第四十九个知识点:描述在IPsec和TLS后的基本想法
网络安全协议(Internet Protocol Security,IPsec)和安全传输层协议(Transport Layer Security,TLS)都旨在在不安全的网络中创造一个安全的两方通信。一般来说,这两种机制都是建立一个私密的会话密钥(要么是预先准备的要么是密钥协商的),然后使用对称密码学进行大部分的交流。还有一些关于身份验证的详细信息,但是我将跳过这些内容。虽然这两个最终有相似的目标,但是它们在实现上有很大的不同。
IPsec是在OSI模型中的网络层,旨在提供完整性,真实性和保密性。因为它在网络层,所以在发送之前,它会盲目地对来自上述各层的数据进行加密、mac和打包。这有效地在两个端点之间创建了一个虚拟网络链接,而不需要确保端点应用程序已适当地保护了数据。这通常用于企业VPN解决方案,因为它是远程访问企业网络的快速解决方案。然而,缺点是一旦连接启动,就很难限制应用程序在连接启动后使用它。
TLS是建立一个安全连接的另一个方案,它在OSI模型中的应用层。我们看到TLS在网络传输中被大量的使用,例如HTPPS,STARTTLS等等。因此,每个连接/应用程序将独立地协商/设置安全连接。从安全的角度来看,这是非常有吸引力的,因为一个被破坏的通道应该与其他通道无关。虽然可以将TLS视为一种更灵活的方法,但是相比于TPsec,它确实会在两个节点之间的大量连接带来一些开销。
这是很容易的描述非常详细的细节,但我认为这应该涵盖两个'基本'的想法。