2.2 OSI参考模型及其安全体系
2.2.1 计算机网络体系结构
要形象地显示各种协议之间的交互,通常会使用分层模型。分层模型形象地说明了各层内协议的工作方式及其与上下层之间的交互。每一层实现相对独立的功能,每一层向上一层提供服务,同时接受下一层的服务。每一层不必知道下一层是如何实现的,只要知道下层通过层间的接口提供的服务是什么,以及本层向上层提供什么样的服务,就能独立地设计,这就是常说的网络层次结构。如图2-1所示,系统经过分层后,每一层次的功能相对简单且易于实现和维护。此外,某一层需要做改动或被替代时,只要不改变它和上、下层的接口服务关系,则其他层次不会受其影响,因此具有很大的灵活性。使用分层结构,既提供了描述网络功能和能力的通用语言,也有利于同时使用不同厂商的产品,促进竞争。
图2-1 网络的层次结构
参考模型为各类网络协议和服务之间保持一致性提供了通用的参考。参考模型的目的并不是作为一种实现规范,也不是为了提供充分的详细信息来精确定义网络体系结构的服务。学习参考模型的主要用途是帮助读者更清晰地理解网络的功能和过程。
2.2.2 OSI参考模型简介
开放系统互连参考模型(Open System Interconnection Reference Model,OSI-RM)最初由国际标准化组织(ISO)设计,旨在提供一套开放式系统协议的构建框架。早期网络刚刚出现的时候,很多大型的公司都拥有了网络技术,公司内部计算机可以相互连接,可是却不能与其他公司的计算机连接。因为没有一个统一的规范,计算机之间相互传输的信息对方不能理解,所以不能互连。而“开放”这个词表示能使任何两个遵守参考模型和有关标准的系统进行互连。
在OSI参考模型中,采用了三级抽象,包括体系结构、服务定义和协议规范。OSI参考模型的体系结构定义了一个7层模型,用以进行进程间的通信,并作为一个框架来协调各层标准的制定;OSI参考模型的服务定义描述了各层所提供的服务,以及层与层之间的抽象接口和用于交互的服务原语;OSI参考模型各层的协议规范,定义了应当发送何种控制信息及用何种过程来解释该控制信息。
1.OSI参考模型的层次结构
OSI参考模型将整个通信网络划分为7层,OSI参考模型如图2-2所示,主机A和主机B可以看成资源子网中的主机,可以参照这个7层模型理解整个通信过程。在OSI参考模型中,从下到上依次为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。从图2-2可以理解数据在网络中传输的详细过程,主机A和主机B涉及了整个OSI参考模型中的7层,即资源子网;但在连接部分,一般只需要最低的3层(路由)甚至两层(交换)的功能就可以了,即通信子网。OSI参考模型7层的定义和功能如下。
图2-2 网络通信的OSI参考模型
1)物理层(Physical Layer):物理层是OSI参考模型的最底层,它定义了通信介质的机械特性、电气特性、功能特性和过程特性,是激活、维护和拆除网络设备之间的数据传输而使用的物理连接。
2)数据链路层(DataLink Layer):描述了设备之间通过公共介质交换数据帧的方法。数据链路层检测和校正物理层可能发生的错误。数据链路层将从其上层接收的数据包封装成特定格式的数据单元,这种数据单元称为“帧”,在帧中除了数据部分外还附加了一些控制信息,如帧类型、流量控制、差错控制信息等,可以实现数据流控制、差错控制及发送顺序控制等功能。
3)网络层(Network Layer):网络层主要实现线路交换、路由选择和网络拥塞控制等功能,保证信息包在接收端以准确的顺序接收。
4)传输层(Transport Layer):传输层定义了数据分段、重组和传输服务。传输层提供了两端点之间可靠的、透明的数据传输,执行端到端的差错控制、流量控制及管理多路复用。
5)会话层(Session Layer):会话层为表示层提供组织对话和管理数据交换的服务。它建立、维护和同步通信设备之间的交互操作,保证每次会话都正常关闭。会话层建立和验证用户之间的连接,控制数据交换,决定以何种顺序将对话单元传送到传输层,决定传输过程中哪一点需要接收端的确认。
6)表示层(Presentation Layer):表示层对应用层服务之间传输的数据规定了通用的表示方式。不同的计算机系统中数据的表示不同,通过表示层的处理可以消除不同实体之间的差异。还可以代表应用进程协商数据表示,完成数据转换、格式化和文本压缩等功能。
7)应用层(Application Layer):应用层为不同用户提供实现使用网络服务连接的接口,它直接为网络用户或应用程序提供各种网络服务。应用层提供的网络服务包括文件服务、事务管理服务、网络管理服务、数据库服务等。
2.2.3 ISO/OSI安全体系
ISO/OSI安全体系包含4部分内容:安全服务、安全机制、安全管理和安全层次,其中安全机制是其核心内容之一。
1.安全服务
ISO/OSI安全服务是指计算机网络提供的安全防护措施。国际标准化组织(ISO)定义了以下几种基本的安全服务:认证服务、访问控制、数据机密性服务、数据完整性服务、抗否认服务。
(1)认证服务
认证可分为对等实体认证和数据源发认证。对等实体认证是指参与通信连接或会话的一方向另一方提供身份证明,接收方通过一定的方式来鉴别实体所提供的身份证明的真实性。数据源发认证是指某个数据的发送者在发送数据时向接收方提交身份证明,这个身份证明同具体的某些数据关联,用于确认接收到的数据的来源的真实性。
(2)访问控制
访问控制是指只有经过授权的实体才能访问受保护的资源,防止未经授权的实体查看、修改、销毁资源等。访问控制对于保障系统的机密性、完整性、可用性及合法使用具有重要作用。
(3)数据机密性服务
这种服务就是保护信息不泄露给那些没有授权的实体。包含连接保密、无连接保密、选择字段保密、分组流保密。
(4)数据完整性服务
这种服务对付主动威胁,保证数据在从起点到终点的传输过程中,如果因为机器故障或人为的原因而造成数据的丢失、被篡改等问题,接收端能够知道或恢复这些改变,从而保证接收到的数据的真实性。数据完整性服务包含可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性、选择字段无连接完整性。
(5)抗否认服务
“否认”是指参与通信的一方事后不承认曾发生过本次信息交换,常见于电子商务中。数字签名就是针对这种威胁的。
2.安全机制
ISO 7408-2中制定了支持安全服务的8种安全机制,分别如下。
(1)加密机制(Enciphermant Mechanisms)
加密就是对数据进行密码变换以产生密文。利用加密机制可以提供数据的安全保密,也可以提供通信的保密。
(2)数字签名机制(Digital Signature Mechanisms)
数字签名是对附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种变换可以使数据单元的接收者确认数据单元的来源和完整性,并使发送者能有效地保护数据,防止被人伪造。
(3)访问控制(Access Control Mechanisms)
访问控制是依据实体所具有的权限,对实体提出的资源访问请求加以控制。访问控制机制依据该实体已鉴别的身份,或使用有关该实体的信息及该实体的权利进行。
(4)数据完整性(Data Intergrity Mechanisms)
数据完整性机制保证接收者能够鉴别收到的消息是否为发送者发送的原始数据。
(5)鉴别交换机制(Authentication Mechanisms)
这种机制可提供对等实体鉴别,在鉴别实体时得到否定的结果,就会导致连接被拒绝或终止,或在安全审计跟踪中增加一个记录,或向安全管理中心报警。
(6)通信流量填充机制(Traffic Padding Mechanisms)
通信流量填充机制用来防止攻击者通过对通信双方的数据流量分析,根据流量的变化来推出一些有用的信息或线索。
(7)路由选择控制机制(Routing Control Mechanisms)
路由选择控制机制是发送者对数据通过网络的路径加以控制,选择相对较安全的网络节点,以提高信息的安全性。
(8)公证机制(Notarization Mechanisms)
公证机制是指由通信各方都信任的第三方来确保数据的完整性,以及数据源、时间及目的地的正确性。
安全服务基本机制直接地保护计算机网络安全,但真正实现这些机制必须有下面一些机制的配合,使安全服务满足用户需求。这些机制的实现与网络层次没有必然的联系,它们侧重于安全管理方面,主要包括:安全机制可信度评估、安全标识、安全审计、安全响应与恢复。安全服务与安全机制的关系见表2-1。
表2-1安全机制与安全服务关系表(“√”代表该机制提供此安全服务)
3.安全管理
ISO/OSI安全管理分为系统安全管理、安全服务管理和安全机制管理3个部分。
系统安全管理包括安全策略管理、事件处理管理、安全审计管理、安全恢复管理等。安全服务管理包括为服务决定与指派目标安全保护、指定与维护选择规则、为选择的安全服务而特定的安全机制、对那些需要事先取得管理同意的可用安全机制进行协商、通过适当的按机制管理功能调用特定的安全机制。安全机制管理包括密钥管理、加密管理、数字签名管理、访问控制管理、数据完整性管理、鉴别管理、通信业务填充管理、路由选择控制管理和公证管理等。
4.安全层次
ISO/OSI安全体系是通过在不同的网络层上分布不同的安全机制来实现的,这些安全机制是为了满足相应的安全服务所必须选择的,其在不同网络层上的分布见表2-2。
表2-2 安全服务与OSI层次关系表
OSI的安全体系主要是针对网络协议的有关部分,相对于保证网络安全来说,可能是不完整的。当前主要使用的网络系统是Internet或基于TCP/IP参考模型的Intranet等,因此,基于TCP/IP参考模型的网络安全显得更为重要。