计算机网络安全第6章 开放系统互连安全体系结构.ppt

第6章 开放系统互连安全体系结构 6.1 网络体系结构及协议 6.2 OSI安全体系结构的5类安全服务 6.3 OSI安全体系结构的安全机制 6.4 OSI安全服务与安全机制的关系 6.5 在OSI层中的安全服务配置 6.6 OSI安全体系的安全管理 6.7 本章小结 习题 6.1 网络体系结构及协议 网络体系结构是计算机之间相互通信的层次，以及各层中的协议和层次之间接口的集合。网络协议是计算机网络和分布系统中互相通信的对等实体间交换信息时所必须遵守的规则的集合。 6.1.1 分层和协议 共享计算机网络的资源，以及在网络中交换信息，就需要实现不同系统中的实体的通信。实体包括用户应用程序、文件传送包、数据库管理系统、电子邮件设备以及终端等，系统包括计算机、终端和各种设备等。一般来说，实体是能发送和接收信息的任何东西，而系统是物理上明显的物体，它包含一个或多个实体。两个实体要想成功地通信，必须具有同样的语言。交流什么，怎样交流及何时交流，都必须遵从实体间都能接受的一些规则，这些规则的集合称为协议。 协议包含如下关键成分： （1） 语法(syntax)，包括数据格式、编码及信号电平等。 （2） 语义(semantics)，包括用于协调和差错处理的控制信息。 （3） 定时(timing)，包括速度匹配和排序。 由于不同系统中的实体间通信的任务十分复杂，不可能作为一个整体来处理，否则任何一方面发生变化，就要修改整个软件包。一种替代的办法是使用结构式的设计和实现技术，用分层或层次结构的协议集合。较低级别的、更原始的功能在较低级别的实体上实现，而它们又向较高级别的实体提供服务。图6.1表示一般的结构或协议集合，并画出了两个站经由多个交换网连接的情况。 图6.1 通信协议之间的关系 1号站和2号站都有一个或多个希望通信的应用程序。在图6.1中每一对通信协议之间的关系相似的实体中需要一种面向应用的协议，以协调两个应用模块的行动，并保证共同的语法和语义。这一协议无须知道有关中间通信网络设施的情况，但是要利用网络服务实体所提供的服务。网络服务实体与另一个站中的相应实体要有一个进程的协议，这一协议要处理诸如信息流控制和差错控制之类的事务。在1号站和A网之间以及2号站和B网之间也必须有协议。 6.1.2 开放系统互连参考模型 国际标准化组织ISO在1979年建立了一个分委员会来专门研究一种用于开放系统的体系结构，提出了开放系统互连（Open System Interconnection，OSI）模型，这是一个定义连接异种计算机的标准主体结构。由于ISO组织的权威性，使OSI协议成为广大厂商努力遵循的标准。OSI为连接分布式应用处理的“开放”系统提供了基础，“开放”这个词表示能使任何两个遵守参考模型的有关标准的系统进行连接。 OSI采用了分层的结构化技术。ISO分委员会的任务是定义一组层次和每层所完成的服务。划分层次时应该从逻辑上对功能进行分组。层次应该足够多，以使每一层小到易于管理，但是也不能太多，否则汇集各层的处理开销太大。OSI参考模型共有7层：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。如图6.2所示。 图6.2 OSI参考模型 OSI参考模型具有如下特性： 它是一种将异构系统互连的分层结构； 它提供了控制互连系统交互规则的标准骨架； 它定义了一种抽象结构，而并非具体实现的描述； 不同系统上的相同层的实体为同等层实体； 同等层实体之间的通信由该层的协议管理； 相邻层间的接口定义了原语操作的低层向上层提供的服务； 它所提供的公共服务是面向连接的或无连接的数据服务； 直接的数据传送仅在最低层实现； 每层完成所定义的功能，修改本层的功能并不影响其他层。 下面简要介绍各层的功能。 1.物理层 （1） 提供为建立、维护和拆除物理链路所需要的机械的、电气的、功能的和规程的特性。 （2） 提供有关在物理链路上传输非结构的位流以及故障检测指示。 2.数据链路层 （1） 在网络层实体间提供数据发送和接收的功能和过程。 （2） 提供数据链路的流控。 3.网络层 （1） 控制分组传送系统的操作、路由选择、拥挤控制、网络互联等功能，它的作用是将具体的物理传送对高层透明。 （2） 根据传输层的要求选择服务质量。 （3） 向传输层报告未恢复的差错。 4.传输层 （1） 提供建立、维护和拆除传送连接的功能。 （2） 选择网络层提供最合适的服务。 （3） 在系统之间提供可靠的、透明的数据传送，提供端到端的错误恢复和流量控制。 5.会话层 （1） 提供两进程之间建立、维护和结束会话连接的功能。 （2） 提供交互会话的管理功能，如3种数据流方向的控制，即一路交互、两路交替和两路同时会话模式。 6.表示层 （1） 代表应用进程协商数据