giải pháp bảo mật ở các tầng khác nhau
10.6Giao thức an toàn tầng mạng
hỏi có một vài chuẩn OSI để mô tả các chức năng truyền, định tuyến và liên kết mạng cho tầng này. Chuẩn ISO/IEC 8880 mô tả tổng quan về tầng mạng. Hai chuẩn khác là ISO/IEC 8348 và 8648 định nghĩa dịch vụ mạng và mô tả tổ chức bên trong của tầng mạng. Chuẩn phát hành gần đây nhất là ISO/IEC 11577 mô tả giao thức an toàn tầng mạng (NLSP- network-layer security protocol).
Các tầng con khác nhau tạo nên tầng mạng, mỗi tầng con thực hiện các vai trò khác nhau, chẳng hạn giao thức truy nhập mạng con (SNAcP) và giao thức hội tụ mạng con phụ thuộc (SNDCP). NLSP có thể đ−ợc đặt ở một vị trí nào đó trong số một vài vị trí khác nhau trong tầng mạng có chức năng nh− là một tầng con. Trên tầng cao nhất của nó là tầng giao vận, hoặc có thể là bộ định tuyến có chức năng chuyển tiếp hoặc chọn đ−ờng.
Trong giao thức an toàn tầng mạng có hai giao diện dịch vụ: giao diện dịch vụ NLSP và giao diện dịch vụ mạng bên d−ới (UN- underlaying network). Dịch vụ NLSP là giao diện biểu diễn một thực thể hoặc tầng con bên trên, dịch vụ UN là giao diện với một tầng con bên d−ới. Các giao diện dịch vụ này đ−ợc mô tả theo cách để có vẻ giống nh− dịch vụ mạng đã định nghĩa trong ISO/IEC 8348. Giao thức an toàn tầng mạng cũng có thể định nghĩa theo hai dạng hoặc biến thể, có liên kết và không liên kết. Trong NLSP có liên kết, dịch vụ NLSP và dịch vụ UN là có liên kết, ng−ợc lại trong dịch vụ NLSP không liên kết, các dịch vụ này là không liên kết. Tính mềm dẻo của kiến trúc này dẫn tới khả năng NLSP đáp ứng cả hai dịch vụ an toàn mức hệ thống cuối hay mức mạng con.
Ví dụ, trong NLSP có liên kết, giả sử chúng ta xác định X.25 là công nghệ mạng con bên d−ới. ở cấu hình này, NLSP đ−ợc đặt ở đỉnh tầng mạng (chỉ bên d−ới tầng giao vận và ngay trên mạng con X.25), cho phép dịch vụ NLSP ngang hàng với phiên bản an toàn của dịch vụ mạng OSI. Theo ví dụ này, giao thức X.25 không nhận thấy an toàn đ−ợc cung cấp từ bên trên.
NLSP cũng có thể cung cấp an toàn mức mạng con. Trong các tr−ờng hợp mạng con không tin cậy, NLSP tăng c−ờng an toàn cần thiết, nó có thể ngang hàng với hoặc dịch vụ mạng OSI trong hệ thống cuối hoặc dịch vụ tầng bên trong mạng (NILS) trong hệ thống chuyển tiếp. Trong các tr−ờng hợp không liên kết, có thể có một vài cấu hình với các ứng dụng thực tế, chẳng hạn các tiêu đề giao thức mạng không liên kết (CLNP) không mã hoá hoàn toàn, các địa chỉ CLNP mã hoá với các phần tiêu đề không mã hoá, hoặc các tiêu đề CLNP mã hoá hoàn toàn.