该如何选择数据加密的位置

tina002

    给数据加密是网络管理员常用的提高网络数据传输安全的措施之一。但是，网络管理员需要注意的是，给数据加密后再传输，会额外的增加网络设备CPU 的压力，会明显降低数据的传输速度。如接收到加密后的思科路由器，必须要先读取数据包包头的一些信息，然后才能够确定转发的目的地。这也就是说接收路由器要先对加密后的数据包进行解密。然后读取相关信息后再对数据进行加密处理后再转发出去。故这个解密、加密的处理过程就会大大增加网络设备数据转发的压力。
   一、在应用层实现加密
    网络管理员可以在应用层上实现对数据加密 。如现在比较流行的HTTPS协议，就是在应用层层面上实现加密的一个典型代表。HTTPS协议以保密为目标研发的一种技术。简单的说他就是HTTP协议的安全版，他是在SSL协议上实现的一种加密手段。它使用了HTTP协议，但是他们之间有一个很大的不同，即 HTTPS协议存在不同于HTTP的默认端口及一个加密身份验证层。这个安全协议的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于互联网上安全敏感的通讯。如现在不少网络设备可以通过浏览器来进行管理。为了提高设备的安全性，通过浏览器管理网络设备的话，都是采用安全的 HTTPS 协议，而不是HTTP协议。为此如故应用程序有一个WEB接口或者一个后断服务器，对于这种情况出于安全方面的考虑，最好的选择就是通过安全的超文本协议和安全套接字层来（HTTPS）加强WEB浏览器和数据服务器之间传输数据的安全性。
二、在网络层上实现加密
   网络管理员也可以选择在网络层上实现加密，这也是现在最流行的一种加密措施。在网络层实现加密的话，就不用考虑应用层的管理软件了。也就是说，为了加密网络通信流，不许要更新任何主机上的应用。即使应用软件不支持加密功能，则只要在网络层上对数据进行加密，则应用层的数据在网络上传输也是加密的。因为应用层的数据先要发给网络层，然后有网络层对数据进行加密。
  现在网络层加密技术最火的就是IPSec技术了。IPsec 在网络层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包（部分序列完整性形式）、保密性和有限传输流保密性。简单的说，IPSec主要实现两个功能，一是对数据进行签名，防止被修改;二是对数据进行加密，防止被窃听。而对数据进行加密，就是实现在网络层上的。
三、在链路层上实现加密
   网络管理员也可以在数据链路层上实现加密。不过笔者是不建议采用这种加密方式。数据链路层加密是在路由器以下的设备上执行的。由于在数据链路层加密中，网络层首部以及协议类型、端口信息等都被加密。这会给路由器等网络设备在转发数据时造成不必要的麻烦。
   在链路层上实现加密确实也能够为网上传输的数据提供安全保证。所有消息在被传输之前进行加密， 在每一个节点对接收到的消息进行解密， 然后先使用下一个链路的密钥对消息进行加密， 再进行传输。可以网络管理员需要注意的是，在到达目的地之前， 一条消息可能要经过许多通信链路的传输。而由于包括路由信息在内的链路上的所有数据均以密文形式出现，链路层加密就加密了被传输消息的源点与终点，故在每一个中间传输节点消息均要被解密后重新进行加密（数据包转发的需要）。故中间设备的开销就会比较大。另外，链路加密通常用在点对点的同步或异步线路上，。这就要求先对在链路两端的加密设备进行同步， 然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。
    可见，在数据加密位置的选择上，链路层加密基本上可以不考虑。网络管理员现在只需要根据自己企业的实际情况，在应用层与网络层加密之间作一个分析比较，选择一个合适的位置即可。