建立七層模型主要是為解決異種網絡互連時所遇到的兼容性問題。它的最大優點是將服務、接口和協議這三個概念明確地區分開來;也使網絡的不同功能模塊分擔起 不同的職責。也就是說初衷在於解決兼容性,但當網絡發展到一定規模的時候,安全性問題就變得突出起來。所以就必須有一套體系結構來解決安全問題,於是 OSI安全體系結構就應運而生。
OSI安全體系結構是根據OSI七層協議模型建立的。也就是說OSI安全體系結構與OSI七層是相對應的。在不同的層次上都有不同的安全技術。OSI安全體系結構如下圖所示:
|
每層相應的安全技術如下:
數據鏈路層:點到點通道協議(PPTP),以及第二層通道協議L2TP
點到點通道協議PPTP,英文全稱是Point – to – point Tunneling Protocol。是一種支持多協議虛擬專用網的新型技術,它可以使遠程用戶通過Internet安全的訪問企業網。也就是平時所用的VPN技術。使用此 協議,遠程用戶可以通過任意一款網絡操作系統以撥號方式連接到Internet,再通過公網連接到他們企業網絡。即PPTP在所用的通道上做了一個簡單的 加密隧道。
|
L2TP是Cisco的L2F與PPTP相結合的一個協議。L2TP有一部分采用的是PPTP協議,比如同樣可以對網絡數據流進行加密。不過也有不同之 處,比如PPTP要求網絡為IP網絡,L2TP要求面向數據包的點對點連接;PPTP使用單一隧道,L2TP使用多隧道;L2TP提供包頭壓縮、隧道驗 證,而PPTP不支持。
網絡層:IP安全協議(IPSEC)
IPV4在設計時,只考慮了信息資源的共享,沒有過多的考慮到安全問題,因此無法從根本上防止網絡層攻擊。在現有的IPV4上應用IPSEC可 以加強其安全性,IPSEC在網絡層提供了IP報文的機密性、完整性、IP報文源地址認證以及抗偽地址的攻擊能力。IPSEC可以保護在所有支持IP的傳 輸介質上的通信,保護所有運行於網絡層上的所有協議在主機間進行安全傳輸。IPSEC網關可以安裝在需要安全保護的任何地方,如路由器、防火牆、應用服務 器或客戶機等。
|
IPSEC主要由三個協議組成:
1. AH(Authentication Header)認證報頭,提供對報文完整性的報文的源地址進行認證。
2. ESP(Encapsulating Security Payload)封裝安全載荷,提供對報文內容的加密和認證功能。
3. IKE(Internet Key Exchange) Internet密鑰交換,協商信源和信宿節點間保護IP報文的AH和ESP的相關參數,如加密、認證的算法和密鑰、密鑰的生存時間等。又稱為安全聯盟。 AH和ESP是網絡層協議,IKE是應用層協議。一般情況下,IPSEC僅指網絡層協議AH和ESP。由於 IPSEC服務是在網絡層提供的,任何上層協議都可以使用到此服務。
傳輸層:安全套接字層(SSL)和傳輸層安全協議TLS
安全套接層(Secure Sockets Layer,SSL)是網景公司(Netscape)在推出Web瀏覽器首版的同時,提出的協議。SSL采用公開密鑰技術,保證兩個應用間通信的保密性和 可靠性,使客戶與服務器應用之間的通信不被攻擊者竊聽。可在服務器和客戶機兩端同時實現支持,目前已成為互聯網上保密通訊的工業標准,現行Web瀏覽器普 遍將Http和SSL相結合,從而實現安全通信。SSL協議的優勢在於它是與應用層協議獨立無關的。高層的應用層協議 (例如:Http、FTP、Telnet等等 ) 能透明的建立於SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商以及服務器認證工作。在此之后應用層協議所傳送的數據 都會被加密,從而保證通信的私密性。
|
傳輸層安全協議(TLS)是確保互聯網上通信應用和其用戶隱私的協議。當服務器和客戶機進行通信,TLS確保沒有第三方能竊聽或盜取信息。TLS是安全 套接字層(SSL)的后繼協議。TLS由兩層構成:TLS記錄協議和TLS握手協議。TLS記錄協議使用機密方法,如數據加密標准(DES),來保證連接 安全。TLS記錄協議也可以不使用加密技術。TLS握手協議使服務器和客戶機在數據交換之前進行相互鑒定,並協商加密算法和密鑰。TLS利用密鑰算法在互 聯網上提供端點身份認證與通訊保密,其基礎是公鑰基礎設施(public key infrastructure,PKI)。不過在實現的典型例子中,只有網絡服務者被可靠身份驗證,而其客戶端則不一定。這是因為公鑰基礎設施普遍商業運 營,電子簽名證書相當昂貴,普通大眾很難買得起證書。協議的設計在某種程度上能夠使主從式架構應用程序通訊本身預防竊聽、干擾(Tampering)、和 消息偽造。
會話層:SOCKS代理技術
SOCKS是一種網絡傳輸協議,主要用於客戶端與外網服務器之間通訊的中間傳遞。SOCKS是SOCKetS的縮寫。
當防火牆后的客戶端要訪問外部的服務器時,就跟SOCKS代理服務器連接。這個代理服務器控制客戶端訪問外網的資格,允許的話,就將客戶端的請 求發往外部的服務器。這個協議最初由Devid Koblas開發,而后由NEC的Ying-Da Lee將其擴展到版本4。最新協議是版本5,與前一版本相比,增加支持UDP、驗證,以及IPv6。根據OSI模型,SOCKS是位於應用層與傳輸層之間 的中間層。
應用層:應用程序代理
應用程序代理工作在應用層之上,位於客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當於一台真正的服務器;而從 服務器來看,代理服務器又是一台真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取 數據,然后再由代理服務器將數據傳輸給客戶機。由於外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。並對應 用層以下的數據透明。應用層代理服務器用於支持代理的應用層協議,如:HTTP、HTTPS、FTP、TELNET等。由於這些協議支持代理,所以只要在 客戶端的瀏覽器或其他應用軟件中設置“代理服務器”項,設置好代理服務器的地址,客戶端的所有請求將自動轉發到代理服務器中。然后由代理服務器處理或轉發 該請求。