Đang tải... (xem toàn văn)
An ninh trong kiến trúc giao thức có phân lớp
fr eb oo ks @ ee 4v n or g định bố trí Mơ hình kiến trúc an ninh bốn mức giới thiệu mơ hình OSI nhỏ, thực tế đơn giản trình bày vấn đề bố trí an ninh Mơ hình bốn mức dùng suốt sách nói bố trí dịch vụ an ninh lớp Nội dung chương chia thành mục sau: (1) Những nguyên lý chung phân lớp giao thức thuật ngữ kèm theo giới thiệu Mô hình tham chiếu sở OSI (2) Những cấu trúc, dịch vụ giao thức lớp OSI đặc thù (3) Bộ giao thức TCP/IP mạng Internet quan hệ với kiến trúc OSI (4) Bố trí cấu trúc dịch vụ an ninh có mơ hình bốn mức; (5) Phương thức quản trị dịch vụ an ninh liên quan đến lớp kiến trúc 3.1 Các nguyên lý công nghệ phân lớp giao thức Trong thực tế, có truyền thông hệ thống thực Để phục vụ cho mục đích định nghĩa giao thức truyền thơng chúng, tiêu chuẩn OSI đưa khái niệm mơ hình hệ thống thực tên gọi hệ thống mở Hệ thống mô hình coi phải có cấu trúc theo lớp Điều khơng cần địi hỏi hệ thống thực cần phải thực thi theo cấu trúc giống nhau, mà người dùng lựa chọn cấu trúc thực thi để đưa cách vận hành cuối phù hợp với cách vận hành định nghĩa mơ hình sử dụng Ví dụ, thực thi gộp chức nhiều tầng kề vào phần mềm mà không cần phải có ranh giới tầng Lịch sử phát triển Tiêu chuẩn OSI Ủy ban Kỹ thuật TC97 ISO công bố vào năm 1977 (Các hệ thống xử lý thơng tin) Và sau Tiểu ban TC97/SC16 (Liên thông hệ thống mở) thành lập với mục tiêu phát triển mơ hình định nghĩa tiêu chuẩn giao thức để hỗ trợ nhu cầu phạm vi không hạn chế ứng dụng nhiều công nghệ phương tiện truyền thông Dự án thu hút ý Hiệp hội Truyền thông Quốc tế (ITU), quan đưa khuyến cáo hãng truyền thơng tồn giới áp dụng (Trước năm1993 chúng gọi Những khuyến cáo CCITT) Và đời hợp tác ISO ITU để xây dựng Các tiêu chuẩn Quốc tế ISO thống khuyến cáo ITU OSI Sản phẩm có ý nghĩa đáng kể hợp tác Mơ hình Tham chiếu Cơ OSI Nó phát hành vào năm 1994 Tiêu chuẩn quốc tế ISO 7498 Các khuyến cáo ITU X.200 Tài liệu mô tả kiến trúc bảy tầng cần dùng làm sở để định nghĩa đọc lập giao thức lớp riêng rẽ Các tiêu chuẩn giao thức phát hành không lâu sau Mơ hình Tham chiếu sở đời sau tiêu chuẩn khác phát hành đồng loạt Các nguyên lý phân lớp Mơ hình OSI đưa ngun lý định để xây dựng giao thức truyền thông lớp Trên hình 3-1 trình bày số khái niệm quan trọng Hệ thống mở B Hệ thống mở A Dịch vụ lớp N Lớp N Lớp N+1 Thực thể (N+1) Thực thể (N+1) Thực thể N Thực thể N Giao thức lớp N H ình 3-1: Các khái niệm phân lớp OSI Xét lớp đó, giả sử lớp N Trên lớp N lớp N+1 lớp lớp N-1 Trong hai hệ thống mở có chức hỗ trợ lớp N Điều đánh dấu thực thể (N) hệ thống mở Cặp thực thể truyền thông (N) cung cấp dịch vụ cho thực thể (N+1) hệ thống tương ứng Dịch vụ bao gồm việc chuyển liệu cho thực thể (N+1) Các thực thể (N) lại truyền thông với thông qua giao thức truyền thông (N) Giao thức bao gồm cú pháp (định dạng) nghĩa (ý nghĩa) liệu trao đổi chúng cộng với quy tắc mà giao thức cần phải tuân theo Giao thức (N) truyền cách sử dụng dịch vụ thực thể (N-1) cung cấp Mỗi thông điệp gửi giao thức (N) biết đơn vị liệu giao thức (N) (viết tắt tiếng Anh PDU – Protocol Data Unit) Một nguyên lý quan trọng tuân theo khái niệm phân lớp tính độc lập lớp Đó dịch vụ lớp (N) định nghĩa sau dùng để định nghĩa giao thức cho lớp (N+1) mà khơng cần biết giao thức (N) sử dụng để cung cấp dịch vụ Bảy lớp OSI Mơ hình tham chiếu OSI định nghĩa bảy lớp trình bày hình 3-2 Các giao thức từ lớp nhóm lại với thành gọi ngăn stack lớp OSI Một ngăn stack lớp OSI thoả mãn yêu cầu trình ứng dụng phần hệ thống thực thực xử lý thông tin cho mục đích ứng dụng cho Hệ thống mở A Hệ thống mở B Lớp ứng dụng Giao thức ứng dụng Lớp trình diễn Giao thức trình diễn Lớp phiên làm việc Giao thức phiên làm việc Lớp vận chuyển Giao thức vận chuyển Lớp mạng Giao thức mạng Lớp liên kết liệu Lớp vật lý Giao thức liên kết liệ Giao thức vật lý Môi trường vật lý Hình 3-2: Mơ hình bảy lớp OSI Các lớp chức chúng bao gồm: • Lớp ứng dụng (lớp 7): cung cấp phương tiện để q trình ứng dụng truy nhập vào mơi trường OSI Các tiêu chuẩn giao thức lớp ứng dụng giải chức truyền thông áp dụng cho ứng dụng chuyên biệt họ ứng dụng • Lớp trình diễn (lớp 6): chịu trách nhiệm trình diễn thơng tin mà thực thể lớp ứng dụng dùng tham chiếu đến trình truyền thơng chúng • Lớp phiên làm việc (lớp 5): cung cấp phương tiện để thực thể lớp tổ chức đồng đối thoại chúng quản lý trình trao đổi liệu chúng • Lớp truyền tải (lớp 4): chịu trách nhiệm truyền tải liệu thông suốt thực thể lớp giải phóng chúng khỏi vấn đề chi tiết liên quan đến cách cụ thể để truyền liệu tin cậy hiệu giá thành (chi phí thấp) • Lớp mạng (lớp 3): đảm trách việc truyền nhận thông tin thực thể lớp cách độc lập mà không xét đến thời gian giữ chậm chạy vòng chờ Ở bao gồm trường hợp có nhiều mạng dùng song song Nó làm cho lớp khơng thể nhìn thấy tài ngun truyền thơng phía sau sử dụng (liên kết liệu) • Lớp liên kết liệu (lớp 2): đảm nhận việc truyền liệu sở điểm tới điểm thiết lập, trì giải phóng nối ghép điểm tới điểm Nó phát có khả sửa lỗi xuất lớp vật lý • Lớp vật lý (lớp 1): cung cấp phương tiện khí, phương tiện điện, phương tiện vận hành phương tiện giao thức để kích hoạt, trì ngắt bỏ nối ghép vật lý dùng để truyền liệu theo bit thực thể liên kết liệu Hình 3-3 trình bày kiến trúc OSI có xét đến ý nghĩa mạng lớp mạng Nó biểu diễn cách mạng sử dụng để hỗ trợ phiên truyền thơng ứng dụng (có thể sử dụng công nghệ nối liên thông công nghệ phương tiện truyền thông khác nhau) Hệ thống mở A Hệ thống giữ chậm Hệ thống mở B Lớp ứng dụng Lớp trình diễn Lớp phiên làm việc Lớp vận chuyển Lớp mạng Lớp liên kết liệu Lớp vật lý Môi trường vật lý Môi trường vật lý Hình 3-3: Mơ hình phân lớp OSI có nhiều Các lớp lớp Từ triển vọng thực tế, lớp OSI coi là: (a) giao thức phụ thuộc vào ứng dụng (b) giao thức kèm theo môi trường đặc thù (c) chức cầu nối (a) (b) Các giao thức phụ thuộc ứng dụng gồm có Lớp ứng dụng , Lớp trình diễn Lớp phiên làm việc Đây lớp Việc triển khai lớp gắn chặt với ứng dụng hỗ trợ chúng hoàn tồn độc lập với cơng nghệ cơng nghệ truyền thơng sử dụng Các lớp cịn lại nằm mục (b) (c) lớp Các giao thức phụ thuộc công nghệ phương tiện truyền thông nằm Lớp vật lý Lớp liên kết liệu lớp Lớp mạng (các lớp phụ thuộc mạng con) Chức cầu nối Lớp truyền tải lớp Lớp mạng đảm nhiệm Các lớp Lớp mạng cho phép giao diện dịch vụ mạng thích hợp ln sẵn sàng cho lớp với chất lượng dịch vụ thay đổi tuỳ theo mạng dùng Lớp truyền tải có nhiệm vụ làm cho lớp nhìn thấy lớp Nó nhận kết nối mạng với đầy đủ chất lượng dịch vụ nâng cấp chất lượng dịch vụ cần, ví dụ, cách cung cấp phát lỗi phục hồi giao thức truyền tải hiêu sửa lỗi Lớp mạng không đầy đủ Các dịch vụ tiện ích lớp Dịch vụ lớp cung cấp mô tả thuật ngữ gốc dịch vụ Chúng đóng vai trị kiện hạt nhân giao diện dịch vụ (trừu tượng) Một dịch vụ lớp chia thành số tiện ích tiện ích lại bao gồm nhóm gốc dịch vụ liên quan Nhìn chung, tiện ích liên quan đến tạo xử lý nhiều đơn vị liệu giao thức (PDU) Ví dụ, dịch vụ truyền tải có tiện ích nối ghép T (TCONNECT) dùng để thiết lập nối ghép truyền tải Nó bao gồm bốn gốc dịch vụ (hai gốc dịch vụ đầu dùng để khởi tạo thiết lập nối ghép hai gốc khác đầu kia) hai đơn vị PDU (một đơn vị dùng để gửi liệu theo hướng) Mối liên hệ gốc dịch vụ đơn vị PDU mơ tả hình 3-4 lược đồ thời gian Kiểu phối hợp gồm hai đơn vị PDU bốn gốc dịch vụ phổ biến biết dịch vụ xác nhận Một trường hợp phổ biến khác biết dịch vụ không xác nhận có đơn vị PDU hai gốc dịch vụ Về giống nửa đầu kiểu phối hợp trìng bày hình 3-4 Các dịch vụ có kết nối dịch vụ khơng có kết nối Có hai chế độ dịch vụ hoàn toàn khác lớp Đó là: • Chế độ dịch vụ có kết nối dựa kết nối (N) lớp (N) cung cấp Một kết nối kết hợp hai thực thể (N) có pha thiết lập, pha truyền pha ngắt Trong pha truyền dòng đơn vị liệu chuyển qua thay mặt cho người dùng lớp dịch vụ • Chế độ dịch vụ khơng có kết nối gồm vận chuyển đơn vị liệu đơn lẻ mà khơng u cầu có liên hệ qua lại chúng Dịch vụ chuyển vịng quanh đơn vị liệu cách độc lập, không cấp thông báo nhận khơng đảm bảo cấp phát theo trình tự gửi Các gốc dịch vụ truyền tải (đầu khởi tạo) Yêu cầu KẾT NỐI T Truyền tải đơn vị liệu giao thức (PDU) Yêu cầu KẾT NỐI PDU Các gốc dịch vụ truyền tải (đầu nhận) Hiển thị KẾT NỐI T Thời Xác nhận KẾT NỐI T Đáp ứng KẾT NỐI Đáp ứng KẾT NỐI T 3-4:dịch Cácvụ tiện íchlàvà Lý tồn Hình hai kiểu cócác mộtgốc số dịch cơngvụ nghệ truyền thơng sở có kế thừa tính kết nối (ví dụ mạng chuyển mạch gói) số khác lại kế thừa tính khơng kết nối (ví dụ mạng cục bộ) Chức cầu nối Lớp mạng Lớp truyền tải hỗ trợ hoạt động cho lớp có kết nối công nghệ truyền thông không kết nối Với lớp hướng kết nối kết nối lớp riêng rẽ ánh xạ trực tiếp với Một kết hợp ứng dụng (tương đương với kết nối Lớp ứng dụng) ánh xạ trực tiếp tới kết nối trình diễn kết nối lại ánh xạ trực tiếp đến kết nối phiên làm việc Tuy nhiên, lớp khơng cịn cần đến ánh xạ -một Ví dụ, kết nối truyền tải dùng lại nhiều lần cho kết nối phiên làm việc, kết nối mạng vận chuyển số hỗn hợp kết nối lúc 3.2 Các kiến trúc, dịch vụ giao thức lớp OSI Lớp ứng dụng Lớp ứng dụng bao gồm nhiều chức khác chúng cần phải định nghĩa theo nhóm chuẩn hố khác Do vậy, cần phải có cách tiếp cận mơ đun để định nghĩa giao thức cho Lớp ứng dụng Cấu trúc Lớp ứng dụng định nghĩa chuẩn ISO/IEC 9545 Chuẩn định nghĩa khái niệm dùng để mô tả cấu trúc bên thực thể ứng dụng với khái niệm dùng để mơ tả quan hệ tích cực lần gọi thực thể ứng dụng Khối cấu trúc sở thực thể ứng dụng gọi phần tử dịch vụ ứng dụng (viết tắt tiếng Anh ASE – Application-ServiceElement) (Một ASE coi tài liệu) Cấu thành cấu trúc chung thực thể ứng dụng đối tượng dịch vụ ứng dụng (viết tắt tiến Anh ASO – Application-Service-Object) xây dựng từ ASE và/hoặc ASO khác Các nguyên lý cấu trúc liên quan đến thực thể ứng dụng, ASE ASO trình bày tiếp chương 12 Có hai khái niệm quan trọng mơ tả quan hệ thực thể ứng dụng truyền thơng là: • Phối hợp ứng dụng: Đó quan hệ phối hợp hai lần gọi ASO có nhiệm vụ quản lý việc sử dụng hai chiều dịch vụ trình diễn cho mục đích truyền thông Đây tương đương kết nối Lớp ứng dụng Nó coi biểu diễn kết nối trình diễn Lớp ứng dụng • Hồn cảnh ứng dụng: Đó quy tắc chia xẻ hai lần gọi ASO nhằm hỗ trợ phối hợp ứng dụng Đây giao thức Lớp ứng dụng hoàn toàn hiệu sử dụng phối hợp ứng dụng Một ASE ý đặc biệt phần tử dịch vụ kiểm soát phối hợp (viết tắt tiếng Anh ASCE – Association Control Service Element) ASE hỗ trợ việc thiết lập kết thúc phối hợp ứng dụng cần phải có tất hồn cảnh ứng dụng Một biểu diễn thực tế ASCE định nghĩa thơng tin Lớp ứng dụng vận chuyển trao đổi giao thức đẻ thiết lập kết thúc kết nối trình diễn kết nối phiên làm việc Dịch vụ ASCE định nghĩa tiêu chuẩn ISO/IEC 8650 Một số ứng dụng dựa tiêu chuẩn ISO định nghĩa Các tiêu chuẩn gồm định nghĩa giao thức Lớp ứng dụng với vật chất hỗ trợ định nghĩa mơ hình thông tin thủ tục cần tuân theo hệ thống Các ứng dụng nói đến sách là: • Các hệ thống quản lý tin nhắn (viết tắt tiếng Anh MHS – Message Handling Systems): Ứng dụng hỗ trợ cho việc nhắn tin điện tử gồm gửi thư điện tử cá nhân, chuyển EDI nhắn tin thoại MHS ứng dụng OSI hàng đầu đặc tính an ninh hợp Ứng dụng đặc tính an ninh trình bày chương 13 • Thư mục: Ứng dụng cung cấp sở để kết nối liên thông hệ thống xử lý thông tin cho cung cấp hệ thống thư mục tích hợp, phân tán vật lý với công dụng tiềm ẩn khác Ứng dụng thư mục đặc tính an ninh trình bày chương 14 • Truyền tệp, truy nhập quản trị (viết tắt tiếng Anh FTAM – File Transfer, Access, and Management): Ứng dụng FTAM có nhiệm vụ hỗ trợ đọc ghi tệp tin hệ máy tính xa, truy nhập vào cấu thành tệp tin đó, và/ quản trị (ví dụ như, tạo xố) tệp tin FTAM định nghĩa tiêu chuẩn ISO/IEC 8571 Các tiện ích quản trị mạng OSI cúng đóng góp mọt ứng dụng OSI Chúng bàn đến chương 15 Các tiêu chuẩn Lớp ứng dụng OSI gồm giao thức xây dựng mơ hình quan trọng công cụ xây dựng gọi phần tử dịch vụ hoạt động từ xa (viết tắt tiếng Anh ROSE – Remote Operation Service Element) ROSE dựa mơ hình máy chủ - tớ (client-server) chung, hệ thống (máy tớ) gọi hoạt động định hệ thống khác (máy chủ) Giao thức biểu diễn ngôn ngữ kèm theo lệnh gọi kết báo lỗi trả từ hoạt động hệ thống Đối với ứng dụng thích hợp với mơ hình cơng dụng ROSE tạo thuận lợi cho định nghĩa giao thức ROSE dùng giao thức quản trị MHS, thư mục, mạng OSI Mơ hình, dịch vụ giao thức ROSE định nghĩa tiêu chuẩn ISO/IEC 9072 đa thành phần Lớp trình diễn Lớp trình diễn giải vấn đề liên quan đến cách trình diễn thông tin ứng dụng (như chuỗi bit) cho mục đích truyền tải Tổng quan hoạt động lớp trình bày chương 12 Các tiêu chuẩn dịch vụ giao thức trình diễn quy định tiêu chuẩn ISO/IEC 8822 8823 Một cặp tiêu chuẩn Lớp trình diễn đặc biệt quan trọng tiêu chuẩn ISO/IEC 8824 tiêu chuẩn ISO/IEC 8825 liên quan đến Ghi cú pháp trừu tượng (ASN.1) ASN.1 ứng dụng OSI ứng dụng phi OSI dùng nhiều để định nghĩa hạng mục thông tin Lớp ứng dụng để mã hoá chuỗi bit tương ứng cho chúng.Giới thiệu vắn tắt ASN.1 cho Phụ lục B Các bạn đọc chưa quen với ASN.1 đọc phụ lục trước bắt đầu vào phần II sách Các thông tin chi tiết ASN.1 bạn tìm đọc tài liệu [STE1] Lớp phiên làm việc Lớp phiên làm việc thực chức quản trị đối thoại đồng lại kiểm soát trực tiếp Lớp ứng dụng Quản trị đối thoại hỗ trợ chế độ hoạt động song công bán song công cho ứng dụng Đồng lại hỗ trợ chèn dấu đồng vào cùm liệu tiến hành đồng với đồng trước điều kiện có lỗi Các tiêu chuẩn dịch vụ giao thức phiên làm việc quy định tiêu chuẩn ISO/IEC 8326 8327 Các bàn luận nội dung kiến trúc an ninh sau kết luận rằng, Lớp phiên làm việc khơng đóng vai trị việc cung cấp an ninh, nên bạn đọc chưa làm quen với lớp yên tâm bỏ qua Lớp truyền tải Dịch vụ Lớp truyền tải định nghĩa tiêu chuẩn ISO/IEC 8072 Nó hỗ trợ truyền tải liệu thông suốt từ hệ thống đến hệ thống khác Nó làm cho cho người dùng (lớp trên) khơng phụ vào cơng nghệ truyền thơng sở cho phép họ có khả xác định chất lượng dịch vụ (chẳng hạn thông số thông lượng, tần suất tái lỗi xác suất hỏng hóc) Nếu chất lượng dịch vụ dvụ mạng sở khơng thích đáng Lớp truyền tải nâng cấp chất lượng dịch vụ lên mức cần thiết cách bổ xung giá trị (ví dụ phát hiện/ khơi phục lỗi) giao thức riêng Dịch vụ truyền tải có biến thể dựa vào kết nối biến thể khơng có kết nối Các giao thức Lớp truyền tải phải hỗ trợ dịch vụ dựa kết nối định nghĩa tiêu chuẩn ISO/IEC 8073 Có năm cấp giao thức khác sau đây: • Cấp không bổ xung giá trị cho thiết bị mạng • Cấp hỗ trợ khắc phục lỗi Lớp mạng phát có lỗi • Cấp hỗ trợ dồn kết nối truyền tải kết nối mạng • Cấp thực khắc phục dồn kênh • Cấp thực phát lỗi (kiểm tổng), khặc phục lỗi dồn kênh Bằng cách sử dụng đặc tính khắc phục lỗi giao thức cấp hoạt động dịch vụ mạng không kết nối để cung cấp dịch vụ truyền tải có kết nối Giao thức hỗ trợ dịch vụ truyền tải không kết nối định nghĩa tiêu chuẩn ISO/IEC 8602 Lớp mạng Lớp mạng lớp OSI phức tạp hơn, cần phải thích hợp với nhiều cơng nghệ mạng chiến lược kết nối liên thông khác Nó cần phải giải vấn đề liên quan trễ mạng • Giao thức truyền thư đơn giản (viết tắt tiếng Anh SMTP – Simple Mail Transfer Protocol): giao thức gửi thư điện tử dựa [POSS1, CRO1] Thư điện tử qua mạng Internet đặc tính an ninh liên quan bàn luẩntong chương 13 • Giao thức quản trị mạng đơn giản (viết tắt tiếng Anh SNMP – Simple Network Management Protocol): giao thức hỗ trợ cho công tác quản trị mạng SNMP đặc tính an ninh liên quan trình bày chương 15 • Giao thức TELNET : giao thức đầu cuối xa đơn giản cho phép người dùng nơi thiết lập kết nối để đăng nhập vào máy chủ khác cách gõ phím đáp ứng qua lại chúng Các giao thức Lớp mạng Lớp truyền tải Có hai giao thức Lớp truyền tải mạng Internet là: • Giao thức kiểm sốt truyền (viết tắt tiếng Anh TCP – Transmission Control Protocol): giao thức truyền có kết nối thiết kế để làm việc dịch vụ mạng không kết nối [POS2] Giao thức so sánh giao thức truyền tải OSI cấp • Giao thức gam liệu người dùng GGDN (viết tắt tiếng Anh UDP – User Datagram Protocol): giao thức truyền tải không kết nối [POS3] Giao thức so sánh với giao thức truyền tải khơng kết nối Giao thức Lớp mạng Internet yếu giao thức mạng Internet (viết tắt tiếng Anh IP – Internet Protocol) Giao thức giao thức mạng khơng kết nối [POS4] so sánh với giao thức mạng không kết nối OSI (CLNP) 3.4 Bố trí kiến trúc dịch vụ an ninh Giám sát dịch vụ an ninh kiến trúc truyền thơng có phân lớp làm xuất số vấn đề quan trọng Việc phân lớp giao thức tạo vịng quẩn làm cho liệu bị nhúng vào liệu kết nối bị chuyển vào kết nối Do vậy, cần phải đưa định cho (các) lớp cần phải tiến hành bảo vệ mục liệu hay bảo vệ theo kết nối Tiêu chuẩn hình thức nói phân lớp dịch vụ an ninh Kiến trúc An ninh OSI (tiêu chuẩn ISO/IEC 7498-2) xuất vào năm 1988 Tiêu chuẩn (sẽ trình bày chương 9) cung cấp hướng dẫn để phân lớp cung cấp dịch vụ an ninh khác Tuy nhiên, khơng đưa tất câu trả lời, mà để ngỏ nhiều phương án Một số dịch vụ cần phải cung cấp lớp khác theo kịch ứng dụng khác nhau; số khác chí cần phải cung cấp nhiều kịch Một lý tính bao trùm rõ ràng tiêu chuẩn ISO/IEC 7498-2 cách tiếp cận cố gắng gán mười bốn dịch vụ an ninh cho bả lớp kiến trúc Điều kết tinh vào mơ hình bốn mức thực dụng đơn giản dựa quan hệ an ninh mật thiết thực mạng thực Hình 3-6 minh hoạ cách cặp hai hệ thống cuối truyền thông với thơng qua chũi mạng nối tiếp nha Một hệ thống cuối thường thiết bị nằm chỗ phạm vi từ máy tính cá nhân đến máy trạm đến máy tính mini đến máy tính chủ Một đặc tính mà làm cho hệ thống cuối coi hợp lý có sở sách mục đích an ninh Ứng dụng a Ứng dụng b (a) Ứng dụng b (b) Hệ thống truyền thông cuối Ứng dụng c Hệ thống truyền thông cuối Hệ thống ố Hệ thống ố Mạng Mạng (c) Mạng (d) Hình 3-6: Kiến trúc truyền thơng sở Một mạng sưu tập tiện ích truyền thông sử dụng công nghệ truyền thông nhau, ví dụ như, mạng LAN cục mạng diện rộng WAN Cũng hồn tồn có lý cho rằng, mạng có sách an ninh Tuy nhiên, mạng khác thường có mơi trường an ninh khác /hoặc sở sách khác Một hệ thống cuối mạng mà kết nối đến phải có khơng phép có sách an ninh Một kịch chung đặc trưng hệ thống cuối kết nối với mạng LAN nhà xưởng công ty với mạng LAN có cổng vào mạng WAN cơng cộng Sau truyền thông qua nhiều mạng WAN quản lý riêng rẽ, chúng qua mạng LAN khác để đến hệ thống cuối khác Một khía cạnh khác giới thiệu hình 3-6 hệ thống cuối hỗ trợ đồng thời nhiều ứng dụng, chẳng hạn như, thư điện tử, truy nhập thư mục truyền tệp lúc cho nhiều người dùng Một ứng dụng lúc dịch vụ quản trị mạng dành cho người điều hành hệ thống Các yêu cầu an ninh ứng dụng thường khác biệt cách đáng kể Chúng ta cần phải cộng nhận rằng, yêu cầu an ninh khác mạng Các mạng nhìn chung bao gồm nhiều liên kết kết nối nhiều cấu thành mạng liên kết khác qua nhiều mơi trường an ninh khác Do vậy, liên kết riêng rẽ cần phải bảo vệ cách thích hợp Hình 3-6 cho ta thấy bốn mức với xuất yêu cầu phần tử giao thức an ninh khác nhau: (a) Mức ứng dụng: Các phần tử giao thức an ninh phụ thuộc ứng dụng (b) Mức hệ thống cuối: Các phần tử giao thức an ninh cung cấp bảo vệ sở hệ thống cuối đến hệ thống cuối (c) Mức mạng con: Các phần tử giao thức an ninh cung cấp bảo vệ mạng coi tin cậy so với phần khác môi trường mạng (d) Mức liên kết trực tiếp: Các phần tử giao thức an ninh cung cấp bảo vệ bên mạng liên kết coi tin cậy so với phần khác môi trường mạng Từ triển vọng giao thức truyền thơng bốn mức cần phải khác biệt Một ánh xạ tiệm cận mức vào lớp kiến trúc OSI trình bày hình 3-7 Mức ứng dụng Mức hệ thống ố Mức mạng Mức liên kết Lớp ứng Lớp trình Lớp ễphiên làm Lớp truyền tải Lớp mạng Lớp liên kết Lớp vật lý Hình 3-7: Bốn mức kiến trúc sở an Sự khác phân nhánh bố trí dịch vụ an ninh mức so với mức gì? Trước vào bàn luận mức riêng rẽ xác định số thuộc tính chung khác biệt mức mức • Vận chuyển hỗn hợp: Như hệ dồn kênh, mức thấp ngày gia tăng xu hướng nhận liệu từ nhiều người dùng nguồn/ đích khác và/hoặc ứng dụng trộn lẫn với chùm liệu so với mức cao Ý nghĩa yếu tố thay đổi tuỳ theo kiểu loại sách an ninh Nếu sách an ninh định người dùng và/hoặc ứng dụng riêng rẽ xác định nhu cầu cần bảo vệ liệu họ, việc bố trí dịch vụ an ninh mức cao cần phải hướng tốt lên Với an ninh mức thấp, ứng dụng /người dùng riêng rẽ khơng có kiểm sốt thích hợp vậy, dường phí khơng cần thiết cho bảo vệ số liệu yêu cầu an ninh chia xẻ chùm liệu với liệu khác Mặt khác, sách an ninh thể tổ chức muốn đảm bảo rằng, vận chuyển tổ chức bảo vệ tới mức định không quan tâm đến người dùng hay ứng dụng điều dễ dàng đạt dịch vụ an ninh đặt mức thấp • Nhận biết tuyến: Tại mức thấp, có xu hướng biết nhiều đặc tính an ninh tuyến liên kết khác Trong môi trường có đặc tính khác cách đáng kể vậy, việc xắp đặt dịch vụ an ninh mức thấp có hiệu lợi ích thực tế Các dịch vụ an ninh thích hợp chọn lựa sở mạng liên kết trực tiếp hạn chế hồn tồn chi phí an ninh mạng liên kết không cần đến bảo vệ • Số điểm bảo vệ: Việc đặt an ninh mức cao (mức ứng dụng) yêu cầu an ninh cần thực thi ứng dụng nhạy cảm hệ thống cuối Còn đặt an ninh mức thấp (mức liên kết trực tiếp) yêu cầu an ninh cần phải thực thi đầu cuối đường liên kết mạng Việc đưa an ninh vào gần trung tâm kiến trúc (nghĩa hệ thống cuối hay mức mạng con) có xu hướng yêu cầu đặc tính an ninh cần cài đặt điểm quan trọng để giảm giá thành xuống cách đáng kể • Bảo vệ đầu đề giao thức: Bảo vệ an ninh mức cao bảo vệ đầu đề giao thức mức thấp, mà tối thiểu số mơi trường nhạy cảm Điều có xu hướng nên đặt dịch vụ an ninh mức thấp • Gắn kết nguồn/bể liệu: Một số dịch vụ an ninh, chẳng hạn như, việc xác nhận hay thừa nhận gốc liệu, phụ thuộc vào liên kết liệu với gốc hay bể chứa Điều đạt cách hiệu mức cao, đặc biệt mức lớp ứng dụng Tuy nhiên, đơi đạt đựơc mức thấp phải chịu căng thẳng đặc biệt, ví dụ như, buộc khởi tạo tin nhắn vào một hệ thống cuối thông qua sử dụng phần cứng và/hoặc phần mềm đáng tin Xét tất điều nêu đây, thấy ngày sáng tỏ khơng thể có câu trả lời đơn giản cho câu hỏi làm cách để bố trí kiến trúc dịch vụ an ninh “tối nhất” Trong phần bàn tiếp đặc tính mức phương pháp độc lạp dịch vụ Các chương sau bàn luận bố trí kiến trúc dịch vụ an ninh riêng biệt ứng với mơ hình bốn mức An ninh mức ứng dụng Theo kiến trúc OSI an ninh mức ứng dụng liên hệ với lớp kiến trúc bày lớp mạng (Theo giao thức OSI có nghĩa Lớp ứng dụng, hỗ trợ tiện ích Lớp trình diễn; Lớp phiên làm việc khơng tham gia vào việc giám sát an ninh) Việc phân chia chức Lớp ứng dụng Lớp trình diễn bàn luận chi tiết chương 12 Đối với phần lớn dịch vụ an ninh ta đặt dịch vụ mức ứng dụng Trong nhiều trường hợp phương án mức thấp thay thơng thường đem lại ưu điểm (chẳng hạn như, chi phí thiết bị hay vận hành thấp) Tuy nhiên, có hai trường hợp có mức ứng dụng mức để đặt dịch vụ an ninh, là: (a) Ở nơi dịch vụ an ninh dịch vụ chuyên dụng mặt ngữ nghĩa cài ảo vào giao thức ứng dụng đặc thù (b) Ở nơi dịch vụ an ninh qua giữ chậm ứng dụng Điểm người dùng cuối Điểm giứ chậm ứng Ứng dụng Các quan hệ an ninh Điểm người dùng cuối Ứng dụng Ứng dụng Hệ thống ố Hệ thống ố Hệ thống ố Các lớp Các lớp Hình 3-8: Bức tranh giữ chậm ứng dụng Một số yêu cầu an ninh liên kết gỡ với ứng dụng mặt ngữ nghĩa Ví dụ, ứng dụng truyền tệp cần phải xử lý kiểm sốt truy nhập, ví dụ như, đọc hay cập nhật danh sách kiểm sốt truy nhập đính kèm theo tệp tin Trong số trường hợp khác độ mịn bảo vệ an ninh lại phản ánh trường giao thức ứng dụng Điều phổ biến với dịch vụ tính bảo mật trường lựa chọn, tính bảo tồn vẹn trường lựa chọn tính thừa nhận Các ví dụ cung cấp bảo mật cho trường PIN giao dịch tài yêu cầu lấy riêng rẽ chữ ký số giao thức thư mục Trong tất trường hợp dịch vụ an ninh phải đặt mức mức ứng dụng, tính độc lập lớp ngăn khơng cho lớp thấp biết ngữ nghĩa hay biên giới giao thức Một tình khác địi hỏi giải pháp mức ứng dụng tượng giữ chậm ứng dụng Một số ứng dụng vốn gắn liền với hai hệ thống cuối, mô tả hình 3-8 Các hệ thống thư điện tử ví dụ Một tin nhắn khởi tạo hệ thống cuối phải qua nhiều hệ thống giữ chậm trước đến người nhận hệ thống cuối khác Trong trường hợp cần phải bảo vệ phần nội dung tin nhắn sở người dùng cuối đến người dùng cuối, có nghĩa là, quan hệ gõ phím biết hệ thống người dùng cuối, hệ thống giữ chậm trung ... với giao thức mạng không kết nối OSI (CLNP) 3.4 Bố trí kiến trúc dịch vụ an ninh Giám sát dịch vụ an ninh kiến trúc truyền thơng có phân lớp làm xuất số vấn đề quan trọng Việc phân lớp giao thức. .. diễn Giao thức trình diễn Lớp phiên làm việc Giao thức phiên làm việc Lớp vận chuyển Giao thức vận chuyển Lớp mạng Giao thức mạng Lớp liên kết liệu Lớp vật lý Giao thức liên kết liệ Giao thức. .. Bố trí cấu trúc dịch vụ an ninh có mơ hình bốn mức; (5) Phương thức quản trị dịch vụ an ninh liên quan đến lớp kiến trúc 3.1 Các nguyên lý công nghệ phân lớp giao thức Trong thực tế, có truyền