（一）通信加密方式

从通信网络的传输方面，利用密码技术实现数据加密，对网络系统十分重要。数据加密方式的划分如图7 7所示。

图7-7　数据加密方式划分

通信加密是对通信过程中传输的数据加密。

1.节点到节点加密

节点到节点加密是相邻节点之间对传输的数据进行加密。节点到节点加密的原理是：在数据传输的整个过程中，传输链路上任意两个相邻的节点，一个是信源，一个是信宿。除传输链路上的头节点外，每个相对信源节点都先对接收到的密文进行解密，把密文转变成明文，然后用本节点设置的密钥对明文进行加密，并发出密文，相对信宿节点接到密文后重复信源的工作，直到数据达到目的终端节点。在节点加密方式中，如果传输链路上存在n个节点，包括信息发出源节点和终止节点，则传输路径上最多存在n-1种不同的密钥。节点到节点加密过程如图7-8所示。

图7-8　节点到节点加密过程

2.链路加密

链路加密是在通信链路上对传输的数据进行加密，这种加密方法主要是通过硬件来实现的。其加密原理是明文每次从某一个发送节点发出，经过通信站时，利用通信站进行加密形成密文，然后再进入通信链路进行传输；当密文经链路传输到达某一个相邻中继节点或目的节点时，先经过通信站对密文进行解密，然后节点接收明文。链路加密过程如图7-9所示。

图7-9　链路加密过程

3.端对端加密

端对端加密方式的加密是在报文传输初始节点上实现的，在数据传输的整个过程中，报文都是以密文方式传输，直到报文到达目的节点时才进行解密。端对端加密过程如图7-10所示。

上述三种加密方式的特点及适用范围如下：

图7-10　端对端加密过程

节点加密方式中，通信信道中的任一个中继节点在传送报文到达目的节点的过程中，都需要进行路由选择。因此，加密只能对报文加密，而不能对报头信息进行加密。这就使得报文分析很容易对通信传输中的数据进行分析，获取信息。

链路加密方式对整个报文进行加密（包括报头信息和报文数据）。由于这种方式的加密是物理加密，所以容易泄密。在网络链路中继节点较少的情况下比较适用。

端对端加密方式中，数据加密是在会话的各端由进程来处理的，加密时报头仍为明文形式。它对防止线路“串扰”、各种搭线窃听，以及防止网络软件泄漏等情况非常有效。端对端加密方式属于表示层的功能，它有效地提高了系统的灵活性，但却增加了主机的负担，所以，不太适合非智能终端。

（二）访问保护

文件加密是对存储数据进行的加密，它主要是通过访问控制实现的。文件加密分单级加密和多级（或称分级）加密两种，在控制上一方面与用户或用户组相关，另一方面与数据有关。(www.daowen.com)

1.单级数据信息保密

单级数据信息保密是指对需要进行保密的数据信息一视同仁，不对这些数据信息进行保密级别分类的保密方式。

2.多级数据信息保密

多级数据信息保密是指对需要进行保密的数据信息按数据信息的重要程度，分成若干个保密等级的保密方式。

在文件保密中，对用户或用户组的访问控制被称为特权。许多实际的局域网系统都采用两级特权实现加密。

单级数据信息加密的实现比较简单，而多级数据信息的加密较为复杂。

一般多级数据信息的加密应具有如下特征：

（1）每次访问都遵循绝对保密的原则。

（2）不允许数据之间相互进行非法修改。

（3）访问正确性的有效验证。

多级数据信息的加密应遵循如下原则：

（1）用户只能读取与其同级别或者比其级别低的用户信息数据。

（2）用户只能写入与其同级别或者比其级别高的用户信息数据。

在多级数据信息保密方式中，可以实行可变级别的数据信息保密。可变级别的数据信息保密是，终端（或主机）可以在不同的时刻，工作在不同的保密级别上。多级数据信息保密是在接收点允许传送主机最高级以下的各种保密级别的数据信息。