鏈路加密位於層
❶ 信息安全
信息安全主要涉及到信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容的審計三方面。
鑒別
鑒別是對網路中的主體進行驗證的過程,通常有三種方法驗證主體身份。一是只有該主體了解的秘密,如口令、密鑰;二是主體攜帶的物品,如智能卡和令牌卡;三是只有該主體具有的獨一無二的特徵或能力,如指紋、聲音、視網膜或簽字等。
口令機制:口令是相互約定的代碼,假設只有用戶和系統知道。口令有時由用戶選擇,有時由系統分配。通常情況下,用戶先輸入某種標志信息,比如用戶名和ID號,然後系統詢問用戶口令,若口令與用戶文件中的相匹配,用戶即可進入訪問。口令有多種,如一次性口令,系統生成一次性口令的清單,第一次時必須使用X,第二次時必須使用Y,第三次時用Z,這樣一直下去;還有基於時間的口令,即訪問使用的正確口令隨時間變化,變化基於時間和一個秘密的用戶鑰匙。這樣口令每分鍾都在改變,使其更加難以猜測。
智能卡:訪問不但需要口令,也需要使用物理智能卡。在允許其進入系統之前檢查是否允許其接觸系統。智能卡大小形如信用卡,一般由微處理器、存儲器及輸入、輸出設施構成。微處理器可計算該卡的一個唯一數(ID)和其它數據的加密形式。ID保證卡的真實性,持卡人就可訪問系統。為防止智能卡遺失或被竊,許多系統需要卡和身份識別碼(PIN)同時使用。若僅有卡而不知PIN碼,則不能進入系統。智能卡比傳統的口令方法進行鑒別更好,但其攜帶不方便,且開戶費用較高。
主體特徵鑒別:利用個人特徵進行鑒別的方式具有很高的安全性。目前已有的設備包括:視網膜掃描儀、聲音驗證設備、手型識別器。
數據傳輸安全系統
數據傳輸加密技術 目的是對傳輸中的數據流加密,以防止通信線路上的竊聽、泄漏、篡改和破壞。如果以加密實現的通信層次來區分,加密可以在通信的三個不同層次來實現,即鏈路加密(位於OSI網路層以下的加密),節點加密,端到端加密(傳輸前對文件加密,位於OSI網路層以上的加密)。
一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重與在通信鏈路上而不考慮信源和信宿,是對保密信息通過各鏈路採用不同的加密密鑰提供安全保護。鏈路加密是面向節點的,對於網路高層主體是透明的,它對高層的協議信息(地址、檢錯、幀頭幀尾)都加密,因此數據在傳輸中是密文的,但在中央節點必須解密得到路由信息。端到端加密則指信息由發送端自動加密,並進入TCP/IP數據包回封,然後作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將自動重組、解密,成為可讀數據。端到端加密是面向網路高層主體的,它不對下層協議進行信息加密,協議信息以明文形式傳輸,用戶數據在中央節點不需解密。
數據完整性鑒別技術 目前,對於動態傳輸的信息,許多協議確保信息完整性的方法大多是收錯重傳、丟棄後續包的辦法,但黑客的攻擊可以改變信息包內部的內容,所以應採取有效的措施來進行完整性控制。
報文鑒別:與數據鏈路層的CRC控制類似,將報文名欄位(或域)使用一定的操作組成一個約束值,稱為該報文的完整性檢測向量ICV(Integrated Check Vector)。然後將它與數據封裝在一起進行加密,傳輸過程中由於侵入者不能對報文解密,所以也就不能同時修改數據並計算新的ICV,這樣,接收方收到數據後解密並計算ICV,若與明文中的ICV不同,則認為此報文無效。
校驗和:一個最簡單易行的完整性控制方法是使用校驗和,計算出該文件的校驗和值並與上次計算出的值比較。若相等,說明文件沒有改變;若不等,則說明文件可能被未察覺的行為改變了。校驗和方式可以查錯,但不能保護數據。
加密校驗和:將文件分成小快,對每一塊計算CRC校驗值,然後再將這些CRC值加起來作為校驗和。只要運用恰當的演算法,這種完整性控制機制幾乎無法攻破。但這種機制運算量大,並且昂貴,只適用於那些完整性要求保護極高的情況。
消息完整性編碼MIC(Message Integrity Code):使用簡單單向散列函數計算消息的摘要,連同信息發送給接收方,接收方重新計算摘要,並進行比較驗證信息在傳輸過程中的完整性。這種散列函數的特點是任何兩個不同的輸入不可能產生兩個相同的輸出。因此,一個被修改的文件不可能有同樣的散列值。單向散列函數能夠在不同的系統中高效實現。
防抵賴技術 它包括對源和目的地雙方的證明,常用方法是數字簽名,數字簽名採用一定的數據交換協議,使得通信雙方能夠滿足兩個條件:接收方能夠鑒別發送方所宣稱的身份,發送方以後不能否認他發送過數據這一事實。比如,通信的雙方採用公鑰體制,發方使用收方的公鑰和自己的私鑰加密的信息,只有收方憑借自己的私鑰和發方的公鑰解密之後才能讀懂,而對於收方的回執也是同樣道理。另外實現防抵賴的途徑還有:採用可信第三方的權標、使用時戳、採用一個在線的第三方、數字簽名與時戳相結合等。
鑒於為保障數據傳輸的安全,需採用數據傳輸加密技術、數據完整性鑒別技術及防抵賴技術。因此為節省投資、簡化系統配置、便於管理、使用方便,有必要選取集成的安全保密技術措施及設備。這種設備應能夠為大型網路系統的主機或重點伺服器提供加密服務,為應用系統提供安全性強的數字簽名和自動密鑰分發功能,支持多種單向散列函數和校驗碼演算法,以實現對數據完整性的鑒別。
數據存儲安全系統
在計算機信息系統中存儲的信息主要包括純粹的數據信息和各種功能文件信息兩大類。對純粹數據信息的安全保護,以資料庫信息的保護最為典型。而對各種功能文件的保護,終端安全很重要。
資料庫安全:對資料庫系統所管理的數據和資源提供安全保護,一般包括以下幾點。一,物理完整性,即數據能夠免於物理方面破壞的問題,如掉電、火災等;二,邏輯完整性,能夠保持資料庫的結構,如對一個欄位的修改不至於影響其它欄位;三,元素完整性,包括在每個元素中的數據是准確的;四,數據的加密;五,用戶鑒別,確保每個用戶被正確識別,避免非法用戶入侵;六,可獲得性,指用戶一般可訪問資料庫和所有授權訪問的數據;七,可審計性,能夠追蹤到誰訪問過資料庫。
要實現對資料庫的安全保護,一種選擇是安全資料庫系統,即從系統的設計、實現、使用和管理等各個階段都要遵循一套完整的系統安全策略;二是以現有資料庫系統所提供的功能為基礎構作安全模塊,旨在增強現有資料庫系統的安全性。
終端安全:主要解決微機信息的安全保護問題,一般的安全功能如下。基於口令或(和)密碼演算法的身份驗證,防止非法使用機器;自主和強制存取控制,防止非法訪問文件;多級許可權管理,防止越權操作;存儲設備安全管理,防止非法軟盤拷貝和硬碟啟動;數據和程序代碼加密存儲,防止信息被竊;預防病毒,防止病毒侵襲;嚴格的審計跟蹤,便於追查責任事故。
信息內容審計系統
實時對進出內部網路的信息進行內容審計,以防止或追查可能的泄密行為。因此,為了滿足國家保密法的要求,在某些重要或涉密網路,應該安裝使用此系統。
----以上轉載自《中國信息安全網www.infosec.gov.cn》
❷ 鏈路加密的其它方式
還有一種方式:端--端加密
端--端加密是為數據從一端傳送到另一端提供的加密方式。數據在發送端被加密,在最終目的地(接收端)解密,中間節點處不以明文的形式出現。
採用端--端加密是在應用層完成,即傳輸前的高層中完成。除報頭外的的報文均以密文的形式貫穿於全部傳輸過程。只是在發送端和最終端才有加、解密設備,而在中間任何節點報文均不解密,因此,不需要有密碼設備。同鏈路加密相比,可減少密碼設備的數量。另一方面,信息是由報頭和報文組成的,報文為要傳送的信息,報頭為路由選擇信息。由於網路傳輸中要涉及到路由選擇,在鏈路加密時,報文和報頭兩者均須加密。而在端--端加密時,由於通道上的每一個中間節點雖不對報文解密,但為將報文傳送到目的地,必須檢查路由選擇信息,因此,只能加密報文,而不能對報頭加密。這樣就容易被某些通信分析發覺,而從中獲取某些敏感信息。
❸ 鏈路加密的優點有哪些
鏈路加密的優點:密文在該裝置中被解密並被重新加密,明文不通過節點機,避免了鏈路加密關節點處易受攻擊的缺點。
鏈路加密主伺服器端的數據是明文的,當它離開主機的時候就會加密,等到了下個鏈接(可能是一個主機也可能是一個中集節點)再解密,然後在傳輸到下一個鏈接前在加密。每個鏈接可能用的不同的密鑰或不同的加密演算法。這個過程將持續到數據的接收端。
鏈路加密加密發生在最低協議層(OSI模型的第一二層)。因為這一過程保護了傳輸的數據,鏈路加密在不能保證傳輸線的安全的時候就變得尤為重要。然而由於信息在每個傳輸路徑上的主機里解密,當信息必須經過那些不能確定主機間是否安全的通路時。
(3)鏈路加密位於層擴展閱讀
在線路/信號經常不通的海外或衛星網路中,鏈路上的加密設備需要頻繁地進行同步,帶來的後果是數據丟失或重傳。另一方面,即使僅一小部分數據需要進行加密,也會使得所有傳輸數據被加密。
在一個網路節點,鏈路加密僅在通信鏈路上提供安全性,消息以明文形式存在,因此所有節點在物理上必須是安全的,否則就會泄漏明文內容。
然而保證每一個節點的安全性需要較高的費用,為每一個節點提供加密硬體設備和一個安全的物理環境所需要的費用由以下幾部分組成:保護節點物理安全的雇員開銷,為確保安全策略和程序的正確執行而進行審計時的費用,以及為防止安全性被破壞時帶來損失而參加保險的費用。
在傳統的加密演算法中,用於解密消息的密鑰與用於加密的密鑰是相同的,該密鑰必須被秘密保存,並按一定規則進行變化。這樣,密鑰分配在鏈路加密系統中就成了一個問題,因為每一個節點必須存儲與其相連接的所有鏈路的加密密鑰,這就需要對密鑰進行物理傳送或者建立專用網路設施。而網路節點地理分布的廣闊性使得這一過程變得復雜,同時增加了密鑰連續分配時的費用。
❹ 40. 鏈路加密技術是在OSI協議層次的第二層,數據鏈路層對數據進行加密保護,其處理的對象是______。( ) A.
幀
數據鏈路層的數據單元就是 幀。
❺ 鏈路加密與端到端加密各有何特點各用在什麼場合
在採用鏈路加密的網路中,每條通信鏈路上的加密是獨立實現的。通常對每條鏈路使用不同的加密密鑰。當某條鏈路受到破壞就不會導致其他鏈路上傳送的信息被析出。加密演算法常採用序列密碼。
鏈路加密的最大缺點是在中間結點都暴露了信息的內容。在網路互連的情況下,僅採用鏈路加密是不能實現通信安全的。
端到端加密是在源結點和目的結點中對傳送的PDU進行加密和解密,其報文的安全性不會因中間結點的不可靠而受到影響。
端到端加密的層次選擇有一定的靈活性。端到端加密更容易適合不同用戶的要求。端到端加密不僅適用於互連網環境,而且同樣也適用於廣播網。
❻ 網路加密
信息安全包括 系統安全 和 數據安全 。
系統安全一般採用防火牆、病毒查殺等被動措施;數據安全主要採用現代密碼技術對數據進行主動保護,如數據保密、數據完整性、數據不可否認與抵賴、雙向身份認證等。
密碼技術是保證信息安全的核心技術。
名詞解釋
明文(plaintext):未被加密的消息;
密文(ciphertext):被加密的消息;
密碼演算法:也叫密碼(cipher),適用於加密和解密的數學函數。通常有兩個相關函數:一個用於加密,一個用於解密。
加密系統:由演算法以及所有可能的明文,密文和密鑰組成。
加密(encrypt):通過密碼演算法對數據進行轉化,使之成為沒有正確密鑰的人都無法讀懂的報文。
解密(decrypt):加密的相反過程。
密鑰(key):參與加密與解密演算法的關鍵數據。
一個加密網路不但可以防止非授權用戶的搭線竊聽和入網,保護網內數據、文件、口令和控制信息,也是對付惡意軟體的有效方法之一。
鏈路加密保護網路節點之間的鏈路信息安全,節點加密對源節點到目的節點之間的傳輸鏈路提供加密保護,端點加密是對源端點到目的端點的數據提供加密保護。
鏈路加密 又稱為在線加密,在數據鏈路層對數據進行加密,用於信道或鏈路中可能被截獲的那一部分數據進行保護。鏈路加密把報文中每一比特都加密,還對路由信息、校驗和控制信息加密。所以報文傳輸到某節點時,必須先解密,然後再路徑選擇,差錯控制,最後再次加密,發送到下一節點。
鏈路加密的優點 :實現簡單,在兩個節點線路上安裝一對密碼設備,安裝在數據機之間;用戶透明性。
鏈路加密的缺點 :1.全部報文以明文形式通過各節點;2.每條鏈路都需要一對設備,成本高。
節點加密 除具有鏈路加密的優勢外,還不允許報文在節點內以明文存在,先把收到的報文進行解密,然後採用另一個密鑰進行加密,克服了節點處易受非法存取的缺點。
優點是比鏈路加密成本低,且更安全。缺點是節點加密要求報頭和路由信息以明文傳輸,以便中間節點能得到如何處理消息的信息,對防止攻擊者分析通信業務仍是脆弱的。
端對端加密 又稱脫線加密或包加密、面向協議加密運行數據從源點到終點的傳輸過程中始終以密文形式存在,報文在到達終點前不進行解密。
端對端加密在傳輸層或更高層中實現。若在傳輸層加密,則不必為每個用戶提供單獨的安全保護機制;若在應用層加密,則用戶可根據自己特定要求選用不同加密策略。鏈路是對整個鏈路通信採取加密,端對端則是對整個網路系統採取保護措施。
優點:成本低,可靠性高,易設計、易實現、易維護。
目前已公開發表的各種加密演算法有200多種。
根據對明文的加密方式不同進行分類,加密演算法分為分組加密演算法和序列加密演算法。
如果經過加密所得到的密文僅與給定的密碼演算法和密鑰有關,與被處理的明文數據段在整個明文中所處的位置無關,就稱為分組加密演算法。
如果密文不僅與最初給定的密碼演算法和密鑰有關,同時也是被處理的數據段在明文中所處的位置的函數,就成為序列加密演算法。
按照收發雙方的密鑰是否相同分為對稱加密演算法(私鑰加密演算法)和非對稱加密演算法(公鑰加密演算法)。
一個加密系統的加密和解密密鑰相同,或者雖不同,但是由其中一個可以容易的推導出另一個,則該系統採用的是對稱加密演算法。
1976年美國Diffe和Hallman提出非對稱加密演算法。
主要特點是對數據進行加密和解密時使用不同的密鑰。每個用戶都保存一對密鑰,每個人的公開密鑰都對外開放。加入某用戶與另一用戶通信,可用公開密鑰對數據進行加密,而收信者則用自己的私有密鑰進行解密,加密解密分別使用不同的密鑰實現,且不可能由加密密鑰推導出解密密鑰。
著名的非對稱加密演算法有RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-FiatShamir、零知識證明的演算法、橢圓曲線、EIGamal密碼演算法等。最有影響力的是RSA,能抵抗目前為止已知的所有密碼攻擊。
❼ 數據鏈路層可以採用什麼和加密技術
數據鏈路層可以採用(訪問控制)和加密技術,由於不同的鏈路層協議的幀格式都有區別廠所以在加密時必須區別不問的鏈路層協議。
❽ https加密過程是怎樣的,是在七層協議的哪層工作的
第七層。
網路七層協議(OSI)是一個開放性的通信系統互連參考模型,從上到下分別是7應用層6表示層5會話層4傳輸層3網路層2數據鏈路層1物理層。第7應用層與其它計算機進行通訊的一個應用,它是對應應用程序的通信服務的。
例如,一個沒有通信功能的字處理程序就不能執行通信的代碼,從事字處理工作的程序員也不關心OSI的第7層。但是,如果添加了一個傳輸文件的選項,那麼字處理器的程序員就需要實現OSI的第7層。示例:TELNET,HTTP,FTP,NFS,SMTP等。
(8)鏈路加密位於層擴展閱讀:
https優缺點
優點使用HTTPS協議可認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,要比HTTP協議安全,可防止數據在傳輸過程中不被竊取、改變,確保數據的完整性。
HTTPS是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。缺點相同網路環境下,HTTPS協議會使頁面的載入時間延長近50%,增加10%到20%的耗電。此外,HTTPS協議還會影響緩存,增加數據開銷和功耗。
HTTPS協議的安全是有范圍的,在黑客攻擊、拒絕服務攻擊和伺服器劫持等方面幾乎起不到什麼作用。最關鍵的是,SSL證書的信用鏈體系並不安全。特別是在某些國家可以控制CA根證書的情況下,中間人攻擊一樣可行。
❾ 加密在哪層
tcp/ip 分5層。物理層,數據鏈路層,網路層,傳輸層,應用層。網路加密可以在數據鏈路層和應用層進行。
❿ 網路數據加密主要有哪三種方式
一般的數據加密可以在通信的三個層次來實現:鏈路加密、節點加密和端到端加密。
1.鏈路加密
對於在兩個網路節點間的某一次通信鏈路,鏈路加密能為網上傳輸的數據提供安全保證。對於鏈路加密(又稱在線加密),所有消息在被傳輸之前進行加密,在每一個節點對接收到的消息進行解密,然後先使用下一個鏈路的密鑰對消息進行加密,再進行傳輸。在到達目的地之前,一條消息可能要經過許多通信鏈路的傳輸。
2.節點加密
盡管節點加密能給網路數據提供較高的安全性,但它在操作方式上與鏈路加密是類似的:兩者均在通信鏈路上為傳輸的消息提供安全性;都在中間節點先對消息進行解密,然後進行加密。因為要對所有傳輸的數據進行加密,所以加密過程對用戶是透明的。
3.端到端加密
端到端加密允許數據在從源點到終點的傳輸過程中始終以密文形式存在。採用端到端加密(又稱脫線加密或包加密),消息在被傳輸時到達終點之前不進行解密,因為消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。