网络安全技术.pdf

数据传输加密技术 目的是对传输中的数据流加密， 以防止通信线路上的窃听、泄漏、 篡改和破坏。如果以

加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于

OSI 网络层以下的加密） ，节点加密，端到端加密（传输前对文件加密，位于 OSI 网络层以

上的加密）。 一般常用的是链路加密和端到端加密这两种方式。 链路加密， 顾名思义， 这种形式的加密是为了保护一个单独的链路， 侧重与在通信链路

上而不考虑信源和信宿， 它用于保护通信节点间的数据， 接收方是传送路径上的各台节点机，

信息在每台节点机内都要被解密和再加密， 依次进行， 直至到达目的地， 是对保密信息通过

各链路采用不同的加密密钥提供安全保护。 链路加密是面向节点的， 对于网络高层主体是透

明的， 它对高层的协议信息 （地址、检错、 帧头帧尾） 都加密， 因此数据在传输中是密文的，

但在中央节点必须解密得到路由信息。 同时，在到达目的地之前 , 一条消息可能要经过许多

通信链路的传输。 链路层加密是密码保护最透明的形式。 事实上， 它常常通过外部加密盒实

现，因此， 即使是设备驱动程序也不知道它的存在，更别说应用程序了。它既有优点也有弱

点。优点是它非常强有力， 因为在每一个中间传输节点消息均被解密后重新进行加密， 因此，

包括路由信息在内的链路上的所有数据均以密文形式出现。 这样， 链路加密就掩盖了被传输

消息的源点与终点。 同时由于填充技术的使用以及填充字符在不需要传输数据的情况下就可

以进行加密，这使得消息的频率和长度特性得以掩盖，从而可以防止对通信业务进行分析。

这能抗御流量分析， 一种能明智地识别出谁与谁在通信的攻击。 在一定环境下——如点到点

链路加密，甚至流量的存在性都可以伪装。 尽管链路加密在计算机网络环境中使用得相当普遍， 但它并非没有问题。链路加密通