计算机等级考试tcpip基础知识

第二，传输层的安全性

在互联网应用程序设计中，通用进程间通信(IPC)机制通常用于处理不同级别的安全协议。两个流行的IPC编程接口是BSD套接字和传输层接口(TLI ),它们可以在Unix system V命令中找到。

在互联网中提供安全服务的第一个想法是加强其IPC接口，如BSD Sockets等。，包括双端实体的认证和数据加密密钥的交换。Netscape通信公司遵循这一思想，并基于可用的传输服务(如TCP/IP提供的服务)制定了安全套接字层协议(SSL)。SSL版本3(SSL v3)是在1995年12月制定的。它主要包括以下两个协议:

SSL记录协议它涉及应用程序提供的信息的分段、压缩、数据认证和加密。SSL v3支持MD5和SHA进行数据认证，支持R4和des进行数据加密等。用于数据验证和加密的密钥可以通过SSL的握手协议进行协商。
SSL握手协议用于交换版本号、加密算法、(相互)身份验证和密钥。SSL v3提供了对Deffie-Hellman密钥交换算法、基于RSA的密钥交换机制以及在Fortezza芯片上实现的另一种密钥交换机制的支持。
Netscape通信公司已经向公众介绍了SSL的参考实现(称为SSLref)。另一个免费的SSL实现叫做SSLeay。REF和SSLeay都可以为任何TCP/IP应用程序提供SSL功能。互联网号码分配*(IANA)为具有SSL功能的应用程序分配了一个固定的端口号。例如，带SSL的HTTP(HTTPS)分配的端口号为443，带SMTP的SMTP(ssmtp)分配的端口号为465，带SSL的NNTP(NNTP)分配的端口号为563。

微软推出了SSL2的改进版本，称为PCT(私有通信技术)。至少从它使用的记录格式来看，SSL和PCT非常相似。它们之间的主要区别在于，它们在版本号字段的最高有效位上有不同的值:SSL取0，PCT取1。经过这种区分，我们可以支持这两种协议。

1996年4月，IETF授权传输层安全(TLS)工作组制定传输层安全协议(TLSP ),作为标准提案正式提交给IESG。TLSP将在许多地方类似SSL。

前面介绍的互联网层安全机制的主要优点是透明性，即提供安全服务不需要应用层做任何改变。这对于传输层来说是不可能的。原则上，任何TCP/IP应用程序，只要使用了传输层安全协议，如SSL或PCT，都必须做一些修改，增加相应的功能，并使用(稍微)不同的IPC接口。因此，传输层安全机制的主要缺点是修改IPC接口和应用程序的两端。但相对于互联网层和应用层的安全机制，这里的修改还是相当小的。另一个缺点是基于UDP的通信难以在传输层建立安全机制。与网络层安全机制相比，传输层安全机制的主要优势在于它提供进程到进程(而不是主机到主机)的安全服务。如果这一成就与应用程序级安全服务相结合，它可以再向前迈出一大步。