曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        在物聯網時代保護大數據:為什么動態密鑰管理是關鍵
        發布時間:2020-05-21 10:23:46   閱讀次數:

        1-20052110245B51.png

        麥當勞在1963年出售了其第10億個漢堡包。該公司的標牌過去一直以50億美元為增量進行追蹤。它在1993年賣出了1萬億分之一,并轉為“服務十億美元”的口號?,F在沒有提及已售出的數量。


        聽起來很像數據存儲的增長。1987年,一兆字節的硬盤存儲成本為15美元?,F在,每GB成本為3美分,制造商每年的出貨量為7 EB。這推動了大數據和物聯網(IoT)的驚人增長。


        很快,將有數十億甚至數十萬億個設備連接到Internet,并跟蹤所有內容,包括您的確切位置。


        大數據和物聯網安全挑戰

        安全行業將如何應對個人身份信息(PII),尤其是受保護的健康信息(PHI)的巨大增長?已有法律保護我們免受違反,聯邦機構會開出大筆罰款,但我們仍然每月(甚至不是每周)閱讀有關違反的法律。我本人最近受到Anthem和OPM數據泄露的打擊。我們是否將能夠保護數十億字節的PII和PHI數據安全?


        數十億個加密密鑰

        保護敏感數據的方法是通過加密,而保持加密粒度的方法是使用唯一密鑰??梢允褂锰囟用苊荑€的人越多,數據被破壞的可能性就越大。如果我們提供更多的密鑰,那么訪問每個密鑰的人數就會減少。如果我們要增強安全性,這就是我們想要的。


        因此,如果我們正在保護數十億字節的數據,并且增長迅速,那么合乎邏輯的是,我們需要的密鑰數量(可能不是此刻,而是有一天很快)將達到數十億。靜態密鑰管理器以數百萬美元的價格居首。為了認真考慮保護大數據和物聯網資源,我們需要動態密鑰管理。


        靜態密鑰管理服務

        顧名思義,靜態密鑰管理服務器首先為身份模式生成一個密鑰,然后存儲此密鑰以備將來使用。密鑰的值不會隨時間變化。為了實現密鑰輪換,密鑰服務器通常將一些元數據附加到身份上,例如日期或輪換組號,從而為新密鑰創建新的身份。為了訪問密鑰,用戶首先進行身份驗證,然后請求與身份相關聯的密鑰。如果被授權,則密鑰服務器檢索現有密鑰并將其提供給用戶。


        當系統生命周期中所需的密鑰數量很少達到幾百萬時,靜態密鑰服務器就可以正常工作。如前所述,此功能對于靜態數據方案來說綽綽有余??紤]保護10 PB磁盤陣列的每個主軸:在RAID 5上使用四個terrabyte驅動器(20%冗余)需要3,215個驅動器。每月輪換一次密鑰需要在十年中使用375,000個密鑰。靜態密鑰服務器的存儲限制為1或200萬個密鑰,可以輕松地支持此功能。


        動態密鑰服務器

        動態密鑰服務器還生成用于身份模式的密鑰,但不存儲該密鑰。訪問密鑰的方式與使用靜態密鑰服務器的方式相同,不同之處在于,將再次生成密鑰以供后續檢索。動態密鑰服務器依賴于每個標識的功能派生:如果多次顯示相同的標識,則將生成相同的密鑰。


        進一步,動態密鑰服務器通過將時間附加到身份來支持自動密鑰旋轉。如果為特定鍵定義了輪換,則動態服務器將自動計算在什么時間傳遞什么密鑰。應用程序或用戶無需跟蹤特定用例所需的旋轉。這樣,動態密鑰服務器可以實現更高的自動化程度。


        示例:為什么很難使用靜態密鑰服務器保護郵件

        您還記得90年代初發布的“漂亮隱私”(PGP)嗎?PGP由Phil Zimmermann創建并免費贈送,以響應聯邦要求在安全通信設備中提供后門的意圖。PGP使用公私鑰對來防止意外泄露加密通信。如果郵件發送給三個收件人,則將其加密三個不同的時間,然后發送到三個不同的目的地。這樣,每個消息只能通過預期收件人的私鑰解密。如果消息到達意外收件人的監護之下,則這會阻止公開。


        盡管此方案具有革命性的意義,但隨著電子郵件的增長,這種方案無法很好地擴展。想象一下,發送給一百、一千甚至更多收件人的電子郵件。使用每個收件人的公共密鑰加密郵件的唯一副本會給電子郵件系統帶來巨大的計算,安全性和存儲負擔,尤其是使用靜態密鑰管理時。


        現在讓我們考慮一種替代方案,其中發件人和收件人列表是生成消息加密密鑰時的密鑰身份。從愛麗絲發送給鮑勃和克里斯的消息將使用與從愛麗絲發送給克里斯的消息不同的密鑰?,F在,我們可以使用對稱密鑰,因為鮑勃沒有被授權在不是收件人的消息中接收密鑰。使用此方案,電子郵件系統可以將同一封郵件發送給多個收件人。每個接收者都使用相同的對稱密鑰解密郵件。我們僅通過不向非郵件接收者的用戶提供解密密鑰來防止意外泄露。這種可擴展性很好的方案稱為基于身份的加密。


        使用對稱密鑰可以解決電子郵件系統的擴展問題,但不能解決靜態密鑰服務器的局限性。為了使這種情況在實踐中可行,我們必須改為使用動態密鑰服務器??紤]一個每天發送一百封電子郵件的用戶。假設這些電子郵件中有80%是答復,而20%是新郵件。這意味著一個用戶每天會生成大約20個唯一的新收件人列表。


        因此,單個用戶每個工作周生成100個唯一的身份模式。一個為期一周的輪換政策每年可產生5,200個唯一密鑰。將其乘以500個郵箱,我們很快就用盡了大多數靜態密鑰服務器的200萬個密鑰限制。此示例說明了為什么動態密鑰服務器對大容量數據保護應用程序更有用。


        了解哪種密鑰服務器最適合您的應用程序

        現在,并不是說靜態密鑰管理器是無用的。恰恰相反; 對于某些應用程序,例如硬盤場的靜態數據保護,它們非常好。但是,如果您的組織依賴,開始依賴或將依賴大數據或IoT項目,請仔細權衡不使用動態密鑰服務器的風險。由于密鑰服務器無法處理足夠的內容而限制系統中的密鑰數量太冒險了。


        密鑰服務器(KMS)與HSM

        可能您的公司是從事專業密鑰服務器的開發工作,也有可能在您公司業務場景中需要涉及密鑰服務器,那么您就需要對相關產品或服務的安全與合規性進行思考。如您所知,硬件安全模塊(HSM)是專業提供密鑰安全的設備,靜態密鑰服務器中涉及到的密鑰生命周期管理,都可以利用HSM直接實現,SafeNet Luna HSM還提供了便捷的API,可以讓您輕松的將您的系統與HSM進行對接。另外,我們所提供的HSM還提供了內部可編程區域(FM區),您可以將密鑰派生算法植入其中,方便的實現對過億級別的海量密鑰進行管理。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精