最近在安全圈内有许多关于点到点加密（point-to-point encryption，P2PE）技术的议论，以及在高风险环境中该技术将敏感信息泄漏最小化的潜力。在本文中，我们会审视P2P加密给企业安全带来的好处，并指出一些延误P2P加密技术应用的悬而未决的问题。

　　P2P加密如何运作

　　点到点加密技术允许企业在众多设备、或设备内的组件间创建安全的通信链接，防止中间设备在网络上传输过程中泄漏敏感信息。P2PE最常作为满足支付卡行业数据安全标准（PCI DSS）的解决方案被部署，但它也可能用于其它敏感数据。

　　比如，想想一家在全国分布有许多零售商店的服装连锁店，它通过位于市中心的数据中心处理所有的金融交易。对于零售商来说，确保每家商店的局域网物理安全十分困难，取决于这些网络的绝对数量以及零售店位置的公共性质。再者，也不太可能在每家零售商店都有经过培训的安全人员在现场监控网络。

　　通过部署P2P加密技术，零售商能限制在商品销售环境中流转的信用卡号被泄漏的范围。例如，通过部署一个使用加密信用卡扫描器的POS系统（a point of sale，销售时点信息系统），由位于家庭办公室中支持点到点加密的后端系统支撑，整个零售店的网络与外界隔绝。因为硬件信用卡扫描器在数据到达POS终端前对其加密，所以在零售店网络上没有设备能解密信用卡号。这可保护信用卡免遭各种类型的攻击，包括未授权设备的窃听以及POS终端上的恶意软件感染。诸如这样的设备无法访问加密密钥，所以它们不能访问信用卡号。

　　为什么使用P2P加密技术？

　　点到点加密技术主要的好处是它能够减少安全工作的范围。在上面描述的零售店情况中，如果零售商能够确保硬件信用卡扫描器的完整性，只需要对易于被解密的集中式后台系统应用最严格的安全控制。在高度监管要求的环境中，这个策略能极大地减少必须满足的繁重的合规及监控要求的系统和网络数量。

　　P2P加密技术的局限

　　尽管点到点加密是一项很有前途的安全技术，但它仍没有被广泛地部署，主要是由于市场上只有少数成熟的产品。在PCI安全标准委员会（PCI SCC）为这类产品批准简化的验证过程不久后，有几个组织想部署它，但是无法找到满足PCI SSC指导的产品。许多情况下，厂商声称他们正开始着手测试产品，但是还不能用于商用。现在这些产品开始在市场上找寻商机，且随着商家升级他们的系统被缓慢地投入上线。

　　合规遵从的推迟是P2P加密技术第二个主要的限制，它（合规遵从）通常要求可观的经济投资以便建立并运行。这包括对POS硬件、软件的升级，以及来自厂商可能的费用增长。商家们正寻求限制他们合规遵从所需承担的责任，厂商们渴求在这些意外的业务需求上大赚一笔。

　　最后记住P2P加密不是万能药，这十分重要。尽管它在一定程度上减少了确保远程网络安全的需要，但不能消除安全控制的需要。这方面最重要的例子就是需要采用强大的加密密钥管理实践。如果攻击者能够获得解密密钥，这个解决方案就毫无用处了。这意味着，要禁止任何被认为是超出范围的设备访问用于保护敏感信息的密钥。

　　总而言之，点到点加密是一项很有前途的技术，企业正开始利用它来加强数据安全并减少合规管理措施的范围，特别是在支付系统环境中。然而，它目前有好几个重大的局限，希望使用该技术的安全专业人员们务必考虑到，不过，未来几年随着商业P2P产品的不断改进，或许会引起企业增长性的使用。