加密網路節點
⑴ 網路數據加密的鏈路加密
對於在兩個網路節點間的某一次通信鏈路,鏈路加密能為網上傳輸的數據提供安全保證。對於鏈路加密(又稱在線加密),所有消息在被傳輸之前進行加密,在每一個節點對接收到的消息進行解密,然後先使用下一個鏈路的密鑰對消息進行加密,再進行傳輸。在到達目的地之前,一條消息可能要經過許多通信鏈路的傳輸。
由於在每一個中間傳輸節點消息均被解密後重新進行加密,因此,包括路由信息在內的鏈路上的所有數據均以密文形式出現。這樣,鏈路加密就掩蓋了被傳輸消息的源點與終點。由於填充技術的使用以及填充字元在不需要傳輸數據的情況下就可以進行加密,這使得消息的頻率和長度特性得以掩蓋,從而可以防止對通信業務進行分析。
盡管鏈路加密在計算機網路環境中使用得相當普遍,但它並非沒有問題。鏈路加密通常用在點對點的同步或非同步線路上,它要求先對在鏈路兩端的加密設備進行同步,然後使用一種鏈模式對鏈路上傳輸的數據進行加密。這就給網路的性能和可管理性帶來了副作用。
在線路信號經常不通的海外或衛星網路中,鏈路上的加密設備需要頻繁地進行同步,帶來的後果是數據丟失或重傳。另一方面,即使僅一小部分數據需要進行加密,也會使得所有傳輸數據被加密。
在一個網路節點,鏈路加密僅在通信鏈路上提供安全性,消息以明文形式存在,因此所有節點在物理上必須是安全的,否則就會泄漏明文內容。然而保證每一個節點的安全性需要較高的費用,為每一個節點提供加密硬體設備和一個安全的物理環境所需要的費用由以下幾部分組成保護節點物理安全的雇員開銷,為確保安全策略和程序的正確執行而進行審計時的費用,以及為防止安全性被破壞時帶來損失而參加保險的費用。
在傳統的加密演算法中,用於解密消息的密鑰與用於加密的密鑰是相同的,該密鑰必須被秘密保存,並按一定規則進行變化。這樣,密鑰分配在鏈路加密系統中就成了一個問題,因為每一個節點必須存儲與其相連接的所有鏈路的加密密鑰,這就需要對密鑰進行物理傳送或者建立專用網路設施。而網路節點地理分布的廣闊性使得這一過程變得復雜,同時增加了密鑰連續分配時的費用。
節點加密
盡管節點加密能給網路數據提供較高的安全性,但它在操作方式上與鏈路加密是類似的兩者均在通信鏈路上為傳輸的消息提供安全性;都在中間節點先對消息進行解密,然後進行加密。因為要對所有傳輸的數據進行加密,所以加密過程對用戶是透明的。
然而,與鏈路加密不同,節點加密不允許消息在網路節點以明文形式存在,它先把收到的消息進行解密,然後採用另一個不同的密鑰進行加密,這一過程是在節點上的一個安全模塊中進行。
節點加密要求報頭和路由信息以明文形式傳輸,以便中間節點能得到如何處理消息的信息。因此這種方法對於防止攻擊者分析通信業務是脆弱的。
端到端加密
端到端加密允許數據在從源點到終點的傳輸過程中始終以密文形式存在。採用端到端加密(又稱脫線加密或包加密),消息在被傳輸時到達終點之前不進行解密,因為消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。
端到端加密系統的價格便宜些,並且與鏈路加密和節點加密相比更可靠,更容易設計、實現和維護。端到端加密還避免了其它加密系統所固有的同步問題,因為每個報文包均是獨立被加密的,所以一個報文包所發生的傳輸錯誤不會影響後續的報文包。此外,從用戶對安全需求的直覺上講,端到端加密更自然些。單個用戶可能會選用這種加密方法,以便不影響網路上的其他用戶,此方法只需要源和目的節點是保密的即可。
端到端加密系統通常不允許對消息的目的地址進行加密,這是因為每一個消息所經過的節點都要用此地址來確定如何傳輸消息。由於這種加密方法不能掩蓋被傳輸消息的源點與終點,因此它對於防止攻擊者分析通信業務是脆弱的。
⑵ 以下關於節點加密的描述,哪些是正確的
以下關於節點加密的描述,哪些是正確的_______
A.節點加密是對傳輸的數據進行加密,加密對用戶是透明的
B.節點加密允許消息在網路節點以明文形式存在
C.節點加密的過程使用的密鑰與節點接收到的信息使用的是相同的密鑰
D.節點加密要求報頭和路由信息以明文形式傳輸
(答案:AD)
⑶ .網路加密常用的方法有鏈路加密,節點加密和( )
網路加密常用的方法有鏈路加密、端點加密和節點加密三種。
鏈路加密的目的是保護網路節點之間的鏈路信息安全;
端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;
節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護
⑷ 網路加密
信息安全包括 系統安全 和 數據安全 。
系統安全一般採用防火牆、病毒查殺等被動措施;數據安全主要採用現代密碼技術對數據進行主動保護,如數據保密、數據完整性、數據不可否認與抵賴、雙向身份認證等。
密碼技術是保證信息安全的核心技術。
名詞解釋
明文(plaintext):未被加密的消息;
密文(ciphertext):被加密的消息;
密碼演算法:也叫密碼(cipher),適用於加密和解密的數學函數。通常有兩個相關函數:一個用於加密,一個用於解密。
加密系統:由演算法以及所有可能的明文,密文和密鑰組成。
加密(encrypt):通過密碼演算法對數據進行轉化,使之成為沒有正確密鑰的人都無法讀懂的報文。
解密(decrypt):加密的相反過程。
密鑰(key):參與加密與解密演算法的關鍵數據。
一個加密網路不但可以防止非授權用戶的搭線竊聽和入網,保護網內數據、文件、口令和控制信息,也是對付惡意軟體的有效方法之一。
鏈路加密保護網路節點之間的鏈路信息安全,節點加密對源節點到目的節點之間的傳輸鏈路提供加密保護,端點加密是對源端點到目的端點的數據提供加密保護。
鏈路加密 又稱為在線加密,在數據鏈路層對數據進行加密,用於信道或鏈路中可能被截獲的那一部分數據進行保護。鏈路加密把報文中每一比特都加密,還對路由信息、校驗和控制信息加密。所以報文傳輸到某節點時,必須先解密,然後再路徑選擇,差錯控制,最後再次加密,發送到下一節點。
鏈路加密的優點 :實現簡單,在兩個節點線路上安裝一對密碼設備,安裝在數據機之間;用戶透明性。
鏈路加密的缺點 :1.全部報文以明文形式通過各節點;2.每條鏈路都需要一對設備,成本高。
節點加密 除具有鏈路加密的優勢外,還不允許報文在節點內以明文存在,先把收到的報文進行解密,然後採用另一個密鑰進行加密,克服了節點處易受非法存取的缺點。
優點是比鏈路加密成本低,且更安全。缺點是節點加密要求報頭和路由信息以明文傳輸,以便中間節點能得到如何處理消息的信息,對防止攻擊者分析通信業務仍是脆弱的。
端對端加密 又稱脫線加密或包加密、面向協議加密運行數據從源點到終點的傳輸過程中始終以密文形式存在,報文在到達終點前不進行解密。
端對端加密在傳輸層或更高層中實現。若在傳輸層加密,則不必為每個用戶提供單獨的安全保護機制;若在應用層加密,則用戶可根據自己特定要求選用不同加密策略。鏈路是對整個鏈路通信採取加密,端對端則是對整個網路系統採取保護措施。
優點:成本低,可靠性高,易設計、易實現、易維護。
目前已公開發表的各種加密演算法有200多種。
根據對明文的加密方式不同進行分類,加密演算法分為分組加密演算法和序列加密演算法。
如果經過加密所得到的密文僅與給定的密碼演算法和密鑰有關,與被處理的明文數據段在整個明文中所處的位置無關,就稱為分組加密演算法。
如果密文不僅與最初給定的密碼演算法和密鑰有關,同時也是被處理的數據段在明文中所處的位置的函數,就成為序列加密演算法。
按照收發雙方的密鑰是否相同分為對稱加密演算法(私鑰加密演算法)和非對稱加密演算法(公鑰加密演算法)。
一個加密系統的加密和解密密鑰相同,或者雖不同,但是由其中一個可以容易的推導出另一個,則該系統採用的是對稱加密演算法。
1976年美國Diffe和Hallman提出非對稱加密演算法。
主要特點是對數據進行加密和解密時使用不同的密鑰。每個用戶都保存一對密鑰,每個人的公開密鑰都對外開放。加入某用戶與另一用戶通信,可用公開密鑰對數據進行加密,而收信者則用自己的私有密鑰進行解密,加密解密分別使用不同的密鑰實現,且不可能由加密密鑰推導出解密密鑰。
著名的非對稱加密演算法有RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-FiatShamir、零知識證明的演算法、橢圓曲線、EIGamal密碼演算法等。最有影響力的是RSA,能抵抗目前為止已知的所有密碼攻擊。