鏈路加密定義及特性

時(shí)間：2021-12-07 21:54:39

關(guān)鍵字：鏈路加密解密節(jié)點(diǎn)

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]使用鏈路加密裝置能為某鏈路上的所有報(bào)文提供傳輸服務(wù)。即經(jīng)過(guò)一臺(tái)節(jié)點(diǎn)機(jī)的所有網(wǎng)絡(luò)信息傳輸均需加、解密，每一個(gè)經(jīng)過(guò)的節(jié)點(diǎn)都必須有密碼裝置，以便解密、加密報(bào)文。如果報(bào)文僅在一部分鏈路上加密而在另一部分鏈路上不加密，則相當(dāng)于未加密，仍然是不安全的。與鏈路加密類(lèi)似的節(jié)點(diǎn)加密方法，是在節(jié)點(diǎn)處采用一個(gè)與節(jié)點(diǎn)機(jī)相連的密碼裝置(被保護(hù)的外圍設(shè)備),密文在該裝置中被解密并被重新加密，明文不通過(guò)節(jié)點(diǎn)機(jī)，避免了鏈路加密關(guān)節(jié)點(diǎn)處易受攻擊的缺點(diǎn)。

使用鏈路加密裝置能為某鏈路上的所有報(bào)文提供傳輸服務(wù)。即經(jīng)過(guò)一臺(tái)節(jié)點(diǎn)機(jī)的所有網(wǎng)絡(luò)信息傳輸均需加、解密，每一個(gè)經(jīng)過(guò)的節(jié)點(diǎn)都必須有密碼裝置，以便解密、加密報(bào)文。如果報(bào)文僅在一部分鏈路上加密而在另一部分鏈路上不加密，則相當(dāng)于未加密，仍然是不安全的。與鏈路加密類(lèi)似的節(jié)點(diǎn)加密方法，是在節(jié)點(diǎn)處采用一個(gè)與節(jié)點(diǎn)機(jī)相連的密碼裝置(被保護(hù)的外圍設(shè)備),密文在該裝置中被解密并被重新加密，明文不通過(guò)節(jié)點(diǎn)機(jī)，避免了鏈路加密關(guān)節(jié)點(diǎn)處易受攻擊的缺點(diǎn)。

鏈路加密定義及特性

鏈路加密(又稱(chēng)在線加密)是傳輸數(shù)據(jù)僅在物理層前的數(shù)據(jù)鏈路層進(jìn)行加密。接收方是傳送路徑上的各臺(tái)節(jié)點(diǎn)機(jī)，信息在每臺(tái)節(jié)點(diǎn)機(jī)內(nèi)都要被解密和再加密，依次進(jìn)行，直至到達(dá)目的地。鏈路加密，有時(shí)也叫做鏈路級(jí)或鏈路層加密，它是同一網(wǎng)絡(luò)內(nèi)兩點(diǎn)傳輸數(shù)據(jù)時(shí)在數(shù)字鏈路層加密信息的一種數(shù)字保密方法。在主服務(wù)器端的數(shù)據(jù)是明文的，當(dāng)它離開(kāi)主機(jī)的時(shí)候就會(huì)加密，等到了下個(gè)鏈接(可能是一個(gè)主機(jī)也可能是一個(gè)中集節(jié)點(diǎn))再解密，然后在傳輸?shù)较乱粋€(gè)鏈接前在加密。每個(gè)鏈接可能用的不同的密鑰或不同的加密算法。這個(gè)過(guò)程將持續(xù)到數(shù)據(jù)的接收端。鏈路加密加密發(fā)生在最低協(xié)議層(OSI模型的第一二層)。因?yàn)檫@一過(guò)程保護(hù)了傳輸?shù)臄?shù)據(jù)，鏈路加密在不能保證傳輸線的安全的時(shí)候就變得尤為重要。然而由于信息在每個(gè)傳輸路徑上的主機(jī)里解密，當(dāng)信息必須經(jīng)過(guò)那些不能確定主機(jī)間是否安全的通路時(shí)。

對(duì)于在兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間的某一次通信鏈路，鏈路加密能為網(wǎng)上傳輸?shù)臄?shù)據(jù)提供安全保證。對(duì)于鏈路加密，所有消息在被傳輸之前進(jìn)行加密，在每一個(gè)節(jié)點(diǎn)對(duì)接收到的消息進(jìn)行解密，然后先使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)行加密，再進(jìn)行傳輸。在到達(dá)目的地之前，一條消息可能要經(jīng)過(guò)許多通信鏈路的傳輸。由于在每一個(gè)中間傳輸節(jié)點(diǎn)消息均被解密后重新進(jìn)行加密，因此，包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)均以密文形式出現(xiàn)。這樣，鏈路加密就掩蓋了被傳輸消息的源點(diǎn)與終點(diǎn)。由于填充技術(shù)的使用以及填充字符在不需要傳輸數(shù)據(jù)的情況下就可以進(jìn)行加密，這使得消息的頻率和長(zhǎng)度特性得以掩蓋，從而可以防止對(duì)通信業(yè)務(wù)進(jìn)行分析。盡管鏈路加密在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中使用得相當(dāng)普遍，但它并非沒(méi)有問(wèn)題。鏈路加密通常用在點(diǎn)對(duì)點(diǎn)的同步或異步線路上，它要求先對(duì)在鏈路兩端的加密設(shè)備進(jìn)行同步，然后使用一種鏈模式對(duì)鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密。這就給網(wǎng)絡(luò)的性能和可管理性帶來(lái)了副作用。

在線路/信號(hào)經(jīng)常不通的海外或衛(wèi)星網(wǎng)絡(luò)中，鏈路上的加密設(shè)備需要頻繁地進(jìn)行同步，帶來(lái)的后果是數(shù)據(jù)丟失或重傳。另一方面，即使僅一小部分?jǐn)?shù)據(jù)需要進(jìn)行加密，也會(huì)使得所有傳輸數(shù)據(jù)被加密。在一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，鏈路加密僅在通信鏈路上提供安全性，消息以明文形式存在，因此所有節(jié)點(diǎn)在物理上必須是安全的，否則就會(huì)泄漏明文內(nèi)容。然而保證每一個(gè)節(jié)點(diǎn)的安全性需要較高的費(fèi)用，為每一個(gè)節(jié)點(diǎn)提供加密硬件設(shè)備和一個(gè)安全的物理環(huán)境所需要的費(fèi)用由以下幾部分組成：保護(hù)節(jié)點(diǎn)物理安全的雇員開(kāi)銷(xiāo)，為確保安全策略和程序的正確執(zhí)行而進(jìn)行審計(jì)時(shí)的費(fèi)用，以及為防止安全性被破壞時(shí)帶來(lái)?yè)p失而參加保險(xiǎn)的費(fèi)用。在傳統(tǒng)的加密算法中，用于解密消息的密鑰與用于加密的密鑰是相同的，該密鑰必須被秘密保存，并按一定規(guī)則進(jìn)行變化。這樣，密鑰分配在鏈路加密系統(tǒng)中就成了一個(gè)問(wèn)題，因?yàn)槊恳粋€(gè)節(jié)點(diǎn)必須存儲(chǔ)與其相連接的所有鏈路的加密密鑰，這就需要對(duì)密鑰進(jìn)行物理傳送或者建立專(zhuān)用網(wǎng)絡(luò)設(shè)施。而網(wǎng)絡(luò)節(jié)點(diǎn)地理分布的廣闊性使得這一過(guò)程變得復(fù)雜,同時(shí)增加了密鑰連續(xù)分配時(shí)的費(fèi)用。