網(wǎng)絡(luò)體系結(jié)構(gòu)分層研究

1、,,網(wǎng)絡(luò)分層體系結(jié)構(gòu) 端到端及其加密機制,,,,目錄,端到端加密機制,端到端設(shè)計原則,,網(wǎng)絡(luò)層次結(jié)構(gòu)研究,,01,網(wǎng)絡(luò)層次結(jié)構(gòu)與發(fā)展歷史。七層與五層服務(wù)模型的關(guān)系？歷史的存在性？,,,計算機網(wǎng)絡(luò)通信的出現(xiàn)極大的方便了人類信息傳輸及通信。其中網(wǎng)絡(luò)通信涉及到不同的異構(gòu)網(wǎng)絡(luò)、不同廠家的設(shè)備互連，因此需要制訂大量的相關(guān)通信協(xié)議，通常這些協(xié)議按其內(nèi)容及作用被劃分為不同的層次。,1983年，ISO（International

2、Organization for Standards）組織提出了OSI（International Organization for Standards）七層模型，也就是著名的ISO 7498標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)中，提出計算機網(wǎng)絡(luò)將通信過程抽象組織為大約7層： 應(yīng)用層、表示層、會話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層以及物理層。這個經(jīng)典七層模型的設(shè)計初衷是提供一個概念性的模型。它的目的是試圖達(dá)到一

3、個理想境界，即全世界的計算機網(wǎng)絡(luò)都遵循這一標(biāo)準(zhǔn)。,網(wǎng)絡(luò)體系結(jié)構(gòu)的提出后，同一公司的產(chǎn)品容易互連成網(wǎng)。但是，不同公司的產(chǎn)品互連仍然存在障礙。隨著計算機通信網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)互連已經(jīng)成為迫切需要解決的問題。但是由于實際操作的過程中，由于該模型過于復(fù)雜導(dǎo)致它并沒有得到大規(guī)模的推廣應(yīng)用。,,事實上，TCP/ IP協(xié)議的提出要早于OSI七層模型。隨著Unix系統(tǒng)在科研中的成功使用，TCP/IP協(xié)議也漸漸成為Unix主機操作系統(tǒng)的標(biāo)準(zhǔn)網(wǎng)

4、絡(luò)協(xié)議。,,Internet是由ARPANET發(fā)展起來的，ARPANET發(fā)展于70年代初，它最初使用的是NCP（Network Control Protocol）協(xié)議。鑒于TCP/IP協(xié)議具有跨平臺、開放、可以連接不同網(wǎng)絡(luò)的特性，ARPANET的開發(fā)人員對TCP/IP協(xié)議進(jìn)行了一定的改進(jìn)，將它作為ARPANET的通信規(guī)范，規(guī)定連入ARPANET的所有計算機都必須采用TCP/IP協(xié)議。隨著ARPANET逐漸發(fā)展成為Internet，TC

5、P/IP協(xié)議就成為Internet的標(biāo)準(zhǔn)連接協(xié)議。,VintonG.Cerf和Bob Kahn在1973年蘇塞科斯大學(xué)組織召開了“國際網(wǎng)絡(luò)工作小組”提交了第一份TCP/IP協(xié)議草稿，提出Internet最初設(shè)想。之后，二人正式發(fā)表了TCP/IP協(xié)議。1983年，TCP/IP被Unix4.2BSD系統(tǒng)采用。,,主要分層體系：,四層架構(gòu)模型,國內(nèi)謝希仁編著的《計算機網(wǎng)絡(luò)》和趙洪波主編的《現(xiàn)代通信技術(shù)概論》中，認(rèn)為TCP/ IP協(xié)議分別由應(yīng)用

6、層、傳輸層、網(wǎng)際層、網(wǎng)絡(luò)接口層組成，是一個四層協(xié)議結(jié)構(gòu)。該分層和OSI七層模型的對應(yīng)關(guān)系如圖1所示：,最下層網(wǎng)絡(luò)接口層對應(yīng)的是OSI模型中的物理層和鏈路層網(wǎng)際層對應(yīng)OSI模型的網(wǎng)絡(luò)層運輸層對應(yīng)OSI模型的運輸層應(yīng)用層則對應(yīng)OSI模型的上面三層（即應(yīng)用層、表示層、會話層）,四層架構(gòu)模型,網(wǎng)絡(luò)通信教材《Internetworking WithTCP/IP》中，未考慮TCP/IP分層和ISO模型的對應(yīng)關(guān)系，僅僅提及了TCP/IP協(xié)議架構(gòu)

7、是個四層協(xié)議系統(tǒng)。,五層架構(gòu)模型,《Data Communication and Networking》,TCP/IP協(xié)議架構(gòu)： 物理層、鏈路層、 網(wǎng)絡(luò)層、傳輸層、 應(yīng)用層前四層和OSI的模型對應(yīng)；應(yīng)用層這對應(yīng)OSI的會話層、表示層和應(yīng)用層。,五層架構(gòu)模型,《Data and Computer Communications》中,該書中，TCP/ IP體系結(jié)構(gòu)和OSI模型的對應(yīng)關(guān)系如圖所示。圖中TCP

8、/IP的5層模型和OSI的對應(yīng)關(guān)系按功能劃分,各個教材的編寫者的考慮角度不一樣，這些層次劃分及對應(yīng)關(guān)系不盡相同。其主要原因大概有以下幾點：,根據(jù)文獻(xiàn)《計算機網(wǎng)絡(luò)》（謝希仁）一書中所描述的內(nèi)容而看實質(zhì)上，TCP/IP協(xié)議只有三層，即應(yīng)用層、運輸層、網(wǎng)際層（網(wǎng)絡(luò)層），因為最下面的網(wǎng)絡(luò)接口層并沒有實質(zhì)的具體內(nèi)容。更重要的是，TCP/IP協(xié)議產(chǎn)生于OSI七層模型之前，它們不能精確匹配。因為當(dāng)年參與設(shè)計開發(fā)TCP/IP協(xié)議的先驅(qū)們首先考慮的是

9、實用性，不可能去按照后來提出的OSI模型去考慮TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)的分層。,,端到端設(shè)計原則,,02,參考閱讀：J. Saltzer, D. Reed, D. Clark: "End-to-End arguments in System Design" ACM Transactions on Computer Systems (TOCS), Volume 2 , Issue 4 (November 1984),

10、,,與實現(xiàn)所需要的較大的全局代價相比，在網(wǎng)絡(luò)底層實現(xiàn)功能往往是冗余的、幾乎沒有價值的。,作者以文件傳輸過程來分析端到端網(wǎng)絡(luò)設(shè)計的合理性，文件傳輸過程如左圖所示，可以分為5步：,從硬盤中提取文件將文件拆分為傳輸協(xié)議規(guī)定的數(shù)據(jù)包傳輸接收數(shù)據(jù)包將數(shù)據(jù)寫入硬盤。,,,,,,,但是在傳輸過程中可能會遇到諸多難以控制的風(fēng)險,數(shù)據(jù)包完整性的度量以及其他一些未知的錯誤,接收過程出錯,通信傳輸過程出錯,文件本身出錯,,,針對這些隱患所采取的底層功

11、能如文件拷貝，超時重傳，錯誤校驗，崩潰重試等方法不能完全有效。例如：,應(yīng)用層的程序不一定完全正確，這樣就導(dǎo)致了底層的工作量會很大，而且不能解決實際問題。,,1,3,4,2,降低網(wǎng)絡(luò)核心的復(fù)雜度和實現(xiàn)成本，易于維護和升級,在不修改網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上實現(xiàn)應(yīng)用的擴張,網(wǎng)絡(luò)核心架構(gòu)簡單，更可靠，且擴展性也好,簡化了終端用戶和網(wǎng)絡(luò)之間的接口，終端用戶不依賴與網(wǎng)絡(luò)的內(nèi)部狀態(tài),,應(yīng)用于實際問題，端到端的觀點分析需要做細(xì)微的甄別。,,端到端加密機制,

12、,03,,,端到端加密是一種全程化的加密技術(shù)，它采用特殊的秘鑰設(shè)置。通俗的講是在信息傳遞的過程中，信息從客戶端輸出開始，就受到相應(yīng)程序或者技術(shù)手段的保護，直到安全的輸送到目的地點。這樣就使得期間出現(xiàn)信息傳輸節(jié)點斷開，或者是人為的信息截取和破壞，也不能獲取到一定信息內(nèi)容。,端到端加密概念,特點與優(yōu)勢,全程化加密解密的過程在兩端系統(tǒng)中進(jìn)行；在兩端需要加密裝置，源主機和目的主機共享密鑰；,即便是信息在送達(dá)接收端之前被截獲，也無法獲取

13、用戶信息。,,1.在用戶需要對敏感數(shù)據(jù)加密的情況下，“有選擇性地加密”將會大幅提升加密的靈活性，用戶可以根據(jù)自己的情況來選擇需要進(jìn)行加密的數(shù)據(jù)。,,2.用戶可以對端到端加密的實現(xiàn)過程進(jìn)行自定義配置，這將有助于實現(xiàn)功能的高度模塊化，并提升加密模塊的內(nèi)聚性。,,3.在整個加密過程中所涉及到的文件量是非常小的，所以加密過程所占用的資源量比較小，而且加密時間也不會太久。,,,,,,,,,,,1,2,3,4,5,端到端加密的加密終端,端到端加密的

14、專網(wǎng)基站,端到端加密的調(diào)度機,端到端加密的代理,端到端加密的密鑰分發(fā)中心,,相互關(guān)系如下所示,(1)[UE]端到端加密的加密終端；(2)[eNB]端到端加密的專網(wǎng)基站；(3)[eCN]端到端加密的核心網(wǎng)；(4)[MDC]端到端加密中的調(diào)度機；(5)[AFEE]端到端加密的代理；(6)[KDC]端到端加密中的密室分發(fā)中心；,[KDC]端到端加密中的密室分發(fā)中心 主要任務(wù)和功能：

15、 對秘鑰進(jìn)行分配與管理，保證秘鑰的正確設(shè)置與信息的順利傳輸。 加密方式： “三元加密”法 它指的是采用三層秘鑰的形式對其進(jìn)行完整的加密。 這樣使得任意一層密碼被解密后，其他層密碼會對其進(jìn)行更新和重 新加密，使信息盜取者無法獲得解密密碼。,,1.對稱加密算法

16、,對稱加密算法： 指的是加密和解密使用相同密鑰的加密算法。優(yōu)點：在于加解密的高速度和使用長密鑰時的難破解性。,常見的對稱加密算法：DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES,2.非對稱加密算法,非對稱加密算法： 指加密和解密使用不同密鑰的加密算法，也稱為公私鑰加密。 假設(shè)兩個用戶要加密交換數(shù)據(jù)，雙方交換公鑰，使用時一方用對方的公鑰加密，另一方即

17、可用自己的私鑰解密。,常見的非對稱加密算法：RSA、ECC（移動設(shè)備用）、Diffie-Hellman、El Gamal、DSA（數(shù)字簽名用）,3.Hash算法,Hash算法： 特別的地方在于它是一種單向算法，用戶可以通過Hash算法對目標(biāo)信息生成一段特定長度的唯一的Hash值，卻不能通過這個Hash值重新獲得目標(biāo)信息。 Hash算法常用在不可還原的密碼存儲、信息完整性校驗等。,常見的Hash算法：

18、MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1,選取哪一個算法？？？,加密大量的數(shù)據(jù)時，建議采用對稱加密算法，提高加解密速度。當(dāng)數(shù)據(jù)量很小時，我們可以考慮采用非對稱加密算法。采用非對稱加密算法管理對稱算法的密鑰，然后用對稱加密算法加密數(shù)據(jù)，這樣我們就集成了兩類加密算法的優(yōu)點,參考文獻(xiàn)[1] 張堯?qū)W. 計算機網(wǎng)絡(luò)與internet 教程[M]. 第1 版. 北京: 清華大學(xué)

19、出版社,1999.[2] 謝希仁. 計算機網(wǎng)絡(luò)[M]. 第4 版. 北京: 電子工業(yè)出版社,2003.[3] 趙宏波. 現(xiàn)代通信技術(shù)概論[M]. 北京: 北京郵電大學(xué)出版社,2003.[4]Douglas E .Comer.Internetworking with TCP/IP[M].趙剛,等,譯. 北京: 電子工業(yè)出版社,1998.[5]Behrouz A.Forouzan.Data Communications And Ne

20、tworking(FourthEdition)[M]. 影印版.New York:McGraw-Hill, 2007.[6]William Stalling.Data and Computer Communications (EighthEdition)[M]. New Jersey:Pearson Prentice Hall,2007.[1] 喬建強，孫耀杰，陳冰，移動通信端到端加密安全方案設(shè)計.信息工程.2015[2] 鄭園,

21、 蔣天發(fā). 一種基于3G 網(wǎng)絡(luò)端到端加密的新型密鑰管理方案研究[J]. 信息網(wǎng)絡(luò)安全,2011(7).[3] 邵琳, 李暉, 楊義先. 一種移動環(huán)境下的基于身份的端到端認(rèn)證和密鑰協(xié)商協(xié)議[J]. 計算機應(yīng)用研究,2012(9).[4]李凌, 李雪莉, 林中, 武清芳.TETRA 調(diào)度臺加密系統(tǒng)設(shè)計與實現(xiàn)[J]. 計算機工程與應(yīng)用,2012(13).,,,,,,觀,看,謝,謝,20XX,Lorem ipsum dolor sit am