鼎力推荐网络协议层次和网络安全技术.doc

鼎力推荐网络协议层次和网络安全技术.doc

《鼎力推荐网络协议层次和网络安全技术.doc》由会员分享，可在线阅读，更多相关《鼎力推荐网络协议层次和网络安全技术.doc（4页珍藏版）》请在冰豆网上搜索。

1

1

111

网络协议层次和网络安全技术

中国联通乐山分公司邱东昕

摘要：

本文首先介绍了网络安全的形势，然后推出了开放系统互联（OSI）参考模型网络层次结构，分析了各层的功能。

在此基础上依不同的网络层次，介绍了各种网络安全技术。

关键词：

网络，协议，安全技术。

一、随着互联网的快速发展，各种安全技术应运而生。

INTERNET是世界上最大的互联网，它是全球最大的信息超级市场，目前Internet正成为人们不可缺少的工具。

INTERNET已遍及全世界，为一亿以上的用户提供了多样化的网络与信息服务。

在INTERNET上，EMAIL、新闻论坛等文本信息广为传播，网上电话、网上传真、静态及视频等通信技术也在不断地发展与完善。

在信息化社会中，网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。

社会对网络信息系统的依赖也日益增强。

当商户、银行与其他商业与金融机构在电子商务热潮中纷纷进入Internet，以政府上网为标志的数字政府使国家机关与Internet互联。

通过Internet实现包括个人、企业与政府的全社会信息共享已逐步成为现实。

随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增。

无论政府、商务，还是金融、媒体的网站都在不同程度上受到入侵与破坏。

"五一"期间，中美之间爆发了有史以来规模最大的"网络战争"，数以万计的中美黑客相互攻击对方的网站，数千家中美网站被黑或拒绝服务。

根据国家计算机网络与信息安全管理办公室（以下简称"国信安办"）的统计，"五一"中美黑客交手期间，中国被黑网站中，．ｇｏｖ的网站占３６．７％。

当然，自Internet问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，随着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出，各种安全技术也应运而生，加密技术、防火墙技术、代理技术、认证技术等等，多少让人有些无所适从。

下面我们将从网络协议的层次来谈一下这些安全技术，以利于用户正确、合理地应用各种安全技术。

二、网络的协议层次。

国际标准化组织建立了一个通信系统的标准化框架，称为开放系统互联（OSI）参考模型。

OSI体系结构将通信过程定义为七个层面的组合，每层均有其自身的以及与其他层相关的特定功能。

每一层均覆盖下一层的处理过程，并有效地将其与高层功能隔离。

通过这种方法，每层都提供一组必要的功能，并为其上的一层提供一组服务。

各层之间的隔离使得当给定的某层做了改动后，只要其支持的服务保持不变。

模型的其他层就不受影响。

这种分层结构的主要好处之一是允许用户混合使用符合OSI模型的通信产品，并剪裁其通信系统以满足特定的网络需求。

OSI参考模型如下图：

7

应用层

6

表示层

5

会话层

4

传输层

3

网络层

2

数据链路层

1

物理层

·  物理层（PhysicalLayer）

物理层的任务就是为它的上一层提供一个物理连接，以及它们的机械、电气、功能和过程特性。

如规定使用电缆和接头的类型，传送信号的电压等。

在这一层，数据还没有被组织，仅作为原始的位流或电气电压处理，单位是比特。

·  数据链路层（DataLinkLayer）

数据链路层负责在两个相邻结点间的线路上，无差错的传送以帧为单位的数据。

每一帧包括一定数量的数据和一些必要的控制信息。

和物理层相似，数据链路层要负责建立、维持和释放数据链路的连接。

在传送数据时，如果接收点检测到所传数据中有差错，就要通知发方重发这一帧。

·  网络层（NetworkLayer）

在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路，也可能还要经过很多通信子网。

网络层的任务就是选择合适的网间路由和交换结点，确保数据及时传送。

网络层将数据链路层提供的帧组成数据包，包中封装有网络层包头，其中含有逻辑地址信息——源站点和目的站点地址的网络地址。

·  传输层（TransportLayer）

该层的任务时根据通信子网的特性最佳的利用网络资源，并以可靠和经济的方式，为两个端系统（也就是源站和目的站）的会话层之间，提供建立、维护和取消传输连接的功能，负责可靠地传输数据。

在这一层，信息的传送单位是报文。

·  会话层（SessionLayer）

这一层也可以称为会晤层或对话层，在会话层及以上的高层次中，数据传送的单位不再另外命名，统称为报文。

会话层不参与具体的传输，它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。

·  表示层（PresentationLayer）

这一层主要解决拥护信息的语法表示问题。

它将欲交换的数据从适合于某一用户的抽象语法，转换为适合于OSI系统内部使用的传送语法。

即提供格式化的表示和转换数据服务。

·  应用层（ApplicationLayer）

应用层确定进程之间通信的性质以满足用户需要以及提供网络与用户应用软件之间的接口服务。

以上各层中，网络层最流行的协议是网际协议（IP），其报文格式如下：

版本

头标长

服务类型

总长

标识

标志

片偏移

生存时间

协议

头标校验和

源IP地址

目的IP地址

数据

填充域

…

流行的传输层协议是传输控制协议（TCP），用户数据报协议（UDP），其中TCP的报文格式如下：

源端口

目的端口

序号

确认号

头标长

保留

码位

窗口

校验和

紧急指针

选项

填充字节

数据

之所以介绍以上两种报文格式，是因为这两种报文是黑客经常攻击的对象，所以也是网络安全非常重要的环节。

三、由网络的开放系统互联（OSI）参考模型层次看网络的安全技术。

物理层的安全技术主要可以从以下几个方面来考虑。

   ．供配电系统：

数据中心的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断，做到无单点失效和平稳可靠，这就要求两路以上的市电供应，Ｎ＋１冗余的自备发电机系统，还有能保证足够时间供电的ＵＰＳ系统。

   ．防雷接地系统：

为了保证数据中心机房的各种设备安全，要求机房设有四种接地形式，即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。

   ．消防报警及自动灭火系统：

为实现火灾自动灭火功能，在数据中心的各个地方，还应该设计火灾自动监测及报警系统，以便能自动监测火灾的发生，并且启动自动灭火系统和报警系统。

   ．门禁系统：

对于大型数据中心，安全易用的门禁系统可以保证数据中心的物理安全，同时也可提高管理的效率，其中需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合。

   ．保安监控系统：

数据中心的保安监控包括几个系统的监控：

闭路监视系统、通道报警系统和人工监控系统。

数据链路层相关的安全技术的一个例子是基于MAC地址的VLAN。

人们在LAN上经常传送一些保密的、关键性的数据。

保密的数据应提供访问控制等安全手段。

一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了LAN中用户的数量，禁止未经允许而访问VLAN中的应用。

交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。

基于MAC地址的VLAN，要求交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时，根据需要将其划归至某一个VLAN。

不论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需对网络地址重新配置。

网络及传输层相关的安全技术的一个例子是包过滤技术。

包过滤技术：

通常安装在路由器上（网络层），对数据进行选择，它以IP包信息为基础，对IP源地址，IP目标地址、封装协议（TCP/UDP/ICMP/IPtunnel）、端口号等进行筛选，在OSI协议的网络层进行。

最常用的防火墙技术之一就是包过滤技术。

会话层相关的安全技术是信息确认技术。

安全系统的建立都依赖于系统用户之间存在的各种信任关系，目前在安全解决方案中，多采用二种确认方式。

一种是第三方信任，另一种是直接信任，以防止信息被非法窃取或伪造，可靠的信息确认技术应具有：

具有合法身份的用户可以校验所接收的信息是否真实可靠，并且十分清楚发送方是谁；发送信息者必须是合法身份用户，任何人不可能冒名顶替伪造信息；出现异常时，可由认证系统进行处理。

目前，信息确认技术已较成熟，如信息认证，用户认证和密钥认证，数字签名等，为信息安全提供了可靠保障。

表示层相关的安全技术是加密技术。

网络安全中，加密技术种类繁多，它是保障信息安全最关键和最基本的技术手段和理论基础，常用的加密技术分为软件加密和硬件加密。

1999年国家颁布了《商用密码使用条例》，信息加密的方法有对称密钥加密和非对称加密，二种方法各有其之所长。

*对称密钥加密，在此方法中加密和解密使用同样的密钥，目前广泛采用的密钥加密标准是DES算法，DES的优势在于加密解密速度快、算法易实现、安全性好，缺点是密钥长度短、密码空间小，“穷举”方式进攻的代价小，它们机制就是采取初始置换、密钥生成、乘积变换、逆初始置换等几个环节。

*非对称密钥加密，在此方法中加密和解密使用不同密钥，即公开密钥和秘密密钥，公开密钥用于机密性信息的加密；秘密密钥用于对加密信息的解密。

一般采用RSA算法，优点在于易实现密钥管理，便于数字签名。

不足是算法较复杂，加密解密花费时间长。

应用层相关的安全技术是代理服务技术。

代理服务技术：

通常由二部分构成，服务端程序和客户端程序、客户端程序与中间节点（ProxyServer）连接，中间节点与要访问的外部服务器实际连接，与包过滤防火墙不同之处在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。

由于代理服务程序工作在应用层，对外屏蔽了网络层的IP地址，所以以代理服务技术对付黑客攻击是非常行之有效的。

以上由网络协议的层次讨论了当前的主要安全技术，主要目的是方便大家在网络应用中综合考虑安全方案，正确、合理、高效地应用各种安全技术。