链路加密是在物理层执行加密。物理层的接口是最标准的,易于连接硬件加密设备。加密设备加密所有经过的数据,包括数据、路由信息、协议信息等,可用于任何类型的数字通信链路。另一方面,发送者和接受者之间的所有智能转换和存储节点都需要将数据流解密之后才能处理。
这种加密方式是很有效的。由于所有数据都加密了,密码分析者无法得到信息的结构,他们无法知道交换双方是谁?发送的信息多长?什么时间通讯等等,这称为通讯流的安全性。敌手不仅不能取得信息,而且也无法了解信息发送到何处和信息有多长,系统安全性只依赖于选择的算法,而与通讯管理技术无关。密钥管理也是很简单的,只有链路的二端需要一个共同的密钥,他们可以不考虑网络的其它部分而独立更换他们的密钥。设想一个以1位CFB加密的同步通讯线路,初始化以后,线路就不停地工作,自动从位错误和同步错误中恢复。当有报文要发送时,线路加密信息,否则它仅加解密随机数据。攻击者无法知道通讯何时开始、何时结束,她看到的只是无穷无尽的看似随机的位流。
如果该通讯线路是异步的,同样可以采用1位CFB方式,其差异在于敌手可以得到有关传送率的信息。如果必须隐藏传送率信息,需要采取一些措施在线路空时发送一些假的报文,在物理层加密的最大问题是网络中的所有物理链路都得加密,任何没有加密的链路都会危及整个网络的安全性。如果网络比较大,这种加密方式所需的费用是高得惊人的。另外,由于网络中每个节点都处理没有加密的数据,所以每个节点都得保护,除非网络中所有的用户都相互信赖,并且所有节点都很安全,但这是不可能的,即使在某个公司内,信息也得在部门内保密。如果网络偶然将信息送错地方,人人都可以读到。
