最近在安全圈內有許多關於點到點加密(point-to-point encryption,p2pe)技術的議論,以及在高風險環境中該技術將敏感資訊洩漏最小化的潛力。在本文中,我們會審視p2p加密給企業安全帶來的好處,並指出一些延誤p2p加密技術應用的懸而未決的問題。
p2p加密如何運作
點到點加密技術允許企業在眾多裝置、或裝置內的元件間建立安全的通訊鏈結,防止中間裝置在網路上傳輸過程中洩漏敏感資訊。p2pe最常作為滿足支付卡行業資料安全標準(pci dss)的解決方案被部署,但它也可能用於其它敏感資料。
比如,想想一家在全國分布有許多零售商店的服裝連鎖店,它通過位於市中心的資料中心處理所有的金融交易。對於零售商來說,確保每家商店的區域網物理安全十分困難,取決於這些網路的絕對數量以及零售店位置的公共性質。再者,也不太可能在每家零售商店都有經過培訓的安全人員在現場監控網路。
通過部署p2p加密技術,零售商能限制在商品銷售環境中流轉的信用卡號被洩漏的範圍。例如,通過部署乙個使用加密信用卡掃瞄器的pos系統(a point of sale,銷售時點資訊系統),由位於家庭辦公室中支援點到點加密的後端系統支撐,整個零售店的網路與外界隔絕。因為硬體信用卡掃瞄器在資料到達pos終端前對其加密,所以在零售店網路上沒有裝置能解密信用卡號。這可保護信用卡免遭各種型別的攻擊,包括未授權裝置的竊聽以及pos終端上的惡意軟體感染。諸如這樣的裝置無法訪問加密金鑰,所以它們不能訪問信用卡號。
為什麼使用p2p加密技術?
點到點加密技術主要的好處是它能夠減少安全工作的範圍。在上面描述的零售店情況中,如果零售商能夠確保硬體信用卡掃瞄器的完整性,只需要對易於被解密的集中式後台系統應用最嚴格的安全控制。在高度監管要求的環境中,這個策略能極大地減少必須滿足的繁重的合規及監控要求的系統和網路數量。
p2p加密技術的侷限
儘管點到點加密是一項很有前途的安全技術,但它仍沒有被廣泛地部署,主要是由於市場上只有少數成熟的產品。在pci安全標準委員會(pci scc)為這類產品批准簡化的驗證過程不久後,有幾個組織想部署它,但是無法找到滿足pci ssc指導的產品。許多情況下,廠商聲稱他們正開始著手測試產品,但是還不能用於商用。現在這些產品開始在市場上找尋商機,且隨著商家公升級他們的系統被緩慢地投入上線。
合規遵從的推遲是p2p加密技術第二個主要的限制,它(合規遵從)通常要求可觀的經濟投資以便建立並執行。這包括對pos硬體、軟體的公升級,以及來自廠商可能的費用增長。商家們正尋求限制他們合規遵從所需承擔的責任,廠商們渴求在這些意外的業務需求上大賺一筆。
最後記住p2p加密不是萬能藥,這十分重要。儘管它在一定程度上減少了確保遠端網路安全的需要,但不能消除安全控制的需要。這方面最重要的例子就是需要採用強大的加密金鑰管理實踐。如果攻擊者能夠獲得解密金鑰,這個解決方案就毫無用處了。這意味著,要禁止任何被認為是超出範圍的裝置訪問用於保護敏感資訊的金鑰。
總而言之,點到點加密是一項很有前途的技術,企業正開始利用它來加強資料安全並減少合規管理措施的範圍,特別是在支付系統環境中。然而,它目前有好幾個重大的侷限,希望使用該技術的安全專業人員們務必考慮到,不過,未來幾年隨著商業p2p產品的不斷改進,或許會引起企業增長性的使用。
techtarget中國原創內容
認識P2P,利用P2P
是peer to peer的縮寫 好象還看到過文章說是point to point,我也不清楚,網上的資料也不清楚,鬱悶 peer在英語裡有 地位 能力等 同等者 同事 和 夥伴 等意義。這樣一來,p2p也就可以理解為 夥伴對夥伴 的意思,或稱為對等聯網。目前人們認為其在加強網路上人的交流 檔案交換...
P2P網路模型
1 靜態配置模型 靜態配置模型是一種相對靜態而簡單的對等點定位模型。在該模型中,每個對等點都確切地知道存在於其p2p 網路中其它對等點的位置以及它們所提供的共享資源內容。缺點 網路無法應付不能預知的隨機事件和臨時變更,比如對等點隨機進入和退出網路。優點 整個網路在外部攻擊面前表現得很穩固。2 動態配...
P2P路由演算法
p2p路由演算法 資源定位方法 dht distributed hash table 演算法 思想 每乙份資源都由一組關鍵字標示,系統對其中的每乙個關鍵字進行hash,根據hash的結果確定該關鍵字由哪個使用者負責儲存,使用者搜尋的同時,用同樣的演算法計算每乙個字的hash,再根據hash知道該關鍵...