计网week5

计网

六.链路层

3.多点访问协议

两种类型的链路：点对点，广播
相较于点对点，广播存在冲突问题

多路访问协议(MAC)：分布式算法决定节点如何使用共享信道

第一种信道划分MAC协议：
TDMA：按时划分信道，多个广播信号轮流使用信道
CDMA：按编码划分信道，所有站点在整个频段上同时进行传输，采用编码原理加以区分

第二种：
随机存取：
当节点有帧要发送时，以信道的带宽的全部进行发送，没有节点间的预先协调
协议规定如何检测冲突、如何从冲突中恢复

时隙ALOHA：所有帧是等长的，时间被划分为等长的时隙，每个时隙可发送一帧，节点只在时隙开始时发送帧，如果发生冲突，所有站点都能检测到

缺点：有空闲的时隙，需要时钟上的同步
纯ALOHA(无时隙)：当有帧需要传输时，立刻传输，效率比时隙的要低

CSMA/CD(冲突检测)：在发送帧前侦听信道，冲突发生时终止传输，减少对信道的浪费
发送方适配器检测到冲突，除放弃外，还会发送一个Jam信号，所有听到冲突的适配器也是如此(强化冲突，让所有站点都知道冲突)
如果放弃，适配器进入指数退避状态
二进制指数退避算法：在第m次失败后，适配器随机选择一个[0, 2^m-1]中的数字k，等待k*512位时(在十兆bps的情况下，一位时=0.1微秒)，重新开始侦听信道
指数退避的好处：适应当前负载，在一个变化的碰撞窗口中随机选择时间点尝试重发

CSMA/CA(冲突避免)：对于有线网来说，只要避免冲突就能发送成功，但是无线网不一样，冲突不代表失败，不冲突不代表成功
WLAN构成：基站、无线链路、移动主机节点
CSMA/CA会在发送前侦听信道，但不会检测冲突
运作过程：

1. 如果站点侦测到信道空闲持续DIFS长，则传输整个帧
2. 如果侦测到忙碌，则选择一个随机的回退值，如果后续信道空闲，则回退值递减，如果忙碌，则回退值不会变化；如果回退值递减为0，则发送整个帧
3. 接收方检测帧，如果正确，则在SIFS后发送ACK
4. 发送方如果没有收到ACK，则增加回退值，重复2

为了使各种MAC操作互相配合，IEEE 802.11推荐使用3种帧间隔（IFS），便提供基于优先级的访问控制：

1. DIFS(分布式协调IFS)：最长的IFS，优先级最低，用于异步帧竞争访问的时延
2. PIFS（点协调IFS）：中等长度的IFS，优先级居中，在PCF操作中使用
3. SIFS（短IFS）：最短的IFS，优先级最高，用于需要立即响应的操作

DOCSIS：使用于如有线电视公司提供的线缆接入网络
采用TDM的方式将上行信道分成若干个时隙
上行信道传输主机的预约信息，下行信道公布预约结果
预约失败，则会采用类似二进制指数退避的方式等待

第三种：轮流MAC协议
轮询：主节点邀请各节点依次发送
轮流MAC：令牌传递，控制令牌(token)循环从一个节点到下一个节点，令牌报文：特殊的帧

4.LANs

LAN(MAC/物理/以太网)地址：用于使帧从一个网卡传递到另一个网卡
48bitMAC地址固化在适配器的ROM，有时也可以通过软件设定
理论上全球任何两个网卡的MAC地址都不相同，如：1A-2F-BB-76-09-AD
广播地址：FF-FF-FF-FF-FF-FF
IP地址和MAC地址的作用是不同的
IP地址是分层的，一个子网的所有站点网络号一致，路由聚集，减少路由表
mac地址是一个平面的，每个网卡从生产出来就有一个唯一的地址，可以完成一个物理网络内部的节点到节点的数据交付
网络地址和mac地址分离：网卡坏了，ip不变，可以捆绑到另一个网卡的mac上，物理网路还可以支持除IP之外的其它网络层协议
MAC地址由IEEE管理和分配，制造商会购入MAC地址空间(保证唯一性)

ARP(Address Resolution Protocol)协议：在LAN的每个IP节点都有一个ARP表，ARP表包含一些节点的IP/MAC地址的映射；会有一个TTL来定时清除失效的映射

以太网：最流行的LAN技术，98%的市场占有率
早期LAN使用一个总线将所有节点串起来，在两端末尾放上吸收电磁波的材质；后来用的是hub(集线器)来实现局域网；现在用的是switch(交换机)来实现
网段(LAN segments)：一个站点可以发送的网络范围
所有以hub连到一起的站点处于一个网段，处在一个碰撞域内
通过hub可拓展节点之间的最大距离，不能将10BaseT和100BaseT的网络连到一起
交换机：端口执行以太网协议，对帧进行存储和转发
对于到来的帧，使用以太网协议，检查帧头，根据目标MAC地址进行选择性转发；当帧需要转向某个网段进行转发，需要使用CSMA/CD进行接入控制
性质：透明：主机对交换机的存在可以不关心；即插即用，自学习：交换机无需配置；全双工

以太帧结构：

前导码：比如7B 10101010 + 1B 10101011，用来同步接收方和发送方的时钟速率
地址：6字节源MAC地址，目标MAC地址
类型：指出高层协议
CRC：校验码

以太网是无连接(无需握手)、不可靠的服务
以太网的MAC协议：采用二进制退避的CSMA/CD介质访问控制形式

10BaseT：T表示双绞线，10Mbps基带传输，最大传输距离100m，用hub实现局域网
Manchester(曼彻斯特)编码：在10BaseT中使用，每一个bit的位时中间有个信号跳变，允许发送方和接收方进行时钟同步

100BaseT中4b5b编码：

千兆以太网：采用标准的以太帧格式，允许点对点链路和共享广播信道，物理编码：8b10b编码，在共享模式，继续使用CSMA/CD技术

七.网络安全

1.加密原理

简单的加密：对称密钥加密
如：DES

AES：高级加密标准(AES,Advanced Encryption Standard)，是最常见的对称加密算法
公开密钥加密（public-key cryptography）也称为非对称密钥加密（asymmetric cryptography），是一种密码学算法类型。该加密算法使用两个不同的密钥：加密密钥和解密密钥，一个是私人密钥，另一个则是公开密钥
RSA加密：RSA算法是最常见的公开密钥加密算法之一，RSA算法基于一个数学上的事实：将两个大质数相乘很容易，但是想要将其乘积分解成原始的质数因子却非常困难。这就是所谓的“陷门函数TDF”的概念，是RSA加密安全性的基础

2.认证

目标：Bob需要Alice证明她的身份
Protocol ap1.0(认证协议)：Alice说：“我是Alice”
Protocol ap2.0：Alice说：“我是Alice”，顺带发送IP地址
Protocol ap3.0：Alice说：“我是Alice”，顺带发送密码
Protocol ap3.1：Alice说：“我是Alice”，顺带发送加密后的密码
Nonce：一生只用依次的整数®
Protocol ap4.0：Bob向Alice发送一个nonce，R，Alice必须返回加密之后的R，使用双方约定好的key
Protocol ap5.0：使用nonce、公开密钥加密技术

3.报文完整性

数字签名：发送方加密了数据，相当于给这份数据签字
假设Alice收到报文m，以及数字签名：$K_B(m)$；然后用Bob的公钥对$K_B(m)$进行解密，判断与m是否一致
但是报文比较长，加密会耗费大量资源，所以一般用报文摘要
报文摘要的产生：对m使用散列函数H，得到H(m)
散列函数算法：MD5、SHA-1

4.密钥分发和证书

通信双方如何分享对称式的密钥?：trusted key distribution center(CDK)在实体之间扮演可信赖的中介
通信双方如何分享公共密钥?：certification authority(CA)在实体之间扮演可信赖的中介
KDC：服务器和每一个注册用户都分享一个对称式的密钥
具体流程：

CA：将每一个注册实体E和它的公钥捆绑
E需要到CA注册自己的公钥
证书包括：串号(证书发行者唯一)，证书拥有者信息，包括算法和密钥值本身
根证书：根证书是未被签名的公钥证书或自签名的证书
信任树：信任根证书CA颁布的证书，拿到了根CA的公钥

5.各个层次的安全性

安全电子邮件：
Alice：
产生随机的对称密钥$K_s$，使用$K_s$对报文加密(为了效率)，对$K_s$用Bob的公钥进行加密，将密文和加密后的密钥发送给Bob
现实中的电子邮件加密标准：PGP(pretty good privacy)

传输层的安全性：
SSL(secure sockets layer)：基于TCP的为应用提供传输层次的安全性，比较复杂

网络层的安全性：主要是发送端主机对IP数据报中的数据进行加密
两个主要协议：认证头部(AH)协议、封装安全载荷(ESP)协议
AH头部包括：连接ID、认证数据、下一个字段(TCP/UDP)
ESP会将数据和ESP尾部加密，next header字段在ESP尾部，ESP认证的头部与AH类似

6.防火墙

firewall：将组织内部网络和互联网隔离开来，按照规则允许某些分组进出，或者阻塞掉某些分组
第一种：分组过滤，内部网络通过配置防火墙的路由连接到互联网上
路由器对分组逐个过滤，根据规则来决定是否转发

ACL(Access Control Lists)：规则的表格，top-bottom应用到输入的分组对

这个是有状态的分组过滤

第二种：应用程序网关，根据应用数据的内容来过滤进出的数据报
分组过滤无法确定数据报的源地址的真实性
如果有多个应用需要控制，就需要多个应用程序网关
IDS：入侵检测系统，会深入分组检查分组的内容，检查分组间的相关性，判断是否是有害的分组