在网络安全领域,数据加密是处理通信网中信息安全的有用方法,网络数据加密常见的方式含链路加密,节点加密与端到端加密。可通过软件或硬件的方式实现这3种方式。各种信息系统在建设时,可由各自的安全需要,资金状况选择使用不同的加密方式。
1.链路加密
链路加密是对网络中2个相邻节点间传输的数据操作加密保护的方法。
在链路加密方式中,一切消息在被传输前操作加密,包含数据报文正文、路由信息、校验和等全部信息。每一节点收到数据报文后,一定要解密来取得路由信息与校验和,进行路由选择、差错检测,然后用下一个链路的密钥对报文加密,之后再传输,在至目的地前,1条消息可能得通过多条通信链路的传输。
因在每个中间节点消息都被解密后再加密,因此,含路由信息在其中的链路上的一切数据都用密文形式存在,链路加密可掩盖被传消息的源点和终点。
链路加密只在通信链路上有安全性,在每个网络节点中,消息通过明文形式出现,所以全部节点在物理上肯定是安全的,要不然就会泄漏明文内容。不过确保每个节点的安全性往往要有较高的费用。
在传统的加密算法中,用来解密消息的密钥与加密的密钥是一样的,该密钥一定被私密保存,并根据一定规则变化。如此,密钥分配在链路加密系统中便是个大问题,因每个节点一定要存储与它相邻的全部链路的加密密钥,这就得对密钥实施物理传送或构建专用网络设施。网络节点广阔的地理分布使此过程复杂,同时加大了密钥连续分配的费用。
2.节点加密
节点加密指在信息传输经过的节点那里操作解密与加密。即使节点加密可为网络数据给出较高的安全性,不过它和链路加密在操作方式上相似:两者都在通信链路上给传输的消息保障安全,在中间节点先解密消息,然后加密。因要加密全部传输的数据,因此加密过程向用户公开。然而,和链路加密不一样的是,节点加密不让消息于网络节点用明文形式出现,它先将收到的消息解密,之后用一个不同的密钥加密,此过程是在节点上的“安全模块”中实施的。
节点加密指出报头与路由信息用明文形式传输,方便中间节点可以取得怎样处理消息的信息。因此,此方法对避免攻击者解读通信业务是无力的。节点加密与链路加密存在相同的缺点:需要网络提供者修改交换节点,增加安全模块或保护装置。
3.端到端加密
端到端加密是指对用户间的数据不断地给出保护的方法。端到端加密可让数据在源点至终点的传输中一直以密文形式出现,用端到端加密,消息在传输到达终点前不解密,因消息在整个传输中都被保护,因此尽管有节点损坏也不存在消息泄漏。
端到端加密系统的费用低,且与链路或节点加密较更可靠,更易设计、实现与维护。端到端加密也绕过了其他加密系统存在的同步问题,因每个报文包都是独立并加密的,因此一个报文包出现的传输错误不存在对后续的报文包有影响。这个方法仅要源与目的节点保密就可。
端到端加密系统一般不让加密消息的目的地址,这是由于每个消息经过的节点均需用这个地址明确怎样传输消息。因此加密方法无法隐藏被传消息的源点与终点,所以它对避免攻击者对通信业务进行解析是无力的。
