网络安全体系结构及协议(ppt 44页)

（3）数据保密性安全服务：它是针对信息泄漏 而采取的防御措施，可分为信息保密、选择段保
密和业务流保密。它的基础是数据加密机制的选 择。
（4）数据完整性安全服务：防止非法篡改信息， 如修改、复制、插入和删除等。它有5种形式： 可恢复连接完整性、无恢复连接完整性、选择字
段连接完整性、无连接完整性和选择字段无连接 完整性。
传输层协议的代表包括：TCP、UDP、SPX等。
5 会话层(Session layer)
会话层负责在网络中的两节点之间建立和维持通 信，并保持会话获得同步，它还决定通信是否被 中断以及通信中断时决定从何处重新发送。
6 表示层(Prisentation layer)
表示层的作用是管理数据的解密与加密，如常见 的系统口令处理，当你的账户数据在发送前被加 密，在网络的另一端，表示层将对接收到的数据 解密。另外，表示层还需对图片和文件格式信息 进行解码和编码。
物理层
…
中间结点
中间结点
图 2-4 ISO 开放系统互连参考模型
设备 B
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
1 物理层（Physical Layer） 物理层包括物理连网媒介，实际上就是布线、光
纤、网卡和其它用来把两台网络通信设备连接在 一起的东西。它规定了激活、维持、关闭通信端 点之间的机械特性、电气特性、功能特性以及过 程特性。虽然物理层不提供纠错服务，但它能够 设定数据传输速率并监测数据出错率。
第2章网络安全体系结构及协议
本章要点 了解计算机网络协议的基础知识。 了解OSI模型及安全体系结构。 了解TCP/IP模型及安全体系结构。 掌握常用的网络协议和常用命令。 掌握协议分析工具Sniffer的使用方法。
2.1.1 网络协议
无论是面对面还是通过网络进行的所有通信 都要遵守预先确定的规则，即协议。这些协 议由会话的特性决定。在日常的个人通信中， 通过一种介质（如电话线）通信时采用的规 则不一定与使用另一种介质（如邮寄信件） 时的协议相同。
7 应用层（application layer） 简单来说，应用层就是为操作系统或网络应用程
序提供访问网络服务的接口，包括文件传输、文 件管理以及电子邮件等的信息处理。
应用层协议的代表包括：Telnet、FTP、HTTP、 SNMP等。
恋爱和OSI model七层
起初只是近距离地点对点无线收发爱的信号， 乃物理层； 然后就是通过某个媒体（比如一支花、一本 书）将信号传输，乃数据链路层； 开始有选择地分组分割发送和装配接收爱的 信号，选择最佳的传送路径，乃网络层； 拖手和接吻可谓传输层，确保信号顺利地传 送到目的地； 甜言蜜语与鸿雁往来属于会话层，包括名字 查找和安全防护； 订婚归于表示层，将信号格式转换进行爱的 解释并加以巩固； 结婚，当然是应用层，因为它提供了所有应 用程序的直接支持。
应用层
FTP
NFS
…
SMTP HTTP
rlogin BGP &rsh
TELNET DNS
Hale Waihona Puke SNMPTFTPBOOTP &DHCP
RIP
RPC …
传输层
TCP
UDP
网络层 网络接口层
ICMP IP
ARP
IGMP
…
RARP
底层网络协议：以太网、令牌环、SLIP、PPP 等
图 2-17 TCP/IP 协议簇
因特网协议通常又称为TCP/IP协议。
应用层 传输层 网络层 网络接口层 图 2-15 TC P/IP 协 议 分 层
网络接口层实际上包含OSI模型的物理层和链 路层，TCP/IP并未对这两层进行定义，它支 持现有的各种底层网络技术和标准。该层涉及 操作系统中的设备驱动程序和网络接口卡。
网络层又称为互联网层或IP层，该层处理IP 数据报的传输、路由选择、流量控制和拥塞控 制。
IS O/OS I
TCP/IP
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 传输层 网络层 网络接口层
图 2-16 ISO/OSI 与 TCP/IP 的层次对应关系
除了层次结构方面的差异外，ISO/OSI与 TCP/IP还存在如表2-2所列的差异。
表2-2 ISO/OSI与TCP/IP的差异
协议中的格式和语义只有对等实体能够理解。
对等实体之间数据单元在发送方逐层封装， 在接收方的逐层解封装。发送方N层实体从 N+1层实体得到的数据包称为服务数据单元 （Service Data Unit，SDU）。N层实体只将
其视为需要本实体提供服务的数据，将服务
数据单元进行封装，使其成为一个对方能够 理解的协议数据单元（Protocol Data Unit， PDU），封装过程实际上是为SDU增加对等 实体间约定的协议控制信息（Protocol Control Information，PCI）的过程。
网络层协议的代表包括：IP、IPX、RIP、OSPF 等
4 传输层 (Transport layer)
传输层是OSI模型中最重要的一层，它是两台计 算机经过网络进行数据通信时,第一个端到端的 层次，起到缓冲作用。当网络层的服务质量不能 满足要求时，它将提高服务，以满足高层的要求； 而当网络层服务质量较好时，它只需进行很少的 工作。另外，它还要处理端到端的差错控制和流 量控制等问题，最终为会话提供可靠的,无误的 数据传输。
分层可以屏蔽下层的变化，新的底层技术的引 入，不会对上层的应用协议产生影响。
协议的实现要落实到一个个具体的硬件模块 和软件模块上，在网络中将这些实现特定功 能的模块称为实体（Entity）。
如图2-2所示，两个结点之间的通信体现为 两个结点对等层（结点A的N+1层与结点B的 N+1层）之间遵从本层协议的通信。
3．安全管理
为了更有效地运用安全服务，需要有其他措施来 支持它们的操作，这些措施即为安全管理。安全 管理是对安全服务和安全机制进行管理，把管理 信息分配到有关的安全服务和安全机制中去，并 收集与它们的操作有关的信息。
分为 系统安全管理 安全服务管理 安全机制管 理
4．安全层次
2.3 TCP/IP参考模型及其安全体系
结点A
结点B
N+1 层
(N+1)PDU
N+1 实体
N+1 层协议
N+1 实体
N层 (N)PCI N-1 层
(N)SDU (N)PDU
N实体1
(N-1)SDU
N实体2
SAP
图2-2 协议实体间关系及数据单元
N实体1 N实体2
各层的协议由各层的实体实现，通信双方对等层中完 成相同协议功能的实体称为对等实体。对等实体按协 议进行通信，所以协议反映的是对等层的对等实体之 间的一种横向关系，严格地说，协议是对等实体共同 遵守的规则和约定的集合。
（1）加密机制：借助各种加密算法对存放的数 据和流通中的信息进行加密。DES算法已通过硬 件实现，效率非常高。
（2）数字签名：采用公钥体制，使用私钥进行 数字签名，使用公钥对签名信息进行证实。
（3）访问控制机制：根据访问者的身份和有关 信息，决定实体的访问权限。
（4）数据完整性机制：判断信息在传输过程中 是否被篡改过，与加密机制有关。
网络划分为资源子网和通信子网，如图2-3所示。 通信子网由通信设备和线路构成，资源子网由主机
和其他末端系统构成。交换结点属于通信子网，访 问结点属于资源子网。 因为主机也具有通信功能，所以严格地讲，主机中 负责底层通信的部分也应该属于通信子网。
资源子网
通信子网
图 2-3 通信子网和资源子网
（5）防抵赖性安全服务：是针对对方抵赖的防 范措施，用来证实发生过的操作，它可分为对发 送防抵赖、对递交防抵赖和进行公证。
2．安全机制 （1）加密机制 （2）数字签名机制 （3）访问控制 （4）数据完整性 （5）鉴别交换机制 （6）通信流量填充机制 （7）路由选择控制机制 （8）公证机制
各协议模块之间的关系 注意两点：
一是应用进程可以直接与网络层的模块打交道 一个下层模块要和多个上层模块进行交互。
应用层 应用进程 应用进程
应用进程
应用进程
传输层
TCP
UDP
网络层 网 络接口层
ICMP
IGMP
IP
ARP
RARP
网络接口 图 2-18 TCP/IP 协议模块关系
传输层为两台主机上的应用程序提供端到端的 通信。TCP/IP的传输层包含传输控制协议 TCP和用户数据报协议UDP。
应用层为用户提供一些常用的应用程序， TCP/IP给出了应用层的一些常用协议规范。
返回
开放系统互连参考模型与 TCP/IP的关系
国际标准化组织的开放系统互连模型与 TCP/IP协议层次的对应关系如图2-16所示。
（5）认证交换机制：用来实现同级之间的认证。
6）防业务流量分析机制：通过填充冗余的业务 流量来防止攻击者对流量进行分析，填充过的流 量需通过加密进行保护。
（7）路由控制机制：防止不利的信息通过路由。 目前典型的应用为网络层防火墙。
（8）公证机制：由公证人（第三方）参与数字 签名，它基于通信双方对第三者都绝对相信。目 前，因特网上有许多向用户提供此机制的服务。
ISO/OSI
TCP/IP
ISO/OSI是抽象的概念模型
TCP/IP是具体协议与实现
ISO/OSI复杂、效率低、大而全 TCP/IP单纯、简单、实用
ISO/OSI力量单薄，产品少
TCP/IP得到产业界的支持，应用广
ISO/OSI进展缓慢
TCP/IP完善速度快（IPv6）
返回
TCP/IP协议簇
TCP/IP是一个协议簇，其构成如图2-17所示。
20世纪70年代出现了多种网络体系结构。针对 这一问题，国际标准化组织ISO提出了著名的 开放系统互连参考模型ISO/OSI-RM。
OSI采用了如图2-4所示的七层参考模型。
设备 A
7
应用层
6
表示层
5
会话层
4
传输层
3
网络层
2 数据链路层
1
物理层
端到端协议
网络层 数据链路层
物理层
网络层 … 数据链路层
（1）对象认证安全服务：用于识别对象的身份 和对身份的证实。OSI环境可提供对等实体认证 和信源认证等安全服务。对等实体认证是用来验 证在某一关联的实体中，对等实体的声称是一致 的，它可以确认对等实体没有假冒身份；而信源 认证是用于验证所收到的数据来源与所声称的来 源是否一致，它不提供防止数据中途被修改的功 能。 （2）访问控制安全服务：提供对越权使用资源 的防御措施。访问控制可分为自主访问控制、强 制型访问控制、基于角色的访问控制，。实现机 制可以是基于访问控制属性的访问控制表、基于 安全标签或用户和资源分档的多级访问控制等
物理层定义的标准包括：EIA/TIA RS-232、 EIA/TIA RS-449、V.35、RJ-45等。
2 数据链路层（Datalink Layer） 数据链路层主要作用是控制网络层与物理层之间
的通信。它保证了数据在不可靠的物理线路上进 行可靠的传递。它把从网络层接收到的数据分割 成特定的可被物理层传输的帧，保证了传输的可 靠性。它的主要作用包括：物理地址寻址、数据 的成帧、流量控制、数据的检错、重发等。它是 独立于网络层和物理层的，工作时无需关心计算 机是否正在运行软件还是其他操作。
网络中不同主机之间的成功通信需要在许多 不同协议之间进行交互。执行某种通信功能 所需的一组内在相关协议称为协议簇。这些 协议通过加载到各台主机和网络设备中的软 件和硬件执行。
协议分层的好处：
网络协议的分层有利于将复杂的问题分解成多 个简单的问题，从而分而治之；
分层有利于网络的互联，进行协议转换时可能 只涉及某一个或几个层次而不是所有层次；
数据链路层协议的代表包括：SDLC、HDLC、 PPP、STP、帧中继等。
3 网络层（Network Layer）
很多用户经常混淆2层和3层的相关问题，简单来 说，如果你在谈论一个与IP地址、路由协议或地 址解析协议（ARP）相关的问题，那么这就是第 三层的问题。
网络层负责对子网间的数据包进行路由选择， 它通过综合考虑发送优先权、网络拥塞程度、服 务质量以及可选路由的花费来决定从一个网络中 两个节点的最佳路径。另外，它还可以实现拥塞 控制、网际互连等功能。