ip协议范文第1篇
关键词:TCP/IP协议网络接口层网络层传输层端口应用层
中图分类号:TP311.52 文献标识码:A 文章编号:1007-9416(2012)03-0000-00
因特网是当今世界上最大的信息网络,自80年代以来,它的应用已从军事、科研与学术领域进入商业、传播和娱乐等领域,并于90年代成为发展最快的传播媒介。信息传输和网络互连是根据协议进行的,而因特网使用的就是TCP/IP协议。TCP/IP协议是因特网最基本的协议,是因特网的基础。TCP/IP的全称是Transmission Control Protocol/Internet Protocol的简写,中文译为传输控制协议/因特网互联协议。
1969年,因特网的前身阿帕网(ARPAnet),诞生之初仅连接了4台计算机,供科学家们进行计算机联网实验用。到70年代,ARPAnet已经有了好几十个计算机网络,但是每个网络只能在网络内部的计算机之间互联通信,不同计算机网络之间仍然不能互通。卡恩于1973 年提出开放的网络结构的思想。所谓开放的网络结构,指的是任何类型的网络都可以通过“网络互联结构”与其他网络连接,这是因特网的核心技术思想。为了适应开放的网络结构环境的需要,瑟夫与卡恩共同开发了TCP/IP协议,并于1974年正式提出。TCP/IP是实现不同网络互联的标准,成功地解决了不同硬件平台、不同网络产品和不同操作系统之间的兼容性问题。
TCP/IP协议定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准,它是因特网事实上的国际标准。协议采用了4层的层级结构,层次由低到高依次为:网络接口层、网络层、传输层、应用层。每一层都调用它的下一层所提供的服务来完成自己的需求。
1、网络接口层
网络接口层(通信子网)是数据包从一个设备的网络层传输到另外一个设备的网络层的方法。由于ARPNET的设计者注重的是网络互联,允许网络接口层采用已有的或是将来有的各种协议,所以这个层次中没有提供专门的协议,因此网络接口层实际上并不是因特网协议组中的一部分。实际上,TCP/IP协议可以通过网络接口层连接到任何网络上,例如X.25交换网或IEEE802局域网。[1]
2、网络层
网络层可以接收由网络接口层发来的数据包,并把该数据包发送到传输层;也可以把从传输层接收来的数据包传送到网络接口层。网络层的数据包是不可靠的,因为网络层并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。数据包中含有发送它的主机的地址(源IP地址)和接收它的主机的地址(目IP的地址)。
网络层的协议包括IP协议、ICMP协议、ARP协议、RARP协议等,其中IP协议是网络层的核心协议,完成数据从从源网络传输到目的网络的基本任务。IP协议定义了数据包在网际传送时的格式,目前使用最多的是IPv4版本,这一版本中用32位定义IP地址,可供使用的地址数超过37.2亿,但是仍然不能满足现今全球网络飞速发展的需求,因此IPv6版本应运而生。在IPv6版本中,IP地址共有128位,这样的IP地址数是原IP地址数的296倍,目前来看,IPV6的IP地址是不可能用完的。[2]
3、传输层
传输层提供应用进程间的通信。两个系统之间的应用进程的通信,是用每个信息中的如下四项进行确认的:源IP地址、目的IP地址、源端口号、目的端口号。其中源IP地址和目的IP地址已在网络层的介绍中说明。TCP/IP的端口号是一个软件结构,用来标识本地计算机应用层中各个进程在和运输层交互时的接口。在因特网不同的计算机中,相同的端口号是没有关联的。一个端口号对应一个16比特的数。服务进程通常使用一个固定的端口,例如,SMTP使用25、HTTP使用80。客户进程通常使用系统分配的一个随机端口号。[2]
传输层协议主要是传输控制协议TCP(Transmission Control Protocol)和用户数据报协议UDP(User Datagram protocol)。TCP协议是一种面向连接的、可靠的的传输机制。通信之前要建立连接,通讯完成时要拆除连接。它提供一种可靠的字节流保证数据完整、无损并且按顺序到达,TCP协议还能尽量连续不断地测试网络的负载并且控制发送数据的速度以避免网络过载,对于一些需要高可靠性的应用,可以选择TCP协议。UDP是一种面向无连接的,不可靠的传输机制。不是它特别不可靠,而是它不检查数据包是否已经到达目的地,并且不保证它们按顺序到达。UDP的典型应用是如音频和视频等这样的流媒体,对它们而言,按时到达比可靠性更重要,或者如DNS查找这样的简单查询/响应应用,否则建立可靠的连接所需的额外开销将是不成比例地大。
4、应用层
应用层是大多数与网络相关的程序为了通过网络与其他程序通信所使用的层。数据从与网络相关的程序以这种应用程序使用的格式编码成标准协议的格式并进行传送。来自应用程序的数据一旦被编码成一个标准的应用层协议,它将被传送到TCP/IP协议的下一层。
应用层一般提供面向用户的服务,如HTTP、FTP、SMTP、POP3。HTTP是超文本传输协议,用于浏览网页,FTP是文件传输协议,一般用于下载和上传文件。SMTP是简单邮件传输协议,用来控制信件的发送、中转。POP3是邮局协议第3版本,用于接收邮件。
TCP/IP有一个非常重要的特点,就是开放性,即TCP/IP的规范和Internet的技术都是公开的。目的就是使任何厂家生产的计算机都能相互通信,使Internet成为一个开放的系统。这正是后来Internet得到飞速发展的重要原因。
参考文献
[1]万雅静,黄巍,梁玉凤.网络基础实用教程[C].北京:机械工业出版社,2011:14-16.
[2]刘兵,左爱群.计算机网络基础与Internet应用(第三版)[C].北京:中国水利水电出版社,2006:91-92.
ip协议范文第2篇
【关键词】 TCP/IP协议 Internet 应用层 传输层 网络层 数据链路层 物理层 网络
TCP/IP协议是Internet各种协议中最基本的协议,也是最重要和最著名的两个协议,即传输控制协议TCP(Transmission Control Protocol)和网际协议IP(InternetProtocol),简单的说,就是主要由底层的lP协议和TCP协议组成。因此,我们经常提到的TCP/IP并不一定是指TCP和lP这两个协议,而往往是指Internet所使用的体系结构或是指整个的TCP/IP协议族。
一、TCP/IP参考模型
TCP/IP协议将Internet分为五个层次,也称为互联分层网模型或互联网分层参考模型。这五个层次分别是应用层(第五层)、传输层(第四层)、网络层(第三层)、数据链路层(第二层)、物理层(第一层)。模型如下图所示:
由于TCP/IP协议在设计时考虑到要与具体的物理传输媒体无关,因此在TCP/IP的标准中并没有对数据链路层和物理层做出规定,而只是将最低的一层取名为网络接口层。这样,如果不考虑没有多少内容的网络接口层,那么TCP/IP体系实际上就只有三个层次:应用层、传输层和网络层。
1、物理层:对应于网络的基本硬件,是Internet的物理构成,例如,PC机、互联网服务器、网络设备等。物理层的任务就是透明的传送比特流。在物理层上所传送数据的单位是比特。传递信息所利用的一些物理媒体,如双绞线、同轴电缆、光缆等,并不在物理层之内而在物理层的下面。
2、数据链路层:定义了将数据组成正确的帧的规范和在网络中传输帧的规范。帧:是指一串数据,是数据在网络中传输的基本单位。数据链路层的任务是在两个相邻结点间的线路上无差错地传送以帧(frame)为单位的数据。每一帧包括数据和必要的控制信息。在传送数据时,若接收结点检测到所收到的数据中有差错,就要通知发送方重发这一帧直到这一帧准确无误的到达接收结点为止。在每一帧所包含的控制信息中,由同步信息、地址信息、差错控制、以及流量控制信息等。
3、网络层:定义了在Internet中传输的“信息包”的格式,以及从一个源,通过一个或多个路由器到达最终目标的“信息包”转发机制。这里要强调指出,网络层中“网络”二字,已不是我们通常谈到的网络的概念,而是在计算机网络体系结构中的专用名词。
4、传输层:为两个用户进程之间、管理和拆除可靠而又有效的端到端的链接。这一层曾有几个译名,如传送层、传输层或转送层。现在比较一致的意见是译为运输层。在运输层,信息的传送单位是报文。当报文较长时,先要把它分割成若干个分组,然后再交给下一层(网络层)进行传输。
传输层的任务是根据下面的通信子网的特性最佳的利用网络资源,并以可靠和经济的方式,为两端主机(也就是源站和目的站)的进程之间,建立一条运输连接,以透明地传送报文。或者说,运输层向上一层进行的通信的两个进程之间提供一个可靠的端到端的服务,使它们看不见运输层以下的数据通信的细节。在通信子网内的各个交换结点以及连接各通信子网的路由器,都没有运输层。运输层只能存在于通信子网外面的主机之中。运输层以上的各层就不再关心信息传输的问题了。正因为如此,运输层就成为计算机网络体系结构中非常重要的一层。
5、应用层:定义了应用程序使用Internet的规范。应用层是原理体系结构中的最高层,应用层确定进程之间通信的性质以满足用户的需要(这反应在用户所产生的服务请求)。应用层不仅要提供应用进程所需要的信息交换和远地操作,而且还要作为互相作用的应用进程的用户(useragent),来完成一些为进行语义上有意义的信息交换所必须的功能。应用层直接为用户的应用提供服务。需要注意的是,应用层协议不是解决用户各种具体应用的协议。
二、TCP/IP主要协议
TCP/IP是一组通信协议的带名词,是由一系列协议组成的协议簇。它本身至两个协议集:TCP-传输控制协议,IP――互联网协议。网络层、传输层、应用层中使用的TCP、lP主要协议有:
2.1、网络层
TCP/IP网络层包括以下协议:
IP(网间协议)――定义一套在网络中通讯的规则。IP包括地址信息和一些控制信息。IP有两个主要任务:在网络中提供无连接的、尽力而为的数据报传送,以及提供数据报分片和重组以支持具有不同最大传输单元(MTU)的数据连路。IPv4是当前网络中使用的版本;IPv6是新的协议版本。
ARP(地址解析协议)――允许主机动态的发现对应于特定IP网络层地址的MAC(传输媒体访问控制)地址。给定网络中的两个设备,若要通信,它们必须要知道对方设备的物理地址。
RARP(逆地址解析协议)――用于将MAC地址以射到lP地址。未知其IP地址的无盘工作站在启动时可使用RARP,它在逻辑上是ARP的逆过程。RARP依赖于具有MAC地址到lP地址映射表项的RARP服务器。
ICMP(网际控制报文协议)――用以将错误以及其他有关lP分组处理的信息报告给源站。
2.2 传输层
TCP/IP传输层中定义了一下两个传输层协议:
TCP(传输控制协议)――提供IP网络中面向链接的、端到端的可靠数据传输。
TCP使用三次握手机制建立连接。三次握手通过允许各方对初始序列号达成一致来使得连接两端同步。此机制也保证了各方已准备好数据发送/接收,并且知道对方也已准备好。使用此机制保证会话建立期间和会话终止后不会传输或重传分组。
UDP(数据报协议)――作为IP和上层进程接口的无连接协议。与TCP不同,UDP并未给IP加入可靠性、流量控制或差错恢复等功能。由于UDP的简单性,UDP头比TCP包含更少的字节,同时消耗更少的网络开销。
TCP和UDP使用协议端口号来相互区分运行在同一设备上的多个应用。端口号是TCP和UDP段的一部分,用来识别数据段属于哪个应用。众所周知的或标准的端口号被分配给各种应用,以使得TCP/JP协议的不同实现可以互操作。这些众所周知的端口号的例子包括一下几种:
①FTP(传输协议)TCP端口20(数据)和端口21(控制)。②Telnet TCP端口23。③TFTP(普通文件传输协议)UDP端口69。
2.3 应用层
在TCP/IP协议中,对应OSI模型的上面三层并成一层,称为应用层。这里由许多应用层协议,它们代表多种应用,主要包括一下几种:①FTP(文件传输协议)和TFTP(普通文件传输协议)用于传输大量数据。②SNMP(简单网络管理协议)用于网络管理,报告网络异常,并设置网络阈值。③SMTP(简单邮件传输协议)提供电子邮件服务。④DNS(域名系统)讲网络节点名转换成网络地址。
三、lP协议和TCP协议所提供的服务分析
3.1 lP协议服务分析
3.1.1 不可靠的投递服务
lP协议提供不可靠的、尽力的、无连接的数据投递服务,它无法保证数据报投递的结果。在传输的过程中,数据报可能会丢失、重发、延迟和乱序等,但是IP服务的本身却不关心这些结果,也不讲这些结果通知收发双方。
3.1.2 无连接的投递服务
每个数据报独立处理和传输,因此,由一台主机发出的数据报序列。可能取不同的路径,甚至其中的一部分数据报会在传输过程中丢失。
3.1.3 尽力的投递服务
lP协议软件决不简单的丢弃数据报,只要有一线希望,就向前投递;尽力投递的另一种体现方法是lP协议软件执行数据报的分段,以适应具体的传输网络,数据报的合段则由最终节点的lP模块来完成。
3.2 TCP协议服务分析
3.2.1 面向流的投递服务
TCP协议在IP协议软件提供的服务基础啊上,支持面向链接的、可靠的、面向流的投递服务。应用程序之间传输的数据可被视为无结构的字节流(或位留),流投递服务保证收发的字节顺序完全一致。
3.2.2 面向链接的投递服务
流传输之前,TCP收发模块之间需建立链接(类似虚电路),其后的TCP报文在此连接基础上传输。TCP连接报文通过lP数据报进行传输,由于IP数据报的传输导致ARP地址映射表产生,从而保证了后继的TCP报文可以具有相同的路径。
3.2.3 可靠地投递服务
发送方TCP模块在形成TCP报文的同时,形成一个所谓的“累计核对”。“累计核对”类似校验和,并随同TCP报文一起传输。接收方TCP模块根据该校验和判断传输的正确性。如果传输不正确,接收方简单的丢弃该TCP报文,否则进行应答。发送方如果在规定的时间内未能获得应答报文,讲自动进行重传操作。
四、结束语
ip协议范文第3篇
【关键词】TCP/IP协议;通信报文;路由寻址;通信流程
1 概述
随着信息科学技术和通信技术的不断快速发展,基于互联网的网络通信应用在社会各个领域中的应用越来越广泛,使得互联网通信应用成为现代人日常生产生生活不可或缺的一部分,通过互联网络通信,网络用户之间可以实现数据传输、信息共享,从而极大地提高了人们的生活质量。然而,互联网络中的数据传输过程,并不是杂乱无章的随机传送,而是在计算机网络通信协议的基础上,双方都按照协议的内容和机制,来发送数据信息和读取分析数据信息,进而实现互联网络的数据传输和信息共享的功能,TCP/IP协议就是互联网络中重要的通信协议,它的存在奠定了整个互联网络通信的基础,所以对于TCP/IP通信协议的学习对于理解互联网通信机制来辅助互联网学习和工作具有很大的帮助。
2 计算机网络的TCP/IP通信协议
TCP/IP协议是“Transmission Control Protocol / Internet Protocol”的简写,是Internet网络基本的协议,它为计算机通讯的数据打包传输以及网络寻址提供了标准的方法。由于TCP/IP协议的优越性,使得越来越多的通信设备支持TCP/IP协议,使互联网络逐步走向规范化,最终TCP/IP协议成为了当前网络通信协议标准中最基本的网络通信协议、Internet国际互联网络的基础。
2.1 计算机网络TCP/IP协议
针对计算机互联网络的通信协议,国际标准组织ISO创立了七层OSI网络模型,自上而下,分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。而TCP/IP协议则是应用在传输层和网络层的数据传输控制协议,来规定网络设备接入互联网络以及设备间数据通信的标准。在通信设备经过互联网络进行数据传输时,通信设备数据发送端,发送TCP/IP通信报文,此时TCP/IP协议携带着通信设备发送端的传输数据内容以及目标通信设备的地址标示在互联网络中进行寻址,从而正确地传送到目标通信设备。当目标通信设备接收到TCP/IP通信报文后,按照协议内容,去除通信标示,来获取传输数据内容,并加以校验,如果经校验后发生差错,目标通信设备会发出TCP/IP信息重发报文,让发送通信设备再次将TCP/IP通信报文发展目标通信设备,去掉通信标示来获取传输数据信息。
2.2 TCP/IP通信协议报文格式
在互联网络中,基于TCP/IP通信协议传输的数据内容都是以通信报文的形式在互联网络内部进行传输,通信报文实质上就是一串二进制字符串,而字符串内不同位置的二进制字符标示不同的含义。从TCP/IP通信协议的主要报文格式可以看出,IP协议是基于TCP协议至上的,TCP协议报文时作为IP通信报文的数据部分来进行传输的。实际上,互联网内传输的通信字符串还有其他的通信协议,TCP/IP通信报文也是作为其外层协议的通信数据部分嵌入到通信报文中在互联网内进行传输。
在IP协议首部,包含了一些关于IP协议的标示、通信地址等信息,主要包括数据字符串总长度的信息、通信标示号、源IP地址和目标IP地址等信息,当IP通信报文经过路由寻址时,会根据首部内记录的目标IP地址来选择传输方向,最终根据目标IP地址传输至目标通信设备。此外,IP通信报文首部还包含其他信息,比如IP协议版本号、首部长度、校验信息、该IP通信报文生存时间(即该报文经过多少个路由后自动取消传输)等与IP通信报文相关的信息,以确保IP报文传输的正确性和安全性。TCP协议通信报文是作为IP通信报文数据内容存在的,TCP协议也分为TCP报文首部和TCP通信数据。TCP通信报文首部主要包括了源端口号和目标端口号等信息,当TCP/IP通信报文经过互联网络到达目标通过新设备后,通信设备会根据TCP报文首部的目的端口号选择设备端口号来接受该数据信息,进而实现互联网络的数据传输。
2.3 TCP/IP协议通信过程
互联网络的通信设备基于TCP/IP协议建立通信过程,也是根据TCP/IP协议来实现的。当源通信设备想向目标设备发送数据时,首先会发送一个TCP/IP通信报文来确认连接,该通信报文在互联网络中经过寻找传输后找到目标设备,目标设备也会向源通信设备发送一个TCP/IP报文以确认建立通信连接,此时,源通信设备就会将通信数据以TCP/IP通信报文的形式进行数据打包,然后向目标数据进行传输,在收到数据后,目标设备同样会发送TCP/IP报文以确认收到信息。当然,TCP/IP通信数据长度是一定的,当通信数据超过报文长度时,源通信设备会将其分段发送,而目标设备则会根据IP报文首部的标识号进行数据重组来重现传输数据信息,进而完成互联网络通信设备数据传输。
3 总结
TCP/IP网络协议是当前互联网络最基本的通信协议。根据TCP/IP网络协议,连接在互联网内的通信设备可以根据TCP/IP通信报文格式的内容将传输数据打包在TCP/IP通信报文内,并以其规定的通信流程进行数据传输,从而实现互联网络内的数据高效安全的传输。
参考文献:
[1]杨绍文.谈计算机网络的TCP/IP协议[J].科技信息.2011(02)
[2]查东辉.试论计算机网络通信协议[J].电脑知识与技术.2013(14)
[3]杨娇娟.浅谈TCP/IP协议[J].数字技术与应用.2012(03)
[4]李龙光,何伊斐.TCP/IP协议的安全性浅析[J].江西广播电视大学学报.2011(02)
ip协议范文第4篇
1HDLC的帧结构
首先回顾一下HDLC基本的帧结构形式。HDLC是面向比特的链路控制规程,其链路监控功能通过一定的比特组合所表示的命令和响应来实现,这些监控比特和信息比特一起以帧的形式传送。每帧的起始和结束以"7E"(01111110)做标志,两个"7E"之间为数据段(包括地址数据、控制数据、信息数据)和帧校验序列。帧校验采用CRC算法,对除了插入的"零"以外的所有数据进行校验。为了避免将数据中的"7E"误为标志,在发送端和接收端要相应地对数据流和帧校验序列进行"插零"及"删零"操作。
2原理框图
基于FPGA的HDLC协议的实现原理框图如图1所示。该框图包括3个部分:对外接口部分、HDLC发送部分、HDLC接收部分。以下对3个部分的实现分别进行论述。
2.1对外接口模块对外接口部分主要实现HDLC对外的数据交换。包括CPU接口、发送FIFO、发送接口、接收FIFO以及接收接口。本设计是以总线的形式实现HDLC与外部CPU的通信。当需要发送数据时,外部CPU通过总线将待发数据写入FIFO(FIFO的IP核在各开发软件中都是免费提供的,在程序中只需直接调用即可,故在此不再详细描述)。之中。发送数据准备就绪标志(TX_DAT_OK);接收数据时,当对外接口模块接收到数据有效信号时,根据接收模块发来的写信号(WR_MEM)将数据写入接收FIFO中。接收完一帧数时向CPU发送中断信号(INT),通知CPU读取数据。
2.2HDLC发送模块HDLC发送部分主要实现HDLC发送功能。当接收到数据准备就绪标志(TX_DAT_OK)后,向对外接口模块发送读使能(RD_MEM_EN)和读信号(RD_MEM),通过局部总线将待发数据存入发送缓冲区,在T_CLK的控制下将数据从HDLC_TXD管脚发出。数据发送模块采用状态机来完成发送各个阶段的切换。状态切换流程图如图2所示。State0状态是发送的起始状态也是空闲状态。当没有数据要发送时(TX_DAT_OK=0),程序以7E填充发送;当程序检测到有新数据时(TX_DAT_OK=1),程序检测7E是否发送结束如果没结束则继续发送7E,如果7E发送结束则状态在下一周期切换为State1。State1状态主要完成接收并发送数据功能,在第二个CLK周期先将读使能和读信号拉高,在第三个CLK周期再将其拉低,在第五个CLK周期开始读数。在并行的数据发送PROCESS中根据CLK周期和发送计数器,将接收到的数据通过移位进行发送同时对连续‘1’的个数和发送个数进行计数。当连续‘1’的个数为5时在下一个周期插入发送‘0’,将连续‘1’的计数器清零,发送个数不变。在发送数据的同时进行CRC校验的计算。帧校验序列字段使用CRC-16,对两个标志字段之间的整个帧的内容进行校验。CRC的生成多项式为X16+X12+X5+1,对在校错范围内的错码进行校验。标志位和按透明规则插入的所有‘0’不在校验的范围内。程序设计中的CRC校验算法的原理框图如图3所示。State3状态主要完成发送字尾,发送完成后直接转入state0。
2.3HDLC接收模块接收模块接收到一个非“7E”字节时,即判定为地址数据,直到再次接收到“7E”即判定为接收到了一个完整的一帧数。当接收到一个非“7E”数据后就通过内部数据总线(DAT_OUT_BUS)传送给接口模块,接口模块根据FRAME_LENGTH和DAT_VALIDITY来判断数据帧的长度和有效性。接收数据个阶段的状态切换流程如图4所示。在State0状态程序判断接收到的数据是否为7E,如果为7E,则表明已收到了帧头,状态切换到State1。在State1状态程序接收到的下一个数不是7E则表明收到了地址数据,将状态机切换到State2。在State2状态判断是否收到字尾,如果不是字尾则将接收的数据存入接收缓冲区同时启动写数据,将接收到的数据通过总线写入接收fifo。在收数的过程中同时进行删除‘0’的操作,即当收到连续5个1时将下一个‘0’主动删除。当收到字尾时对地址数据、控制数据和信息数据
3仿真与应用
的CRC校验结果与最后两个字节进行比对形成数据有效标志(DAT_VALIDITY)。根据上述设计,在QuartusII9.0上对发送数据和接收数据进行了仿真如图5、6所示。从仿真波形可以看出发送模块能够将FIFO中的数按照设计的波形输出到HTXD管脚;接收模块能够正确的将HRXD管脚的波形数据解出来并存入接收缓冲区中,接收完成后给接口模块发出END标志。根据上述设计方法,已成功地在可编程逻辑芯片上实现。FPGA芯片选用的是Altera公司的Cyclone系列FPGA:EP1C6T144。
4结束语
上述详细介绍了一种基于FPGA的HDLC协议IP核的方案及设计实现方法。根据本文介绍的实现方法设计出的HDLC接口板已应用于某雷达天线的同步引导数据的收发通信链路中,成功实现了双向数据通信。应用结果表明该方法具有简单实用、性能可靠以及成本低等特点。能够广泛应用于HDLC协议应用场合。
ip协议范文第5篇
关键词: 嗅探器;IP 漏洞;TCP 劫持;拒绝服务攻击
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)16-21230-04
TCP/IP Protocol Loophole Analysis and Prevention
WANG Xian-feng
(The Department of the Information Engineering of Lu'an Vocational and Technical College,Lu'an 237158,China)
Abstract:his paper is TCP/ IP's application to secure area.It analyzes several problems about a few of critical parts within,TCP/IP in details,discloses its security leakage and gives some constructive solutions in order to pave a basis on the further research.
Key words: Sniffer;IP Leakage;TCP Hijacking;Denial of Service attacks
Internet/ Intranet 是基于TCP/IP 协议簇的计算机网络。尽管TCP/IP 技术获得了巨大的成功,但也越来越暴露出它在安全上的不足之处,这是由于TCP/ IP 协议簇在设计初期基本没有考虑到安全性问题而只是用于科学研究。但随着应用的普及,它不仅用于一些要求安全性很高的军事领域,也应用于商业领域,因而对其安全性的要求也越来越高。下面从TCP/IP协议簇本身逐层来看它的安全漏洞。
1 TCP/IP 协议组的基本原理
TCP/IP分为4个层次,分别是应用层、传输层、网际层和物理网络接口层,如下图所示。
其中物理网络接口层相当于OSI的物理层和数据链路层;网际层与OSI 的网络层相对,但由于它考虑到了网际网环境,因而具有更强的网际环境通信能力,在网际层包含有四个重要的协议,它们是IP、ICMP、ARP、RARP;传输层与OSI 的传输层相对应,包含TCP 和UDP 两个协议;应用层相对于OSI的会话层、表示层和应用层功能,主要定义了FTP、TELNET、及E-MAIL 等应用服务。下面我们简要分析中间两层的有关协议。
2 链路层存在的安全漏洞
在以太网中,信道是共享的,数据在网络上是以很小的称为“帧”的单位传输的。如果局域网是由一条粗网或细网连接成的,那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。当使用集线器的时候,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条线路,这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。也就是说任何主机发送的每一个以太帧都会到达别的与该主机处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时,根据CSMA/ CD 协议,正常状态下网络接口对读入数据进行检查,如果数据帧中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据帧交给IP 层软件。当数据帧不属于自己时,就把它忽略掉。如果稍做设置或修改,使主机工作在监听模式下的话就可以使以太网卡接受不属于它的数据帧。或者采用虚拟设备开发技术,动态加载虚拟网络设备(VxD 或WDM) 驱动模块,驻留内存,实施侦听使网卡捕获任何经过它的数据。从而达到非法窃取他人信息(如密码、口令等) 的目的。这类软件被称为嗅探器(Sniffer),如NeXRay,Sniffit,IPMan 等。解决该漏洞的对策是:改用交换式网络拓扑结构,在交换式以太网中,数据只会被发往目的地址的网卡,其它网卡接收不到数据包。但交换机的成本比较高。或者采用加密传输数据,使对方无法正确还原窃取的数据。同时可以安装检测软件,查看是否有Sniffer 在网络中运行,做到防范于未然。
3 ICMP漏洞
ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。我们在网络中经常会使用到ICMP协议,只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。
ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机. 例如,在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中,其防火墙遭受到的ICMP攻击达334050次之多,占整个攻击总数的90%以上!可见,ICMP的重要性绝不可以忽视!
比如,可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起“Ping of Death”(死亡之Ping)攻击。“Ping of Death” 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。此外,向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。
虽然ICMP协议给黑客以可乘之机,但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪,提前做好准备,就可以有效地避免ICMP攻击造成的损失。
对于“Ping of Death”攻击,可以采取两种方法进行防范:第一种方法是在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少;第二种方法就是在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。
设置ICMP数据包处理规则的方法也有两种,一种是在操作系统上设置包过滤,另一种是在主机上安装防火墙。
4 IP漏洞
IP 协议运行于网络层。在TCP/ IP 协议中, IP 地址是用来作为网络节点的惟一标志,但是节点的IP 地址又不是固定的,是一个公共数据,因此攻击者可以直接修改节点的IP 地址,冒充某个可信节点的IP 地址攻击,或者编程(如Raw Socket) ,实现对IP 地址的伪装。
4.1 TCP 劫持
也许对连接于Internet的服务器的最大威胁是TCP劫持入侵(即我们所知的主功嗅探),尽管顺序号预测法入侵和TCP劫持法有许多相似之处,但TCP劫持之不同在于黑客将强迫网络接受其IP地址为一个可信网址来获得访问,而不是不停地猜IP地址直至正确。TCP劫持法的基本思想是,黑客控制了一台连接于入侵目标网的计算机,然后从网上断开以让网络服务器误以为黑客是实际的客户端。下图显示了一个黑客怎样操作一个TCP劫持入侵。
成功地劫持了可信任计算机之后,黑客将用自己的IP地址更换入侵目标机的每一个包的IP地址,并模仿其顺序号。安全专家称顺序号伪装为“IP模仿”,黑客用IP模仿在自己机器上模拟一个可信系统的IP地址,黑客模仿了目标计算机之后,便用灵巧的顺序号模仿法成为一个服务器的目标。
黑客实施一个TCP劫持入侵后更易于实施一个IP模仿入侵,而且TCP劫持让黑客通过一个一次性口令请求响应系统(如共享口令系统),再让一个拥有更高安全性的主机妥协。通过口令系统也让黑客穿过一个操作系统而不是黑客自己的系统。
最后,TCP劫持入侵比IP模仿更具危害性,因为黑客一般在成功的TCP劫持入侵后比成功的IP模仿入侵后有更大的访问能力。黑客因为截取的是正在进行中的事务而有更大访问权限,而不是模拟成一台计算机再发起一个事务。
4.2 源路由选择欺骗
TCP/ IP 协议中,为测试目的,IP数据包设置了一个选项―――IP Source Routing,该选项可以直接指明到达节点的路由。攻击者可以冒充某个可信节点的IP 地址,构造一条通往某个服务器的直接路径和返回的路径,利用可信用户作为同往服务器的路由中的最后一站,对其进行攻击。在TCP/IP协议的两个传输层协议TCP 和UDP中,由于UDP 是面向非连接的,不需初始化的连接过程,所以UDP 更容易被欺骗。
4.3 非同步入侵
TCP 连接需要同步数据包交换,实际上,如果由于某种原因包的顺序号不是接收机所期望的,接收机将遗弃它,而去等待正确顺序号的数据包。黑客可以探明TCP协议对顺序号的要求以截取连接。在这种情况下,黑客或骗取或迫使双方终止TCP 连接并进入一个非同步状态,以使双方再也不能直接交换数据。黑客再用第三方主机(另一个连接于物理媒介并运行TCP 包的计算机)来截获实际中的数据包,经过窜改或伪造,第三方产生的数据包就可以模仿连接中的系统本应交换的数据包,从而以假乱真了。其过程如下图所示。
过程图在非同步状态下,客户端A 向服务器发送的数据包其序列号不是服务器所期望的,服务器便将其抛弃。而黑客主机C拷贝(截获) 服务器丢弃的包,修改其中的数据,并配以正确的序列号,以A 的名义发送出去,服务器便会接收。当然从服务器B到客户端A也存在同样的情况。从而黑客便相当于在客户和服务器之间充当的角色,来往于客户和服务器之间的数据都要经过它。
4.4 Land 攻击
land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。在Land攻击中,一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。对Land攻击反应不同,许多UNIX实现将崩溃,而 Windows NT 会变的极其缓慢(大约持续五分钟)。
4.5 SYN 洪水攻击
拒绝服务攻击的一种,使用TCP SYN 报文段淹没服务器。利用TCP建立连接的三个步骤的缺点和服务器
端口允许的连接数量的限制,窃取不可达IP 地址作为源IP地址,使得服务器得不到ACK而使连接处于半开状态,从而阻止服务器响应别的连接请求。尽管半开的连接会因为过期而关闭,但只要攻击系统发送的SpoofedSYN 请求的速度比过期的快就可达到攻击的目的。此方法是一种重要的攻击ISP ( Internet Service Provider) 方法,这种攻击并不会损坏服务,而是削弱服务器的功能。
4.6 防范措施
(1)对于来自网络外部的欺骗来说,可以在局部网络的对外路由器上加一个限制,做到只要在路由器里面设置不允许声称来自于内部网络中的机器的数据包通过就行了。当然也应该禁止(过滤) 带有不同于内部资源地址的内部数据包通过路由器到别的网上去,以防止内部员工对别的站点进行IP 欺骗。
(2)当实施欺骗的主机在同一网络内时,不容易防范。可以运用某些入侵检测软件或是审计工具来查看和分析自己的系统是否受到了攻击。
(3)对IP 包进行加密,加密后的部分作为包体,然后再附上一个IP 头构成一个新的IP 包。
(4)提高序列号的更新速率,或是增强初始序列号的随机性,使攻击者无法猜测出正确的序列号。
(5)对于源路由选项欺骗,因该禁止带有源路由的IP包进入内部网。
(6)对于Land 攻击,可以通过配置路由器或防火墙将外部接口上到达的含有内部源地址的数据包过滤掉。
(7)对于SYN 的洪水攻击,可以给内核加一个补丁程序或使用一些工具对内核进行配置。一般的做法是,使允许的半开连接的数量增加,允许连接处于半开状态的时间缩短。但这些并不能从根本上解决问题。实际上在系统内存中有一个专门的队列包含所有的半开连接,这个队列的大小是有限的,因此只要有意使服务器建立过多的半开连接就可以使服务器的这个队列溢出,从而无法响应其它客户的连接请求。
5 ARP欺骗
Arp是一种将IP转化成以IP对应的网卡的物理地址的一种协议,或者说ARP协议是一种将IP地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使IP得以在网络上被目标机器应答。ARP就是IP地址与物理之间的转换,当你在传送数据时,IP包里就有源IP地址、源MAC地址、目标IP地址,如果在ARP表中有相对应的MAC地址,那么它就直接访问,反之,它就要广播出去,对方的IP地址和你发出的目标IP地址相同,那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始,侵略者若接听到你发送的IP地址,那么,它就可以仿冒目标主机的IP地址,然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址,而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以,容易产生ARP欺骗。例如:我们假设有三台主机A,B,C位于同一个交换式局域网中,监听者处于主机A,而主机B,C正在通信。现在A希望能嗅探到B->C的数据, 于是A就可以伪装成C对B做ARP欺骗――向B发送伪造的ARP应答包,应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存,让B认为A就是C,说详细点,就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样,B想要发送给C的数据实际上却发送给了A,就达到了嗅探的目的。我们在嗅探到数据后,还必须将此数据转发给C, 这样就可以保证B,C的通信不被中断。克服此问题的方法是:让硬件地址常驻内存,并可以用ARP 命令手工加入(特权用户才可以那样做);也可以通过RARP服务器来检查客户的ARP 欺骗。因为RARP 服务器保留着网络中硬件地址和IP 的相关信息。
6 路由欺骗
路由协议(RIP) 用来在局域网中动态路由信息,但是各节点对接收到的信息是不检查它的真实性的(TCP/ IP 协议没有提供这个功能),因此攻击者可以在网上假的路由信息,利用ICMP 的重定向信息欺骗路由器或主机,伪造路由表,错误引导非本地的数据报。另外,各个路由器都会定期向其相邻的路由器广播路由信息,如果使用RIP 特权的主机的520 端口广播非法路由信息,也可以达到路由欺骗的目的。解决这些问题的办法是:通过设置主机忽略重定向信息可以防止路由欺骗;禁止路由器被动使用RIP和限制被动使用RIP的范围。
7 结束语
通过对TCP/IP 协议的分析,我们不难发现其在设计和实现上存在的种种缺陷,这是由于TCP/IP协议在设计初期只是用于科学研究,而未考虑到当今会如此广泛地被应用。黑客或黑客工具往往利用这些漏洞,对网络进行破坏。了解这些漏洞并熟悉相应的对策,做到知己知彼,我们才能构建一个安全稳固的网络。
参考文献:
[1] 张小斌,严望佳.黑客分析与防范技术[M].北京:清华大学出版社,2005.
[2] 闫宏生.计算机网络安全与防护[M].北京: 电子工业出版社,2007.
[3] (美)科默,林瑶,等.译.用TCP/IP进行网际互连.第1卷.原理、协议与结构(第五版) [M].北京:电子工业出版社,2007.
ip协议范文第6篇
IPSec是IETF(Internet Engineering Task Force,Internet工程任务组)的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。IPSec(IP Security)产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定,但由于其中存在一些未解决的问题,从1997年开始IETF又开展了新一轮的IPSec的制定工作,截至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来IETF又会进行下一轮IPSec的修订工作。IPSec提供了两种安全机制:认证(采用ipsec的AH)和加密(采用ipsec的ESP)。・ 认证机制使IP通信的数据接收方能够确认数据发送方的真实身份,以及数据在传输过程中是否遭篡改。・ 加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。AH(Authentication Header)和ESP(Encapsulating Security Payload,封装安全负载)都可以提供认证服务,不过,AH提供的认证服务要强于ESP。IPSec主要功能为加密和认证,为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE(Internet Key Exchange,Internet 密钥交换)三个协议规定。为了介绍这三个协议,需要先引人一个非常重要的术语SA(Security Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。要实现AH和ESP,都必须提供对SA的支持。通信双方如果要用IPSec建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接,可以由AH或ESP提供。当给定了一个SA,就确定了IPSec要执行的处理,如加密,认证等。SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。IPSec的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种:丢弃或转发。IPSec通过查询SPD(Security Po1icy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外,还有一种,即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,也可以拒绝某个内部站点对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性、真实性、完整性,通过Internet进行安全的通信才成为可能。IPSec既可以只对IP数据包进行加密,或只进行认证,也可以同时实施二者。但无论是进行加密还是进行认证,IPSec都有两种工作模式,一种是隧道模式,另一种是传输模式。
ip协议范文第7篇
关键词=TCP/IP协议;网络安全;防范
1 引言
随着信息技术的迅猛发展,计算机网络技术已经广泛地应用到名个领域。Internet,Intranet是基于TCP/IP协议簇的计算机网络。TCP/IP协议簇在设计初期只是用于科学研究领域,因而没有考虑安全性问题。但随着Internet应用迅猛发展和应用的普及,它不仅用于安全性要求很高的军事领域,也应用于商业及金融等领域,因而对其安全性的要求也越来越高。对TCP/IP协议及其安全性进行分析和研究就显得尤为重要。
2 TCP/IP的工作原理
TCP/JP协议是一组包括TCP协议和P协议、UDP协议、ICMF协议和其他协议的协议组。TCP/IP协议共分为4层,即应用层、传输层、网络层和数据链路层。其中应用层向用户提供访问internet的一些高层协议,使用最为广泛的有TELNET、FTP、SMTP、DNS等。传输层提供应用程序端到端的通信服务。网络层负责相邻主机之间的通信。数据链路层是TCP/IP协议组的最低一层,主要负责数据帧的发送和接收。其工作原理是:源主机应用层将一串应用数据流传送给传输层,传输层将其截成分组,并加上TCP报头形成TCP段送交网络层,网络层给TCP段加上包括源主机和目的主机IP地址的IP报头,生成一个IP数据包,并送交数据链路层;数据链路层在其MAC帧的数据部分装上IP数据包,再加上源主机和目的主机的MAC地址和帧头,并根据其目的MAC地址,将MAC帧发往目的主机或IP路由器。目的主机的数据链路层将MAC帧的帧头去掉,将IP数据包送交网络层:网络层检查IP报头,如果报头中校验和与计算结果不一致,则丢弃该IP数据包。如果一致则去掉IP报头,将TCP段送交传输层;传输层检查顺序号,判断是否是正确的TCP分组,然后检查TCP报头数据,若正确,则向源主机发确认信息,若不正确则丢包,向源主机要求重发信息,传输层去掉TCP报头,将排好顺序的分组组成应用数据流送给应用程序。这样目的主机接收到的字节流,就像是直接来自源主机一样。
3 TCP/IP各层的安全性分析
3.1 数据链路层
数据链路层是TCP/IP协议的最底层。它主要实现对上层数据(IP或ARP)进行物理帧的封装与拆封以及硬件寻址、管理等功能。在以太网中,由于信道是共享的,数据以“帧”为单位在网络上传输,因此,任何主机发送的每一个以太帧都会到达与其处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时,根据CSMA/CD协议,正常状态下,网络接口对读入数据进行检查,如果数据帧中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据帧交给IP层软件。当数据帧不属于自己时,就把它忽略掉。然而,目前网络上存在一些被称为嗅探器(sniffer)的软件,如NeXRay、Sniffit、IPMan等。攻击方稍作设置或修改,使网卡工作在监听模式下,则可达到非法窃取他人信息(如用户账户、口令等)的目的。防范对策:(1)装检测软件,查看是否有Sniffer在网络中运行,做到防范于未然。(2)对数据进行加密传输,使对方无法正确还原窃取的数据,并且对传输的数据进行压缩,以提高传输速度。(3)改用交换式的网络拓扑结构,使数据只发往目的地址的网卡,其他网卡接收不到数据包。这种方法的缺点是交换机成本太高。
3.2 网络层
3.2.1 IP欺骗
在TCP/IP协议中,IP地址是用来作为网络节点的惟一标志。IP协议根据IP头中的目的地址来发送IP数据包。在IP路由IP包时,对IP头中提供的源地址不做任何检查,并且认为IP头中的源地址即为发送该包的机器的IP地址。这样,攻击者可以直接修改节点的IP地址,冒充某个可信节点的IP地址攻击或者编程(如RawSocket),实现对IP地址的伪装,即所谓IP欺骗。攻击者可以采用IP欺骗的方法来绕过网络防火墙。另外对一些以IP地址作为安全权限分配依据的网络应用,攻击者很容易使用IP欺骗的方法获得特权,从而给被攻击者造成严重的损失。防范对策:(1)抛弃基于地址的信任策略。(2)采用加密技术,在通信时要求加密传输和验证。(3)进行包过滤。如果网络是通过路由器接入Internet的,那么可以利用路由器来进行包过滤。确认只有内部IAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。
3.2.2 ICMP漏洞
ICMP运行于网络层,它被用来传送IP的控制信息,如网络通不通、主机是否可达、路由是否可用等网络本身的消息。常用的Ping命令就是使用ICMP协议,Ping程序是通过发送一个ICMP Echo请求消息和接收一个响应的ICMP回应来测试主机的连通性。几乎所有的基于TCP/IP的机器都会对ICMP Echo请求进行响应。所以如果一个敌意主机同时运行很多个Ping命令,向一个服务器发送超过其处理能力的ICMP Echo请求时,就可以淹没该服务器使其拒绝其它服务。即向主机发起“Ping of Death”(死亡之Ping)攻击。死亡之Ping是较为原始的拒绝服务攻击手段。解决方法较成熟:(1)可给操作系统打上补丁(patch)。(2)在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。(3)利用防火墙来阻止Ping。但同时会阻挡一些合法应用。可只阻止被分段的Ping。使得在大多数系统上只允许一般合法的64Byte的Ping通过,这样就能挡住那些长度大于MTU(Maximum TransmiSsIon Unit)的ICMP数据包,从而防止此类攻击。
3.3 传输层
TCP是基于连接的。为了在主机A和B之间传递TCP数据,必须通三次握手机制建立连接。其连接过程如下:AB:A向B发SYN,初始序列号为ISNI;BA:B向A发SYN,初始序列号为ISN2,同时对ISNI确认;AB:A向B发对ISN2的确认。建立连接以后,主要采用滑动窗口机制来验证对方发送的数据,如果对方发送的数据不在自己的接收窗口内,则丢弃此数据,这种发送序号不在对方接收窗口的状态称为非同步状态。由于TCP协议并不对数据包进行加密和认证,确认数据包的主要根据就是判断序列号是否正确。这样一来,当通信双方进入非同步状态后,攻击者可以伪造发送序号在有效接收窗口内的报文,也可以截获报文,篡改内容后,再修改发送序号,而接收方会认为数据是有效数据,即进行TCP会话劫持。目前存在一些软件可以进行TCP会话劫持,如Hunt等。防范对策:(1)在传输层对数据进行加密。(2)使用安全协议,对通信和会话加密,如使用SSI代替telnet和ftp。(3)运用某些入侵检测软件(IDS)或者审计工具,来查看和分析自己的系统是否受到了攻击。
3.4 应用层
在应用层常见的攻击手段是DNS欺骗。攻击者伪造机器名称和网络的信息,当主机需要将一个域名转化为IP地址时,它会向某DNS服务器发送一个查询请求。同样,在将IP地址转化为域名时,可发送一个反查询请求。如果服务器在进行DNS查询时人为地给出攻击者自己的应答信息,就产生了DNS欺骗。由于网络上的主机都信任DNS服务器,一个被破坏的DNS服务器就可以将客户引导到非法的服务器,从而就可以使某个地址产生欺骗。防范对策:(1)直接用IP访问重要的服务,从而避开DNS欺骗攻击。(2)加密所有对外的数据流。在服务器端,尽量使用SSH等有加密支持的协议;在客户端,应用PGP等软件加密发到网络上的数据。
4 结束语
ip协议范文第8篇
(一)TCP/IP协议族分层
每一层有着具体的功能。链路层有时也被称为网络接口层,主要包括操作系统中相关的设备驱动程序与计算机硬件中相对应的网络接口卡,共同对与电缆(或其他任何传输媒介)的物理接口细节进行处理。网络层主要是对分组在网络中的活动进行处理,在TCP/IP协议族中主要包括了IP协议、ICMP协议以及IGMP协议。传输层的主要功能是为两台主机上的应用程序提供端到端的通信。在TCP/IP协议族中主要有两种互不相同的传输协议:TCP协议与UDP协议。在应用层主要是对应用程序的的细节进行处理。
(二)TCP/IP协议主要工作流程
TCP/IP协议主要工作流程如下(以文件传输为例):
(1)源主机应用层将相关数据流传送给传输层。
(2)传输层将数据流进行分组,并加上TCP包头传送给网络层。
(3)在网络层加上包括源、目的主机IP地址的IP报头,生成IP数据包,并将生成的IP数据包传送至链路层。
(4)在链路层将MAC帧的数据部分装入IP数据包,然后将源、目的主机的MAC地址和帧头加上,并根据目的主机的MAC地址,将完整的MAC帧发往目的主机或者IP路由器。
(5)MAC帧到达目的主机后,在链路层将MAC帧的帧头去掉,并将去掉MAC帧头的IP数据包传送至网络层。
(6)网络层对IP报头进行检查,如果校验与计算结果不同,则将该IP数据包丢弃,如果结果一致就去掉IP报头,将TCP段传送至传输层。
(7)传输层对顺序号进行检查,判断是否是正确的TCP分组,然后再对TCP报头数据进行检查。如果正确就源主机发出确认信息,如果不正确或者是出现丢包,就想源主机发出重发要求。
(8)在目的主机的传输层将TCP报头去掉后根据顺序对分组进行组装,然后将组装好的数据流传送给应用程序。这样目的主机接收到的来自于源主机的数据量,就像直接接收来自源主机的数据一样。
二、TCP/IP协议的安全性
TCP/IP协议在设计之初没有对安全问题考虑很多,但是在安全性方面仍然有着其自身的优势。
(一)TCP/IP协议的安全性
首先,TCP协议是面向连接的协议,指的是在进行通信前,通信双方需要建立起连接才能够进行通信,在通信结束后终止连接。当目的主机接收到由源主机发来的IP数据包后,会通过TCP协议向源主机发送确认消息。同时在TCP协议中有一个重传记时器(RTO),源主机从IP包发送时开始计时,如果在超时前接收到了确认信号,计时器归零;如果计时超时,则表示IP包已丢失,源主机重传。利用这个计时器能够保证数据传输的完整性,而且TCP协议能够根据不同的情况来规定计时时长。TCP协议为应用层提供了面向连接的服务,从而保证了网络上所传送的数据包被完整、正确、可靠地接收。
其次,利用IP协议进行信息传送,就像信息的明信片传送,对于运营商设备、协议乃至网络拓扑对用户均属开放可见。这也就是说,安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。但是这种透明性也是容易被利用的一种安全漏洞。
(二)TCP/IP协议存在的安全问题
TCP/IP协议所存在的安全性问题主要体现在以下的几方面。TCP/IP协议是建立在可信环境之下的,在考虑网络互联时缺乏对安全方面的考虑。TCP/IP协议是建立在三次握手的基础上的,三次握手本就存在一定的不安全因素。TCP/IP这种基于地址的协议本身就会泄露口令,并会经常运行一些无关程序。同时互联网技术对底层网络的硬件细节进行了屏蔽,使得不同种类的网络能够进行互相通信。这就给“黑客”攻击网络提供了更多的机会。因为很多程序都需要利用TCP协议来来作为传输层协议,因此TCP协议的安全性问题会为网络带来严重的后果。同时TCP/IP协议是完全公开的,这就使得攻击者利用远程访问就能够的手,同时所连接的主机基于互相信任的原则也容易处于各种威胁之下。
三、利用TCP/IP协议保护信息安全
虽然TCP/IP协议存在着较为严重的安全隐患,但是能够利用协议本身来实现信息隐藏,从而达到保护信息安全的目的。对TCP/IP协议头数据格式进行分析,能够发现在这两个头结构中存在多个没有用于正常的数据传送或者是数据包的发送的区域,或者是有一些可选项。利用这些区域可以对数据进行保存和传送从而达到保护信息安全的目的。当源主机与目的主机建立起TCP连接后,源主机就可以对要发送的数据进行编码转换,根据一定的算法将需要隐藏的数据为撞到IP标识域内。而在目的主机在接收到数据包后,首相将IP数据包的包体去掉只留下IP包头,通过对IP数据的头结构进行解析,将所隐藏的数据分离出来,然后利用编码算法对数据进行还原。利用时间戳实现信息隐藏。时间戮是一个单调递增的值,从TCP/IP协议中可知,当一个数据分组穿过互联网时,时间戳选修会使得各个系统将它但钱的时间标记在数据分组的相关选项中。TCP/IP协议中有TCP协议时间戳与IP协议时间戳两种。利用时间戳实现信息隐藏指的就是利用处理TCP包或者是IP包时所产生的轻微的延时来对TCP时间戳选项或者IP时间戳选项的低位段进行修改,当对协议的时间戳选项进行相应的修改后,根据TCP/IP协议的特点,会在网络中形成一个专门的信道来对隐藏信息进行传送。同时,现在的网络监控和检测技术很难对TCP/IP协议时间戳的值的改变进行监控与检测,同时也很难对时间戳的值的改变原因进行准确的判断,这就为信息的隐藏提供了良好的平台。
四、结语
ip协议范文第9篇
关键词:IP协议IP地址分配路由选择路由分类路由算法IPV6协议
1引言
随着“信息高速公路”的提出和Internet的迅猛发展,人们的交流方式,获取信息的途径,工作,学习,生活,娱乐的方式都发生了重大的变革,各种新的信息交流,信息获取的方式应运而生。如电子邮件,电子商务,VOD视频点播,网上股票交易,网上购物,远程教育,远程医疗,各种公共信息查询等,都迫切要求我们有志于IT事业的青年,全面的了解Internet的核心协议—IP协议。
2网际协议IP
众所周知,网络互连离不开协议。Internet正是依靠TCP/IP协议实现网络互联的,可以毫不夸张的说,没有TCP/IP协议,就没有如今高速发展的Internet,因此TCP/IP是Internet的基础和核心。网际协议IP是TCP/IP体系中重要的协议之一,它主要为数据提供打包和编址服务。IP协议能够识别本地或远程主机。如果通向目的网络的通道使用不同大小的分组,IP协议将分组分片,以便能够无错的传输。分组抵达目的主机后,IP协议再将数据的分组重新组合。[1]最后,IP协议将处理好的分组传递给上层的协议。
2.1IP地址
Internet的IP协议使用特定的地址唯一标识网络上的连接设备。IP的地址遵循IP协议的一种网络地址的描述方式,Internet上的每一个节点都依靠唯一的IP地址互相区分和相互联系。他是目前Internet上使用的网络地址,是最为通用和流行的寻址方式。
2.1.1IP地址表示方法
所谓IP地址就是给每一个连接在Internet上的主机分配一个在全世界范围是唯一的32bit地址,它包括了网络地址和主机地址。[2]每个网络拥有一个唯一的网络ID(net-id)和主机ID(host-id)。我们可以先按IP地址的网络号net-id把网络找到,再按主机号host-id把主机找到。所以IP地址并不只是一个简单的计算机号,他指出了连接到某个网络上的某台计算机。
2.1.2IP地址的分类
IP地址是一种层次地址,通用个视为:M——类的等级号,NET——网络号,HOST——主机号。按类别的等级号,IP地址分为五类:A,B,C,D,E。[3]常用的A类,B类和C类地址都由两个字段组成,即网络号字段和主机号字段,网络号和主机号随不同等级在32位中所占的位数不同。表2-1描述了A,B和C类地址的二进制表示形式,其中N表示网络字段的比特数,H表示主机字段的比特数。A类地址使用第一个8位组表示网络字段,于3个8位组,即24比特用于表示主机号字段。B类地址使用前两个8位组表示网络号字段,其余2个8位组表示主机号字段,各有16比特。C类地址使用前三个8位组,24比特比表示网络号字段,最后1个8位组,即8比特用于表示主机号字段。如表2.1所示,它给出了标准网络号字段和主机号字段的长度。D类地址和E类地址并不支持通常意义的主机编址。D类地址是多播地址,主要是留给Internet体系结构委员会IAB(InternetArchitectureBoard)使用。E类地址保留为试验用途。表2.2给出了IP地址的使用范围和容量。
表2.1标准网络号字段和主机号字段的长度
地质类别第一个8位组第二个8位组第三个8位组第四个8位组
ANNNNNNNNHHHHHHHHHHHHHHHHHHHHHHHH
BNNNNNNNNNNNNNNNNHHHHHHHHHHHHHHHH
CNNNNNNNNNNNNNNNNNNNNNNNNHHHHHHHH
表2.2IP地址使用范围和容量
地址类别第一个8位组最大网络数每个网络中的最大主机地址数
A1——12612616777214
B128——1911638465534
C192——2232097152254
D224——239————
E240——254————
2.1.3特殊地址
除了一般的标识一台主机的IP地之外,还有几种特殊形式的IP地址。
1.广播地址
TCP/IP协议规定,主机号全为“1”的网络地址用于广播,即同时向网络上所有主机同时发送报文(必须知道本网的网络号),叫做广播地址,也成直接广播地址(directedbroadcastingaddress)。
2.有线广播地址
TCP/IP规定,32比特全为“1”的网间网地址用于本网内部广播(可不知本网的网络号),该地址叫做有线广播地址(limitedbroadcastingaddress)。
3.“0”地址
TCP/IP协议规定,各位全为“0”的网络号被解释为“本”网络。
4.回送地址
A类网络地址127是一个保留地址,用于网络软件以及本地机间通信,叫做回送地址(loopbackaddress).不管是什么程序,一旦使用回送地址发送数据,协议软件立即返回,不进行任何网络传输。
主机号全为“0”和全为“1”的地址,不能用作一台计算主机的有效地址。
2.1.4子网掩码
子网掩码——IP地址的屏蔽码,它使用一连串的二进制1来识别或屏蔽出IP地之中的网络地址,使用子网掩码的目的是识别网络的长度和数值。IP协议使用本地的子网掩码和本地主机IP地址来识别本地网络。
TCP/IP体系结构用一个32位的子网掩码来表示子网号字段的长度。具体做法是:子网掩码由一连串的“1”和一连串的“0”组成。“1”对应于网络号和子网号字段,而“0”对应与主机号字段。例如:子网掩码为0XFFFFFFE0,她的二进制表示形式为11111111111111111111111111100000可见子网号有11位,而主机号有5位。子网掩码的意义如图2-1示。根据IP地址可以判断它是A,B或C类地址中的哪一类,而根据子网掩码可以划分子网号和主机号的界限。不过,多划分出一个子网号字段浪费了大量的IP地址。
10net-idhost-id
B类地址
10net-idsubnet-idhost-id
增加了子网掩码
11111111111111111111111111100000
子网掩码
图2-1子网掩码的意义
3路由的选择
路由就是基于网络层的选择传送数据包路径的过程。路由器则是执行路由功能的设备。它的主要工作是为经过路由器的每个数据帧寻找一条最佳的传输路径,并将数据有效的传送到目的站点。可见,路由器的关键所在就是选择最佳路径的策略,即路由算法。为了完成这项工作,路由器中保存了各种传输路径的相关数据——路由表(RoutingTable),供路由选择时使用。
3.1路由器的功能
路由器是所有大型TCP/IP网络的重要组件,没有路由器,因特网就无法运行。众所周知,IP地址用网络号来描述本地目标主机或远程目标主机,而路由器是通过网络号来识别目的网络。下面来进一步说明路由器的功能:
a)路由器用来连接不同的网络,接受来自它连接的某个网络的数据;
b)路由器是专门用来转发分组的,将数据向上传递到协议栈的Internet层,即路由器舍弃网络访问层的首标信息,并且(必要时)重新组合IP数据包;
c)路由器检查IP首标中的目的地址;
d)传送数据到另一个网络,路由器自动查询路由表,确保数据转发到目的地址;
e)路由器确定哪个适配器负责接收数据后,它就通过相应网络访问层软件传递数据,以便通过网络来传送数据。
3.2路由选择分类
路由选择的两个主要类形式根据他们从何处获得路由表信息而得名的:
静态路由选择——要求网络管理员人工输入路由信息。
动态路由选择——根据使用路由选择协议获得的路由信息动态的建立路由表。
3.2.1静态路由
当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省的情况下是私有的,不会传递个其他路由器。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于了解本地网络的拓扑结构,便于设计正确的路由信息,而且网络安全保密性高。
3.2.2动态路由
动态路由是址路由器能够自动的建立自己的路由表,并且能够根据实际情况的变化适时的进行调整。动态路由机制的运作依赖路由器的两个基本功能:对路由表的保护;路由器之间适时的路由信息交换。[3]交换路由信息的最终目的在于通过路由表找到一条数据交换的“最佳”路径。
3.3IP选路算法
3.3.1传统分类IP路由算法
尽管绝大多数路由器和许多主机都可以在无分类IP网络中实现路由,但是仍有一些路由器和主机依赖目的的网络分类进行路由。分类路由算法如下:
DatagramRoutingTable
从数据报中提取目的地址D,并计算网络前缀N(即目的站的网络号)
ifN与任何直接相接的地址匹配
then通过该网络把数据报交付澳目的地D(其中涉及到把D转换成一个
物理地址,转装数据报并发送该帧)
elseif表中包含特定于具体主机的一个到D的路由
then把数据报发送到表中指定的下一跳
elseif表中包含到网络N的一个路由
then把数据报发送到表中指定的下一跳
elseif网络包含一个默认路由
then把数据报发送到表中指定的默认路由器
else宣布选路出错
3.3.2无分类路由
无分类路由的IP路由算法不断更新以适应对任意大小IP网络地址空间寻径的支持。[5]路由表的每一项必须包括目的地址与下一跳地址,以及附加的掩码以限定该项所描述的地址空间。路由表中引入掩码,实现算法中路由表查询的部分要比原分类路由算法复杂,但整体的算法反而简化了。无分类IP路由算法如下:
对于任何给定的目的地IP地址
搜索路由表,寻找与改地址匹配的前缀最长的目的地址
析取该项的下一跳地址
发送分组包至下一跳
if寻找匹配项失败
报告目的地地址不可达
Endif
4下一代网络IP协议
当前,给予Internet的各种应用正如火如荼的迅猛发展着,而与此热闹场面截然不同的是Internet当前使用的IP协议版本IPV4正因为自身的缺陷而举步维艰。因此,IPV6应运而生了。
4.1IPV4的缺陷
现在互联网上普遍采用IPV4的标准,它是目前Internet中正在运行的非常成功的协议,有着广泛的应用基础,但它自身也有很多不足。
IPV4使用的是32位的寻址方式,理论上IPV4可以支持40亿个地址。然而,由于先前的低效地址分配,由将近一半的地址已被之皮,剩余地址也仅有一小部分可利用。由预测表明,以目前Internet发展速度计算,所有IP地址将在2005——2010年间完全耗尽完毕。因此,IPV4协议所能够提供的域名最终将全部耗尽,从而阻碍了整个互联网的向前发展。
IPV4不仅存在存储空间的局限信,还存在性能上的问题。IPV4制定之初,主要目的在于为在一种网络间进行数据的可靠和高效传输探索最佳机制,从而实现不同计算机的互操作。在很大程度上,IPV4实现了此目标,但这并不意味着IPV4可以继续保持这种实力,它在设计方面需要进一步完善。再次是安全性,人们认为安全性议题在网络协议栈的低层并不重要,应用安全性的责任仍交给应用层。在许多情况下IPV4设计只具备最少的安全性选项,但安全性已经成为IP的下一版本可以发挥作用的地方。最后是自己配置对于IPV4的节点的配置非常复杂,而用户跟喜欢即插即用。IP主机移动性的增强和使用不同网络接入点时能提供更好的配置支持。
4.2IPV6协议
4.2.1较IPV4的变更之处
IPV6对IPV4做了多处改进,这些改进使该协议更为灵活,可靠,而且提供了几乎无限的地址空间。一下列出由IPV4到IPV6的改进:
1)扩大了选路和编址容量:IPV6把IP地址所占比特数由32比特增加到128比特。该方案能够支持的编制层次更多,而且可编址的节点数也大为增加。
2)增加了多播地址:IPV6创建了一种新的地址类型——任意播地址(anycastaddress),以表示一系列节点,发任意播的数据包可以递交给这组节点中的任意一个。
3)简化了首部格式:IPV4首部中的某些子段被丢弃不用或改为可选,减少了处理数据包的开销,是带宽额外开销尽可能低。
4)改良了对选项的支持:新的IP首部队选项的编码方式进行了改良,提高了转发效率,对选项长度的限制更少,也增加新选项的灵活性。
5)增加了对服务质量的支持能力:IPV6可以对属于某种特定通信流的数据报加标号,表明发送方要求对这些数据加以的特殊处理。
6)增加了鉴别和保密能力:IPV6还包括扩展定义,能支持鉴别数据完整性以及机密性等功能。
5结束语
了更好的适应Internet的不断发展,IP协议应不断的更新其设计上的技术。IPV6是下一代的IP协议,IPV4向IPV6的转变不可能一夜之间完成,它们之间的过渡需要很长的时间,是一个逐步完善的过程。
参考文献
1[美]RobScrimger等著《TCP/IP宝典》[M]电子工业出版社2002年4月
2谢希仁著《计算机网络》[M]电子工业出版社2003年1月
3白建军等著《Internet路由结构分析》[M]人民邮电出版社2002年5月
er著《用TCP/IP进行网际互联》[M]电子工业出版社2001年5月
ip协议范文第10篇
关键词:互联网;移动IP;计算机技术
一、移动IP发展过程
1、移动IP的提出
随着社会的发展,计算机技术普遍的应用在各个生活和生产的领域,Internet的应用得到了飞速发展,接入网络的主机和用户逐年呈指数增长。网络技术逐渐实现了普及化和系统化,为人类生活和生产中各种信息的交流带来巨大的变动,为人们的生活带来了许多方便而快捷的服务,当前各种信息资源和互联网服务技术已经普遍的应用在各个企业单位和人们生活之中,为人们精神需求和生产方便打下了基础,也使得人们在日常生活中对其依赖逐渐的增加。
一方面,经济的发展促使人员的流动和工作场所的流动,并且这种流动将会越来越大。为数众多的流动网络用户迫切希望能够随时、随地接入网络,方便地获取、处理和交换数据,共享网络资源。人们对移动数据通信业务的需求正在迅速地推动移动数据通信的发展。
另一方面,笔记本电脑和便携式计算机大量出现,为移动计算机网络的产生奠定了较好的物质基础。随着计算机技术的发展,个人计算机的功能越来越强大,而尺寸越来越小。PDA和便携机的出现,使得用户可以在野外现场任何地点使用。在这样的情况下,传统的有线网络已不能满足用户的需求,需要发展能够摆(电)缆等固定接入的无线通信网来传送数据。因此,便携式计算机的出现也是促使移动数据业务发展的一个重要因素。
2、移动IP的发展
随着当前各种信息技术和计算机技术的不断扩大和发展需求不断增加,人们对计算机技术中的各种其他需求也在不断的增大之中。当前的通信技术中主要以语音传输为主要的基础通信,移动IP在这种趋势之下也在不断的增加着各个信息指数和信息技术。发展移动数据业务是移动通信运营商的战略方向,让消费者拥有和互联网无缝结合的移动IP业务是运营商的竞争利器、借助于 WhP的Web浏览,随时随地进行的移动电子商务、移动网上银行、移动IP电话等业务预示着互联网和移动通信无缝结合的前景和未来。因此移动通信向因特网靠拢是信息社会发展的必然要求。移动通信的发展进程将分为三个阶段:首先是移动业务的IP化;之后是移动网络的分组化演进;最后是在第三代移动通信系统中实现全IP化。
Intemet和移动通信两项业务网络的普及、迅猛发展以及融合,把人们带进一个数字化、个人化、综合化的通信世界,彻底改变了人们的交流、沟通以及获取信息的方式,同时也为社会和经济的发展提供了强大的动力。
3、现有I P协议的定址方式及其局限性
现有的因特网协议栈TCP/IP是假设终端系统是静态的情况下设计出来的。我们目前所使用的IP版本为IPv4.这一版本将IP地址定义为主机联接在网络上的点,这就像固定电话号码代表着墙上的某个插座一样.TCP/IP 协议中以分层地址的方式定位互联网中的主机。每个网络主机有一个唯一的IP地址与之对应。该IP地址分为网络号与主机号两部分。Internet寻址方案是使用目的地址的网络前缀用于路由。一个特定的地址只能被用于它所定义的域内,因特网中普遍采用的传输层协议TCP/UDP都采用IP地址作为端点标识,且都采用了端口这个概念,它使得TCP/UDP接收实体可以决定从网络收到的数据段中的数据应交由多个高层应用中的哪一个处理,这样在一个节点上就可阻同时打开多个应用,而各个应用的流量之间互不干扰。节点间的TCP连接由以下4个值唯一确定:源IP地址、目的IP地址、源TCP端口号、目的TCP端口号.这4个值在一个TCP连接的整个过程中是保持不变的,当目的节点的IP地址发生变化时,将不得不断开连接。所以移动节点改变IP地址时,其与别的节点之间正在进行的通信将中断。
二、当前移动IP的解决方法
1、IP中存在的问题
在今天的互联网IP中由于移动主机在使用的过程中与IP保持不变,使得在出现各种特殊情况之中无法满足其他任何方法来解决,在移动主机在保持其IP地址不变的情况下接入其他网络,就不能正确路由。传统的IP是一个固定的,容易出现各种繁杂故障的问题,在IP的输入和使用的过程中IP是不变的记过,是在互联网使用中不得变动的过程。这个问题的根源在于在互联网结构中,IP地址起着双重的作用:从传输层和应用层的角度来看,IP地址是一个通信端点的标识:在网络层,IP地址是数据路由的依据。从以上可知,IP的设计思路使得IP天生没有移动通信能力.如果使用者既想移动主机又不想改变IP地址,那就只能在同一物理网络(即同一网络)。
2、解决方法
面对这样多个问题,当前解决互联网中各种其他故障的主要方法一般又两种,一是重新设计一套支持可移动终端设备的互联网协议族,但由于Internet互连网的广泛应用,重新设计将使现有的网络结构,特别是相应的软件作较大的调整,代价昂贵。另一种选择是在现有的协议基础上,附加服务来支持终端设备的移动通信。目前的移动IP协议都是基于这种思想。
目前,对移动IP的研究虽然取得了一定的进展,但也还面临着许多问题,归纳起来可以分为以下技术性和非技术性两类问题。技术性问题包括路由优化的问题、安全的问题和时延的问题。非技术性的问题主要包括市场发展方面的问题和来自其它协议的竞争。从国内外研究方向及成果中可以发现:目前对移动1P的研究主要集中在路由优化和快速切换方面,以保证通信准确、无时延。而安全问题则是移动IP现在所面临的最紧迫、最突出的问题。
移动IP是一种与传输媒介无关的协议,采用了多种认证机制和加密方法来防止恶意用户的攻击,而增强其安全性能的同时需要兼顾其他方面内容。如当移动口工作在无线网络时,由于无线网络的带宽是一种宝贵的资源,此时我们必须考虑尽可能减少网络的开销。但是强认证方案是通过牺牲网络性能来提高安全性能的,这时我们应在安全性能和网络性能之间进行折衷。另外还要考虑协议实现的复杂性。因为业务的多样性要求我们应该采用多种安全机制,能够为不同的用户分配不同的安全级别保证。此外增强安全性还要兼顾路由优化、防火墙等方面的问题。
三、结论
本文链接:http://www.vanbs.com/v-141-2364.htmlip协议范文10篇
相关文章:
哲理句子58条10-17
最感动的情书信07-26
八个字经典励志语录07-17
施工介绍信11-15
安保服务表扬信10-05
新年慰问信08-15
年会的主持稿串词08-15
小学生端午作文11-09
春天优秀作文400字09-06
六年级故事作文08-31
游泳作文300字08-03
《九歌・国殇》原文、翻译及赏析10-18