网络安全体系结构及协议

第2章网络安全体系结构及协议本章要点

了解计算机网络协议的基础知识。

了解OSI模型及安全体系结构。

了解TCP/IP模型及安全体系结构。

掌握常用的网络协议和常用命令。

掌握协议分析工具Sniffer的使用方法。2.1计算机网络协议概述网络协议及相关概念网络协议是通信双方共同遵守的规则和约定的集合。网络协议包括三个要素：语法规定了信息的结构和格式；语义表明信息要表达的内容；同步规则涉及双方的交互关系和事件顺序。整个计算机网络的实现体现为协议的实现。为了保证网络的各个功能的相对独立性，以及便于实现和维护，通常将协议划分为多个子协议，并且让这些协议保持一种层次结构，子协议的集合通常称为协议簇。2.1.1网络协议无论是面对面还是通过网络进行的所有通信都要遵守预先确定的规则，即协议。这些协议由会话的特性决定。在日常的个人通信中，通过一种介质（如电话线）通信时采用的规则不一定与使用另一种介质（如邮寄信件）时的协议相同。网络中不同主机之间的成功通信需要在许多不同协议之间进行交互。执行某种通信功能所需的一组内在相关协议称为协议簇。这些协议通过加载到各台主机和网络设备中的软件和硬件执行。网络协议簇说明了以下过程。1）消息的格式或结构。2）网络设备共享通往其他网络的通道信息的方法。3）设备之间传送错误消息和系统消息的方式与时间。4）数据传输会话的建立和终止。2.1.2协议簇和行业标准组成协议簇的许多协议通常都要参考其他广泛采用的协议或行业标准。标准是指已经受到网络行业认可并经过电气电子工程师协会（IEEE）或Internet工程任务组（IETF）之类标准化组织批准的流程或协议。在协议的开发和实现过程中使用标准可以确保来自不同制造商的产品协同工作，从而获得有效的通信。如果某家制造商没有严格遵守协议，其设备或软件可能就无法与其他制造商生产的产品成功通信。2.1.3协议的交互1．应用程序协议2．传输协议3．网间协议4．网络访问协议2.1.4技术无关协议网络协议描述的是网络通信期间实现的功能。在面对面交谈的示例中，通信的一项协议可能会规定，为了发出交谈结束的信号，发言者必须保持沉默两秒钟。但是，这项协议并没有规定发言者在这两秒钟内应该如何保持沉默。协议通常都不会说明如何实现特定的功能。通过仅仅说明特定通信规则所需要的功能是什么，而并不规定这些规则应该如何实现，特定协议的实现就可以与技术无关。2.2OSI参考模型及其安全体系2.2.1计算机网络体系结构要形象地显示各种协议之间的交互，通常会使用分层模型。分层模型形象地说明了各层内协议的工作方式及其与上下层之间的交互。协议分层的好处：网络协议的分层有利于将复杂的问题分解成多个简单的问题，从而分而治之；分层有利于网络的互联，进行协议转换时可能只涉及某一个或几个层次而不是所有层次；分层可以屏蔽下层的变化，新的底层技术的引入，不会对上层的应用协议产生影响。协议的实现要落实到一个个具体的硬件模块和软件模块上，在网络中将这些实现特定功能的模块称为实体（Entity）。如图2-2所示，两个结点之间的通信体现为两个结点对等层（结点A的N+1层与结点B的N+1层）之间遵从本层协议的通信。 各层的协议由各层的实体实现，通信双方对等层中完成相同协议功能的实体称为对等实体。对等实体按协议进行通信，所以协议反映的是对等层的对等实体之间的一种横向关系，严格地说，协议是对等实体共同遵守的规则和约定的集合。 协议中的格式和语义只有对等实体能够理解。

对等实体之之间数据单单元在发送送方逐层封封装，在接接收方的逐逐层解封装装。发送方方N层实体体从N+1层实体得得到的数据据包称为服务数据据单元（ServiceDataUnit，，SDU）。N层实体体只将其其视为需需要本实实体提供供服务的的数据，，将服务务数据单单元进行行封装，使其成成为一个个对方能能够理解解的协议数据据单元（ProtocolDataUnit，PDU），，封装过过程实际际上是为为SDU增加对对等实体体间约定定的协议控制制信息（ProtocolControlInformation，PCI））的过程程。2.2.2OSI参考模模型简介介1．OSI参考考模型的的层次结结构1）物理理层2）数据据链路层层3）网络络层4）传输输层5）会话话层6）表示示层7）应用用层网络划分分为资源源子网和和通信子子网，如如图2-3所示示。通信子网网由通信设设备和线线路构成成，资源子网网由主机和和其他末末端系统统构成。。交换结结点属于于通信子子网，访访问结点点属于资资源子网网。因为主机机也具有有通信功功能，所所以严格格地讲，，主机中中负责底底层通信信的部分分也应该该属于通通信子网网。20世纪纪70年年代出现现了多种种网络体体系结构构。针对对这一问问题，国国际标准准化组织织ISO提出了了著名的的开放系统统互连参参考模型型ISO/OSI-RM。OSI采采用了如如图2-4所示示的七层层参考模模型。1物理理层（PhysicalLayer）物理层包包括物理理连网媒媒介，实实际上就就是布线线、光纤纤、网卡卡和其它它用来把把两台网网络通信信设备连连接在一一起的东东西。它它规定了了激活、、维持、、关闭通通信端点点之间的的机械特特性、电电气特性性、功能能特性以以及过程程特性。。虽然物物理层不不提供纠纠错服务务，但它它能够设设定数据据传输速速率并监监测数据据出错率率。物理层定定义的标标准包括括：EIA/TIARS-232、EIA/TIARS-449、V.35、、RJ-45等等。2数数据链路路层（DatalinkLayer）数据链路路层主要要作用是是控制网网络层与与物理层层之间的的通信。。它保证证了数据据在不可可靠的物物理线路路上进行行可靠的的传递。。它把从从网络层层接收到到的数据据分割成成特定的的可被物物理层传传输的帧帧，保证证了传输输的可靠靠性。它它的主要要作用包包括：物物理地址址寻址、、数据的的成帧、、流量控控制、数数据的检检错、重重发等。。它是独独立于网网络层和和物理层层的，工工作时无无需关心心计算机机是否正正在运行行软件还还是其他他操作。。数据链路路层协议议的代表表包括：：SDLC、HDLC、PPP、STP、、帧中继继等。3网网络层（（NetworkLayer）很多用户户经常混混淆2层层和3层层的相关关问题，，简单来来说，如如果你在在谈论一一个与IP地址址、路由由协议或或地址解解析协议议（ARP）相相关的问问题，那那么这就就是第三三层的问问题。网络层负负责对子子网间的的数据包包进行路路由选择择，它通通过综合合考虑发发送优先先权、网网络拥塞塞程度、、服务质质量以及及可选路路由的花花费来决决定从一一个网络络中两个个节点的的最佳路路径。另另外，它它还可以以实现拥拥塞控制制、网际际互连等等功能。。网络层协协议的代代表包括括：IP、IPX、RIP、、OSPF等4传传输层(Transportlayer)传输层是是OSI模型中中最重要要的一层层，它是是两台计计算机经经过网络络进行数数据通信信时,第第一个端端到端的的层次，，起到缓缓冲作用用。当网网络层的的服务质质量不能能满足要要求时，，它将提提高服务务，以满满足高层层的要求求；而当当网络层层服务质质量较好好时，它它只需进进行很少少的工作作。另外外，它还还要处理理端到端端的差错错控制和和流量控控制等问问题，最最终为会会话提供供可靠的的,无误误的数据据传输。。传输层协协议的代代表包括括：TCP、UDP、、SPX等。5会会话层(Sessionlayer)会话层负负责在网网络中的的两节点点之间建建立和维维持通信信，并保保持会话话获得同同步，它它还决定定通信是是否被中中断以及及通信中中断时决决定从何何处重新新发送。。6表表示层(Prisentationlayer)表示层的的作用是是管理数数据的解解密与加加密，如如常见的的系统口口令处理理，当你你的账户户数据在在发送前前被加密密，在网网络的另另一端，，表示层层将对接接收到的的数据解解密。另另外，表表示层还还需对图图片和文文件格式式信息进进行解码码和编码码。7应应用层（（applicationlayer））简单来说说，应用用层就是是为操作作系统或或网络应应用程序序提供访访问网络络服务的的接口，，包括文文件传输输、文件件管理以以及电子子邮件等等的信息息处理。。应用层协协议的代代表包括括：Telnet、FTP、、HTTP、SNMP等。恋爱和OSImodel七七层起初只是是近距离离地点对对点无线线收发爱爱的信号号，乃物物理层；；然然后后就是通通过某个个媒体（（比如一一支花、、一本书书）将信信号传输输，乃数数据链路路层；开开始有有选择地地分组分分割发送送和装配配接收爱爱的信号号，选择择最佳的的传送路路径，乃乃网络层层；拖拖手和接接吻可谓谓传输层层，确保保信号顺顺利地传传送到目目的地；；甜甜言言蜜语与与鸿雁往往来属于于会话层层，包括括名字查查找和安安全防护护；订订婚归于于表示层层，将信信号格式式转换进进行爱的的解释并并加以巩巩固；结结婚，，当然是是应用层层，因为为它提供供了所有有应用程程序的直直接支持持。2.2.3ISO/OSI安全全体系1．安全全服务（1）认认证服务务（2）访访问控制制（3）数数据机密密性服务务（4）数数据完整整性服务务（5）抗抗否认服服务（1）对对象认证证安全服服务：用用于识别别对象的的身份和和对身份份的证实实。OSI环境境可提供供对等实实体认证证和信源源认证等等安全服服务。对对等实体体认证是是用来验验证在某某一关联联的实体体中，对对等实体体的声称称是一致致的，它它可以确确认对等等实体没没有假冒冒身份；；而信源源认证是是用于验验证所收收到的数数据来源源与所声声称的来来源是否否一致，，它不提提供防止止数据中中途被修修改的功功能。（（2））访问控控制安全全服务：：提供对对越权使使用资源源的防御御措施。。访问控控制可分分为自主主访问控控制、强强制型访访问控制制、基于于角色的的访问控控制，。。实现机机制可以以是基于于访问控控制属性性的访问问控制表表、基于于安全标标签或用用户和资资源分档档的多级级访问控控制等（3）数数据保密密性安全全服务：：它是针针对信息息泄漏而而采取的的防御措措施，可可分为信信息保密密、选择择段保密密和业务务流保密密。它的的基础是是数据加加密机制制的选择择。（（4）数数据完整整性安全全服务：：防止非非法篡改改信息，，如修改改、复制制、插入入和删除除等。它它有5种种形式：：可恢复复连接完完整性、、无恢复复连接完完整性、、选择字字段连接接完整性性、无连连接完整整性和选选择字段段无连接接完整性性。（（5）防防抵赖性性安全服服务：是是针对对对方抵赖赖的防范范措施，，用来证证实发生生过的操操作，它它可分为为对发送送防抵赖赖、对递递交防抵抵赖和进进行公证证。2．安全全机制（1）加加密机制制（2）数数字签名名机制（3）访访问控制制（4）数数据完整整性（5）鉴鉴别交换换机制（6）通通信流量量填充机机制（7）路路由选择择控制机机制（8）公公证机制制（1）加加密机制制：借助助各种加加密算法法对存放放的数据据和流通通中的信信息进行行加密。。DES算法已已通过硬硬件实现现，效率率非常高高。（（2）数数字签名名：采用用公钥体体制，使使用私钥钥进行数数字签名名，使用用公钥对对签名信信息进行行证实。。

（3）访问问控制机机制：根根据访问问者的身身份和有有关信息息，决定定实体的的访问权权限。（（4））数据完完整性机机制：判判断信息息在传输输过程中中是否被被篡改过过，与加加密机制制有关。。

（5）认证证交换机机制：用用来实现现同级之之间的认认证。6）防业业务流量量分析机机制：通通过填充充冗余的的业务流流量来防防止攻击击者对流流量进行行分析，，填充过过的流量量需通过过加密进进行保护护。（（7）路路由控制制机制：：防止不不利的信信息通过过路由。。目前典典型的应应用为网网络层防防火墙。。

（8）公证证机制：：由公证证人（第第三方））参与数数字签名名，它基基于通信信双方对对第三者者都绝对对相信。。目前，，因特网网上有许许多向用用户提供供此机制制的服务务。3．安全管理理为了更有效地地运用安全服服务，需要有有其他措施来来支持它们的的操作，这些些措施即为安安全管理。安安全管理是对对安全服务和和安全机制进进行管理，把把管理信息分分配到有关的的安全服务和和安全机制中中去，并收集集与它们的操操作有关的信信息。分为系统安安全管理安安全服务管管理安全全机制管理4．安全层次次因特网协议通通常又称为TCP/IP协议。2.3TCP/IP参考模型及及其安全体系系返回网络接口层实际上包含OSI模型的的物理层和链链路层，TCP/IP并并未对这两层层进行定义，，它支持现有有的各种底层层网络技术和和标准。该层层涉及操作系系统中的设备备驱动程序和和网络接口卡卡。网络层又称为互联网层或IP层，该层处理IP数据报的的传输、路由由选择、流量量控制和拥塞塞控制。传输层为两台主机上上的应用程序序提供端到端端的通信。TCP/IP的传输层包包含传输控制制协议TCP和用户数据据报协议UDP。应用层为用户提供一一些常用的应应用程序，TCP/IP给出了应用用层的一些常常用协议规范范。开放系统互连连参考模型与与TCP/IP的关系国际标准化组组织的开放系系统互连模型型与TCP/