今天的用户数量和应用程序意味着网络流量已经成为敌对方而不是合作方。这种根本性的变革使得安全成为一个重要问题。特别是网络的这种大规模和异构性已经显著地跨越很多国家，拥有上千的网络提供商和无数的用户。不幸的是，如今鲜有协议是被设计用以缩小信任或者是划分信用边界的。举一个例子，一条从ISP那里的路由器发出的错误指令将导致大范围的、级联的与周边邻居Internet连接的崩溃。同时，很大范围的应用程序，包括关键性的基础设施、商业、教育和个人生产活动，如今都依赖于Internet的基础设施。这将诱发用户的不良动机，以及成功攻击带来的后果。因为Internet的僵化，任何一个协议中新的安全漏洞都要用数十年时间才能解决，从而导致了恶意攻击显著升级。

　　采取敌对的假设而不是友好地使用的假设，对Internet体系结构进行根本性的改变，这将产生激动人心的好处。设想一下，一个Internet是可依赖的、没有任何攻击的世界，敏感的信息可以安全地交流，公司可以把它们的业务完全依赖Internet而不需要担心崩溃，而且政府可以依赖Internet管理关键性的基础设施。

　　由于Internet极为重要，一个让人放心的可以减小信用猜忌的体系结构是非常重要的。比如，一个安全的体系结构，第一，通过那些能容忍网络用户误操作的协议来提升网络的鲁棒性；第二，让安全隐患能在发现之时就被解决；第三，让ISP、各种组织和用户远离误操作和攻击；第四，避免扩散性的攻击，诸如蠕虫、病毒和分布式拒绝服务攻击；第五，启动或简化新的高价值的应用和关键服务的部署，它们都是依赖于Internet通讯的，如电网控制、在线交易或者Internet应急联络信道；第六，减少通过打补丁、修复攻击或者识别攻击以处理安全问题而损失的生产力。

　　有不少体系结构方案显示出解决安全问题的潜力。一个重要的思路就是体系结构通过允许接收者控制谁有权发包给他,以避免拒绝服务攻击。另一种思路是把防火墙作为一个普遍接受的部件整合到体系结构中去，而不是把它作为附件，结果是要么被关掉，要么影响新应用程序的部署。一个清晰的对于安全的定义是分清楚路由器、操作系统和应用程序各自的职能所占的比例，这样可以把我们从如今安全安装模块的大杂烩中解放出来，进入到真正的安全体系中去。一个精心设计的认证机制可以有意识地而不是偶然地平衡隐私和可认证性。理想的话，这种设计将允许我们应用于真实世界对违法行为的处理（例如法律或者金融）。这可能要求体系结构清楚地知道这些现实世界属性并将其作为裁决的界线。

　　在设计一个更安全的网络体系结构的时候，面临的主要挑战是平衡可认证性与个人隐私，并决定哪些网络信息和进程是可以暴露给网络基础设施和网络用户的。