1.2.3　TCP/IP安全体系结构

OSI参考模型为解决网络问题提供了行之有效的方法，但是卫星和无线网络的出现，使得现有的协议在与卫星和无线网络互联时出现了问题，由此产生了TCP/IP参考模型。TCP/IP从字面上看是两个Internet上的网络协议（TCP是传输控制协议，IP是网际协议），但实际上TCP/IP是一组网络协议，通常包括TCP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP、TFTP等协议。TCP/IP参考模型由下至上分为网络接口层、网络层、传输层和应用层。

OSI参考模型和TCP/IP参考模型的对比如图1-3所示。

OSI参考模型中的物理层和链路层对应TCP/IP参考模型中的网络接口层，网络层和传输层分别对应TCP/IP参考模型中的网络层和传输层，会话层、表示层和应用层对应TCP/IP参考模型中的应用层。

对应TCP/IP参考模型，TCP/IP安全体系结构如图1-4所示。

TCP/IP安全体系结构包括网络接口层安全、网络层安全、传输层安全和应用层安全。

❑网络接口层安全：通常指的是链路层的安全，可以通过加密方式确保数据不被窃听，通常依靠物理层加密实现。一般对通信的链路两端架设加密机，对传输的电器符号进行位流加密。

图　1-3　OSI参考模型和TCP/IP参考模型对比

❑网络层安全：网络层的功能是负责数据包的路由选择，网络层安全就是要确保数据包能顺利到达指定的目的地。一般通过路由器硬件提高相应的安全性。

❑传输层安全：传输层的功能是解决端到端的数据传输问题。传输层提供TCP与UDP两种服务：TCP是可靠的、面向连接的服务；UDP是无链接的数据包服务。确保传输层安全有相应的协议，如S S L（Security Socket Layer，安全套接层协议）和TLS（Transport Layer Security，传输层安全协议）。SSL是网景（Netscape）公司设计的主要用于Web的安全传输协议，由IETF（The Internet Engineering Task Force，互联网工程任务组，详见http：//www.ietf.org/）将其标准化，进而产生了TLS, TLS是SSL的继任者。SSL 3.0与TLS 1.0差别不大，两种规范大致相同。SSL/TLS协议依赖于加密算法，极难窃听，有较高的安全性。因此，SSL/TLS协议成为网络上最常用的安全保密通信协议，众多电子邮件、网银、电子商务、网上传真都通过SSL/TLS协议确保数据传输安全。随着卫星和无线网络的发展，WAP安全逐渐得到重视。受限于手机及手持设备的处理和存储能力，WAP论坛（http：//www.wapforum.org/）在TLS的基础上进行了简化，制定了WTLS协议（Wireless Transport Layer Security，无线传输层安全）。

图　1-4　TCP/IP安全体系结构

❑应用层安全：应用层是与应用结合最紧密的一层，负责与应用交互，以实现不同系统的应用之间进行相互通信，完成各种业务处理、提供相应服务。为确保应用层安全可在应用层建立相应的安全机制。HTTPS（Hypertext Transfer Protocol over Secure Socket Layer）协议是Web上最为常用的安全访问协议，简单地说就是HTTP安全版，从HTTPS全称不难看出它是基于SSL/TLS的HTTP协议，或者说是HTTPS=SSL/TLS+HTTP。同时，得益于SSL/TLS的高度安全性，HTTPS广泛应用于互联网上的敏感数据交互，例如B2C、网上银行、企业应用之间的数据传递等。本书将在后续章节讲解如何通过HTTPS确保企业应用的安全。

TCP/IP安全体系中，网络接口层安全、网络层安全部分主要通过相应的硬件设施来完成，传输层安全和应用层安全通过HTTPS协议以软件方式完成。