我正在参加「掘金·启航计划」
物理层
在网络互连的情况下,信道加密这种仅用于保护网络局部链路通信安全的技术不能确保端到端通信的安全。
在实际应用中,通信只在容易被窃听的无线链路(卫星链路)上,或军用网络等专用网络的通信链路所在不安全区域的部分使用信道加密技术。
数据链路层
将AS从AP分离出来的目的在于可使一台AS服务于多台AP,集中在一台AS中处理鉴别和接入,可降低AP的复杂性和成本。
在第一阶段中,尽管无线终端已经与AP交换了报文,但此阶段无线终端还没有被鉴别,也没用获得用于数据通信的加密密钥。
网络层
无论使用哪种,所封装的IP安全数据报的首部都是不加密的。这是为了使因特网中的各路由器能够识别IP安全数据报首部的相关信息,进而可以将IP安全数据报在不安全的因特网中从源点安全的转发到终点。
所谓‘IP安全数据报’,是指数据报的数据载荷是经过加密并能够被鉴别的。目前使用最多的是隧道方式。
建立安全关联SA的路由器或主机,需要维护这条SA的状态信息。
一个32位的连接标识符,称为安全参数索引。
SA的源点和终点的IP地址
所使用的加密类型
加密的密钥
完整性检查的类型(例如,使用报文摘要MD5或SHA-1的报文鉴别码MAC)
鉴别使用的密钥
当路由器R1要通过SA传送IP安全数据报时,首先需要读取SA的状态信息,以便知道应当如何加密和鉴别IP数据报。
IP安全数据报格式(重点)
若某个IP安全数据报在因特网中被某个攻击者截获,只要攻击者不知道该IP安全数据报的密码:
攻击者就仅能知道该IP安全数据报的首部信息(例如源IP地址和目的IP地址),但无法看懂其数据载荷的含义。
即使攻击者故意删除了该IP安全数据报的数据载荷中的一些字节,由于接收端能够进行完整性验证,因此不会接受这种含有差错的数据报。
如果攻击者尝试重放攻击,但由于IP安全数据报使用了有效的序号,因此使得重放攻击也不能成功。
