下面是由希賽小編整理的中級通信互聯網技術知識點精講之TCP/IP的安全性，希望能幫助學友們。具體內容如下：

       TCP/IP的網絡安全體系結構與模型

       TCP/IP是網絡中實際使用的基本的通信協議，以它為基礎組建的Intemet是目前國際上規模最大的計算機網絡。參考TCP/IP的層次結構，可以在不同的層次提供不同的安全性。例如，在網絡層提供虛擬專用網絡，在傳輸層提供安全套接字層服務。下面對不同層次的安全性和提高安全性的方法進行分析和論述。

       1.IP層的安全性

       對IP層的安全協議進行標準化的想法早就存在，已經提出了一些方案。例如，“安全協議3號（SP3)”就是美國安全局以及標準技術協會作為“安全數據網絡系統（SDNS)”的一部分而制定的；“W絡層安全協議（NLSP)”是由國際標準化組織（ISO)為“無鏈接網絡協議（CLNP)”制定的安全協議標準；“集成化NLSP(I-NLSP)”是美國科技研究所提出的包括IP和CLNP在內的統一安全機制。所有這些提案都大同小異?它們用的都是IP封裝技術，本質是純文本的包被加密，封裝在外層的IP報頭里，用來對加密的包進行Internet上的路由選擇，到達另一端時，外層的IP報頭被拆開，報文被解密，然后送到收報地點。

       Internet工程任務組（IETF)責成Internet協議安全協議(IPsec)工作組對IP安全協議(IPSP)和對應Internet的密鑰管理協議（IKMP)進行標準化工作。IPSP的主要目的是使需要安全措施的用戶能夠使用相應的加密安全體制。該體制兼容IPv4和IPv6,要求該體制與算法無關，即使加密算法替換了，也不對其他部分的實現產生影響。按照這些要求，IPsec制定了一"規范：認證頭（AuthenticationHeader,AH)和封裝安全有效負荷（EncapsulatingSecurityPayload,ESP)。簡而言之，AH提供IP包的真實性和完整性，ESP提供機要內容。

       IP層安全性的主要優點是它的透明性，即安全服務的提供不需要應用程序、其他通信層次和網絡部件做任何改動。缺點是IP層一般對屬于不同進程和相應條例的包不作區別。對所有去往同一地址的包，它將按照間樣的加密密鑰和訪問控制策略來處理。這可能導致不能提供所需的功能，也會導致性能下降。

       2.傳輸層的安全性

       在Internet應用程序中，通常使用廣義的進程間通信（IPC)機制來與不同層之間的安全協議相聯系。在Internet提供安全服務的一個想法是強化IPC界面，如BSDSocket等，具體做法包括雙端實體的認證、數據加密密鑰的交換等。

       同網絡層安全機制相比，傳輸層安全機制的主要優點是它提供基于進程對進程（而不是主機對主機）的安全服務。傳輸層安全機制的主要缺點就是要對傳輸層IPC(界面）和應用程序兩端都進行修改，另一個缺點是基于UDP的通信很難在傳輸層建立起安全機制來。

       3.應用層的安全性

       網絡層（傳輸層）的安全協議允許為主機（進程〉之間的數據通道增加安全屬性，但不可能區分在同一通道上傳輸的一個具體文件的安全性要求。如果確實要區別一個具體文件的不同的安全性要求，那就必須借助于應用層的安全性。提供應用層的安全服務實際上是最靈活的處理單個文件安全性的手段。

       在應用層提供安全服務的做法是對每個應用（及應用協議）分別進行修改。一些重要的TCP/IP應用已經這樣做了。

       返回目錄：中級通信互聯網技術知識點精講之網絡安全技術匯總

       >>>>>點擊立即參加報名培訓

       相關推薦：

       中級通信工程師互聯網技術考試教材推薦

       中級通信工程師互聯網技術考試培訓視頻推薦

       中級通信工程師互聯網技術考試大綱