网络通信安全协议解析

随着因特网的发展，安全问题越来越突出，所以在因特网中，应用了越来越多的安全 协议。

1．IPsec

IPSec（Internet Protocol Security，Internet 协议安全性）是IETF 的IPSec 小组建立的一组IP 安全协议集。IPSec 定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。它为Internet 上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

IPsec 协议不是一个单独的协议，它给出了应用于IP 层上网络数据安全的一整套体系结构，包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换）和用于网络认证及加密的一些算法等。其中，AH 协议和ESP 协议用于提供安全服务，IKE 协议用于密钥 交换。

所有使用IP 协议进行数据传输的应用系统和服务都可以使用IPsec，而不必对这些应用系统和服务本身做任何修改。IPsec 对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高IP 数据包的安全性，可以有效防范网络攻击。

IPsec 协议工作在OSI 模型的第三层，使其在单独使用时适于保护基于TCP 或UDP 的协议。这就意味着，与传输层或更高层的协议相比，IPsec 协议必须处理可靠性和分片的问题，这同时也增加了它的复杂性和处理开销。

2．SSL 和TLS

SSL（Secure Sockets Layer，安全套接层）及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS 与SSL 在传输层对网络连接进行加密。

SSL 协议是Netscape 公司在1994年开发的安全协议，广泛应用于万维网的各种网络应用（不限于万维网应用）。SSL 作用在系统应用层的HTTP 和传输层之间，在TCP 上建立起一个安全通道，为通过TCP 传输的应用层数据提供安全保障。

1995年Netscape 公司把SSL 转交给IETF，希望能够把SSL 进行标准化。于是IETF 在SSL 3.0 的基础上设计了TLS，为所有基于TCP 的网络应用提供安全数据传输。

SSL 提供的安全服务可以归纳如下。

（1）认证用户和服务器，确保数据发送到正确的客户机和服务器。(www.xing528.com)

（2）加密数据以防止数据中途被窃取。

（3）维护数据的完整性，确保数据在传输过程中不被改变。

3．HTTPS

HTTPS（Hyper Text Transfer Protocol over Secure Socket Layer，安全套接字层超文本传输协议），是以安全为目标的HTTP 通道，简单讲是HTTP 的安全版。即HTTP 下加入SSL层，HTTPS 的安全基础是SSL，因此加密的详细内容就需要SSL。网景通信公司在1994年创建了HTTPS，并应用在网景导航者浏览器中。最初，HTTPS 是与SSL 一起使用的。在SSL逐渐演变到TLS 时，最新的HTTPS 也由在2000年5月公布的RFC 2818 正式确定下来。现在HTTPS 被广泛应用于万维网上的安全敏感通信，如交易支付方面。

HTTP 协议被用于在Web 浏览器和网站服务器之间传递信息。HTTP 协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web 浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息。因此，HTTP 协议不适合传输一些敏感信息，如信用卡号、密码等。

为了解决HTTP 协议的这一缺陷，需要使用另一种协议：HTTPS。为了数据传输的安全，HTTPS 在HTTP 的基础上加入了SSL 协议，SSL 依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

HTTPS 和HTTP 的区别主要为以下4 点.

（1）HTTPS 协议需要到CA 申请证书。

（2）HTTP 是超文本传输协议，信息是明文传输，HTTPS 则是具有安全性的SSL 加密传输协议。

（3）HTTP 和HTTPS 使用的端口不一样，前者是80，后者是443。

（4）HTTP 的连接很简单，是无状态的；HTTPS 协议是由SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比HTTP 协议更安全。