计算机网络原理学习笔记四——TCP/IP协议安全性

TCP IP各层的安全性和提高各层安全性的方法

1. 网络层的安全性
   现如今的网络层的安全协议事实上都是使用IP的封装技术。
   其本质是，纯文本的包被加密，封装在外层的IP报头里，用来对加密的包进行internet上的路由选择。到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。
   IP安全协议体制不仅能在IPV4，也可以在IPV6下工作。该体制需要实行多种安全政策，但要避免给不适用该体制的人造成不利影响。
   在这里了解一下，internet协议安全协议制定了一个规范：认证头(Authentication Header,AH)提供IP包的真实性和完整性,封装安全有效负荷(En-capsulating Security Payload,ESP)提供机要内容。

   大多数IP安全协议及其相应的密钥管理协议的实现均基于Unix系统。但是,如果要想在Internet上更广泛地使用和采纳安全协议,就必须有相应的Windows版本。而在这些系统上实现网络层安全协议所直接面临的一个问题就是,PC上相应的实现TCP IP的公共源码资源什么也没有。

   网络层安全性的主要优点是它的透明性,安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。它的最主要的缺点是:网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包,它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能,也会导致性能下降。简而言之,网络层是非常适合提供基于主机对主机的安全服务的。相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟私有网。

2. 传输层的安全性
   在网络应用编程中,通常使用广义的进程间通信(IPC)机制来与不同层次的安全协议打交道。
   为了提供相应的安全服务搓射，首先就是想着强化其IPC界面，具体做法：双端实体的认证，数据加密密钥的交换等。

   原则上,任何TCP IP应用,只要应用传输层安全协议,就必定要进行若干修改以增加相应的功能,并使用不同的IPC界面。于是,传输层安全机制的主要缺点就是要对传输层IPC界面和应用程序两端都进行修改。
   另一个缺点是,基于UDP的通信很难在传输层建立起安全机制来。同网络层安全机制相比,传输层安全机制的主要优点是它提供基于进程对进程的(而不是主机对主机的)安全服务。这一成就如果再加上应用级的安全服务,就可以再向前跨越一大步了。

3. 应用层的安全性
   网络层的安全协议允许为主机(进程)之间的数据通道增加安全属性,这意味着真正的数据通道还是建立在主机(或进程)之间,但却不可能区分在同一通道上传输的一个具体文件的安全性要求。如果确实想要区分一个具体文件的不同的安全性要求,那就必须借助于应用层的安全性。提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。较低层的协议提供的安全功能一般不会知道任何要发出的信件的段落结构,从而不可能知道该对哪一部分进行签名。只有应用层是唯一能够提供这种安全服务的层次。

参考文献：
[1] 李胜后, 钟蕾. TCP/IP协议及其安全性分析[J]. 信息技术, 2005, 29(4):99-101.
[2] 赵晓典, 郑向娣, 张建丽. 网络通信中TCP/IP协议安全隐患研究[J]. 电脑与电信, 2011(5):28-30.