传输层的协议(tcpip七层协议)

你好，简述: 传输层安全协议详解传输层安全协议的目的是为了保护传输层的安全，并在传输层上提供实现保密、认证和完整性的方法。 1．SSL（安全套接字层协议）SSL(Secure Socket Layer)是由Netscape设计的一种开放协议；它指定了一种在应用程序协议(例如http、telnet、NNTP、FTP)和TCP/IP之间 提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL的主要目的是在两个通信应用程序之间提供私密信和可靠性。这个过程通过3个元素来完成：l 握手协议。这个协议负责协商被用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法，选择相互认证，并使用公钥技术来生成共享密钥。l 记录协议。这个协议用于交换应用层数据。应用程序消息被分割成可管理的数据块，还可以压缩，并应用一个MAC（消息认证代码）；然后结果被加密并传输。接受方接受数据并对它解密，校验MAC，解压缩并重新组合它，并把结果提交给应用程序协议。l 警告协议。这个协议用于指示在什么时候发生了错误或两个主机之间的会话在什么时候终止。下面我们来看一个使用WEB客户机和服务器的范例。WEB客户机通过连接到一个支持SSL的服务器，启动一次SSL会话。支持SSL的典型 WEB服务器在一个与标准HTTP请求（默认为端口80）不同的端口（默认为443）上接受SSL连接请求。当客户机连接到这个端口上时，它将启动一次建 立SSL会话的握手。当握手完成之后，通信内容被加密，并且执行消息完整性检查，知道SSL会话过期。SSL创建一个会话，在此期间，握手必须只发生过一 次。SSL握手过程步骤：步骤1：SSL客户机连接到SSL服务器，并要求服务器验证它自身的身份。步骤2：服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链，直到某个根证书权威机构(CA)。通过检查有效日期并确认证书包含有可信任CA的数字签名，来验证证书。步骤3：然后，服务器发出一个请求，对客户端的证书进行验证。但是，因为缺乏公钥体系结构，当今的大多数服务器不进行客户端认证。步骤4：协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常由客户机提供它支持的所有算法列表，然后由服务器选择最强健的加密算法。步骤5：客户机和服务器通过下列步骤生成会话密钥：a. 客户机生成一个随机数，并使用服务器的公钥（从服务器的证书中获得）对它加密，发送到服务器上。b. 服务器用更加随机的数据（从客户机的密钥可用时则使用客户机密钥；否则以明文方式发送数据）响应。c. 使用哈希函数，从随机数据生成密钥。SSL协议的优点是它提供了连接安全，具有3个基本属性：l 连接是私有的。在初始握手定义了一个密钥之后，将使用加密算法。对于数据加密使用了对称加密（例如DES和RC4）。l 可以使用非对称加密或公钥加密（例如RSA和DSS）来验证对等实体的身份。l 连接时可靠的。消息传输使用一个密钥的MAC，包括了消息完整性检查。其中使用了安全哈希函数（例如SHA和MD5）来进行MAC计算。对于SSL的接受程度仅仅限于HTTP内。它在其他协议中已被表明可以使用，但还没有被广泛应用。注意：IETF正在定义一种新的协议，叫做“传输层安全”(Transport Layer Security,TLS)。它建立在Netscape所提出的SSL3.0协议规范基础上；对于用于传输层安全性的标准协议，整个行业好像都正在朝着 TLS的方向发展。但是，在TLS和SSL3.0之间存在着显著的差别（主要是它们所支持的加密算法不同），这样，TLS1.0和SSL3.0不能互操 作。2．SSH（安全外壳协议）SSH是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议。它提供了对安全远程登录、安全文件传输 和安全TCP/IP和X-Window系统通信量进行转发的支持。它可以自动加密、认证并压缩所传输的数据。正在进行的定义SSH协议的工作确保SSH协 议可以提供强健的安全性，防止密码分析和协议攻击，可以在没有全球密钥管理或证书基础设施的情况下工作的非常好，并且在可用时可以使用自己已有的证书基础 设施（例如DNSSEC和X.509）。SSH协议由3个主要组件组成：l 传输层协议，它提供服务器认证、保密性和完整性，并具有完美的转发保密性。有时，它还可能提供压缩功能。l 用户认证协议，它负责从服务器对客户机的身份认证。l 连接协议，它把加密通道多路复用组成几个逻辑通道。SSH传输层是一种安全的低层传输协议。它提供了强健的加密、加密主机认证和完整性保护。SSH中的认证是基于主机的；这种协议不执行用户认证。可以在SSH的上层为用户认证设计一种高级协议。这种协议被设计成相当简单而灵活，以允许参数协商并最小化来回传输的次数。密钥交互方法、公钥算法、对称加密算法、消息认证算法以及哈希算法等都需要协商。数据完整性是通过在每个包中包括一个消息认证代码(MAC)来保护的，这个MAC是根据一个共享密钥、包序列号和包的内容计算得到的。在UNIX、Windows和Macintosh系统上都可以找到SSH实现。它是一种广为接受的协议，使用众所周知的建立良好的加密、完整性和公钥算法。3．SOCKS协议“套接字安全性”(socket security,SOCKS)是一种基于传输层的网络代理协议。它设计用于在TCP和UDP领域为客户机/服务器应用程序提供一个框架，以方便而安全的使用网络防火墙的服务。SOCKS最初是由David和Michelle Koblas开发的；其代码在Internet上可以免费得到。自那之后经历了几次主要的修改，但该软件仍然可以免费得到。SOCKS版本4为基于TCP 的客户机/服务器应用程序（包括telnet、FTP,以及流行的信息发现协议如http、Wais和Gopher）提供了不安全的防火墙传输。 SOCKS版本5在RFC1928中定义，它扩展了SOCKS版本4，包括了UDP；扩展了其框架，包括了对通用健壮的认证方案的提供；并扩展了寻址方案，包括了域名和IPV6地址。当前存在一种提议，就是创建一种机制,通过防火墙来管理IP多点传送的入口和出口。这是通过对已有的SOCKS版本5协议定义扩展来完成的，它提供 单点传送TCP和UDP流量的用户级认证防火墙传输提供了一个框架。但是，因为SOCKS版本5中当前的UDP支持存在着可升级性问题以及其他缺陷（必须 解决之后才能实现多点传送），这些扩展分两部分定义。l 基本级别UDP扩展。l 多点传送UDP扩展。SOCKS是通过在应用程序中用特殊版本替代标准网络系统调用来工作的（这是为什么SOCKS有时候也叫做应用程序级代理的原因）。这些新的系 统调用在已知端口上（通常为1080/TCP）打开到一个SOCKS代理服务器（由用户在应用程序中配置，或在系统配置文件中指定）的连接。如果连接请求 成功，则客户机进入一个使用认证方法的协商，用选定的方法认证，然后发送一个中继请求。SOCKS服务器评价该请求，并建立适当的连接或拒绝它。当建立了 与SOCKS服务器的连接之后，客户机应用程序把用户想要连接的机器名和端口号发送给服务器。由SOCKS服务器实际连接远程主机，然后透明地在客户机和 远程主机之间来回移动数据。用户甚至都不知道SOCKS服务器位于该循环中。 使用SOCKS的困难在于，人们必须用SOCKS版本替代网络系统调用（这个过程通常称为对应用程序SOCKS化---SOCKS- ification或SOCKS-ifying）。幸运的是，大多数常用的网络应用程序（例如telnet、FTP、finger和whois）都已经被 SOCKS化，并且许多厂商现把SOCKS支持包括在商业应用程序中。
传输层位于OSI七层网络模型中的第四层，协议有TCP ·UDP·TLS·DCCP·SCTP·RSVP·PPTP。OSI（OpenSystemInterconnection，开放系统互连）七层网络模型称为开放式系统互联参考模型，是一个逻辑上的定义，一个规范，它把网络从逻辑上分为了7层。每一层都有相关、相对应的物理设备，比如路由器，交换机。建立七层模型的主要目的是为解决异种网络互连时所遇到的兼容性问题，其最主要的功能就是帮助不同类型的主机实现数据传输。它的最大优点是将服务、接口和协议这三个概念明确地区分开来，通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通讯。【1】物理层：主要定义物理设备标准，如网线的接口类型、光纤的接口类型、各种传输介质的传输速率等。它的主要作用是传输比特流（就是由1、0转化为电流强弱来进行传输,到达目的地后在转化为1、0，也就是我们常说的数模转换与模数转换），这一层的数据叫做比特。【2】数据链路层：定义了如何让格式化数据以进行传输，以及如何让控制对物理介质的访问，这一层通常还提供错误检测和纠正，以确保数据的可靠传输。【3】网络层：在位于不同地理位置的网络中的两个主机系统之间提供连接和路径选择，Internet的发展使得从世界各站点访问信息的用户数大大增加，而网络层正是管理这种连接的层。【4】传输层：定义了一些传输数据的协议和端口号（WWW端口80等），如：TCP（传输控制协议，传输效率低，可靠性强，用于传输可靠性要求高，数据量大的数据），UDP（用户数据报协议，与TCP特性恰恰相反，用于传输可靠性要求不高，数据量小的数据，如QQ聊天数据就是通过这种方式传输的），主要是将从下层接收的数据进行分段和传输，到达目的地址后再进行重组，常常把这一层数据叫做段。【5】会话层：通过传输层（端口号：传输端口与接收端口）建立数据传输的通路，主要在你的系统之间发起会话或者接受会话请求（设备之间需要互相认识可以是IP也可以是MAC或者是主机名）。【6】表示层：可确保一个系统的应用层所发送的信息可以被另一个系统的应用层读取。例如，PC程序与另一台计算机进行通信，其中一台计算机使用扩展二一十进制交换码（EBCDIC），而另一台则使用美国信息交换标准码（ASCII）来表示相同的字符。如有必要，表示层会通过使用一种通格式来实现多种数据格式之间的转换。【7】应用层： 是最靠近用户的OSI层，这一层为用户的应用程序（例如电子邮件、文件传输和终端仿真）提供网络服务。
传输层位于OSI七层网络模型中的第四层，协议有TCP · UDP · TLS · DCCP · SCTP ·RSVP · PPTP。OSI（Open System Interconnection，开放系统互连）七层网络模型称为开放式系统互联参考模型 ，是一个逻辑上的定义，一个规范，它把网络从逻辑上分为了7层。每一层都有相关、相对应的物理设备，比如路由器，交换机。建立七层模型的主要目的是为解决异种网络互连时所遇到的兼容性问题，其最主要的功能就是帮助不同类型的主机实现数据传输。它的最大优点是将服务、接口和协议这三个概念明确地区分开来，通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通讯
传输层位于OSI七层网络模型中的第四层，协议有TCP · UDP · TLS · DCCP · SCTP ·RSVP · PPTP。OSI（Open System Interconnection，开放系统互连）七层网络模型称为开放式系统互联参考模型 ，是一个逻辑上的定义，一个规范，它把网络从逻辑上分为了7层。每一层都有相关、相对应的物理设备，比如路由器，交换机。建立七层模型的主要目的是为解决异种网络互连时所遇到的兼容性问题，其最主要的功能就是帮助不同类型的主机实现数据传输。它的最大优点是将服务、接口和协议这三个概念明确地区分开来，通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通讯
传输层位于OSI七层网络模型中的第四层，协议有TCP · UDP · TLS · DCCP · SCTP ·RSVP · PPTP。OSI（Open System Interconnection，开放系统互连）七层网络模型称为开放式系统互联参考模型 ，是一个逻辑上的定义，一个规范，它把网络从逻辑上分为了7层。每一层都有相关、相对应的物理设备，比如路由器，交换机。建立七层模型的主要目的是为解决异种网络互连时所遇到的兼容性问题，其最主要的功能就是帮助不同类型的主机实现数据传输。它的最大优点是将服务、接口和协议这三个概念明确地区分开来，通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通讯

1、传输层2、TCP协议：(传输控制协议) 传输层是整个网络体系结构中的关键层次之一，主要负责向两个主机中进程之间的通信提供服务。由于一个主机同时运行多个进程，因此运输层具有复用和分用功能。传输层在终端用户之间提供透明的数据传输，向上层提供可靠的数据传输服务。传输层在给定的链路上通过流量控制、分段/重组和差错控制来保证数据传输的可靠性。传输层的一些协议是面向链接的，这就意味着传输层能保持对分段的跟踪，并且重传那些失败的分段。

FTP使用传输层的TCP协议。TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的，可能不可靠的数据报服务。 原则上，TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。相关信息TCP连接每一方的接收缓冲空间大小都固定，接收端只允许另一端发送接收端缓冲区所能接纳的数据，TCP在滑动窗口的基础上提供流量控制，防止较快主机致使较慢主机的缓冲区溢出。作为IP数据报来传输的TCP分片到达时可能会失序，TCP将对收到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。TCP将保持它首部和数据的检验和，这是一个端到端的检验和，目的是检测数据在传输过程中的任何变化。如果收到分片的检验和有差错，TCP将丢弃这个分片，并不确认收到此报文段导致对端超时并重发。
传输层（Transport Layer）是OSI中最重要, 最关键的一层,是唯一负责总体的数据传输和数据控制的一层.传输层提供端到端的交换数据的机制，检查分组编号与次序。传输层对其上三层如会话层等，提供可靠的传输服务,对网络层提供可靠的目的地站点信息. 主要功能为端到端连接提供传输服务.这种传输服务分为可靠和不可靠的,其中Tcp是典型的可靠传输,而Udp则是不可靠传输.为端到端连接提供流量控制,差错控制,服务质量(Quality of Service,QoS)等管理服务.[编辑] 具有传输层功能的协议TCPUDPSPXNetBIOS NetBEUI

传输层定义了主机应用程序之间端到端的连通性。传输层中最为常见的两个协议分别是传输控制协议TCP（Transmission Control Protocol）和用户数据报协议UDP（User Datagram Protocol）。为了简化问题说明，本课程以Telnet为例描述相关技术。设备支持通过Telnet协议和Stelnet协议登录。使用Telnet，Stelnet v1协议存在安全风险，建议你使用STelnet v2登录设备。为了简化问题说明，本课程以FTP为例来描述相关技术。设备支持通过FTP协议，TFTP以及SFTP传输文件。使用FTP，TFTP，SFTP v1协议存在风险，建议使用SFTP v2方式进行文件操作。TCP是一种面向连接的传输层协议，提供可靠的传输服务。TCP是一种面向连接的端到端协议。TCP作为传输控制协议，可以为主机提供可靠的数据传输。TCP需要依赖网络协议为主机提供可用的传输路径。TCP允许一个主机同事运行多个应用进程。每台主机可以拥有多个应用端口，没对端口号，源和目标IP地址的组合唯一地标识了一个会话。端口分为知名端口和动态端口。有些网络服务会使用固定的端口，这类端口称为知名端口，端口号范围为 0~1023 。比如：FTP，HTTP，Telnet，SNMP服务均使用知名端口。动态端口范围 1024~65535 ，这些端口号一般不会固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。TCP通常使用IP作为网络层协议，这是TCP数据被封装在IP数据包内。TCP数据段由TCP Header（头部）和TCP Data（数据）组成。TCP最多可以有60个字节的头部，如果没有Options字段，正常的长度是20字节。TCP Header是由如上图标识一些字段组成，这里列出几个常用字段。注意：1）主机A（通常也叫客户端）发送一个标识了SYN数据段，标识期望与服务器A建立连接，此数据段的序列号（seq）为a；2）服务器A回复标识了SYN+ACK的数据段，此数据段的序列号（seq）为b，确认序列号为主机A的序列号加1（a+1），以此作为对主机A的SYN报文的确认。3）主机A发送一个标识了ACK的数据段，此数据段的序列号（seq）为a+1，确认序列号为服务器A的序列号加1（b+1），以此作为对服务器A的SYN报文段的确认。TCP是一种可靠的，面向连接的全双工传输层协议。TCP连接的简历是一个三次握手的过程。TCP的可靠传输还提现在TCP使用了确认技术来确保目的设备收到了从源设备发来的数据，并且是准确无误的。确认技术的工作原理如下：目的设备接收到源设备发送的数据段时，会向源端发送确认报文，源设备收到确认报文后，继续发送数据段，如此重复。如图所示，主机A向服务器A发送TCP数据段，为描述方便假设每个数据段的长度都是500个字节。当服务器A成功收到序列号是M+1499的字节以及之前的所有字节时，会以序列号M+1400+1=M+1500进行确认。另外，由于数据段N+3传输失败，所以服务器A未能收到序列号为M+1500的字节，因此服务器A还会再次以序列号M+1500进行确认。注意：上面说到，数据段 N+3 传输失败，那么第二次确认号M+1500，主机A会将N+3，N+4，N+5全部发送一次。TCP滑动窗口技术通过动态改变窗口大小来实现对端到端设备之间的数据传输进行流量控制。如图所示，主机A和服务器A之间通过滑动窗口来实现流量控制。为了方便理解，此例中只考虑主机A发送数据给服务器A时，服务器A通过滑动窗口进行流量控制。例子中：主机A向服务器发送4个长度为1024字节的数据段，其中主机的窗口大小为4096个字节。服务器A收到第3个字节之后，缓存区满，第4个数据段被丢弃。服务器以ACK3073（1024*3=3072）响应，窗口大小调整为3072，表明服务器的缓冲区只能处理3072个字节的数据段。于是主机A改变其发送速率，发送窗口大小为3072的数据段。主机在关闭连接之前，要确认收到来自对方的ACK。TCP支持全双工模式传输数据，这意味着统一时刻两个方向都可以进行数据的传输。在传输数据之前，TCP通过三次握手建立的实际上是两个方向的连接，一次在传输完毕后，两个方向的连接必须都关闭。TCP连接的建立是一个三次握手过程，而TCP连接的终止则要经过四次挥别。如图：1.主机A想终止连接，于是发送一个标识了FIN，ACK的数据段，序列号为a，确认序列号为b。2.服务器A回应一个标识了ACK的数据段，序列号为b，确认序号为a+1，作为对主机A的FIN报文的确认。3.服务器A想终止连接，于是向主机A发送一个标识了FIN，ACK的数据段，序列号为b，确认好为a+1。4.主机A回应一个标识了ACK的数据段，序列号为a+1，确认序号为b+1，作为对服务器A的FIN报文的确认。以上四次交互完成了两个方向连接的关闭。TCP断开连接的步骤，这个比较详细：https://blog.csdn.net/ctrl_qun/article/details/52518479UDP是一种面向无连接的传输层协议，传输可靠性没有保证。当应用程序对传输的可靠性要求不高时，但是对传输速度和延迟要求较高时，可以用UDP协议来替代TCP协议在传输层控制数据的转发。UDP将数据从源端发送到目的端时，无需事先建立连接。UDP采用了简单，容易操作的机制在应用程序间传输数据，没有使用TCP中的确认技术或滑动窗口机制，因此UDP不能保证数据传输的可靠性，也无法避免接受到重复数据的情况。UDP头部仅占8个字节，传输数据时没有确认机制（注意，但是有校验和）。UDP报文分为UDP报文头和UDP数据区域两个部分。报头由源端口，目的端口，报文长度以及校验和组成。UDP适合于实时数据传输，比如语音和视频通信。相比TCP，UDP的传输效率更高，开销更小，但是无法保证数据传输可靠性。UDP头部的标识如下：1）16位源端口号：源主机的应用程序使用的端口号。2）16位目的端口号：目的主机的应用程序使用的端口号。3）16位UDP长度：是指UDP头部和UDP数据的字节长度。因为UDP头部长度是8字节，所以字段的最小值为8。4）16位UDP校验和：该字段提供了与TCP校验字段同样的功能；该字段是可选的。使用UDP传输数据时，由应用程序根据需要提供报文到达确认，排序，流量控制等功能。主机A发送数据包时，这些数据包是以有序的方式发送到网络中的，每个数据包独立地在网络中被发送，所以不同的数据包可能会通过不同的网路径叨叨主机B。这样的情况下，先发送的数据包不一定先到达主机B。因为UDP数据包没有序号，主机B将无法通过UDP协议将数据包按照原来的顺序重新组合，所以此时需要应用程序提供报文的到达确认，排序和流量控制等功能（也就是说UDP报文的到达确认，排序和流量控制是应用程序来确定的）。通常情况下，UDP采用实时传输机制和时间戳来传输语音和视频数据。UDP适合传输对延迟敏感的流量，如语音和视频。在使用TCP协议传输数据时，如果一个数据段丢失或者接受端对某个数据段没有确认，发送端会重新发送该数据段。TCP重新发送数据会带来传输延迟和重复数据，降低了用户的体验。对于延迟敏感的应用，少量的数据丢失一般可以被忽略，这是使用UDP传输能够提升用户的体验。总结：1.TCP头部中的确认标识位有什么作用呢？TCP报文头中的ACK标识位用于目的端对已接受到数据的确认。目的端成功收到序列号为x的字节后，会以序列号x+1进行确认。2.TCP头部中有哪些标识位参与TCP三次握手？在TCP三次握手过程中，要使用SYN和ACK标识位来请求建立连接和确认建立连接。

传送层主要协议包括：1、TCP：TCP是一个可以保证可靠数据传输的传输层协议，主要采用采用以下四个机制实现数据可靠性传输。面向连接的传输协议（TCP），数据传输之前必须先建立连接，数据传输完成之后，必须释放连接。仅支持单播传输，每条传输连接只能有两个端点，只能进行点对点的连接，不支持多播和广播的传输方式。2、UDP：UDP 是User Datagram Protocol的简称， 中文名是用户数据报协议，是OSI（Open System Interconnection，开放式系统互联） 参考模型中一种无连接的传输层协议。提供面向事务的简单不可靠信息传送服务，IETF RFC 768是UDP的正式规范。UDP在IP报文的协议号是17。重要性：传输层是整个协议层次结构的核心，是唯一负责总体数据传输和控制的一层。在OSI七层模型中传输层是负责数据通信的最高层，又是面向网络通信的低三层和面向信息处理的高三层之间的中间层。因为网络层不一定保证服务的可靠，而用户也不能直接对通信子网加以控制，因此在网络层之上，加一层即传输层以改善传输质量。传输层利用网络层提供的服务，并通过传输层地址提供给高层用户传输数据的通信端口，使系统间高层资源的共享不必考虑数据通信方面和不可靠的数据传输方面的问题。它的主要功能是：对一个进行的对话或连接提供可靠的传输服务，在通向网络的单一物理连接上实现该连接的复用，在单一连接上提供端到端的序号与流量控制、差错控制及恢复等服务。