抵御对网络系统的攻击最常用也是最有效的方法就是加密。实施网络通信加密时,应该根据网络系统易受攻击的薄弱环节,确定加密的位置和加密内容。网络加密的基本方式有链路加密和端对端加密。
链路加密是指在每个易受攻击的链路两端都使用加密设备,从而保证整个通链路上数据传输的安全性。在对称密码系统中,每个加密链路两端的一对节点共享一个密钥,不同节点对共享不同的密钥。链路加密中数据报进入每个交换机节点时都要进行一次解密操作,因为交换机必须从数据报头中读出地址,以便为数据报确定下面的路由。因此链路加密中交换机是易受攻击的薄弱点。
端对端加密是指仅在发生通信的一对用户端进行加密,通信数据以密文形式进入网络,由源节点传送至目标节点。由于仅通信源节点和目标节点共享一个密钥,因此端对端加密还具有一定程度的认证功能,即数据终端节点可以相信所收到的数据报确实来自源点。但是端对端加密也有弱点,分组交换网络中数据报由报头和用户数据组成,在中间交换节点上必须对数据报头进行解析以确定后续路由,因此端对端的加密只能对数据报中的用户数据部分进行,报头部分必须以明文方式传送,这就为业务流量分析捉供了机会。
