Skip to content

Latest commit

 

History

History
62 lines (24 loc) · 2.92 KB

TCP-IP加密.md

File metadata and controls

62 lines (24 loc) · 2.92 KB

TCP/IP加密

理论上每层都可以加密,但如果只是介绍每层的加密技术,会枯燥乏味,咱们就从最贴近生活中的无线上网谈起

数据链路层加密

数据链路英文为Data Link ,重点在link,所谓link就是一条链路,比如电脑用网线连交换机、或家庭路由器,这根网线就是一个链路。但网线总是不方便,总不能让手机也插一根网线上网吧?于是就有了无线技术,这样手机可以自由移动来上网,手机与无线路由器之间依靠无线电波来通信,虽然是看不见摸不着,但是它也是一个虚拟数据链路,无线电波工作在特定的无线频段范围内,任何不怀好意的人都可以监听并解码通信的内容,这显然不安全,所以需要加密。手机或电脑把要发送的数据加密,到达无线路由器解密,得到原始数据。到此加密/解密过程就结束了(数据链路层安全完成其使命,接下来就和它没有半毛钱关系了),数据如果要发送到Internet,就是其本来的面目了

如果用户采用HTTP,则用户数据本来面目就是不加密;

如果采用HTTPS,则用户数据本来面目就是加密的,这里就会有两层加密:数据链路层加密 + 传输层加密。数据链路层的加密/解密只保证其势力范围(这条链路内)是安全的,再远它也管不着了

传输层加密可以一直保留到目的地才解密,所以提供端对端的安全机制

传输层加密

凡是用过网银的用户一定见过类似的网址 https://bank.xxxx.com,这个就是传输层加密,报文格式:

IP + TCP + SSL + HTTP

SSL负责加密/解密工作,由于SSL工作在传输层与应用层之间,一般称之为传输层加密

通常来说,加密代理服务器,还有Cisco Anyconnect 都属于传输层加密,都是基于SSL/TLS加密

网络层加密

有些在家办公的同学,一定用过这个安全软件,拨号到公司,然后公司分配一个公司内部IP,然后所有访问公司内部的流量全部走安全隧道,其格式为:

公网IP + ESP + 公司IP + Data

ESP(Encryption Security Payload)负责加密/解密,其身后的内容需要加密

但是由于NAT的存在,ESP不容易穿越NAT,所以一般会用这种封装格式:

公网IP + UDP + ESP + 公司IP + Data

虽然ESP跑在UDP传输层之上,但是还是网络层加密,因为其服务对象是公司IP流量

IP sec/ L2TP/ PPTP 都属于网络层加密

应用层加密(对数据进行加密)

一般用于对数据安全要求极高的单位或组织,数据发送方在发送之前将数据加密,接收方将数据解密

物理层加密

为了防止敌方窃听无线电波,将原始的无线电波与一个伪随机噪音波PN做为共同输入量,然后输出一个波形,敌方没有正确的PN,无法解密无线电内容