该如何选择数据加密的位置
给数据加密是网络管理员常用的提高网络数据传输安全的措施之一。但是,网络管理员需要注意的是,给数据加密后再传输,会额外的增加网络设备CPU 的压力,会明显降低数据的传输速度。如接收到加密后的思科路由器,必须要先读取数据包包头的一些信息,然后才能够确定转发的目的地。这也就是说接收路由器要先对加密后的数据包进行解密。然后读取相关信息后再对数据进行加密处理后再转发出去。故这个解密、加密的处理过程就会大大增加网络设备数据转发的压力。一、在应用层实现加密
网络管理员可以在应用层上实现对数据加密 。如现在比较流行的HTTPS协议,就是在应用层层面上实现加密的一个典型代表。HTTPS协议以保密为目标研发的一种技术。简单的说他就是HTTP协议的安全版,他是在SSL协议上实现的一种加密手段。它使用了HTTP协议,但是他们之间有一个很大的不同,即 HTTPS协议存在不同于HTTP的默认端口及一个加密身份验证层。这个安全协议的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于互联网上安全敏感的通讯。如现在不少网络设备可以通过浏览器来进行管理。为了提高设备的安全性,通过浏览器管理网络设备的话,都是采用安全的 HTTPS 协议,而不是HTTP协议。为此如故应用程序有一个WEB接口或者一个后断服务器,对于这种情况出于安全方面的考虑,最好的选择就是通过安全的超文本协议和安全套接字层来(HTTPS)加强WEB浏览器和数据服务器之间传输数据的安全性。
二、在网络层上实现加密
网络管理员也可以选择在网络层上实现加密,这也是现在最流行的一种加密措施。在网络层实现加密的话,就不用考虑应用层的管理软件了。也就是说,为了加密网络通信流,不许要更新任何主机上的应用。即使应用软件不支持加密功能,则只要在网络层上对数据进行加密,则应用层的数据在网络上传输也是加密的。因为应用层的数据先要发给网络层,然后有网络层对数据进行加密。
现在网络层加密技术最火的就是IPSec技术了。IPsec 在网络层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。简单的说,IPSec主要实现两个功能,一是对数据进行签名,防止被修改;二是对数据进行加密,防止被窃听。而对数据进行加密,就是实现在网络层上的。
三、在链路层上实现加密
网络管理员也可以在数据链路层上实现加密。不过笔者是不建议采用这种加密方式。数据链路层加密是在路由器以下的设备上执行的。由于在数据链路层加密中,网络层首部以及协议类型、端口信息等都被加密。这会给路由器等网络设备在转发数据时造成不必要的麻烦。
在链路层上实现加密确实也能够为网上传输的数据提供安全保证。所有消息在被传输之前进行加密, 在每一个节点对接收到的消息进行解密, 然后先使用下一个链路的密钥对消息进行加密, 再进行传输。可以网络管理员需要注意的是,在到达目的地之前, 一条消息可能要经过许多通信链路的传输。而由于包括路由信息在内的链路上的所有数据均以密文形式出现,链路层加密就加密了被传输消息的源点与终点,故在每一个中间传输节点消息均要被解密后重新进行加密(数据包转发的需要)。故中间设备的开销就会比较大。另外,链路加密通常用在点对点的同步或异步线路上,。这就要求先对在链路两端的加密设备进行同步, 然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。
可见,在数据加密位置的选择上,链路层加密基本上可以不考虑。网络管理员现在只需要根据自己企业的实际情况,在应用层与网络层加密之间作一个分析比较,选择一个合适的位置即可。
页:
[1]