中级通信互联网技术知识点精讲之TCP/IP的安全体性

       下面是由希赛小编整理的中级通信互联网技术知识点精讲之TCP/IP的安全性，希望能帮助学友们。具体内容如下：

       TCP/IP的网络安全体系结构与模型

       TCP/IP是网络中实际使用的基本的通信协议，以它为基础组建的Intemet是目前国际上规模最大的计算机网络。参考TCP/IP的层次结构，可以在不同的层次提供不同的安全性。例如，在网络层提供虚拟专用网络，在传输层提供安全套接字层服务。下面对不同层次的安全性和提高安全性的方法进行分析和论述。

       1.IP层的安全性

       对IP层的安全协议进行标准化的想法早就存在，已经提出了一些方案。例如，“安全协议3号（SP3)”就是美国安全局以及标准技术协会作为“安全数据网络系统（SDNS)”的一部分而制定的；“W络层安全协议（NLSP)”是由国际标准化组织（ISO)为“无链接网络协议（CLNP)”制定的安全协议标准；“集成化NLSP(I-NLSP)”是美国科技研究所提出的包括IP和CLNP在内的统一安全机制。所有这些提案都大同小异?它们用的都是IP封装技术，本质是纯文本的包被加密，封装在外层的IP报头里，用来对加密的包进行Internet上的路由选择，到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。

       Internet工程任务组（IETF)责成Internet协议安全协议(IPsec)工作组对IP安全协议(IPSP)和对应Internet的密钥管理协议（IKMP)进行标准化工作。IPSP的主要目的是使需要安全措施的用户能够使用相应的加密安全体制。该体制兼容IPv4和IPv6,要求该体制与算法无关，即使加密算法替换了，也不对其他部分的实现产生影响。按照这些要求，IPsec制定了一"规范：认证头（AuthenticationHeader,AH)和封装安全有效负荷（EncapsulatingSecurityPayload,ESP)。简而言之，AH提供IP包的真实性和完整性，ESP提供机要内容。

       IP层安全性的主要优点是它的透明性，即安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。缺点是IP层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包，它将按照间样的加密密钥和访问控制策略来处理。这可能导致不能提供所需的功能，也会导致性能下降。

       2.传输层的安全性

       在Internet应用程序中，通常使用广义的进程间通信（IPC)机制来与不同层之间的安全协议相联系。在Internet提供安全服务的一个想法是强化IPC界面，如BSDSocket等，具体做法包括双端实体的认证、数据加密密钥的交换等。

       同网络层安全机制相比，传输层安全机制的主要优点是它提供基于进程对进程（而不是主机对主机）的安全服务。传输层安全机制的主要缺点就是要对传输层IPC(界面）和应用程序两端都进行修改，另一个缺点是基于UDP的通信很难在传输层建立起安全机制来。

       3.应用层的安全性

       网络层（传输层）的安全协议允许为主机（进程〉之间的数据通道增加安全属性，但不可能区分在同一通道上传输的一个具体文件的安全性要求。如果确实要区别一个具体文件的不同的安全性要求，那就必须借助于应用层的安全性。提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。

       在应用层提供安全服务的做法是对每个应用（及应用协议）分别进行修改。一些重要的TCP/IP应用已经这样做了。

       返回目录：中级通信互联网技术知识点精讲之网络安全技术汇总

       >>>>>点击立即参加报名培训

       相关推荐：

       中级通信工程师互联网技术考试教材推荐

       中级通信工程师互联网技术考试培训视频推荐

       中级通信工程师互联网技术考试大纲