2.3 网络安全协议

数据参考：CISP官方 

目录

• OSI七层模型
• TCP/IP体系架构
• TCP/IP安全架构 

一、OSI七层模型

简介

        开放系统互连模型（Open System Interconnection Reference Model，OSI）是国际标准化组织（ISO）于1977年发布的一个标准参考模型，用于描述计算机系统和网络之间进行通信的基本过程和方法。于1983年成为ISO 7498国际标准。

OSI模型将网络通信分为七个不同的层级，每个层级都负责特定的功能。这些层级从底层到高层分别是：

1. 物理层（Physical Layer）：负责定义物理介质和电信号传输规范，处理物理连接及数据传输的基本操作。

2. 数据链路层（Data Link Layer）：负责将物理层传输的数据分割成数据帧，进行错误检测和纠正，并对数据帧进行访问控制。

3. 网络层（Network Layer）：负责实现数据在网络中的寻址和路由，通过选择合适的路径来传输数据。

4. 传输层（Transport Layer）：提供端到端的数据传输，可靠地传输数据，并在必要时进行数据分割和重组。

5. 会话层（Session Layer）：提供通信双方之间建立、管理和终止会话的能力。它还负责建立检查点以恢复中断的会话。

6. 表示层（Presentation Layer）：负责数据的格式化和表示，以确保不同计算机系统之间的数据能够正确解释和理解。

7. 应用层（Application Layer）：最接近用户的层级，提供各种应用程序的接口和服务，例如电子邮件、文件传输协议等。

通过将通信过程分解为不同层级，OSI模型使不同计算机系统能够进行互操作性，并促进了网络通信的标准化和发展。

值得注意的是，虽然OSI模型是一个重要的参考模型，但实际上，许多计算机网络通信协议并未严格遵循OSI模型的七层结构，而是将某些层级进行合并或重叠。

模型定义了网络中不同计算机系统进行通信的基本过程和方法

底层协议

• 偏重于处理实际的信息传输，负责创建网络通信连接的链路，包括物理层、数据链路层、网络层和传输层

高层协议

• 处理用户服务和各种应用请求，包括会话层、表示层和应用层

分层结构的优点

• 各层间相互独立
• 促进标准化工作
• 协议开发模块化
• 降低复杂性

数据封装与分用 (解封装) 

二、TCP/IP体系架构

简介

        TCP/IP是目前互联网中最基本的协议，也是互联网构成的基础协议。TCP/IP最早源于美国国防部的ARPA网项目 (一个军用通信网络)，经过多年的发展，其中的非涉密部分发展成今天的互联网。通常谈到TCP/IP指的是以TCP (传输控制协议) 和IP (网际协议) 为核心构成的协议族，是一组在不同层次上工作的多个协议的组合，通过TCP/IP，不同的信息处理设备可以相互传递数据。

TCP/IP体系架构包括链路层、网络层、传输层、应用层四层，每一层负责不同的功能

1. 链路层（网络接口层）：负责将数据转换为比特流进行物理传输。它定义了如何访问物理网络，并处理与物理介质相关的传输细节。常见的协议包括Ethernet、Wi-Fi等。

2. 网络层：负责在网络中寻址和路由数据包。最重要的协议是IP（网际协议），它定义了互联网上的唯一地址系统，用于标识和定位设备。

3. 传输层：提供端到端的可靠数据传输和错误恢复。最常用的传输协议是TCP（传输控制协议），它提供可靠的数据传输和流量控制。另外还有UDP（用户数据报协议），它提供无连接的数据传输，适用于实时应用或不需要可靠性的应用。

4. 应用层：提供各种网络服务和协议，使应用程序能够访问网络。它包括诸如HTTP（超文本传输协议）、FTP（文件传输协议）、SMTP（简单邮件传输协议）等协议，用于实现电子邮件、文件传输、网页浏览等功能。

TCP/IP协议族分层结构

链路层安全风险

• 链路层也称网络接口层或数据链路层，是TCP/IP的最底层，它负责接收来自网络层的IP数据报，并把数据报发送到指定的网络上，或从网络上接收物理帧，抽出网络层数据报，交给网络层。其主要协议有ARP和RARP协议。

安全问题

• 损坏：自然灾害、动物破坏、老化灰尘、温湿度、误操作
• 干扰：大功率电器/电源线路/电磁辐射
• 电磁泄漏：传输线路电磁泄漏
• 欺骗：ARP欺骗 - ：ARP（地址解析协议）欺骗是一种网络攻击方式，攻击者通过伪造ARP响应欺骗目标设备，导致数据流被劫持或信息泄露。
• 嗅探：常见二层协议是明文通信的
• 拒绝服务: mac flooding, arp flooding等

网络层安全风险

• 网络层也称作互联网络层，用于实现数据包在网络中正确的传递。IP (网际协议) 是网络层的核心协议，是上层协议和应用的基础。
• IP提供主机到主机的数据传送服务，目前广泛使用第四版IP ( IPv4）提供无连接不可靠的服务，不能为通信数据包提供完整性和机密性保护能力，也缺乏对IP地址的身份认证机制

安全问题

电子欺骗攻击

• IP地址欺骗攻击：攻击者可能伪造或冒用他人的IP地址，以获取未授权的访问或进行追踪、伪装等恶意行为。
• 源路由欺骗等：攻击者通过伪造源IP地址和路由信息，使数据包绕过网络中的安全措施，进一步隐藏其真实身份和位置。

拒绝服务攻击

• 碎片攻击：攻击者可能利用IP报文的碎片化机制，发送具有欺骗性负载或特殊片段的数据包，绕过防火墙或IDS/IPS等网络安全设备的检测和过滤。
• 死亡之ping：又称Ping of Death，是一种网络攻击方法。它利用很大的ICMP Echo Request数据包发送给目标设备，并超出了设备能够处理的正常范围。这可能导致设备无法正常处理这样大的数据包，造成设备崩溃或无法提供正常的网络服务，称为拒绝服务攻击。简单来说，死亡之Ping就像是发送一个特别大的数据包给一个设备，这个设备无法处理这么大的包，结果可能导致设备无法正常工作或无法继续提供正常的网络服务。

传输层安全风险

• 传输层主要为两台主机上的应用程序提供端到端的通信服务。传输层有TCP (传输控制协议）和UDP (用户数据报协议) 两个协议
• TCP通过三次握手提供一种可靠的、面向连接的数据通信服务
• UDP协议结构简单，占用资源少，处理效率高，能够提供无连接的不可靠的安全服务。

安全问题

TCP

• SYN Flood拒绝服务攻击
• 会话劫持攻击

UDP

• 流量型拒绝服务攻击 (例如 UDP Flood)

提供面向连接的、可靠的字节流服务

提供可靠性服务

• 数据包分块、发送接收确认、超时重发、数据校验、数据包排序控制流量
• ...... 

 

TCP三次握手

• 第一次握手（SYN-SENT）：客户端向服务器发送一个SYN包，其中SYN标志位被设置为1，同时客户端选择一个初始的序列号（ISN）。
• 第二次握手（SYN-RECEIVED）：服务器接收到客户端发送的SYN包后，应答一个ACK包和自己的SYN包。ACK包确认收到客户端的SYN包，并确认客户端的序列号，同时服务器选择自己的初始序列号。
• 第三次握手（ESTABLISHED）：客户端收到服务器的ACK包和SYN包后，确认收到服务器的SYN包并发送一个ACK包，确认服务器的序列号。这个ACK包到达服务器后，服务器和客户端的连接就正式建立起来。

TCP四次挥手

• 第一次挥手（FIN-WAIT-1）：连接的一方发送一个FIN包，表示自己已经完成数据的发送。
• 第二次挥手（CLOSE-WAIT）：对方接收到FIN包后，发送一个ACK包，确认收到FIN包，但自己还有数据要发送。
• 第三次挥手（FIN-WAIT-2）：对方完成数据的发送后，发送一个FIN包，表示自己也完成了数据的发送。
• 第四次挥手（TIME-WAIT）：连接的一方接收到FIN包后，发送一个ACK包，确认收到FIN包，并进入一个TIME-WAIT状态，等待一段时间后关闭连接。

为什么建立连接是三次握手,关闭连接确是四次挥手呢?

建立连接的时候，服务器在LISTEN状态下，收到建立连接请求的SYN报文后，把ACK和SYN放在一个报文里发送给客户端。

而关闭连接时，服务器收到对方的FIN报文时，仅仅表示对方不再发送数据了但是还能接收数据，而自己也未必全部数据都发送给对方了，所以己方可以立即关闭，也可以发送一些数据给对方后，再发送FIN报文给对方来表示同意现在关闭连接，因此，己方ACK和FIN一般都会分开发送，从而导致多了一次。

UDP协议提供面向事务的简单不可靠信息传送服务

特点

• 无连接、不可靠
• 协议简单、占用资源少，效率高
• ···· 

 

TCP和UDP协议对比：

• TCP设计用于传输对数据传输可靠性有严格要求的数据，例如SSL、TLS，由于tcp采用三次握手方式，攻击者可利用两次握手实施 SYN Flood攻击。
• UDP设计用于传输对实时性要求较高，但对数据传输可靠性没有严格要求的数据。例如网络视频、语音等。由于UDP协议的高效，攻击者可利用UDP协议产生大量的数据用于实施拒绝服务攻击(UDP FIood)。

应用层安全风险

• 应用层是TCP/IP体系的最高层，对应OSI模型的上三层 (应用层、表示层和会话层)，为运行在不同端系统上的应用程序进程提供报文传递服务。
• 典型的应用层协议包括网页浏览使用的HTTP (超文本传输协议)、收发电子邮件使用的SMTP (简单邮件传送协议) 和POP3 (邮局协议)、文件传输的 FTP (文件传输协议)等。不同的应用层协议实现差异较大，根据各自特性都有自身的安全性问题。

安全问题

• 身份认证简单，面临口令破解、身份伪造等攻击威胁；
• 使用明文传输数据，面临数据泄露、数据伪造等一系列问题，攻击者可通过嗅探等方式获取传输中的敏感信息；
• 缺乏数据完整性保护，面临数据破坏、篡改等问题，攻击者可通过更改用户提交的数据，从而实施欺诈。 

 TCP/IP协议族安全性问题随着互联网的发展日益突出，相关组织和专家也对协议进行不断的改善和发展，为不同层次设计了相应的安全通信协议，用于对不同层次的通信进行安全保护，从而形成了由各层次安全通信协议构成的TCP/IP协议族安全架构。

 

网络接口层

• 主要是对连接提供安全保障，通过建立专用通信链路，在主机或主机与路由器之间提供安全保护。该层安全通信协议主要有PPTP、L2TP等。

互联网络层

• 解决IP的安全问题，其主要安全通信协议是IPSeC协议。

传输层

• 传输层安主要在端到端实现，提供基于进程到进程的安全通信，其主要安全通信协议有SSL和TLS等协议。

应用层

• 根据特定应用的安全需要及其特点而设计的安全协议，如电子邮件安全协议S/MIME，安全超文本传输协议S-HTTP等。

三、TCP/IP安全架构

IPSec 

IPSec（互联网协议安全）是由IETF（互联网工程任务组）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合。

IPSec用于解决IP层上的安全性问题，并同时支持IPv4和IPv6网络。IPSec协议工作在IP层，提供多项安全服务，包括：

• 访问控制
• 无连接的完整性
• 数据源认证
• 机密性保护
• 有限的数据流机密性保护
• 抵御重放攻击

IPSec协议通过认证头协议（Authentication Header，AH）为IP数据报提供无连接的完整性和数据源认证，并提供防止重放攻击的保护。一旦建立安全连接，AH会尽可能地为IP头和上层协议数据提供足够的认证。

IPSec协议还通过封装安全载荷协议（Encapsulating Security Payload，ESP）对需要保护的数据进行加密，为这些数据提供保密性和完整性保护能力。ESP协议和AH协议可以单独使用，也可以同时使用，相互结合起来提供更强的安全性能。

SSL 

• SSL（安全套接层）是由网景公司于1990年开发的协议，用于保障Web通信的安全性。它的主要任务是提供私密性、信息完整性和身份认证。
• SSL使用对称密码算法中的密钥作为会话密钥，用于对会话的数据进行加密。而会话密钥的交换则使用非对称密码算法的公钥体系，确保了通信双方之间的数据传输的保密性和可靠性。这样，SSL为客户端应用和服务器应用之间的通信提供了安全保障。
• SSL之所以被广泛应用，主要是因为它能对数据进行加密，提供身份验证和消息完整性保护机制，并且支持为任何基于TCP的应用层协议提供安全保护。此外，SSL的部署也比较简单。

TLS 

TLS (传输层安全性协议) 是在SSL v3.0的基础上进行增强和修改后形成的安全通信协议，可以认为是SSL的后续版本，与SSL协议的差异非常微小，仅仅是在一些细节上有区别。TLS通过协商和认证，创建安全会话通道，任何应用层协议的数据在通过TLS协议进行传送时都受到保护。TLS协议的优势是与高层的应用层协议如HTTP、FTP、 Telnet等) 完全兼容，应用层协议能透明地运行在TLS协议之上，目前web访问使用的https协议，大多使用的HTTP协议和TLS1.2协议。