2.4.3 端对端加密
网络层以上的加密,通常称为端对端加密,端对端加密是面向网络高层主体进行加密,即在协议表示层上对传输的数据进行加密,而不对下层协议信息加密。协议信息以明文形式传输,用户数据在中间节点不需要解密。端对端加密一般由软件来完成。在网络高层进行加密,不需要考虑网络低层的线路、调制解调器、接口与传输码,但用户的联机自动加密软件必须与网络通信协议软件完全结合,而各厂家的通信协议软件往往又各不相同,因此目前的端对端加密往往是采用脱机调用方式。端对端加密也可以用硬件来实现,不过该加密设备要么能识别特殊的命令字,要么能识别低层协议信息,仅对用户数据加密,硬件实现往往有很大的难度。在大型网络系统中,交换网络在多个发方和收方之间传输的时候,用端对端加密是比较合适的。端对端加密往往以软件的形式实现,并在应用层或表示层上完成。端对端加密原理如图2-18所示。
图2-18 端对端加密
端对端加密具有链路加密和节点加密所不具有的优点。其一是成本低。由于端对端加密在中间任何节点上都不解密,即数据在到达目的地之前始终用密钥加密保护着,所以仅要求发送节点和最终的目标节点具有加密/解密设备,而链路加密则要求处理加密信息的每条链路均配有分立式密钥装置;其二,端对端加密比链路加密更安全;其三,端对端加密可以由用户提供,因此对用户来说这种加密方式比较灵活。采用端对端加密,其控制中心的加密设备可对文件、通行字,以及系统的常驻数据起到保护作用。然而,由于端对端加密只是加密报文,数据包头仍需保持明文形式,所以数据容易为报务分析者所利用。另外,端对端加密所需的密钥数量远大于链路加密,因此对端对端加密而言,密钥管理是一个十分重要的课题。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
