前言

在OSI 模型中，了解到如何架設網路及相關的可能性風險有哪些，
那要如何做到安全通信呢?

[白話解釋] 快快樂樂出門，平平安安回家。要確保通信時的機密性，完整性

• 機密性，C
  • 避免沒有經過授權及合法身分的人索取或竊取資料
  • [作法] 使用密碼學中的加密演算法達成
• 完整性，I
  • 包含真實性及不可否認性
  • 真實性:
    • 確保資料透過傳輸後還是跟傳輸前的狀態一樣
    • [常見作法] 使用Hash雜湊的方式達成
      • 例如: 取檔案的Message Authentication Code (Hash) 值 或者是在傳輸後檢查CRC checksum 檢查是否一致
  • 不可否認性
    • 傳送方或接收方，都不能否認曾進行資料傳輸或接收
    • [情境] 考試時，小黑把有答案的小抄拿給小明使用。考試結束後，小黑跟小明要拿回小抄。 小明卻裝傻的表示: 你沒拿給我啊。但考卷發下來後，發現小明的考卷內容跟小抄的一樣。
      • 這就是違反不可否認性
    • [常見作法] 利用電子簽章的技術達成

通信安全可以由訪問控制或通信協定開始做起，以下將先整理通信協定的部分

通信協定是可以從早期的數據機撥接時代開始直到近代，一一羅列如下:

• PPP (點對點時代)

  • PAP (Password Authentication Protocol)

    • 通行碼鑑別協定
    • [原理] 使用明文傳輸ASCII格式的密碼

  • CHAP (Challenge-Handshake Authentication Protocol)

    • 握手認證協定
    • [原理] 通過三次握手周期性的校驗對端的身份，可在初始鏈路建立時，完成時，在鏈路建立之後重複進行。通過遞增改變的標識符和可變的詢問值，可防止來自端點的重放攻擊，限制暴露於單個攻擊的時間。
    • [特性] 以MD5加密演算法進行口令認證。

    參考資料
    > - 通嫆鑑別協定

    • CHAP

• EAP (Extensible Authentication Protocol)

  • 可延伸的驗證通訊協定
  • EAP 提供一些公共的功能，並且允許協商所希望的認證機制。這些機制被叫做 EAP 方法，現在大約有 40 種不同的方法。IETF 的 RFC 中定義的方法包括：EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM 和 EAP-AKA，還包括一些廠商提供的方法和新的建議。無線網路中常用的方法包括 EAP-TLS、EAP-SIM、EAP-AKA、PEAP、LEAP 和 EAP-TTLS。

    引用自EAP intro

  • CISSP 中常見的有
    • EAP-TLS
      • 常用於無線網路中，是無線區域網路 EAP 的原始版本
      • [特性] AP與用戶端都要有憑證，採取雙向認證
      • [缺點] 太多的用戶端會導致管理複雜
    • EAP-TTLS
      • EAP-TLS改良版
      • [特性] AP有憑證即可，採取雙向認證
    • PEAP
      • EAP-TLS 微軟實作的改良版