“(1)应用层安全(Security at the Application Layer):邮件系统安全(Electronic Mail Security)
电子邮件安全要素(Email security issues)
PGP协议(PGP-Pretty Good Privacy)
(2)传输层安全(Security at the Transport Layer):SSL
SSL上的四个子协议(Four protocols)
SSH
(3)网络层安全(Security at the Network Layer):IPSec
IPSec的两个数据库(Two Database)
IPSec的两个安全协议(Two Security Protocols)
IPSec的两种模式(Two Modes)
因特网秘钥交换(Internet Key Exchange(IKE))”
网络安全协议大致可以按网络层级分三层:分别是应用层的安全协议、传输层的安全协议和网络层的安全协议。
其中应用层的安全协议这里只讲用于电子邮件安全的PGP协议。
我们知道,网络的五层中,下层总是为上层提供服务,在安全协议栈中也是如此,通常下层的安全协议都能提供给上层进行安全服务。
当然,上层也可以自己实现一套自己的安全协议,而并不需要下层进行关于安全的工作,你就给我完成好你本身的任务就行了(比如传输层的TCP/UDP连接,网络层的IP包发送)。但是通常上层实现一套完整的安全协议代价更大,并且通用性不强。例如PGP协议通常只用于电子邮件安全服务,而不是用在HTTP协议当中,所以对于HTTP这些其他的协议来说,我只需要调用下层也就是传输层提供给我的安全协议(SSL)就好了。举个可能不太恰当的例子吧,就是京东跟淘宝,京东自己搭建了一整套的电商服务体系,也就是网店管理、物流配送、售后这些都是自己一整套做下来的;而淘宝则提供给卖家一个平台,卖家只需要做好网店和售后等工作就好了,物流配送这些外包给“下层体系”去做。所以我们都知道,前者京东这样的模式能提供更好的用户体验,但是相应的成本也更高,也就是从最上层到最底层,都是我,而后者淘宝则是提供了一个底层的实现机制,上层淘宝卖家只需要做好顶层的东西就好了,下层的基础支持我们提供,因为有统一的底层支持,自然上层就不是一个“我”在做了,我可以开放给更多的卖家来做,用我的这套底层支持来做,个人觉得这就是马老板经常强调的“平台”二字的精髓吧。当然,京东现在已经开放它的下层平台给其他的卖家了,阿里也开始做自己的一整套垂直电商了,这些就扯远了。
回到正题。
既然应用层协议时作为顶层的安全协议,那它自然要兼顾到“传输连接(TCP)的安全、IP包发送的安全”等等下层的安全体系,或者说,你把应用层的包加密好,然后下层TCP和IP层级不必加密而是让它们直接帮我传包就好了。
然后来到传输层的SSL(Secure Sockets Layer)和SSH(Secure Shell),先来看它们的区别之一:
“SSL不是一个应用程序,而是一个协议栈,它需要和应用层进行结合SSH本身就是一个完整的应用程序,可以用来进行远程登录,也可以远程带加密地存储文件,也提供了两个主机间安全的通信信道(可以借这个进行FQ)。”
也就是说SSL提供给上层也就是应用层一个通用的传输层加密框架,上层只需要用SSL就能保障一定的安全性。然后再来看SSL的一些具体介绍:
至于网络层的IPSEC安全协议:
