由網(wǎng)絡協(xié)議的層次看網(wǎng)絡的安全技術

1、由網(wǎng)絡協(xié)議的層次看網(wǎng)絡的安全技術由網(wǎng)絡協(xié)議的層次看網(wǎng)絡的安全技術網(wǎng)絡協(xié)議層次和網(wǎng)絡安全技術中國聯(lián)通樂山分公司 邱東昕摘要：本文首先介紹了網(wǎng)絡安全的形勢，然后推出了開放系統(tǒng)互聯(lián)（OSI）參考模型網(wǎng)絡層次結(jié)構，分析了各層的功能。在此基礎上依不同的網(wǎng)絡層次，介紹了各種網(wǎng)絡安全技術。 關鍵詞：網(wǎng)絡，協(xié)議，安全技術。一、隨著互聯(lián)網(wǎng)的快速發(fā)展，各種安全技術應運而生。INTERNET是世界上最大的互聯(lián)網(wǎng)，它是全球最大的信息超級市場，目前Internet正成為人們不可缺少的工具。INTERNET已遍及全世界，為一億以上的用戶提供了多樣化的網(wǎng)絡與信息服務。在INTERNET上，EMAIL、新聞論壇等文本信息廣為

2、傳播，網(wǎng)上電話、網(wǎng)上傳真、靜態(tài)及視頻等通信技術也在不斷地發(fā)展與完善。在信息化社會中，網(wǎng)絡信息系統(tǒng)將在政治、軍事、金融、商業(yè)、交通、電信、文教等方面發(fā)揮越來越大的作用。社會對網(wǎng)絡信息系統(tǒng)的依賴也日益增強。當商戶、銀行與其他商業(yè)與金融機構在電子商務熱潮中紛紛進入Internet，以政府上網(wǎng)為標志的數(shù)字政府使國家機關與Internet互聯(lián)。通過Internet 實現(xiàn)包括個人、企業(yè)與政府的全社會信息共享已逐步成為現(xiàn)實。隨著網(wǎng)絡應用范圍的不斷擴大，對網(wǎng)絡的各類攻擊與破壞也與日俱增。無論政府、商務，還是金融、媒體的網(wǎng)站都在不同程度上受到入侵與破壞。"五一"期間，中美之間爆發(fā)了有史以來規(guī)

3、模最大的"網(wǎng)絡戰(zhàn)爭"，數(shù)以萬計的中美黑客相互攻擊對方的網(wǎng)站，數(shù)千家中美網(wǎng)站被黑或拒絕服務。根據(jù)國家計算機網(wǎng)絡與信息安全管理辦公室（以下簡稱"國信安辦"）的統(tǒng)計，"五一"中美黑客交手期間，中國被黑網(wǎng)站中，的網(wǎng)站占。當然，自Internet問世以來，資源共享和信息安全一直作為一對矛盾體而存在著，隨著，計算機網(wǎng)絡資源共享的進一步加強隨之而來的信息安全問題也日益突出，各種安全技術也應運而生，加密技術、防火墻技術、代理技術、認證技術等等，多少讓人有些無所適從。下面我們將從網(wǎng)絡協(xié)議的層次來談一下這些安全技術，以利于用戶正確、合理地應用各種安全技術

4、。二、網(wǎng)絡的協(xié)議層次。國際標準化組織建立了一個通信系統(tǒng)的標準化框架，稱為開放系統(tǒng)互聯(lián)（OSI）參考模型。OSI體系結(jié)構將通信過程定義為七個層面的組合，每層均有其自身的以及與其他層相關的特定功能。每一層均覆蓋下一層的處理過程，并有效地將其與高層功能隔離。通過這種方法，每層都提供一組必要的功能，并為其上的一層提供一組服務。各層之間的隔離使得當給定的某層做了改動后，只要其支持的服務保持不變。模型的其他層就不受影響。這種分層結(jié)構的主要好處之一是允許用戶混合使用符合OSI模型的通信產(chǎn)品，并剪裁其通信系統(tǒng)以滿足特定的網(wǎng)絡需求。OSI參考模型如下圖：7應用層6表示層5會話層4傳輸層3網(wǎng)絡層2數(shù)據(jù)鏈路層1物理

5、層·   物 理 層(Physical Layer)物理層的任務就是為它的上一層提供一個物理連接，以及它們的機械、電氣、功能和過程特性。如規(guī)定使用電纜和接頭 的類型，傳送信號的電壓等。在這一層，數(shù)據(jù)還沒有被組織，僅作為原始的位流或電氣電壓處理，單位是比特。·   數(shù) 據(jù) 鏈 路 層(Data Link Layer)數(shù)據(jù)鏈路層負責在兩個相鄰結(jié)點間的線路上，無差錯的傳送以幀為單位的數(shù)據(jù)。每一幀包括一定數(shù)量的數(shù)據(jù)和一些必要的控制信息。和物理層相似，數(shù)據(jù)鏈路層要負責建立、維持和釋放數(shù)據(jù)鏈路的連接。在傳送數(shù)據(jù)時，如果接收點檢測到所傳數(shù)據(jù)中有差錯

6、，就要通知發(fā)方重發(fā)這一幀。·   網(wǎng) 絡 層(Network Layer)在計算機網(wǎng)絡中進行通信的兩個計算機之間可能會經(jīng)過很多個數(shù)據(jù)鏈路，也可能還要經(jīng)過很多通信子網(wǎng)。網(wǎng)絡層的任務就是選擇合適的網(wǎng)間路由和交換結(jié)點， 確保數(shù)據(jù)及時傳送。網(wǎng)絡層將數(shù)據(jù)鏈路層提供的幀組成數(shù)據(jù)包，包中封裝有網(wǎng)絡層包頭，其中含有邏輯地址信息 源站點和目的站點地址的網(wǎng)絡地址。·   傳 輸 層(Transport Layer)該層的任務時根據(jù)通信子網(wǎng)的特性最佳的利用網(wǎng)絡資源，并以可靠和經(jīng)濟的方式，為兩個端系統(tǒng)（也就是源站和目的站）的會話層之間，提供建立、維護和取消傳

7、輸連接的功能，負責可靠地傳輸數(shù)據(jù)。在這一層，信息的傳送單位是報文。·   會 話 層(Session Layer)這一層也可以稱為會晤層或?qū)υ拰?，在會話層及以上的高層次中，?shù)據(jù)傳送的單位不再另外命名，統(tǒng)稱為報文。會話層不參與具體的傳輸，它提供包括訪問驗證和會話管理在內(nèi)的建立和維護應用之間通信的機制。·   表 示 層(Presentation Layer)這一層主要解決擁護信息的語法表示問題。它將欲交換的數(shù)據(jù)從適合于某一用戶的抽象語法，轉(zhuǎn)換為適合于OSI系統(tǒng)內(nèi)部使用的傳送語法。即提供格式化的表示和轉(zhuǎn)換數(shù)據(jù)服務。· 

8、  應 用 層(Application Layer)應用層確定進程之間通信的性質(zhì)以滿足用戶需要以及提供網(wǎng)絡與用戶應用軟件之間的接口服務。以上各層中，網(wǎng)絡層最流行的協(xié)議是網(wǎng)際協(xié)議（IP），其報文格式如下：版本頭標長服務類型總長標識標志片偏移生存時間協(xié)議頭標校驗和源IP地址目的IP地址數(shù)據(jù)填充域流行的傳輸層協(xié)議是傳輸控制協(xié)議（TCP），用戶數(shù)據(jù)報協(xié)議（UDP），其中TCP的報文格式如下：源端口目的端口序號確認號頭標長保留碼位窗口校驗和緊急指針選項填充字節(jié)數(shù)據(jù)之所以介紹以上兩種報文格式，是因為這兩種報文是黑客經(jīng)常攻擊的對象，所以也是網(wǎng)絡安全非常重要的環(huán)節(jié)。三、由網(wǎng)絡的開放系統(tǒng)互聯(lián)（OSI）

9、參考模型層次看網(wǎng)絡的安全技術。物理層的安全技術主要可以從以下幾個方面來考慮。     供配電系統(tǒng)：數(shù)據(jù)中心的供配電系統(tǒng)要求能保證對機房內(nèi)的主機、服務器、網(wǎng)絡設備、通訊設備等的電源供應在任何情況下都不會間斷，做到無單點失效和平穩(wěn)可靠，這就要求兩路以上的市電供應，冗余的自備發(fā)電機系統(tǒng)，還有能保證足夠時間供電的系統(tǒng)。     防雷接地系統(tǒng)：為了保證數(shù)據(jù)中心機房的各種設備安全，要求機房設有四種接地形式，即計算機專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護地、防雷保護地。     消防報警及自動滅火系統(tǒng)：為實現(xiàn)火災

10、自動滅火功能，在數(shù)據(jù)中心的各個地方，還應該設計火災自動監(jiān)測及報警系統(tǒng)，以便能自動監(jiān)測火災的發(fā)生，并且啟動自動滅火系統(tǒng)和報警系統(tǒng)。     門禁系統(tǒng)：對于大型數(shù)據(jù)中心，安全易用的門禁系統(tǒng)可以保證數(shù)據(jù)中心的物理安全，同時也可提高管理的效率，其中需要注意的原則是安全可靠、簡單易用、分級制度、中央控制和多種識別方式的結(jié)合。     保安監(jiān)控系統(tǒng)：數(shù)據(jù)中心的保安監(jiān)控包括幾個系統(tǒng)的監(jiān)控：閉路監(jiān)視系統(tǒng)、通道報警系統(tǒng)和人工監(jiān)控系統(tǒng)。數(shù)據(jù)鏈路層相關的安全技術的一個例子是基于MAC地址的VLAN。人們在LAN上經(jīng)常傳送一些保密的、關鍵性的數(shù)據(jù)。保密的數(shù)據(jù)

11、應提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡分段成幾個不同的廣播組，網(wǎng)絡管理員限制了LAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問VLAN中的應用。交換端口可以基于應用類型和訪問特權來進行分組，被限制的應用程序和資源一般置于安全性VLAN中。 基于MAC地址的VLAN，要求交換機對站點的MAC地址和交換機端口進行跟蹤，在新站點入網(wǎng)時，根據(jù)需要將其劃歸至某一個VLAN。不論該站點在網(wǎng)絡中怎樣移動，由于其MAC地址保持不變，因此用戶不需對網(wǎng)絡地址重新配置。 網(wǎng)絡及傳輸層相關的安全技術的一個例子是包過濾技術。包過濾技術：通常安裝在路由器上（網(wǎng)絡層），對數(shù)據(jù)進行選擇，它以IP包信息為基礎，對IP

12、源地址，IP目標地址、封裝協(xié)議（TCP/UDP/ICMP/IPtunnel）、端口號等進行篩選，在OSI協(xié)議的網(wǎng)絡層進行。 最常用的防火墻技術之一就是包過濾技術。會話層相關的安全技術是信息確認技術。安全系統(tǒng)的建立都依賴于系統(tǒng)用戶之間存在的各種信任關系，目前在安全解決方案中，多采用二種確認方式。一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造，可靠的信息確認技術應具有：具有合法身份的用戶可以校驗所接收的信息是否真實可靠，并且十分清楚發(fā)送方是誰；發(fā)送信息者必須是合法身份用戶，任何人不可能冒名頂替?zhèn)卧煨畔?；出現(xiàn)異常時，可由認證系統(tǒng)進行處理。目前，信息確認技術已較成熟，如信息認證，用戶認

13、證和密鑰認證，數(shù)字簽名等，為信息安全提供了可靠保障。表示層相關的安全技術是加密技術。網(wǎng)絡安全中，加密技術種類繁多，它是保障信息安全最關鍵和最基本的技術手段和理論基礎，常用的加密技術分為軟件加密和硬件加密。1999年國家頒布了商用密碼使用條例，信息加密的方法有對稱密鑰加密和非對稱加密，二種方法各有其之所長。* 對稱密鑰加密，在此方法中加密和解密使用同樣的密鑰，目前廣泛采用的密鑰加密標準是DES算法，DES的優(yōu)勢在于加密解密速度快、算法易實現(xiàn)、安全性好，缺點是密鑰長度短、密碼空間小，“窮舉”方式進攻的代價小，它們機制就是采取初始置換、密鑰生成、乘積變換、逆初始置換等幾個環(huán)節(jié)。* 非對稱密鑰加密，在此方法中加密和解密使用不同密鑰，即公開密鑰和秘密密鑰，公開密鑰用于機密性信息的加密；秘密密鑰用于對加密信息的解密。一般采用RSA算法，優(yōu)點在于易實現(xiàn)密鑰管理，便于數(shù)字簽名。不足是算法較復雜，加密解密花費時間長。應用層相關的安全技術是代理服務技術。代理服務技術：通常由二部分構成，服務端程序和客