网络体系结构分层研究 PPT课件.pptx

010302网络层次结构目录端到端加密机制端到端设计原则网络层次结构研究01网络层次结构与发展历史。七层与五层服务模型的关系？历史的存在性？1.1研究背景介绍与发展历史计算机网络通信的出现极大的方便了人类信息传输及通信。其中网络通信涉及到不同的异构网络、不同厂家的设备互连，因此需要制订大量的相关通信协议，通常这些协议按其内容及作用被划分为不同的层次。1983年，ISO（International Organization for Standards）组织提出了OSI（International Organization for Standards）七层模型，也就是著名的ISO 7498标准。该标准中，提出计算机网络将通信过程抽象组织为大约7层：应用层、表示层、会话层、传输层、网络层、数据链路层以及物理层。这个经典七层模型的设计初衷是提供一个概念性的模型。它的目的是试图达到一个理想境界，即全世界的计算机网络都遵循这一标准。网络体系结构的提出后，同一公司的产品容易互连成网。但是，不同公司的产品互连仍然存在障碍。随着计算机通信网络的飞速发展，网络互连已经成为迫切需要解决的问题。但是由于实际操作的过程中，由于该模型过于复杂导致它并没有得到大规模的推广应用。事实上，TCP/IP协议的提出要早于OSI七层模型。随着Unix系统在科研中的成功使用，TCP/IP协议也渐渐成为Unix主机操作系统的标准网络协议。Internet是由ARPANET发展起来的，ARPANET发展于70年代初，它最初使用的是NCP（Network Control Protocol）协议。鉴于TCP/IP协议具有跨平台、开放、可以连接不同网络的特性，ARPANET的开发人员对TCP/IP协议进行了一定的改进，将它作为ARPANET的通信规范，规定连入ARPANET的所有计算机都必须采用TCP/IP协议。随着ARPANET逐渐发展成为Internet，TCP/IP协议就成为Internet的标准连接协议。VintonG.Cerf和Bob Kahn在1973年苏塞科斯大学组织召开了“国际网络工作小组”提交了第一份TCP/IP协议草稿，提出Internet最初设想。之后，二人正式发表了TCP/IP协议。1983年，TCP/IP被Unix4.2BSD系统采用。1.2分层体系主要分层体系：1.2分层体系-比较四层架构模型国内谢希仁编著的计算机网络和赵洪波主编的现代通信技术概论中，认为TCP/IP协议分别由应用层、传输层、网际层、网络接口层组成，是一个四层协议结构。该分层和OSI七层模型的对应关系如图1所示：最下层网络接口层对应的是OSI模型中的物理层和链路层网际层对应OSI模型的网络层运输层对应OSI模型的运输层应用层则对应OSI模型的上面三层（即应用层、表示层、会话层）1.2分层体系-比较四层架构模型网络通信教材Internetworking WithTCP/IP中，未考虑TCP/IP分层和ISO模型的对应关系，仅仅提及了TCP/IP协议架构是个四层协议系统。1.2分层体系-比较五层架构模型Data Communication and NetworkingTCP/IP协议架构：物理层、链路层、网络层、传输层、应用层前四层和OSI的模型对应；应用层这对应OSI的会话层、表示层和应用层。1.2分层体系-比较五层架构模型Data and Computer Communications中该书中，TCP/IP体系结构和OSI模型的对应关系如图所示。图中TCP/IP的5层模型和OSI的对应关系按功能划分1.3小结各个教材的编写者的考虑角度不一样，这些层次划分及对应关系不尽相同。其主要原因大概有以下几点：根据文献计算机网络（谢希仁）一书中所描述的内容而看实质上，TCP/IP协议只有三层，即应用层、运输层、网际层（网络层），因为最下面的网络接口层并没有实质的具体内容。更重要的是，TCP/IP协议产生于OSI七层模型之前，它们不能精确匹配。因为当年参与设计开发TCP/IP协议的先驱们首先考虑的是实用性，不可能去按照后来提出的OSI模型去考虑TCP/IP网络体系结构的分层。端到端设计原则02参考阅读：J.Saltzer,D.Reed,D.Clark:End-to-End arguments in System Design ACM Transactions on Computer Systems(TOCS),Volume 2,Issue 4(November 1984)2.1端到端观点与实现所需要的较大的全局代价相比，在网络底层实现功能往往是冗余的、几乎没有价值的。任何应用对功能的需求都是有特指的，因此不可能存在一种底层的功能满足所有的上层应用需求。作者以文件传输过程来分析端到端网络设计的合理性，文件传输过程如左图所示，可以分为5步：从硬盘中提取文件将文件拆分为传输协议规定的数据包传输接收数据包将数据写入硬盘。但是在传输过程中可能会遇到诸多难以控制的风险数据包完整性的度量以及其他一些未知的错误接收过程出错通信传输过程出错文件本身出错针对这些隐患所采取的底层功能如文件拷贝，超时重传，错误校验，崩溃重试等方法不能完全有效。例如：应用层的程序不一定完全正确，这样就导致了底层的工作量会很大，而且不能解决实际问题。2.2端到端的解决方法相比之下，在应用层对文件传输进行校验和(checksum)验证和重传机制更为必要，而且应用层中文件的属性参数等信息知道的更多，方便于应用层去判断是否需要重传，比在底层实现这些功能更为经济。2.3论文中的其他例子 加密解密必须是由端设备来完成的，以避免可能存在的从网络底层向端设备传输中潜在的安全问题。同样的端设备也不是完全信任底层的加密解密机制，即使底层实现了加密解密功能，端设备还是会由于不信任而重新实现这些功能，造成了该功能的多余。查错则可能不能完全由底层实现。如在端设备上或端设备到网络底层的传输过程中发生的错误是不能够被网络底层的检错机制检测到的，从而还是需要在端设备上重新实现。网络底层确认反馈的功能对于端设备来说是多余的。端设备关心的问题不是消息是否已经到达对方的端设备，而是对方的端设备对该信息所做出的反馈动作，而这是网络底层所不知道的。在先进先出的信息传输机制中，信息的序列可能被打乱，高层则可以重组信息序列；传输管理中，消息的确认报文最好由高层完成，底层的设计上应尽量减少冗余信息的传输。2.4优越性1342降低网络核心的复杂度和实现成本，易于维护和升级在不修改网络架构的基础上实现应用的扩张网络核心架构简单，更可靠，且扩展性也好简化了终端用户和网络之间的接口，终端用户不依赖与网络的内部状态应用于实际问题，端到端的观点分析需要做细微的甄别。因此，端到端的观点不是一个硬性的绝对规则，而是一个帮助设计应用程序和协议的设计的指导。如在语音传输中，人们更侧重于对声音同步性的要求而非正确率，过多的时间延迟会导致人们的反感。端到端加密机制033.1背景介绍端到端加密是一种全程化的加密技术，它采用特殊的秘钥设置。通俗的讲是在信息传递的过程中，信息从客户端输出开始，就受到相应程序或者技术手段的保护，直到安全的输送到目的地点。这样就使得期间出现信息传输节点断开，或者是人为的信息截取和破坏，也不能获取到一定信息内容。端到端加密概念特点与优势全程化加密解密的过程在两端系统中进行；在两端需要加密装置，源主机和目的主机共享密钥；即便是信息在送达接收端之前被截获，也无法获取用户信息。3.2端到端加密优势1.在用户需要对敏感数据加密的情况下，“有选择性地加密”将会大幅提升加密的灵活性，用户可以根据自己的情况来选择需要进行加密的数据。2.用户可以对端到端加密的实现过程进行自定义配置，这将有助于实现功能的高度模块化，并提升加密模块的内聚性。3.在整个加密过程中所涉及到的文件量是非常小的，所以加密过程所占用的资源量比较小，而且加密时间也不会太久。3.3端到端加密系统组成12345端到端加密的加密终端端到端加密的专网基站端到端加密的调度机端到端加密的代理端到端加密的密钥分发中心3.3加密系统的各项业务模式相互关系如下所示(1)UE端到端加密的加密终端；(2)eNB端到端加密的专网基站；(3)eCN端到端加密的核心网；(4)MDC端到端加密中的调度机；(5)AFEE端到端加密的代理；(6)KDC端到端加密中的密室分发中心；3.3端到端加密系统组成 KDC端到端加密中的密室分发中心 主要任务和功能：对秘钥进行分配与管理，保证秘钥的正确设置与信息的顺利传输。加密方式：“三元加密”法 它指的是采用三层秘钥的形式对其进行完整的加密。这样使得任意一层密码被解密后，其他层密码会对其进行更新和重 新加密，使信息盗取者无法获得解密密码。3.4加密算法概述1.对称加密算法对称加密算法：指的是加密和解密使用相同密钥的加密算法。优点：在于加解密的高速度和使用长密钥时的难破解性。常见的对称加密算法：DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES2.非对称加密算法非对称加密算法：指加密和解密使用不同密钥的加密算法，也称为公私钥加密。假设两个用户要加密交换数据，双方交换公钥，使用时一方用对方的公钥加密，另一方即可用自己的私钥解密。常见的非对称加密算法：RSA、ECC（移动设备用）、Diffie-Hellman、El Gamal、DSA（数字签名用）2.4加密算法概述3.Hash算法Hash算法：特别的地方在于它是一种单向算法，用户可以通过Hash算法对目标信息生成一段特定长度的唯一的Hash值，却不能通过这个Hash值重新获得目标信息。Hash算法常用在不可还原的密码存储、信息完整性校验等。常见的Hash算法：MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1选取哪一个算法？加密大量的数据时，建议采用对称加密算法，提高加解密速度。当数据量很小时，我们可以考虑采用非对称加密算法。采用非对称加密算法管理对称算法的密钥，然后用对称加密算法加密数据，这样我们就集成了两类加密算法的优点参考文献1 张尧学.计算机网络与internet 教程M.第1 版.北京:清华大学出版社,1999.2 谢希仁.计算机网络M.第4 版.北京:电子工业出版社,2003.3 赵宏波.现代通信技术概论M.北京:北京邮电大学出版社,2003.4Douglas E.Comer.Internetworking with TCP/IPM.赵刚,等,译.北京:电子工业出版社,1998.5Behrouz A.Forouzan.Data Communications And Networking(FourthEdition)M.影印版.New York:McGraw-Hill,2007.6William Stalling.Data and Computer Communications(EighthEdition)M.New Jersey:Pearson Prentice Hall,2007.1 乔建强，孙耀杰，陈冰，移动通信端到端加密安全方案设计.信息工程.20152 郑园,蒋天发.一种基于3G 网络端到端加密的新型密钥管理方案研究J.信息网络安全,2011(7).3 邵琳,李晖,杨义先.一种移动环境下的基于身份的端到端认证和密钥协商协议J.计算机应用研究,2012(9).4李凌,李雪莉,林中,武清芳.TETRA 调度台加密系统设计与实现J.计算机工程与应用,2012(13).观 看谢 谢20XXLorem ipsum dolor sit amet,consectetuer adipiscing elit.Aenean commodo ligula eget dolor；Lorem ipsum dolor sit amet,consectetuer adipiscing elit.Aenean commodo ligula eget dolor