中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之TCP/IP的安全體性

       下面是由希賽小編整理的中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之TCP/IP的安全性，希望能幫助學(xué)友們。具體內(nèi)容如下：

       TCP/IP的網(wǎng)絡(luò)安全體系結(jié)構(gòu)與模型

       TCP/IP是網(wǎng)絡(luò)中實(shí)際使用的基本的通信協(xié)議，以它為基礎(chǔ)組建的Intemet是目前國(guó)際上規(guī)模最大的計(jì)算機(jī)網(wǎng)絡(luò)。參考TCP/IP的層次結(jié)構(gòu)，可以在不同的層次提供不同的安全性。例如，在網(wǎng)絡(luò)層提供虛擬專用網(wǎng)絡(luò)，在傳輸層提供安全套接字層服務(wù)。下面對(duì)不同層次的安全性和提高安全性的方法進(jìn)行分析和論述。

       1.IP層的安全性

       對(duì)IP層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的想法早就存在，已經(jīng)提出了一些方案。例如，“安全協(xié)議3號(hào)（SP3)”就是美國(guó)安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為“安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)（SDNS)”的一部分而制定的；“W絡(luò)層安全協(xié)議（NLSP)”是由國(guó)際標(biāo)準(zhǔn)化組織（ISO)為“無鏈接網(wǎng)絡(luò)協(xié)議（CLNP)”制定的安全協(xié)議標(biāo)準(zhǔn)；“集成化NLSP(I-NLSP)”是美國(guó)科技研究所提出的包括IP和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。所有這些提案都大同小異?它們用的都是IP封裝技術(shù)，本質(zhì)是純文本的包被加密，封裝在外層的IP報(bào)頭里，用來對(duì)加密的包進(jìn)行Internet上的路由選擇，到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開，報(bào)文被解密，然后送到收?qǐng)?bào)地點(diǎn)。

       Internet工程任務(wù)組（IETF)責(zé)成Internet協(xié)議安全協(xié)議(IPsec)工作組對(duì)IP安全協(xié)議(IPSP)和對(duì)應(yīng)Internet的密鑰管理協(xié)議（IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制兼容IPv4和IPv6,要求該體制與算法無關(guān)，即使加密算法替換了，也不對(duì)其他部分的實(shí)現(xiàn)產(chǎn)生影響。按照這些要求，IPsec制定了一"規(guī)范：認(rèn)證頭（AuthenticationHeader,AH)和封裝安全有效負(fù)荷（EncapsulatingSecurityPayload,ESP)。簡(jiǎn)而言之，AH提供IP包的真實(shí)性和完整性，ESP提供機(jī)要內(nèi)容。

       IP層安全性的主要優(yōu)點(diǎn)是它的透明性，即安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。缺點(diǎn)是IP層一般對(duì)屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)別。對(duì)所有去往同一地址的包，它將按照間樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致不能提供所需的功能，也會(huì)導(dǎo)致性能下降。

       2.傳輸層的安全性

       在Internet應(yīng)用程序中，通常使用廣義的進(jìn)程間通信（IPC)機(jī)制來與不同層之間的安全協(xié)議相聯(lián)系。在Internet提供安全服務(wù)的一個(gè)想法是強(qiáng)化IPC界面，如BSDSocket等，具體做法包括雙端實(shí)體的認(rèn)證、數(shù)據(jù)加密密鑰的交換等。

       同網(wǎng)絡(luò)層安全機(jī)制相比，傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程（而不是主機(jī)對(duì)主機(jī)）的安全服務(wù)。傳輸層安全機(jī)制的主要缺點(diǎn)就是要對(duì)傳輸層IPC(界面）和應(yīng)用程序兩端都進(jìn)行修改，另一個(gè)缺點(diǎn)是基于UDP的通信很難在傳輸層建立起安全機(jī)制來。

       3.應(yīng)用層的安全性

       網(wǎng)絡(luò)層（傳輸層）的安全協(xié)議允許為主機(jī)（進(jìn)程〉之間的數(shù)據(jù)通道增加安全屬性，但不可能區(qū)分在同一通道上傳輸?shù)囊粋€(gè)具體文件的安全性要求。如果確實(shí)要區(qū)別一個(gè)具體文件的不同的安全性要求，那就必須借助于應(yīng)用層的安全性。提供應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段。

       在應(yīng)用層提供安全服務(wù)的做法是對(duì)每個(gè)應(yīng)用（及應(yīng)用協(xié)議）分別進(jìn)行修改。一些重要的TCP/IP應(yīng)用已經(jīng)這樣做了。

       返回目錄：中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之網(wǎng)絡(luò)安全技術(shù)匯總

       >>>>>點(diǎn)擊立即參加報(bào)名培訓(xùn)

       相關(guān)推薦：

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試教材推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)視頻推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試大綱