基本內容
節點加密需要對數據進行加密和解密,每兩個節點用同一個密鑰加密數據。在節點加密中,除了傳送節點和接收節點以明文的形式出現,在中間節點則是進行密鑰的轉換,即在節點處採用一個與節點機相連的密碼裝置,密文在該裝置中被解密並被重新加密,明文不通過節點機,避免了鏈路加密節點處易受攻擊的缺點。
儘管節點加密能給網路數據提供較高的安全性,但它在操作方式上與鏈路加密是類似的兩者均在通信鏈路上為傳輸的訊息提供安全性,都在中間節點先對訊息進行解密,然後進行加密。因為要對所有傳輸的數據進行加密,所以加密過程對用戶是透明的。
然而,與鏈路加密不同,節點加密不允許訊息在網路節點以明文形式存在,它先把收到的訊息進行解密,然後採用另一個不同的密鑰進行加密,這一過程是在節點上的一個安全模組中進行。
節點加密要求報頭和路由信息以明文形式傳輸,以便中間節點能得到如何處理訊息的信息。因此這種方法對於防止攻擊者分析通信業務是脆弱的。
數據加密
數據加密是指將一個信息經過加密鑰匙及加密的轉換,變成不能直讀的密文,而接收方則將此密文經過解密函式,解密鑰匙還原成明文,因此加密是保護數據安全的一種有效手段。在網路中,數據的頻繁傳輸套用,使數據極易被截獲或修改,只有綜合採用加密技術,才能有效地防止數據泄露。加密的安全保障來源於加密算法的抗破譯強度,即使是世界著名的DES數據標準加密法和分開密鑰體制的抗破譯水平,也只能保留在商業標準。尋求一種安全的加密算法是對敏感數據提供安全保障的根本要求。
在計算機網路中,加密可分為“通信加密”(即傳輸過程中的數據加密)和“檔案加密”(即存儲數據加密)。通信加密又有鏈路加密,節點加密和端-端加密三種。
區別鏈路加密
節點加密與上面介紹的鏈路加密有相同的地方,也有一些不同。相同的是它與鏈路加密一樣,是基於數據鏈路層的加密,兩者均在通信鏈路上為傳輸的訊息提供安全性,而且都需要在中間節點上先對訊息進行解密,然後進行加密(因為不同鏈路上的加密密鑰不一樣,所以要先解密,然後再加密);不同的是,節點加密的加密功能是由節點自身的安全模組完成的(通常是集成在網卡中,而鏈路加密需要由專門的加密設備或者集成在網卡中的安全模組來完成加密功能),而且訊息在節點中處於加密狀態,而鏈路加密中間節點中的訊息是以明文形式存在的。節點加密不同的只是不再用加密機了,而是在節點上安裝了加密系統。
節點加密不允許訊息在網路節點以明文形式存在,訊息到達節點時,先把收到的訊息進行解密,然後採用另一個不同的密鑰進行加密,再繼續進行數據傳輸,依此類推。因此,總的來說,它較鏈路加密更安全。但由於在節點加密方式中要對所有傳輸的數據進行加密,並且包括節點和傳輸鏈路都是加密的,所以要求報頭和路由信息以明文形式傳輸,以便中間節點能得到如何處理訊息的信息。這樣就帶來了一定的安全風險,特別是對於通信業務分析類型的攻擊。再由於也是需要對每條鏈路分別加密,所以節點加密也比較適合於經過較少鏈路的兩端點間通信,如專線接入、幀中ATM等接入方式,或者區域網路內部端點間的通信。
數據加密比較
鏈路加密
優點
1)所有的信息都加密,包括訊息頭和路由信息
2)單個密鑰泄漏不會危及全網安全;每對網路節點可使用截然不同的密鑰
3)加密對用戶是透明的
缺點
1)訊息以明文形式通過每個節點
2)由於所有網路節點都必須獲得密鑰,密鑰分發和密鑰管理困難
3)由於每條保密通信鏈路上都需要兩台設備,密碼設備費用高
節點加密
優點
1)訊息的解密和加密在保密模組內完成,無暴露訊息內容之虞
2)加密對用戶是透明的
缺點
1)某些信息(如訊息頭和路由信息,必須以明文形式傳輸
2)由於所有的網路節點都必須獲得密鑰,密鑰分發和密鑰管理困難
端一端加密
優點
1)異常靈活;加密可由用戶控制,而且並非所有信息都得加密
2)數據經網路從源到目的地都受到保護
3)加密對網路節點是透明的,而且在網路重組期間也可以使用
缺點
1)每個系統都必須能夠進行相同類型的加密
2)某些信息(如訊息頭和路由信息)可以明文形式傳送
3)要求複雜的密鑰分發和密鑰管理技術