tcp協(xié)議

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇tcp協(xié)議范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

tcp協(xié)議范文第1篇

關(guān)鍵詞：P2P；CDP；NAT 穿透；基于UDP的tcp

中圖分類號：TP317文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2007)03-10736-02

1 引言

隨著互聯(lián)網(wǎng)應(yīng)用廣泛推廣，基于各種P2P網(wǎng)絡(luò)技術(shù)的產(chǎn)品也越來越多的出現(xiàn)在我們的視野當(dāng)中。從最早的Napster 到現(xiàn)在的Bittorrent、eMule、skype等產(chǎn)品，P2P這種網(wǎng)絡(luò)應(yīng)用模式已經(jīng)從各個(gè)方面深入人心。這些產(chǎn)品在網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)上，都以各自的方法解決著同樣面臨的一個(gè)問題，如何讓他們的軟件產(chǎn)品在各異的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中順利的進(jìn)行P2P通信。

眾所周知，在當(dāng)今的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，普遍使用NAT設(shè)備來進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，那么如何讓應(yīng)用程序跨越這些NAT設(shè)備進(jìn)行全雙工通信，就成為非常重要的問題。實(shí)現(xiàn)跨越NAT 通信有很多種辦法：首先是通過服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，這是比較粗暴的方法，在用戶量較大時(shí)，轉(zhuǎn)發(fā)服務(wù)器需要付出相當(dāng)大的代價(jià)；其次，可以使用NAT 穿透技術(shù)。而在NAT 穿透中，UDP 穿透的成功率比起TCP 穿透要高出許多[1]。因此在UDP 協(xié)議上構(gòu)建一些大型的網(wǎng)絡(luò)應(yīng)用程序可能會成為很多人的需求。

由于UDP協(xié)議本身存在通信不可靠的缺點(diǎn)，對于基于UDP 進(jìn)行可靠通信的需求就浮現(xiàn)出來了。目前在網(wǎng)絡(luò)上有許多人正在做著這一工作，UDT、RakNet、eNet 等都是構(gòu)建在UDP之上的網(wǎng)絡(luò)可靠通信開發(fā)庫，但這些庫都是針對一些特殊應(yīng)用進(jìn)行設(shè)計(jì)的，不具備通用性。本文提出的CDP協(xié)議是在UDP基礎(chǔ)之上實(shí)現(xiàn)的TCP協(xié)議。同時(shí)具備了TCP的通用、高效和UDP的高穿透成功率，并提供了簡單易用的應(yīng)用程序開發(fā)接口。

2 CDP設(shè)計(jì)目標(biāo)

CDP主要的目標(biāo)就是在UDP 層之上實(shí)現(xiàn)TCP 的協(xié)議算法，使得應(yīng)用程序能夠在UDP 層之上獲得通用、可靠、高效的通信能力。CDP 網(wǎng)絡(luò)開發(fā)庫所實(shí)現(xiàn)的算法，都來自久經(jīng)考驗(yàn)的TCP協(xié)議算法，以下協(xié)議設(shè)計(jì)部分主要講解CDP實(shí)現(xiàn)中與TCP標(biāo)準(zhǔn)不同的部分。

3 CDP協(xié)議設(shè)計(jì)

CDP協(xié)議主要在以下幾個(gè)方面與TCP有所不同：協(xié)議格式、連接建立（NAT UDP PUNCH模式）、?；顧C(jī)制、MTU發(fā)現(xiàn)與MSS通告。其他部分，如報(bào)文傳輸、流量控制、超時(shí)重傳、擁塞控制等，均參照TCP協(xié)議實(shí)現(xiàn)[2]。下面將對幾個(gè)不同部分分別進(jìn)行說明。

3.1 協(xié)議格式

CDP的實(shí)現(xiàn)的算法雖然與TCP 實(shí)現(xiàn)的算法是大致相同的,但CDP 的協(xié)議格式只是從TCP協(xié)議格式獲得參考，但并不完全與他相同，CDP協(xié)議格式如圖1所示。

圖中各字段意義分別為：

4 位首部長度：表示用戶數(shù)據(jù)在數(shù)據(jù)包中的起始位置。

LIV：連接保活標(biāo)志。

ACK：確認(rèn)序號有效。

PSH：接收方應(yīng)該盡快將這個(gè)報(bào)文段交給應(yīng)用層。

RST：重置連接。

SYN：同步序號，用來發(fā)起一個(gè)連接。

FIN：發(fā)端完成發(fā)送任務(wù)。

16 位窗口大小：接收端可接收數(shù)據(jù)的窗口大小。

選項(xiàng)：只有一個(gè)選項(xiàng)字段，為最長報(bào)文大小，即MSS。CDP 選項(xiàng)格式與TCP 選項(xiàng)格式一致，kind=0 時(shí)表示選項(xiàng)結(jié)束，kind=1 時(shí)表示無操作，kind=2 時(shí)表示最大報(bào)文段長度。如下圖：

圖2 CDP選項(xiàng)字段

數(shù)據(jù)：用戶通過CDP 傳輸?shù)臄?shù)據(jù)。

3.2 連接建立（NAT UDP PUNCH模式）

一般情況下，CDP連接的建立過程與TCP相同。但當(dāng)CDP工作在UDP NAT 穿透（NAT UDP PUNCH）模式下時(shí)，在三次握手之前，先要向?qū)Χ薔AT 端口及預(yù)測端口以默認(rèn)2ms的間隔發(fā)送默認(rèn)為10個(gè)LIV報(bào)文，一來用于打開自已的NAT 端口，二來是用于進(jìn)入對端NAT端口。默認(rèn)值可以由用戶程序設(shè)置。這時(shí)的LIV 報(bào)文中初始序號及確認(rèn)序號都為0。

當(dāng)接收到對端LIV 報(bào)文后，CDP立即停止LIV 報(bào)文發(fā)送，發(fā)出SYN 報(bào)文進(jìn)行連接建立。這時(shí)有兩種可能：一是對端直到接收到該SYN 報(bào)文，都沒有接收到LIV 報(bào)文，或是剛接收到LIV報(bào)文，但沒有來得及發(fā)送SYN 報(bào)文，此時(shí)將會和一般模式下連接建立的過程一致，經(jīng)歷三次握手；二是對端在接收到該SYN 報(bào)文之前，也已經(jīng)發(fā)送SYN報(bào)文，此時(shí)雙方都需要對SYN 報(bào)文段進(jìn)行確認(rèn)。

3.3 半打開連接及連接保活

半打開連接是指對端異常關(guān)閉，如網(wǎng)線拔掉、突然斷電等情況導(dǎo)致一端關(guān)閉，而另一端卻認(rèn)為連接仍處于打開當(dāng)中，這種情況稱之為半打開連接。CDP中的一個(gè)TDP SOCKET描述符由本地IP、本地端口、遠(yuǎn)端IP、遠(yuǎn)端端口唯一確定。當(dāng)遠(yuǎn)端客戶端連接請求到來時(shí)，服務(wù)端將接收到一個(gè)新的CDP SOCKET描述符，當(dāng)這一個(gè)描述符唯一確定信息已經(jīng)存在時(shí)，對新的連接請求發(fā)送RST 報(bào)文段，通知其重置連接請求。對于舊的連接，由保活機(jī)制自動(dòng)發(fā)現(xiàn)是否為半打開連接，如果是半打開連接，則自動(dòng)關(guān)閉該連接。CDP的RST 報(bào)文與TCP 中的RST 報(bào)文是不一樣的。

連接建立之后，CDP 連接需要啟動(dòng)?；顧C(jī)制。TCP 連接在沒有數(shù)據(jù)通信的情況下也能保持連接，但CDP 連接不行。CDP 連接在一定時(shí)間內(nèi)如果沒有數(shù)據(jù)交互的話，將主動(dòng)發(fā)送?；頛IV報(bào)文段。這個(gè)時(shí)間根據(jù)CDP 連接工作模塊不同有所差異，在NAT UDP PUNCH 模式下，默認(rèn)值為1 分鐘（大多數(shù)的NAT中，UDP會話超時(shí)時(shí)間為2－5分鐘左右）；而在常規(guī)模塊下這個(gè)時(shí)間段默認(rèn)值為5分鐘。默認(rèn)值可以由用戶程序設(shè)置，用戶程序需要指明兩種模式下的?；顣r(shí)間周期。

3.4 路徑MTU 發(fā)現(xiàn)及MSS 通告

CDP連接建立過程中會通告初始MSS(Maximum Segment Size)，這個(gè)值可以由用戶程序進(jìn)行設(shè)置。但這個(gè)初始值是靜態(tài)的，當(dāng)通信雙方跨越多個(gè)網(wǎng)絡(luò)時(shí)，使用設(shè)置的MSS可能導(dǎo)致傳輸?shù)腎P 報(bào)文分片的產(chǎn)生。為了避免分片，CDP在數(shù)據(jù)傳輸過程中進(jìn)行動(dòng)態(tài)的路徑MTU(Maximum Transmission Unit)發(fā)現(xiàn)，并進(jìn)行MSS 的更新及通告。

CDP創(chuàng)建UDP SOCKET時(shí)，即將IP選項(xiàng)設(shè)置為不允許分片： Setsockopt（clientSock, IPPROTO_IP, IP_DONTFRAGMENT, (char*)&dwFlags, sizeof(dwFlag) )。

在發(fā)送數(shù)據(jù)時(shí)先以當(dāng)前MSS 大小進(jìn)行發(fā)送，如果返回值為錯(cuò)誤碼WSAEMSGSIZE（10040），則表示為報(bào)文尺寸大于MTU，需要進(jìn)行IP 分片傳輸。此時(shí)，縮減MSS大小再次發(fā)送，直至不再返回錯(cuò)誤碼WSAEMSGSIZE（10040）。當(dāng)MSS 變更并能成功發(fā)送報(bào)文后，需要向?qū)Χ送▓?bào)新的MSS 值。每次MSS 縮小后，默認(rèn)隔30 秒，CDP 將默認(rèn)擴(kuò)大MSS 大小，以檢查是否路徑MTU 是否增大了，之后隔30*2 秒、30*2*2 秒進(jìn)行檢測，如果三次都未發(fā)現(xiàn)MTU 增大則停止進(jìn)行檢測。網(wǎng)絡(luò)中MTU 值的個(gè)數(shù)是有限的[3]。因此MSS 的擴(kuò)大及縮減，可依據(jù)一些由近似值按序構(gòu)成的表，依照此表索引進(jìn)行MSS 值的擴(kuò)大與縮減計(jì)算。

CDP 中MSS 與MTU 之間關(guān)系的計(jì)算公式如下：MSS = MTUC20(IP首部)C8(UDP首部)C12(CDP首部)。

4 CDP應(yīng)用程序開發(fā)接口（CDP Socket API）

使用CDP進(jìn)行網(wǎng)絡(luò)程序開發(fā)是非常容易的，它API與標(biāo)準(zhǔn)socket API是非常相似的，對應(yīng)功能的函數(shù)名稱都相同，只是CDP的所有API都處于名稱空間CDP 之下。此程序庫的實(shí)現(xiàn)也參考了BSD Socket的實(shí)現(xiàn)。CDP Socket API列表如下：

5 結(jié)束語

本文提出了一種基于UDP協(xié)議之上的TCP協(xié)議實(shí)現(xiàn)――CDP協(xié)議，并對現(xiàn)實(shí)的一些關(guān)鍵部分進(jìn)行了討論，最后給出了CDP協(xié)議的應(yīng)用開發(fā)接口。CDP協(xié)議同時(shí)具備了TCP通用、高效的特點(diǎn)，有利用的UDP的NAT穿透特性，可廣泛應(yīng)用與構(gòu)建各種P2P網(wǎng)絡(luò)應(yīng)用。

參考文獻(xiàn)：

[1]B. Ford, P. Srisuresh, D. Kegel, Peer-to-Peer Communication across Network Address Translators [EB/OL], draft-ford-midcom-p2p,/pub/net/p2pnat, June 2004.

[2]W.Richard Stevens, 范建華,譯，TCP/IP詳解――卷Ⅰ：協(xié)議[M]，機(jī)械工業(yè)出版社，2000.4.1.

tcp協(xié)議范文第2篇

關(guān)鍵詞：NDK； TMS320DM642； TCP/ IP

1、 NDK 的結(jié)構(gòu)

TI公司依據(jù)C6000芯片推出了TCP/IP NDK（Network Developer's Kit）開發(fā)套件， 其主要構(gòu)成包括： （1）支持TCP/IP 協(xié)議棧程序庫。其中主要含有的庫： 支持TCP/IP網(wǎng)絡(luò)工具的庫，支持TCP/IP 協(xié)議棧與DSP/BIOS平臺的庫，網(wǎng)絡(luò)控制以及線程調(diào)度的庫。（2）示范程序。其中主要包括DHCP/Telnet 客戶端， HTTP 數(shù)據(jù)服務(wù)器示范。（3）支持文檔。包含用戶手冊、程序員手冊和平臺適應(yīng)手冊。NDK 采用緊湊的設(shè)計(jì)方法， 實(shí)現(xiàn)了用少量的資源耗費(fèi)來支持TCP/IP。從實(shí)用效果來看， NDK僅用200-250K程序空間和95K 數(shù)據(jù)空間即可完成常規(guī)的TCP/IP 服務(wù)。

NDK相對于操作系統(tǒng)和底層硬件是透明的， 因?yàn)檫@是由OS。LIB 提供操作系統(tǒng)DSP/BIOS的接口和HAL。LIB 提供對硬件的支持來實(shí)現(xiàn)的。在NDK的TCP/IP協(xié)議棧中STACK。LIB 包括了頂層套接字到底層鏈路層的所有功能， NETCTRL。LIB在整個(gè)協(xié)議棧中起關(guān)鍵作用， 協(xié)調(diào)操作系統(tǒng)和底層硬件驅(qū)動(dòng)， 管理所有網(wǎng)絡(luò)事件， NETTOOL。LIB 提供配置網(wǎng)絡(luò)各種服務(wù)。

2、NDK 在DSP/BIOS 下的使用

DSP/BIOS 是TI 開發(fā)的實(shí)時(shí)微型操作系統(tǒng)， 支持線程管理、實(shí)時(shí)分析、周期函數(shù)、調(diào)度軟件中斷以及外部硬件中斷與各種外設(shè)的管理。使用DSP/BIOS 所有與硬件有關(guān)的操作都必須借助操作系統(tǒng)本身提供的函數(shù)完成， 應(yīng)避免直接控制硬件資源。基于DSP/BIOS 的程序與傳統(tǒng)開發(fā)過程是不同的， 用戶編寫的程序由DSP/BIOS 調(diào)度， 不再按標(biāo)寫的次序順序執(zhí)行。同樣開發(fā)基于DSP/BIOS的網(wǎng)絡(luò)應(yīng)用程序也必須要遵循一些原則。

在DSP/BIOS 下使用NDK 必須注意以下幾點(diǎn)： （1） 為了保證使用NDK 的工程項(xiàng)目能正確編譯， 在CCS 的Link Order 要按一定的順序添加庫文件， 推薦的順序是： NETCTRL。LIB、HAL_xxxLIB、STACK。LIB、OS。LIB； （2）在使用NDK 的過程當(dāng)中， OS和HAL 會創(chuàng)建三個(gè)內(nèi)存段， 分別是PACKETMEM、MMBUFFER、OBJMEM， 必須在CMD 文件中為這三個(gè)段在內(nèi)存中分配存儲空間；（3） 至少要使用32K 的cache， 否則應(yīng)用程序會產(chǎn)生不可預(yù)料的錯(cuò)誤；（4） 必須在CDB文件中為HAL 創(chuàng)建一個(gè)周期為100ms 的PRD 函數(shù)， 用來驅(qū)動(dòng)llTimerTick（）系統(tǒng)函數(shù)；（5） OS 需要鉤子函數(shù)為TCP/IP 堆棧加載和保存私人變量指針， 所以必須在CDB 文件中創(chuàng)建兩個(gè)鉤子函數(shù)NDK_hookInit（）和NDK_hookCreate（）；（6）必須把工程項(xiàng)目的IncludeSearching Path 指向NDK 安裝目錄下的inc 文件夾。

3、NDK 性能測試

測試NDK性能既有主觀性又有客觀性。主觀性適應(yīng)為實(shí)際測試要受到很多環(huán)境因素的影響?？陀^性是因?yàn)槭褂脴?biāo)準(zhǔn)的工具，并且結(jié)果可重現(xiàn)。 所以只能是性能的估計(jì)性測試。影響NDK性能的主要因素有：

socket API： NDK既支持非拷貝的數(shù)據(jù)包socket，也支持基于緩沖區(qū)的典型socket，甚至非拷貝的直接接收的TCP數(shù)據(jù)流。性能隨所采用的策略變化而變化。

socket 緩沖區(qū)： socket緩沖區(qū)影響TCP發(fā)送和接收的窗口大小，并且決定每次發(fā)送數(shù)據(jù)流大小，這對網(wǎng)絡(luò)性能有很大的影響。

CPU速度：在cache大小一定的情況下，網(wǎng)絡(luò)性能與CPU速度成正比。CPU cache： cache的大小對網(wǎng)絡(luò)性能有巨大的影響。

網(wǎng)絡(luò)硬件設(shè)備：以太網(wǎng)硬件設(shè)計(jì)的好壞直接影響DSP和網(wǎng)絡(luò)接口的速度。

外部存儲器（EMIF）接口：對于和DSP外部存儲器接口相連的以太網(wǎng)設(shè)備， EMIF的速度對外部解碼邏輯有額外的影響。

下面的測試由TI提供，測試不僅兼顧最佳的性能而且考慮到應(yīng)用的實(shí)際情況，比如socket緩沖區(qū)大小為8K，而不是32K 或64K，因?yàn)檫@在嵌入式設(shè)備中是不切實(shí)際的。測試的過程是DSP執(zhí)行低優(yōu)先級的網(wǎng)絡(luò)任務(wù)，PC機(jī)執(zhí)行客戶基準(zhǔn)測試程序， 然后與DSP不執(zhí)行網(wǎng)絡(luò)任務(wù)時(shí)CPU的負(fù)載情況做對比。

4 、結(jié)論

TI推出的NDK網(wǎng)絡(luò)開發(fā)工具不僅可以使技術(shù)人員快速開發(fā)基于DSP的網(wǎng)絡(luò)應(yīng)用程序，而且具有十分可靠的性能，這使得C6000系列芯片完全可以勝任大數(shù)據(jù)量的視頻網(wǎng)絡(luò)傳輸?shù)囊螅情_發(fā)嵌入式網(wǎng)絡(luò)視頻設(shè)備的首選。

參考文獻(xiàn)

[1]Texas Instrument。TMS320C6000 Programmer ' s Guide（Rev。 I）。

tcp協(xié)議范文第3篇

關(guān)鍵詞：網(wǎng)絡(luò)安全； TCP/IP協(xié)議；安全性

引言

現(xiàn)在Internet已在全世界普及，它使人們穩(wěn)坐家中就可以得到世界各國的所有信息，并已經(jīng)逐漸成為通信方面的基礎(chǔ)設(shè)施。但是從另一方面來說，由于世界的計(jì)算機(jī)通過網(wǎng)絡(luò)互相連通潛在了很多不安全的因素。于是，要安全地使用Internet，就需要具備防止信息泄漏以及防止被篡改等網(wǎng)絡(luò)安全問題的能力。為了預(yù)防這些網(wǎng)絡(luò)上的不正當(dāng)行為，特別需要理解Internet在安全方面的特性，以便采取適當(dāng)?shù)姆婪秾Σ摺?/p>

1. TCP/IP的協(xié)議結(jié)構(gòu)

TCP/IP作為通信協(xié)議，它是一組協(xié)議的集合，其中有我們常見的TCP和IP協(xié)議，也有用于管理通信方法的協(xié)議，也有測試網(wǎng)絡(luò)狀態(tài)等工具性的協(xié)議。

支持因特網(wǎng)通信的TCP/IP是以TCP協(xié)議和IP協(xié)議為中心構(gòu)成的協(xié)議群的總稱。TCP/IP通信協(xié)議從最底層開始，是由網(wǎng)間層、傳輸層以及應(yīng)用層構(gòu)成的。像這樣的構(gòu)成層次，可以使開發(fā)工作形成模塊式開發(fā)。

2. 按TCP/IP的協(xié)議層，對其安全性探討

2.1網(wǎng)間層在安全方面的隱患主要包括以下幾種：

(1)偽造IP地址

在Internet中，各個(gè)設(shè)備是按照預(yù)先分配的IP地址或者通過DHCP的方式來分配IP地址來標(biāo)識。于是，如果其中的某個(gè)設(shè)備設(shè)置成其他設(shè)備所屬的IP或者冒充網(wǎng)關(guān)向設(shè)備發(fā)送數(shù)據(jù)包，就會造成通信混亂，從而導(dǎo)致網(wǎng)絡(luò)癱瘓。舉個(gè)簡單的例子，以太網(wǎng)上搶奪其他計(jì)算機(jī)的IP，就可以謊稱是被搶奪計(jì)算機(jī)IP數(shù)據(jù)包的源地址。致使在這種情況下，被冒充的計(jì)算機(jī)上會出現(xiàn)顯示IP地址沖突的提示框。而且在這種狀態(tài)下，也不能保證計(jì)算機(jī)能夠正常運(yùn)行。對于這樣的偽造IP地址(IP Spoofing：IP欺詐)的攻擊行為，需要采取以下的措施：

> 利用網(wǎng)絡(luò)監(jiān)視工具，對冒充源地址的數(shù)據(jù)包通過外部網(wǎng)絡(luò)進(jìn)行檢查，確認(rèn)是否真正來自于送信源地址。

> 在服務(wù)器上生成對于遠(yuǎn)程接入進(jìn)程的記錄機(jī)制，用來見識服務(wù)器的適用情況。

(2)偽造ARP

在網(wǎng)間層上，雖然在設(shè)置發(fā)送端與接收端時(shí)，利用了IP地址通信，但在作為物理層之一的以太網(wǎng)上卻利用了MAC地址來標(biāo)識發(fā)送端與接收端的地址。像這種網(wǎng)間層的IP地址體系與數(shù)據(jù)鏈路層的MAC地址體系相互對應(yīng)的分配取決于地址解析協(xié)議(ARP)。計(jì)算機(jī)在通信時(shí)首先利用ARP獲得與目的IP地址所對應(yīng)的MAC地址。從減少通信流量的觀點(diǎn)出發(fā)，一旦給予對應(yīng)MAC地址的IP地址，這種對應(yīng)組合將在ARP表中保持一定時(shí)間的緩存，這樣通過發(fā)送偽造的ARP數(shù)據(jù)包就可以改寫這個(gè)緩存。

作為防范上述攻擊行為的對策，可以采取兩種方法：

> 利用保證IP數(shù)據(jù)包合法性的IPSec中的AH的認(rèn)證功能

> 采用使應(yīng)用軟件具備對通信過程進(jìn)行加密的方式以及強(qiáng)化認(rèn)證機(jī)構(gòu)。

2.2傳輸層上存在的安全隱患主要包括以下幾種：

(1)假冒TCP初始序號

在通信過程中，采用被稱為三次握手的步驟建立起來的TCP連接。在這個(gè)過程，對于使用IP地址認(rèn)證的應(yīng)用程序，如果可以順推出初始序號，那么只要模擬發(fā)送端的IP地址，就可以建立TCP連接。不過現(xiàn)在的操作系統(tǒng)中，初始序號的分配方法已變得相當(dāng)復(fù)雜，事實(shí)上序號已不能隨便推測。

(2)利用TCP/UDP數(shù)據(jù)包的DoS攻擊

DoS攻擊是通過生成大量的、已處于連接狀態(tài)的TCP連接，使TCP/IP模塊陷入崩潰狀態(tài)的操作。對于以操作系統(tǒng)為目標(biāo)的攻擊，可以通過導(dǎo)入具備屏蔽TCP SYN數(shù)據(jù)包功能的防火墻來防范。

2.3應(yīng)用層上存在的安全隱患主要包括以下幾個(gè)方面：

(1)掃描/搜索

對信息系統(tǒng)的非法入侵，是通過收集作為攻擊目標(biāo)的設(shè)備以及用戶的相關(guān)信息開始的。首先通過掃描搜索設(shè)備，同時(shí)通過BBS、網(wǎng)絡(luò)新聞以及主鏈接清單等資源數(shù)據(jù)收集用戶的信息。掃描用戶的設(shè)備后，通過截取用戶的通信數(shù)據(jù)或數(shù)據(jù)包、收集認(rèn)證信息以及嘗試用戶密碼等方法，使自己能夠獲得對計(jì)算機(jī)信息和資源的讀寫權(quán)以及控制權(quán)，從而再訪問該計(jì)算機(jī)。

(2)DNS欺騙

DNS欺騙是一種從外部改寫由DNS服務(wù)器管理的主機(jī)名與IP地址對應(yīng)表的攻擊方式。如前所述，在Internet世界中，計(jì)算機(jī)以及路由器是通過被分配的、特有的IP地址來識別的。但是IP地址作為一串?dāng)?shù)值，人們不便于記憶，因而出現(xiàn)了主機(jī)名這一概念。DNS是提供IP地址與主機(jī)名對應(yīng)的機(jī)制，因此，一旦這種對應(yīng)關(guān)系出現(xiàn)問題，那么IP數(shù)據(jù)包就不能夠被發(fā)送到主機(jī)名所對應(yīng)的IP地址。DNS欺騙的一個(gè)簡單事例，就是在IP地址與主機(jī)名對應(yīng)表的hosts文件中，進(jìn)行對應(yīng)關(guān)系不一致的設(shè)定。所以對于用戶來說，接收網(wǎng)絡(luò)安全方面的教育是非常重要的。

(3)竊聽用戶認(rèn)證信息

這種行為大多是在非法侵入計(jì)算機(jī)后，安裝木馬程序，以非法手段獲取該計(jì)算機(jī)所連接的網(wǎng)絡(luò)的通信信息。特別是將以非加密報(bào)文形式傳輸數(shù)據(jù)的TELNET、FTP、POP以及HTTP等作為監(jiān)聽對象，來獲取密碼等用戶認(rèn)證信息。

防竊聽的對策有以下兩種：

> 在通信過程中進(jìn)行加密，使得數(shù)據(jù)包不能被任意讀取

> 通過限制注入網(wǎng)絡(luò)交換機(jī)的設(shè)備，縮小竊聽范圍。

(4)利用電子郵件進(jìn)行的DoS攻擊

利用電子郵件進(jìn)行的拒絕服務(wù)攻擊包括：反復(fù)頻繁發(fā)送大數(shù)據(jù)量的電子郵件，耗盡磁盤空間的電子郵件炸彈，以及通過其他的郵件服務(wù)器，連續(xù)發(fā)送郵件造成第三方延遲等等。

互聯(lián)網(wǎng)工作工程小組最近了一種新的郵件認(rèn)證技術(shù)說明，該說明加入了域名密鑰識別郵件技術(shù)(DKIM)，希望借此來加速對抗垃圾郵件。它把IP地址和郵件的發(fā)送人放在一起進(jìn)行分析，然后通過公共密鑰加密，給郵件加上一個(gè)數(shù)字簽名，這個(gè)數(shù)字簽名包含著發(fā)件人的域名。

(5)病毒

計(jì)算機(jī)病毒是附著于程序中可以自我繁殖的程序。現(xiàn)在所發(fā)現(xiàn)的病毒一般具有以下的形態(tài)：

* 以篡改或破壞計(jì)算機(jī)中所存儲的數(shù)據(jù)為攻擊目標(biāo)

* 利用用戶作為中介(U盤、電子郵件等)來進(jìn)行傳播。

2011年影響最大的十大病毒之中，鬼影病毒、QQ群蠕蟲病毒QQ假面病毒、DNF假面病毒、新型QQ大盜等新老變種病毒榜上有名。對于病毒的防護(hù)，我們要加強(qiáng)計(jì)算機(jī)安全意識，提高警惕，不隨便訪問不可靠網(wǎng)站，定時(shí)對計(jì)算機(jī)進(jìn)行查殺病毒。

3.結(jié)束語

    通過對TCP/IP協(xié)議層的安全問題進(jìn)行闡述及分析，不難發(fā)現(xiàn)其在設(shè)計(jì)上存在很多安全隱患，黑客或黑客工具往往利用這些隱患對網(wǎng)絡(luò)進(jìn)行攻擊，只有充分了解這些隱患并采取相應(yīng)的防范措施,才能增強(qiáng)網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]石志國等編著.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M]. 北京交通大學(xué)出版社;北京:,2004

[2]李美萍. TCP/IP協(xié)議體系的安全性探討[J]. 山西通信科技, 2007(4): 11-13.

tcp協(xié)議范文第4篇

關(guān)鍵詞：FPGA；以太網(wǎng)；TCP/IP協(xié)議；DM9000

中圖分類號：TP301 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-7800（2013）005-0022-02

0、引言

隨著網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展，越來越多的測試儀器需要將大量數(shù)據(jù)傳送給終端計(jì)算機(jī)進(jìn)行解析處理，抑或從PC機(jī)傳送大量數(shù)據(jù)給相應(yīng)設(shè)備?，F(xiàn)在常用的數(shù)據(jù)傳輸方式（usb、總線）中，雖說數(shù)據(jù)傳輸?shù)乃俾瘦^快（可達(dá)400Mb/s），但是傳輸距離過短成為其不可避免的缺點(diǎn)。而百兆以太網(wǎng)中點(diǎn)對點(diǎn)間的數(shù)據(jù)傳送距離可達(dá)100m，如果借助交換機(jī)或者路由器等設(shè)備可以實(shí)現(xiàn)更遠(yuǎn)距離傳輸。本文以FPGA為基礎(chǔ)，在硬件上完成簡化的TCP/IP協(xié)議棧，用來獲取必須的協(xié)議處理機(jī)能，實(shí)現(xiàn)三態(tài)以太網(wǎng)嵌入式系統(tǒng)設(shè)計(jì)。

1、系統(tǒng)硬件設(shè)計(jì)

該系統(tǒng)以Altera公司的EPIC12型FPGA芯片作為中心控制單元，另外還需兩片作為緩存數(shù)據(jù)用的SRAM，以太網(wǎng)接口芯片采用DM9000。系統(tǒng)具體硬件框圖如圖1所示。

DM9000是一款全集成、功能強(qiáng)大、性價(jià)比高的快速以太網(wǎng)MAC控制器。該芯片擁有一個(gè)通用處理器接口、10/1（）（）PHY、EEPROM和16kB的SRAM。DM9000支持8位、16位以及32位的接口訪問內(nèi)部存儲器，可以支持不同型號的處理器。該芯片的PHY協(xié)議層接口完全可以使用10MBps下的3/4/5類非屏蔽雙絞線和100MBps下的5類非屏蔽雙絞線，很好地對應(yīng)IEEE 802.3u規(guī)范。DM9000實(shí)現(xiàn)以太網(wǎng)媒體介質(zhì)訪問層（MAC）和物理層（PHY）的功能，其中包含MAC數(shù)據(jù)幀的組裝/拆分與發(fā)送接收、地址的識別、CRC編碼/校驗(yàn)、MLT-3編碼器、接收噪聲抑制、輸出脈沖形成、超時(shí)重傳、鏈路完整性測試、信號極性檢測與糾正等。

2、TCP/IP協(xié)議實(shí)現(xiàn)

2.1 TCP/IP協(xié)議

TCP/IP協(xié)議就是傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議，它是一個(gè)真正實(shí)際的開放性通信協(xié)議規(guī)范，其開放式的特點(diǎn)使得計(jì)算機(jī)之間都可以通過此協(xié)議來完成數(shù)據(jù)的交換，而不管這些設(shè)備擁有不同的物理特性或者各自運(yùn)行著不同的系統(tǒng)。

與其它網(wǎng)絡(luò)協(xié)議相同，TCP/IP協(xié)議的開發(fā)也是分不同層次進(jìn)行的。與ISO開發(fā)的OSI模型相比，TCP/IP的四層模型顯得更為靈活，原因在于它著重強(qiáng)調(diào)功能分布而不是功能層次的劃分。

ARP協(xié)議負(fù)責(zé)IP地址與MAC地址之間的轉(zhuǎn)換工作，IP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)層數(shù)據(jù)的封裝工作以及路由功能，而TCP和UDP是運(yùn)輸層的協(xié)議，主要完成傳輸數(shù)據(jù)的封裝、實(shí)現(xiàn)可靠穩(wěn)定傳送以及流量的監(jiān)控。ICMP是報(bào)文控制協(xié)議，它是一種輔協(xié)議，所具有的Ping功能可以用來診斷網(wǎng)絡(luò)性能。在一個(gè)正常通信過程中，ARP/IP協(xié)議是必需的，而TCP/UDP實(shí)現(xiàn)一種即可。在FPGA用硬件完成ARP＼P和UDP比較簡單，而TCP協(xié)議在連接時(shí)的握手機(jī)制、數(shù)據(jù)發(fā)送接收的校驗(yàn)機(jī)制以及流量的控制，實(shí)現(xiàn)起來較為復(fù)雜，因此從系統(tǒng)的復(fù)雜度來考慮，本文并沒有實(shí)現(xiàn)TCP/IP協(xié)議，實(shí)現(xiàn)了相對較為簡單的UDP協(xié)議。

2.2 系統(tǒng)模塊構(gòu)成

本系統(tǒng)的協(xié)議棧功能由網(wǎng)絡(luò)控制模塊、數(shù)據(jù)接收解析模塊、ARP應(yīng)答發(fā)送模塊、Ping應(yīng)答發(fā)送模塊、UDP發(fā)送模塊和調(diào)度模塊構(gòu)成。每個(gè)模塊間相互的接口聯(lián)系如圖3所示。

因?yàn)槊總€(gè)模塊都有分時(shí)訪問DM9000接口總線的要求，所以必須要有一個(gè)調(diào)度模塊執(zhí)行中心控制工作，利用開始與結(jié)束信號來同步。在接受到中斷信號時(shí)，調(diào)度模塊只有在總線空閑狀態(tài)時(shí)才會開啟接收模塊，接收模塊解析完MAC層數(shù)據(jù)包后會發(fā)送對應(yīng)的請求訊號：ARP應(yīng)答請求、Ping應(yīng)答請求，此時(shí)必需的應(yīng)答參數(shù)也會輸出。在總線空閑時(shí)，調(diào)度模塊會依據(jù)請求信號開啟對應(yīng)的應(yīng)答模塊進(jìn)行工作。接收模塊在收到已定義端口UDP數(shù)據(jù)包后將有效數(shù)據(jù)寫入SRAM中，供其它的應(yīng)用模塊使用。

2.3 DM9000接口控制

DM9000內(nèi)部存儲器由物理層寄存器、鏈路層寄存器和數(shù)據(jù)緩沖三部分組成，與該芯片進(jìn)行的所有數(shù)據(jù)交換作都必須通過此三部分寄存器來完成。為遵循DM9000接口時(shí)序規(guī)范，接口邏輯需分層設(shè)計(jì)，I/O讀寫模塊位于最底層，第二層為物理寄存器讀寫，接下來是鏈路層寄存器讀寫模塊，而最上層是初始化模塊，主要完成接口芯片內(nèi)物理寄存器與鏈路寄存器的初始化工作，比如MAC地址、中斷設(shè)置以及數(shù)據(jù)包過濾條件等等。

3、實(shí)驗(yàn)結(jié)果及系統(tǒng)性能分析

3.1 接收處理能力

在計(jì)算機(jī)端編寫一死循環(huán)程序，用來發(fā)送有效數(shù)據(jù)大小為1 400Byte的UDP數(shù)據(jù)包。當(dāng)PC端的發(fā)送軟件運(yùn)行后，網(wǎng)絡(luò)傳輸速率可以達(dá)到98Mb/s，利用Ethereal能夠看出，相鄰的UDP數(shù)據(jù)包的間隔為10tLs～200tLs。圖4為抓取的FPGA引腳信號波形，通道1為DM9000接收的中斷信號，通道2為FPGA接收處理開始及結(jié)束信號。

3.2 發(fā)送處理能力

如果系統(tǒng)以最大速率發(fā)送含有1400比特的UDP數(shù)據(jù)包，傳送速率可以達(dá)到98Mb/s。因?yàn)閁DP未設(shè)計(jì)流量監(jiān)控與確認(rèn)功能，所以在編寫應(yīng)用軟件的時(shí)候需要特別注意，必須加大Socket的緩沖區(qū)大小以及增加數(shù)據(jù)處理的速率，不然會出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象。

tcp協(xié)議范文第5篇

關(guān)鍵詞：TCP/IP；網(wǎng)絡(luò)協(xié)議；防御；安全協(xié)議

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）03-0485-02

在短期內(nèi)，基礎(chǔ)TCP/IP網(wǎng)絡(luò)協(xié)議不可能進(jìn)行重新設(shè)計(jì)和部署實(shí)施，無法從根本上改變目前網(wǎng)絡(luò)面臨嚴(yán)重安全威脅的狀況。通過部署一些監(jiān)測、預(yù)防與安全加固的防范措施，是增強(qiáng)網(wǎng)絡(luò)對已知攻擊的抵御能力不可或缺的環(huán)節(jié)。

1 網(wǎng)絡(luò)各層防范措施

在網(wǎng)絡(luò)接口層，主要監(jiān)測和防御的安全威脅的方法是網(wǎng)絡(luò)嗅探，可以利用防范網(wǎng)絡(luò)嗅探的思路，檢測出局域網(wǎng)中的監(jiān)聽點(diǎn)，并在網(wǎng)絡(luò)設(shè)計(jì)上盡量細(xì)分和優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，盡量消除數(shù)據(jù)廣播的情況，并對關(guān)鍵路徑上的網(wǎng)關(guān)、路由器等設(shè)備進(jìn)行嚴(yán)格的安全防護(hù)，以減少網(wǎng)絡(luò)嗅探造成的影響。此外，對于無線網(wǎng)絡(luò)而言，應(yīng)增強(qiáng)鏈路層加密的強(qiáng)度，同時(shí)對各類網(wǎng)絡(luò)采用加密通信協(xié)議，使得在通信過程中，即使遭受嗅探也不會破壞數(shù)據(jù)要達(dá)到的機(jī)密性要求。

在互聯(lián)層上，雖然IP、ICMP、ARP等協(xié)議中存在安全缺陷，安全問題帶來的風(fēng)險(xiǎn)很難完全避免，但我們可以采用多種檢測和過濾技術(shù)來發(fā)現(xiàn)和阻斷網(wǎng)絡(luò)中可能出現(xiàn)的欺騙攻擊，此外也可以增強(qiáng)防火墻、路由器和網(wǎng)關(guān)設(shè)備的安全策略，對一些用于欺騙攻擊的特殊數(shù)據(jù)包進(jìn)行過濾，特別是對外部網(wǎng)絡(luò)進(jìn)行欺騙攻擊的數(shù)據(jù)包進(jìn)行出站過濾，只有如此，才能共同維護(hù)整個(gè)互聯(lián)網(wǎng)的安全。對關(guān)鍵服務(wù)器使用靜態(tài)綁定IP-MAC映射表、使用IP sec協(xié)議加密通信等預(yù)防機(jī)制，可以有效地增強(qiáng)網(wǎng)絡(luò)對欺騙攻擊的抵御能力。

在傳輸層，可以實(shí)現(xiàn)基于面向連接和無連接服務(wù)的加密傳輸和安全控制機(jī)制，包括身份認(rèn)證，訪問控制等。

應(yīng)用層可以采用加密、用戶級身份認(rèn)證、數(shù)字簽名技術(shù)、授權(quán)和訪問控制技術(shù)，以及主機(jī)安全技術(shù)，如審計(jì)、入侵檢測等。

2 網(wǎng)絡(luò)各層安全協(xié)議

為了克服TCP/IP協(xié)議棧的安全缺陷和問題，互聯(lián)網(wǎng)研究機(jī)構(gòu)也在不斷地研究和開發(fā)一些網(wǎng)絡(luò)安全協(xié)議，IETF、IEEE 802等國際性的網(wǎng)絡(luò)研究和標(biāo)準(zhǔn)化組織在不斷地進(jìn)行討論和改進(jìn)，并作為標(biāo)準(zhǔn)化協(xié)議規(guī)范對業(yè)界進(jìn)行，使得業(yè)界能夠在這些標(biāo)準(zhǔn)在網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)中實(shí)現(xiàn)和應(yīng)用這些安全協(xié)議，從而增強(qiáng)現(xiàn)有網(wǎng)絡(luò)的安全性。在TCP/IP協(xié)議棧各個(gè)層次上運(yùn)用的網(wǎng)絡(luò)安全協(xié)議如下表1所示。

2.1 網(wǎng)絡(luò)接口層的安全協(xié)議

網(wǎng)絡(luò)接口層的安全協(xié)議設(shè)計(jì)和標(biāo)準(zhǔn)化主要由IEEE802委員會負(fù)責(zé)推進(jìn)，由于無線網(wǎng)絡(luò)傳輸媒介的共享特性，因此比有線網(wǎng)絡(luò)更加需要安全保護(hù)機(jī)制，目前常用的802.11WiFi、藍(lán)牙（Bluetooth）等無線網(wǎng)絡(luò)均實(shí)現(xiàn)了用于身份認(rèn)證、加密傳輸和防止假冒篡改攻擊的安全協(xié)議，如WEP（Wired Equivalent Privacy）和WPA/WPA2（Wi-Fi Protected Access）協(xié)議等。此外IEEE802委員會還制定了802.1X協(xié)議，提供了基于端口訪問控制的接入管理協(xié)議標(biāo)準(zhǔn)，為各種不同類型網(wǎng)絡(luò)中的用戶認(rèn)證和訪問控制給出了通用的解決方案。

2.2 網(wǎng)絡(luò)互聯(lián)層的安全協(xié)議

網(wǎng)絡(luò)互聯(lián)層目前最重要的安全通信協(xié)議主要是IP sec協(xié)議簇。IP sec （Internet Protocol Security），即互聯(lián)網(wǎng)安全協(xié)議，是IETF（Internet Engineering Task Force）提供的一系列的互聯(lián)網(wǎng)安全通信的標(biāo)準(zhǔn)規(guī)范，這些是私有信息通過公用網(wǎng)的安全保障。 IP sec適用于目前的IP版本IPv4和下一代IPv6。IP sec規(guī)范相當(dāng)復(fù)雜，規(guī)范中包含大量的標(biāo)準(zhǔn)文檔。由于IP sec在TCP/IP協(xié)議的核心層――IP層實(shí)現(xiàn)，因此可以有效地保護(hù)各種上層協(xié)議，并為各種安全服務(wù)提供一個(gè)統(tǒng)一的平臺，IP sec也是被下一代互聯(lián)網(wǎng)所采用的網(wǎng)絡(luò)安全協(xié)議。 IP sec協(xié)議是現(xiàn)在VPN開發(fā)中使用最廣泛的一種協(xié)議，有可能在將來成為IPVPN的標(biāo)準(zhǔn)。

IP sec協(xié)議簇的基本目的是把密碼學(xué)的安全機(jī)制引入IP協(xié)議，通過使用現(xiàn)代密碼學(xué)方法支持機(jī)密性和認(rèn)證服務(wù)，使用戶能有選擇地使用，并得到所期望的安全服務(wù)。IP sec將幾種安全技術(shù)結(jié)合形成一個(gè)完整的安全體系，包括安全協(xié)議部分和密鑰協(xié)商部分。IP sec的安全協(xié)議主要包括AH協(xié)議（Authentication Header，認(rèn)證頭）和ESP協(xié)議（Encapsulate Security Payload，封裝安全載荷）兩大部分：AH認(rèn)證協(xié)議提供五連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)服務(wù)，但是AH不提供任何機(jī)密性保護(hù)服務(wù)；而ESP協(xié)議則為IP協(xié)議提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重放，以及數(shù)據(jù)完整性等安全服務(wù)。其中，數(shù)據(jù)機(jī)密性是ESP的基本功能，而帶有數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性檢驗(yàn)以及抗重放保護(hù)等功能。此外IP sec中還包含了密鑰協(xié)商和交換協(xié)議，如Internet密鑰交換協(xié)議（Internet Key Exchange，IKE），負(fù)責(zé)處理通信雙方的協(xié)議及算法的協(xié)商，產(chǎn)生并交換加密和認(rèn)證密鑰，以建立起AH和ESP協(xié)議需要的通信雙方安全關(guān)聯(lián)（Security Association，SA）。

IP sec協(xié)議支持隧道及傳輸兩種模式。隧道模式用于主機(jī)與路由器或兩部路由器之間，保護(hù)整個(gè)IP數(shù)據(jù)包。通常情況下，只要IP sec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式。傳輸模式用于兩臺主機(jī)之間，保護(hù)傳輸層協(xié)議頭，實(shí)現(xiàn)端到端的安全。它所保護(hù)的數(shù)據(jù)包的通信終點(diǎn)也是IPsec終點(diǎn)。傳輸模式下，IP sec主要對上層協(xié)議即IP包的載荷進(jìn)行封裝保護(hù)，通常情況下，傳輸模式只用于兩臺主機(jī)之間的安全通信。

由于工作在互聯(lián)層上，IP sec協(xié)議能夠?yàn)镮P協(xié)議之上的任何網(wǎng)絡(luò)應(yīng)用提供安全保護(hù)機(jī)制，而網(wǎng)絡(luò)應(yīng)用無需任何的特殊設(shè)計(jì)和實(shí)現(xiàn)，就可以使用IP sec.

2.3 傳輸層的安全協(xié)議

傳輸層上的安全協(xié)議主要是TLS（Transport Layer Security），其前身是由Netscape公司所開發(fā)的SSL（Secure Socket Layer），目前最新版本是IETF的TLS l.2標(biāo)準(zhǔn)化網(wǎng)絡(luò)安全協(xié)議（RFC 5246）。TLS協(xié)議在傳輸層上通過密碼學(xué)算法，為應(yīng)用層的網(wǎng)絡(luò)通信提供了安全的點(diǎn)到點(diǎn)傳輸，在Web瀏覽、電子郵件、即時(shí)通信和VoIP （Voice over IP）等網(wǎng)絡(luò)應(yīng)用服務(wù)中得到了廣泛使用。

TLS協(xié)議基于密碼學(xué)算法支持在互聯(lián)網(wǎng)上的身份認(rèn)證和通信機(jī)密性保護(hù)，能夠防止竊聽、干擾和消息偽造。TLS協(xié)議包括兩個(gè)協(xié)議組：TLS記錄協(xié)議和TLS握手協(xié)議。 TLS記錄協(xié)議位于可靠的傳輸協(xié)議TCP之上，用于封裝各種高層協(xié)議，提供的安全性具有兩個(gè)基本特性。

① 加密：使用對稱加密算法（如 DES、RC4等）進(jìn)行數(shù)據(jù)加密，以保證傳輸數(shù)據(jù)的機(jī)密性，對稱加密所產(chǎn)生的密鑰對每個(gè)連接都是唯一的，對稱密鑰由TLS握手協(xié)議進(jìn)行協(xié)商，記錄協(xié)議也可以不使用加密。

② 可靠：信息傳輸使用密鑰進(jìn)行消息完整性檢查，通常使用安全哈希函數(shù)（如SHA、MD5等）來計(jì)算消息完整性校驗(yàn)和（Message Authentication Code，MAC）。

TLS握手協(xié)議允許服務(wù)器與客戶機(jī)在應(yīng)用程序協(xié)議傳輸和接收其第一個(gè)數(shù)據(jù)字節(jié)前，進(jìn)行單向身份認(rèn)證，或者彼此之間相互認(rèn)證，并協(xié)商加密算法和加密密鑰。

TLS協(xié)議已被用于封裝整個(gè)網(wǎng)絡(luò)棧以創(chuàng)建虛擬專有網(wǎng)絡(luò)（Virtual Private Network，VPN），如開源的Open VPN軟件，一些廠商也將TLS的加密和認(rèn)證機(jī)制與訪問授權(quán)相結(jié)合，研制出功能更強(qiáng)的SSLVPN產(chǎn)品，與傳統(tǒng)的IP sec VPN技術(shù)相比，TLS在防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）設(shè)備穿越方面具有內(nèi)在的優(yōu)勢，使其在存在大量遠(yuǎn)程訪問用戶的環(huán)境中具有更好的易管理性。

2.4 應(yīng)用層的安全協(xié)議

在應(yīng)用層，安全通信協(xié)議的特點(diǎn)是需要針對不同的應(yīng)用安全需求，設(shè)計(jì)不同的安全機(jī)制，例如HTTP安全、電子郵件、遠(yuǎn)程控制、電子交易等，在安全協(xié)議設(shè)計(jì)過程中也會盡量地使用底層協(xié)議已經(jīng)提供的安全防護(hù)能力。

對于萬維網(wǎng)訪問進(jìn)行安全防護(hù)的主要協(xié)議是安全超文本傳輸協(xié)議（Secure Hypertext Transfer Protocol，HTTPS），基于傳輸層安全協(xié)議TLS實(shí)現(xiàn)，端口號為443，通常應(yīng)用于電子商務(wù)、資產(chǎn)管理等應(yīng)用，隨著近年來的發(fā)展，HTTPS在Web上逐步流行，在涉及個(gè)人敏感信息的登錄及使用環(huán)節(jié)，安全的網(wǎng)站一般都會使用HTTPS協(xié)議進(jìn)行加密傳輸和身份認(rèn)證。

安全電子郵件協(xié)議（Secure/Multipurpose Internet Mail Extensions，S/MIME），由RSA公司提出，是電子郵件的安全傳輸標(biāo)準(zhǔn)。S/MIME使用PKI數(shù)字簽名技術(shù)，支持消息和附件的加密傳輸，采用單向散列算法，如SHA―1、MD5等，也采用公鑰機(jī)制的加密體系，證書格式采用X.509標(biāo)準(zhǔn)。目前大多數(shù)電子郵件產(chǎn)品都包含了對S/MIME的內(nèi)部支持，網(wǎng)絡(luò)管理員應(yīng)啟用該安全協(xié)議，從而避免了電子郵件明文傳輸所面臨的信息泄露等安全風(fēng)險(xiǎn)。

3 結(jié)束語

TCP/IP協(xié)議是互聯(lián)網(wǎng)得以蓬勃發(fā)展的基礎(chǔ)，然而TCP/IP協(xié)議在開始設(shè)計(jì)時(shí)并沒有考慮到現(xiàn)在網(wǎng)絡(luò)上如此多的安全威脅，因此不可避免地遭遇了各種形形的攻擊方式。本文介紹了網(wǎng)絡(luò)各層上的防范措施和安全協(xié)議，包括它們的技術(shù)原理和具體過程。應(yīng)對網(wǎng)絡(luò)協(xié)議的攻擊威脅，TCP/IP協(xié)議也正在進(jìn)行著完善和改進(jìn)，對于防御者而言，應(yīng)采用最新的安全協(xié)議來武裝自己的網(wǎng)絡(luò)，從而降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

參考文獻(xiàn)：