首頁 > 通信工程師 > 互聯(lián)網(wǎng)技術(shù) > TCP/IP的網(wǎng)絡(luò)安全體系結(jié)構(gòu)與模型

TCP/IP的網(wǎng)絡(luò)安全體系結(jié)構(gòu)與模型

互聯(lián)網(wǎng)技術(shù) 責(zé)任編輯：runsisi 2013-09-08

摘要：視頻教程在線輔導(dǎo)面授招生考試大綱指定教材報(bào)名時(shí)間9.1.3TCP/IP的網(wǎng)絡(luò)安全體系結(jié)構(gòu)與模型TCP/IP是網(wǎng)絡(luò)中實(shí)際使用的基本的通信協(xié)議，以它為基礎(chǔ)組建的Intemet是目前國際上規(guī)模最大的計(jì)算機(jī)網(wǎng)絡(luò)。參考TCP/IP的層次結(jié)構(gòu)，可以在不同的層次提供不同的安全性。例如，在網(wǎng)絡(luò)層提供虛擬專用網(wǎng)絡(luò)，在傳輸層提供安全套接字層服務(wù)

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報(bào)名時(shí)間

9.1.3 TCP/IP的網(wǎng)絡(luò)安全體系結(jié)構(gòu)與模型

TCP/IP是網(wǎng)絡(luò)中實(shí)際使用的基本的通信協(xié)議，以它為基礎(chǔ)組建的Intemet是目前國際上規(guī)模最大的計(jì)算機(jī)網(wǎng)絡(luò)。參考TCP/IP的層次結(jié)構(gòu)，可以在不同的層次提供不同的安全性。例如，在網(wǎng)絡(luò)層提供虛擬專用網(wǎng)絡(luò)，在傳輸層提供安全套接字層服務(wù)，如表9-1所示。下面對不同層次的安全性和提高安全性的方法進(jìn)行分析和論述。

1.IP層的安全性

對IP層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的想法早就存在，已經(jīng)提出了一些方案。例如，“安全協(xié)議3號（SP3)”就是美國安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會作為“安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)（SDNS)”的一部分而制定的；“W絡(luò)層安全協(xié)議（NLSP)”是由國際標(biāo)準(zhǔn)化組織（ISO)為“無鏈接網(wǎng)絡(luò)協(xié)議（CLNP)”制定的安全協(xié)議標(biāo)準(zhǔn)；“集成化NLSP(I-NLSP)”是美國科技研究所提出的包括IP和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。所有這些提案都大同小異?它們用的都是IP封裝技術(shù)，本質(zhì)是純文本的包被加密，封裝在外層的IP報(bào)頭里，用來對加密的包進(jìn)行Internet上的路由選擇，到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開，報(bào)文被解密，然后送到收報(bào)地點(diǎn)。

Internet工程任務(wù)組（IETF)責(zé)成Internet協(xié)議安全協(xié)議(IPsec)工作組對IP安全協(xié)議(IPSP)和對應(yīng)Internet的密鑰管理協(xié)議（IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制兼容IPv4和IPv6,要求該體制與算法無關(guān)，即使加密算法替換了，也不對其他部分的實(shí)現(xiàn)產(chǎn)生影響。按照這些要求，IPsec制定了一"規(guī)范：認(rèn)證頭（AuthenticationHeader,AH)和封裝安全有效負(fù)荷（EncapsulatingSecurityPayload,ESP)。簡而言之，AH提供IP包的真實(shí)性和完整性，ESP提供機(jī)要內(nèi)容。

IP層安全性的主要優(yōu)點(diǎn)是它的透明性，即安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動。缺點(diǎn)是IP層一般對屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)別。對所有去往同一地址的包，它將按照間樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致不能提供所需的功能，也會導(dǎo)致性能下降。

2.傳輸層的安全性

在Internet應(yīng)用程序中，通常使用廣義的進(jìn)程間通信（IPC)機(jī)制來與不同層之間的安全協(xié)議相聯(lián)系。在Internet提供安全服務(wù)的一個(gè)想法是強(qiáng)化IPC界面，如BSDSocket等，具體做法包括雙端實(shí)體的認(rèn)證、數(shù)據(jù)加密密鑰的交換等。

同網(wǎng)絡(luò)層安全機(jī)制相比，傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對進(jìn)程（而不是主機(jī)對主機(jī)）的安全服務(wù)。傳輸層安全機(jī)制的主要缺點(diǎn)就是要對傳輸層IPC(界面）和應(yīng)用程序兩端都進(jìn)行修改，另一個(gè)缺點(diǎn)是基于UDP的通信很難在傳輸層建立起安全機(jī)制來。

3.應(yīng)用層的安全性

網(wǎng)絡(luò)層（傳輸層）的安全協(xié)議允許為主機(jī)（進(jìn)程〉之間的數(shù)據(jù)通道增加安全屬性，但不可能區(qū)分在同一通道上傳輸?shù)囊粋€(gè)具體文件的安全性要求。如果確實(shí)要區(qū)別一個(gè)具體文件的不同的安全性要求，那就必須借助于應(yīng)用層的安全性。提供應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段。

在應(yīng)用層提供安全服務(wù)的做法是對每個(gè)應(yīng)用（及應(yīng)用協(xié)議）分別進(jìn)行修改。一些重要的TCP/IP應(yīng)用已經(jīng)這樣做了。

返回目錄：通信工程師互聯(lián)網(wǎng)技術(shù)培訓(xùn)網(wǎng)絡(luò)安全匯總

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點(diǎn)匯總

通信工程師互聯(lián)網(wǎng)技術(shù)考試網(wǎng)絡(luò)操作系統(tǒng)

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)交換技術(shù)教程