OSI安全體系結構

osi安全體系結構

資料鏈路層：點到點通道協議(pptp)，以及第二層通道協議l2tp

網路層：ip安全協議(ipsec)

傳輸層：安全套接字層(ssl)和傳輸層安全協議tls

會話層：socks**技術

應用層：應用程式**

建立七層模型主要是為解決異種網路互連時所遇到的相容性問題。它的最大優點是將服務、介面和協議這三個概念明確地區分開來。也使網路的不同功能模組分擔起不同的職責。也就是說初衷在於解決相容性，但當網路發展到一定規模的時候，安全性問題就變得突出起來。所以就必須有一套體系結構來解決安全問題，於是 osi 安全體系結構就應運而生。

osi安全體系結構是根據osi七層協議模型建立的。也就是說osi安全體系結構與osi七層是相對應的。在不同的層次上都有不同的安全技術。osi安全體系結構如下圖所示：

pptp和l2tp都是二層隧道協議。

pptp和l2tp有乙個共同點，那就是他們都能封裝ppp(point to point protocol)協議。這是他們之間唯一的聯絡，那有人一定要問，ppp作為點對點協議用在撥號網路好好的，為什麼要把它封裝起來？傳送門——>

pptp(point to point tunneling protocol)點到點通道協議，是微軟推出的一種支援多協議虛擬專用網的新型技術，它可以使遠端使用者通過internet安全的訪問企業網。也就是平時所用的vpn技術。使用此協議，遠端使用者可以通過任意一款網路作業系統以撥號方式連線到internet，再通過公網連線到他們企業網路。即pptp在所用的通道上做了乙個簡單的加密隧道。

l2tp(layer 2 tunnel protocol)第二層通道協議，是cisco的l2f與pptp相結合的乙個協議，是ietf標準協議。l2tp有一部分採用的是pptp協議，比如同樣可以對網路資料流進行加密。不過也有不同之處，比如pptp要求網路為ip網路，l2tp要求面向資料報的點對點連線。pptp使用單一隧道，l2tp使用多隧道。l2tp提供包頭壓縮、隧道驗證，而pptp不支援。

兩者的區別：

通俗的說，就是如果我要用乙個安全的方法，寄乙個禮物給你，我有兩種方法選擇。一種是找乙個鐵盒子，把東西裝在裡面，鎖（你和對方都有這把鎖的鑰匙），然後用快遞發給你，這個就是pptp；另外一種方法，我自己僱乙個人，自己買一輛車，然後開車送過去。這個是l2tp。

pptp除了資料，下層的協議都是不安全的，快遞員是不安全的，車是不安全的，快遞員儘管不能開啟你的鐵盒子，但是可以丟掉，或者另外找乙個鐵盒子代替他；而l2tp從資料鏈路層開始，都是安全的，車是安全的，人也是安全的，所以可以保證整個傳送的過程都是可靠的。

另外，pptp使用ip網路連線，對於網路的相容性好；l2tp從資料鏈路層開始進行安全處理，需要交換節點以及網路服務提供商支援。

ipsec是三層隧道協議，ipv4在設計時，只考慮了資訊資源的共享，沒有過多的考慮到安全問題，因此無法從根本上防止網路層攻擊。在現有的ipv4上應用ipsec可以加強其安全性，ipsec在網路層提供了ip報文的機密性、完整性、ip報文源位址認證以及抗偽位址的攻擊能力。ipsec可以保護在所有支援ip的傳輸介質上的通訊，保護所有執行於網路層上的所有協議在主機間進行安全傳輸。ipsec閘道器可以安裝在需要安全保護的任何地方，如路由器、防火牆、應用伺服器或客戶機等。

ipsec主要由三個協議組成：

ah(authentication header)認證報頭，提供對報文完整性的報文的源位址進行認證。

esp(encapsulating security payload)封裝安全載荷，提供對報文內容的加密和認證功能。

ike(internet key exchange) internet金鑰交換，協商信源和信宿節點間保護ip報文的ah和esp的相關引數，如加密、認證的演算法和金鑰、金鑰的生存時間等。又稱為安全聯盟。 ah和esp是網路層協議，ike是應用層協議。一般情況下，ipsec僅指網路層協議ah和esp。由於 ipsec服務是在網路層提供的，任何上層協議都可以使用到此服務。

OSI安全體系結構

OSI安全體系結構

OSI安全體系結構

ISO OSI安全體系結構

相關推薦