介绍

如今，数据传输已成为每个军事任务中越来越普遍的部分。从总部到战术行动中心，再到单个战士，海量数据量巨大，分类和未分类数据传输方法之间的明显区别逐渐模糊。数据的“最高机密”和“机密”分类已经很好地建立，并且传输这些数据类型的方法是已知的。但是由于数据量巨大，数据的时间敏感性，数据接收者的数量以及与分类加密设备相关的约束，需要新的方法来保护分类数据。关于这些新数据类的商业加密和双重商业加密方法的争论仍在继续。本文将提出一种数据传输安全策略，该策略可以保护敏感和未分类的数据，同时保留已建立的分类标准的完整性，而对网络开销和性能的影响最小。

什么是威胁？

数据传输安全策略的质量必须根据整体解决方案进行衡量。要通过公共和/或专用网络基础结构成功发送数据包，需要许多组件，并且必须保护所有这些组件免受威胁。需要明确的是，私有基础结构本身并没有比公共基础结构更安全。例如，虚拟专用网（VPN）只是较大网络的虚拟分段。 “私人”一词具有误导性，即只有不想要的客人看不见或进入室内时才能获得隐私。 “专用网络”和“安全网络”这两个术语之间存在巨大差异。那么，在确保数据传输安全时应考虑哪些漏洞呢？

直接威胁

数据传输威胁以多种不同形式出现。当根本没有安全性时，威胁是显而易见的。当移动中的数据不安全时，窃听者至少可以拦截，读取，操纵和模拟数据流。

间接威胁

即使数据被认为是安全的，间接威胁也几乎总是对窃听者可用。例如，加密通过使流的至少一部分对窃听者不可读来帮助保护数据。但是，如果源地址和目标地址是明确的，则最终用户可能是可识别的。如果传输没有得到适当的保护，则可能发生数据包重播，从而导致潜在的数据库损坏和其他形式的恶意。甚至仅是加密数据包的结构和大小都可以为复杂的侦听器提供有用的线索。这些都是间接威胁的示例，在确保数据移动安全时必须加以考虑。

加密本身并不构成数据传输的安全性

首先，加密可以保护数据，但不一定保护数据的传输。数据安全性和传输安全性应该被视为几乎两个完全独立的主题，它们可以共同解决安全数据传输的整体问题。由于加密提供了数据的安全性，因此应采用最佳实践加密方法。数据加密本身就是经过仔细讨论的主题。例如，用于加密数据的密钥的生命周期和管理。设备可能会实现国际认可的算法，例如AES256，但是如果密钥材料薄弱，则加密很容易遭到破坏。

密钥熵

密钥的安全性始于生成密钥的数字的随机性（密钥熵）。想象一下，如果您通过简单地将字母表中的每个字母更改为下一个字母，用“ A”代替“ B”以及用“ B”代替“ C”来加密消息，依此类推。让我们将这种“ ABC加密”称为一个简单实现的示例。使用ABC加密，密钥就不会很难破解，因为它不是很随机，当然也不会很长而且很复杂。尽管这只是一个简单的示例，但应该考虑到，利用当今存在的强大计算功能，即使是极其复杂的密钥材料，也可以轻易利用这些漏洞。众所周知，使用基于硬件的随机数生成器作为产生完全随机数的源要优于基于软件的实现中使用的伪随机数生成器。

密钥存储

现在想象一下将密钥写下到一张纸上并放在桌子上的过度夸张的例子。从我们简单的ABC加密示例到高度安全的政府加密方法，这将完全破坏一切的安全性。为了防止钥匙被撬开，钥匙材料必须存储在硬件边界内，如果被篡改，则立即将数据清零并完全使设备无法工作。秘密材料不应该被人类看到，也不应通过侵入性的机械和/或机电方法进行评估。

密钥生命周期

除了密钥材料的随机性和存储之外，还应经常更改密钥。在我们的ABC加密模型中，可以通过使用一个密钥（每个字母转换为1个字符）来方便地快速破坏加密。但是，如果每个单词之后都更改了键怎么办？第一个单词的字母偏移一个字符，第二个单词的字母偏移两个字符，第三个单词的字母偏移三个字符，依此类推。当然，这仍然不是一种非常复杂的加密方法，但是它确实说明了仅通过经常更改密钥材料就可以使安全性提高多少。

密钥传输

到目前为止，本文已确定密钥熵、密钥存储和密钥寿命都是可靠加密解决方案的主要组成部分。还应该认识到，在受信任设备之间传输密钥材料是另一个基本要求。如果运输方法存在缺陷，则可能导致严重后果。尽管广泛接受的方法（例如Diffie Hellman密钥交换）可确保密钥材料的秘密得到安全保护，但应考虑有效地运输密钥材料。例如，在大型网络中，密钥的更改非常频繁，会出现这样一种情况：密钥设备需要的时间比分配给数据传输的时间更多。结果将是无法传递数据的安全密钥管理系统。使用利用多播协议通过安全通道传送密钥资料的组密钥管理方案将有助于确保即使是大型网络也可以被有效地密钥化而不会中断服务。仔细考虑密钥和数据传输方法对于运动安全难题中的数据安全性和性能至关重要。

运动中加密数据的敏感性

加密的数据处于静止状态时，可以认为是相当安全的。但是，通过网络（公共和/或私有）传输加密数据会给安全难题带来一系列全新的漏洞。如果我们检查OSI模型（网络的7层），很显然，随着您向上移动，将提供更多功能。每当添加更多功能时，就有可能出现更多漏洞。数据，甚至是加密数据，在启动时都存在漏洞。

中间人袭击

即使已经实施了可靠的加密和密钥生命周期管理解决方案，一旦加密数据开始运行，撬动的眼睛也可以查看和拦截加密数据。如果加密的数据没有适当的传输安全机制（例如Galois计数器模式和帧检查序列），则数据完整性可能会受到损害，数据包重播攻击可能会破坏安全性。这两个都是可以在传输层完成的攻击的示例，而拦截器却无法解密加密的数据。不提供数据完整性的复杂的运动数据加密解决方案可以轻松地促进数据库损坏和其他中间人攻击。警惕运动加密解决方案中的数据，这些数据要求“低到无”开销作为传输效率的一种方法。少一些字节的开销通常会转换为较低的传输安全性。

数据分析

即使数据被正确加密并且适当的传输安全机制到位，窃听者也可以确定其他信息。这些漏洞存在于加密数据包通过基础结构时的检查中。窃听者可能无法解密数据，并且可能无法更改或重播数据，但可以从分析中收集大量信息。窃听者可能会注意到加密的巨型帧每天晚上在午夜从站点移出，或者小数据包每天从0900的同一位置开始。该窃听者可能会确定小数据包代表加密的语音流（IP电话）或巨型帧代表每个晚上的数据中心备份。窃听者甚至可以告诉数据包的目标地址，以指示数据中心备份的位置。无需知道加密数据的内容就可以学习所有这些信息。提供一种通过实现“流量安全”（在“吞吐量”部分中讨论）来掩盖数据的方法，这是运动安全解决方案中总数据的另一个重要组成部分。应实施“流量安全”以掩盖数据模式并防止和消除数据分析。

运动中加密数据的效率

网络效率通常根据跨网络传输数据的速度来衡量。由于存在许多不同类型的网络，网络上的流量，站点之间的路由器/交换机的距离和数量，适当的传输安全机制的类型等，因此这是一个令人困惑的度量。但是，出于此目的在讨论运动安全性数据时，应根据加密设备之间的数据包传递速度来衡量效率。应该同时使用加密和总传输安全机制来计算此速度。

潜伏

出于讨论的目的，延迟是加密数据包并将其传递到配对设备然后解密的时间。如果在硬件（例如现场可编程门阵列（FPGA））中执行加密，则加密和解密过程将以接近瞬时的速度进行。大多数利用FPGA的加密制造商以10Gbps的速度拥有大约4μsec的延迟。由于加密计算是在硬件级别完成的，因此在不同的数据包大小下，4微秒的等待时间数字是一致的。这很重要，因为不同的数据类型具有不同的数据包大小。例如，语音数据包通常较小，而巨型帧则可能大于1000倍。那么，为什么数据包大小与讨论延迟相关？这很重要，因为网络数据不仅仅包含语音，也不包含视频，或者仅包含数据，或者仅包含巨型帧。它是一种不断变化的信息组合，明天的网络需求可能与今天的网络需求完全不同。利用微处理器对数据进行加密和解密的加密解决方案（例如在许多路由器和交换机中发现的加密解决方案）根据数据包大小具有不同的等待时间。数百万个10Gbps的小数据包对微处理器提出了巨大的需求。同样，大型巨型帧需要很长时间才能计算出哈希值。从FPGA实现中获得性能一致性的重要性不能被足够强调。无论包大小如何，加密性能的一致性都与效率的讨论极为相关。

通量

吞吐量效率的衡量标准是可以将多少数据传递到另一个设备，再除以完成传输所需的时间（吞吐量=数据/时间）。吞吐量结果（在受控测试环境中）在很大程度上受到数据包大小，传输层和加密设备等待时间的影响。暂时，让我们消除等待时间变量，因为该等待时间变量对于每个加密设备都是唯一的。数据包大小和传输层会影响吞吐量，因为与每个数据包相关的开销量很大。源和目标地址，初始化向量，计数器，帧检查，帧间隙，甚至MPLS标签都是开销的示例，这些开销可以在每个帧内找到，并且都是数据本身的补充。无论您发送的是少量数据还是非常大的巨型帧，开销都是恒定的。因此，很容易看出，帧大小越小，传输开销越大，开销与数据的比率就越大。实际上，完全有可能变得效率低下，以至于开销量大于每帧传输的数据量。

图1：开销及其对效率的影响

以效率为目标，可以创建恒定的帧大小，该大小仅受网络可以处理的帧大小限制。我们将这些可操纵的框架称为“容器”。当这些容器最大化时，可以在容器中插入多个框架。这消除了对单个帧开销约束的需求（参见图1）。例如，通过创建约3000字节的容器，一个容器可以获取约48个64字节的数据包并将其放入单个帧中。如果正确实施，则可以完全消除单个数据包的GCM，FCS和IFG开销，并且只能在3000字节的临时容器中实施一次。结果将是在保持传输层的安全性的同时传输数据的更有效方式。如果我们使用将数百万条金条从一个地方移动到另一个地方的类比，则有许多方法可以完成此任务。我们可以在一辆小型卡车中一次将每个金条移动一个金条。每辆卡车将需要一个驾驶员（IP地址），每辆卡车将需要安全警卫（GCM和FCS），每辆卡车将需要彼此之间的空间（IFG），因此它们不会撞到对方。但是，如果一次将黄金以50、100或1000巴的速度移动，请考虑一下，黄金到达最终目的地的效率会提高多少。更少的卡车意味着更少的警卫人员，更少的驾驶员以及更少的中间空间。实际上，测试数据表明，使用这些类型的容器可为加密数据提供高达98％的网络效率，包括本文所述的对传输安全性的所有要求。最终结果是完全安全的加密数据流，而对网络性能的影响仅为2％。无论发送语音，视频，数据或巨型帧，都可以在几乎不影响网络性能的情况下实现具有完全传输安全性的加密流量的所有好处。如果没有数据发送，则可以生成随机数据以完全屏蔽任何流量模式下的线路。最终可以实现高级别的安全性（包括防止流量分析），性能的一致性以及对吞吐量的几乎不可估量的影响。

传输安全和复杂数据分类策略问题

既然已经确定可以以98％的效率完成针对未分类数据的完整运动数据安全性，那么可以为解决数据策略问题设置基准。现在，数据已成为每位战士的任务中至关重要的，嵌入的部分。解析分类的能力不应受到无法以逻辑方式保护数据的限制。数据的“最高机密”和“机密”分类是已知的，并且已经建立。传输这些数据分类的机制也很完善。但是，新的数据分类不断涌现，关于某些数据类别的商业加密和双重商业加密的争论仍在继续。

数据分类辩论

有关数据分类和传输数据的方法的辩论，最好由负责保护数据类型的政府和组织决定。但总的来说，辩论的存在是因为要传递的数据量很大。有时，数据仅在给定的时间段内才有意义。例如，最终解密在第一次世界大战期间发送的揭示某些部队所在地的消息可能会很有趣。但是，今天的数据与军事无关。因此，不仅存在与数据相关性的争论，而且与解密所需的时间相比，数据有意义的时间也更长。由于这些原因，商业加密甚至商业加密的多层已经被提供为以最小的预期寿命保护某些数据类型的可能方法。但是性能和逻辑实现阻碍了这些想法。因此，关于生命周期，即时重要性和传输方法方面的数据分类的争论将继续。尽管政策会根据要求而有所不同，但仍需要一个结构化的数据传输安全框架作为基准。

现状

在不同数据类别上实施的策略仅仅是解决数据安全问题而提出的建议。以合乎逻辑和明智的方式实施这些建议对于确保在现实环境中可以满足政策至关重要。换句话说，策略不能完全解决问题。例如，在加密和密钥生命周期管理方面，用于发送政府分类数据类型的方法被证明是可靠的。但是，大多数漏洞不一定解决与流量分析相关的漏洞，而当它们发生时，通常是逐会话进行。临时提供流量安全（TFS）本身就是一个漏洞，因为如果仅高度安全的网络连接实现TFS，则可以轻松识别高度安全的连接。如果不考虑数据分类和策略，则每天，每周七天每天二十四小时都遮盖整个网络，则只能获得完全的流量安全性。

完整的数据传输策略

全面的数据传输安全策略的核心是实施强大的商业加密技术，性能一致性以及以98％的带宽效率完全混淆网络流量。一旦实现了完全遮盖移动数据的基准，所有形式的流量都可以不受限制地通过，并且对其当前的开销约束的影响最小。

分类数据

可以通过上述安全基础设施发送用于发送分类数据的传统方法，而不会损害分类协议的完整性。实际上，商业密码术的附加层与TFS提供的混淆功能（例如，一致的数据包大小和间隙填充，随机生成的流量）相结合，可在全时提供额外的数据传输安全性。

未分类的数据

如本文档前面所述，即使是最良性的通信也可能导致安全后果。应当理解，特别是对于军事应用，任何数据都可能导致折衷。屏蔽未分类的数据有助于解决与数据分析有关的问题，并有助于以使听众不知所措的方式混合流量。如果仅对敏感数据路径进行数据混淆，则侦听器可以轻松确定敏感数据线。但是，如果混淆了所有数据，则听众无法确定该行是用于发送高度敏感的数据还是仅用于观看有趣的猫视频。

分类数据和未分类数据之间的模糊线

本文提出了通过安全有效的链接发送分类数据和未分类数据的基本原理。但是，对于敏感数据使用双重甚至是三次商业加密已经引起了很多争论，而在目前的方法下，这些数据根本无法安全地分发给“所有士兵”。机密数据传输通常需要使用机密设备，并且机密设备只能由具有安全许可和操作知识的人员来处理。使设备使用问题更为严重的是，分类设备的错误放置或捕获可能会对任务产生重大影响。这些设备的有限使用与将大量数据分发给各种各样的士兵（有或没有必要的安全检查）直接冲突。使用本文概述的商业安全基线，可以轻松实现双重加密。如果通过安全基准基础架构提供了从总部到士兵的简单加密VPN会话，则可以对这些新定义的数据分类进行双重加密。

结论

不能仅通过加密来实现数据传输的安全性。以一种毫不干扰和不受限制的方式完全保护基线基础架构，将为交付和保护所有形式的数据（包括分类、未分类以及介于两者之间的所有数据）铺平道路。至少必须满足以下四个条件。

1. 世界一流的密码学和密钥管理

2. 保护加密数据在基础结构中的移动

3. 性能一致性，与帧大小和数据分类方法无关

4. 透明使用带宽，效率接近100％

数据传输线无法像在专用物理链接期间那样在物理上得到保护。必须实施逻辑安全性方法以确保相同级别的安全性，而没有硬连线链接可以提供的物理属性。实施本文概述的安全基准可提供必要的手段，以保护所有数据类型在物理网络和逻辑网络之间移动时免受攻击。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• 经验教训：2023年全球网络安全的五个要点