浅谈OSI安全体系 – 作者:龙渊实验室LongYuanLab

一、什么是OSI安全体系？

网络通信分为七层，从下到上分别是：物理层（Physical Layer）、数据链路层（Data Link Layer）、网络层（NetWork Layer）、传输层（Transport Layer）、会话层（Session Layer）、表示层（Presentation Layer）以及应用层（Application Layer）。

其中数据链路层通常简称为链路层。建立七层模型主要是为解决异种网络互连时所遇到的兼容性问题。它的最大优点是将服务、接口和协议这三个概念明确地区分开来;也使网络的不同功能模块分担起不同的职责。也就是说初衷在于解决兼容性，但当网络发展到一定规模的时候，安全性问题就变得突出起来。所以就必须有一套体系结构来解决安全问题，于是 OSI安全体系结构就应运而生。OSI参考模型是由国际化标准组织制定的开放式通信系统互联参考模型(Open System Interconnection Reference Model,OSI/RM)。国际标准化组织于1989年在原有网络基础通信协议七层模型基础之上扩充了OSI参考模型，确立了信息安全体系结构，并于1995年再次在技术上进行了修正。OSI安全体系包括结构包括五类安全服务以及八类安全机制。

五类安全服务包括：认证（鉴别）服务、访问控制服务、数据保密性服务、数据完整性服务、抗否认性服务。

八类安全机制包括：认证机制、数字签名机制、访问控制机制、路由控制机制、加密机制、业务流填充机制、数据完整性机制、公证机制。

二、OSI相关模型结构图

1、OSI模型参考图

2、OSI模型对应的安全技术图

3、OSI安全体系参考模型图

4、OSI参考模型安全服务和安全机制的对应关系图

三、OSI各层安全技术简述

1、数据链路层：点到点通道协议(PPTP)，以及第二层通道协议L2TP

点到点通道协议PPTP，英文全称是Point to point Tunneling Protocol。是一种支持多协议虚拟专用网的新型技术，它可以使远程用户通过Internet安全的访问企业网。也就是平时所用的VPN技术。使用此协议，远程用户可以通过任意一款网络操作系统以拨号方式连接到Internet，再通过公网连接到他们企业网络。即PPTP在所用的通道上做了一个简单的加密隧道。

L2TP是Cisco的L2F与PPTP相结合的一个协议。L2TP有一部分采用的是PPTP协议，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接;PPTP使用单一隧道，L2TP使用多隧道;L2TP提供包头压缩、隧道验证，而PPTP不支持。

2、网络层：IP安全协议(IPSEC)

IPV4在设计时，只考虑了信息资源的共享，没有过多的考虑到安全问题，因此无法从根本上防止网络层攻击。在现有的IPV4上应用IPSEC可以加强其安全性，IPSEC在网络层提供了IP报文的机密性、完整性、IP报文源地址认证以及抗伪地址的攻击能力。IPSEC可以保护在所有支持IP的传输介质上的通信，保护所有运行于网络层上的所有协议在主机间进行安全传输。IPSEC网关可以安装在需要安全保护的任何地方，如路由器、防火墙、应用服务器或客户机等。

IPSEC主要由三个协议组成：

（1） AH(Authentication Header)认证报头，提供对报文完整性的报文的源地址进行认证。

（2）ESP(Encapsulating Security Payload)封装安全载荷，提供对报文内容的加密和认证功能。

（3）IKE(Internet Key Exchange)：Internet密钥交换，协商信源和信宿节点间保护IP报文的AH和ESP的相关参数，如加密、认证的算法和密钥、密钥的生存时间等。又称为安全联盟。AH和ESP是网络层协议，IKE是应用层协议。一般情况下，IPSEC仅指网络层协议AH和ESP。由于IPSEC服务是在网络层提供的，任何上层协议都可以使用到此服务。

3、传输层：安全套接字层(SSL)和传输层安全协议TLS

安全套接层(Secure Sockets Layer，SSL)是网景公司(Netscape)在推出Web浏览器首版的同时，提出的协议。SSL采用公开密钥技术，保证两个应用间通信的保密性和可靠性，使客户与服务器应用之间的通信不被攻击者窃听。可在服务器和客户机两端同时实现支持，目前已成为互联网上保密通讯的工业标准，现行Web浏览器普遍将Http和SSL相结合，从而实现安全通信。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如：Http、FTP、Telnet等等 )能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

传输层安全协议(TLS)是确保互联网上通信应用和其用户隐私的协议。当服务器和客户机进行通信，TLS确保没有第三方能窃听或盗取信息。TLS是安全套接字层(SSL)的后继协议。TLS由两层构成：TLS记录协议和TLS握手协议。TLS记录协议使用机密方法，如数据加密标准(DES)，来保证连接安全。TLS记录协议也可以不使用加密技术。TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定，并协商加密算法和密钥。TLS利用密钥算法在互联网上提供端点身份认证与通讯保密，其基础是公钥基础设施(public key infrastructure PKI)。不过在实现的典型例子中，只有网络服务者被可靠身份验证，而其客户端则不一定。这是因为公钥基础设施普遍商业运营，电子签名证书相当昂贵，普通大众很难买得起证书。协议的设计在某种程度上能够使主从式架构应用程序通讯本身预防窃听、干扰和消息伪造。

4、应用层：应用程序代理

应用程序代理工作在应用层之上，位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器;而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。并对应用层以下的数据透明。应用层代理服务器用于支持代理的应用层协议，如：HTTP、HTTPS、FTP、TELNET等。由于这些协议支持代理，所以只要在客户端的浏览器或其他应用软件中设置“代理服务器”项，设置好代理服务器的地址，客户端的所有请求将自动转发到代理服务器中。然后由代理服务器处理或转发该请求。

原文链接

来源：freebuf.com 2020-10-28 09:31:11 by: 龙渊实验室LongYuanLab