您当前的位置:   首页 > 新闻中心
什么是加密抽象层(Crypto-Abstraction Layer)?
发布时间:2019-10-13 18:30:30   阅读次数:

什么是加密抽象层(Crypto-Abstraction Layer)?(图1)

从最一般的意义上讲,加密抽象层(CAL)是一个应用程序编程接口(API),也称为库,它向程序开发人员隐藏了他们不需要知道的加密细节(例如他们用于随机数来源的硬件品牌)。它们在InfoSec的世界中至关重要,因为那些是专家开发人员的人通常不是专家密码学家,甚至也不是安全人员,因此在实现密码技术时,他们需要获得的所有帮助。


每个API都有自己的设计和哲学以及抽象度,并且它们之间进行比较和对比非常有趣-有些API勉强使开发人员脱离了高度加密的加密技术世界,并坚持每个方面都必须进行硬编码;然后,可怜的开发人员必须打书才能体会到密码块链接和伽罗瓦计数器模式之间的区别(!);而其他API为该问题提供了一种更简洁,更抽象的解决方案,这样,仅知道您是否需要加密或解密就足够了(将详细信息留给专家安全团队)。


加密抽象层的最新案例

NIST最近发布了指导草案,提议在发现Sweet32漏洞后采用五年时间表禁止3DES算法,该漏洞利用了3DES等64位密码套件中已知的冲突攻击风险。将3DES分类为安全风险和拟议的退休时间表可能会给金融行业的组织带来围绕基础结构,支付和互操作性的挑战。


私营行业中的许多金融机构和其他组织都依靠硬件安全模块HSM)技术来管理加密算法的部署。在遗留应用程序和HSM之间采用CAL技术可以提供一种更新3DES或其他原语的解决方案,而无需花费大量的重新编码工作,因为仅当算法需要更改(在这种情况下可能需要更改为AES)时,代码就不需要-详细信息被抽象出来(到策略文件中)。


云端

在过去的三十年中,通过改进和采用集中虚拟化的分布式系统,业务计算趋势已经从本地部署转移到云计算。NIST将云计算定义为信息技术服务的一种形式,该模型按模型分类,以实现对共享的可配置计算资源池的无处不在,方便,按需网络访问…。这些资源可通过最少的管理工作或服务提供商快速进行配置和发布虚拟化服务模型和应用程序可以使组织获得灵活性,同时节省软件许可和基础架构成本。


彼得·罗宾逊(Peter Robinson )在2013年和2014年的RSA大会上提出了加密即服务(CaaS)潜力的早期证据。


CAAS模型演示了一种新的密码实施方案,该方案可以通过将密码处理过程与端点设备分开来减少端点漏洞。Robinson的研究提供了证据,表明一种新的基于云的加密实施方案可以通过将密钥管理过程放在中间件层中来提高安全性并降低成本。


同时,技术进步对公钥加密和密钥交换系统中的主要算法(即对RSA的量子攻击和经典攻击)都构成了其他威胁。采用加密抽象层可以使组织满足NIST关于立即开发加密敏捷能力的建议。  


加密抽象层如何创造技术敏捷性

加密抽象解决方案充当业务应用程序和小型HSM集群之间的技术中介。应用程序使用RESTful接口或客户端库将命令发送到加密抽象层,从而在可用的HSM之间分配工作负载。这种基于网络的加密方法可以在整个应用程序生命周期中促进企业加密敏捷性,包括在遗留应用程序更新和新应用程序部署期间。


要从3DES或其他算法更新旧版应用程序中的加密原语,管理员只需从管理门户内部对策略文件进行更改。由于所有内容都是集中式的,因此这些解决方案还可以实现整个网络的持续合规性,轻松的审核和主动的性能监控


此外,在使用HSM部署新应用程序期间,加密抽象层可以促进加密敏捷性。将云解决方案用于加密作为新应用程序的战略要点,可以使高级加密部署的集成显着更快,更简单。


通过中央加密策略执行来释放敏捷性

为了实现加密敏捷性,组织需要可见性和控制权以执行中央策略。加密抽象解决方案提供了一个单一的集中式平台,用于管理加密资源和监视旧应用程序之间的动态变化。这类网关解决方案使组织能够在几分钟内(而不是数周或数月)内更新和部署加密资源。


在应用程序层上更新密码原语的传统方法产生了效率低下,安全性受损和复杂性的结果。随着跨信息系统的大量加密部署,组织历来一直在努力克服缺乏可视性的问题。基于网络的加密即服务解决方案可通过集中的策略更改和实施来实现整个信息系统的透明性和敏捷性。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609