网络数据加密是一种保护网络中传输数据的主动安全防御策略,旨在保护网络中用户的数据
、文件和敏感信息。网络数据加密方法根据其不同的特点应用于不同的加密阶段。根据OSI网
络七层协议中所采用的加密技术的层次和逻辑位置,网络数据加密可以分为链路加密、节点加
密和端到端加密三种。
链接加密。
链接加密也叫在线加密。在网络层下面的加密叫做链路加密,主要是用来保护通信节点之间传
输的数据。对于链路加密,所有消息在传输前都被加密,接收到的消息在每个节点被解密,然
后消息在传输前用下一条链路的密钥加密。链接加密方法如图2.5所示。
输的数据。对于链路加密,所有消息在传输前都被加密,接收到的消息在每个节点被解密,然
后消息在传输前用下一条链路的密钥加密。链接加密方法如图2.5所示。
链接加密方法。
可以看出,在到达目的地之前,消息可以通过许多通信链路传输。由于每个中间传输节点中的
消息都是经过解密再重新加密的,所以链路上的所有数据包括路由信息都是以密文的形式出现
的。这样,链路加密就屏蔽了传输消息的来源和目的地。由于使用了填充技术,并且填充字符
可以在不传输数据的情况下加密,因此可以隐藏消息的频率和长度特征,从而防止对通信服务
的分析。
消息都是经过解密再重新加密的,所以链路上的所有数据包括路由信息都是以密文的形式出现
的。这样,链路加密就屏蔽了传输消息的来源和目的地。由于使用了填充技术,并且填充字符
可以在不传输数据的情况下加密,因此可以隐藏消息的频率和长度特征,从而防止对通信服务
的分析。
但是,由于链路加密通常是在点对点同步或异步线路上使用,因此需要首先对链路两端的加密
装置进行同步,然后再对链路上传输的数据进行链式加密,这会对网络性能和可管理性产生负
面影响。在线路信号差的网络中,链路上的加密设备需要频繁同步,结果是数据丢失或重传;
另一方面,即使只有一小部分数据需要加密,所有传输的数据都会被加密。另外,由于链路加
密只在通信链路上提供安全性,消息以明文形式存在,所以所有节点必须物理安全,否则明文
内容会泄露;然而,确保每个节点的物理安全性需要很高的成本。此外,这种加密方法使得每
个节点都必须存储与其连接的所有链路的加密密钥,这需要物理传输密钥或建立特殊的网络设
施。由于网络结点的广泛分布,使得这个过程复杂化,增加了密钥连续分配的代价。
装置进行同步,然后再对链路上传输的数据进行链式加密,这会对网络性能和可管理性产生负
面影响。在线路信号差的网络中,链路上的加密设备需要频繁同步,结果是数据丢失或重传;
另一方面,即使只有一小部分数据需要加密,所有传输的数据都会被加密。另外,由于链路加
密只在通信链路上提供安全性,消息以明文形式存在,所以所有节点必须物理安全,否则明文
内容会泄露;然而,确保每个节点的物理安全性需要很高的成本。此外,这种加密方法使得每
个节点都必须存储与其连接的所有链路的加密密钥,这需要物理传输密钥或建立特殊的网络设
施。由于网络结点的广泛分布,使得这个过程复杂化,增加了密钥连续分配的代价。
