网络安全体系结构及协议PPT(44张)
合集下载
网络体系结构及网络协议课件
网络体系结构及网络协议 课件
目 录
• 网络体系结构概述 • OSI模型 • TCP/IP模型 • 网络协议详解 • 网络安全与协议 • 未来网络体系结构展望
01 网络体系结构概述
什么是网络体系结构
总结词
网络体系结构是计算机网络中各层功 能及其相互关系的集合,定义了网络 中数据传输和通信的规则。
DNS协议
总结词
域名系统,将域名转换为IP地址。
详细描述
DNS协议是互联网上用于将域名转换为IP地址的一种分布式数据库系统。通过DNS协议,用户可以在 浏览器中输入域名,而不是IP地址,来访问网站。DNS协议将域名解析为相应的IP地址,以便计算机 能够相互通信。
FTP协议
总结词
文件传输协议,用于在网络上传输文件。
远程办公 企业通过SSH协议建立安全的远程登 录通道,保证远程办公数据的安全性。
域名系统(DNS) DNS通过DNSSEC协议提供安全可靠 的域名解析服务,保护用户免受DNS 欺骗攻击。
06 未来网络体系结构展望
软件定义网络(SDN)
总结词
软件定义网络是一种新型网络体系结构,通过将网络控制与 转发分离,实现网络资源的灵活管理和调度。
DNSSEC协议
DNSSEC协议是一种DNS安全扩展协议,可以为DNS查询提供数据完 整性和源认证等安全保护。
网络安全协议的应用场景
电子商务 电子商务网站通过SSL/TLS协议对用户 提交的敏感信息进行加密传输,保证交
易数据的安全性。 虚拟专用网络(VPN) VPN通过IPsec协议建立安全的网络 连接,保护数据传输的安全性。
应用层
直接为用户提供服务,如文件传输、电子邮件和网页 浏览等。
表示层
目 录
• 网络体系结构概述 • OSI模型 • TCP/IP模型 • 网络协议详解 • 网络安全与协议 • 未来网络体系结构展望
01 网络体系结构概述
什么是网络体系结构
总结词
网络体系结构是计算机网络中各层功 能及其相互关系的集合,定义了网络 中数据传输和通信的规则。
DNS协议
总结词
域名系统,将域名转换为IP地址。
详细描述
DNS协议是互联网上用于将域名转换为IP地址的一种分布式数据库系统。通过DNS协议,用户可以在 浏览器中输入域名,而不是IP地址,来访问网站。DNS协议将域名解析为相应的IP地址,以便计算机 能够相互通信。
FTP协议
总结词
文件传输协议,用于在网络上传输文件。
远程办公 企业通过SSH协议建立安全的远程登 录通道,保证远程办公数据的安全性。
域名系统(DNS) DNS通过DNSSEC协议提供安全可靠 的域名解析服务,保护用户免受DNS 欺骗攻击。
06 未来网络体系结构展望
软件定义网络(SDN)
总结词
软件定义网络是一种新型网络体系结构,通过将网络控制与 转发分离,实现网络资源的灵活管理和调度。
DNSSEC协议
DNSSEC协议是一种DNS安全扩展协议,可以为DNS查询提供数据完 整性和源认证等安全保护。
网络安全协议的应用场景
电子商务 电子商务网站通过SSL/TLS协议对用户 提交的敏感信息进行加密传输,保证交
易数据的安全性。 虚拟专用网络(VPN) VPN通过IPsec协议建立安全的网络 连接,保护数据传输的安全性。
应用层
直接为用户提供服务,如文件传输、电子邮件和网页 浏览等。
表示层
网络安全协议基础(PPT50页)
协议:定义了数据的协议,分别为:TCP、UDP、ICMP和IGMP。
校验和:首先将该字段设置为0,然后将IP头的每16位进行二进制 取反求和,将结果保存在校验和字段。
源IP地址:将IP地址看作是32位数值则需要将网络字节顺序转化位 主机字节顺序。
目的IP地址:转换方法和源IP地址一样。
IP是面向非连接的,传递数据的时候不检测网络是否连通,所以是
source
M
Ht M Hn Ht M Hl Hn Ht M
application transport network
link physical
destination
application transport network
link physical
M
Ht M Hn Ht M Hl Hn Ht M
message segment datagram frame
一般来说,主机号部分为全“1 ”的IP地址保留用作广播地址; 主机号部分为全“0 ”的IP地址保留用作网络地址。26
子网掩码(一)
子网掩码是用来判断任意两台计算机的IP地 址是否属于同一子网的根据。
两台计算机各自的IP地址与子网掩码进行二 进制“与”(AND)运算后,如果得出的结 果是相同的,则说明这两台计算机是处于同 一个子网络上的,可以进行直接通信。
15
分层: 逻辑通信(一)
每一层 分布式的 “实体”在每个节点上实现本层的功能 实体与对等实体交换消息
16
分层: 逻辑通信(二)
如: transport 从应用层得到数据 添加地址和可靠性标记信息,得到”数据报” 把数据报发送给对等实体 等待对方发送确认信息
17
分层: 物理通信
《网络安全协议基础》PPT课件
TCP在建立连接的时候需要三次确认,俗称“三
次握手”,在断开连接的时候需要四次确认,俗 称“四次挥手”。
h
25
TCP协议的三次“握手”
172.18.25.110
172.18.25.109
我可以连接到你吗?
当然可以
那我就不客气了
h
26
TCP协议的三次“握手”
这个过程在FTP的会话过程中也明显的显示出来, 如图2-12所示。
网络层: 路由、转发,拥塞控制
数据链路层: 成帧,差错控制、流量控 制,物理寻址,媒体访问 物控理制层: 缆线,信号的编码,网络 接插件的电、机械接口
h
ISO-OSI模型
分组 帧 PDU: Protocol Data Unit 协议数据单元 3
数据的封装
应用层 表示层 会话层 传输层 网络层 数据链路层
h
30
TCP协议的四次“挥手”
需要断开连接的时候,TCP也需要互相确认才可以断开连 接,四次交互过程如图2-16所示。
172.18.25.110
172.18.25.109
我要结束连接
当然可以 终止了
好,收到
h
31
第一次“挥手”
第一次交互过程的数据报结构
h
32
第二次“挥手”
第一次交互中,首先发送一个FIN=1的请求,要求断开, 目标主机在得到请求后发送ACK=1进行确认
h
33
第三次“挥手”
在确认信息发出后,就发送了一FIN=1的包,与源主机断开。
h
34
第四次“挥手”
随后源主机返回一条ACK=1的信息,这样一次完整的TCP 会话就结束了。
h
35
用户数据报协议UDP
0网络安全体系结构精品PPT课件
▪ 网络安全的第二道防线。 ▪ 通过工具对网络进行监视和检查,发现新的危胁时进
行反馈并及时做出有效的响应。 ▪ 检测对象:系统自身的脆弱性和外部威胁。 ▪ 与防护的区别和联系。
❖ 响应:
▪ 检测出问题后的处理措施。
27.10.2020
14
网络技术系 田宏政
P2DR模型特点
❖ 优点:
▪ 采用被动防御与主动防御相结合的方式,是目前比较 科学的安全模型。
TCP/IP模型
应用层
传输层 网络层 网络接口 物理层
27.10.2020
8
网络技术系 田宏政
TCP/IP层次结构图
X11 System
HTTP FTP Telnet SMTP
DNS
LDAP
DHCP BOOTP TFTP NTP
SNMP
NFS NIS PMAP NLM Mount Statd
XDR
❖ 弱点:
▪ 忽略了内在的变化因素(人员流动、人员素质、策略 的贯彻情况)。
27.10.2020
15
网络技术系 田宏政
PDRR模型
❖ PDRR模型 (Protection,Detection,Response,Recovery)
❖ 由美国近年提出。
攻击
成功 防护
失败
检测 成功 失败
成功 响应
失败
恢复
网络安全体系结构
安全管理
环
媒
设
反
备 审访 安
用 传储 内
境 安
体 安
备 安
病
份 计问 全 恢 监控 检
户 输存 容 鉴 安安 审
全
全
全
毒
复 控制 测
行反馈并及时做出有效的响应。 ▪ 检测对象:系统自身的脆弱性和外部威胁。 ▪ 与防护的区别和联系。
❖ 响应:
▪ 检测出问题后的处理措施。
27.10.2020
14
网络技术系 田宏政
P2DR模型特点
❖ 优点:
▪ 采用被动防御与主动防御相结合的方式,是目前比较 科学的安全模型。
TCP/IP模型
应用层
传输层 网络层 网络接口 物理层
27.10.2020
8
网络技术系 田宏政
TCP/IP层次结构图
X11 System
HTTP FTP Telnet SMTP
DNS
LDAP
DHCP BOOTP TFTP NTP
SNMP
NFS NIS PMAP NLM Mount Statd
XDR
❖ 弱点:
▪ 忽略了内在的变化因素(人员流动、人员素质、策略 的贯彻情况)。
27.10.2020
15
网络技术系 田宏政
PDRR模型
❖ PDRR模型 (Protection,Detection,Response,Recovery)
❖ 由美国近年提出。
攻击
成功 防护
失败
检测 成功 失败
成功 响应
失败
恢复
网络安全体系结构
安全管理
环
媒
设
反
备 审访 安
用 传储 内
境 安
体 安
备 安
病
份 计问 全 恢 监控 检
户 输存 容 鉴 安安 审
全
全
全
毒
复 控制 测
《网络安全协议基础》课件
1 SSH
2 SSL/TLS
Secure Shell 是一种常用 的应用层安全协议,用于 安全远程登录和文件传输。
SSL/TLS在应用层进行加 密,保护Web浏览器和服 务器之间的通信安全。
3 PGP
Pretty Good Privacy 是一 种常用的加密和数字签名 协议,用于保护电子邮件 和文件的安全。
主要的网络安全协议标准
1
RFC 5246
TLS协议的标准文档,规定了TLS/SSL的
RFC 4301
2
实现和使用。
IPSec协议的标准文档,定义了IPSec的
协议规范和安全架构。
3
RFC 4251
SSH协议的标准文档,描述了SSH协议 的工作原理和安全机制。
总结
网络安全协议是保护网络通信安全的重要手段,包括传输层安全协议、网络 层安全协议和应用层安全协议。了解常见的网络安全协议和标准,对建立安 全的网络环境至关重要。
网络层安全协议
1
IPS ec隧道模式
IPSec隧道模式用于创建安全的虚拟专用网络,保证数据在网络上的安全传输。
2
防火墙
防火墙是一种常见的网络层安全设备,用于检测和过滤网络流量,以保护网络免 受攻击。
3
路由器访问控制列表
路由器访问控制列表用于限制网络流量的访问权限,增强网络的安全性。
应用层安全协议
SSH
Secure Shell 是一种应用层安 全协议,用于远程登录和安全 文件传输程
SSL证书
HTTPS
TLS握手过程包括协议版本协商、 密钥交换、身份验证和加密通信 等步骤。
SSL证书用于验证服务器身份, 并提供公钥加密和数字签名功能。
网络安全体系结构及协议(ppt 44页)
(3)数据保密性安全服务:它是针对信息泄漏 而采取的防御措施,可分为信息保密、选择段保
密和业务流保密。它的基础是数据加密机制的选 择。
(4)数据完整性安全服务:防止非法篡改信息, 如修改、复制、插入和删除等。它有5种形式: 可恢复连接完整性、无恢复连接完整性、选择字
段连接完整性、无连接完整性和选择字段无连接 完整性。
传输层协议的代表包括:TCP、UDP、SPX等。
5 会话层(Session layer)
会话层负责在网络中的两节点之间建立和维持通 信,并保持会话获得同步,它还决定通信是否被 中断以及通信中断时决定从何处重新发送。
6 表示层(Prisentation layer)
表示层的作用是管理数据的解密与加密,如常见 的系统口令处理,当你的账户数据在发送前被加 密,在网络的另一端,表示层将对接收到的数据 解密。另外,表示层还需对图片和文件格式信息 进行解码和编码。
物理层
…
中间结点
中间结点
图 2-4 ISO 开放系统互连参考模型
设备 B
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
1 物理层(Physical Layer) 物理层包括物理连网媒介,实际上就是布线、光
纤、网卡和其它用来把两台网络通信设备连接在 一起的东西。它规定了激活、维持、关闭通信端 点之间的机械特性、电气特性、功能特性以及过 程特性。虽然物理层不提供纠错服务,但它能够 设定数据传输速率并监测数据出错率。
第2章网络安全体系结构及协议
本章要点 了解计算机网络协议的基础知识。 了解OSI模型及安全体系结构。 了解TCP/IP模型及安全体系结构。 掌握常用的网络协议和常用命令。 掌握协议分析工具Sniffer的使用方法。
网络安全架构ppt
网络安全架构ppt网络安全架构是指企业或组织在设计和部署网络基础设施时,所采用的一套安全措施和策略的集合,旨在保护网络和系统免受各种安全威胁的侵害。
网络安全架构的设计需要考虑到网络的可靠性、保密性、完整性和可用性,以提高系统的安全性和稳定性。
1. 网络边界安全措施:在网络安全架构中,网络边界安全是首要考虑的方面。
防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等措施可以在网络边界上监测和阻止潜在的攻击行为,确保网络的可靠性和安全性。
2. 身份认证和访问控制:在网络中,确保用户身份的真实性和合法性是非常重要的。
采用强密码策略、多因素身份认证和访问控制列表(ACL)等措施,可以有效地限制未授权用户的访问,减少恶意攻击的风险。
3. 网络监控和日志管理:网络监控系统可以实时监测网络中的异常活动和安全事件,并及时采取相应的措施进行应对。
同时,日志管理系统可以记录网络和系统的日志信息,用于后期的审计和跟踪,有助于尽快发现和应对安全事件。
4. 数据加密和数据备份:数据加密是保护敏感数据免受窃取和篡改的重要手段。
采用对称加密和非对称加密算法,可以确保数据在传输和存储过程中的安全性。
此外,定期进行数据备份,可以最大限度地降低数据丢失的风险,保障数据的完整性和可恢复性。
5. 安全培训和意识:在网络安全架构中,提高用户的安全意识和培训是至关重要的。
经过专门的网络安全培训,用户可以了解常见的网络威胁和防范措施,提高识别和应对安全事件的能力,减少安全事故的发生。
综上所述,网络安全架构的设计需要综合考虑多个方面,包括网络边界安全、身份认证和访问控制、网络监控和日志管理、数据加密和数据备份以及安全培训和意识等。
通过合理和有效地应用这些安全措施和策略,可以提高网络的安全性和稳定性,最大程度地保护网络和系统免受安全威胁的侵害。
网络体系结构与网络协议PPT课件
版本6的网络层IP协议一般记作IPv6(或IPng, IP next generation);
IPv6被称为下一代的IP协议。
2020/12/9
33
TCP/IP协议的特点
开放的协议标准;
独立于特定的计算机硬件与操作系统,可以运 行在局域网、广域网,更适用于互连网中;
统一的网络地址分配方案,使得整个 TCP/IP设备在网中都具有惟一的地址;
2020/12/9
35
TCP/IP 参考模型与 OSI 参考模型的对应关系
OSI参 考 模 型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
TCP/IP参 考 模 型 应用层
传输层 互联层 主机―网络层
2020/12/9
36
主机-网络层
负责发送和接收IP数据报; 允许主机连入网络时使用多种现成的与流行的协
2020/12/9
传输介质
传输介质
传输介质 21
2. OSI环境中的数据传输过程
主机A 应用进程A
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
2020/12/9
数据
数据 数据单元 数据单元 报文 分组 帧 比特序列
传输介质
主机B 应用进程B
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
提供服务; 不同结点的同20/12/9
19
OSI参考模型的结构
主机 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
传输介质
2020/12/9
CCP
网络层 数据链路层 物理层
CCP
网络层 数据链路层 物理层
传输介质
主机 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
IPv6被称为下一代的IP协议。
2020/12/9
33
TCP/IP协议的特点
开放的协议标准;
独立于特定的计算机硬件与操作系统,可以运 行在局域网、广域网,更适用于互连网中;
统一的网络地址分配方案,使得整个 TCP/IP设备在网中都具有惟一的地址;
2020/12/9
35
TCP/IP 参考模型与 OSI 参考模型的对应关系
OSI参 考 模 型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
TCP/IP参 考 模 型 应用层
传输层 互联层 主机―网络层
2020/12/9
36
主机-网络层
负责发送和接收IP数据报; 允许主机连入网络时使用多种现成的与流行的协
2020/12/9
传输介质
传输介质
传输介质 21
2. OSI环境中的数据传输过程
主机A 应用进程A
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
2020/12/9
数据
数据 数据单元 数据单元 报文 分组 帧 比特序列
传输介质
主机B 应用进程B
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
提供服务; 不同结点的同20/12/9
19
OSI参考模型的结构
主机 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
传输介质
2020/12/9
CCP
网络层 数据链路层 物理层
CCP
网络层 数据链路层 物理层
传输介质
主机 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
第二章计算机网络安全体系结构PPT课件
系
结
的共同规则、标准或约定
构
2021/5/21
3
第二章 计算机网络安全体系结构
网络体系结构
一、 网
在网络的实际应用中,计算机系统与
络
计算机系统之间许多的互连、互通、互操
体 作过程,一般都不能只依靠一种协议,而
系 需要执行许多种协议才能完成。全部网络
结 协议以层次化的结构形式所构成的集合,
构
就称为网络体系结构。
第二章
计算机网络安全体系结构
2021/5/21
1
第二章 计算机网络安全体系结构
第一节 网络安全体系结构的概念 第二节 网络安全体系结构的内容 第三节 网络安全的协议与标准 第四节 网络安全的评估
2021/5/21
2
第二章 计算机网络安全体系结构
一、 网
网络协议(protocol)
络
体
为进行网络中的信息交换而建立
表2.2 OSI安全体系结构中安全服务按网络层次的配置
2021/5/21
16
第二章 计算机网络安全体系结构
一、
开
放
2.OSI安全体系结构的安全机制
系
按照OSI安全体系结构,为了提供以上所列6大类安全
统 互
服务,采用下列 8大类安全机制来实现:
连
安 全
加密机制、
数据签名机制、 公证机制、
体
数据完整性机制、交换鉴别机制、 业务流填充机制、
安
大类安全机制和相应的OSI安全管理,并
全 体
且尽可能地将上述安全服务配置于开放系
系
统互连/参考模型(OSI/RM)7层结构的
结
构
相应层之中。
网络安全体系结构概述(PPT184页)
邮件收集者收集; 4)不要在某些收集垃圾邮件的网页上登记您的邮件地址; 5)发现收集或出售电子邮件地址的网站或消息,请告诉相应 的主页提供商或主页管理员,将您删除,以避免邮件地址被他 们利用,卖给许多商业及非法反动用户; 6)建议您用专门的邮箱进行私人通信,而用其他邮箱订阅电 子杂志。
常见网络攻击的分类
• 针对通讯层以下 • 针对OS的攻击 • 针对通用的服务协议 • 针对特定的应用程序
网络安全体系结构概述
• 1.安全体系的需求 • 2.常见的网络安全问题 • 3.网络攻击的手段 • 4.网络安全技术 • 5.安全方案与实施 • 6.安全标准及安全管理
常见的网络安全问题
• 垃圾邮件 • 网络扫描和拒绝服务攻击
E-Commerce ISP门户网站 Web
时间
Internet 变得越来越糟糕
• 网络无处不在的特性使进攻随时随地可以发起; • 网络本身就蓄积了大量的攻击技巧(大概有26万
个站点提供此类知识); • 攻击软件层出不穷。
网络安全问题日益突出
70,000 60,000 50,000 40,000
• Sendmail 8.8以下版本
– 升级Sendmail
• 其它版本
– 配置Sendmail缺省不允许转发 – 编辑相应的允许转发IP列表
防止收到垃圾邮件
如何防止收到垃圾邮件?
1)不要把您的邮件地址在INTERNET页面上到处登记; 2)不要把您的邮件地址告诉您不太信任的一些人; 3)不要订阅一些非正式的不键康的电子杂志,以防止被垃圾
垃圾邮件特点
• 内容:
– 商业广告 – 宗教或个别团体的宣传资料 – 发财之道,连锁信等
• 接收者
– 无因接受 – 被迫接受
常见网络攻击的分类
• 针对通讯层以下 • 针对OS的攻击 • 针对通用的服务协议 • 针对特定的应用程序
网络安全体系结构概述
• 1.安全体系的需求 • 2.常见的网络安全问题 • 3.网络攻击的手段 • 4.网络安全技术 • 5.安全方案与实施 • 6.安全标准及安全管理
常见的网络安全问题
• 垃圾邮件 • 网络扫描和拒绝服务攻击
E-Commerce ISP门户网站 Web
时间
Internet 变得越来越糟糕
• 网络无处不在的特性使进攻随时随地可以发起; • 网络本身就蓄积了大量的攻击技巧(大概有26万
个站点提供此类知识); • 攻击软件层出不穷。
网络安全问题日益突出
70,000 60,000 50,000 40,000
• Sendmail 8.8以下版本
– 升级Sendmail
• 其它版本
– 配置Sendmail缺省不允许转发 – 编辑相应的允许转发IP列表
防止收到垃圾邮件
如何防止收到垃圾邮件?
1)不要把您的邮件地址在INTERNET页面上到处登记; 2)不要把您的邮件地址告诉您不太信任的一些人; 3)不要订阅一些非正式的不键康的电子杂志,以防止被垃圾
垃圾邮件特点
• 内容:
– 商业广告 – 宗教或个别团体的宣传资料 – 发财之道,连锁信等
• 接收者
– 无因接受 – 被迫接受
《网络安全体系结构》PPT课件
21
3.DISSP提供的安全体系结构及其特点
DISSP提供的安全体系结构框架可用如图2.3所示的三维空间模型来 表示。图中空间的三维分别代表:网络安全特性与部分操作特性、网络与 信息系统的组成部分、OSI网络结构层及其扩展层。
22
3.DISSP提供的安全体系结构及其特点 与OSI安全体系结构(ISO 7498—2)相比,DISSP安 全体系结构具有如下特点: (1)从最高层着眼,统筹解决全部国防网络与信息系统的 安全问题,不允许任何下属层次各自为政并分别建立自己 的安全体系。 (2)把网络与信息系统的组成简化归结为4个部分,即端 系统、网络、接口和安全管理。这样便于网络与信息系统 的管理人员与安全体系设计人员之间的协商与协作,便于 安全策略的落实和安全功能的完善。这是该安全体系结构 的一大创新。
5
开放系统互联/参考模型(OSI/RM)
6
1.保密性 保密性是指确保非授权用户不能获得网络信息资源的 性能。为此要求网络具有良好的密码体制、密钥管理、传 输加密保护、存储加密保护、防电磁泄漏等功能。
2.完整性 完整性是指确保网络信息不被非法修改、删除或增 添,以保证信息正确、一致的性能。为此要求网络的软 件、存储介质,以及信息传递与交换过程中都具有相应的 功能。
3
在网络的实际应用中,计算机系统与计 算机系统之间的互联、互通、互操作过程, 一般都不能只依靠一种协议,而需要执行 许多种协议才能完成。全部网络协议以层 次化的结构形式所构成的集合,就称为网 络体系结构。
4
网络安全体系结构大致可分为三类: 第一类是国际标准化组织(ISO)制定的开放 系统互联/考模型(OSI/RM,Open System Interconnection/Reference Model)。 第二类是有关行业成为既成事实的标准,已得 到相当普遍的接受,典型代表如著名的TCP/IP协 议体系结构。 第三类,就是各生产厂商自己制定的协议标 准。
网络安全体系结构ppt课件
可信的第三方
发送者
接收者
与安全相
关的转换
安
消
全
息
消
息
信息通道
与安全相
安
关的转换
全
消
消
息
息
秘密信息
攻击者
秘密信息12图2-3 络通信安全模型2.2 网络通信安全模型
2.2.1 网络访问安全模型 归纳起来,由图2-3所示的通信模型可知,在设计网络安全系统
时,应完成下述四个方面的基本任务: 1)设计一个用来执行与安全相关的安全转换算法,而且该算法
6
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制 3.访问控制机制
访问控制机制(Access Control Mechanisms)是网络安全防护 的核心策略,它的主要任务是按事先确定的规则决定主体对客体的访 问是否合法,以保护网络系统资源不被非法访问和使用。 4.数据完整性机制
可信计算231可信计算的概念232可信计算的关键技术233可信计算的发展趋势24网络安全标准及管理241网络与信息安全标准体系242网络与信息安全标准化概况243可信计算机系统安全评价准则244网络安全管理2221osi安全体系结构图图221osiosi安全体系结构三维示意图安全体系结构三维示意图链路层网络层传输层会话层表示层应用层物理层osi参考模型安全机制身份认证访问控制数据完整性数据机密性不可否认安全服务3321osi安全体系结构211安全体系结构的5类安全服务1身份认证服务身份认证服务也称之为身份鉴别服务这是一个向其他人证明身份的过程这种服务可防止实体假冒或重放以前的连接即伪造连接初始化攻击
身份认证服务也称之为身份鉴别服务,这是一个向其他人证明身 份的过程,这种服务可防止实体假冒或重放以前的连接,即伪造连接 初始化攻击。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.2.2 OSI参考模型简介
1.OSI参考模型的层次结构 1)物理层 2)数据链路层 3)网络层 4)传输层 5)会话层 6)表示层 7)应用层
网络划分为资源子网和通信子网,如图2-3所示。 通信子网由通信设备和线路构成,资源子网由主机
和其他末端系统构成。交换结点属于通信子网,访 问结点属于资源子网。 因为主机也具有通信功能,所以严格地讲,主机中 负责底层通信的部分也应该属于通信子网。
2.1.1 网络协议
无论是面对面还是通过网络进行的所有通信 都要遵守预先确定的规则,即协议。这些协 议由会话的特性决定。在日常的个人通信中, 通过一种介质(如电话线)通信时采用的规 则不一定与使用另一种介质(如邮寄信件) 时的协议相同。
网络中不同主机之间的成功通信需要在许多 不同协议之间进行交互。执行某种通信功能 所需的一组内在相关协议称为协议簇。这些 协议通过加载到各台主机和网络设备中的软 件和硬件执行。
网络协议簇说明了以下过程。
1)消息的格式或结构。 2)网络设备共享通往其他网络的通道信息
的方法。
3)设备之间传送错误消息和系统消息的方 式与时间。
4)数据传输会话的建立和终止。
2.1.2 协议簇和行业标准
组成协议簇的许多协议通常都要参考其他广泛采 用的协议或行业标准。标准是指已经受到网络行 业认可并经过电气电子工程师协会(IEEE) 或 Internet 工程任务组(IETF) 之类标准化组织批 准的流程或协议。
结点A
结点B
N+1 层
(N+1)PDU
N+1 实体
N+1 层协议
N+1 实体
N层 (N)PCI N-1 层
(N)SDU (N)PDU
N实体1
(N-1)SDU
N实体2
SAP
图2-2 协议实体间关系及数据单元
N实体1 N实体2
各层的协议由各层的实体实现,通信双方对等层中完 成相同协议功能的实体称为对等实体。对等实体按协 议进行通信,所以协议反映的是对等层的对等实体之 间的一种横向关系,严格地说,协议是对等实体共同 遵守的规则和约定的集合。
第2章网络安全体系结构及协议
本章要点 了解计算机网络协议的基础知识。 了解OSI模型及安全体系结构。 了解TCP/IP模型及安全体系结构。 掌握常用的网络协议和常用命令。 掌握协议分析工具Sniffer的使用方法。
2.1 计算机网络协议概述
网络协议及相关概念 网络协议是通信双方共同遵守的规则和约定的集合。网络
分层可以屏蔽下层的变化,新的底层技术的引 入,不会对上层的应用协议产生影响。
协议的实现要落实到一个个具体的硬件模块 和软件模块上,在网络中将这些实现特定功 能的模块称为实体(Entity)。
如图2-2所示,两个结点之间的通信体现为 两个结点对等层(结点A的N+1层与结点B的 N+1层)之间遵从本层协议的通信。
资源子网
通信子网
图 2-3 通信子网和资源子网
20世纪70年代出现了多种网络体系结构。针对 这一问题,国际标准化组织ISO提出了著名的 开放系统互连参考模型ISO/OSI-RM。
OSI采用了如图2-4所示的七层参考模型。
设备 A
7
应用层
6
表示层
5
会话层
4
传输层
3
网络层
2 数据链路层
1
物理层
网络协议描述的是网络通信期间实现的功能。在 面对面交谈的示例中,通信的一项协议可能会规 定,为了发出交谈结束的信号,发言者必须保持 沉默两秒钟。但是,这项协议并没有规定发言者 在这两秒钟内应该如何保持沉默。协议通常都不 会说明如何实现特定的功能。通过仅仅说明特定 通信规则所需要的功能是什么,而并不规定这些 规则应该如何实现,特定协议的实现就可以与技 术无关。
协议包括三个要素:
语法规定了信息的结构和格式; 语义表明信息要表达的内容; 同步规则涉及双方的交互关系和事件顺序。
整个计算机网络的实现体现为协议的实现。 为了保证网络的各个功能的相对独立性,以及便于实现和
维护,通常将协议划分为多个子协议,并且让这些协议保 持一种层次结构,子协议的集合通常称为协议簇。
2.2 OSI参考模型及其安全体系
2.2.1 计算机网络体系结构 要形象地显示各种协议之间的交互,通常
会使用分层模型。分层模型形象地说明了 各层内协议的工作方式及其与上下层之间 的交互。
协议分层的好处:
网络协议的分层有利于将复杂的问题分解成多 个简单的问题,从而分而治之;
分层有利于网络的互联,进行协议转换时可能 只涉及某一个或几个层次而不是所有层次;
端到端协议
网络层 数据链路层
物理层
网络层 … 数据链路层
物理层互连参考模型
设备 B
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
1 物理层(Physical Layer) 物理层包括物理连网媒介,实际上就是布线、光
纤、网卡和其它用来把两台网络通信设备连接在 一起的东西。它规定了激活、维持、关闭通信端 点之间的机械特性、电气特性、功能特性以及过 程特性。虽然物理层不提供纠错服务,但它能够 设定数据传输速率并监测数据出错率。
协议中的格式和语义只有对等实体能够理解。
对等实体之间数据单元在发送方逐层封装, 在接收方的逐层解封装。发送方N层实体从 N+1层实体得到的数据包称为服务数据单元 (Service Data Unit,SDU)。N层实体只将
其视为需要本实体提供服务的数据,将服务
数据单元进行封装,使其成为一个对方能够 理解的协议数据单元(Protocol Data Unit, PDU),封装过程实际上是为SDU增加对等 实体间约定的协议控制信息(Protocol Control Information,PCI)的过程。
在协议的开发和实现过程中使用标准可以确保来 自不同制造商的产品协同工作,从而获得有效的 通信。如果某家制造商没有严格遵守协议,其设 备或软件可能就无法与其他制造商生产的产品成 功通信。
2.1.3 协议的交互
1.应用程序协议 2.传输协议 3.网间协议 4.网络访问协议
2.1.4 技术无关协议