阅读量:13
目录
五、OSI与TCP/IP的区别
网络安全的目标是要保证网络的硬件、软件能正常运行,然后要保证数据信息交换的安全。
一、TCP/IP协议基础
1.TCP/IP的具体含义
从字面意义上讲,有人可能会认为 TCP/IP 是指 TCP 和 IP 两种协议。实际生活当中有时也确实就是指这两种协议。然而在很多情况下,它只是利用 IP 进行通信时所必须用到的协议群的统称。具体来说,IP 或 ICMP、TCP 或 UDP、TELNET 或 FTP、以及 HTTP 等都属于 TCP/IP 协议。他们与 TCP 或 IP 的关系紧密,是互联网必不可少的组成部分。TCP/IP 一词泛指这些协议,因此,有时也称 TCP/IP 为网际协议群。
互联网进行通信时,需要相应的网络协议,TCP/IP 原本就是为使用互联网而开发制定的协议族。因此,互联网的协议就是 TCP/IP,TCP/IP 就是互联网的协议。
网际协议群
2.数据包
包、帧、数据包、段、消息
以上五个术语都用来表述数据的单位,大致区分如下:
每个分层中,都会对所发送的数据附加一个首部,在这个首部中包含了该层必要的信息,如发送的目标地址以及协议相关信息。通常,为协议提供的信息为包首部,所要发送的内容为数据。在下一层的角度看,从上一层收到的包全部都被认为是本层的数据。
数据包首部
网络中传输的数据包由两部分组成:一部分是协议所要用到的首部,另一部分是上一层传过来的数据。首部的结构由协议的具体规范详细定义。在数据包的首部,明确标明了协议应该如何读取数据。反过来说,看到首部,也就能够了解该协议必要的信息以及所要处理的数据。包首部就像协议的脸。
3.数据处理流程
以用户 a 向用户 b 发送邮件为例子:
数据处理流程
4.TCP/IP在网络安全上的不足之处
拓展阅读:三次握手、四次挥手
首先,TCP/IP传输协议对互联网中各部分进行通信的标准和方法进行了规定,它包含和确立了一个四层的体系结构——应用层、传输层、网络层和数据链路层,保证网络数据信息及时、完整的传输和获取。但TCP/IP没有明显区分服务、接口和协议的概念。
其次,协议的链路层并不是通常意义上的一层。它是一个接口,处于网络层和数据链路层之间。
第三,TCP/IP模型不区分物理层和数据链路层。加上TCP/IP协议是建立在可信环境下,网络互连本身缺乏对安全方面的考虑。
同时,互联网的开放性也给“黑客”们以可乘之机,最常见的TCP/IP安全攻击包括:IP源地址欺骗、网络窥探、路由攻击、IP地址鉴别攻击等。
二、OSI安全体系结构
开放式系统互联模型(英语:OpenSystemInterconnection Model,缩写:OSI;简称为OSI模型)是一种概念模型。
该模型将通信系统中的数据流划分为七个层,从分布式应用程序数据的最高层表示到跨通信介质传输数据的物理实现。每个中间层为其上一层提供功能,其自身功能则由其下一层提供。功能的类别通过标准的通信协议在软件中实现。概念模型
%E6%A6%82%E5%BF%B5%E6%A8%A1%E5%9E%8B
第7层 应用层
应用层(Application Layer)提供为应用软件而设计的接口,以设置与另一应用软件之间的通信。例如:HTTP、HTTPS、FTP、Telnet、SSH、SMTP、POP3等。
第6层 表示层
表示层(Presentation Layer)把数据转换为能与接收者的系统格式兼容并适合传输的格式。
第5层 会话层
会话层(Session Layer)负责在数据传输中设置和维护计算机网络中两台计算机之间的通信连接。
第4层 传输层
传输层(Transport Layer)把传输表头(TH)加至资料以形成分组。传输表头包含了所使用的协议等发送信息。例如:传输控制协议(TCP)等。
第3层 网络层
网络层(Network Layer)决定数据的路径选择和转寄,将网络表头(NH)加至数据包,以形成分组。网络表头包含了网络资料。例如:互联网协议(IP)等。
第2层 数据链路层
数据链路层(Data Link Layer)负责网络寻址、错误侦测和改错。当表头和表尾被加至数据包时,会形成信息框(Data Frame)。数据链表头(DLH)是包含了物理地址和错误侦测及改错的方法。数据链表尾(DLT)是一串指示数据包末端的字符串。例如以太网、无线局域网(Wi-Fi)和通用分组无线服务(GPRS)等。
分为两个子层:逻辑链路控制(logical link control,LLC)子层和介质访问控制(Media access control,MAC)子层。
第1层 物理层
物理层(Physical Layer)在局域网上发送数据帧(Data Frame),它负责管理电脑通信设备和网络媒体之间的互通。包括了针脚、电压、线缆规范、集线器、中继器、网卡、主机接口卡等。
三、主动攻击与被动攻击
主动攻击与被动攻击的主要区别:
(1)是否破坏消息内容作为基本原则。
(2)被动攻击包括窃听和分析数据流,不会对内容作修改。
(3)主动攻击包括中断、篡改和伪造,会对内容作修改。篡改和伪造的区别:篡改是对系统的完整性进行攻击,部分内容有变化;伪造是对系统的真实性进行攻击,模仿内容和记录。
四、常见的网络安全的目标
牵扯到了可靠性、可用性、保密性、完整性、不可抵赖性、可控性等的概念。
1:可靠性
可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标。
网络信息系统的可靠性测度主要有三种:抗毁性、生存性和有效性。
抗毁性是指系统在人为破坏下的可靠性。比如,部分线路或节点失效后,系统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害(战争、地震等)造成的大面积瘫痪事件。
生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。这里,随机性破坏是指系统部件因为自然老化等造成的自然失效。
有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效情况下,满足业务性能要求的程度。比如,网络部件失效虽然没有引起连接性故障,但是却造成质量指标下降、平均延时增加、线路阻塞等现象。
可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。硬件可靠性最为直观和常见。软件可靠性是指在规定的时间内,程序成功运行的概率。人员可靠性是指人员成功地完成工作或任务的概率。人员可靠性在整个系统可靠性中扮演重要角色,因为系统失效的大部分原因是人为差错造成的。人的行为要受到生理和心理的影响,受到其技术熟练程度、责任心和品德等素质方面的影响。因此,人员的教育、培养、训练和管理以及合理的人机界面是提高可靠性的重要方面。环境可靠性是指在规定的环境内,保证网络成功运行的概率。这里的环境主要是指自然环境和电磁环境。
2:可用性
可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。
可用性还应该满足以下要求:身份识别与确认、访问控制(对用户的权限进行控制,只能访问相应权限的资源,防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制)、业务流控制(利用均分负荷方法,防止业务流量过度集中而引起网络阻塞)、路由选择控制(选择那些稳定可靠的子网,中继线或链路等)、审计跟踪(把网络信息系统中发生的所有安全事件情况存储在安全审计跟踪之中,以便分析原因,分清责任,及时采取相应的措施。审计跟踪的信息主要包括:事件类型、被管客体等级、事件时间、事件信息、事件回答以及事件统计等方面的信息。)
3: 保密性
保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。
常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、信息加密(在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)、物理保密(利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露)。
4: 完整性
完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成和正确存储和传输。
完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有:设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码)、人为攻击、计算机病毒等。
保障网络信息完整性的主要方法有:
协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段;
纠错编码方法:由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法;
密码校验和方法:它是抗窜改和传输失败的重要手段;
数字签名:保障信息的真实性;
公证:请求网络管理或中介机构证明信息的真实性。
5: 不可抵赖性
不可抵赖性也称作不可否认性,在网络信息系统的信息交互过程中,确信参与者的真实同一性。即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
6: 可控性
可控性是对网络信息的传播及内容具有控制能力的特性。
概括地说,网络信息安全与保密的核心是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储的消息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等。
针对以上个个特性,有以下安全业务进行解决。
(1)保密业务
保护数据以防被动攻击。保护方式可根据保护范围的大小分为若干级,其中最高级保护可在一定时间范围内保护两个用户之间传输的所有数据,低级保护包括对单个消息的保护或对一个消息中某个特定域的保护。保密业务还包括对业务流实施的保密,防止敌手进行业务流分析以获得通信的信源、信宿、次数、消息长度和其他信息。
(2)认证业务
用于保证通信的真实性。在单向通信的情况下,认证业务的功能是使接收者相信消息确实是由它自己所声称的那个信源发出的。在双向通信的情况下,例如计算机终端和主机的连接,在连接开始时,认证服务则使通信双方都相信对方是真实的(即的确是它所声称的实体);其次,认证业务还保证通信双方的通信连接不能被第三方介入,以假冒其中的一方而进行非授权的传输或接收。
(3)完整性业务
和保密业务一样,完整性业务也能应用于消息流、单个消息或一个消息的某一选定域。用于消息流的完整性业务目的在于保证所接收的消息未经复制、插入、篡改、重排或重放,即保证接收的消息和所发出的消息完全一样;这种服务还能对已毁坏的数据进行恢
复,所以这种业务主要是针对对消息流的篡改和业务拒绝的。应用于单个消息或一个消息某一选定域的完整性业务仅用来防止对消息的篡改。
(4)不可否认业务
用于防止通信双方中的某一方对所传输消息的否认,因此,一个消息发出后,接收者能够证明这一消息的确是由通信的另一方发出的。类似地,当一个消息被接收后,发出者能够证明这一消息的确已被通信的另一方接收了。
(5)访问控制
访问控制的目标是防止对网络资源的非授权访问,控制的实现方式是认证,即检查欲访问某一资源的用户是否具有访问权。
五、OSI与TCP/IP的区别
OSI参考模型中采用了7个层次的体系结构,而TCP/IP体系结构只划分了4个层次。值得注意的是,在一些问题的处理上,TCP/IP与OSI是很不相同的。例如:
(1)TCP/IP一开始就考虑到多种异构网互联问题,并将IP协议作为TCP/IP的重要组成部分。但ISO只考虑到使用一种标准的公用数据网将各种不同的系统连接起来。
(2)TCP/IP一开始就对面向连接服务和无连接服务并重,但是ISO在开始只考虑到了面向连接的服务,最后才考虑到面向无连接的服务。
(3)TCP/IP有较好的网络管理功能,而ISO到后来才考虑这个问题。
参考链接:
太厉害了,终于有人能把TCP/IP协议讲的明明白白了! - 51CTO.COM
