OSI安全体系结构
目录
OSI安全体系结构
数据链路层:点到点通道协议(PPTP),以及第二层通道协议L2TP
网络层:IP安全协议(IPSEC)
传输层:安全套接字层(SSL)和传输层安全协议TLS
会话层:SOCKS代理技术
应用层:应用程序代理
OSI安全体系结构
建立七层模型主要是为解决异种网络互连时所遇到的兼容性问题。它的最大优点是将服务、接口和协议这三个概念明确地区分开来。也使网络的不同功能模块分担起不同的职责。也就是说初衷在于解决兼容性,但当网络发展到一定规模的时候,安全性问题就变得突出起来。所以就必须有一套体系结构来解决安全问题,于是 OSI 安全体系结构就应运而生。
OSI安全体系结构是根据OSI七层协议模型建立的。也就是说OSI安全体系结构与OSI七层是相对应的。在不同的层次上都有不同的安全技术。OSI安全体系结构如下图所示:
数据链路层:PPTP和L2TP
PPTP和L2TP都是二层隧道协议。
PPTP和L2TP有一个共同点,那就是他们都能封装PPP(Point To Point Protocol)协议。这是他们之间唯一的联系,那有人一定要问,PPP作为点对点协议用在拨号网络好好的,为什么要把它封装起来?传送门——> https://www.zhihu.com/question/20174552
PPTP(Point To Point Tunneling Protocol)点到点通道协议,是微软推出的一种支持多协议虚拟专用网的新型技术,它可以使远程用户通过Internet安全的访问企业网。也就是平时所用的VPN技术。使用此协议,远程用户可以通过任意一款网络操作系统以拨号方式连接到Internet,再通过公网连接到他们企业网络。即PPTP在所用的通道上做了一个简单的加密隧道。
L2TP(Layer 2 Tunnel Protocol)第二层通道协议,是Cisco的L2F与PPTP相结合的一个协议,是IETF标准协议。L2TP有一部分采用的是PPTP协议,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接。PPTP使用单一隧道,L2TP使用多隧道。L2TP提供包头压缩、隧道验证,而PPTP不支持。
两者的区别:
- L2TP是IETF标准协议,意味着各种设备厂商的设备之间用L2TP一般不会有问题;而PPTP是微软出的,有些非微软的设备不一定支持。
- L2TP使用AES或者3DES加密(256位密钥),用IPSec协商加密方式,并且有电脑/用户双重认证机制,而PPTP只支持MPPE(最多128位密钥),只用PPP协商加密方式,并只有用户一层认证机制,相对来说L2TP更安全。
- L2TP使用的IPSec,绝大多数防火墙都支持,而PPTP使用GRE,有些防火墙可能有问题
- L2TP由于封装了更多安全隧道的信息,所以开销更高,而PPTP开销低,所以相对而言PPTP速度更快。
通俗的说,就是如果我要用一个安全的方法,寄一个礼物给你,我有两种方法选择。一种是找一个铁盒子,把东西装在里面,锁(你和对方都有这把锁的钥匙),然后用快递发给你,这个就是PPTP;另外一种方法,我自己雇一个人,自己买一辆车,然后开车送过去。这个是L2TP。
PPTP除了数据,下层的协议都是不安全的,快递员是不安全的,车是不安全的,快递员尽管不能打开你的铁盒子,但是可以丢掉,或者另外找一个铁盒子代替他;而L2TP从数据链路层开始,都是安全的,车是安全的,人也是安全的,所以可以保证整个发送的过程都是可靠的。
另外,PPTP使用IP网络连接,对于网络的兼容性好;L2TP从数据链路层开始进行安全处理,需要交换节点以及网络服务提供商支持。
网络层:IP安全协议(IPSEC)
IPSec是三层隧道协议,IPV4在设计时,只考虑了信息资源的共享,没有过多的考虑到安全问题,因此无法从根本上防止网络层攻击。在现有的IPV4上应用IPSEC可以加强其安全性,IPSEC在网络层提供了IP报文的机密性、完整性、IP报文源地址认证以及抗伪地址的攻击能力。IPSEC可以保护在所有支持IP的传输介质上的通信,保护所有运行于网络层上的所有协议在主机间进行安全传输。IPSEC网关可以安装在需要安全保护的任何地方,如路由器、防火墙、应用服务器或客户机等。
IPSEC主要由三个协议组成:
- AH(Authentication Header)认证报头,提供对报文完整性的报文的源地址进行认证。
- ESP(Encapsulating Security Payload)封装安全载荷,提供对报文内容的加密和认证功能。
- IKE(Internet Key Exchange) Internet密钥交换,协商信源和信宿节点间保护IP报文的AH和ESP的相关参数,如加密、认证的算法和密钥、密钥的生存时间等。又称为安全联盟。 AH和ESP是网络层协议,IKE是应用层协议。一般情况下,IPSEC仅指网络层协议AH和ESP。由于 IPSEC服务是在网络层提供的,任何上层协议都可以使用到此服务。
相关文章:Ipsec VPN配置实例
传输层:安全套接字层(SSL)和传输层安全协议TLS
SSL安全套接层(Secure Sockets Layer,SSL)是网景公司(Netscape)在推出Web浏览器首版的同时,提出的协议。SSL采用公开密钥技术,保证两个应用间通信的保密性和 可靠性,使客户与服务器应用之间的通信不被攻击者窃听。可在服务器和客户机两端同时实现支持,目前已成为互联网上保密通讯的工业标准,现行Web浏览器普遍将Http和SSL相结合为HTTPS,从而实现安全通信。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议 (例如:Http、FTP、Telnet等等 ) 能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据 都会被加密,从而保证通信的私密性。
相关文章:SSL协议的工作过程
TLS(Transport Layer Security)传输层安全协议是确保互联网上通信应用和其用户隐私的协议。当服务器和客户机进行通信,TLS确保没有第三方能窃听或盗取信息。TLS是安全套接字层(SSL)的后继协议。TLS由两层构成:TLS记录协议和TLS握手协议。TLS记录协议使用机密方法,如数据加密标准(DES),来保证连接安全,TLS记录协议也可以不使用加密技术。TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定,并协商加密算法和密钥。TLS利用密钥算法在互联网上提供端点身份认证与通讯保密,其基础是公钥基础设施(public key infrastructure,PKI)。不过在实现的典型例子中,只有网络服务者被可靠身份验证,而其客户端则不一定。这是因为公钥基础设施普遍商业运营,电子签名证书相当昂贵,普通大众很难买得起证书。协议的设计在某种程度上能够使主从式架构应用程序通讯本身预防窃听、干扰(Tampering)、和 消息伪造。
会话层:SOCKS代理技术
SOCKS是一种网络代理协议,主要用于客户端与外网服务器之间通讯的中间传递。SOCKS是SOCKetS的缩写。
当防火墙后的客户端要访问外部的服务器时,就跟SOCKS代理服务器连接。这个代理服务器控制客户端访问外网的资格,允许的话,就将客户端的请求发往外部的服务器。这个协议最初由Devid Koblas开发,而后由NEC的Ying-Da Lee将其扩展到版本4。最新协议是版本5,与前一版本相比,增加支持UDP、验证,以及IPv6。根据OSI模型,SOCKS是位于应用层与传输层之间 的中间层。
相关文章:Socket和socks的区别
应用层:应用程序代理
应用程序代理工作在应用层之上,位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。并对应用层以下的数据透明。应用层代理服务器用于支持代理的应用层协议,如:HTTP、HTTPS、FTP、TELNET等。由于这些协议支持代理,所以只要在客户端的浏览器或其他应用软件中设置“代理服务器”项,设置好代理服务器的地址,客户端的所有请求将自动转发到代理服务器中。然后由代理服务器处理或转发该请求。