第八节 网络中的信息加密技术

信息加密技术是所有网络上通信安全所依赖的基本技术。在网络上具体实施时，根据网络层次的不同数据加密方式主要有链路加密、结点加密和端到端加密三种。

一、链路加密

链路加密是较常用的加密方法之一，通常用硬件在物理层实现，用于保护通信结点间传输的数据。这种加密方式比较简单，实现也比较容易，只要将一对密码设备安装在两个结点间的线路上，使用相同的密钥即可。用户没有选择的余地，也不需要了解加密技术的细节。一旦在一条线路上采用链路加密，往往需要在全网内都采用链路加密。图1.11是这种加密方式的原理图。这种方式在临近的两个结点之间的链路上传送是加密的，而在结点中信息是以明文形式出现的。在实施链路加密时，报头和报文一样都要进行加密。

链路加密方式对用户是透明的，即加密操作由网络自动进行，用户不能干预加密/解密过程。这种加密方式可以在物理层和链路层实现，主要以硬件方式完成，用以对信息或链路中可能被截取的信息进行保护。这些链路主要包括专用线路、电话线、电缆、光缆、微波和卫星通道等。

二、结点加密

结点加密是链路加密的改进，其目的是克服链路加密在结点处易遭非法存取的缺点。在协议栈的运输层上进行加密，是对源结点和目的结点之间传输的数据信息进行加密保护。实现方法与链路加密类似，只是将加密算法组合到依附于结点的加密模块中，加密原理如图1.12所示。这种加密方式明文只出现在结点的保护模块中，可以提供用户结点间连续的安全服务，也能实现对等实体鉴别。

结点加密也是每条链路使用一个专用密钥，但从一个密钥到另一个密钥的变换过程是在保密模块中进行的。

三、端到端加密

传输层以上的加密通称为端到端加密。端到端加密对面向协议栈高层的主体进行加密，一般在表示层以上实现。协议信息以明文形式传输，用户数据在中间结点不需要加密。端到端加密一般由软件完成。在网络高层进行加密，不需要考虑网络低层的线路、调制解调器、接口与传输码等细节，但要求用户的联机自动加密软件必须与网络通信协议软件结合，而各厂商的网络通信协议软件往往各不相同，因此目前的端到端加密往往采用脱机调用方式。端到端加密也可以采用硬件方式实现，不过该加密设备要么能识别特殊的命令字，要么能识别低层协议信息，要完成对用户数据的加密，硬件实现往往有很大难度。

大型网络系统中，交换网络在多收发方传输信息时，用端到端加密是比较合适的。端到端加密往往以软件方式实现，并在协议栈的高层（应用层和表示层）上完成。端到端加密原理如图1.13所示，数据在通过各结点传输时一直对数据进行保护，只是在终点进行加密处理。在数据传输的整个过程中，以一个能变化的密钥和算法进行加密。在中间结点和有关安全模块中不出现明文，端到端加密或结点加密时，不加密报头，只加密报文。

端到端加密具有链路加密和结点加密所不具有的优点。一是成本低，由于端到端加密在中间结点都不需要解密，即数据到达目的地之前始终用密码保护着，所以只要求源结点和目的结点具有加密/解密设备，而链路加密则要求处理加密信息的每条链路均要配有加密/解密设备；二是端到端加密比链路加密更安全；三是端到端加密可以由用户提供，因此对用户来说这种加密方式比较灵活。然而，由于端到端加密只加密报文，数据报头环视还是保持明文形式，所以容易被流量分析者所利用；另外，端到端加密所需的密钥数量远大于链路加密，因此，对端到端加密而言，密钥管理代价是十分昂贵的。