基于OSI参考模型,构建了TCP/IP安全体系。
- 网络接口层安全网络接口层大致对应OSI的数据链路层和物理层,他负责接收IP数据包,并通过网络传输介质发送数据包。网络接口层的安全通常是指链路记得安全。假设在两个主机或路由器之间构建一条专用的通信链路,采用加密技术确保传输的数据不被窃听而泄密,可在通信链路的两端安装链路加密机来实现,这种加密与物理层相关,对传输的电器符号比特流加密。
- 网络层安全网络层的功能是负责数据包的路由选择,保证数据包能顺利到达指定的目的地。英雌,为了防止IP欺骗、源路由攻击等,在网络层实施IP认证机制;为了确保路由表不被篡改,还可试试完整性机制。如IPv6协议,提供两种安全机制:认证头协议(Authentication Header,AH)、封装安全负荷协议(Encapsulating Security Payload,ESP)协议。
- 传输层安全传输层的功能是负责实现源主机和目的主机上的实体之间的通信,用于解决端到端的数据传输问题。提供两种服务:一种是可靠的、面向连接的服务(由TCP协议完成);一种是无链接的数据包服务(有UDP协议完成)。传输层安全协议确保数据安全传输,常见的安全协议有安全套接层协议(Security Socket Layer,SSL)、传输层安全协议(Transport Layer Security,TLS)。TLS是SSL的升级版本,TLS同时可以兼容SSL。
- 应用层安全应用层的功能是负责直接为应用进程服务,实现不同系统的应用进程之间的互相通信,完成特定的业务处理和服务。应用层提供的服务有电子邮件、文件传输、虚拟终端和远程数据输入等。网络层的安全协议为网络传输和连接建立安全的通信管道,传输层的安全协议保障传输数据的可靠、安全地到达目的地,但无法根据所传输的不同内容的安全需求予以区别对待。灵活处理具体的数据不同的安全需求方案就是在应用曾建立相应的安全机制。如IETF规定了私用强化邮件PEM来为基于SMTP的电子邮件系统提供安全服务;免费电子邮件系统PGP提供了数字签名和加密功能;HTTPS是web上使用的超文本传输协议的安全增强版本。