网络协议层次和网络安全技术计算机网络与通信_计算机-网络与通信.pdf

《网络协议层次和网络安全技术计算机网络与通信_计算机-网络与通信.pdf》由会员分享，可在线阅读，更多相关《网络协议层次和网络安全技术计算机网络与通信_计算机-网络与通信.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络协议层次和网络安全技术 1 1 1 1 1 网络协议层次和网络安全技术 中国联通乐山分公司 邱东昕 摘要：本文首先介绍了网络安全形势，然后推出了开放系统互联（OSI）参考模型网络层次结构，分析了各层功能。在此基础上依不同网络层次，介绍了各种网络安全技术。关键词：网络，协议，安全技术。一、随着互联网快速发展，各种安全技术应运而生。INTERNET 是世界上最大互联网，它是全球最大信息超级市场，目前 Internet正成为人们不可缺少工具。INTERNET 已遍及全世界，为一亿以上用户提供了多样化网络与信息服务。在 INTERNET 上，EMAIL、新闻论坛等文本信息广为传播，网上电话、网上传

2、真、静态及视频等通信技术也在不断地发展与完善。在信息化社会中，网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大作用。社会对网络信息系统依赖也日益增强。当商户、银行与其他商业与金融机构在电子商务热潮中纷纷进入 Internet，以政府上网为标志数字政府使国家机关与 Internet 互联。通过 Internet 实现包括个人、企业与政府全社会信息共享已逐步成为现实。随着网络应用范围不断扩大，对网络各类攻击与破坏也与日俱增。无论政府、商务，还是金融、媒体网站都在不同程度上受到入侵与破坏。五一期间，中美之间爆发了有史以来规模最大网络战争，数以万计中美黑客相互攻击对方网站，数

3、千家中美网站被黑或拒绝服务。根据国家计算机网络与信息安全管理办公室（以下简称国信安办）统计，五一中美黑客交手期间，中国被黑网站中，网站占。当然，自 Internet 问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，随着，计算机网络资源共享进一步加强随之而来信息安全问题也日益突出，各种安全技术也应运而生，加密技术、防火墙技术、代理技术、认证技术等等，多少让人有些无所适从。下面我们将从网络协议层次来谈一下这些安全技术，以利于用户正确、合理地应用各种安全技术。二、网络协议层次。国际标准化组织建立了一个通信系统标准化框架，称为开放系统互联（OSI）参考模型。OSI 体系结构将通信过程定义为七个

4、层面组合，每层均有其自身以及与其他层相关特定功能。每一层均覆盖下一层处理过程，并有效地将其与高层功能隔离。通过这种方法，每层都提供一组必要功能，并为其上一层提供一组服务。各层之间隔离使得当给定某层做了改动后，只要其支持服务保持不变。模型其他层就不受影响。这种分层结构主要好处之一是允许用户混合使用符合 OSI 模型通信产品，并剪裁其通信系统以满足特定网络需求。OSI 参考模型如下图：网络协议层次和网络安全技术 7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层 物 理 层(Physical Layer)物理层任务就是为它上一层提供一个物理连接，以及它们机械、电

5、气、功能和过程特性。如规定使用电缆和接头 类型，传送信号电压等。在这一层，数据还没有被组织，仅作为原始位流或电气电压处理，单位是比特。数 据 链 路 层(Data Link Layer)数据链路层负责在两个相邻结点间线路上，无差错传送以帧为单位数据。每一帧包括一定数量数据和一些必要控制信息。和物理层相似，数据链路层要负责建立、维持和释放数据链路连接。在传送数据时，如果接收点检测到所传数据中有差错，就要通知发方重发这一帧。网 络 层(Network Layer)在计算机网络中进行通信两个计算机之间可能会经过很多个数据链路，也可能还要经过很多通信子网。网络层任务就是选择合适网间路由和交换结点，确保

6、数据及时传送。网络层将数据链路层提供帧组成数据包，包中封装有网络层包头，其中含有逻辑地址信息 源站点和目站点地址网络地址。传 输 层(Transport Layer)该层任务时根据通信子网特性最佳利用网络资源，并以可靠和经济方式，为两个端系统（也就是源站和目站）会话层之间，提供建立、维护和取消传输连接功能，负责可靠地传输数据。在这一层，信息传送单位是报文。会 话 层(Session Layer)这一层也可以称为会晤层或对话层，在会话层及以上高层次中，数据传送单位不再另外命名，统称为报文。会话层不参与具体传输，它提供包括访问验证和会话管理在内建立和维护应用之间通信机制。表 示 层(Present

7、ation Layer)这一层主要解决拥护信息语法表示问题。它将欲交换数据从适合于某一用户抽象语法，转换为适合于 OSI 系统内部使用传送语法。即提供格式化表示和转换数据服务。应 用 层(Application Layer)应用层确定进程之间通信性质以满足用户需要以及提供网络与用户应用软件之间接口服务。安全形势然后推出了开放系统互联参考模型网络层次结构分析了各层功能在此基础上依不同网络层次介绍了各种网络安全技术关键词网络协议安全技术一随着互联网快速发展各种安全技术应运而生是世界上最大互联网它是全球最大论坛等文本信息广为传播网上电话网上传真静态及视频等信技术也在不断地发展与完善在信息化社会中网络

8、信息系统将在政治军事金融商业交电信文教等方面发挥越来越大作用社会对网络信息系统依赖也日益增强当商户银行与其他政府全社会信息共享已逐步成为现实随着网络应用范围不断扩大对网络各类攻击与破坏也与日俱增无论政府商务还是金融媒体网站都在不同程度上受到入侵与破坏五一期间中美之间爆发了有史以来规模最大网络战争数以万计中美黑网络协议层次和网络安全技术 以上各层中，网络层最流行协议是网际协议（IP），其报文格式如下：版本 头标长 服务类型 总长 标识 标志 片偏移 生存时间 协议 头标校验和 源 IP 地址 目 IP 地址 数据 填充域 流行传输层协议是传输控制协议（TCP），用户数据报协议（UDP），其中 T

9、CP报文格式如下：源端口 目端口 序号 确认号 头标长 保留 码位 窗口 校验和 紧急指针 选项 填充字节 数据 之所以介绍以上两种报文格式，是因为这两种报文是黑客经常攻击对象，所以也是网络安全非常重要环节。三、由网络开放系统互联（OSI）参考模型层次看网络安全技术。物理层安全技术主要可以从以下几个方面来考虑。供配电系统：数据中心供配电系统要求能保证对机房内主机、服务器、网络设备、通讯设备等电源供应在任何情况下都不会间断，做到无单点失效和平稳可靠，这就要求两路以上市电供应，冗余自备发电机系统，还有能保证足够时间供电系统。防雷接地系统：为了保证数据中心机房各种设备安全，要求机房设有四种接地形式，

10、即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。消防报警及自动灭火系统：为实现火灾自动灭火功能，在数据中心各个地方，还应该设计火灾自动监测及报警系统，以便能自动监测火灾发生，并且启动自动灭火系统和报警系统。门禁系统：对于大型数据中心，安全易用门禁系统可以保证数据中心物理安全，同时也可提高管理效率，其中需要注意原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式结合。保安监控系统：数据中心保安监控包括几个系统监控：闭路监视系统、通道报警系统和人工监控系统。安全形势然后推出了开放系统互联参考模型网络层次结构分析了各层功能在此基础上依不同网络层次介绍了各种网络安全技术关键词

11、网络协议安全技术一随着互联网快速发展各种安全技术应运而生是世界上最大互联网它是全球最大论坛等文本信息广为传播网上电话网上传真静态及视频等信技术也在不断地发展与完善在信息化社会中网络信息系统将在政治军事金融商业交电信文教等方面发挥越来越大作用社会对网络信息系统依赖也日益增强当商户银行与其他政府全社会信息共享已逐步成为现实随着网络应用范围不断扩大对网络各类攻击与破坏也与日俱增无论政府商务还是金融媒体网站都在不同程度上受到入侵与破坏五一期间中美之间爆发了有史以来规模最大网络战争数以万计中美黑网络协议层次和网络安全技术 数据链路层相关安全技术一个例子是基于 MAC 地址 VLAN。人们在 LAN上经常

12、传送一些保密、关键性数据。保密数据应提供访问控制等安全手段。一个有效和容易实现方法是将网络分段成几个不同广播组，网络管理员限制了 LAN中用户数量，禁止未经允许而访问 VLAN 中应用。交换端口可以基于应用类型和访问特权来进行分组，被限制应用程序和资源一般置于安全性 VLAN 中。基于 MAC 地址 VLAN，要求交换机对站点MAC 地址和交换机端口进行跟踪，在新站点入网时，根据需要将其划归至某一个 VLAN。不论该站点在网络中怎样移动，由于其 MAC 地址保持不变，因此用户不需对网络地址重新配置。网络及传输层相关安全技术一个例子是包过滤技术。包过滤技术：通常安装在路由器上（网络层），对数据进

13、行选择，它以 IP 包信息为基础，对 IP 源地址，IP 目标地址、封装协议（TCP/UDP/ICMP/IPtunnel）、端口号等进行筛选，在 OSI 协议网络层进行。最常用防火墙技术之一就是包过滤技术。会话层相关安全技术是信息确认技术。安全系统建立都依赖于系统用户之间存在各种信任关系，目前在安全解决方案中，多采用二种确认方式。一种是第三方信任，另一种是直接信任，以防止信息被非法窃取或伪造，可靠信息确认技术应具有：具有合法身份用户可以校验所接收信息是否真实可靠，并且十分清楚发送方是谁；发送信息者必须是合法身份用户，任何人不可能冒名顶替伪造信息；出现异常时，可由认证系统进行处理。目前，信息确认

14、技术已较成熟，如信息认证，用户认证和密钥认证，数字签名等，为信息安全提供了可靠保障。表示层相关安全技术是加密技术。网络安全中，加密技术种类繁多，它是保障信息安全最关键和最基本技术手段和理论基础，常用加密技术分为软件加密和硬件加密。1999年国家颁布了商用密码使用条例，信息加密方法有对称密钥加密和非对称加密，二种方法各有其之所长。*对称密钥加密，在此方法中加密和解密使用同样密钥，目前广泛采用密钥加密标准是 DES 算法，DES 优势在于加密解密速度快、算法易实现、安全性好，缺点是密钥长度短、密码空间小，“穷举”方式进攻代价小，它们机制就是采取初始置换、密钥生成、乘积变换、逆初始置换等几个环节。*

15、非对称密钥加密，在此方法中加密和解密使用不同密钥，即公开密钥和秘密密钥，公开密钥用于机密性信息加密；秘密密钥用于对加密信息解密。一般采用 RSA 算法，优点在于易实现密钥管理，便于数字签名。不足是算法较复杂，加密解密花费时间长。应用层相关安全技术是代理服务技术。代理服务技术：通常由二部分构成，服务端程序和客户端程序、客户端程序与中间节点（Proxy Server）连接，中间节点与要访问外部服务器实际连接，与包过滤防火墙不同之处在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。由于代理服务程序工作在应用层，对外屏蔽了网络层 IP 地址，所以以代理服务技术对付黑客攻击是非常行之有效。以

16、上由网络协议层次讨论了当前主要安全技术，主要目是方便大家在网络应用中综合考虑安全方案，正确、合理、高效地应用各种安全技术。安全形势然后推出了开放系统互联参考模型网络层次结构分析了各层功能在此基础上依不同网络层次介绍了各种网络安全技术关键词网络协议安全技术一随着互联网快速发展各种安全技术应运而生是世界上最大互联网它是全球最大论坛等文本信息广为传播网上电话网上传真静态及视频等信技术也在不断地发展与完善在信息化社会中网络信息系统将在政治军事金融商业交电信文教等方面发挥越来越大作用社会对网络信息系统依赖也日益增强当商户银行与其他政府全社会信息共享已逐步成为现实随着网络应用范围不断扩大对网络各类攻击与破坏也与日俱增无论政府商务还是金融媒体网站都在不同程度上受到入侵与破坏五一期间中美之间爆发了有史以来规模最大网络战争数以万计中美黑