2.4 網(wǎng)絡(luò)加密技術(shù)

在計算機網(wǎng)絡(luò)中，信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。信息加密可分為兩種，在傳輸過程中的數(shù)據(jù)加密稱為“通信加密”，將存儲數(shù)據(jù)進行加密稱為“文件加密”。

通信加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，以防止通信線路上的竊聽、泄露、篡改和破壞。

如果以加密實現(xiàn)的通信層次來區(qū)分，加密可以在通信的三個不同層次來實現(xiàn)，即鏈路加密、節(jié)點加密和端到端加密。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全。節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。端到端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇這幾種加密方式。

2.4.1 鏈路加密

鏈路加密是目前最常用的加密方法，通常用硬件在網(wǎng)絡(luò)層以下的物理層實現(xiàn)，它用于保護通信節(jié)點間傳輸?shù)臄?shù)據(jù)。這種加密方式比較簡單，實現(xiàn)起來比較容易，只要把一對密碼設(shè)備安裝在兩個節(jié)點間的線路上，即把密碼設(shè)備安裝在節(jié)點和調(diào)制解調(diào)器之間，使用相同的密鑰即可。用戶沒有選擇的余地，也不需要了解加密技術(shù)的細節(jié)。一旦在一條線路上采用鏈路加密，往往需要在全網(wǎng)內(nèi)都采用鏈路加密。圖2-18是這種加密方式的原理圖。

鏈路加密方式對用戶是透明的，即加密操作由網(wǎng)絡(luò)自動進行，用戶不能干預(yù)加密/解密過程。這種加密方式可以在物理層和鏈路層實施，主要以硬件完成，它用以對信道或鏈路中可能被截獲的那一部分進行保護。這些鏈路主要包括專用線路、電話線、電纜、光纜、微波和衛(wèi)星通道等。

鏈路加密按被傳送的數(shù)字字符或位的同步方法不同，分為異步通信加密和同步通信加密兩種，而同步通信按字節(jié)同步還是按位同步，又可分為兩種。

（1）異步通信加密

異步通信時，發(fā)送字符中的各位都是按發(fā)方數(shù)據(jù)加密設(shè)備（DEE）的時鐘所確定的不同時間間隔來發(fā)送的。收方的數(shù)據(jù)終端設(shè)備（DTE）產(chǎn)生一個頻率與發(fā)方時鐘脈沖相同，且具有一定相位關(guān)系的同步脈沖，并以此同步脈沖為時間基準來接收發(fā)送過來的字符，從而實現(xiàn)收發(fā)雙方的通信同步。

異步通信的信息字符由1位起始位開始，其后是5～8位數(shù)據(jù)位，最后是1位或2位終止位，起始位和終止位對信息字符定界。對異步通信的加密，一般起始位不加密，數(shù)據(jù)位和奇偶校驗位加密，終止位不加密。目前，數(shù)據(jù)位多用8位，以方便計算機操作。如果數(shù)據(jù)編碼采用標準ASCII碼，最高位固定為0，低7位為數(shù)據(jù)，則可對8位全加密，也可以只加密低7位數(shù)據(jù)。如果數(shù)據(jù)編碼采用8位擴充的二十一進制交換碼（EBCDIC，Entended Binary Coded Decimal Interchange Code）或圖像與漢字編碼，因8位全表示數(shù)據(jù)，所以應(yīng)對8位全加密。

（2）字節(jié)同步通信加密

字節(jié)同步通信不使用起始位和終止位實現(xiàn)同步，而是首先利用專用同步字符SYN建立最初的同步。傳輸開始后，收方從傳送過來的信息序列中提取同步信息。

為了區(qū)別不同性質(zhì)的報文（如信息報文和監(jiān)控報文），以及標志報文的開始、結(jié)束等格式，各種基于字節(jié)同步的通信協(xié)議均提供一組控制字符，并規(guī)定了報文的格式。信息報文由SOH、STX、ETX和BCC四個傳輸控制字符構(gòu)成，它有以下兩種基本格式。

一個是有報頭形式，如圖2-19所示。

一個是無報頭形式，如圖2-20所示。

其中，控制字符SOH表示信息報文的報頭開始；STX表示報頭結(jié)束和正文開始；ETX表示正文結(jié)束；BCC表示校驗字符。對字節(jié)同步通信信息報文的加密，一般只加密報頭、報文正文和校驗字符，而對控制字符不加密。

（3）位同步通信加密

基于位同步的通信協(xié)議有ISO推薦的HDLC（High Level Data Link Control）、IBM公司的SDLC和ADCCP。除了所用術(shù)語和某些細節(jié)外，SDLC和ADCCP與HDLC原理相同。HDLC以幀作為信息傳輸?shù)幕締挝唬瑹o論是信息報文還是監(jiān)控報文，都按幀的格式進行傳輸。幀的格式如圖2-21所示。

其中，F(xiàn)為標志，表示每幀的頭和尾；A為站地址；C為控制命令和響應(yīng)類別；I為數(shù)據(jù)；FCS為幀校驗序列。HDLC采用循環(huán)冗余校驗。對位同步通信的加密，除標志F以外全部加密。

這種加密方式有兩個缺點：一是全部報文都以明文形式通過各節(jié)點的計算機中央處理機，在這些節(jié)點上數(shù)據(jù)容易受到非法存取的危害；二是由于每條鏈路都要有一對加密/解密設(shè)備和一個獨立的密鑰，因此成本較高。

2.4.2 節(jié)點加密

節(jié)點加密是鏈路加密的改進，其目的是克服鏈路加密在節(jié)點處易遭非法存取的缺點。在協(xié)議運輸層上進行加密，是對源點和目標節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護。它與鏈路加密類似，只是加密算法要組合在依附于節(jié)點的加密模塊中，其加密原理如圖2-22所示。這種加密方式除了在保護裝置內(nèi)，即使在節(jié)點內(nèi)也不會出現(xiàn)明文。這種加密方式可提供用戶節(jié)點間連續(xù)的安全服務(wù)，也可用于實現(xiàn)對等實體鑒別。

節(jié)點加密也是每條鏈路使用一個專用密鑰，但一個密鑰到另一個密鑰的變換是在保密模塊中進行的。這個模塊設(shè)在節(jié)點中央處理裝置中，可以起到一種外圍設(shè)備的作用。所以明文數(shù)據(jù)不通過節(jié)點，而只存于保密模塊中。

2.4.3 端對端加密

網(wǎng)絡(luò)層以上的加密，通常稱為端對端加密。端對端加密是面向網(wǎng)絡(luò)高層主體進行加密，即在協(xié)議表示層上對傳輸?shù)臄?shù)據(jù)進行加密，而不對下層協(xié)議信息加密。協(xié)議信息以明文形式傳輸，用戶數(shù)據(jù)在中間節(jié)點不需要解密。端對端加密一般由軟件來完成。在網(wǎng)絡(luò)高層進行加密，不需要考慮網(wǎng)絡(luò)低層的線路、調(diào)制解調(diào)器、接口與傳輸碼，但用戶的聯(lián)機自動加密軟件必須與網(wǎng)絡(luò)通信協(xié)議軟件完全結(jié)合，而各廠家的通信協(xié)議軟件往往又各不相同，因此目前的端對端加密往往采用脫機調(diào)用方式。端對端加密也可以用硬件來實現(xiàn)，不過該加密設(shè)備要么能識別特殊的命令字，要么能識別低層協(xié)議信息，而僅對用戶數(shù)據(jù)加密。硬件實現(xiàn)往往有很大的難度。在大型網(wǎng)絡(luò)系統(tǒng)中，交換網(wǎng)絡(luò)在多個發(fā)方和收方之間傳輸?shù)臅r候，用端對端加密是比較合適的。端對端加密原理如圖2-23所示。

端對端加密具有鏈路加密和節(jié)點加密所不具有的優(yōu)點。其一是成本低，由于端對端加密在中間任何節(jié)點上都不解密，即數(shù)據(jù)在到達目的地之前始終用密鑰加密保護著，所以僅要求發(fā)送節(jié)點和最終的目標節(jié)點具有加密/解密設(shè)備，而鏈路加密則要求處理加密信息的每條鏈路均配有分離式密鑰裝置；其二，端對端加密比鏈路加密更安全；其三，端對端加密可以由用戶提供，因此對用戶來說這種加密方式比較靈活。采用端對端加密，其控制中心的加密設(shè)備可對文件、通行字以及系統(tǒng)的常駐數(shù)據(jù)起到保護作用。然而，由于端對端加密只是加密報文，數(shù)據(jù)報頭仍需保持明文形式，所以數(shù)據(jù)容易為密鑰分析者所利用。另外，端對端加密所需的密鑰數(shù)量遠大于鏈路加密，因此對端對端加密而言，密鑰管理是一個十分重要的課題。