網(wǎng)絡(luò)安全體系結(jié)構(gòu)及協(xié)議

第2章網(wǎng)絡(luò)安全體系結(jié)構(gòu)及協(xié)議本章要點(diǎn)

了解計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的基礎(chǔ)知識。

了解OSI模型及安全體系結(jié)構(gòu)。

了解TCP/IP模型及安全體系結(jié)構(gòu)。

掌握常用的網(wǎng)絡(luò)協(xié)議和常用命令。

掌握協(xié)議分析工具Sniffer的使用方法。2.1計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議概述網(wǎng)絡(luò)協(xié)議及相關(guān)概念網(wǎng)絡(luò)協(xié)議是通信雙方共同遵守的規(guī)則和約定的集合。網(wǎng)絡(luò)協(xié)議包括三個要素：語法規(guī)定了信息的結(jié)構(gòu)和格式；語義表明信息要表達(dá)的內(nèi)容；同步規(guī)則涉及雙方的交互關(guān)系和事件順序。整個計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)現(xiàn)體現(xiàn)為協(xié)議的實(shí)現(xiàn)。為了保證網(wǎng)絡(luò)的各個功能的相對獨(dú)立性，以及便于實(shí)現(xiàn)和維護(hù)，通常將協(xié)議劃分為多個子協(xié)議，并且讓這些協(xié)議保持一種層次結(jié)構(gòu)，子協(xié)議的集合通常稱為協(xié)議簇。2.1.1網(wǎng)絡(luò)協(xié)議無論是面對面還是通過網(wǎng)絡(luò)進(jìn)行的所有通信都要遵守預(yù)先確定的規(guī)則，即協(xié)議。這些協(xié)議由會話的特性決定。在日常的個人通信中，通過一種介質(zhì)（如電話線）通信時采用的規(guī)則不一定與使用另一種介質(zhì)（如郵寄信件）時的協(xié)議相同。網(wǎng)絡(luò)中不同主機(jī)之間的成功通信需要在許多不同協(xié)議之間進(jìn)行交互。執(zhí)行某種通信功能所需的一組內(nèi)在相關(guān)協(xié)議稱為協(xié)議簇。這些協(xié)議通過加載到各臺主機(jī)和網(wǎng)絡(luò)設(shè)備中的軟件和硬件執(zhí)行。網(wǎng)絡(luò)協(xié)議簇說明了以下過程。1）消息的格式或結(jié)構(gòu)。2）網(wǎng)絡(luò)設(shè)備共享通往其他網(wǎng)絡(luò)的通道信息的方法。3）設(shè)備之間傳送錯誤消息和系統(tǒng)消息的方式與時間。4）數(shù)據(jù)傳輸會話的建立和終止。2.1.2協(xié)議簇和行業(yè)標(biāo)準(zhǔn)組成協(xié)議簇的許多協(xié)議通常都要參考其他廣泛采用的協(xié)議或行業(yè)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是指已經(jīng)受到網(wǎng)絡(luò)行業(yè)認(rèn)可并經(jīng)過電氣電子工程師協(xié)會（IEEE）或Internet工程任務(wù)組（IETF）之類標(biāo)準(zhǔn)化組織批準(zhǔn)的流程或協(xié)議。在協(xié)議的開發(fā)和實(shí)現(xiàn)過程中使用標(biāo)準(zhǔn)可以確保來自不同制造商的產(chǎn)品協(xié)同工作，從而獲得有效的通信。如果某家制造商沒有嚴(yán)格遵守協(xié)議，其設(shè)備或軟件可能就無法與其他制造商生產(chǎn)的產(chǎn)品成功通信。2.1.3協(xié)議的交互1．應(yīng)用程序協(xié)議2．傳輸協(xié)議3．網(wǎng)間協(xié)議4．網(wǎng)絡(luò)訪問協(xié)議2.1.4技術(shù)無關(guān)協(xié)議網(wǎng)絡(luò)協(xié)議描述的是網(wǎng)絡(luò)通信期間實(shí)現(xiàn)的功能。在面對面交談的示例中，通信的一項(xiàng)協(xié)議可能會規(guī)定，為了發(fā)出交談結(jié)束的信號，發(fā)言者必須保持沉默兩秒鐘。但是，這項(xiàng)協(xié)議并沒有規(guī)定發(fā)言者在這兩秒鐘內(nèi)應(yīng)該如何保持沉默。協(xié)議通常都不會說明如何實(shí)現(xiàn)特定的功能。通過僅僅說明特定通信規(guī)則所需要的功能是什么，而并不規(guī)定這些規(guī)則應(yīng)該如何實(shí)現(xiàn)，特定協(xié)議的實(shí)現(xiàn)就可以與技術(shù)無關(guān)。2.2OSI參考模型及其安全體系2.2.1計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)要形象地顯示各種協(xié)議之間的交互，通常會使用分層模型。分層模型形象地說明了各層內(nèi)協(xié)議的工作方式及其與上下層之間的交互。協(xié)議分層的好處：網(wǎng)絡(luò)協(xié)議的分層有利于將復(fù)雜的問題分解成多個簡單的問題，從而分而治之；分層有利于網(wǎng)絡(luò)的互聯(lián)，進(jìn)行協(xié)議轉(zhuǎn)換時可能只涉及某一個或幾個層次而不是所有層次；分層可以屏蔽下層的變化，新的底層技術(shù)的引入，不會對上層的應(yīng)用協(xié)議產(chǎn)生影響。協(xié)議的實(shí)現(xiàn)要落實(shí)到一個個具體的硬件模塊和軟件模塊上，在網(wǎng)絡(luò)中將這些實(shí)現(xiàn)特定功能的模塊稱為實(shí)體（Entity）。如圖2-2所示，兩個結(jié)點(diǎn)之間的通信體現(xiàn)為兩個結(jié)點(diǎn)對等層（結(jié)點(diǎn)A的N+1層與結(jié)點(diǎn)B的N+1層）之間遵從本層協(xié)議的通信。 各層的協(xié)議由各層的實(shí)體實(shí)現(xiàn)，通信雙方對等層中完成相同協(xié)議功能的實(shí)體稱為對等實(shí)體。對等實(shí)體按協(xié)議進(jìn)行通信，所以協(xié)議反映的是對等層的對等實(shí)體之間的一種橫向關(guān)系，嚴(yán)格地說，協(xié)議是對等實(shí)體共同遵守的規(guī)則和約定的集合。 協(xié)議中的格式和語義只有對等實(shí)體能夠理解。

對等實(shí)體之之間數(shù)據(jù)單單元在發(fā)送送方逐層封封裝，在接接收方的逐逐層解封裝裝。發(fā)送方方N層實(shí)體體從N+1層實(shí)體得得到的數(shù)據(jù)據(jù)包稱為服務(wù)數(shù)據(jù)據(jù)單元（ServiceDataUnit，，SDU）。N層實(shí)體體只將其其視為需需要本實(shí)實(shí)體提供供服務(wù)的的數(shù)據(jù)，，將服務(wù)務(wù)數(shù)據(jù)單單元進(jìn)行行封裝，使其成成為一個個對方能能夠理解解的協(xié)議數(shù)據(jù)據(jù)單元（ProtocolDataUnit，PDU），，封裝過過程實(shí)際際上是為為SDU增加對對等實(shí)體體間約定定的協(xié)議控制制信息（ProtocolControlInformation，PCI））的過程程。2.2.2OSI參考模模型簡介介1．OSI參考考模型的的層次結(jié)結(jié)構(gòu)1）物理理層2）數(shù)據(jù)據(jù)鏈路層層3）網(wǎng)絡(luò)絡(luò)層4）傳輸輸層5）會話話層6）表示示層7）應(yīng)用用層網(wǎng)絡(luò)劃分分為資源源子網(wǎng)和和通信子子網(wǎng)，如如圖2-3所示示。通信子網(wǎng)網(wǎng)由通信設(shè)設(shè)備和線線路構(gòu)成成，資源子網(wǎng)網(wǎng)由主機(jī)和和其他末末端系統(tǒng)統(tǒng)構(gòu)成。。交換結(jié)結(jié)點(diǎn)屬于于通信子子網(wǎng)，訪訪問結(jié)點(diǎn)點(diǎn)屬于資資源子網(wǎng)網(wǎng)。因?yàn)橹鳈C(jī)機(jī)也具有有通信功功能，所所以嚴(yán)格格地講，，主機(jī)中中負(fù)責(zé)底底層通信信的部分分也應(yīng)該該屬于通通信子網(wǎng)網(wǎng)。20世紀(jì)紀(jì)70年年代出現(xiàn)現(xiàn)了多種種網(wǎng)絡(luò)體體系結(jié)構(gòu)構(gòu)。針對對這一問問題，國國際標(biāo)準(zhǔn)準(zhǔn)化組織織ISO提出了了著名的的開放系統(tǒng)統(tǒng)互連參參考模型型ISO/OSI-RM。OSI采采用了如如圖2-4所示示的七層層參考模模型。1物理理層（PhysicalLayer）物理層包包括物理理連網(wǎng)媒媒介，實(shí)實(shí)際上就就是布線線、光纖纖、網(wǎng)卡卡和其它它用來把把兩臺網(wǎng)網(wǎng)絡(luò)通信信設(shè)備連連接在一一起的東東西。它它規(guī)定了了激活、、維持、、關(guān)閉通通信端點(diǎn)點(diǎn)之間的的機(jī)械特特性、電電氣特性性、功能能特性以以及過程程特性。。雖然物物理層不不提供糾糾錯服務(wù)務(wù)，但它它能夠設(shè)設(shè)定數(shù)據(jù)據(jù)傳輸速速率并監(jiān)監(jiān)測數(shù)據(jù)據(jù)出錯率率。物理層定定義的標(biāo)標(biāo)準(zhǔn)包括括：EIA/TIARS-232、EIA/TIARS-449、V.35、、RJ-45等等。2數(shù)數(shù)據(jù)鏈路路層（DatalinkLayer）數(shù)據(jù)鏈路路層主要要作用是是控制網(wǎng)網(wǎng)絡(luò)層與與物理層層之間的的通信。。它保證證了數(shù)據(jù)據(jù)在不可可靠的物物理線路路上進(jìn)行行可靠的的傳遞。。它把從從網(wǎng)絡(luò)層層接收到到的數(shù)據(jù)據(jù)分割成成特定的的可被物物理層傳傳輸?shù)膸瑤?，保證證了傳輸輸?shù)目煽靠啃?。它它的主要要作用包包括：物物理地址址尋址、、?shù)據(jù)的的成幀、、流量控控制、數(shù)數(shù)據(jù)的檢檢錯、重重發(fā)等。。它是獨(dú)獨(dú)立于網(wǎng)網(wǎng)絡(luò)層和和物理層層的，工工作時無無需關(guān)心心計(jì)算機(jī)機(jī)是否正正在運(yùn)行行軟件還還是其他他操作。。數(shù)據(jù)鏈路路層協(xié)議議的代表表包括：：SDLC、HDLC、PPP、STP、、幀中繼繼等。3網(wǎng)網(wǎng)絡(luò)層（（NetworkLayer）很多用戶戶經(jīng)常混混淆2層層和3層層的相關(guān)關(guān)問題，，簡單來來說，如如果你在在談?wù)撘灰粋€與IP地址址、路由由協(xié)議或或地址解解析協(xié)議議（ARP）相相關(guān)的問問題，那那么這就就是第三三層的問問題。網(wǎng)絡(luò)層負(fù)負(fù)責(zé)對子子網(wǎng)間的的數(shù)據(jù)包包進(jìn)行路路由選擇擇，它通通過綜合合考慮發(fā)發(fā)送優(yōu)先先權(quán)、網(wǎng)網(wǎng)絡(luò)擁塞塞程度、、服務(wù)質(zhì)質(zhì)量以及及可選路路由的花花費(fèi)來決決定從一一個網(wǎng)絡(luò)絡(luò)中兩個個節(jié)點(diǎn)的的最佳路路徑。另另外，它它還可以以實(shí)現(xiàn)擁擁塞控制制、網(wǎng)際際互連等等功能。。網(wǎng)絡(luò)層協(xié)協(xié)議的代代表包括括：IP、IPX、RIP、、OSPF等4傳傳輸層(Transportlayer)傳輸層是是OSI模型中中最重要要的一層層，它是是兩臺計(jì)計(jì)算機(jī)經(jīng)經(jīng)過網(wǎng)絡(luò)絡(luò)進(jìn)行數(shù)數(shù)據(jù)通信信時,第第一個端端到端的的層次，，起到緩緩沖作用用。當(dāng)網(wǎng)網(wǎng)絡(luò)層的的服務(wù)質(zhì)質(zhì)量不能能滿足要要求時，，它將提提高服務(wù)務(wù)，以滿滿足高層層的要求求；而當(dāng)當(dāng)網(wǎng)絡(luò)層層服務(wù)質(zhì)質(zhì)量較好好時，它它只需進(jìn)進(jìn)行很少少的工作作。另外外，它還還要處理理端到端端的差錯錯控制和和流量控控制等問問題，最最終為會會話提供供可靠的的,無誤誤的數(shù)據(jù)據(jù)傳輸。。傳輸層協(xié)協(xié)議的代代表包括括：TCP、UDP、、SPX等。5會會話層(Sessionlayer)會話層負(fù)負(fù)責(zé)在網(wǎng)網(wǎng)絡(luò)中的的兩節(jié)點(diǎn)點(diǎn)之間建建立和維維持通信信，并保保持會話話獲得同同步，它它還決定定通信是是否被中中斷以及及通信中中斷時決決定從何何處重新新發(fā)送。。6表表示層(Prisentationlayer)表示層的的作用是是管理數(shù)數(shù)據(jù)的解解密與加加密，如如常見的的系統(tǒng)口口令處理理，當(dāng)你你的賬戶戶數(shù)據(jù)在在發(fā)送前前被加密密，在網(wǎng)網(wǎng)絡(luò)的另另一端，，表示層層將對接接收到的的數(shù)據(jù)解解密。另另外，表表示層還還需對圖圖片和文文件格式式信息進(jìn)進(jìn)行解碼碼和編碼碼。7應(yīng)應(yīng)用層（（applicationlayer））簡單來說說，應(yīng)用用層就是是為操作作系統(tǒng)或或網(wǎng)絡(luò)應(yīng)應(yīng)用程序序提供訪訪問網(wǎng)絡(luò)絡(luò)服務(wù)的的接口，，包括文文件傳輸輸、文件件管理以以及電子子郵件等等的信息息處理。。應(yīng)用層協(xié)協(xié)議的代代表包括括：Telnet、FTP、、HTTP、SNMP等。戀愛和OSImodel七七層起初只是是近距離離地點(diǎn)對對點(diǎn)無線線收發(fā)愛愛的信號號，乃物物理層；；然然后后就是通通過某個個媒體（（比如一一支花、、一本書書）將信信號傳輸輸，乃數(shù)數(shù)據(jù)鏈路路層；開開始有有選擇地地分組分分割發(fā)送送和裝配配接收愛愛的信號號，選擇擇最佳的的傳送路路徑，乃乃網(wǎng)絡(luò)層層；拖拖手和接接吻可謂謂傳輸層層，確保保信號順順利地傳傳送到目目的地；；甜甜言言蜜語與與鴻雁往往來屬于于會話層層，包括括名字查查找和安安全防護(hù)護(hù)；訂訂婚歸于于表示層層，將信信號格式式轉(zhuǎn)換進(jìn)進(jìn)行愛的的解釋并并加以鞏鞏固；結(jié)結(jié)婚，，當(dāng)然是是應(yīng)用層層，因?yàn)闉樗峁┕┝怂杏袘?yīng)用程程序的直直接支持持。2.2.3ISO/OSI安全全體系1．安全全服務(wù)（1）認(rèn)認(rèn)證服務(wù)務(wù)（2）訪訪問控制制（3）數(shù)數(shù)據(jù)機(jī)密密性服務(wù)務(wù)（4）數(shù)數(shù)據(jù)完整整性服務(wù)務(wù)（5）抗抗否認(rèn)服服務(wù)（1）對對象認(rèn)證證安全服服務(wù)：用用于識別別對象的的身份和和對身份份的證實(shí)實(shí)。OSI環(huán)境境可提供供對等實(shí)實(shí)體認(rèn)證證和信源源認(rèn)證等等安全服服務(wù)。對對等實(shí)體體認(rèn)證是是用來驗(yàn)驗(yàn)證在某某一關(guān)聯(lián)聯(lián)的實(shí)體體中，對對等實(shí)體體的聲稱稱是一致致的，它它可以確確認(rèn)對等等實(shí)體沒沒有假冒冒身份；；而信源源認(rèn)證是是用于驗(yàn)驗(yàn)證所收收到的數(shù)數(shù)據(jù)來源源與所聲聲稱的來來源是否否一致，，它不提提供防止止數(shù)據(jù)中中途被修修改的功功能。（（2））訪問控控制安全全服務(wù)：：提供對對越權(quán)使使用資源源的防御御措施。。訪問控控制可分分為自主主訪問控控制、強(qiáng)強(qiáng)制型訪訪問控制制、基于于角色的的訪問控控制，。。實(shí)現(xiàn)機(jī)機(jī)制可以以是基于于訪問控控制屬性性的訪問問控制表表、基于于安全標(biāo)標(biāo)簽或用用戶和資資源分檔檔的多級級訪問控控制等（3）數(shù)數(shù)據(jù)保密密性安全全服務(wù)：：它是針針對信息息泄漏而而采取的的防御措措施，可可分為信信息保密密、選擇擇段保密密和業(yè)務(wù)務(wù)流保密密。它的的基礎(chǔ)是是數(shù)據(jù)加加密機(jī)制制的選擇擇。（（4）數(shù)數(shù)據(jù)完整整性安全全服務(wù)：：防止非非法篡改改信息，，如修改改、復(fù)制制、插入入和刪除除等。它它有5種種形式：：可恢復(fù)復(fù)連接完完整性、、無恢復(fù)復(fù)連接完完整性、、選擇字字段連接接完整性性、無連連接完整整性和選選擇字段段無連接接完整性性。（（5）防防抵賴性性安全服服務(wù)：是是針對對對方抵賴賴的防范范措施，，用來證證實(shí)發(fā)生生過的操操作，它它可分為為對發(fā)送送防抵賴賴、對遞遞交防抵抵賴和進(jìn)進(jìn)行公證證。2．安全全機(jī)制（1）加加密機(jī)制制（2）數(shù)數(shù)字簽名名機(jī)制（3）訪訪問控制制（4）數(shù)數(shù)據(jù)完整整性（5）鑒鑒別交換換機(jī)制（6）通通信流量量填充機(jī)機(jī)制（7）路路由選擇擇控制機(jī)機(jī)制（8）公公證機(jī)制制（1）加加密機(jī)制制：借助助各種加加密算法法對存放放的數(shù)據(jù)據(jù)和流通通中的信信息進(jìn)行行加密。。DES算法已已通過硬硬件實(shí)現(xiàn)現(xiàn)，效率率非常高高。（（2）數(shù)數(shù)字簽名名：采用用公鑰體體制，使使用私鑰鑰進(jìn)行數(shù)數(shù)字簽名名，使用用公鑰對對簽名信信息進(jìn)行行證實(shí)。。

（3）訪問問控制機(jī)機(jī)制：根根據(jù)訪問問者的身身份和有有關(guān)信息息，決定定實(shí)體的的訪問權(quán)權(quán)限。（（4））數(shù)據(jù)完完整性機(jī)機(jī)制：判判斷信息息在傳輸輸過程中中是否被被篡改過過，與加加密機(jī)制制有關(guān)。。

（5）認(rèn)證證交換機(jī)機(jī)制：用用來實(shí)現(xiàn)現(xiàn)同級之之間的認(rèn)認(rèn)證。6）防業(yè)業(yè)務(wù)流量量分析機(jī)機(jī)制：通通過填充充冗余的的業(yè)務(wù)流流量來防防止攻擊擊者對流流量進(jìn)行行分析，，填充過過的流量量需通過過加密進(jìn)進(jìn)行保護(hù)護(hù)。（（7）路路由控制制機(jī)制：：防止不不利的信信息通過過路由。。目前典典型的應(yīng)應(yīng)用為網(wǎng)網(wǎng)絡(luò)層防防火墻。。

（8）公證證機(jī)制：：由公證證人（第第三方））參與數(shù)數(shù)字簽名名，它基基于通信信雙方對對第三者者都絕對對相信。。目前，，因特網(wǎng)網(wǎng)上有許許多向用用戶提供供此機(jī)制制的服務(wù)務(wù)。3．安全管理理為了更有效地地運(yùn)用安全服服務(wù)，需要有有其他措施來來支持它們的的操作，這些些措施即為安安全管理。安安全管理是對對安全服務(wù)和和安全機(jī)制進(jìn)進(jìn)行管理，把把管理信息分分配到有關(guān)的的安全服務(wù)和和安全機(jī)制中中去，并收集集與它們的操操作有關(guān)的信信息。分為系統(tǒng)安安全管理安安全服務(wù)管管理安全全機(jī)制管理4．安全層次次因特網(wǎng)協(xié)議通通常又稱為TCP/IP協(xié)議。2.3TCP/IP參考模型及及其安全體系系返回網(wǎng)絡(luò)接口層實(shí)際上包含OSI模型的的物理層和鏈鏈路層，TCP/IP并并未對這兩層層進(jìn)行定義，，它支持現(xiàn)有有的各種底層層網(wǎng)絡(luò)技術(shù)和和標(biāo)準(zhǔn)。該層層涉及操作系系統(tǒng)中的設(shè)備備驅(qū)動程序和和網(wǎng)絡(luò)接口卡卡。網(wǎng)絡(luò)層又稱為互聯(lián)網(wǎng)層或IP層，該層處理IP數(shù)據(jù)報(bào)的的傳輸、路由由選擇、流量量控制和擁塞塞控制。傳輸層為兩臺主機(jī)上上的應(yīng)用程序序提供端到端端的通信。TCP/IP的傳輸層包包含傳輸控制制協(xié)議TCP和用戶數(shù)據(jù)據(jù)報(bào)協(xié)議UDP。應(yīng)用層為用戶提供一一些常用的應(yīng)應(yīng)用程序，TCP/IP給出了應(yīng)用用層的一些常常用協(xié)議規(guī)范范。開放系統(tǒng)互連連參考模型與與TCP/IP的關(guān)系國際標(biāo)準(zhǔn)化組組織的開放系系統(tǒng)互連模型型與TCP/