由于工作需要和知识储备,重新系统地学习网络方面的知识,先从《TCP/IP详解卷一》开始,对看书的大体内容进行简单整理,在这里进行记录。记录只是对知识的整理过程,并不追求面面俱到。
概念
- EAP:可拓展身份认证协议,在链路层上保护一跳通信中的数据;它可与多种链路层技术一同使用,并提供多种方法来实现身份验证、授权以及计费(AAA)。
- ESP:封装安全负载,IPsec中最流行的协议;
主要内容
补充内容
TCP/IP安全协议分层
与网络协议一样,安全协议也存在于协议栈的多个不同层次。链路层的安全服务致力于保护一跳通信中的信息;网络层的安全致力于保护两个主机之间传输的信息;传输层的安全服务致力于保护进程与进程之间的通信;应用层的安全服务致力于保护应用程序操纵的信息。常见的安全协议与分层如图所示。
IPsec
IPsechi一个集合了许多标准的体系结构,它们在网络层为提供数据源认证、完整性、机密性以及访问控制。IPsec的操作分为建立阶段与数据交换阶段。建立阶段负责交换密钥材料并建立安全关联(SA);数据交换阶段会使用不同类型的封装架构,成为认证头(AH)和封装安全负载(ESP)。IPsec可用于不同模式,如隧道模式或传输模式,以保护IP数据报流。以安全网关为例,IPsec的简要过程如图所示。
TLS
TLS用于保证Web通信以及其他流行协议的安全。由于TLS能在应用程序或底部实现,因而十分流行。TLS是一个客户端/服务器协议,设计用于为两个应用程序的连接提供安全。如图所示,TLS协议分为记录层与上层,记录协议提供分片、压缩、完整性保护以及对客户端和服务器之间所交换数据的加密服务。信息交换协议负责建立身份、进行认证、提示警报,以及为用于每一条连接的记录协议提供唯一的密钥材料。信息交换协议包含:握手协议、警告协议、密码变更协议以及应用数据协议。密码更改协议用于将之前设定的挂起协议状态更改为活动协议状态。警告协议会指出错误或连接问题。与IPsec类似,TLS是可拓展的,能容纳未来的更多加密套件。