《网络安全体系结构及协议》由会员分享,可在线阅读,更多相关《网络安全体系结构及协议(43页珍藏版)》请在金锄头文库上搜索。
1、第2章网络安全体系结 构及协议 本章要点 了解计算机网络协议的基础知识。 了解OSI模型及安全体系结构。 了解TCP/IP模型及安全体系结构。 掌握常用的网络协议和常用命令。 掌握协议分析工具Sniffer的使用方法。2.1 计算机网络协议概述网络协议及相关概念n网络协议是通信双方共同遵守的规则和约定的集合。网络 协议包括三个要素: 语法规定了信息的结构和格式; 语义表明信息要表达的内容; 同步规则涉及双方的交互关系和事件顺序。n整个计算机网络的实现体现为协议的实现。n为了保证网络的各个功能的相对独立性,以及便于实现和 维护,通常将协议划分为多个子协议,并且让这些协议保 持一种层次结构,子协议
2、的集合通常称为协议簇。n2.1.1 网络协议n无论是面对面还是通过网络进行的所有通信 都要遵守预先确定的规则,即协议。这些协 议由会话的特性决定。在日常的个人通信中 ,通过一种介质(如电话线)通信时采用的 规则不一定与使用另一种介质(如邮寄信件 )时的协议相同。 n网络中不同主机之间的成功通信需要在许多 不同协议之间进行交互。执行某种通信功能 所需的一组内在相关协议称为协议簇。这些 协议通过加载到各台主机和网络设备中的软 件和硬件执行。 网络协议簇说明了以下过程。n1)消息的格式或结构。n2)网络设备共享通往其他网络的通道信息 的方法。n3)设备之间传送错误消息和系统消息的方 式与时间。n4)
3、数据传输会话的建立和终止。 2.1.2 协议簇和行业标准n组成协议簇的许多协议通常都要参考其他广泛采 用的协议或行业标准。标准是指已经受到网络行 业认可并经过电气电子工程师协会(IEEE) 或 Internet 工程任务组(IETF) 之类标准化组织批 准的流程或协议。 n在协议的开发和实现过程中使用标准可以确保来 自不同制造商的产品协同工作,从而获得有效的 通信。如果某家制造商没有严格遵守协议,其设 备或软件可能就无法与其他制造商生产的产品成 功通信。 2.1.3 协议的交互n1应用程序协议n2传输协议 n3网间协议n4网络访问协议2.1.4 技术无关协议n网络协议描述的是网络通信期间实现的
4、功能。在 面对面交谈的示例中,通信的一项协议可能会规 定,为了发出交谈结束的信号,发言者必须保持 沉默两秒钟。但是,这项协议并没有规定发言者 在这两秒钟内应该如何保持沉默。协议通常都不 会说明如何实现特定的功能。通过仅仅说明特定 通信规则所需要的功能是什么,而并不规定这些 规则应该如何实现,特定协议的实现就可以与技 术无关。2.2 OSI参考模型及其安全体系n2.2.1 计算机网络体系结构n要形象地显示各种协议之间的交互,通常 会使用分层模型。分层模型形象地说明了 各层内协议的工作方式及其与上下层之间 的交互。 n协议分层的好处:n网络协议的分层有利于将复杂的问题分解成多 个简单的问题,从而分
5、而治之;n分层有利于网络的互联,进行协议转换时可能 只涉及某一个或几个层次而不是所有层次;n分层可以屏蔽下层的变化,新的底层技术的引 入,不会对上层的应用协议产生影响。n协议的实现要落实到一个个具体的硬件模块 和软件模块上,在网络中将这些实现特定功 能的模块称为实体(Entity)。n如图2-2所示,两个结点之间的通信体现为两 个结点对等层(结点A的N+1层与结点B的 N+1层)之间遵从本层协议的通信。各层的协议由各层的实体实现,通信双方对等层中完 成相同协议功能的实体称为对等实体。对等实体按协 议进行通信,所以协议反映的是对等层的对等实体之 间的一种横向关系,严格地说,协议是对等实体共同 遵
6、守的规则和约定的集合。 协议中的格式和语义只有对等实体能够理解。 n对等实体之间数据单元在发送方逐层封装,在 接收方的逐层解封装。发送方N层实体从N+1 层实体得到的数据包称为服务数据单元( Service Data Unit,SDU)。N层实体只将其 视为需要本实体提供服务的数据,将服务数据 单元进行封装,使其成为一个对方能够理解的 协议数据单元(Protocol Data Unit,PDU) ,封装过程实际上是为SDU增加对等实体间 约定的协议控制信息(Protocol Control Information,PCI)的过程。2.2.2 OSI参考模型简介n1OSI参考模型的层次结构n1)
7、物理层 n2)数据链路层 n3)网络层 n4)传输层 n5)会话层 n6)表示层 n7)应用层 网络划分为资源子网和通信子网,如图2-3所示。n通信子网由通信设备和线路构成,资源子网由主机 和其他末端系统构成。交换结点属于通信子网,访 问结点属于资源子网。n因为主机也具有通信功能,所以严格地讲,主机中 负责底层通信的部分也应该属于通信子网。 n20世纪70年代出现了多种网络体系结构。针对 这一问题,国际标准化组织ISO提出了著名的 开放系统互连参考模型ISO/OSI-RM。nOSI采用了如图2-4所示的七层参考模型。 n1 物理层(Physical Layer) n物理层包括物理连网媒介,实际
8、上就是布线、光 纤、网卡和其它用来把两台网络通信设备连接在 一起的东西。它规定了激活、维持、关闭通信端 点之间的机械特性、电气特性、功能特性以及过 程特性。虽然物理层不提供纠错服务,但它能够 设定数据传输速率并监测数据出错率。 n物理层定义的标准包括:EIA/TIA RS-232、 EIA/TIA RS-449、V.35、RJ-45等。 n2 数据链路层(Datalink Layer) n数据链路层主要作用是控制网络层与物理层之间 的通信。它保证了数据在不可靠的物理线路上进 行可靠的传递。它把从网络层接收到的数据分割 成特定的可被物理层传输的帧,保证了传输的可 靠性。它的主要作用包括:物理地址
9、寻址、数据 的成帧、流量控制、数据的检错、重发等。它是 独立于网络层和物理层的,工作时无需关心计算 机是否正在运行软件还是其他操作。 n数据链路层协议的代表包括:SDLC、HDLC、 PPP、STP、帧中继等。 n3 网络层(Network Layer) n很多用户经常混淆2层和3层的相关问题,简单来 说,如果你在谈论一个与IP地址、路由协议或地 址解析协议(ARP)相关的问题,那么这就是第 三层的问题。n 网络层负责对子网间的数据包进行路由选择 ,它通过综合考虑发送优先权、网络拥塞程度、 服务质量以及可选路由的花费来决定从一个网络 中两个节点的最佳路径。另外,它还可以实现拥 塞控制、网际互连
10、等功能。n网络层协议的代表包括:IP、IPX、RIP、OSPF 等 n4 传输层 (Transport layer)n传输层是OSI模型中最重要的一层,它是两台计 算机经过网络进行数据通信时,第一个端到端的 层次,起到缓冲作用。当网络层的服务质量不能 满足要求时,它将提高服务,以满足高层的要求 ;而当网络层服务质量较好时,它只需进行很少 的工作。另外,它还要处理端到端的差错控制和 流量控制等问题,最终为会话提供可靠的,无误 的数据传输。 n传输层协议的代表包括:TCP、UDP、SPX等。 n5 会话层(Session layer)n会话层负责在网络中的两节点之间建立和维持通 信,并保持会话获得
11、同步,它还决定通信是否被 中断以及通信中断时决定从何处重新发送。 n6 表示层(Prisentation layer)n表示层的作用是管理数据的解密与加密,如常见 的系统口令处理,当你的账户数据在发送前被加 密,在网络的另一端,表示层将对接收到的数据 解密。另外,表示层还需对图片和文件格式信息 进行解码和编码。 n7 应用层(application layer) n简单来说,应用层就是为操作系统或网络应用程 序提供访问网络服务的接口,包括文件传输、文 件管理以及电子邮件等的信息处理。n应用层协议的代表包括:Telnet、FTP、HTTP 、SNMP等。n恋爱和OSI model 七层n 起初只
12、是近距离地点对点无线收发爱的信号 ,乃物理层; 然后就是通过某个媒体(比如一支花、一本 书)将信号传输,乃数据链路层; 开始有选择地分组分割发送和装配接收爱的 信号,选择最佳的传送路径,乃网络层; 拖手和接吻可谓传输层,确保信号顺利地传 送到目的地; 甜言蜜语与鸿雁往来属于会话层,包括名字 查找和安全防护; 订婚归于表示层,将信号格式转换进行爱的 解释并加以巩固; 结婚,当然是应用层,因为它提供了所有应 用程序的直接支持。2.2.3 ISO/OSI安全体系 n1安全服务n(1)认证服务n(2)访问控制 n(3)数据机密服务 n(4)数据完整服务n(5)抗否认服务n(1)对象认证安全服务:用于识
13、别对象的身份 和对身份的证实。OSI环境可提供对等实体认证 和信源认证等安全服务。对等实体认证是用来验 证在某一关联的实体中,对等实体的声称是一致 的,它可以确认对等实体没有假冒身份;而信源 认证是用于验证所收到的数据来源与所声称的来 源是否一致,它不提供防止数据中途被修改的功 能。 (2)访问控制安全服务:提供对越权使用资源 的防御措施。访问控制可分为自主访问控制、强 制型访问控制、基于角色的访问控制,。实现机 制可以是基于访问控制属性的访问控制表、基于 安全标签或用户和资源分档的多级访问控制等 n(3)数据保密性安全服务:它是针对信息泄漏 而采取的防御措施,可分为信息保密、选择段保 密和业
14、务流保密。它的基础是数据加密机制的选 择。 (4)数据完整性安全服务:防止非法篡改信息 ,如修改、复制、插入和删除等。它有5种形式 :可恢复连接完整性、无恢复连接完整性、选择 字段连接完整性、无连接完整性和选择字段无连 接完整性。 (5)防抵赖性安全服务:是针对对方抵赖的防 范措施,用来证实发生过的操作,它可分为对发 送防抵赖、对递交防抵赖和进行公证。 n2安全机制n(1)加密机制 n(2)数字签名机制n(3)访问控制 n(4)数据完整性 n(5)鉴别交换机制 n(6)通信流量填充机制 n(7)路由选择控制机制 n(8)公证机制 n(1)加密机制:借助各种加密算法对存放的数 据和流通中的信息进
15、行加密。DES算法已通过硬 件实现,效率非常高。 (2)数字签名:采用公钥体制,使用私钥进行 数字签名,使用公钥对签名信息进行证实。 (3)访问控制机制:根据访问者的身份和有关 信息,决定实体的访问权限。 (4)数据完整性机制:判断信息在传输过程中 是否被篡改过,与加密机制有关。 (5)认证交换机制:用来实现同级之间的认证 。n6)防业务流量分析机制:通过填充冗余的业务 流量来防止攻击者对流量进行分析,填充过的流 量需通过加密进行保护。 (7)路由控制机制:防止不利的信息通过路由 。目前典型的应用为网络层防火墙。 (8)公证机制:由公证人(第三方)参与数字 签名,它基于通信双方对第三者都绝对相
16、信。目 前,因特网上有许多向用户提供此机制的服务。n3安全管理n为了更有效地运用安全服务,需要有其他措施来 支持它们的操作,这些措施即为安全管理。安全 管理是对安全服务和安全机制进行管理,把管理 信息分配到有关的安全服务和安全机制中去,并 收集与它们的操作有关的信息。n分为 系统安全管理 安全服务管理 安全机制管 理n4安全层次n因特网协议通常又称为TCP/IP协议。2.3 TCP/IP参考模型及其安全体系返回n网络接口层实际上包含OSI模型的物理层和链 路层,TCP/IP并未对这两层进行定义,它支 持现有的各种底层网络技术和标准。该层涉及 操作系统中的设备驱动程序和网络接口卡。n网络层又称为互联网层或IP层,该层处理IP数 据报的传输、路由选择、流量控制和拥塞控制 。n传输层为两台主机上的应用程序提供端到端的 通信。TCP/IP的传输层包含传输控制协议 TCP和用户数据报协议UDP。n应用层为用户提供一些常用的应用程序, TCP/IP给出了应用层的一些常用协议规范。开放系统互连参考模型与
