2.5.2 应用层的安全性_目前应用层是传输是安全的吗

网络层（传输层）的安全协议允许为主机（进程）之间的数据通道增加 安全属性。本质上，这意味着真正的数据通道还是建立在主机（或进程）之间，但不能区分同一条通道上一个特定文件的安全需求。（因为2台主机间建立安全通道，所有在这条通道上的数据都会被加密。）

如果确实想要区分一个具体文件的不同安全需求，那就必须借助于应用层的安全性。提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。（例如，一个电子邮件中的某些段落需要进行数据签名，较低层的协议不能区分段落结构，无法完成。）

在应用层提供安全服务可能的几种做法，首先是对每个应用协议进行修改，一些重要的TCP/IP协议已经这样做了。

PEM（私用强化邮件）和PGP（Pretty Good Privacy）

PEM需要依赖一个既存的、完全可信赖的PKI。但是建立一个符合PEM规范的PKI需要时间。

PGP符合PEM的绝大多数规范，但它不要求PKI存在。相反，它采用分布式信任模型，即由每个用户自己决定该信任哪些其他用户。因此，PGP不是去推广一个全局的PKI，而是让用户自己建立自己的信任网。这就产生了一个问题：在分布式信任模型下，密钥废除了怎么办？

2.5.3 应用层的安全防护

原则上，所有安全服务都可以在应用层提供。应用层是实施数据加密、访问控制的理想位置。应用层的安全防护是面向用户的应用程序的，因此可以实施细粒度的安全控制。