整理精品網(wǎng)絡(luò)協(xié)議層次和網(wǎng)絡(luò)安全技術(shù).doc

。 。 。 。 。 。 。網(wǎng)絡(luò)協(xié)議層次和網(wǎng)絡(luò)安全技術(shù)中國(guó)聯(lián)通樂山分公司 邱東昕摘要：本文首先介紹了網(wǎng)絡(luò)安全的形勢(shì)，然后推出了開放系統(tǒng)互聯(lián)（OSI）參考模型網(wǎng)絡(luò)層次結(jié)構(gòu)，分析了各層的功能。在此基礎(chǔ)上依不同的網(wǎng)絡(luò)層次，介紹了各種網(wǎng)絡(luò)安全技術(shù)。 關(guān)鍵詞：網(wǎng)絡(luò)，協(xié)議，安全技術(shù)。一、隨著互聯(lián)網(wǎng)的快速發(fā)展，各種安全技術(shù)應(yīng)運(yùn)而生。INTERNET是世界上最大的互聯(lián)網(wǎng)，它是全球最大的信息超級(jí)市場(chǎng)，目前Internet正成為人們不可缺少的工具。INTERNET已遍及全世界，為一億以上的用戶提供了多樣化的網(wǎng)絡(luò)與信息服務(wù)。在INTERNET上，EMAIL、新聞?wù)搲任谋拘畔V為傳播，網(wǎng)上電話、網(wǎng)上傳真、靜態(tài)及視頻等通信技術(shù)也在不斷地發(fā)展與完善。在信息化社會(huì)中，網(wǎng)絡(luò)信息系統(tǒng)將在政治、軍事、金融、商業(yè)、交通、電信、文教等方面發(fā)揮越來越大的作用。社會(huì)對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴也日益增強(qiáng)。當(dāng)商戶、銀行與其他商業(yè)與金融機(jī)構(gòu)在電子商務(wù)熱潮中紛紛進(jìn)入Internet，以政府上網(wǎng)為標(biāo)志的數(shù)字政府使國(guó)家機(jī)關(guān)與Internet互聯(lián)。通過Internet 實(shí)現(xiàn)包括個(gè)人、企業(yè)與政府的全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。隨著網(wǎng)絡(luò)應(yīng)用范圍的不斷擴(kuò)大，對(duì)網(wǎng)絡(luò)的各類攻擊與破壞也與日俱增。無論政府、商務(wù)，還是金融、媒體的網(wǎng)站都在不同程度上受到入侵與破壞。五一期間，中美之間爆發(fā)了有史以來規(guī)模最大的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，數(shù)以萬計(jì)的中美黑客相互攻擊對(duì)方的網(wǎng)站，數(shù)千家中美網(wǎng)站被黑或拒絕服務(wù)。根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理辦公室（以下簡(jiǎn)稱國(guó)信安辦）的統(tǒng)計(jì)，五一中美黑客交手期間，中國(guó)被黑網(wǎng)站中，的網(wǎng)站占。當(dāng)然，自Internet問世以來，資源共享和信息安全一直作為一對(duì)矛盾體而存在著，隨著，計(jì)算機(jī)網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)隨之而來的信息安全問題也日益突出，各種安全技術(shù)也應(yīng)運(yùn)而生，加密技術(shù)、防火墻技術(shù)、代理技術(shù)、認(rèn)證技術(shù)等等，多少讓人有些無所適從。下面我們將從網(wǎng)絡(luò)協(xié)議的層次來談一下這些安全技術(shù)，以利于用戶正確、合理地應(yīng)用各種安全技術(shù)。二、網(wǎng)絡(luò)的協(xié)議層次。國(guó)際標(biāo)準(zhǔn)化組織建立了一個(gè)通信系統(tǒng)的標(biāo)準(zhǔn)化框架，稱為開放系統(tǒng)互聯(lián)（OSI）參考模型。OSI體系結(jié)構(gòu)將通信過程定義為七個(gè)層面的組合，每層均有其自身的以及與其他層相關(guān)的特定功能。每一層均覆蓋下一層的處理過程，并有效地將其與高層功能隔離。通過這種方法，每層都提供一組必要的功能，并為其上的一層提供一組服務(wù)。各層之間的隔離使得當(dāng)給定的某層做了改動(dòng)后，只要其支持的服務(wù)保持不變。模型的其他層就不受影響。這種分層結(jié)構(gòu)的主要好處之一是允許用戶混合使用符合OSI模型的通信產(chǎn)品，并剪裁其通信系統(tǒng)以滿足特定的網(wǎng)絡(luò)需求。OSI參考模型如下圖：7應(yīng)用層6表示層5會(huì)話層4傳輸層3網(wǎng)絡(luò)層2數(shù)據(jù)鏈路層1物理層 物 理 層(Physical Layer)物理層的任務(wù)就是為它的上一層提供一個(gè)物理連接，以及它們的機(jī)械、電氣、功能和過程特性。如規(guī)定使用電纜和接頭 的類型，傳送信號(hào)的電壓等。在這一層，數(shù)據(jù)還沒有被組織，僅作為原始的位流或電氣電壓處理，單位是比特。 數(shù) 據(jù) 鏈 路 層(Data Link Layer)數(shù)據(jù)鏈路層負(fù)責(zé)在兩個(gè)相鄰結(jié)點(diǎn)間的線路上，無差錯(cuò)的傳送以幀為單位的數(shù)據(jù)。每一幀包括一定數(shù)量的數(shù)據(jù)和一些必要的控制信息。和物理層相似，數(shù)據(jù)鏈路層要負(fù)責(zé)建立、維持和釋放數(shù)據(jù)鏈路的連接。在傳送數(shù)據(jù)時(shí)，如果接收點(diǎn)檢測(cè)到所傳數(shù)據(jù)中有差錯(cuò)，就要通知發(fā)方重發(fā)這一幀。 網(wǎng) 絡(luò) 層(Network Layer)在計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行通信的兩個(gè)計(jì)算機(jī)之間可能會(huì)經(jīng)過很多個(gè)數(shù)據(jù)鏈路，也可能還要經(jīng)過很多通信子網(wǎng)。網(wǎng)絡(luò)層的任務(wù)就是選擇合適的網(wǎng)間路由和交換結(jié)點(diǎn)， 確保數(shù)據(jù)及時(shí)傳送。網(wǎng)絡(luò)層將數(shù)據(jù)鏈路層提供的幀組成數(shù)據(jù)包，包中封裝有網(wǎng)絡(luò)層包頭，其中含有邏輯地址信息 源站點(diǎn)和目的站點(diǎn)地址的網(wǎng)絡(luò)地址。 傳 輸 層(Transport Layer)該層的任務(wù)時(shí)根據(jù)通信子網(wǎng)的特性最佳的利用網(wǎng)絡(luò)資源，并以可靠和經(jīng)濟(jì)的方式，為兩個(gè)端系統(tǒng)（也就是源站和目的站）的會(huì)話層之間，提供建立、維護(hù)和取消傳輸連接的功能，負(fù)責(zé)可靠地傳輸數(shù)據(jù)。在這一層，信息的傳送單位是報(bào)文。 會(huì) 話 層(Session Layer)這一層也可以稱為會(huì)晤層或?qū)υ拰樱跁?huì)話層及以上的高層次中，數(shù)據(jù)傳送的單位不再另外命名，統(tǒng)稱為報(bào)文。會(huì)話層不參與具體的傳輸，它提供包括訪問驗(yàn)證和會(huì)話管理在內(nèi)的建立和維護(hù)應(yīng)用之間通信的機(jī)制。 表 示 層(Presentation Layer)這一層主要解決擁護(hù)信息的語法表示問題。它將欲交換的數(shù)據(jù)從適合于某一用戶的抽象語法，轉(zhuǎn)換為適合于OSI系統(tǒng)內(nèi)部使用的傳送語法。即提供格式化的表示和轉(zhuǎn)換數(shù)據(jù)服務(wù)。 應(yīng) 用 層(Application Layer)應(yīng)用層確定進(jìn)程之間通信的性質(zhì)以滿足用戶需要以及提供網(wǎng)絡(luò)與用戶應(yīng)用軟件之間的接口服務(wù)。以上各層中，網(wǎng)絡(luò)層最流行的協(xié)議是網(wǎng)際協(xié)議（IP），其報(bào)文格式如下：版本頭標(biāo)長(zhǎng)服務(wù)類型總長(zhǎng)標(biāo)識(shí)標(biāo)志片偏移生存時(shí)間協(xié)議頭標(biāo)校驗(yàn)和源IP地址目的IP地址數(shù)據(jù)填充域流行的傳輸層協(xié)議是傳輸控制協(xié)議（TCP），用戶數(shù)據(jù)報(bào)協(xié)議（UDP），其中TCP的報(bào)文格式如下：源端口目的端口序號(hào)確認(rèn)號(hào)頭標(biāo)長(zhǎng)保留碼位窗口校驗(yàn)和緊急指針選項(xiàng)填充字節(jié)數(shù)據(jù)之所以介紹以上兩種報(bào)文格式，是因?yàn)檫@兩種報(bào)文是黑客經(jīng)常攻擊的對(duì)象，所以也是網(wǎng)絡(luò)安全非常重要的環(huán)節(jié)。三、由網(wǎng)絡(luò)的開放系統(tǒng)互聯(lián)（OSI）參考模型層次看網(wǎng)絡(luò)的安全技術(shù)。物理層的安全技術(shù)主要可以從以下幾個(gè)方面來考慮。 供配電系統(tǒng)：數(shù)據(jù)中心的供配電系統(tǒng)要求能保證對(duì)機(jī)房?jī)?nèi)的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)在任何情況下都不會(huì)間斷，做到無單點(diǎn)失效和平穩(wěn)可靠，這就要求兩路以上的市電供應(yīng)，冗余的自備發(fā)電機(jī)系統(tǒng)，還有能保證足夠時(shí)間供電的系統(tǒng)。 防雷接地系統(tǒng)：為了保證數(shù)據(jù)中心機(jī)房的各種設(shè)備安全，要求機(jī)房設(shè)有四種接地形式，即計(jì)算機(jī)專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護(hù)地、防雷保護(hù)地。 消防報(bào)警及自動(dòng)滅火系統(tǒng)：為實(shí)現(xiàn)火災(zāi)自動(dòng)滅火功能，在數(shù)據(jù)中心的各個(gè)地方，還應(yīng)該設(shè)計(jì)火災(zāi)自動(dòng)監(jiān)測(cè)及報(bào)警系統(tǒng)，以便能自動(dòng)監(jiān)測(cè)火災(zāi)的發(fā)生，并且啟動(dòng)自動(dòng)滅火系統(tǒng)和報(bào)警系統(tǒng)。 門禁系統(tǒng)：對(duì)于大型數(shù)據(jù)中心，安全易用的門禁系統(tǒng)可以保證數(shù)據(jù)中心的物理安全，同時(shí)也可提高管理的效率，其中需要注意的原則是安全可靠、簡(jiǎn)單易用、分級(jí)制度、中央控制和多種識(shí)別方式的結(jié)合。 保安監(jiān)控系統(tǒng)：數(shù)據(jù)中心的保安監(jiān)控包括幾個(gè)系統(tǒng)的監(jiān)控：閉路監(jiān)視系統(tǒng)、通道報(bào)警系統(tǒng)和人工監(jiān)控系統(tǒng)。數(shù)據(jù)鏈路層相關(guān)的安全技術(shù)的一個(gè)例子是基于MAC地址的VLAN。人們?cè)贚AN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問控制等安全手段。一個(gè)有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個(gè)不同的廣播組，網(wǎng)絡(luò)管理員限制了LAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進(jìn)行分組，被限制的應(yīng)用程序和資源一般置于安全性VLAN中。 基于MAC地址的VLAN，要求交換機(jī)對(duì)站點(diǎn)的MAC地址和交換機(jī)端口進(jìn)行跟蹤，在新站點(diǎn)入網(wǎng)時(shí)，根據(jù)需要將其劃歸至某一個(gè)VLAN。不論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動(dòng)，由于其MAC地址保持不變，因此用戶不需對(duì)網(wǎng)絡(luò)地址重新配置。 網(wǎng)絡(luò)及傳輸層相關(guān)的安全技術(shù)的一個(gè)例子是包過濾技術(shù)。包過濾技術(shù)：通常安裝在路由器上（網(wǎng)絡(luò)層），對(duì)數(shù)據(jù)進(jìn)行選擇，它以IP包信息為基礎(chǔ)，對(duì)IP源地址，IP目標(biāo)地址、封裝協(xié)議（TCP/UDP/ICMP/IPtunnel）、端口號(hào)等進(jìn)行篩選，在OSI協(xié)議的網(wǎng)絡(luò)層進(jìn)行。 最常用的防火墻技術(shù)之一就是包過濾技術(shù)。會(huì)話層相關(guān)的安全技術(shù)是信息確認(rèn)技術(shù)。安全系統(tǒng)的建立都依賴于系統(tǒng)用戶之間存在的各種信任關(guān)系，目前在安全解決方案中，多采用二種確認(rèn)方式。一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造，可靠的信息確認(rèn)技術(shù)應(yīng)具有：具有合法身份的用戶可以校驗(yàn)所接收的信息是否真實(shí)可靠，并且十分清楚發(fā)送方是誰；發(fā)送信息者必須是合法身份用戶，任何人不可能冒名頂替?zhèn)卧煨畔?；出現(xiàn)異常時(shí)，可由認(rèn)證系統(tǒng)進(jìn)行處理。目前，信息確認(rèn)技術(shù)已較成熟，如信息認(rèn)證，用戶認(rèn)證和密鑰認(rèn)證，數(shù)字簽名等，為信息安全提供了可靠保障。表示層相關(guān)的安全技術(shù)是加密技術(shù)。網(wǎng)絡(luò)安全中，加密技術(shù)種類繁多，它是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ)，常用的加密技術(shù)分為軟件加密和硬件加密。1999年國(guó)家頒布了商用密碼使用條例，信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱加密，二種方法各有其之所長(zhǎng)。* 對(duì)稱密鑰加密，在此方法中加密和解密使用同樣的密鑰，目前廣泛采用的密鑰加密標(biāo)準(zhǔn)是DES算法，DES的優(yōu)勢(shì)在于加密解密速度快、算法易實(shí)現(xiàn)、安全性好，缺點(diǎn)是密鑰長(zhǎng)度短、密碼空間小，“窮舉”方式進(jìn)攻的代價(jià)小，它們機(jī)制就是采取初始置換、密鑰生成、乘積變換、逆初始置換等幾個(gè)環(huán)節(jié)。* 非對(duì)稱密鑰加密，在此方法中加密和解密使用不同密鑰，即公開密鑰和秘密密鑰，公開密鑰用于機(jī)密性信息的加密；秘密密鑰用于對(duì)加密信息的解密。一般采用RSA算法，優(yōu)點(diǎn)在于易實(shí)現(xiàn)密鑰管理，便于數(shù)字簽名。不足是算法較復(fù)雜，加密解密花費(fèi)時(shí)間長(zhǎng)。應(yīng)用層相關(guān)的安全技術(shù)是代理服務(wù)技術(shù)。代理服務(wù)技術(shù)：通常由二部分構(gòu)成，服務(wù)端程序和客戶端程序、客戶端程序與中間節(jié)