(nèi)容感知軟件理解數(shù)據(jù)或格式，并基于策略設(shè)置加密。例如在使用email將一個(gè)信用卡卡號發(fā)送給執(zhí)法部門時(shí)會自動加密;

　　保格式加密：加密一個(gè)消息后產(chǎn)生的結(jié)果仍像一個(gè)輸入的消息。例如一個(gè)16位信用卡卡號加密后仍是一個(gè)16位的數(shù)字，一個(gè)電話號碼加密后仍像一個(gè)電話號碼，一個(gè)英文單詞加密后仍像一個(gè)英語單詞;

　　從企業(yè)內(nèi)部到云上時(shí)，加密過程可以不需要用戶干預(yù)是保障數(shù)據(jù)安全的首選方式。如果軟件能配置協(xié)議感知，內(nèi)容感知軟件能夠促進(jìn)公有云加密的改善;現(xiàn)今的數(shù)據(jù)防泄露(DLP)應(yīng)用案例滿足產(chǎn)品的需求，能增強(qiáng)對將要離開企業(yè)的數(shù)據(jù)(通常以email形式)的保護(hù)，并在數(shù)據(jù)離開企業(yè)之前加密。這種原理可用于云數(shù)據(jù)保護(hù)，不過數(shù)據(jù)防泄漏產(chǎn)品或許產(chǎn)生警告。一個(gè)內(nèi)容感知服務(wù)需要探測、加密和記錄而不是警告。

　　保格式加密比內(nèi)容感知更進(jìn)一步，通過檢測數(shù)據(jù)的敏感程度來決定加密及維持?jǐn)?shù)據(jù)格式和類型。例如使用傳統(tǒng)的加密，一個(gè)信用卡的卡號被加密后的結(jié)構(gòu)是一個(gè)密文，再也不是一個(gè)16位的數(shù)字。保格式加密將會產(chǎn)生加密后的16位的密文數(shù)字。通過保持?jǐn)?shù)據(jù)類型和格式，這一服務(wù)能在眾多的協(xié)議上有秩序地輕易改變很多數(shù)值。保格式加密的關(guān)鍵挑戰(zhàn)是加密大規(guī)模的明文數(shù)值，如存儲在云中的email。大規(guī)模加密通常地是使用塊加密算法，對文本數(shù)據(jù)進(jìn)行。在保格式的應(yīng)用中，需要花費(fèi)一定的時(shí)間將每一個(gè)單詞加密成相同長度的字符串。不過，加密后的密文結(jié)果能像原始明文一樣存儲在相同數(shù)據(jù)類型的文件中。

　　當(dāng)然，在云應(yīng)用中加密給商業(yè)應(yīng)用提出一些問題，企業(yè)在部署應(yīng)用架構(gòu)時(shí)需要考慮解決，具體問題如下：

　　如果需要查詢記錄或者對象，加密過的主鍵(primary key)將使查詢過程很復(fù)雜;

　　如果云應(yīng)用集包含一批工作或其他涉及敏感數(shù)據(jù)的處理過程，尤其是PII和SPI數(shù)據(jù)，這些處理過程遷移到云中時(shí)，云環(huán)境將會使密鑰管理變得復(fù)雜;

　　一個(gè)應(yīng)用需要在數(shù)據(jù)庫中找到記錄或?qū)ο髸r(shí)，可能采用另外一種方式去存儲唯一的值，例如令牌。令牌常被用在信用卡環(huán)境中，以確保信用卡卡號在應(yīng)用中最低程度的被訪問。從數(shù)值中產(chǎn)生的唯一的令牌能被用于產(chǎn)生新的主鍵，這些主鍵可以在公有云上的應(yīng)用中使用，而不會暴露敏感數(shù)據(jù);

　　在云上，與其他應(yīng)用程序和數(shù)據(jù)一同工作的過程，如果需要操作明文數(shù)據(jù)，為實(shí)現(xiàn)其功能，必須能訪問密鑰或服務(wù)。（本文由黎明網(wǎng)絡(luò)原創(chuàng)http://www.limingit.com，轉(zhuǎn)載請表明出處！）