精华内容
下载资源
问答
  • 网络层安全协议 IPsec 我们经常使用的虚拟专用网(某PN),在某PN中传送的信息都是经过加密的,而IPsec就是提供的这个服务。 IPsec并不是一个单一协议,而是能够在IP层提供互联网通信安全的协议族。IPsec并没有限定...

    网络层安全协议

    IPsec

    我们经常使用的虚拟专用网(某PN),在某PN中传送的信息都是经过加密的,而IPsec就是提供的这个服务。

    IPsec并不是一个单一协议,而是能够在IP层提供互联网通信安全的协议族。IPsec并没有限定用户必须使用何种特定的加密和鉴别算法。实际上,IPsec是个框架,它允许通信双方选择合适的算法和参数(例如:密钥长度)。为了保证互操作性,IPsec还包含了一套加密算法,所有IPsec的实现都必须使用。

    IPsec协议族中的协议可划分为一下三个部分:

    1. IP安全数据报的两个协议:鉴别首部AH协议封装安全有效载荷ESP协议
    2. 有关加密算法的三个协议
    3. 互联网密钥交换IKE协议。

    AH协议功能:

    1. 源点鉴别
    2. 数据完整性
    3. 不能提供保密

    在这里插入图片描述
    在这里插入图片描述

    ESP协议功能:

    1. AH提供的所有功能
    2. 数据报加密和数据流加密

    在这里插入图片描述
    在这里插入图片描述

    因此使用ESP协议就可以不使用AH协议了。

    使用ESP或AH协议的IP数据报成为IP安全数据报(或IPsec数据报),它可以再两台主机之间、两路由器之间或一台主机和一个路由器之间发送。

    IP安全数据报两种工作方式

    1. 传输模式

    传输方式是在整个运输层保温段的前后分别添加若干控制信息,再加上IP首部,构成IP安全数据报。

    2. 隧道模式

    隧道方式是在原始的IP数据报的前后分别添加若干控制信息,再加上新的IP首部,构成一个IP安全数据报。

    无论使用哪种方式,最后得出的IP安全数据报的IP首部都是不加密的。只有使用不加密的IP首部,互联网中的各个路由器才能识别IP首部中的有关信息,把IP安全数据报在不安全的互联网中进行转发,从源点安全地转发到重点。

    所谓“安全数据报”是指数据报的数据部分是经过加密的,并且能够鉴别的。通常把数据报的数据部分成为数据报的有效载荷。

    安全关联SA

    发送IP安全数据报之前,在源实体和目的实体之间必须创建一条网络层的逻辑连接,即安全关联SA。这样传统的网络中无连接的网络层,就变成了具有逻辑连接的一个层。安全关联是从源点到终点的单向连接,它能够提供安全服务。如果要进行双向安全通信,则两个方向都需要建立安全关联。

    IPsec的其他构件IKE

    IKE的主要用途就是为IP安全数据报创建安全关联SA。
    IKEv2是其新的版本,以另外三个协议为基础:

    1. Oakley:是个密钥生成协议。
    2. 安全密钥交换机制SKEME:用于密钥交换的协议。它利用公钥加密来实现密钥交换协议中的实体鉴别。
    3. 互联网安全关联和密钥管理协议ISAKMP。

    运输层安全协议

    主要有两个协议:

    1. 安全套接字层SSL
    2. 运输层安全TLS

    应用层使用SSL最多的就是HTTP,但SSL并非仅用于HTTP,而是可用于任何应用层协议。例如,SSL可以用于IMAP邮件存取的鉴别和数据加密。

    SSL提供的安全服务可归纳为以下三种:

    1. SSL服务器鉴别,允许用户证实服务器身份。支持SSL的客户端通过验证来自服务器的证书,来鉴别服务器的真是身份并获得服务器的公钥。
    2. SSL客户鉴别,SSL的可选安全服务,允许服务器正式客户的身份。例如:USB-KEY
    3. 加密的SSL会话,对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改。

    SSL工作过程

    1. 协商加密算法。浏览器A向服务器B发送浏览器的SSL版本号和一些可选的加密算法。B从中选定自己所支持的算法(如RSA),并告知A。
    2. 服务器鉴别。服务器B向A发送包含其RSA公钥的数字证书。A使用该证书的认证机构CA公开发布的RSA公钥对该证书进行验证。
    3. 会话密钥计算。由浏览器A随机产生一个秘密数。用服务器B的RSA公钥进行加密后发送给B。双方根据协商的算法产生共享的对称会话秘钥
    4. 安全数据传输。双方用会话秘钥加密和解密他们之间传送的数据并验证其完整性

    应用层安全协议(电子邮件的安全协议)

    当我们使用IPSec或SSL时,我们假设双方在相互之间建立起一个会话并双向的交换数据。而电子邮件中没有会话存在。当A向B发送一个电子邮件时,A和B并不会因此而建立任何会话。而在此后的某个时间,如果B读取了该邮件,他有可能会、也有可能不会回复这个邮件。可见我们所讨论的是单向报文的安全问题。
    为电子邮件提供安全服务的协议PGP。

    PGP是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP并没有使用什么新的概念,它只是把现有的一些加密算法(如RSA公钥加密算法或MD5报文摘要算法)综合在一起而已。

    展开全文
  • 网络层协议

    千次阅读 2018-01-26 13:29:26
    网络协议层 IP地址:用于在网络中唯一标识主机 1、IP地址分类 1、按照接收者分为四类:单播地址(unicast address)、多播或组播地址(multicast address、广播地址(broadcast address)、任播(anycast) 单...

    网络协议层

    IP地址:用于在网络中唯一标识主机

    1、IP地址分类

    1、按照接收者分为四类:单播地址(unicast address)、多播或组播地址(multicast address、广播地址(broadcast address)、任播(anycast)

    • 单播(unicast)地址:连接接收者是某一个单一的主机
    • 组播(multicast)地址:连接接收方是一组注册过的多个主机,细分为两类

      1. 任意源组播(ASM any-source):接收者主机加入组播组后可接收到任意源发送到该组的数据。为了提高安全性,可以在路由器上配置针对组播源的过滤策略,允许或禁止来自某些组播源的报文通过。最终从接收者角度看,数据是经过筛选的。
      2. 特定源组播(SSM source-specific):接收者主机在加入组播组时,可以指定只接收哪些源的数据。加入组播组后,主机只会收到指定源发送到该组的数据。SSM模型对组地址不再要求全网唯一,只需要每个组播源保持唯一。
    • 广播(broadcast)地址:连接发送给同一网络中的所有主机(无差别的接受)

    • 任播(anycast addresses):任播地址是多个设备共同拥有的,源设备发送数据包给任播地址时,路由器会将其发送给其中的一台设备,通常是距离最近的一个

    2、子网络:网络的进一步细分

    • 子网地址:将网络进一步细分,是将主机编码部分的若干位分配到网络部分作为子网地址

    • 子网掩码(Subnet Masks):用于给边界路由器指出子网编号与主机编号的分界位置(主要实现方法是:通过IP地址的二进制表示与掩码的二进制表示做按位与运算(&)得到的结果为子网络的网络编号)IPv4和IPv6都用”/n”来表示掩码,”n”为掩码的位数

    • 变长子网掩码(VLSM variable-length subnet masks):同一个网络编号使用不同长度的掩码来使得不同的子网络连接不同数量的主机量

    • 子网络的广播地址(Broadcast Address):子网络编号+标识主机编号的位数都为1的组合就是该子网的广播地址

    3、IP路由:主机收到IP数据包,先检查IP地址是否是自己的接口IP或者自己所在网络的组播或广播地址,如果是则直接交给IP包中封装的上层协议,如果不是自己的接口IP,则分为两种情况,如果主机IP层设置作为路由器则转发出去,否则数据包将被丢弃

    • 路由表(Forwarding Table):缓存在本地的转发表

      路由条目包含的信息:

      目的网络ID(Destination):32位(或者128位)目的IP & 掩码的结果,目的网络编码
      掩码(Mask):子网掩码,用于与目的IP做”&”运算得到目的网络的地址
      下一跳(Next-hop):数据包即将到达的下一个路由器
      接口(Interface):将数据包发送到下一跳的出站接口IP地址

    • IP路由行为(IP Forwarding Actions):最长前缀匹配算法
      这里写图片描述
      D^m(j)=d(j),D是目标IP,m(j)为掩码,j为掩码的长度,d(j)为目标网络ID,选择匹配的掩码最长的那一条目路由(j值最大的)

    4、IP分片和重组

    1、IP分片

    • IPv4允许在原发送主机和中间任何经过的路由器处被分片
    • IPv6只允许在原发送方主机处被分片

    2、IP重组

    • IPv4和IPv6都只能在到达目的地处被重组,原因在于:同一IP的碎片可以选择不同的路径到达目的地,这样可以提高传输效率
    • 一个IP数据报的任何一个分片首先到达时,IP层就会启动一个重组计时器(为了防止接收方缓存被用尽),重组计时器的超时时间一般位30s或60s,收到任何一个分片时即使器就开始计时,且收到新的分片也不会被重置,当重组计时器超时数据报还没有被重组完成,则会丢弃掉所有收到的碎片并发送ICMPv4超时消息告知发送方

    2、IPv4:32位(网络编号+主机编号)唯一标识网络中的主机(通常使用十进制表示:128.42.5.24)

    1、IPv4分类地址:按照网络编号与主机编号的长度划分为5类

    • A类地址: 单播地址 网络编号占用前1个字节,主机编号占用后三个字节,且最高位为0(范围为0.0.0.0~127.255.255.255)
    • B类地址: 单播地址 网络编号占用前2个字节,主机编号占用后两个字节,且最高两位为10(范围为128.0.0.0~191.255.255.255)
    • C类地址: 单播地址 网络编号占用前3个字节,主机编号占用后一个字节,且最高三位为110(范围为192.0.0.0~223.255.255.255)
    • D类地址: 组播地址 最高四位为1110,剩下位没有限制(范围为224.0.0.0~239.255.255.255)
    • E类地址: 预留地址,最高四位为1111,剩下位没限制(用于以后的网络维护管理协会使用)

    由于网络发展迅速导致分类地址总单播地址的数量严重不足,因此有了无类域间路由

    2、无类域间路由(CIDR Classless Inter-Domain Routing):是一种ISP分配新地址的方法,通过8~30位可变掩码来区分网络编号部分和主机编号部分,而不单纯像A、B、C那样直接用8,16,24固定掩码长度

    3、聚合路由(Aggregation):将多个分散的IP通过掩码聚合成一个主干IP,用来减少路由表的个数

    4、特殊用途的IPv4地址

    • 用于内网的IP(不会出现在公共网络上的IP) 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
    • 网络主机回环地址 127.0.0.0/8(eg 本地主机回环127.0.0.1)
    • 用于IPv6转换为IPv4的中继地址 192.88.99.0/24(任意源地址)
    • IPv4多播地址240.0.0.0/4
    • 本地广播地址(受限制的)255.255.255.255/32

    5、IPv4数据包格式分为IPv4头部部分和负载数据部分

    IPv4数据报格式
    这里写图片描述

    • DF位位1表示数据报不允许分片,DF位为表示数据报允许分片

    • M位为1表示数据报后面还包含更多片段,M位为0表示数据报后面没有片段了

    • 检查和算法

    • ECN显示拥塞通知标识:Explicit Congestion Notification 发生拥塞的路由器对经过路由器的数据包进行标记以此来通知TCP两端网络拥塞状况,用于上层协议处理网络拥塞

    • DSField差分服务:将数据报分为多个类型,并告诉经过的路由器怎么处理数据报
      这里写图片描述
      这里写图片描述

    • Options拓展头部
      这里写图片描述

    6、IPv4数据包碎片(fragmentation):

    IPv4可以在发送源被碎片化也可以在传送过程中被中间路由器碎片化,碎片只能在目的地重组(允许碎片通过不同的路径到达目的地),且碎片的大小(除了最后一个碎片)必须是8字节的倍数(因为Offset的单位是8字节),且通过IPv4头中的ID号来判断碎片是否为同一个数据报的,通过M位来判断数据报是否还有其他碎片

    规定的所有使用IPv4数据报的链路必须满足最小MTU为576字节


    3、IPv6:用128位标识网络中的主机

    (IPv6通常用16进制表示:5f05:2000:80ad:5800:58:800:2023:1d71,如果中间四位未0可以省略(::102:f001也可以在中间使用Ipv4表示::1.2.240.1 相当与0000:0000:0102:f001)

    1、Ipv6地址按照范围空间分类:

    • 本地节点地址(local-node):只允许在同一台主机上交流使用
    • 本地链路地址(local-link):只允许处于同一个子网络范围内的主机间交流使用 ,前缀 fe80::
    • 本地网路地址(site-local):只用于组播,所有在这个网址的主机交流使用
    • 全球地址(global):全网使用

    大多数主机在同一网络接口上使用多个不同范围类型的地址

    2、IPv6头部格式

    这里写图片描述

    3、IPv6拓展头:采用链式结构

    这里写图片描述
    这里写图片描述
    - Routing 路由拓展选项头:相当于IPv4中的路由拓展(列出要经过的路由IP地址)
    这里写图片描述
    - Fragment 分段拓展选项头:用于IPv6包分段,
    这里写图片描述
    M位设为0表示这是同一数据包的最后一个碎片,M位设为1表示后面还有碎片

    规定的所有使用IPv6数据报的链路必须满足最小MTU为1280字节,IPv6数据报只能在发送源被碎片化不能被中间路由器碎片化,只能在目的地被重组,且碎片大小为8字节的倍数

    • Hop-to-Hop逐跳拓展选项头和Destination目的选项头:这两个选项头都是TLV格式的封装携带者其他类型的选项头

      Hop-to-Hop:每个经过的路由器都必须处理的选项头
      Destination:只有目的IP主机需要处理的选项头
      

      这里写图片描述
      这里写图片描述

    4、IPv6特殊用途地址

    • ::1/128:本机回环地址
    • ::ffff:0:0/96 IPv4映射地址(只用于内部主机,不用在分组头部)
    • 2001::/32 Teredo地址
    • 2002::/16 6to4隧道中继的6to4地址
    • fc00::/7 唯一的本地单播地址,用于构建内部网络,不用于Internet上
    • fe80::/10 链路本地单播地址
    • ff00::/8 IPv6组播地址,仅作为目的IP地址使用

    4、IPv4与IPv6之间相互转化的方法

    1、双栈协议(dual stack):网络节点能同时支持IPv4和IPv6就叫实现了双栈协议

    2、隧道技术(Tunneling):在一个协议中封装另一个协议的放发

    3、IPv4转化为IPv6的方法:

    1、IPv4嵌入IPv6中

    • 根据不同的前缀长度选择不同的嵌入格式,u位必须为0,且后缀用0填充至128位
      这里写图片描述
    • 自动隧道技术:支持这种技术的节点同时支持IPv4和IPv6

    4、通过IPv4网络隧道传输IPv6的技术(用于从IPv4到IPv6的过渡机制)

    1、Teredo隧道技术:将IPv6数据报封装在IPv4/UDP数据包内用于在只支持IPv4网络中传输及通过NAT

    • Teredo客户机是实现了Teredo隧道接口的IPv4/IPv6主机,在经过资格认证之后,接口会被分配一个特定的以2001::/32为前缀的Teredo地址
    • Teredo服务器用于帮助Teredo封装的IPv6数据包建立直接通道以穿过NAT
    • Teredo中继器(relay)用于两端不能直接连接时,两端都将数据发送到中继器,由中继器提供转发(如果大量客户使用中继器,则中继器处理资源会的消耗比较大,应尽量避免使用中继器)
      这里写图片描述
      这里写图片描述

    5、Mobile IP:移动IP,依赖与家乡代理服务器

    1、移动IP的基本模型:双向隧道


    • 移动的手机等设备称为移动节点(MN)
    • 与之通信的主机设备称为通信节点(CN)
    • MN会被赋予一个有家乡网络的网络前缀的IP地址称为家乡地址(HoA)
    • 当移动设备被移动到另一个网络时会被分配一个地址叫做转交地址(CoA)
    • 家乡代理(HA)一种特殊类型的路由器,部署在网络设置中
    • HA的HoA与CoA之间的关联成为MN绑定
      这里写图片描述

    当MN处于自己的家乡网络时,不需要通过HA直接用HoA与外界通讯
    当MN移动到外界连接到一个新网络时,会接受新网络给予分配的CoA地址并向自己的HA发送一个绑定更新信息(绑定CoA与HoA的联系),收到HA的绑定确认信息。绑定后所有的信息通过HA作为路由来转发,并使用一个双向的IPv6分组隧道,这些消息都是通过IPsec的封装安全有效负载来保护,防止伪造绑定更新欺骗

    路由优化:为了优化双向隧道带来的路由效率差的问题,允许MN将当前CoA通知相应的CN,允许它们执行无须HA协助的路由


    6、IP地址的分配机构

    这里写图片描述


    7、个人和企业能申请到的IP地址

    1、单个供应商/单个网络/单个地址

    ISP只为用户提供了一个IP地址,用户通常需要拥有家庭局域网(LAN)或无限局域网(WLAN),并使用一台路由器或者主机作为路由器连接到Internet。路由器使用DHCP为家庭用户提供自动的内网地址分配,并执行NAT将内网IP和端口映射为唯一外网IP和端口号
    这里写图片描述

    2、单个供应商/多个网络/多个地址

    对于需要提供Internet服务的企业来说,需要拥有一个固定的外网IP地址来作为Server的地址,需要内部网络来供员工工作,因此需要构建多个子网络,内网NAT路由器中设置了防火墙,过滤不允许进入的入站范围确保企业内部数据的安全性
    这里写图片描述

    3、多个供应商/多个网络/多个地址(多宿主)

    • 采用多宿主计算级网络时,server应该尽可能的采用非聚合IP,以便达到网络负载均衡避免一段网络过于拥塞造成丢包(Internet路由采用最长匹配前缀算法)。但服务商更多的是希望提供聚合IP,因为聚合IP可以减少服务商路由器中路由表的条目数量
      这里写图片描述

    • 多宿主计算机的入站和出站地址控制

      强主机模型(strong host model):发送或接收的单播通信必须与通信传输所经的网络接口相关联,分为强主机发送行为和强主机接收行为
      这里写图片描述

      弱主机模型(weak host model):发送或接收的单播通信不须与通信传输所经的网络接口相关联,分为弱主机发送行为和弱主机接收行为
      这里写图片描述


    8、系统配置:DHCP和自动配置


    9、防火墙

    1、包过滤防火墙:一个互联网路由器,能够丢弃符合(或者不符合)特定条件的数据包。

    这里写图片描述
    - 过滤器或访问控制列表:用来设置规定丢弃(或转发)数据包的标准,简单的过滤器包括网络层报头或传输层报头中各个部分的范围比较(如IP地址或选项等)。通常情况下过滤器会全力阻拦来自外网的恶意流量,但不会限制从内网到外网的流量
    - 无状态过滤器和有状态过滤器:无状态过滤器:单独处理每一个数据报;有状态的过滤器:能够通过关联已经或者即将到来的数据包来推断流或者数据包的信息(数据报分段)
    - ACL(Access Control Lists)访问控制列表:列出了什么类型的 数据包需要被丢弃或转发的基本政策
    - 在配置一个NAT路由器时,网络管理员通常配置一个或多个ACL。每个ACL包含一个规则列表,每个规则通常包含模式匹配条件(pattern-matching criteria,通常允许规则表达网络层或传输层中的包字段值(例如源和目标IP,端口号,方向等))和对应的动作(action)
    这里写图片描述

    2、代理防火墙:一台运行一个或多个应用层网关(ALG)的主机,该主机拥有多个网络接口能够在应用层中继两个连接之间的特定类型的流量(通常不像路由器那样做IP层的转发)

    这里写图片描述

    • 代理防火墙相比包过滤防火墙更安全,但是缺乏灵活性,必须为每个传输层服务设置一个代理,任何要使用新服务必须安装一个相应的代理,并通过该代理来操作发起连接
    • HTTP代理防火墙(HTTP proxy firewallz):web代理,只用于HTTP或HTTPS协议(web服务)
    • SOCKS防火墙:用于web之外的服务,为使用SOCKS代理,应用程序在开发时必须添加SOCKS代理支持功能,同时通过配置应用程序能够获知带的位置继器版本,配置完成,客户端使用SOCKS协议请求代理进行网络连接,也可选择性地进行DNS查找

    10、网络地址转换NAT

    为了解决IPv4地址日渐枯竭的问题,NAT允许在互联网的不同地方重复使用特定的相同IP地址(内网IP)。其主要方法就是重写一个方向传输数据包的源IP地址和另一个方向传输数据包的目的IP地址
    这里写图片描述
    - 提供使用的私有内部IP地址范围:10.0.0.0/8;172.16.0.0/12;192.168.0.0/16

    1、传统的NAT:包括基本NAT和NAPT

    • 基本NAT:只执行IP地址的重写,端口号保持不变,本质上就是将私有地址改写为一个公有地址,(联网的主机数只能小于等于公有IP的个数,基本NAT无助于减少需要使用的IP地址的数量

    • NAPT:使用传输层标识符(TCP和UDP的端口号,ICMP的查询标识符)来确定一个特定的数据包到底和内网中的哪台主机关联(极大的减少了IPv4地址的需求),如果查询不到端口映射的条目则数据包将会被NAT丢弃
      这里写图片描述

    • NAT会话(session):NAT创建的一个内部状态用于记住当前正在处理的一个新连接(状态包括NAT映射)
    • NAT映射(mapping):客户端原端口号和IP与之对应的外部端口号和IP组成的条目

    2、NAT与TCP

    • 当NAT内部客户端发送SYN包时会在NAT生成NAPT条目(记录端口与内部IP和端口号的对应关系),并开启一个连接计时器,如果在连接计时器超时前没有收到ACK,则该NAT会话将被删除
    • 当收到服务器的SYN+ACK回复时,NAT会转发数据报,清楚连接计时器,同时开启一个会话计时器(超时时间按小时计算),每次收到任意一边的数据包时会话计时器时间会被重置,如果会话计时器超时,NAT可能会向内部主机发送一个探测数据包,如果收到内部主机的ACK则重置会话超时器,如没有收到响应(在关闭计时器超时前)或则收到RST数据报,则删除会话
    • 当最后一个FIN的ACK发送后,NAT会主动删除这个连接的NAT会话
    • Peer-to-Peer同步连接:两端同时发送SYN,同步开启连接时,如果外网端先到
      达NAT,外网发送的SYN包将被丢弃,如果在6秒内内网SYN没有到达NAT并开启连接会话,NAT将会发用一个错误信息给外网主机
      这里写图片描述

    3、NAT与UDP

    由于UDP没有连接状态,所以对于NAT会话的删除需要采用另外的计量方法

    • 映射计时器:(要求超时时间为2分钟以上,推荐为5分钟)当内部主机向外部发送数据时会刷新映射计时器,如果计时器超时,则删除该NAT会话
      这里写图片描述
      由于UDP分段时,除了第一个分片有UDP头部,其他分片都不含有UDP头部(UDP头部中包含端口号信息),NAT不能正确处理不含端口号的数据包,因此UDP分片不能被NAT正确处理,应该尽量避免UDP分段。

    4、NAT与ICMP

    ICMP包分为两类:

    • 1.错误信息:当数据包传输途中出现错误路由器会发送一个错误信息数据包给发送者,通过NAT时,通过端口映射该写信息报中的IP

    • 2.查询信息:内网发出查询ICMP时会有一个查询号(QueryID),可以将查询号作为端口号来进行映射

    5、NAT与隧道数据包

    隧道数据包需要NAT转发时,NAT不仅要修改IP头和传输头,还需要修改负载数据中的封装协议的关于端口号的类容(如Teredo隧道包,需修改IPv4头中的IP,UDP头中的端口号,以及负载数据中IPv6头中的IP)

    6、地址和端口转换行为与过滤行为

    这里写图片描述
    这里写图片描述

    7、位于NAT之后的服务器

    • 端口映射(port mapping)又叫端口转发(port forwarding):NAT通过入站数据包的端口号来确定转发的内部主机IP
      位于NAT之后的服务器,需要采用服务器的内部地址和提供服务的端口号来静态配置NAT,然后通过端口转发来提供寻址(端口转发时一个始终存在的静态NAT映射)

    8、NAT回环(loopback)

    允许同处于内部的两台主机之间通过映射的外部IP和端口号交流
    这里写图片描述

    9、SPNAT(Service Provider NAT)/CGN(carrier-grade NAT)/LSN(large-scale NAT)

    服务商提供的NAT,将用户都分配内网IP,减轻IPv4地址的分配空间不足的压力

    10、NAT穿越(NAT traversal):解决内部主机与外部主机的Peer-to-Peer通讯

    • 针孔(Pinholes):隔着NAT的主机建立起来的NAT映射,使得两边特定应用程序(IP+端口号)的数据包能够通过NAT映射发送给对方,这种NAT映射就叫做针孔
    • 打洞技术(Hole Punching):一种让两个隔着NAT的主机通过针孔建立连接交流的技术。其实现主要是:两端客户端通过主动与公网上的已知的集中服务器建立连接来建立自己的NAT映射,这样集中服务器就能够知道两边客户端的NAT公用IP和分配给客户端的端口号信息,然后集中服务器将两边的NAT转换后的IP和端口号发送给对方,让两边自己建立连接(这种连接必须是NAT使用终端无关映射才可以使用)
    • 单边自地址修复UNSAF(UNilateral Self-Address Fixing):应用层连接交流通过NAT时使用的IP地址的更改叫做地址修复,应用程序在没有NAT的协助的情况下修复它的地址的行为叫单边地址修复
      这里写图片描述

    1、STUN(NAT会话穿越工具:适用于一端在内网中,另一端在外网中的Peer-to-Peer通信

    STUNN是一个相对简单的客户机/服务器协议,它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,查出自己位于哪种类型的NAT之后以及NAT为某一个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT路由器
    之后的主机之间创建通信
    这里写图片描述

    • STUN协议使用UDP、TCP、或者结合TLS的TCP来作为传输层,TCP和UDP使用的端口号为3478,TCP/TLS端口号为3479
    • STUN协议事务分为两种类型:请求/相应事务、标志事务(标志事务不需要相应)
      这里写图片描述
    • STUN一般封装在UDP负载数据中通过UDP/IPv4传输
    • STUN协议定义了一个简单的keep-alive探测机制,可以保证NAT会话不超时

    2、TURN(NAT中继穿越):适用于两端在不同的NAT之后的Peer-to-Peer通信

    需要一个TURN中继器在NAT两端传递转发数据
    这里写图片描述
    - TURN采用了STUN报文形式,其中报文类型时一个分配请求
    - TURN缺点在于运维TURN中继服务器的投入很大,为了满足传输数据量的需求,中继设备的内存必须足够大,因此在其他直接连接手段都失败的情况下使用

    3、ICE(交互式连接建立)

    是一种使用STUN和TURNd的选择机制,致力于在通信各端之间建立一条最有效的通道:等直连就直连,必要时使用STUN协议,再不行就用TURN
    在实际开发中,如果想构建Peer-to-Peer应用程序,应该选择现有平台的APPI,或者实现了ICE、STUN、TURN的第三方库


    展开全文
  • 网络安全协议

    千次阅读 2019-06-29 23:16:48
    文章目录安全协议网络安全协议概述产生安全协议的原因网络安全协议所需要具有的功能安全协议体系结构安全协议体系结构详细介绍IPsec协议IPsec重要协议安全关联传输方式隧道模式IPsec组成IPsec的AH和ESPIPsec的IKE...

    安全协议

    网络安全协议概述

    产生安全协议的原因

    通信协议具有问题

    1. 源端鉴别问题
    2. 数据传输的保密性问题
    3. 数据传输的完整性问题
    4. 身份鉴别问题

    网络安全协议所需要具有的功能

    网络安全协议所需要具有的功能

    1. 双向身份鉴别

    2. 数据加密

    3. 数据完整性检测

    4. 防重放攻击机制

    安全协议体系结构

    安全协议体系结构详细介绍

    IPsec协议

    IPSec是网际层实现IP分组端到端安全传输的机制,是以RFC形式公布的一组安全协议集,是在IP包级为IP业务提供保护的安全协议.IPSec将几种安全技术结合形成一个比较完整的安全体系结构.注意IP sec是安全协议集。将几种安全技术结合形成一个比较完整的安全体系结构。

    IPSec提供了下面的安全服务:

    • 数据完整性
    • 认证
      • 预共享认证
      • RSA数字签名认证
    • 保密性
    • 应用透明的安全性

    两种工作模式:传输模式和隧道模式

    IPsec重要协议

    安全通信协议(AH和ESP)

    • AH鉴别首部:认证+数据完整性检测
    • ESP封装安全载荷:认证+数据加密+数据完整性检测(AH/ESP协议的选择将决定其它组件)

    密钥管理协议(IKE)
    用于在通信实体间创建安全关联,用于完成安全关联两端的双向身份鉴别过程以及安全关联相关参数的协商过。

    安全关联

    为了实现数据发送者与接收者的安全传输,需要建立发送者与接收者之间的关联,这种以实现源端鉴别、数据加密和完整性检测为目的的关联称为安全关联(SA)安全关联是单向的,用于确定发送者至接收者传输方向的安全传输过程所使用的加密算法和加密密钥、消息鉴别码(MAC)算法和MAC密钥等安全关联唯一标识
    安全参数索引(SPI)+目的IP地址+安全协议标识符

    传输方式

    不改变原IP分组的IP头部,他是将要保护的数据作为上层协议数据这种模式下, IPSec所保护的数据就是作为IP分组净荷的上层协议数据,如TCP、UDP报文和其他基于IP的上层协议报文。

    隧道模式

    将整个IP分组作为另外一个载荷的IP分组上层协议,进行保护

    IPsec组成

    值得注意的是选择AH与ESP的不同会导致下面选择的完全不同。会导致会不会选择加密算法,在整个传输过程中,如果采用AH算法则在传输过程中是以明文形式进行传输。

    Psk指的是预共享密钥

    RSA数字签名认证

    IPsec的AH和ESP

    注意这里的AH和ESP是在整个传输过程中都要遵循的,而不单单只是在创建连接的时候进行。
    认证头:所有数据都是明文的,提供认证(数字签名)和完整性(散列算法)的功能

    传输/隧道协议的认证头 封装安全载荷:载荷数据是加密的,提供:加密、认证和完整性的功能。 传输/隧道模式下封装的安全载荷

    IPsec的IKE协议

    IPsec在传送认证或加密的数据之前,必须就协议、加密算法和使用的密钥进行协商。而这个协商过程就是IKE协议
    IKE实际上是三个协议ISAKMP、OAKLEY和、SKEME的混合体。使用的协议都是IPsec组成中的协议

    • ISAKMP提供了认证和密钥交换的框架
    • OAKLEY描述了密钥交换的模式
    • SKEME定义了密钥交换技术

    IKE在作用就是在通信系统之间建立安全关联(SA),提供密钥确定、密钥管理的机制;IKE将密钥协商的结果保留在SA。

    IKE的启动过程

    image.png
    由于SA( Security Association)是由一系列参数(如加密算法、密钥和 生命周期)定义的安全信道。所以建立SA的过程也就是参数的协商过程。而这些参数则是分为两部分,第一部分是两个终端已经存在的参数,比如加密方式,散列算法,密钥分发协议。而第二部分则是通过第一部分的参数产生的第二阶段
    IKE建立sa的过程一共包括两个阶段
    SAKMP的第一个阶段( Main mode,MM)建立安全的传输通道

    • 协商和建立 ISAKMP SA,两个系统根据DH算法生成对称密钥,后续的KE通信都使用该密钥加密
    • 验证远程系统的标识(初始认证)
      SAKMP第二个阶段( Quick Mode,QM)建立安全关联:
    • 使用 IISAKMP/MM SA提供的安全信道协商一个或多个用于IPsec通信的SA

    IKE例子举例
    image.png

    建立传输通道

    1. 协商IKE的安全策略集(如加密方式、DH算法、预共享密钥、散列算法等)
    2. 使用前面协商出来的DH算法来交换密钥,交换之后双方就有了一个会话密钥
    3. 通过会话密钥来加密鉴定数据(PSK、RSA数字签名认证)

    总的来说就是最后通过DH算法交换会话密钥。

    image.png

    协商IPsec策略(这是采用AH协议、或者是ESP协议、或者是AH+ESP协议)
    第一阶段匹配的就是IKE策略,而匹配了IKE策略后就是到了第二阶段的匹配IPsec策略
    image.png

    所以我们可以通过上面的两个阶段得出sa的建立所依赖的参数就是IKE策略和IPsec策略。

    TLS协议

    TLS是传输层安全协议,TLS提供的是TCP数据传输的安全保障。我们可以使用TLS记录协议来封装上层协议,然后再封装到TCP报文中,最后形成IP分组。
    TLS协议分类:

    上图中的四种TLS协议使用情景

    1. 通过TLS握手协议完成双向身份鉴别过程,并约定压缩算法、加密算法、MAC算法、加密密钥、MAC密钥等安全参数。
    2. 通信双方约定新的安全参数后,通过TLS改变密码规范协议通知对方开始使用新约定的安全参数
    3. 通信报警协议用于传输出错消息,如解密失败、无法确认证书等。
    4. 通过TLS记录协议来传输数据。

    TLS协议工作流程

    这个过程也就是将上层数据经过TLS后,直接加上TLS头部变成TCP的数据。

    TLS工作实例

    基于TLS的https协议

    封装过程:HTTP --> TLS–>TCP–>IP
    其中TLS加密数据的过程

    SET协议实现电子交易

    双重签名

    双重签名的作用 对于持卡人来说:持卡人完成一次电子交易需要向商家列出购买的商品清单和支付凭证,而商家只能验证该支付凭证不能读取 对于商家而言:双重签名的目的是将每一次电子交易涉及的支付信息和订货信息绑定,并证明这两组信息确实由持卡人给出。其中PI指的是支付信息,OI指的是订货信息 商家获得支付PIMD,再加上订货信息算出双重数字签名来验证

    支付网关获得OIMD,再加上支付信息算出双重数字签名来验证的

    下面来讲一下电子交易过程,我们所谓的电子交易过程是持卡人在收到商家返回的订货信息后开始的

    1. 初始请求消息,包含持卡人拥有的信用卡类型、发卡机构请求标识和随机数(发送端封装),发送信用卡类型
    2. 商家进行签名鉴别和数据完整性检测,再向持卡人发送初始响应消息:包括这次交易分配的交易标识符、商家和支付网关证书,以及匹配的请求标识和随机数。(认证+发送端封装),商家从请求报文中获取到行用卡类型,找到
    3. 持卡人获得购物清单、本次交易金额、本次交易标识符、商家和支付网关证书后,构建支付信息和订货信息捆绑,封装购买请求消息。(双重签名+购买请求消息封装)
    4. 商家鉴别购买请求消息,再处理订单,并向支付网关发送授权请求消息,以此来确认持卡人账户的有效性(鉴别+授权请求消息封装)
    5. 支付网关验证授权请求消息,并向商家发送授权响应消息(认证+授权响应消息封装)
    6. 商家保留支付信息密文,并向持卡人发送购货响应消息(发送端封装)
    7. 商家提供本次交易要求的货物和服务后,向支付网关发送支付请求消息。(支付请求消息封装)
    8. 支付网关验证支付请求消息,完成支付,并向商家发送支付响应消

    第一点与第二点可以看成客户使用哪家银行进行支付,商家就返回这家银行的支付网关和交易凭证。
    第三点可以看成客户接收到支付网关和交易凭证后就提交支付信息和订单信息
    第四点、第五点可以看成验证订单信息没问题的话,就向银行请求交易凭证是否可行(账户里面有没有钱?)

    封装发送信息

    持卡人封装发送信息

    其中SKC是发送者的私钥,H是报文摘要算法。PKA是商家的公钥.双方会话密钥通过PKA加密后生成数字封面

    商家认证发送者身份和解密数据过程

    商家解密数据过程
    商家封装发送信息

    其中SKA指的是商家的私钥,PKC指的是持卡人的公钥。在这里我们需要使用公钥来解密数字签名,从而获取到信息.

    购买请求消息封装过程

    PKA是商家的公钥,PKG指的是支付网关的公钥。最终生成的购买请求消息由持卡人发给商家,而购买请求中关于支付网关的部分将由商家转发给支付网关

    商家鉴别购买请求消息和发送请求到支付网关

    商家鉴别购买请求消息
    发送请求到支付网关

    PKG指的是支付网关的公钥,SKA指的是商家的私钥

    支付网关验证授权请求消息

    商家请求支付请求消息

    展开全文
  • 具体网络安全协议

    千次阅读 2010-03-02 21:58:00
    前一篇《网络安全》主要总结了下网络安全中的基本问题,包括对称密钥和公开密钥密码学、端点鉴别、密钥分发、报文完整性和数字...首先,尽管网络层安全性可以通过加密数据报中的所有数据,以及通过鉴别所有数据报的源I

    前一篇《网络安全》主要总结了下网络安全中的基本问题,包括对称密钥和公开密钥密码学、端点鉴别、密钥分发、报文完整性和数字签名。

    这里主要总结下我们如何在应用层、运输层、网络层和数据链路层中使用这些安全性工具。为什么要在因特网的多个层次上提供安全性功能呢?仅在网络层提供安全性功能并加以实施还不够吗?这个问题有两个答案。首先,尽管网络层安全性可以通过加密数据报中的所有数据,以及通过鉴别所有数据报的源IP地址,提供“地毯式覆盖”,但是却并不能提供用户级的安全性。例如一个商业站点不能依赖IP层安全性来鉴别一个在该站点购买商品的顾客。其次,在协议栈的较高层次设置新的因特网服务通常较为容易。现在许多应用程序开发者“正在这样做”,并在他们中意的应用程序中引入安全性功能。一个典型的例子就是PGP,它提供了安全的电子邮件。

    介绍下安全的电子邮件,邮件的安全特性重中之重是机密性。双方通信的电子邮件不希望被第三方看到。第二特性就是具备发送方鉴别,第三种特性就是报文完整性。提供机密性一般使用对称加密或者非对称加密,但是前者的困难时密钥分发,后者的困难时效率不高,对长报文更是如此。为了克服效率问题,我们利用了会话密钥。操作步骤如下:

    第一发送方选择一个随机对称会话密钥Ks,第二用这个对称密钥加密她的报文m,第三用接收方的公钥K+加密这个对称密钥,第四级连该加密的报文和加密的对称密钥形成一个“包”,第五向接收方发送这个包,当接收方收到这个包时,接收方用他的私钥K-得到对称密钥Ks,使用这个对称密钥Ks解密报文m。

    关于鉴别和报文完整性的设计(暂不考虑机密性),采用数字签名和报文摘要。具体操作是发送方对要发送的报文m应用一个散列函数H(例如MD5),得到一个报文摘要,用发送方的私钥K对得到的散列签名,从而得到一个数字签名,然后初始报文(未加密)和该数字签名级连起来生成一个包,发送给接收方。接收方用发送方的公钥K+解密被签名的报文摘要,将解密得到的报文摘要与自己对该报文的散列H进行比较。

    将这两个设计方式整合就可以为大多数电子邮件用户提供满意的安全性。但是仍有一个重要的问题没有解决。就是发送方和接收方互相分发自己的公钥,不过常用的解决方式就是通过CA验证各自公钥。

    具体的PGP,一般使用MD5或SHA来计算报文摘要;使用CAST、三重DES或IDEA进行对称密钥加密;使用RSA进行公钥加密。

     

    TCP的安全性:SSL

    SSL通过采用机密性、数据完整性、服务器鉴别和客户机鉴别来强化TCP,经常用于为发生在HTTP之上的事务提供安全性。SSL具有三个阶段:握手、密钥导出和数据传输。

    关于握手分为三步骤:第一是创建一条TCP连接,第二验证接收方的真实身份(一般是接收方用自己的CA证书进行响应),第三发送给接收方一个主密钥,该主密钥是发送方和接收方用来生成SSL会话所需的所有对称密钥。

    关于密钥导出,原则上说,主密钥能够用于所有后继加密和数据完整性检查。不过每个使用不同密码密钥,通常认为更为安全。一般生成四个密钥:

    EB=用于发送方发送到接收方数据的会话加密密钥。

    MB=用于发送方发送到接收方数据的会话MAC密钥。

    EA=用于接收方发送到发送方数据的会话加密密钥。

    MA=用于接收方发送到发送方数据的会话MAC密钥。

    关于数据传输,因为TCP是一种字节流协议,一种自然的方法是对SSL在传输中加密应用数据,然后将加密的数据在传输中传给TCP。SSL将数据流分割成记录,为了完整性检查对每个记录附加一个MAC,然后加密该“记录+MAC”。另外介绍下SSL记录格式,该记录包含类型字段、版本字段、长度字段、数据字段和MAC字段组成,其中前三个字段是不加密的,类型字段是用来指出握手报文还是包含应用数据的报文,也能用于关闭SSL连接。

    关于真实SSL握手步骤如下:

    1、客户机发送它支持的密码算法的列表,连同一个客户机的不重数。

    2、从该列表中,服务器选择一种对称算法(如AES)、一种公钥算法(具有特定密钥长度的RSA)和一种MAC算法。它向客户机发送回它的选择,以及证书和一个服务器的不重数。

    3、客户机验证该证书,提取服务器的公钥,生成一个主密钥MS,用服务器的公钥加密该MS,并将其发送给服务器。

    4、使用相同的密钥导出函数,客户机和服务器独立地从MS和不重数中计算加密和MAC密钥。自此以后,客户机和服务器之间发送的所有报文均被加密和鉴别(使用MAC)。

    5、客户机发送所有握手报文的一个MAC。

    6、服务器发送所有握手报文的一个MAC。

     

    网络层安全性:IPsec

    一般IP安全常被称为IPsec,它是有网络层提供的一组协议,一般处于虚拟专用网(VPN)的核心位置。网络层机密性,就是IP数据报携带的所有有效载荷都被加密了。这种服务可以为所有因特网流量提供某种全面覆盖,进而为我们提供了某种意义上的安全性。IPsec协议族中有两个主要协议:鉴别首部协议(AH)和封装安全性载荷协议(ESP),前者提供源鉴别和数据完整性服务(不提供机密性服务);后者提供鉴别、数据完整性和机密性服务。在这两个协议中,从源主机向目标主机发送安全数据流之前,源主机和网络主机握手并创建了一个网络层的逻辑连接。这个逻辑通道称为安全关联(不过是单工连接)。

    鉴别首部协议格式:

    IP首部

    AH首部

    TCP/UDP报文段

    IP首部值是51,表示数据报包含一个AH首部。

    AH首部包括几个字段:

    下一个首部:表示AH首部之后的数据时TCP还是UDPICMP的报文

    安全性参数索引:一个任意32比特的值

    序号:一个32比特的字段,包含针对每个数据报的序号

    鉴别数据:是一个可变字段,包含对该数据报的MAC

     

     

    封装安全性载荷协议格式:

    IP首部

    ESP首部

    TCP/UDP报文段

    ESP尾部

    ESP鉴别

    IP首部:值为50时,表示后面有ESP报文。

    不过IP数据报有效载荷连同ESP尾部都被加密了。

     

    展开全文
  • 网络层协议

    千次阅读 热门讨论 2017-12-26 14:29:35
    OSI模型有7层结构, OSI的7层从上到下分别是 7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层 ;其中高层(即7、6、5、4层)定义了应用程序的功能,下面3层(即3、2、1层)主要面向通过网络的端到端...
  • 常见的网络安全协议

    万次阅读 2019-09-25 20:38:04
    常见的网络安全协议 网络认证协议Kerberos Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机...
  • 应用层安全协议的五个种类

    千次阅读 2020-03-11 16:07:51
    应用层安全协议 五个种类 http PGP S/MIME RSA DES Kerberos
  • TCP/IP体系结构各层安全协议介绍

    千次阅读 2018-10-16 17:46:50
    1. IPSEC——网络层 2. SSL/TSL——传输层 3. 应用层安全(WEB、远程应用、邮件)   TCP/IP协议栈 观察TCP/IP的协议栈,我么可以发现,在诸多协议中,并没有针对安全的协议,这时就需要安全协议来保证通信...
  • OSI参考模型——网络层:IPv4协议和IPv6协议详解

    万次阅读 多人点赞 2016-12-30 15:10:34
    二、网络层IP协议的基本内容 三、IPv4分组的格式 四、IPv4分组的地址分类和表示 五、IPv4地址的子网划分 六、CIDR(无类别域间路由) 七、IPv6协议 八、IPv4和IPv6共存——隧道技术一、网络层的基本概念网络层...
  • 传输层安全协议TLS/SSL

    千次阅读 2016-08-29 18:14:06
    部分链接可能需要使用Google才能打开描述:传输层安全协议TLS(Transport Layer Security)是设计用来保护网络通信过程中信息的私密性的一种工业标准,允许客户机,服务器应用程序可以探测到安全风险,包括消息篡改...
  • 原文链接:网络层次划分及网络协议 1 OSI七模型、TCP/IP四模型、TCP/IP五模型 不管是OSI七模型还是TCP/IP的四、五模型,每一中都要自己的专属协议,完成自己相应的工作以及与上下层级之间进行沟通。 ...
  • TCP/IP  TCP/IP是个协议组,可分为三个层次:网络层、传输层和...在网络层有IP协议、ICMP协议、ARP协议、RARP协议和BOOTP协议。  在传输层中有TCP协议与UDP协议。  在应用层有:TCP包括FTP、HTTP、TELNET、SMT
  • 层网络协议

    千次阅读 2018-03-26 10:59:41
    一、OSI七层网络协议OSI是Open System Interconnect的缩写,意为开放式系统互联。OSI参考模型各个层次的划分遵循下列原则:1)根据不同层次的抽象分层2)每应当有一个定义明确的功能3)每功能的选择应该有助于...
  • 网络协议概述:物理层、连接层、网络层、传输层、应用层详解 这篇文章主要介绍了网络协议概述:物理层、连接层、网络层、传输层、应用层详解,本文用生活中的邮差与邮局来帮助理解复杂的网络协议,通俗...
  • IP协议网络层协议

    千次阅读 2017-06-20 07:48:23
    1 IP协议功能 寻址和路由 传递服务 不可靠,可靠性由上层协议提供 无连接 数据报分段和重组 2 IP协议IP数据报格式其中固定部分为20byte,可变部分最大为40byte,因此IP数据报的首部大小为20~60byte。版本 占4bit,...
  • 详细介绍了OSI七层网络模型每一的相关协议以及相应的设备 以及与TCP/IP四层网络模型的层次对应关系 1. OSI七模型:OSI(Open System Interconnect),即开放式系统互联 第一:物理 作用:透明地传输比特流...
  • 浅谈SSL与SSH以及各层安全协议

    千次阅读 2016-06-11 15:43:03
    “(1)应用层安全(Security at the Application Layer):邮件系统安全(Electronic Mail Security) 电子邮件安全要素(Email security issues) PGP协议(PGP-Pretty Good Privacy) (2)传输层安全(Security at the...
  • 信息安全概论———网络安全协议

    千次阅读 2018-04-23 23:10:03
    网络安全协议 网络安全协议:TCP/IP固有漏洞,所以为保证信息安全,在各种层次上产生各种安全协议,是以密码学为基础的,在网络中提供安全服务为目的协议; 数据链路:PPTP,L2F,L2TP,主要用于构建access VPN,...
  • TCP/IP协议简介(三) 之 网络层

    千次阅读 2016-07-28 15:48:28
    IP 网际协议IP 协议位于网络层,它是 TCP/IP 协议族中最为核心的协议,所有的 TCP、UDP、ICMP 及 IGMP 数据都以 IP 数据报格式传输。IP 协议提供的是 不可靠 、 无连接 的数据报传送服务。不可靠(unreliable)...
  • WTLS是以安全协议TLS1.0标准为基础发展而来的,提供通信双方数据的机密性、完整性和通信双方的鉴权机制。WTLS在TLS的基础上,根据无线环境、长距离、低带宽、自身的适用范围等增加了一些新的特性,如对数据报的支持...
  • 应用层协议: 1、远程登录协议(Telnet) 2、文件传输协议(FTP) 3、超文本传输协议(HTTP) 4、域名服务协议(DNS) 5、简单邮件传输协议(SMTP) 6、邮局协议(POP3)   其中,从网络上...
  • 传输层安全协议抓包分析之SSL/TLS

    千次阅读 2017-01-18 12:27:56
    SSL/TLS是保护计算机网络通讯安全的一类加密协议,它们在传输上给原先非安全的应用层协议提供加密保护,如非安全的HTTP协议即可被SSL/TLS保护形成安全的HTTPS协议。 SSL、TLS协议其实是有所差异的,TLS协议是继承...
  • 网络层协议的形象说明

    千次阅读 2017-07-27 10:05:12
    七层模型在Windows程序下的体现: 物理层----就是我们看得见的网卡...网络层----即NDIS,NDIS提供网络接口。决定网络设备间如何传输数据;根据唯一的网络设备地址选择包;提供流和拥塞控制,以阻止同时网络资源的损耗
  • IP协议用于将多个包交换网络连接起来,他在原地址和目的地址之间传输数据报,还提供对数据大小的重新组装功能,以适应不同网络的要求。IP协议是TCP/IP协议族的核心协议,最常用的IP协议的版本号是4,即IPV4 ,它的下...
  • 计算机网络应用层协议分析总结

    千次阅读 2018-01-20 15:13:52
    1、应用层协议原理 1.1、网络应用程序体系结构 C/S结构,有一个总是打开的主机称为服务器,它服务于来自许多其他称为客户机的主机请求。客户机主机既可能有时打开,也可能总是打开。C/S结构之下,客户机之间不直接...
  • 计算机网络协议(二)——从二到三

    万次阅读 多人点赞 2019-09-03 11:56:34
    底层网络知识详解:从二到三概述一、从物理到MAC1.1 第一(物理)1.2 第二(数据链路)二、交换机与VLAN2.1 如何解决广播问题和安全问题?三、ICMP和ping3.1 ICMP协议的格式3.2 ICMP报文类型3.3 ping:...
  • 关于SSL安全套接层协议

    千次阅读 2018-07-19 22:20:36
    SSL(Secury Sockets Layer)中文名是安全套接层协议,利用数据加密技术保障网络上的数据传输安全。我们都知道HTTP协议,是现在应用最广泛的网络协议,可它是不安全的。还好有HTTPS协议,即安全版的超文本传输协议。...
  • 什么是TLS协议(传输层安全)

    千次阅读 2011-11-28 15:19:14
    什么是TLS协议(传输层安全)? TLS (Transport Layer Security), defined in RFC 2246 , is a protocol for establishing a secure connection between a client and a server. TLS协议(传输层安全),RFC2246定义,...
  • OSI七层协议在网络传输中扮演的角色及功能:7、应用层——–电脑的各种数据6、表示层 ——– 处理用户信息的表示问题,如编码、数据格式... )3、网络层——–路由器(通过路由选择算法,为报文或分组通过通信子网选择最

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 274,791
精华内容 109,916
关键字:

属于网络层安全协议的是