加密方法过多导致安全通信变得困难怎么办

金融公司正在寻求将其安全基础设施扩展到他们的业务合作伙伴、服务提供商和客户。他们用来实现这种扩展的主要技术之一是加密技术。无论公司是担心敏感信息在互联网上传输时可能被拦截，还是不得不遵守要求保护个人身份信息(PII)或其他机密数据的规则，保护数据免受窥探的唯一方法是使信息不可读，除非授权单位可以阅读。但当公司开始涉及加密服务来保护通信时，他们将面临更多意想不到的部署问题。

为了理解加密技术的工作原理，您必须知道加密服务由三部分组成:加密系统、加密信息的加密标准和加密标准用来解码信息的密钥。为了成功地加密/解密信息，这三个层次的部分必须在发送方和接收方之间相互补充。

* * *部分-加密系统，可以有以下三种类型:

应用程序—例如，电子邮件客户端、插件和本机加密模块。

基础设施服务——例如，信息边界设备、门户网站、网络服务通信以及保护FTP服务器的安全。

安全通信—例如TLS/SSL和会话发起协议(SIP)

问题是这些加密系统不一定相互兼容。如果一家公司的雇员对包含PII信息的文档进行加密，并将其发送给该公司的商业伙伴，接收者将会发现，如果没有与原始加密系统配对的解密系统，该文档是不可读的。

发送方和接收方不仅应该有互补的加密系统，而且接收方应该能够支持发送方系统采用的加密标准。加密标准有很多，包括:公钥基础(X.509)、加密HTML、基于身份的加密(IBE)、安全/多用途互联网邮件扩展S/MIME、会话发起协议SIP、可扩展消息处理和字段协议(XMPP)、OpenPGP和TLS等。一些应用程序和设备可能不支持特定的加密标准。例如，黑莓可能无法轻松破译桌面应用程序加密的文件，只是因为黑莓平台不支持相应的加密标准。

* * *，如果上述问题还不够复杂的话，为了成功地对通信内容进行加密/解密，接收方必须获得一个密钥或密码来对加密信息进行解码。接收者还必须知道加密密钥是对称的还是不对称的。在某些情况下，如传输层加密，这些信息对最终用户是隐藏的；然而，对于来自应用程序或电子邮件系统的加密，为了让接收者访问信息，必须事先导出或获得密钥。无论哪种方式，密钥管理和密钥分发都可能需要大量的精力，尤其是当公司有大量的合作伙伴或客户时。特别是用户访问安全信息会很麻烦，因为用户一般被限制访问公司资源。但要想缓解售后服务带来的压力，获取钥匙一定要简单。

像任何企业级服务一样，公司必须仔细规划和设计如何在与业务合作伙伴和客户的通信中使用加密技术。这通常包括建立一个技术架构，建立一个发送敏感信息的新流程，以及建立一个与外界连接的新通信通道，以便接收方共享如何解密信息。在某些情况下，有必要为发送方和接收方设置培训程序，培训他们如何使用加密技术成功地相互通信。

企业必须知道他们想要沟通的用户的能力，以及是否为用户管理和运行这些服务。此外，对于那些拥有大量用户的外部实体，通常需要非常方便的注册过程，以便用户的应用程序都能获得解密信息所需的密钥。

由于管理安全通信的复杂性，许多金融公司决定仅在其互联网门户和网络应用程序中保留安全内容。然后，他们引导商业伙伴和用户访问这些网站，在那里他们授权这些人，并让他们访问公司的敏感信息。这样做可以将加密系统限制在公司内部，进行更强的保护和控制。虽然这种短期的“拉拢”加密服务不需要单独为许多远程用户设置加密服务，但实施这种方案的成本，以及管理这些服务的用户培训、支持和维护成本，已经可以使许多公司的预算吃紧。但在组成加密服务的三个部分的通用标准完善之前——或者至少在减少一些选择之前——这可能是最可行的方案。

另一方面，保险业通过代理技术委员会(ACT)，美国独立保险代理人和经纪人的一部分，在2006年的一份报告(“电子通信运营商独立代理人优先制度”)中对安全通信做出了规定。根据该报告，代理可以指定他们希望如何接收来自运营商的安全通信。他们普遍认为，他们希望通过带有安全TLS/SSL链接的电子邮件通知来获取用户的PII信息，而这个TLS/SSL链接允许他们连接到包含这些信息门户的运营商网站。

虽然这份报告只针对一个群体，但保险公司确实开始推动发送敏感信息的标准化。在金融公司可以将其安全通信系统传播到公司外部之前，其他行业部门需要做类似的工作，以降低业务加密的复杂性。