精华内容
下载资源
问答
  • 1、网络体系结构的概念 计算机网络是由多个互联结点组成,结点之间需要不断地交换数据和控制信息。为了结点之间有条不紊地交换数据,每个结点必须遵守一些事先约定好规则。这些为网络数据交换而制定规则、...

    1、网络体系结构的概念

    计算机网络是由多个互联的结点组成,结点之间需要不断地交换数据和控制信息。为了在结点之间有条不紊地交换数据,每个结点必须遵守一些事先约定好的规则。这些为网络数据交换而制定的规则、约定与标准被称为网络协议。

    2、OSI/ISO参考模型

    基本概念

    0SI体系结构定义了开放系统的层次结构、层次之间的相互关系,以及各层所包括的可能的服务。

    OSI参考模型结构与各层功能

    ISO将整个通信功能划分为七个层次,划分层次的基本原则是:

    1、网络中的各个结点都具有相同的层次。
    2、不同结点的同等层都具有相同的功能。
    3、同一结点内部的相邻层之间通过接口来通信。
    4、每层使用其下层提供的服务,并向其上层提供服务。
    5、不同结点的同等层根据协议来实现对等层之间的通信。

    在这里插入图片描述

    0SI参考模型中的各层的主要功能如下:

    1、物理层
    物理层位于OSI参考模型的最低层。物理层的主要功能是利用物理传输介质,为数据链路层提供物理连接,以便透明地传输比特流。

    2、数据链路层
    在物理层提供的比特流传输服务的基础上,在通信的实体之间建立数据链路连接,在该链路上传输以帧作为单位的数据,并釆用差错控制与流量控制方法,将有差错的物理线路变成无差错的数据链路。

    3、网络层
    网络层通过路由选择算法为分组通过通信子网选择最适当的路径。网络层需要实现路由选择、拥塞控制与网络互联等功能。

    4、传输层
    传输层的主要任务是向用户提供可靠的端到端服务,以便透明地传输报文。传输层向高层屏蔽低层的数据通信细节,因此是网络体系结构中的关键层之一。

    5、会话层
    会话层主要用于组织两个会话进程之间的通信,并且对数据交换进行管理。

    6、表示层
    表示层处理在不同通信系统中交换的信息的表示方式,包括数据格式变换、数据加密与解密、数据压缩与恢复等功能。

    7、应用层
    应用层是OSI参考模型的最高层。应用层提供应用进程所需的信息交换和远程操作,以及通过代理完成一些信息交换所需的功能。

    3、TCP/IP参考模型与协议

    TCP/IP参考模型可以分为4个层次:应用层、传输层、互联层与主机-网络层。其中,应用层与OSI模型的应用层对应,传输层与OSI模型的传输层对应,互联层与OSI模型的网络层对应,主机-网络层与 OSI模型的数据链路层及物理层对应。OSI模型的表示层、会话层没有对应的层次。

    在这里插入图片描述

    TCP/IP模型的传输层定义了两种协议:传输控制协议(TCP)与用户数据报协议(UDP)。TCP协议是一种可靠的面向连接的协议。TCP协议能将一台主机的字节流无差错地传输到目的主机。UDP协议是一种不可靠的无连接协议。

    4、OSI参考模型与TCP/IP参考模型的比较

    结论:TCP/IP协议是目前公认的工业标准。

    造成OSI参考模型与协议不能流行的原因之一是其自身的缺陷。它在会话层在大多数的应用中很少使用,而表示层几乎是空的。数据链路层与网络层中有很多子层插入,使得该参考模型变得格外复杂。

    共同点:它们都采用层次结构的概念,在传输层中定义了相似的功能。

    不同点:两者在层次划分、协议定义上有很大区别。

    展开全文
  • 随着网络飞速发展 ,用户迫切要求能不同体系结构的网络间交换信息 ,不同网络能互联起来。 国际标准化组织ISO从1977年开始研究这个问题 ,并于1979年提出了 一个互联的标准框架 即,即著名的开放系统互联参

    第四章 4.1网络体系结构

    网络体系结构

    网络协议:为进行网络中的数据交换而建立的规则、标准或约定就是网络协议(Protocol)。
    计算机网络的体系结构:将计算机网络的各层及其协议的集合,称为计算机网络的体系结构( Architecture )。

    以下是两种典型的计算机网络体系结构

    OSI体系结构

    随着网络飞速发展 ,用户迫切要求能在不同体系结构的网络间交换信息 ,不同网络能互联起来。 国际标准化组织ISO从1977年开始研究这个问题 ,并于1979年提出了 一个互联的标准框架 即,即著名的开放系统互联参考模型(OSI/RM),简称OSI模型。1983年形成了OSI/RM的正式文件 ,即ISO 7498标准,即常见的七层协议的体系结构 。网络体系结构也可以定义为计算机网络 各层级 协议的集合 ,这样OSI本身就算不上一个网络体系结构, 因为没有定义每一层所用到的服务和协议 。体系结构是抽象的概念, 实现是具体的概念,实际运行的是硬件和软件。

    开放系统互联参考模型分七层 ,从低到高分别为物理层 、数据链路层、 网络层、 传输层、会话层表、示层和应用层 。

       1、物理层
    
       提供为建立、维护和拆除物理链路所需的机械、电气、功能和规程的特性;
    
       提供有关在传输介质上传输非结构的位流及物理链路故障检测指示。
    
       单位:位,Bit。
    
       相关设备:集线器(HUB),中继器。
    
       2、数据链路层
    
       负责在两个相邻节点间的线路上无差错地传送以帧为单位的数据,并进行流量控制。
    
       单位:帧。
    
       相关设备:网桥,交换机。
    
       3、网络层
    
       为传输层实体提供端到端的交换网络数据传送功能,使得传输层拜托路由选择、交换方式和拥挤控制等网络传输细节;
    
       可以为传输层实体建立、维持和拆除一条或多条通信路径;对网络传输中发生的不可恢复的差错予以报告。
    
       单位:包。
    
       相关设备:路由器,三层交换机。
    
       4、传输层
    
       为会话层实体提供透明、可靠的数据传输服务,保证端到端的数据完整性;
    
       选择网络层能提供最适宜的服务提供建立、维护和拆除传输连接功能。
    
       单位:段。
    
       5、会话层
    
       为彼此合作的表示层实体提供建立、维护和结束会话连接的功能,完成通信进程的逻辑名字与物理名字间的对应提供会话管理服务。
    
       6、表示层
    
       为应用层进程提供解释所交换信息含义的一组服务,即将欲交换的数据从适合于某一用户的抽象语法转换为适合于OSI系统内部使用的传送语法。
    
       7、应用层
    
       提供OSI用户服务,即确定进程之间通信的性质,以满足用户需要以及提供网络与用户应用软件之间的接口服务。
    

    TCP/IP 体系结构

    Internet采用了TCP/IP协议,如同OSI参考模型,TCP/IP也是一种分层模型。它是基于硬件层次上的四个概念性层次构成,即网络接口层、网际层、传输层、应用层

    下图为TCP/IP参考模型与OSI参考模型的对应关系

    在这里插入图片描述

    网络接口层:也称数据链路层,这是TCP/IP最底层。功能:负责接收IP数据报并发送至选定的网络。
    
    网络层:TCP/IP参考模型的网际层对应OSI的网络层。该层负责为经过逻辑互联网络路径的数据进行路由选择
    
    传输层:TCP/IP参考模型的传输层对应OSI的传输层。是提供应用层之间的通信,即端到端的通信。功能:管理信息流,提供可靠的传输服务,以确保数据无差错的地按序到达。
    
    应用层:TCP/IP参考模型的应用层包含了所有高层协议。该层与OSI的会话层、表示层和应用层相对应。
    

    TCP/IP模型的分界线

    协议地址分界线:以区分高层和低层的寻址,高层寻址使用IP地址,低层寻址使用物理地址。应用程序IP层之上的协议软件只使用IP地址,而网络接口层处理物理地址。

    操作系统分界线:以区分系统与应用程序。在传输层和应用层之间。

    展开全文
  • 网络安全体系  ISO 的 OSI/RM 是著名的网络架构模型,但是,OSI/RM 并没有安全性方面作专门的设计,因此该模型本身的安全性是很弱的。为了改善网络的安全状况,提高网络安全强度,ISO OSI/RM 的基础上提出...

     网络安全体系

        ISO 的 OSI/RM 是著名的网络架构模型,但是,OSI/RM 并没有在安全性方面作专门的设计,因此该模型本身的安全性是很弱的。为了改善网络的安全状况,提高网络安全强度,ISO 又在 OSI/RM 的基础上提出了一套 OSI 安全架构,用以强化网络的安全性。

    1 OSI 安全架构

        OSI 安全架构是一个面向对象的、多层次的结构,它认为安全的网络应用是由安全的服务实现的,而安全服务又是由安全机制来实现的。

        1.OSI 安全服务

        针对网络系统的技术和环境,OSI 安全架构中对网络安全提出了 5 类安全服务,即对象认证服务、访问控制服务、数据保密性服务、数据完整性服务、禁止否认服务。

        (1)对象认证服务。对象认证服务又可分为对等实体认证和信源认证,用于识别对等实体或信源的身份,并对身份的真实性、有效性进行证实。其中,对等实体认证用来验证在某一通信过程中的一对关联实体中双方的声称是一致的,确认对等实体中没有假冒的身份。信源认证可以验证所接收到的信息是否确实具有它所声称的来源。

        (2)访问控制服务。访问控制服务防止越权使用通信网络中的资源。访问控制服务可以分为自主访问控制、强制访问控制、基于角色的访问控制。由于 DAC、MAC 固有的弱点,以及 RBAC 的突出优势,所以 RBAC 一出现就成为在设计中最受欢迎的一种访问控制方法。访问控制的具体内容前面已有讲述,此处不再赘述。

        (3)数据保密性服务。数据保密性服务是针对信息泄漏而采取的防御措施,包括信息保密、选择段保密、业务流保密等内容。数据保密性服务是通过对网络中传输的数据进行加密来实现的。

        (4)数据完整性服务。数据完整性服务包括防止非法篡改信息,如修改、删除、插入、复制等。

        (5)禁止否认服务。禁止否认服务可以防止信息的发送者在事后否认自己曾经进行过的操作,即通过证实所有发生过的操作防止抵赖。具体的可以分为防止发送抵赖、防止递交抵赖和进行公证等几个方面。

        2.OSI 安全机制

        为了实现前面所述的 OSI 5 种安全服务,OSI 安全架构建议采用如下 8 种安全机制:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、流量填充机制、路由验证机制、公正机制。

        (1)加密机制。加密机制即通过各种加密算法对网络中传输的信息进行加密,它是对信息进行保护的最常用措施。加密算法有许多种,大致分为对称密钥加密与公开密钥加密两大类,其中有些(例如,DES 等)加密算法已经可以通过硬件实现,具有很高的效率。

       (2)数字签名机制。数字签名机制是采用私钥进行数字签名,同时采用公开密钥加密算法对数字签名进行验证的方法。用来帮助信息的接收者确认收到的信息是否是由它所声称的发送方发出的,并且还能检验信息是否被篡改、实现禁止否认等服务。

        (3)访问控制机制。访问控制机制可根据系统中事先设计好的一系列访问规则判断主体对客体的访问是否合法,如果合法则继续进行访问操作,否则拒绝访问。访问控制机制是安全保护的最基本方法,是网络安全的前沿屏障。

        (4)数据完整性机制。数据完整性机制包括数据单元的完整性和数据单元序列的完整性两个方面。它保证数据在传输、使用过程中始终是完整、正确的。数据完整性机制与数据加密机制密切相关。

        (5)鉴别交换机制。鉴别交换机制以交换信息的方式来确认实体的身份,一般用于同级别的通信实体之间的认证。要实现鉴别交换常常用到如下技术。

        ① 口令:由发送方提交,由接收方检测。

        ② 加密:将交换的信息加密,使得只有合法用户才可以解读。

        ③ 实体的特征或所有权:例如,指纹识别、身份卡识别等。

        (6)业务流填充机制。业务流填充机制是设法使加密装置在没有有效数据传输时,还按照一定的方式连续地向通信线路上发送伪随机序列,并且这里发出的伪随机序列也是经过加密处理的。这样,非法监听者就无法区分所监听到的信息中哪些是有效的,哪些是无效的,从而可以防止非法攻击者监听数据,分析流量、流向等,达到保护通信安全的目的。

        (7)路由控制机制。在一个大型的网络里,从源节点到目的节点之间往往有多种路由,其中有一些是安全的,而另一些可能是不安全的。在这种源节点到目的节点之间传送敏感数据时,就需要选择特定的安全的路由,使之只在安全的路径中传送,从而保证数据通信的安全。

        (8)公证机制。在一个复杂的信息系统中,一定有许多用户、资源等实体。由于各种原因,很难保证每个用户都是诚实的,每个资源都是可靠的,同时,也可能由于系统故障等原因造成信息延迟、丢失等。这些很可能会引起责任纠纷或争议。而公证机构是系统中通信的各方都信任的权威机构,通信的各方之间进行通信前,都与这个机构交换信息,从而借助于这个可以信赖的第三方保证通信是可信的,即使出现争议,也能通过公证机构进行仲裁。

        3.OSI 安全服务与安全机制之间的关系

        OSI 安全服务与安全机制之间不是一一对应的关系。有的服务需要借助多种机制来实线,同时,有些机制可以提供多种服务。一般来说,OSI 安全服务与安全机制之间具有如 表所示的关系,在设计中可以参考选用这些安全机制从而提供相应的安全服务。

    2 VPN 在网络安全中的应用

        虚拟专用网络(Virtual Private Network,VPN)是指利用不安全的公共网络如 Internet 等作为传输媒介,通过一系列的安全技术处理,实现类似专用网络的安全性能,保证重要信息的安全传输的一种网络技术。

        1.VPN 技术的优点

        VPN 技术具有非常突出的优点,主要包括:

        (1)网络通信安全。VPN 采用安全隧道等技术提供安全的端到端的连接服务,位于 VPN 两端的用户在 Internet 上通信时,其所传输的信息都是经过 RSA 不对称加密算法加密处理的,它的密钥则是通过 Diffie-Hellman 算法计算得出的,可以充分地保证数据通信的安全。

        (2)方便的扩充性。利用 VPN 技术实现企业内部专用网络,以及异地业务人员的远程接入等,具有方便灵活的可扩性。首先是重构非常方便,只需要调整配置等就可以重构网络;其次是扩充网络方便,只需要配置几个节点,不需要对已经建好的网络作工程上的调整。

        (3)方便的管理。利用 VPN 组网,可以把大量的网络管理工作放到互联网络服务提供商一端来统一实现,从而减轻了企业内部网络管理的负担。同时 VPN 也提供信息传输、路由等方面的智能特性及与其他网络设备相独立的特性,也给用户提供了网络管理的灵活的手段。

        (4)节约成本显著。利用已有的无处不在的 Internet 组建企业内部专用网络,可以节省大量的投资成本及后续的运营维护成本。以前,要实现两个远程网络的互联,主要是采用专线连接方式。这种方式成本太高。而 VPN 则是在 Internet 基础上建立的安全性较好的虚拟专用网,因此成本比较低,而且可以把一部分运行维护工作放到服务商端,又可以节约一部分维护成本。

         2.VPN 的原理

        实现 VPN 需要用到一系列关键的安全技术,包括:

        (1)安全隧道技术。即把传输的信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包中送入网络中,像普通数据包一样进行传输。经过这样的处理,只有源端和目标端的用户对加密封装的信息能进行提取和处理,而对于其他用户而言,这些信息只是无意义的垃圾。

        (2)用户认证技术。在连接开始之前先确认用户的身份,然后系统根据用户的身份进行相应的授权和资源访问控制。

        (3)访问控制技术。由 VPN 服务的提供者与最终网络信息资源的提供者共同协商确定用户对资源的访问权限,以此实现基于用户的访问控制,实现对信息资源的保护。


        VPN 系统的结构如图所示。


        在图中,安全隧道代理和管理中心组成安全传输平面(Secure Transmission Plane, STP),实现在 Internet 上安全传输和相应的系统管理功能。用户认证管理中心和密钥分配中心组成公共功能平面(Common Function Plane,CFP),它是安全传输平面的辅助平面,主要向用户代理提供相对独立的用户身份认证与管理、密钥的分配与管理功能。

        建立 VPN 通信时,VPN 用户代理向安全隧道代理请求建立安全隧道,安全隧道代理接受后,在管理中心的控制和管理下在 Internet 上建立安全隧道,然后向用户提供透明的网络传输。VPN 用户代理包括安全隧道终端功能、用户认证功能和访问控制功能三个部分,它们共同向上层应用提供完整的 VPN 服务。

        (1)安全传输平面。安全传输平面实现在 Internet 上安全传输和相应的系统管理功能,这是由安全隧道代理和管理中心共同完成的。

        ① 安全隧道代理。安全隧道代理可以在管理中心的控制下将多段点到点的安全通路连接成一条端到端的安全隧道。它是 VPN 的主体,其主要作用有:

    建立与释放安全隧道。按照用户代理的请求,在用户代理与安全隧道代理之间建立点到点的安全通道,并在这个安全通道中进行用户身份验证和服务等级协商等交互。在安全通道中进行初始化过程,可以充分保护用户身份验证等重要信息的安全。然后在管理中心的控制下建立发送端到接收端之间由若干点到点的安全通道依次连接而成的端到端的安全隧道。在信息传输结束之后,由通信双方中的任一方代理提出释放隧道连接请求,就可以中断安全隧道连接。

    用户身份的验证。在建立安全隧道的初始化过程中,安全隧道代理要求用户代理提交用户认证管理中心提供的证书,通过验证该证书可以确认用户代理的身份。必要时还可以由用户代理对安全隧道代理进行反向认证以进一步提高系统的安全性。

    服务等级的协商。用户身份验证通过之后,安全隧道代理与用户代理进行服务等级的协商,根据其要求与 VPN 系统当时的实际情况确定提供的服务等级并报告至管理中心。

    信息的透明传输。安全隧道建立之后,安全隧道代理负责通信双方之间信息的传输,并根据商定的服务参数进行相应的控制,对其上的应用提供透明的 VPN 传输服务。

    控制与管理安全隧道。在维持安全隧道连接期间,安全隧道代理还要按照管理中心的管理命令对已经建立好的安全隧道进行网络性能及服务等级等有关的管理与调整。

        ② VPN 管理中心。VPN 管理中心是整个 VPN 的核心部分,它与安全隧道代理直接联系,负责协调安全传输平面上的各安全隧道代理之间的工作。具体功能包括:

    安全隧道的管理与控制。确定最佳路由,并向该路由上包含的所有安全隧道代理发出命令,建立安全隧道连接。隧道建立以后,管理中心继续监视各隧道连接的工作状态,对出错的安全隧道,管理中心负责重新选择路由并将该连接更换到新的路由。在通信过程中,还可以根据需要向相应安全隧道上的代理发送管理命令,以优化网络性能、调整服务等级等。

    网络性能的监视与管理。管理中心不断监视各安全隧道代理的工作状态,收集各种 VPN 性能参数,并根据收集到的数据完成 VPN 性能优化、故障排除等功能。同时,管理中心还负责完成对各种 VPN 事件进行日志记录、用户计费、追踪审计、故障报告等常用的网络管理功能。

        (2)公共功能平面。公共功能平面是安全传输平面的辅助平面,向 VPN 用户代理提供相对独立的用户身份认证与管理、密钥的分配与管理功能,分别由用户认证管理中心和 VPN 密钥分配中心完成。

        ① 认证管理中心。认证管理中心提供用户身份认证和用户管理。用户认证就是以第三者身份客观地向 VPN 用户代理和安全隧道代理中的一方或双方提供用户身份的认证,以便他们能够相互确认对方的身份。

        用户管理是指与用户身份认证功能直接相关的用户管理部分,即对各用户(包括用户代理、安全隧道代理及认证管理中心等)的信用程度和认证情况进行日志记录,并可在 VPN 与建立安全隧道双方进行服务等级的协商时参考。这里的管理是面向服务的,而与用户权限、访问控制等方面有关的用户管理功能则不在此列。

        ② 密钥分配中心。密钥分配中心向需要进行身份验证和信息加密的双方提供密钥的分配、回收与管理功能。在 VPN 系统里,用户代理、安全隧道代理、认证管理中心等都是密钥分配中心的用户。

        采用 VPN 技术,既能保证整个企业网络的连通性与数据的共享,又能保证财务等重要数据的安全,是一种实现企业内部本地网络互连的良好方案。

     

    展开全文
  • 为了改善网络的安全状况,提高网络安全强度, ISO OSI /RM 的基础上提出了一套 OSI 安全架构,用以强化网络的安全性。 1 OSI 安全架构 OSI 安全架构是一个面向对象的、多层次的结构,它认为安全的网络应用是由...

    ISO 的 OSI /RM 是著名的网络架构模型,但是, OSI /RM 并没有在安全性方面作专门的设计,因此该模型本身的安全性是很弱的。为了改善网络的安全状况,提高网络安全强度, ISO 又在 OSI /RM 的基础上提出了一套 OSI 安全架构,用以强化网络的安全性。

    1 OSI 安全架构

    OSI 安全架构是一个面向对象的、多层次的结构,它认为安全的网络应用是由安全的服 务实现的,而安全服务又是由安全机制来实现的。

    1.1 OSI 安全服务

    针对网络系统的技术和环境, OSI 安全架构中对网络安全提出了5类安全服务,即对象认证服务 、 访问控制服务 、 数据保密性服务 、 数据完整性服务 、 禁止否认服务。

    (1)对象认证服务

    对象认证服务又可分为对等实体认证和信源认证,用于识别对等实体或信源的身份,并对身份的真实性 、 有效性进行证实。其中,对等实体认证用来验证在某一通信过程中的一对关联实体中双方的声称是一致的,确认对等实体中没有假冒的身份。信源认证可以验证所接收到的信息是否确实具有它所声称的来源。

    (2)访问控制服务

    访问控制服务防止越权使用通信网络中的资源。访问控制服务可以分为自主访问控制 、 强制访问控制 、 基于角色的访问控制。由于DAC 、 MAC固有的弱点,以及 RBAC 的突出优势,所以 RBAC 一出现就成为在设计中最受欢迎的一种访问控制方法。访问控制的具体内容前面已有讲述,此处不再赘述。

    (3)数据保密性服务

    数据保密性服务是针对信息泄漏而采取的防御措施,包括信息保密 、 选择段保密 、 业务流保密等内容。数据保密性服务是通过对网络中传输的数据进行加密来实现的。

    (4)数据完整性服务

    数据完整性服务包括防止非法篡改信息,如修改 、 删除 、 插入 、 复制等。

    (5)禁止否认服务

    禁止否认服务可以防止信息的发送者在事后否认自己曾经进行过的操作,即通过证实所有发生过的操作防止抵赖。具体的可以分为防止发送抵赖 、 防止递交抵赖和进行公证等几个方面。

    1.2 OSI 安全机制

    为了实现前面所述的 OSI 5 种安全服务, OSI 安全架构建议采用如下8种安全机制:加密机制 、 数字签名机制 、 访问控制机制 、 数据完整性机制 、 鉴别交换机制 、 流量填充机制 、 路由验证机制 、 公正机制。

    (1)加密机制

    加密机制即通过各种加密算法对网络中传输的信息进行加密,它是对信息进行保护的最常用措施。加密算法有许多种,大致分为对称密钥加密与公开密钥加密两大类,其中有些(例如, DES 等)加密算法已经可以通过硬件实现,具有很高的效率。

    (2)数字签名机制

    数字签名机制是采用私钥进行数字签名,同时采用公开密钥加密算法对数字签名进行验证的方法。用来帮助信息的接收者确认收到的信息是否是由它所声称的发送方发出的,并且还能检验信息是否被篡改 、 实现禁止否认等服务。

    (3)访问控制机制

    访问控制机制可根据系统中事先设计好的一系列访问规则判断主体对客体的访问是否合法,如果合法则继续进行访问操作,否则拒绝访问。访问控制机制是安全保护的最基本方法,是网络安全的前沿屏障。

    (4)数据完整性机制

    数据完整性机制包括数据单元的完整性和数据单元序列的完整性两个方面。它保证数据在传输 、 使用过程中始终是完整 、 正确的。数据完整性机制与数据加密机制密切相关。

    (5)鉴别交换机制

    鉴别交换机制以交换信息的方式来确认实体的身份,一般用于同级别的通信实体之间的认证。要实现鉴别交换常常用到如下技术 。① 口令:由发送方提交,由接收方检测 。② 加密:将交换的信息加密,使得只有合法用户才可以解读 。③ 实体的特征或所有权:例如,指纹识别 、 身份卡识别等。

    (6)业务流填充机制

    业务流填充机制是设法使加密装置在没有有效数据传输时,还按照一定的方式连续地向通信线路上发送伪随机序列,并且这里发出的伪随机序列也是经过加密处理的。这样,非法监听者就无法区分所监听到的信息中哪些是有效的,哪些是无效的,从而可以防止非法攻击者监听数据,分析流量 、 流向等,达到保护通信安全的目的。

    (7)路由控制机制

    在一个大型的网络里,从源节点到目的节点之间往往有多种路由,其中有一些是安全的,而另一些可能是不安全的。在这种源节点到目的节点之间传送敏感数据时,就需要选择特定的安全的路由,使之只在安全的路径中传送,从而保证数据通信的安全。

    (8)公证机制

    在一个复杂的信息系统中,一定有许多用户 、 资源等实体。由于各种原因,很难保证每个用户都是诚实的,每个资源都是可靠的,同时,也可能由于系统故障等原因造成信息延迟 、 丢失等。这些很可能会引起责任纠纷或争议。而公证机构是系统中通信的各方都信任的权威机构,通信的各方之间进行通信前,都与这个机构交换信息,从而借助于这个可以信赖的第三方保证通信是可信的,即使出现争议,也能通过公证机构进行仲裁。

    1.3 OSI 安全服务与安全机制之间的关系

    OSI 安全服务与安全机制之间不是一一对应的关系。有的服务需要借助多种机制来实线,同时,有些机制可以提供多种服务。一般来说, OSI 安全服务与安全机制之间具有如表所示的关系,在设计中可以参考选用这些安全机制从而提供相应的安全服务。

    安全机制\安全服务 对象认证 访问控制 数据保密性 数据完整性 防止否认
    加密
    数据签名
    访问控制
    数据完整性
    鉴别交换
    业务流填充
    路由控制
    公证

    2 VPN 在网络安全中的应用

    虚拟专用网络( Virtual Private Network , VPN )是指利用不安全的公共网络如 Internet 等作为传输媒介,通过一系列的安全技术处理,实现类似专用网络的安全性能,保证重要信息的安全传输的一种网络技术。

    2.1 VPN 技术的优点

    VPN 技术具有非常突出的优点,主要包括:

    (1)网络通信安全

    VPN 采用安全隧道等技术提供安全的端到端的连接服务,位于 VPN 两端的用户在 Internet 上通信时,其所传输的信息都是经过 RSA 不对称加密算法加密处理的,它的密钥则是通过 Diffie-Hellman 算法计算得出的,可以充分地保证数据通信的安全。

    (2)方便的扩充性

    利用 VPN 技术实现企业内部专用网络,以及异地业务人员的远程接入等,具有方便灵活的可扩性。首先是重构非常方便,只需要调整配置等就可以重构网络;其次是扩充网络方便,只需要配置几个节点,不需要对已经建好的网络作工程上的调整。

    (3)方便的管理

    利用 VPN 组网,可以把大量的网络管理工作放到互联网络服务提供商一端来统一实现,从而减轻了企业内部网络管理的负担。同时 VPN 也提供信息传输 、 路由等方面的智能特性及与其他网络设备相独立的特性,也给用户提供了网络管理的灵活的手段。

    (4)节约成本显着

    利用已有的无处不在的 Internet 组建企业内部专用网络,可以节省大量的投资成本及后续的运营维护成本。以前,要实现两个远程网络的互联,主要是采用专线连接方式。这种方式成本太高。而 VPN 则是在 Internet 基础上建立的安全性较好的虚拟专用网,因此成本比较低,而且可以把一部分运行维护工作放到服务商端,又可以节约一 部分维护成本。

    2.2 VPN 的原理

    实现 VPN 需要用到一系列关键的安全技术,包括:

    (1)安全隧道技术

    即把传输的信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包中送入网络中,像普通数据包一样进行传输。经过这样的处理,只有源端和目标端的用户对加密封装的信息能进行提取和处理,而对于其他用户而言,这些信息只是无意义的垃圾。

    (2)用户认证技术

    在连接开始之前先确认用户的身份,然后系统根据用户的身份进行相应的授权和资源访问控制。

    (3)访问控制技术

    由 VPN 服务的提供者与最终网络信息资源的提供者共同协商确定用户对资源的访问权限,以此实现基于用户的访问控制,实现对信息资源的保护。

    在上图中,安全隧道代理和管理中心组成安全传输平面( Secure Transmission Plane , STP ),实现在 Internet 上安全传输和相应的系统管理功能。用户认证管理中心和密钥分配中心组成公共功能平面( Common Function Plane , CFP ),它是安全传输平面的辅助平面,主要向用户代理提供相对独立的用户身份认证与管理 、 密钥的分配与管理功能。

    建立 VPN 通信时, VPN 用户代理向安全隧道代理请求建立安全隧道,安全隧道代理接受后,在管理中心的控制和管理下在 Internet 上建立安全隧道,然后向用户提供透明的网络传输 。 VPN 用户代理包括安全隧道终端功能 、 用户认证功能和访问控制功能三个部分,它们共同向上层应用提供完整的 VPN 服务。

    (1)安全传输平面

    安全传输平面实现在 Internet 上安全传输和相应的系统管理功能,这是由安全隧道代理和管理中心共同完成的 。

    ① 安全隧道代理。安全隧道代理可以在管理中心的控制下将多段点到点的安全通路连接成一条端到端的安全隧道。

    它是 VPN 的主体,其主要作用有:建立与释放安全隧道。按照用户代理的请求,在用户代理与安全隧道代理之间建立点到点的安全通道,并在这个安全通道中进行用户身份验证和服务等级协商等交互。在安全通道中进行初始化过程,可以充分保护用户身份验证等重要信息的安全。然后在管理中心的控制下建立发送端到接收端之间由若干点到点的安全通道依次连接而成的端到端的安全隧道。在信息传输结束之后,由通信双方中的任一方代理提出释放隧道连接请求,就可以中断安全隧道连接。用户身份的验证。

    在建立安全隧道的初始化过程中,安全隧道代理要求用户代理提交用户认证管理中心提供的证书,通过验证该证书可以确认用户代理的身份。必要时还可以由用户代理对安全隧道代理进行反向认证以进一步提高系统的安全性。服务等级的协商。用户身份验证通过之后,安全隧道代理与用户代理进行服务等级的协商,根据其要求与 VPN 系统当时的实际情况确定提供的服务等级并报告至管理中心。信息的透明传输。

    安全隧道建立之后,安全隧道代理负责通信双方之间信息的传输,并根据商定的服务参数进行相应的控制,对其上的应用提供透明的 VPN 传输服务。控制与管理安全隧道。在维持安全隧道连接期间,安全隧道代理还要按照管理中心的管理命令对已经建立好的安全隧道进行网络性能及服务等级等有关的管理与调整。

    ② VPN 管理中心 。 VPN 管理中心是整个 VPN 的核心部分,它与安全隧道代理直接联系,负责协调安全传输平面上的各安全隧道代理之间的工作。

    具体功能包括:安全隧道的管理与控制。确定最佳路由,并向该路由上包含的所有安全隧道代理发出命令,建立安全隧道连接。隧道建立以后,管理中心继续监视各隧道连接的工作状态,对出错的安全隧道,管理中心负责重新选择路由并将该连接更换到新的路由。在通信过程中,还可以根据需要向相应安全隧道上的代理发送管理命令,以优化网络性能 、 调整服务等级等。网络性能的监视与管理。管理中心不断监视各安全隧道代理的工作状态,收集各种 VPN 性能参数,并根据收集到的数据完成 VPN 性能优化 、 故障排除等功能。同时,管理中心还负责完成对各种 VPN 事件进行日志记录 、 用户计费 、 追踪审计 、 故障报告等常用的网络管理功能。

    (2)公共功能平面

    公共功能平面是安全传输平面的辅助平面,向 VPN 用户代理提供相对独立的用户身份认证与管理 、 密钥的分配与管理功能,分别由用户认证管理中心和 VPN 密钥分配中心完成 。

    ① 认证管理中心。认证管理中心提供用户身份认证和用户管理。用户认证就是以第三者身份客观地向 VPN 用户代理和安全隧道代理中的一方或双方提供用户身份的认证,以便他们能够相互确认对方的身份。用户管理是指与用户身份认证功能直接相关的用户管理部分,即对各用户(包括用户代理 、 安全隧道代理及认证管理中心等)的信用程度和认证情况进行日志记录,并可在 VPN 与建立安全隧道双方进行服务等级的协商时参考。这里的管理是面向服务的,而与用户权限 、 访问控制等方面有关的用户管理功能则不在此列 。

    ② 密钥分配中心。密钥分配中心向需要进行身份验证和信息加密的双方提供密钥的分配 、 回收与管理功能。在 VPN 系统里,用户代理 、 安全隧道代理 、 认证管理中心等都是密钥分配中心的用户。

    采用 VPN 技术,既能保证整个企业网络的连通性与数据的共享,又能保证财务等重要数据的安全,是一种实现企业内部本地网络互连的良好方案。


    展开全文
  • (1)TCP/IP概述 一、计算机网络的体系结构 1、计算机网络体系结构定义 ... 国际化标准组织(ISOIBMSAN基础上制定了网络体系结构国际标准是OSI/RM。 由DARPA(Defense Advanced Research Projects...
  • 第2章 计算机网络体系结构习题1.在ISO/OSI参考模型中同层对等实体之间进行信息交换时必须遵守规则称为 A.连接 B.接口 C.服务 D.协议2. OSI模型物理层负责功能是 A.格式化报文 B.为数据选择通过网络的路由C....
  • 网络计算机(NC)出现标志着计算机体系结构的革新,代表着未来计算机系统发展方向。由于网络计算机可以采用开放源码操作系统,为发展带有自主知识产权核心技术创造了有利条件。开放源代码操作系统中,...
  • 问题1-4:具有五层协议的体系结构中,如果下面一层使用面向连接服务或无连接服务,那么上面一层是否也必须使用同样性质服务呢?或者说,是否我们可以各层任意使用面向连接服务或无连接服务呢? 问题1-5...
  • 安全物联网参考架构

    2020-10-13 19:48:41
    一个由欧盟委员会花费4.999.083,75€(约合人民币4000万),基于中国主导国际物联网参考体系结构-《ISO/IEC 30141:2018Internet of Things (loT) — Reference Architecture》,而成立为解决物联网安全的项目。...
  • 组织ISMS设计和实施受业务需求和目标、安全需求、应用过程及组织规模、结构的影响。上述因素和他们支持系统预计会随事件而变化。希望根据组织需要去扩充ISMS实施,如,简单环境是用简单ISMS解决方案...
  • 一般都叫OSI参考模型,是ISO组织1985年研究的网络互连模型。该体系结构标准定义了网络互连的七层框架(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层),即OSI开放系统互连参考模型。 OSI:7层次...
  • 国际标准化组织(ISO),1984年颁布了开放系统互联(OSI)参考模型,一个开放式体系结构。将网络分为七层分别是: 应用层:网络服务与最终用户一个接口;人机交互窗口,把人语言输入到计算机当中。例如,QQ...
  • 计算机网络基本概述『可能有漏点,多多指教』1、计算机网络2、计算机网络的功能数据通信、资源共享、...四、OSI1、国际标准化组织(ISO)开放系统互连参考模型OSIOSI是一个开放式体系结构,它规定将网络分为七层2...
  • 一个开放式体系的结构,将网络分为七层 一、OSI七层参考模型: 1、应用层:网络服务与最终用户一个接口 人机交互窗口,把人语言输入到计算机当中。例如,QQ对话窗口输入字符。 2、表示层:数据表示、...
  • 由于各个计算机厂商都采用私有的网络模型,因此 给通信带来了诸多麻烦,ISO 于 1984 年颁布了 OSI 参考模型。OSI 参考模型是一个开放式 体系结构,它规定将网络分为七层,从下往上依次是物理层、数据链路层、网络层...
  • 计算机网络实用教程

    2015-12-11 00:35:44
    第5章 网络体系结构 109 5.1 简单局域网拓扑结构 109 5.1.1 总线形 110 5.1.2 环形 112 5.1.3 星形 113 5.2 混合局域网拓扑结构 113 5.2.1 星形环 114 5.2.2 星形总线 114 5.2.3 菊花链形 115 5.2.4 层次结构 115 ...
  •  29、基于对网络安全需求,网络操作系统一般采用四级安全保密机制,即注册安全,用户信任者权限,对答信任者权限屏蔽与  A、磁盘镜像 B、UPS监控  C、目录与文件属性 D、文件备份  Key: C  30、windows NT ...
  • RFC2401 Internet 协议的安全体系结构 RFC2403 ESP和AH中使用HMAC-MD5-96 RFC2404 ESP和AH中使用HMAC-SHA-1-96 RFC2406 IP 封装安全有效载荷 (ESP) RFC2407 Internet IP 用于解释ISAKMP安全域 RFC2408 ...
  • RFC中文文档-txt

    2009-09-11 14:56:56
    RFC2401 Internet 协议的安全体系结构 RFC2403 ESP和AH中使用HMAC-MD5-96 RFC2404 ESP和AH中使用HMAC-SHA-1-96 RFC2406 IP 封装安全有效载荷 (ESP) RFC2407 Internet IP 用于解释ISAKMP安全域 RFC2408 ...
  • 中文版RFC,共456

    2009-04-19 22:56:29
    RFC2401 Internet 协议的安全体系结构 RFC2403 ESP和AH中使用HMAC-MD5-96 RFC2404 ESP和AH中使用HMAC-SHA-1-96 RFC2406 IP 封装安全有效载荷 (ESP) RFC2407 Internet IP 用于解释ISAKMP安全域 RFC2408 ...
  • 说明 : 指定允许共享服务器体系结构用户会话总数。设置此参数可为专用服务器保留一些用户会话。 值范围: 0 到 SESSIONS - 5 默认值 : 派生: MTS_CIRCUITS 和 SESSIONS - 5 两者中较小值 shared_server_...
  • 数据交换需求规格说明书

    热门讨论 2011-03-01 14:57:51
    根据国家对网络与信息系统安全基本要求,结合多年从事信息安全管理工作实际体会,制定系统安全性评价指标体系时应遵循如下原则: (1)符合国家有关信息与信息系统安全的法律和法规。 (2)满足用户及应用...
  • ORACLE数据库系统是美国ORACLE公司(甲骨文)提供以分布式数据库为核心一组软件产品,是目前最流行客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。  拉里•埃里森  就业前景 从就业与择业...
  • 第二部分 Oracle Database 11g的体系结构、模式和事务管理 127 第5章 Oracle Database 11g体系结构 128 5.1 Oracle数据库结构 128 5.1.1 逻辑数据库结构 128 5.1.2 物理数据库结构 134 5.1.3 其他文件 ...
  • 会计理论考试题

    2012-03-07 21:04:40
    28.Windows98中文件系统结构是___C__形状。 A、网状 B、层次 C、树形 D、链状 29.显示卡速度对Windows98系统性能影响因素有___A____。 A、Windows98GUI特点 B、背景图案 C、屏幕保护程序 D、画笔 30.下列...
  • 4.3.4 SQL Server 2008使用的网络协议 78 4.3.5 为SQL Server 2008配置共享内存协议 79 4.3.6 为SQL Server 2008配置管道协议 80 4.3.7 为SQL Server 2008配置TCP/IP协议 84 4.3.8 配置客户端网络协议的使用...
  • 一.Linux下的网络服务.......................................................................................................24 二.几种重要的配置文件......................................................
  • from 阮一峰的网络日志 原文链接:https://paulmillr.com/posts/simple-description-of-popular-software-licenses/ Git使用教程:最详细、最傻瓜、最浅显、真正手把手教!from 龙恩0707 ...
  • 3.4.1.2 ISO9001质量管理体系认证证书 15 3.4.1.3 软件企业认证证书 15 3.4.1.4 计算机软件著作权登记书-SDK 15 3.4.1.5计算机软件著作权登记书-MAS 15 .4.1.6计算机软件著作权登记书-MMS 16 3.4.1.7计算机软件...
  • 大学文献检索资料 DOC

    2009-11-28 10:35:24
    ●IPC的体系结构(International Patent Classification ) IPC是以等级形式,将技术内容按部、大类、小类、主组、分组逐级分类,组成一个完整分类体系。 IPC共分为八大部,类号由A—H八个大写字母表示。 A部:...

空空如也

空空如也

1 2
收藏数 31
精华内容 12
关键字:

在iso的网络安全体系结构