形式存在。采用端到端加密又称脱线加密或包加密消息在被传输时到达终点之前不进行解密因为消息在整个传输过程中均受到保护所以即使有节点被损坏也不会使消息泄露。
端到端加密系统的价格便宜些并且与链路加密和节点加密相比更可靠更容易设计、实现和维护。端『海√浪』到端加密还避免了其它加密系统所固有的同步问题因为每个报文包均是独立被加密的所以一个报文包所发生的传输错误不会影响后续的报文包。此外从用户对安全需求的直觉上讲端到端加密更自然些。单个用户可能会选用这种加密方法以便不影响网络上的其他用户此方法只需要源和目的节点是保密的即可。
端到端加密系统通常不允许对消息的目的地址进行加密这是因为每一个消息所经过的节点都要用此地址来确定如何传输消息。由于这种加密方法不能掩盖被传输消息的源点与终点因此它对于防止攻击者分析通信业务是脆弱的。3节点加密
尽管节点加密能给网络数据提供较高的安全性但它在操作方式上与链路加密是类似的两者均在通信链路上为传输的消息提供安全性都在中间节点先对消息进行解密然后进『海√浪』行加密。因为要对所有传输的数据进行加密所以加密过程对用户是透明的。
然而与链路加密不同节点加密不允许消息在网络节点以明文形式存在它先把收到的消息进行解密然后采用另一个不同的密钥进行加密这一过程是在节点上的一个安全模块中进行。
节点加密要求报头和路由『海√浪』信息以明文形式传输以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务
6
f计算机网络安全与防火墙技术
是脆弱的。4混合加密
混合加密是采用链路加密和端端加密相结合的混合加密方式可以有效的保护报头中的敏感数据获得更高的安全性。二网络存取控制（附录三）网络的存取控制就是对『海√浪』网络上的用户进行身份识别防止非法用户进入系统而使数据泄密或破坏网络数据。目前的存取控制方法较多但常用的技术有身份识别、数字签名、存取权限控制等。1身份识别。身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段用户向其系统请求服务时要出示自己的身份证明例如输入UserID和Password。而系统应具备查验用户的『海√浪』身份证明的能力对于用户的输入能够明确判别该输入是否来自合法用户。2数字签名。数字签名是采用电子形式的签名可以用密码形式实现安全性更高。数字签名方式可以用单密钥和双密钥体制。单密钥r