节点加密

节点加密需要对数据进行加密和解密，每两个节点用同一个密钥加密数据。在节点加密中，除了发送节点和接收节点以明文的形式出现，在中间节点则是进行密钥的转换，即在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺点。

数据加密是指将一个信息经过加密钥匙及加密的转换，变成不能直读的密文，而接收方则将此密文经过解密函数，解密钥匙还原成明文，因此加密是保护数据安全的一种有效手段。在网络中，数据的频繁传输应用，使数据极易被截获或修改，只有综合采用加密技术，才能有效地防止数据泄露。加密的安全保障来源于加密算法的抗破译强度，即使是世界著名的DES数据标准加密法和分开密钥体制的抗破译水平，也只能保留在商业标准。寻求一种安全的加密算法是对敏感数据提供安全保障的根本要求。

在计算机网络中，加密可分为“通信加密”（即传输过程中的数据加密）和“文件加密”（即存储数据加密）。通信加密又有链路加密，节点加密和端-端加密三种。

链路加密

链路加密

对于在两个网络节点间的某一次通信链路，链路加密能为网上传输的数据提供安全保证。对于链路加密(又称在线加密)，所有消息在被传输之前进行加密。在每一个节点对接收到的消息进行解密。然后先使用下一个链路的密钥对消息进行加密，再进行传输。在到达目的地之前，一条消息可能要经过许多通信链路的传输。每一个连接相当于OSI参考模型建立在物理层之上的链路层。

由于在每一个中间传输节点消息均被解密后重新进行加密，因此，包括路由信息在内的链路上的所有数据均以密文形式出现。这样，链路加密就掩盖了被传输消息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密。这使得消息的频率和长度特性得以掩盖．从而可以防止对通信业务进行分析。

在一个网络节点，链路加密仅在通信链路上提供安全性，消息以明文形式存在，因此所有节点在物理上必须是安全的，否则就会泄漏明文内容。然而保证每一个节点的安全性需要较高的费用。

在传统的加密算法中，用于解密消息的密钥与用于加密的密钥是相同的，该密钥必须被秘密保存，并按一定规则进行变化。这样，密钥分配在链路加密系统中就成了一个问题。因为每一个节点必须存储与其相连接的所有链路的加密密钥。这就需要对密钥进行物理传送或者建立专用网络设施。由于网络节点地理分布的广阔性使得这一过程变得很复杂。同时增加了密钥连续分配的费用。

节点加密

节点加密

尽管节点加密能给网络数据提供较高的安全性。但它在操作方式上与链路加密是类似的：两者均在通信链路上为传输的消息提供安全性，都在中问节点先对消息进行解密，然后进行加密。因为要对所有传输的数据进行加密，所以加密过程对用户是透明的。

然而与链路加密不同，节点加密不允许消息在网络节点以明文形式存在，它先把收到的消息进行解密，然后采用另一个不同的密钥进行加密，这一过程是在节点上的一个安全模块中进行。

节点加密要求报头和路由信息始终以明文形式传输．以便中间节点能得到如何处理消息的信息。因此这种方法易被攻击。

端到端加密

端对端加密

端对端加密方式建立在OSI参考模型的网络层和传输层。这种方法要求传送的数据从源端到的端一直保持密文状态。任何通信链路的错误不会影响整体数据的安全性。采用端到端加密(又称脱线加密或包加密)，消息在被传输时到达终点之前不进行解密。因为消息在整个传输过程中均受到保护。所以即使有节点被损坏也不会使消息泄露。

在端对端加密方式中，只加密数据本身信息，不加密路径控制信息。每一个消息所经过的节点都要用此地址来确定如何传输消息，由于这种加密方法不能掩盖被传输消息的源点与终点。因此它对于防止攻击者上稍有欠缺。加密可以用软件编程实现。但此方式密钥管理机制复杂．主要适合大型网络系统中信息在多个发方和收方之间传输的情况。

端到端加密系统的价格较低，并且与链路加密和节点加密相比更可靠，更容易设计、实现和维护。从用户对安全需求的直觉上讲，端到端加密更自然些。单个用户可能会选用这种加密方法．以便不影响网络上的其他用户．此方法只需要源和目的节点是保密的即可。

以上三种加密方法是实现数据通信安全的重要手段，但必须全面衡量和选择加密方法和密码工作体制，使之更方便，更可靠。采用链路加密时，沿着一条实际链路加密意味着该主计算机必须对所有的网络路径进行加密，如果只对网络部份链路加密，则就会失去链路加密的优越性；端对端加密可以由用户自己决定，如果数据需要保密，两用户采用数据加密装置就可以了。

链路加密

优点

1)所有的信息都加密，包括消息头和路由信息

2)单个密钥泄漏不会危及全网安全；每对网络节点可使用截然不同的密钥

3)加密对用户是透明的

缺点

1)消息以明文形式通过每个节点

2)由于所有网络节点都必须获得密钥，密钥分发和密钥管理困难

3)由于每条保密通信链路上都需要两台设备，密码设备费用高

节点加密

优点

1)消息的解密和加密在保密模块内完成，无暴露消息内容之虞

2)加密对用户是透明的

缺点

1)某些信息(如消息头和路由信息，必须以明文形式传输

2)由于所有的网络节点都必须获得密钥，密钥分发和密钥管理困难

端一端加密

优点

1)异常灵活；加密可由用户控制，而且并非所有信息都得加密

2)数据经网络从源到目的地都受到保护

3)加密对网络节点是透明的，而且在网络重组期间也可以使用

缺点

1)每个系统都必须能够进行相同类型的加密

2)某些信息(如消息头和路由信息)可以明文形式发送

3)要求复杂的密钥分发和密钥管理技术

基于密钥的算法分两类：对称密钥算法和公开密钥算法。

对称密钥算法又称传统密码算法或单密钥体制，即发送方和接收方利用同一个密钥来进行加密和解密。加密密钥能够从解密密钥中推算出来，反过来也成立。对称算法要求发送者和接收者进行安全通信之前，需要协商一个密钥。对称算法的安全性取决于密钥的安全性。

公开密钥算法，也称非对称算法，用于加密和解密的是两个不同的密钥，而且解密密钥不能根据加密密钥计算出来。有一个密钥是公开的，用于发送方对数据进行加密，称公开密钥。另一个密钥是不公开的，用于接收方对接收到的信息进行解密，称为私人密钥。

2014十大用户信息泄露事件

1支付宝：找回密码功能存漏洞，用户钱款丢失

2携程网：安全支付不安全，大量信用卡信息泄露

3 微软：Windows XP的运行环境存在很大的漏洞，微软发布的补丁不能有效抑制病毒的攻击。

4 OpenSSL：黑客利用漏洞可以实时获得很多https开头网址的用户登录账号密码

5 小米论坛：系统漏洞，导致800万用户信息泄露

6 苹果：iPhone存在“安全漏洞”，明星私照曝光

7 摩根大通银行：银行客户姓名、住址、电话号码和电邮地址等个人信息泄露，收影响者人数占美国人口的四分之一。

8 智联招聘：系统漏洞，86万条简历数据泄露

9 索尼影业：遭黑客攻击，内部的财务文档、员工信息，甚至未上映的影片和内部往来邮件均被曝光。

10 12306：再曝漏洞，用户密码、身份证等敏感数据泄露