鏈路加密及與其他加密方式比較

使用鏈路加密裝置能為某鏈路上的所有報文提供傳輸服務。即經過一臺節(jié)點機的所有網絡信息傳輸均需加、解密，每一個經過的節(jié)點都必須有密碼裝置，以便解密、加密報文。如果報文僅在一部分鏈路上加密而在另一部分鏈路上不加密，則相當于未加密，仍然是不安全的。與鏈路加密類似的節(jié)點加密方法，是在節(jié)點處采用一個與節(jié)點機相連的密碼裝置(被保護的外圍設備),密文在該裝置中被解密并被重新加密，明文不通過節(jié)點機，避免了鏈路加密關節(jié)點處易受攻擊的缺點。

還有一種方式：端--端加密端--端加密是為數(shù)據從一端傳送到另一端提供的加密方式。數(shù)據在發(fā)送端被加密，在最終目的地(接收端)解密，中間節(jié)點處不以明文的形式出現(xiàn)。采用端--端加密是在應用層完成，即傳輸前的高層中完成。除報頭外的的報文均以密文的形式貫穿于全部傳輸過程。只是在發(fā)送端和最終端才有加、解密設備，而在中間任何節(jié)點報文均不解密，因此，不需要有密碼設備。同鏈路加密相比，可減少密碼設備的數(shù)量。另一方面，信息是由報頭和報文組成的，報文為要傳送的信息，報頭為路由選擇信息。由于網絡傳輸中要涉及到路由選擇，在鏈路加密時，報文和報頭兩者均須加密。而在端--端加密時，由于通道上的每一個中間節(jié)點雖不對報文解密，但為將報文傳送到目的地，必須檢查路由選擇信息，因此，只能加密報文，而不能對報頭加密。這樣就容易被某些通信分析發(fā)覺，而從中獲取某些敏感信息。

加密傳輸方式的比較數(shù)據保密變換使數(shù)據通信更安全，但不能保證在傳輸過程中絕對不會泄密。因為在傳輸過程中，還有泄密的隱患。

鏈路加密方式采用鏈路加密方式，從起點到終點，要經過許多中間節(jié)點，在每個節(jié)點地均要暴露明文(節(jié)點加密方法除外)，如果鏈路上的某一節(jié)點安全防護比較薄弱，那么按照木桶原理(木桶水量是由最低一塊木板決定)，雖然采取了加密措施，但整個鏈路的安全只相當于最薄弱的節(jié)點處的安全狀況。鏈路加密，每條物理鏈路上，不管用戶多少，可使用一種密鑰。在極限情況下，每個節(jié)點都與另外一個單獨的節(jié)點相連，密鑰的數(shù)目也只是n*(n-1)/2 種。這里n是節(jié)點數(shù)而非用戶數(shù)，一個節(jié)點一般有多個用戶。

端--端加密方式采用端--端加密方式，只是發(fā)送方加密報文，接收方解密報文，中間節(jié)點不必加、解密，也就不需要密碼裝置。此外，加密可采用軟件實現(xiàn)，使用起來很方便。在端--端加密方式下，每對用戶之間都存在一條虛擬的保密信道，每對用戶應共享密鑰(傳統(tǒng)密碼保密體制，非公鑰體制下)，所需的密鑰總數(shù)等于用戶對的數(shù)目。對于幾個用戶，若兩兩通信，共需密鑰n*(n-1)/2種，每個用戶需(n-1)種。這個數(shù)目將隨網上通信用戶的增加而增加。為安全起見，每隔一段時間還要更換密鑰，有時甚至只能使用一次密鑰，密鑰的用量很大。

從身份認證的角度看，鏈路加密只能認證節(jié)點，而不是用戶。使用節(jié)點A密鑰的報文僅保證它來自節(jié)點A。報文可能來自A的任何用戶，也可能來自另一個路過節(jié)點A的用戶。因此鏈路加密不能提供用戶鑒別。端--端加密對用戶是可見的，可以看到加密后的結果，起點、終點很明確，可以進行用戶認證。總之，鏈路加密對用戶來說比較容易，使用的密鑰較少，而端--端加密比較靈活，用戶可見。對鏈路加密中各節(jié)點安全狀況不放心的用戶也可使用端--端加密方式。