网络安全体系结构及协议

第2章网络安全体系结构及协议本章要点了解计算机网络协议的基础知识。了解OSI模型及安全体系结构。了解TCP/IP模型及安全体系结构。掌握常用的网络协议和常用命令。掌握协议分析工具Sniffer的使用方法。2.1计算机网络协议概述网络协议及相关概念网络协议是通信双方共同遵守的规则和约定的集合。网络协议包括三个要素：语法规定了信息的结构和格式；语义表明信息要表达的内容；同步规则涉及双方的交互关系和事件顺序。整个计算机网络的实现体现为协议的实现。为了保证网络的各个功能的相对独立性，以及便于实现和维护，通常将协议划分为多个子协议，并且让这些协议保持一种层次结构，子协议的集合通常称为协议簇。2.1.1网络协议无论是面对面还是通过网络进行的所有通信都要遵守预先确定的规则，即协议。这些协议由会话的特性决定。在日常的个人通信中，通过一种介质（如电话线）通信时采用的规则不一定与使用另一种介质（如邮寄信件）时的协议相同。网络中不同主机之间的成功通信需要在许多不同协议之间进行交互。执行某种通信功能所需的一组内在相关协议称为协议簇。这些协议通过加载到各台主机和网络设备中的软件和硬件执行。网络协议簇说明了以下过程。1）消息的格式或结构。2）网络设备共享通往其他网络的通道信息的方法。3）设备之间传送错误消息和系统消息的方式与时间。4）数据传输会话的建立和终止。2.1.2协议簇和行业标准组成协议簇的许多协议通常都要参考其他广泛采用的协议或行业标准。标准是指已经受到网络行业认可并经过电气电子工程师协会（IEEE）或Internet工程任务组（IETF）之类标准化组织批准的流程或协议。在协议的开发和实现过程中使用标准可以确保来自不同制造商的产品协同工作，从而获得有效的通信。如果某家制造商没有严格遵守协议，其设备或软件可能就无法与其他制造商生产的产品成功通信。2.1.3协议的交互1．应用程序协议2．传输协议3．网间协议4．网络访问协议2.1.4技术无关协议网络协议描述的是网络通信期间实现的功能。在面对面交谈的示例中，通信的一项协议可能会规定，为了发出交谈结束的信号，发言者必须保持沉默两秒钟。但是，这项协议并没有规定发言者在这两秒钟内应该如何保持沉默。协议通常都不会说明如何实现特定的功能。通过仅仅说明特定通信规则所需要的功能是什么，而并不规定这些规则应该如何实现，特定协议的实现就可以与技术无关。2.2OSI参考模型及其安全体系2.2.1计算机网络体系结构要形象地显示各种协议之间的交互，通常会使用分层模型。分层模型形象地说明了各层内协议的工作方式及其与上下层之间的交互。协议分层的好处：网络协议的分层有利于将复杂的问题分解成多个简单的问题，从而分而治之；分层有利于网络的互联，进行协议转换时可能只涉及某一个或几个层次而不是所有层次；分层可以屏蔽下层的变化，新的底层技术的引入，不会对上层的应用协议产生影响。协议的实现要落实到一个个具体的硬件模块和软件模块上，在网络中将这些实现特定功能的模块称为实体（Entity）。如图2-2所示，两个结点之间的通信体现为两个结点对等层（结点A的N+1层与结点B的N+1层）之间遵从本层协议的通信。各层的协议由各层的实体实现，通信双方对等层中完成相同协议功能的实体称为对等实体。对等实体按协议进行通信，所以协议反映的是对等层的对等实体之间的一种横向关系，严格地说，协议是对等实体共同遵守的规则和约定的集合。协议中的格式和语义只有对等实体能够理解。N+1层N层N-1层N+1实体N实体1N实体2N+1层协议N+1实体(N+1)PDU(N)SDU(N)PDU(N-1)SDU(N)PCI图2-2协议实体间关系及数据单元SAP结点A结点BN实体1N实体2对等实体之间数据单元在发送方逐层封装，在接收方的逐层解封装。发送方N层实体从N+1层实体得到的数据包称为服务数据单元（ServiceDataUnit，SDU）。N层实体只将其视为需要本实体提供服务的数据，将服务数据单元进行封装，使其成为一个对方能够理解的协议数据单元（ProtocolDataUnit，PDU），封装过程实际上是为SDU增加对等实体间约定的协议控制信息（ProtocolControlInformation，PCI）的过程。2.2.2OSI参考模型简介1．OSI参考模型的层次结构1）物理层2）数据链路层3）网络层4）传输层5）会话层6）表示层7）应用层网络划分为资源子网和通信子网，如图2-3所示。通信子网由通信设备和线路构成，资源子网由主机和其他末端系统构成。交换结点属于通信子网，访问结点属于资源子网。因为主机也具有通信功能，所以严格地讲，主机中负责底层通信的部分也应该属于通信子网。图2-3通信子网和资源子网通信子网资源子网20世纪70年代出现了多种网络体系结构。针对这一问题，国际标准化组织ISO提出了著名的开放系统互连参考模型ISO/OSI-RM。OSI采用了如图2-4所示的七层参考模型。…图2-4ISO开放系统互连参考模型中间结点中间结点…物理层数据链路层网络层传输层会话层表示层应用层物理层数据链路层网络层传输层会话层表示层应用层物理层数据链路层网络层物理层数据链路层网络层设备A设备B端到端协议76543211物理层（PhysicalLayer）物理层包括物理连网媒介，实际上就是布线、光纤、网卡和其它用来把两台网络通信设备连接在一起的东西。它规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。虽然物理层不提供纠错服务，但它能够设定数据传输速率并监测数据出错率。物理层定义的标准包括：EIA/TIARS-232、EIA/TIARS-449、V.35、RJ-45等。2数据链路层（DatalinkLayer）数据链路层主要作用是控制网络层与物理层之间的通信。它保证了数据在不可靠的物理线路上进行可靠的传递。它把从网络层接收到的数据分割成特定的可被物理层传输的帧，保证了传输的可靠性。它的主要作用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。它是独立于网络层和物理层的，工作时无需关心计算机是否正在运行软件还是其他操作。数据链路层协议的代表包括：SDLC、HDLC、PPP、STP、帧中继等。3网络层（NetworkLayer）很多用户经常混淆2层和3层的相关问题，简单来说，如果你在谈论一个与IP地址、路由协议或地址解析协议（ARP）相关的问题，那么这就是第三层的问题。网络层负责对子网间的数据包进行路由选择，它通过综合考虑发送优先权、网络拥塞程度、服务质量以及可选路由的花费来决定从一个网络中两个节点的最佳路径。另外，它还可以实现拥塞控制、网际互连等功能。网络层协议的代表包括：IP、IPX、RIP、OSPF等4传输层(Transportlayer)传输层是OSI模型中最重要的一层，它是两台计算机经过网络进行数据通信时,第一个端到端的层次，起到缓冲作用。当网络层的服务质量不能满足要求时，它将提高服务，以满足高层的要求；而当网络层服务质量较好时，它只需进行很少的工作。另外，它还要处理端到端的差错控制和流量控制等问题，最终为会话提供可靠的,无误的数据传输。传输层协议的代表包括：TCP、UDP、SPX等。5会话层(Sessionlayer)会话层负责在网络中的两节点之间建立和维持通信，并保持会话获得同步，它还决定通信是否被中断以及通信中断时决定从何处重新发送。6表示层(Prisentationlayer)表示层的作用是管理数据的解密与加密，如常见的系统口令处理，当你的账户数据在发送前被加密，在网络的另一端，表示层将对接收到的数据解密。另外，表示层还需对图片和文件格式信息进行解码和编码。7应用层（applicationlayer）简单来说，应用层就是为操作系统或网络应用程序提供访问网络服务的接口，包括文件传输、文件管理以及电子邮件等的信息处理。应用层协议的代表包括：Telnet、FTP、HTTP、SNMP等。恋爱和OSImodel七层起初只是近距离地点对点无线收发爱的信号，乃物理层；然后就是通过某个媒体（比如一支花、一本书）将信号传输，乃数据链路层；开始有选择地分组分割发送和装配接收爱的信号，选择最佳的传送路径，乃网络层；拖手和接吻可谓传输层，确保信号顺利地传送到目的地；甜言蜜语与鸿雁往来属于会话层，包括名字查找和安全防护；订婚归于表示层，将信号格式转换进行爱的解释并加以巩固；结婚，当然是应用层，因为它提供了所有应用程序的直接支持。2.2.3ISO/OSI安全体系1．安全服务（1）认证服务（2）访问控制（3）数据机密性服务（4）数据完整性服务（5）抗否认服务（1）对象认证安全服务：用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。对等实体认证是用来验证在某一关联的实体中，对等实体的声称是一致的，它可以确认对等实体没有假冒身份；而信源认证是用于验证所收到的数据来源与所声称的来源是否一致，它不提供防止数据中途被修改的功能。（2）访问控制安全服务：提供对越权使用资源的防御措施。访问控制可分为自主访问控制、强制型访问控制、基于角色的访问控制，。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等（3）数据保密性安全服务：它是针对信息泄漏而采取的防御措施，可分为信息保密、选择段保密和业务流保密。它的基础是数据加密机制的选择。（4）数据完整性安全服务：防止非法篡改信息，如修改、复制、插入和删除等。它有5种形式：可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。（5）防抵赖性安全服务：是针对对方抵赖的防范措施，用来证实发生过的操作，它可分为对发送防抵赖、对递交防抵赖和进行公证。2．安全机制（1）加密机制（2）数字签名机制（3）访问控制（4）数据完整性（5）鉴别交换机制（6）通信流量填充机制（7）路由选择控制机制（8）公证机制（1）加密机制：借助各种加密算法对存放的数据和流通中的信息进行加密。DES算法已通过硬件实现，效率非常高。（2）数字签名：采用公钥体制，使用私钥进行数字签名，使用公钥对签名信息进行证实。（3）访问控制机制：根据访问者的身份和有关信息，决定实体的访问权限。（4）数据完整性机制：判断信息在传输过程中是否被篡改过，与加密机制有关。（5）认证交换机制：用来实现同级之间的认证。6）防业务流量分析机制：通过填充冗余的业务流量来防止攻击者对流量进行分析，填充过的流量需通过加密进行保护。（7）路由控制机制：防止不利的信息通过路由。目前典型的应用为网络层防火墙。（8）公证机制：由公证人（第三方）参与数字签名，它基于通信双方对第三者都绝对相信。目前，因特网上有许多向用户提供此机制的服务。3．安全管理为了更有效地运用安全服务，需要有其他措施来支持它们的操作，这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理，把管理信息分配到有关的安全服务和安全机制中去，并收集与它们的操作有关的信息。分为系统安全管理安全服务管理安全机制管理4．安全层次因特网协议通常又称为TCP/IP协议。网络接口层网络层传输层应用层图2-15TCP/IP协议分层2.3TCP/IP参考模型及其安全体系返回网络接口层实际上包含OSI模型的物理层和链路层，TCP/IP并未对这两层进行定义，它支持现有的各种底层网络技术和标准。该层涉及操作系统中的设备驱动程序和网络接口卡。网络层又称为互联网层或IP层，该层处理IP数据报的传输、路由选择、流量控制和拥塞控制。传输层为两台主机上的应用程序提供端到端的通信。TCP/IP的传输层包含传输控制协议TCP和用户数据报协议UDP。应用层为用户提供一些常用的应用程序，TCP/IP给出了应用层的一些常用协议规范。开放系统互连参考模型与TCP/IP的关系国际标准化组织的开放系统互连模型与