節(jié)點(diǎn)加密數(shù)據(jù)加密

時間：2022-02-21 05:38:01 | 來源：信息時代

時間：2022-02-21 05:38:01 來源：信息時代

數(shù)據(jù)加密是指將一個信息經(jīng)過加密鑰匙及加密的轉(zhuǎn)換，變成不能直讀的密文，而接收方則將此密文經(jīng)過解密函數(shù)，解密鑰匙還原成明文，因此加密是保護(hù)數(shù)據(jù)安全的一種有效手段。在網(wǎng)絡(luò)中，數(shù)據(jù)的頻繁傳輸應(yīng)用，使數(shù)據(jù)極易被截獲或修改，只有綜合采用加密技術(shù)，才能有效地防止數(shù)據(jù)泄露。加密的安全保障來源于加密算法的抗破譯強(qiáng)度，即使是世界著名的DES數(shù)據(jù)標(biāo)準(zhǔn)加密法和分開密鑰體制的抗破譯水平，也只能保留在商業(yè)標(biāo)準(zhǔn)。尋求一種安全的加密算法是對敏感數(shù)據(jù)提供安全保障的根本要求。

在計算機(jī)網(wǎng)絡(luò)中，加密可分為'通信加密'（即傳輸過程中的數(shù)據(jù)加密）和'文件加密'（即存儲數(shù)據(jù)加密）。通信加密又有鏈路加密，節(jié)點(diǎn)加密和端-端加密三種。

鏈路加密
鏈路加密

對于在兩個網(wǎng)絡(luò)節(jié)點(diǎn)間的某一次通信鏈路，鏈路加密能為網(wǎng)上傳輸?shù)臄?shù)據(jù)提供安全保證。對于鏈路加密(又稱在線加密)，所有消息在被傳輸之前進(jìn)行加密。在每一個節(jié)點(diǎn)對接收到的消息進(jìn)行解密。然后先使用下一個鏈路的密鑰對消息進(jìn)行加密，再進(jìn)行傳輸。在到達(dá)目的地之前，一條消息可能要經(jīng)過許多通信鏈路的傳輸。每一個連接相當(dāng)于OSI參考模型建立在物理層之上的鏈路層。

由于在每一個中間傳輸節(jié)點(diǎn)消息均被解密后重新進(jìn)行加密，因此，包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)均以密文形式出現(xiàn)。這樣，鏈路加密就掩蓋了被傳輸消息的源點(diǎn)與終點(diǎn)。由于填充技術(shù)的使用以及填充字符在不需要傳輸數(shù)據(jù)的情況下就可以進(jìn)行加密。這使得消息的頻率和長度特性得以掩蓋．從而可以防止對通信業(yè)務(wù)進(jìn)行分析。

在一個網(wǎng)絡(luò)節(jié)點(diǎn)，鏈路加密僅在通信鏈路上提供安全性，消息以明文形式存在，因此所有節(jié)點(diǎn)在物理上必須是安全的，否則就會泄漏明文內(nèi)容。然而保證每一個節(jié)點(diǎn)的安全性需要較高的費(fèi)用。

在傳統(tǒng)的加密算法中，用于解密消息的密鑰與用于加密的密鑰是相同的，該密鑰必須被秘密保存，并按一定規(guī)則進(jìn)行變化。這樣，密鑰分配在鏈路加密系統(tǒng)中就成了一個問題。因為每一個節(jié)點(diǎn)必須存儲與其相連接的所有鏈路的加密密鑰。這就需要對密鑰進(jìn)行物理傳送或者建立專用網(wǎng)絡(luò)設(shè)施。由于網(wǎng)絡(luò)節(jié)點(diǎn)地理分布的廣闊性使得這一過程變得很復(fù)雜。同時增加了密鑰連續(xù)分配的費(fèi)用。

節(jié)點(diǎn)加密
節(jié)點(diǎn)加密

盡管節(jié)點(diǎn)加密能給網(wǎng)絡(luò)數(shù)據(jù)提供較高的安全性。但它在操作方式上與鏈路加密是類似的：兩者均在通信鏈路上為傳輸?shù)南⑻峁┌踩?，都在中問?jié)點(diǎn)先對消息進(jìn)行解密，然后進(jìn)行加密。因為要對所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，所以加密過程對用戶是透明的。

然而與鏈路加密不同，節(jié)點(diǎn)加密不允許消息在網(wǎng)絡(luò)節(jié)點(diǎn)以明文形式存在，它先把收到的消息進(jìn)行解密，然后采用另一個不同的密鑰進(jìn)行加密，這一過程是在節(jié)點(diǎn)上的一個安全模塊中進(jìn)行。

節(jié)點(diǎn)加密要求報頭和路由信息始終以明文形式傳輸．以便中間節(jié)點(diǎn)能得到如何處理消息的信息。因此這種方法易被攻擊。

端到端加密
端對端加密

端對端加密方式建立在OSI參考模型的網(wǎng)絡(luò)層和傳輸層。這種方法要求傳送的數(shù)據(jù)從源端到的端一直保持密文狀態(tài)。任何通信鏈路的錯誤不會影響整體數(shù)據(jù)的安全性。采用端到端加密(又稱脫線加密或包加密)，消息在被傳輸時到達(dá)終點(diǎn)之前不進(jìn)行解密。因為消息在整個傳輸過程中均受到保護(hù)。所以即使有節(jié)點(diǎn)被損壞也不會使消息泄露。

在端對端加密方式中，只加密數(shù)據(jù)本身信息，不加密路徑控制信息。每一個消息所經(jīng)過的節(jié)點(diǎn)都要用此地址來確定如何傳輸消息，由于這種加密方法不能掩蓋被傳輸消息的源點(diǎn)與終點(diǎn)。因此它對于防止攻擊者上稍有欠缺。加密可以用軟件編程實現(xiàn)。但此方式密鑰管理機(jī)制復(fù)雜．主要適合大型網(wǎng)絡(luò)系統(tǒng)中信息在多個發(fā)方和收方之間傳輸?shù)那闆r。

端到端加密系統(tǒng)的價格較低，并且與鏈路加密和節(jié)點(diǎn)加密相比更可靠，更容易設(shè)計、實現(xiàn)和維護(hù)。從用戶對安全需求的直覺上講，端到端加密更自然些。單個用戶可能會選用這種加密方法．以便不影響網(wǎng)絡(luò)上的其他用戶．此方法只需要源和目的節(jié)點(diǎn)是保密的即可。

以上三種加密方法是實現(xiàn)數(shù)據(jù)通信安全的重要手段，但必須全面衡量和選擇加密方法和密碼工作體制，使之更方便，更可靠。采用鏈路加密時，沿著一條實際鏈路加密意味著該主計算機(jī)必須對所有的網(wǎng)絡(luò)路徑進(jìn)行加密，如果只對網(wǎng)絡(luò)部份鏈路加密，則就會失去鏈路加密的優(yōu)越性；端對端加密可以由用戶自己決定，如果數(shù)據(jù)需要保密，兩用戶采用數(shù)據(jù)加密裝置就可以了。

三種數(shù)據(jù)加密優(yōu)缺點(diǎn)比較

鏈路加密

優(yōu)點(diǎn)

1)所有的信息都加密，包括消息頭和路由信息

2)單個密鑰泄漏不會危及全網(wǎng)安全；每對網(wǎng)絡(luò)節(jié)點(diǎn)可使用截然不同的密鑰

3)加密對用戶是透明的

缺點(diǎn)

1)消息以明文形式通過每個節(jié)點(diǎn)

2)由于所有網(wǎng)絡(luò)節(jié)點(diǎn)都必須獲得密鑰，密鑰分發(fā)和密鑰管理困難

3)由于每條保密通信鏈路上都需要兩臺設(shè)備，密碼設(shè)備費(fèi)用高

節(jié)點(diǎn)加密

優(yōu)點(diǎn)

1)消息的解密和加密在保密模塊內(nèi)完成，無暴露消息內(nèi)容之虞

2)加密對用戶是透明的

缺點(diǎn)

1)某些信息(如消息頭和路由信息，必須以明文形式傳輸

2)由于所有的網(wǎng)絡(luò)節(jié)點(diǎn)都必須獲得密鑰，密鑰分發(fā)和密鑰管理困難

端一端加密

優(yōu)點(diǎn)

1)異常靈活；加密可由用戶控制，而且并非所有信息都得加密

2)數(shù)據(jù)經(jīng)網(wǎng)絡(luò)從源到目的地都受到保護(hù)

3)加密對網(wǎng)絡(luò)節(jié)點(diǎn)是透明的，而且在網(wǎng)絡(luò)重組期間也可以使用

缺點(diǎn)

1)每個系統(tǒng)都必須能夠進(jìn)行相同類型的加密

2)某些信息(如消息頭和路由信息)可以明文形式發(fā)送

3)要求復(fù)雜的密鑰分發(fā)和密鑰管理技術(shù)