计算机网络 （53）互联网使用的安全协议

一、SSL/TLS协议

概述：

       SSL（Secure Sockets Layer）安全套接层和TLS（Transport Layer Security）传输层安全协议是工作在OSI模型应用层的安全协议。SSL由Netscape于1994年开发，广泛应用于基于万维网的各种网络应用（但不限于万维网应用）。1996年发布SSL 3.0，成为Web安全的事实标准。1999年，IETF在SSL 3.0基础上推出了传输层安全标准TLS。

功能：

       SSL/TLS协议需要与PKI（Public Key Infrastructure）公钥基础设施相结合，通过公钥密码体制实现安全数据通信，防止客户端和服务器间的通信被窃听以及篡改。

应用：

       SSL/TLS协议已经广泛与其他应用层协议相结合，例如HTTP、POP（Post Office Protocol）、SMTP（Simple Mail Transfer Protocol）、IMAP（Internet Message Access Protocol）。但SSL协议仅能对TCP协议进行有效保护，不支持UDP协议。

二、IPsec协议

概述：

       IPsec（Internet Protocol Security）即“IP安全”的缩写，是一个协议包，能够为IP协议的网络传输提供安全保护。IPsec不是一个单个的协议，而是能够在IP层提供互联网通信安全的协议簇，包括IKE（Internet Key Exchange）协议、AH（Authentication Header）协议、ESP（Encapsulating Security Payload）协议等。

功能：

       IPsec协议可以保证数据在传输过程中的机密性，同时通信双方可以对数据的来源进行认证。另外，IPsec协议能够抵挡重放攻击。

工作模式：

传输模式（Transport Mode）：在整个运输层报文段的前后分别添加若干控制信息，再加上IP首部，构成IP安全数据报。该模式适合于主机到主机之间的安全传送，需要使用IPsec的主机都运行IPsec协议。

隧道模式（Tunnel Mode）：在原始的IP数据报的前后分别添加若干控制信息，再加上新的IP首部，构成一个IP安全数据报。该模式需要在IPsec数据报所经过的所有路由器上都运行IPsec协议，通常用于实现虚拟专用网（VPN）。

三、DNSSEC协议

概述：

       DNSSEC（Domain Name System Security Extensions）即域名系统安全扩展，是用于确保DNS（域名系统）安全的一系列扩展。

功能：

       DNSSEC可以确保最终客户端在链接到其所指定的域名与实际服务器一致。在DNSSEC中，所有应答数据都进行数字签名，客户端通过对签名的验证可以实现以下功能：

       来源验证：对DNS解析结果进行来源验证，鉴别是否来自真实DNS服务器。       

       完整性验证：对DNS解析结果进行完整性验证，鉴别数据是否被篡改或者伪造。

应用：

       DNSSEC能够比较有效地抵御DNS缓存污染攻击、猜测查询攻击、否认存在攻击，在一定程度上能够抵御不可递归攻击，但DNSSEC不能抵御拒绝服务攻击。

 结语 

不要轻易说出你的理想

不给别人嘲笑你的机会

！！！