一般的数据加密可以用三种方式来实现,即:链路加密、节点加密和端到端加密。
1、链路加密
对于在两个网络节点间的某一次通信链路,链路加密能为网上传输的数据提供安全保证。对于链路加密(又称在线加密),所有信息在被传输之前进行加密,在每一个节点上对接收到的信息进行解密,然后先使用下一个链路的密钥再对信息进行加密,再进行传输。在到达目的地之前,一条信息可能要经过许多通信链路的传输。
由于在每一个中间传输节点信息均被解密后重新进行加密,因此,包括路由信息在内的链路上的所有数据均以密文形式出现。这样,链路加密就掩盖了被传输信息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密,这使得信息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析。
尽管链路加密在计算机网络环境中使用得相当普遍,但它并非没有问题。链路加密通常用在点对点的同步或异步线路上,它要求先对在链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密,这就给网络的性能和可管理性带来了副作用。在线路/信号经常不通的海外或卫星网络中,链路上的加密设备需要频繁地进行同步,带来的后果是数据丢失或重传。另一方面,即使仅一小部分数据需要进行加密,也会使得所有传输数据被加密而共享文件夹加密就能很好的解决这个问题。
2、节点加密
节点加密能给网络数据提供较高的安全性,在操作方式上与链路加密相类似:两者均在通信链路上为传输的信息提供安全性;都在中间节点先对信息进行解密,然后进行加密。因为要对所有传输的数据进行加密,所以加密过程对用户是透明的。
然而,与链路加密不同的是节点加密不允许信息在网络节点以明文形式存在,它先把收到的信息进行解密,然后采用另一个不同的密钥进行加密,这二过程是在节点上的一个安全模块中进行。
节点加密要求报头和路由信息以明文形式传输,因此这种方法对于防止攻击者分析通信业务是脆弱的。
3、端到端加密
端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密),信息在被传输到达终点前不进行解密,这样信息在整个传输过程中均受到保护,所以,即使有节点被损坏,也不会使信息泄露。
端到端加密系统价格便宜,更容易设计、实现和维护。端到端加密还避免了其它加密系统所固有的同步问题,因为每个文件包均是独立被加密的,所以一个文件包所发生的传输错误不会影响后续的文件包。此外,从用户对安全需求的直觉上讲,端到端加密更自然些:单个用户选用这种加密方法,不会影响网络上的其他用户。
由于端到端加密系统通常不允许对信息的目的地址进行加密,因此,这种加密方法不能掩盖被传输信息的源点和终点,因此它对于防止攻击者分析通信业务是脆弱的。