链路加密


链路加密

文章插图
链路加密线上加密一般指本词条
【链路加密】使用链路加密装置能为某链路上的所有报文提供传输服务 。即经过一台节点机的所有网路信息传输均需加、解密,每一个经过的节点都必须有密码装置,以便解密、加密报文 。如果报文仅在一部分链路上加密而在另一部分链路上不加密,则相当于未加密,仍然是不安全的 。与链路加密类似的节点加密方法,是在节点处採用一个与节点机相连的密码装置(被保护的外围设备),密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密关节点处易受攻击的缺点 。
基本介绍中文名:链路加密
别称:线上加密
表达式:密装置能为某链路上的所有报文提供传输服务
特性:数据提供安全保证
定义链路加密(又称线上加密)是传输数据仅在物理层前的数据链路层进行加密 。接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地 。链路加密,有时也叫做链路级或链路层加密,它是同一网路内两点传输数据时在数字链路层加密信息的一种数字保密方法 。在主伺服器端的数据是明文的,当它离开主机的时候就会加密,等到了下个连结(可能是一个主机也可能是一个中集节点)再解密,然后在传输到下一个连结前在加密 。每个连结可能用的不同的密钥或不同的加密算法 。这个过程将持续到数据的接收端 。链路加密加密发生在最低协定层(OSI模型的第一二层) 。因为这一过程保护了传输的数据,链路加密在不能保证传输线的安全的时候就变得尤为重要 。然而由于信息在每个传输路径上的主机里解密,当信息必须经过那些不能确定主机间是否安全的通路时 。特性对于在两个网路节点间的某一次通信链路,链路加密能为网上传输的数据提供安全保证 。对于链路加密,所有讯息在被传输之前进行加密,在每一个节点对接收到的讯息进行解密,然后先使用下一个链路的密钥对讯息进行加密,再进行传输 。在到达目的地之前,一条讯息可能要经过许多通信链路的传输 。由于在每一个中间传输节点讯息均被解密后重新进行加密,因此,包括路由信息在内的链路上的所有数据均以密文形式出现 。这样,链路加密就掩盖了被传输讯息的源点与终点 。由于填充技术的使用以及填充字元在不需要传输数据的情况下就可以进行加密,这使得讯息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析 。儘管链路加密在计算机网路环境中使用得相当普遍,但它并非没有问题 。链路加密通常用在点对点的同步或异步线路上,它要求先对在链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密 。这就给网路的性能和可管理性带来了副作用 。线上路/信号经常不通的海外或卫星网路中,链路上的加密设备需要频繁地进行同步,带来的后果是数据丢失或重传 。另一方面,即使仅一小部分数据需要进行加密,也会使得所有传输数据被加密 。在一个网路节点,链路加密仅在通信链路上提供安全性,讯息以明文形式存在,因此所有节点在物理上必须是安全的,否则就会泄漏明文内容 。然而保证每一个节点的安全性需要较高的费用,为每一个节点提供加密硬体设备和一个安全的物理环境所需要的费用由以下几部分组成:保护节点物理安全的雇员开销,为确保全全策略和程式的正确执行而进行审计时的费用,以及为防止安全性被破坏时带来损失而参加保险的费用 。在传统的加密算法中,用于解密讯息的密钥与用于加密的密钥是相同的,该密钥必须被秘密保存,并按一定规则进行变化 。这样,密钥分配在链路加密系统中就成了一个问题,因为每一个节点必须存储与其相连线的所有链路的加密密钥,这就需要对密钥进行物理传送或者建立专用网路设施 。而网路节点地理分布的广阔性使得这一过程变得複杂,同时增加了密钥连续分配时的费用 。其它方式还有一种方式:端--端加密端--端加密是为数据从一端传送到另一端提供的加密方式 。数据在传送端被加密,在最终目的地(接收端)解密,中间节点处不以明文的形式出现 。採用端--端加密是在套用层完成,即传输前的高层中完成 。除报头外的的报文均以密文的形式贯穿于全部传输过程 。只是在传送端和最终端才有加、解密设备,而在中间任何节点报文均不解密,因此,不需要有密码设备 。同链路加密相比,可减少密码设备的数量 。另一方面,信息是由报头和报文组成的,报文为要传送的信息,报头为路由选择信息 。由于网路传输中要涉及到路由选择,在链路加密时,报文和报头两者均须加密 。而在端--端加密时,由于通道上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息,因此,只能加密报文,而不能对报头加密 。这样就容易被某些通信分析发觉,而从中获取某些敏感信息 。加密方式比较加密传输方式的比较数据保密变换使数据通信更安全,但不能保证在传输过程中绝对不会泄密 。因为在传输过程中,还有泄密的隐患 。链路加密方式採用链路加密方式,从起点到终点,要经过许多中间节点,在每个节点地均要暴露明文(节点加密方法除外),如果链路上的某一节点安全防护比较薄弱,那幺按照木桶原理(木桶水量是由最低一块木板决定),虽然採取了加密措施,但整个链路的安全只相当于最薄弱的节点处的安全状况 。链路加密,每条物理链路上,不管用户多少,可使用一种密钥 。在极限情况下,每个节点都与另外一个单独的节点相连,密钥的数目也只是n*(n-1)/2 种 。这里n是节点数而非用户数,一个节点一般有多个用户 。端--端加密方式採用端--端加密方式,只是传送方加密报文,接收方解密报文,中间节点不必加、解密,也就不需要密码装置 。此外,加密可採用软体实现,使用起来很方便 。在端--端加密方式下,每对用户之间都存在一条虚拟的保密信道,每对用户应共享密钥(传统密码保密体制,非公钥体制下),所需的密钥总数等于用户对的数目 。对于几个用户,若两两通信,共需密钥n*(n-1)/2种,每个用户需(n-1)种 。这个数目将随网上通信用户的增加而增加 。为安全起见,每隔一段时间还要更换密钥,有时甚至只能使用一次密钥,密钥的用量很大 。总结从身份认证的角度看,链路加密只能认证节点,而不是用户 。使用节点A密钥的报文仅保证它来自节点A 。报文可能来自A的任何用户,也可能来自另一个路过节点A的用户 。因此链路加密不能提供用户鉴别 。端--端加密对用户是可见的,可以看到加密后的结果,起点、终点很明确,可以进行用户认证 。总之,链路加密对用户来说比较容易,使用的密钥较少,而端--端加密比较灵活,用户可见 。对链路加密中各节点安全状况不放心的用户也可使用端--端加密方式 。