全部科目 > 数据库系统工程师 >
2022年上半年 上午试卷 综合知识
第 11 题
知识点 TCP/IP分层模型   TCP   TCP/IP   安全协议   网络层  
章/节 计算机网络基础知识  
 
 
TCP/IP的四层模型中,每一层都提供了安全协议,以下属于网络层安全协议的是()。
 
  A.  HTTPS
 
  B.  SSH
 
  C.  IPSec
 
  D.  Socks
 
 




 
 
相关试题     TCP/IP协议簇 

  第67题    2011年上半年  
ARP协议属于(66)协议,它的作用是(67)。

  第32题    2019年上半年  
TCP和UDP协议均提供了( )能力。

  第29题    2022年上半年  
下列协议中,可以用于文件安全传输的是()。

 
知识点讲解
· TCP/IP分层模型
· TCP
· TCP/IP
· 安全协议
· 网络层
 
        TCP/IP分层模型
        协议是对数据在计算机或设备之间传输时的表示方法进行定义和描述的标准。协议规定了进行传输、检测错误以及传送确认信息等内容。TCP/IP是一个协议簇,它包含了多种协议。ISO/OSI模型、TCP/IP的分层模型及协议的对比如下图所示。
        
        TCP/IP模型与OSI模型的对比
        从上图可知,TCP/IP分层模型由5个层次构成,即应用层、传输层、网际层、网络接口层和硬件层,各层的功能简述如下,其中硬件层的相关描述略。
        (1)应用层。应用层处在分层模型的最高层,用户调用应用程序来访问TCP/IP互联网络,以享受网络上提供的各种服务。应用程序负责发送和接收数据。每个应用程序可以选择所需要的传输服务类型,并把数据按照传输层的要求组织好,再向下层传送,包括独立的报文序列和连续字节流两种类型。
        (2)传输层。传输层的基本任务是提供应用程序之间的通信服务。这种通信又叫端到端的通信。传输层既要系统地管理数据信息的流动,还要提供可靠的传输服务,以确保数据准确而有序地到达目的地。为了这个目的,传输层协议软件需要进行协商,让接收方回送确认信息及让发送方重发丢失的分组。在传输层与网际层之间传递的对象是传输层分组。
        (3)网际层。网际层又称IP层,主要处理机器之间的通信问题。它接收传输层请求,传送某个具有目的地址信息的分组。该层主要完成如下功能:
        ①把分组封装到IP数据报(IP Datagram)中,填入数据报的首部(也称为报头),使用路由算法选择把数据报直接送到目标机或把数据报发送给路由器,然后再把数据报交给下面的网络接口层中对应的网络接口模块。
        ②处理接收到的数据报,检验其正确性。使用路由算法来决定是在本地进行处理,还是继续向前发送。如果数据报的目标机处于本机所在的网络,该层软件就把数据报的报头剥去,再选择适当的传输层协议软件来处理这个分组。
        ③适时发出ICMP的差错和控制报文,并处理收到的ICMP报文。
        (4)网络接口层。网络接口层又称数据链路层,处于TCP/IP协议层之下,负责接收IP数据报,并把数据报通过选定的网络发送出去。该层包含设备驱动程序,也可能是一个复杂的使用自己的数据链路协议的子系统。
 
        TCP
        TCP是面向连接的通信协议,通过三次握手建立连接,通信完成时要拆除连接,由于TCP是面向连接的,所以只能用于端到端的通信。
        TCP提供的是一种可靠的数据流服务,采用“带重传的肯定确认”技术实现传输的可靠性。TCP还采用一种称为“滑动窗口”的方式进行流量控制,所谓窗口,实际表示接收能力,用以限制发送方的发送速度。
        如果IP数据包中有已经封装好的TCP数据包,那么IP将把它们向“上”传送到TCP层。TCP将包排序并进行错误检查,同时实现虚电路之间的连接。TCP数据包中包括序号和确认,所以未按照顺序收到的包可以被排序,而损坏的包则可以被重传。
        TCP将它的信息发送到更高层的应用程序,例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层,TCP层便将它们向下传送到IP层、设备驱动程序和物理介质,最后传送到接收方。
        面向连接的服务(例如Telnet、FTP、rlogin、X Windows和SMTP)需要高度的可靠性,所以它们使用了TCP。DNS在某些情况下使用TCP(发送和接收域名数据库),但使用UDP传送有关单个主机的信息。
 
        TCP/IP
        由于OSI协议的实现较为复杂,运行效率低,很少有厂商推出符合OSI标准的商用产品。目前,互联网上广泛使用的是TCP/IP。TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/互联网络协议)是Internet上不同子网之间的主机进行数据交换所遵守的网络通信协议。TCP/IP一般泛指所有与Internet有关的一系列网络协议的总称,其中TCP和IP是其中最重要的两个协议。TCP/IP体系结构主要由四层构成,分别为网络接口层、网络层、传输层和应用层。
        TCP/IP采用的四层体系结构与OSI参考模型采用的七层体系结构是对应的,它们的结构对比如下图所示。
        
        TCP/IP与OSI体系结构的对比
               网络接口层
               网络接口层也称链路层(Link Layer)或数据链路层,相当于OSI/RM参考模型的第1层和第2层,负责与网络中的传输介质打交道。常用的链路层技术主要有以太网(Ethernet)、令牌环(Token Ring)、光纤数据分布接口(FDDI)、X.25、帧中继(Frame Relay)、ATM等。
               网络层
               网络层的作用是将数据包从源主机发送出去,并且使这些数据包独立地到达目标主机。数据包传送过程中,到达目标主机的顺序可能不同于它们被发送时的顺序。因为网络情况复杂,随时可能有一些路径发生故障或是网络中的某处出现数据包的堵塞。网络层提供的服务是不可靠的,可靠性由传输层实现。
               传输层
               传输层提供应用程序之间的通信。传输层提供了可靠的传输协议TCP和不可靠的传输协议UDP。TCP是一个可靠的、面向连接的协议,允许在因特网上的两台主机之间进行信息的无差错传输。在网络传输过程中,为了保证数据在网络中传输的正确、有序,要使用“连接”的概念,一个TCP连接是指在传输数据前先要传送三次握手信号,以使双方为数据的传送做准备。UDP是用户数据报协议,使用此协议时,源主机一有数据就发送出去,不管发送的数据包是否能到达目标主机、数据包是否会出错,收到数据包的主机都不会通知发送方其是否正确地收到了数据,因此UDP是一种不可靠的传输协议。
               应用层
               应用层直接为用户的应用进程提供服务,如支持万维网应用的HTTP,支持电子邮件的SMTP,支持文件传送的FTP等。
 
        安全协议
        电子商务安全交易协议是一种安全机制保障。目前,电子商务安全机制正在走向成熟,并形成了一些国际规范,比较有代表性的是SSL协议(安全套接层协议)和SET协议(安全电子交易协议)。
               SSL协议
                      SSL协议概述
                      安全套接层(Secure Sockets Layer,SSL)协议,是由美国网景(Netscape)公司研究制定的安全协议,主要用于解决TCP/IP协议难以确定用户身份的问题,为TCP/IP连接提供了数据加密、服务器端身份验证、信息完整性和可选择的客户端身份验证等功能。
                      SSL协议通过在应用程序进行数据交换前交换初始握手信息实现有关安全特性的审查。握手信息中采用了DES、MD5等加密技术实现机密性和数据完整性,并采用X.509格式数字证书实现鉴别。
                      SSL协议适用于点对点之间的信息传输,通常在浏览器和WWW服务器之间建立一条安全通道实现文件保密传输。SSL协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。
                      SSL协议层次结构
                      SSL协议在TCP/IP网络分层结构中位于应用层和TCP层之间,由SSL记录协议(Record Protocol)和SSL握手协议(Handshake Protocol)组成,如下图所示。
                      
                      SSL协议在TCP/IP网络分层结构模型中的位置
                      SSL记录协议定义数据传送的格式,包括记录头和记录数据格式的规定等。SSL握手协议描述建立安全连接的过程,在客户机和服务器传送应用数据之前,允许服务器和客户机相互验证身份(客户机端可选),协商加密算法、确定会话密钥等。
                      SSL协议基本安全服务功能
                      (1)信息机密性。SSL协议应用对称和非对称密钥等多种加密算法,客户机和服务器在建立的安全通道中传输的所有信息都经过加密处理,防止非法窃听,实现信息的机密性。
                      (2)信息完整性。SSL协议利用公开密钥加密算法和数字摘要技术,对信息的完整性进行检验,保证信息在传输过程中不被篡改。
                      (3)认证性。SSL协议利用数字证书技术,实现对服务器和客户机的认证。为了验证数字证书持有者是合法用户,SSL要求证书持有者在握手时,双方可通过交换数字证书,验证对方身份的合法性,确保数据发往正确的客户机和服务器。
                      SSL协议的通信过程
                      (1)接通阶段。客户机呼叫服务器,服务器回应客户。
                      (2)认证阶段。服务器向客户机发送服务器证书和公钥,以便客户机认证服务器身份;如果服务器需要双方认证,还要向客户机提出认证请求,客户机向服务器发送客户端证书。
                      (3)确立会话密钥。客户机和服务器之间协商确立会话密钥。
                      (4)会话阶段。客户机与服务器使用会话密钥加密交换会话信息。
                      (5)结束阶段。客户机与服务器交换结束信息,通信结束。
                      SSL协议分析
                      SSL协议开发成本小,能够提供机密性、完整性和认证服务。目前主流浏览器及许多服务器都支持SSL协议,但在电子商务交易应用过程中,也存在一些安全问题。
                      应用SSL协议的电子交易过程如下:
                      (1)客户将购物信息发往商家。
                      (2)商家将信息转发银行。
                      (3)银行验证客户信息的合法性后,通知客户和商家付款成功。
                      (4)商家通知客户购买成功,并将商品交给客户。
                      分析以上交易过程,可以看到客户的购物信息(含支付信息,如银行资料)首先发往商家,若是商家不可靠,客户银行资料的信息安全性就得不到保证。此外,SSL协议只是提供了信息传递的安全通道,没有提供数字签名功能,存在抵赖和用户身份被冒充的可能性。这些问题在SET协议中得到了解决。
               SET协议
                      SET协议概述
                      安全电子交易(Secure Electronic Transaction,SET)协议,是由VISA、Mastercard两大国际信用卡组织会同一些计算机供应商共同开发的网上安全交易协议,是为银行卡在Internet上安全地进行交易提出的一整套完整的安全解决方案。1997年5月正式推出SET协议1.0版。
                      SET协议采用对称加密技术和非对称加密技术提供数据加密、数字签名、数字信封等功能,保证了信息在网络中传输的机密性,数据的完整性和一致性,防止交易抵赖行为的发生。SET协议采用数字证书验证交易过程中参与各方的身份,一般由第三方CA机构负责为在线的通信双方提供信用担保与认证,对参与其中的支付网关也要进行认证,以防假冒,具有多方认证性。SET协议通过双重数字签名技术实现了客户订单信息和支付信息(信用卡账号、密码等)的隔离,保证商家只能看到客户的购买信息,看不到客户的支付信息;而银行只能看到客户的支付信息,看不到客户的购买信息。SET协议规定了交易中各方进行安全交易的具体流程。参与各方在交易流程中均遵循严格的标准,体现在要求软件遵循相同的协议和消息格式,加密算法的应用协商,数字证书信息和对象格式,订货信息和对象格式,认可信息和对象格式,资金划账信息和对象格式,对话实体之间消息的传输协议等。
                      SET协议的参与对象
                      基于SET协议的网络支付过程涉及多个参与方,包括客户、商家、银行(发卡银行、收单银行)、支付网关、CA认证中心。
                      (1)客户。通常是持有信用卡的用户。SET协议机制中,持卡客户通常要到发卡银行申请并在自己的客户端安装一套SET交易专用的客户端软件(电子钱包软件),并向CA认证中心申请数字证书。
                      (2)商家。客户在网上购物,网上商家通过商家服务器软件提供服务。与客户类似,商家必须先到收单银行申请设立账户,并向CA认证中心申请商家服务器的数字证书。
                      (3)发卡银行。发卡银行是指客户的开户银行。通常持卡客户的客户端软件从发卡银行获得,持卡客户申请数字证书,必须由发卡银行审核批准,才能从CA认证中心得到,因为持卡客户是利用银行的信誉消费。
                      (4)收单银行。收单银行是指商家的开户银行。支付网关接收商家转来的持卡客户支付请求后,要将支付请求转交给收单银行,通过银行间金融专用网络,传送到持卡客户的发卡行,进行相应的授权和扣款。收单银行与发卡银行可以是同一银行。
                      (5)支付网关。支付网关是Internet与银行内部专用网之间的一个专用系统,使得银行金融专用网不直接与非安全的公开网络连接,从而保护银行内部专用网的安全。通常,商家收到客户的购物请求后,要将客户的账号等支付信息传递给收单银行,因此支付网关一般由收单银行担任。银行可委托第三方担任网上交易的支付网关。与客户和商家一样,支付网关也必须通过CA认证中心申请数字证书,才能参与SET交易活动。
                      (6)CA认证中心。SET协议规定,参与SET交易的各方(包括客户、商家、支付网关)必须申请并安装数字证书,以证实自己的真实身份。CA认证中心作为发放和管理数字证书的机构,起着非常重要的核心作用。
                      应用SET协议的交易流程
                      (1)持卡人(客户)在商家(网上商店)浏览商品;
                      (2)持卡人选择要购买的商品,并填写订单;
                      (3)持卡人选择在线支付方式。当选择支持SET协议的支付方式进行支付时,SET协议开始起作用;
                      (4)持卡人发送订单和支付指令给商家。订单和支付指令由持卡人进行数字签名,同时利用双重数字签名技术保证商家看不到持卡人的支付信息(账号等);
                      (5)商家收到订单后,向持卡人所在银行发出支付请求。支付信息通过支付网关到收单银行,再到发卡银行。支付请求获得发卡银行的授权后,返回授权指令给商家;
                      (6)商家将订单确认信息通知持卡人,为客户发货或完成订购服务。
                      至此,应用SET协议的交易流程结束。商家可以请求收单银行将此笔交易的款项从持卡人账户转到商家账户。以上流程中,SET从持卡人选择支付方式后开始介入,每一步操作,持卡人、商家和支付网关都会通过CA验证通信主体的身份,以确保通信主体的真实性。
                      SET协议中的双重数字签名技术
                      电子商务交易过程中,客户发送订购信息和对应的支付信息是相关联的,如何使信息传输过程中,商家看不到客户的支付信息,银行看不到客户的购买信息,SET协议通过双重数字签名技术加以解决。
                      发送者A将发送给接收者B和C的信息分别应用算法生成各自的数字摘要,再将两个数字摘要连在一起,应用算法生成新的数字摘要(双重数字摘要),将双重数字摘要用发送者的私钥加密,生成双重数字签名。
                      下面以客户发送信息给银行为例说明双重数字签名的生成与验证过程,如下图所示。
                      
                      客户发送信息给银行双重数字签名的生成与验证过程
                      (1)客户对购买信息和支付信息分别生成购买信息的数字摘要E1和支付信息的数字摘要E2;
                      (2)将E1和E2连接起来生成双重数字摘要E3;
                      (3)客户用自己的私钥加密E3生成双重数字签名K;
                      (4)客户把双重数字签名K,支付信息和购买信息的数字摘要E1一起发送给银行;
                      (5)银行对信息进行验证。将支付信息用对应的同样算法生成支付信息的数字摘要E2′,并将E2′同收到的购买信息的数字摘要E1连接在一起,用对应的同样算法生成双重数字摘要E3′;
                      (6)银行用客户的公钥解密收到的双重数字签名K,得到双重数字摘要E3,将E3与E3′比较,如果相同,则银行验证了支付信息是由该客户发出的,且在传输过程中没有被篡改。
                      同理,客户将双重数字签名K,购买信息和支付信息数字摘要E2发送给商家完成订货信息的传递、签名与验证。通过使用双重数字签名技术,银行和商家只能看到同一条购物信息中自己所需要的那一部分信息,更好地保护了客户的隐私权和电子商务交易活动的安全性。
               SSL协议与SET协议比较
               在支持技术上,SSL协议与SET协议可以说是一致的,都采用了对称密钥加密、非对称密钥加密、数字摘要与数字证书等加密和认证技术;对信息传输的机密性来说,两者的功能是相同的,且都能保证信息在传输过程中的保密性及完整性,但两者在实现目标、实现机制、安全性等方面有所不同。
               SSL协议提供在Internet上的安全通信服务,是在客户机和服务器之间建立一个安全通道,保证数据传输机密性;SET协议是为保证银行卡在Internet上进行安全交易提出的一套完整的安全解决方案。SSL协议面向连接,SET协议则允许各方之间非实时交换报文。
               SSL协议只是简单地在双方之间建立安全连接,SET协议则是一个多方报文协议,它定义了银行、商家、持卡人之间必须遵循的报文规范;建立在SSL协议之上的卡支付系统只能与Web浏览器捆绑在一起,SET报文则能够在银行内部网或其他网络上传输。
               SSL协议与SET协议在网络中的层次也不一样。SSL协议是基于传输层的协议,SET协议是基于应用层的协议。SSL协议在建立双方安全通信通道后,所有的传输信息都被加密,SET协议则会有选择地加密一部分敏感信息。
               从安全性来讲,SSL协议中,信息首先发往商家,商家能看到客户的信用卡账户等支付信息。SET协议则通过双重数字签名技术,保证商家看不到客户的支付信息,银行也看不到客户的购买信息,更好地保护了客户的安全和隐私。
 
        网络层
        数据链路层只提供了简单的数据流传送服务,而在Internet中网络与网络之间的数据传输主要依赖于网络层中的IP协议。网络层的功能主要体现在IP和ICMP协议上。
        .IP协议——网间协议:IP构成网络层的一个主要部分。IP负责Internet上网络与网络之间的通信,即将数据报由一个网络传输到另一个网络。IP协议规定了Internet上的计算机之间通信所必须遵循的规则。此外,它还定义了Internet上IP地址的格式,并通过路由选择,将数据报由一台计算机传递到另一台计算机。但IP只负责传送数据报,而不考虑传输的可靠性、数据报的流量控制等安全因素。
        .ICMP协议——Internet控制报文协议:ICMP是IP的延伸和IP不可分割的组成部分。它使用IP数据报传输设施来发送报文,并且有下列传输控制、出错报告和其他的检查功能。
        .数据流控制。当数据报流量太大而无法处理时,目的主机或中间路由器就会通知数据源站暂停发送报文。
        .检测目的地是否可以抵达。当目的地不可抵达时,就由目的地的网络、主机或者端口,把“目的地不可抵达的报文”发送给数据报源站。
        .重选路由。当路由器或网关发现有更合适的路由时,就把“ICMP重选路由报文”发给主机,以此通知主机使用另一个路由或网关。
        .检查远程主机。网上主机可以了解某个远程系统的IP协议是否正在工作。其办法是向远程系统发送一个“ICMP回送报文”。当该系统收到报文后,就使用相同的分组报文应答源主机。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有