对于网络通信,可采用以下两种具体措施进行加密传输。

1、链路加密

链路加密是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。

使用链路加密装置能为某链路上的所有报文提供传输服务。即经过一台节点机的所有网络信息传输均需加、解密,每一个经过的节点都必须有密码装置,以便解密、加密报文。如果报文仅在一部分链路上加密而在另一部分链路上不加密,则相当于未加密,仍然是不安全的。与链路加密类似的节点加密方法,是在节点处采用一个与节点机相连的密码装置), 密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密关节点处易受攻击的缺点。

2、端 - 端加密

端 - 端加密是为数据从一端传送到另一端提供的加密方式。数据在发送端被加密,在最终目的地(接收端)解密,中间节点处不以明文的形式出现。

采用端 - 端加密是在应用层完成。除报头外的的报文均以密文的形式贯穿于全部传输过程。只是在发送端和最终端才有加、解密设备,而在中间任何节点报文均不解密,因此,不需要有密码设备。同链路加密相比,可减少密码设备的数量。另一方面,信息是由报头和报文组成的,报文为要传送的信息,报头为路由选择信息。由于网络传输中要涉及到路由选择,在链路加密时,报文和报头两者均须加密。而在端 -- 端加密时,由于通道上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息,因此,只能加密报文,而不能对报头加密。这样就容易被某些通信分析发觉,而从中获取某些敏感信息。

加密在安网络通信全上的应用

3、加密传输方式的比较

数据保密变换使数据通信更安全,但不能保证在传输过程中绝对不会泄密。因为在传输过程中,还有泄密的隐患。

采用链路加密方式,从起点到终点,要经过许多中间节点,在每个节点地均要暴露明文,如果链路上的某一节点安全防护比较薄弱,那么按照木桶原理,虽然采取了加密措施,但整个链路的安全只相当于最薄弱的节点处的安全状况。

采用端 - 端加密方式,只是发送方加密报文,接收方解密报文,中间节点不必加、解密,也就不需要密码装置。

链路加密,每条物理链路上,不管用户多少,可使用一种密钥。在极限情况下,每个节点都与另外一个单独的节点相连,密钥的数目也只是 n*(n-1)/2 种。这里 n 是节点数而非用户数,一个节点一般有多个用户。

从身份认证的角度看,链路加密只能认证节点,而不是用户。使用节点 A 密钥的报文仅保证它来自节点 A 。报文可能来自 A 的任何用户,也可能来自另一个路过节点 A 的用户。因此链路加密不能提供用户鉴别。端 -- 端加密对用户是可见的,可以看到加密后的结果,起点、终点很明确,可以进行用户认证。

总之,链路加密对用户来说比较容易,使用的密钥较少,而端 - 端加密比较灵活,用户可见。对链路加密中各节点安全状况不放心的用户也可使用端 - 端加密方式。

当然,对于互联网中应用最广泛的WWW服务器的信息加密,最简单又最安全的加密方式是为服务器部署 SSL数字证书,充分利用现有的服务器和客户端软件广泛支持的PKI技术来轻松实现信息加密。