節點加密

節點加密需要對數據進行加密和解密，每兩個節點用同一個密鑰加密數據。在節點加密中，除了發送節點和接收節點以明文的形式出現，在中間節點則是進行密鑰的轉換，即在節點處採用一個與節點機相連的密碼裝置，密文在該裝置中被解密並被重新加密，明文不通過節點機，避免了鏈路加密節點處易受攻擊的缺點。

儘管節點加密能給網絡數據提供較高的安全性，但它在操作方式上與鏈路加密是類似的兩者均在通信鏈路上為傳輸的消息提供安全性，都在中間節點先對消息進行解密,然後進行加密。因為要對所有傳輸的數據進行加密,所以加密過程對用户是透明的。 ^[1] 

然而，與鏈路加密不同，節點加密不允許消息在網絡節點以明文形式存在，它先把收到的消息進行解密,然後採用另一個不同的密鑰進行加密，這一過程是在節點上的一個安全模塊中進行。

節點加密要求報頭和路由信息以明文形式傳輸，以便中間節點能得到如何處理消息的信息。因此這種方法對於防止攻擊者分析通信業務是脆弱的。 ^[1] 

數據加密是指將一個信息經過加密鑰匙及加密的轉換，變成不能直讀的密文，而接收方則將此密文經過解密函數，解密鑰匙還原成明文，因此加密是保護數據安全的一種有效手段。在網絡中，數據的頻繁傳輸應用，使數據極易被截獲或修改，只有綜合採用加密技術，才能有效地防止數據泄露。加密的安全保障來源於加密算法的抗破譯強度，即使是世界著名的DES數據標準加密法和分開密鑰體制的抗破譯水平，也只能保留在商業標準。尋求一種安全的加密算法是對敏感數據提供安全保障的根本要求。 ^[2] 

在計算機網絡中，加密可分為“通信加密”（即傳輸過程中的數據加密）和“文件加密”（即存儲數據加密）。通信加密又有鏈路加密，節點加密和端-端加密三種。 ^[2] 

節點加密與上面介紹的鏈路加密有相同的地方，也有一些不同。相同的是它與鏈路加密一樣，是基於數據鏈路層的加密，兩者均在通信鏈路上為傳輸的消息提供安全性，而且都需要在中間節點上先對消息進行解密，然後進行加密（因為不同鏈路上的加密密鑰不一樣，所以要先解密，然後再加密）；不同的是，節點加密的加密功能是由節點自身的安全模塊完成的（通常是集成在網卡中，而鏈路加密需要由專門的加密設備或者集成在網卡中的安全模塊來完成加密功能），而且消息在節點中處於加密狀態，而鏈路加密中間節點中的消息是以明文形式存在的。節點加密不同的只是不再用加密機了，而是在節點上安裝了加密系統。 ^[3] 

節點加密不允許消息在網絡節點以明文形式存在，消息到達節點時，先把收到的消息進行解密，然後採用另一個不同的密鑰進行加密，再繼續進行數據傳輸，依此類推。因此，總的來説，它較鏈路加密更安全。但由於在節點加密方式中要對所有傳輸的數據進行加密，並且包括節點和傳輸鏈路都是加密的，所以要求報頭和路由信息以明文形式傳輸，以便中間節點能得到如何處理消息的信息。這樣就帶來了一定的安全風險，特別是對於通信業務分析類型的攻擊。再由於也是需要對每條鏈路分別加密，所以節點加密也比較適合於經過較少鏈路的兩端點間通信，如專線接入、幀中ATM等接入方式，或者局域網內部端點間的通信。 ^[3] 

優點

1)所有的信息都加密，包括消息頭和路由信息

2)單個密鑰泄漏不會危及全網安全；每對網絡節點可使用截然不同的密鑰

3)加密對用户是透明的

缺點

1)消息以明文形式通過每個節點

2)由於所有網絡節點都必須獲得密鑰，密鑰分發和密鑰管理困難

3)由於每條保密通信鏈路上都需要兩台設備，密碼設備費用高

優點

1)消息的解密和加密在保密模塊內完成，無暴露消息內容之虞

2)加密對用户是透明的

缺點

1)某些信息(如消息頭和路由信息，必須以明文形式傳輸

2)由於所有的網絡節點都必須獲得密鑰，密鑰分發和密鑰管理困難

優點

1)異常靈活；加密可由用户控制，而且並非所有信息都得加密

2)數據經網絡從源到目的地都受到保護

3)加密對網絡節點是透明的，而且在網絡重組期間也可以使用

缺點

1)每個系統都必須能夠進行相同類型的加密

2)某些信息(如消息頭和路由信息)可以明文形式發送

3)要求複雜的密鑰分發和密鑰管理技術