网络协议标准(精选8篇)

时间：2023-07-09

网络协议标准篇1

本文主要介绍网中网设计的分层式软件结构，以及讲述网中网如何利用其分层式软件支持新一代汽车的电子装置，其中包括汽车电子系统控制(动力传动、车速排档、空调/暖风系统等)、音像娱乐系统、移动电话及因特网接入系统，以满足未来一代驾驶者的要求。

分层通信协议

分层的结构可提高通信协议的灵活性及可延展性。某一功能层可将其具体实施情况的数据收藏起来，以免较高级的功能取得这些数据，以确保这些高级功能不会受其它功能的执行方式所影响。例如，文件传送协议甚至可能不知道究竟是采用光纤、有线还是无线技术传送有关数据。只要所有数据链路协议都采用同一的协议，较高层的协议便可改用任何一个协议。

图1显示分层通信协议只要为编程人员提供高级应用程序编程接口(API)，便可简化软件的设计。若编程人员想传送文件，高级文件传送协议可以为其提供一组最简单的服务，让编程人员可以列明文件服务器名称、源文件名称、目的文件名称等。

从应用软件编程人员的角度看，应用程序编程接口可以视为高度简化的用户接口，能够不受其它功能层的影响独立处理与数据通信有关的所有麻烦问题。应用程序编程接口是一条理想的虚拟连接，让编程人员无需理会奇偶错误、流量控制等细节。编程人员只需提供建立连线所必要的信息。

当数据通信达到某一层级之后，我们便必须为传送的数据提供一条物理连线，但应用程序编程接口与物理层之间的功能层可以处理所有底层的操作，以便支持这条虚拟连线。

这个模型分为以下四层：

应用程序层：为应用软件提供可以直接使用的协议，其中包括文件传送协议(FTP)、简单邮件传送协议(SMTP)、超文本传输协议(HTTP)等。

传输层：传输控制协议(TCP)采用双向的端至端连线，可以传送TCP信息段。用户数据报协议(UDP)采用报文传送的模型，以收发UDP数据报。

网络层：负责通过网络传送及收发信息包。大部分网络层都采用因特网协议(IP)，以传送称为IP数据报的信息包。

物理层：这是连接数据链路硬件的接口。协议堆栈有不同的功能层，这一层真正负责将数据载入通信设备寄存器及存储缓冲器或从中取出。控制器区域网(CAN)及以太网等网络都采用公共电缆网络连系标准。称为微微网(piconet)的蓝牙射频网络是无线耳机、手机免持听筒远程控制系统及其它短程音频/数据通信系统等普遍采用的无线通信网络。无线红外线通信系统则普遍采用IrDA标准。

每一功能层无需知道其上下层的操作方式。事实上，每一功能层必须不受这些操作方式的影响，才可与不同功能层的其它服务在运作上互通。例如，网络层只负责将信息包由信源传送至目的地，本身并不知道也无需理会这些信息包是利用单向UDP数据报通信方式还是双向TCP连线传送信息。

分层协议具有较大的延展性，因为按照协议规定，所有链路必须采用模块式结构及标准接口。若果有人发明了一种全新的数据链路技术，并想在新媒体内运行协议的全部堆栈，那么他只需编写一套兼容的物理层驱动程序便可。其它的功能层全部无需更改，因此技术的换代更新变得非常简单容易。

网中网模型

由于不同的情况有不同的要求，因此未来一代的汽车需要为其电子系统装设多种不同的通信网络，以确保其稳定性及带宽都可满足不同情况的要求。我们只要采用分层协议及中央网关处理器，便可解决不同网络之间的相互通信问题。

以下是新一代汽车可能会装设的车内通信网络：

控制器区域网：这种中频频带网络具有高度可靠的特性，是几乎所有汽车都必定装设的标准网络。

蓝牙微微网：这是专为移动电话及笔记本电脑而设的中频频带无线通信网络，也是几乎所有汽车都必定装设的标准网络。

音像网络：这是专为播放音像制作的高频频带网络，目前市场上有多种不同的适用协议，其中包括国内数据总线(DomesticDataBus,D2B)、FireWire(IEEE1394)、媒体导向系统传输(MediaOrientedSystemsTransport,MOST)以及移动媒体链路(MobileMediaLink,MML)等。

低成本有线网络：这是一种采用通用异步收发器的网络，而且还配备I2C、SPI及MicroWire等接口，使不同芯片可以获得直接的总线连系，因此是最适合小键盘、显示屏及传感器采用的低成本接口。

网络协议标准篇2

关键词：IPv6 ；网络

1 IPv6 网建设

在全球互联网高度发展的今天，由于网络与通信的日益融合，基于IPv4 地址编码方式已开始凸显资源枯竭之势。相关调查机构的数据显示，全球可提供的IPv4地址大约有40多亿个，估计在未来5年间将被分配完毕，而我国的情况更严峻。截止到2004年年底，我国总共申请到的IPv4的地址仅仅6000万左右。如果缺乏足够的IP地址来支持众多的PC设备与各类移动终端上网，其负影响是不言而预的。在现有的IPv4的基础上，虽然可以再继续申请新的地址，但是经过这么多年的分配，IPv4的地址总量已经开始呈现递减。于是乎，IPv6成为解决IPv4地址匮乏的灵丹妙药，按照正常方式从IPv4向IPv6转换成功的话，全球所有的终端均可拥有一个IP地址，从而可实现全球网络的概念。

随着全球IPv6 网建设的加快，IPv6标准的制定工作目前呈现出顺利、平稳的发展，其发展趋势是：IETF是IPv6标准的制定工作的主体，在近期这种状况不会改变，但是鉴于IPv6的重要性和对下一代网络的巨大影响，越来越多的国际标准化组织加入到IPv6标准的制定工作中。

IPv6是下一版本的互联网协议，也可以说是下一代互联网的协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，而地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间，通过IPv6以重新定义地址空间。IPv6采用128位地址长度，几乎可以不受限制地提供IP地址，从而确保了端到端连接的可能性。

除了地址分配问题外，IPv6虽然有整体吞吐量、高服务质量等优势，但在安全接入方面并不比IPv4更为显著。IPv6并不意味着网络就自然安全了，虽然不使用地址翻译，但仍然会使用防火墙，、net本身并不会带来安全的因素。IPv6与IPv4面临同样的安全问题。

2 IPv6的优势

IPv6是新一代互联网协议，具有能够无限制地增加IP网址数量、拥有巨大网址空间和卓越网络安全性能等特点。

地址空间巨大的IPv6地址空间由IPv4的32位扩大到128位，相当于每平方米提供6、65×1023个网络地址，考虑到地址分层运用，实际可用的地址空间总数要小些。采用IPv6地址后，未来的移动电话、冰箱等信息家电都可以拥有自己的IP地址。

地址层次丰富分配合理的128位地址中的高64位表示网络前缀，低64位表示主机，为支持更多的地址层次，网络前缀又分成多个层次的网络，其中包括13bit的顶级聚类标志（TLA－ID）、24bit的次级聚类标志（NLA－ID）和16bit的网点级聚类标志（SLA－ID）。IPv6的管理机构将某一确定的TLA分配给某些骨干网的ISP，然后骨干网ISP再灵活地为各个中小ISP分配NLA，而用户从中小ISP获得IP地址。

实现IP层网络安全IPv6要求强制实施因特网安全协议IPSec，并已将其标准化。IPSec在IP层可实现数据源验证、数据完整性验证、数据加密、抗重播保护等功能；支持验证头协议、封装安全性载荷协议和密钥交换IKE协议，这3种协议将是未来Internet的安全标准。

无状态自动配置IPv6通过邻居发现机制能为主机自动配置接口地址和缺省路由器信息，使得从互联网到最终用户之间的连接不经过用户干预就能够快速建立起来。此外，IPv6在QoS服务质量保证、移动IP等方面也有明显改进。

3 IPv6协议对网络的影响

(1)安全人员需要有关IPv6协议的教育和培训。IPv6协议将在你的控制之下进入你的网络，这只是个时间问题。同许多新的网络技术一样，学习IPv6的基础知识是非常重要的，特别是学习寻址方案和协议，以便适应事件的处理和相关的活动。

(2)安全工具需要升级。IPv6不向下兼容。用于整个网络的通信路由和安全分析的硬件和软件都要进行升级，以支持IPv6协议，否则这些硬件和软件都不支持IPv6。当使用边界保护设备的时候，记住这一点是非常重要的。为了兼容IPv6，路由器、防火墙和入侵检测系统都需要软件或者硬件升级。

(3)现有的设备需要额外设置。支持IPv6的设备把它当成一个完全独立的协议。因此，访问控制列表、规则库和其它设置参数要重新进行评估，并且要转换为支持IPv6的环境。

(4)隧道协议产生新的风险。网络和安全团体已经耗费了很多时间和精力确保IPv6是一个具有安全功能的协议。然而，这种转换的最大的风险之一是使用隧道协议支持向IPv6的转换。这些协议允许在IPv4数据流通过非兼容设备时把IPv6的通信隔离开。因此，在你准备好正式支持IPv6之前，你的网络用户可以使用这些隧道协议运行IPv6。如果这是一个令人担心的问题，在你的边界内封锁IPv6隧道协议。

(5)IPv6自动设置可造成寻址的复杂性。IPv6另一个有趣的功能是自动设置。自动设置功能允许系统自动获得一个网络地址，而不需要管理员的干预。IPv6支持两种不同的自动设置技术。监控状态的自动设置使用DHCPv6，这是对目前的DHCP协议的简单升级，从安全的角度看并没有很大的不同。

结束语：

在中国IPv6标准化工作也已经启动。首批列入标准制定的内容包括IPv6基本协议、IPv6网络总体要求、邻居发现、无状态地址配置、移动IPv6、路由协议OSPF和BGP4等，IPv6走向标准化已经成为全球的共识。

网络协议标准篇3

数字家庭是由家庭网络作为核心以连接个人计算机、信息家电、数字影音家电、数字电视及白色家电等消费性电子产品从而形成联网家庭（Connected Home）架构，并通过特定的家庭服务器（Home Server）或家庭网关设备（Home Gateway）以整合相关网络系统，来实现诸如家庭娱乐、家庭信息处理、家庭通信、家庭控制、家庭安防、居家照护、家电远端维修、及数字互动电视等未来e化智能型生活愿景（典型服务见图1）。

随着计算机、通信技术的发展与IP网络光纤通道、有线电视网络、移动通信网络的建设，使3C（计算机，消费电子和通信）融合成为信息产业发展的重要趋势，同时也为家用电子系统产生创造性的新型应用模式。对于3C融合，国际上目前尚无事实标准，但以大企业和企业联盟为主的国际标准团体正在加快相关标准的制定，加速构建新一轮的标准垄断。目前国际上跨国企业联盟在应用层面上的面向前端设备互联互通的标准制定非常活跃，多种标准在蓬勃发展，其中具有代表性的标准组织首先有ISO/IEC/JTC1/SC25（信息技术设备互连），另外还包括欧洲和北美洲的UPnP、DLNA，与亚洲的IGRS、ECHONET等。

ISO/IEC/JTC1/SC25是国际标准化组织/国际电工委员会信息技术委员会的25分委员会，主要致力于信息技术设备之间互连的标准。由来自亚洲、欧洲和北美的25个参与国和12个观察员成员组成。中国是其成员国之一。SC25分为三个工作组：WG1，WG3和WG4。其中WG1的研究内容为家用电子系统HES(The Home Electronic System)。该工作组专门致力于制定家庭电子系统领域的国际标准。HES最主要的设计目标是为产品厂商提供软件、硬件规范，使该产品能够与多种家庭自动化网络互连互通。

为了完成这个功能，该工作组的家庭电子系统结构中包含如下一些要素：通用接口；家庭网关；应用互操作性方法和模型。HES还负责研究在商用和商住两用楼中的命令、控制和通信网络中的具体应用。目前SC25/WG1正在进行下列领域相关标准的研究和制定：家庭网关、应用互操作性、宽带家庭网络、家庭网络中的保密、私密和安全性等。

UPnP（通用即插即用）是以微软、INTEL等公司为主要成员，包含国际上700多家企业的国际组织所制定的一个面向家庭的，致力于家庭设备互联互通的标准，目前其1、0版本已经，2、0版本正在制定中。为解决在家庭中UPnP协议对于控制类设备的实现相对复杂、不适合于家庭控制子网的情况，微软联合通用电器公司联合制定了简单控制协议（SCP），用于家电设备的自动控制，其与UPnP主网络通过一个控制子网关进行协议转换和信息传递。

“数字家庭工作组”Digital Home Working Group(DHWG)(现改名为“数字生活网络联盟”Digital Living Network Alliance (DLNA))于2003年6月成立，由Intel、Sony、Microsoft、HP、Nokia、Panasonic、Philips、Samsung等公司发起，目前有190多家厂家参加，包括中国的联想、TCL、华为、中兴等。该组织的目标是使消费者可以通过有线/无线网络，将家中的PC、电视、机顶盒、音响、手机、PDA、DVD播放机等多种设备共享信息。目前该协会已经制定完成了DLNA1、0，定义了具有保存、发送数字内容等功能的DMS（Digital Media Server）和负责数字内容播放的DMP（Digital Media Player）。DMS与DMP之间通过有线LAN、无线LAN、IPv4或UPnP（通用即插即用）等开放标准连接。

身为家电王国的日本很早就开展了家庭网络技术和标准的研究。早在1997年由夏普、东芝、日立、松下、三菱等日本大公司共同成立了Energy Conservation and Homecare Network（ECHONET）协会，其研究内容包括用于ECHONET的通信中间件、通信接口、通信协议等。 ECHONET是在家庭监控应用方面具有代表性的标准化组织。截止到2004年4月，该协会共有110个成员。在2002年4月，东芝已开始销售可以上网的冰箱、微波炉、洗衣机。随后，日立、松下等公司陆续推出符合ECHONET规范的产品。在3、0版本中，ECHONET在底层传输媒介中增加了蓝牙和以太网，这样ECHONET标准可使用的传输媒介由此前的5种(电线、特定小功率无线、扩展HBS用双绞线、红外线、遵照LonTalk的小功率无线)增至7种。

2003年7月，经中国信息产业部批准，由联想、TCL、康佳、海信、长城等5家企业发起的“信息设备资源共享协同服务”标准工作组(简称IGRS标准工作组)正式成立。信息设备资源共享协同服务标准(IGRS标准)，是新一代网络信息设备的交换技术和接口规范，即在通信及内容安全机制的保证下，支持各种3C设备智能互联、资源共享和协同服务，实现“3C设备＋网络运营＋内容/服务”的全新网络架构，为未来的终端设备提供商、网络运营商和网络内容/服务提供商创造出健康清晰的赢利模式，为用户提供高质量的信息服务和娱乐方式。

IGRS标准是使不同品牌的电视、计算机、家用电器、手机等设备之间安全便捷进行协同工作的统一标准，它保障了设备之间可以便捷、高效的协同工作，将数字设备的功能尽可能的发挥出来，是未来我们的数字生活将会无处不用到的标准。

IGRS标准工作组在成立及发展过程中得到了包括信息产业部、建设部、国家发改委、科技部和北京市政府在内的各级政府部门的大力支持。目前该工作组成员已达85家，包括学术机构、网络运营商、软件中间件、芯片、终端制造商、内容供应商等，基本涵盖了产业链的各个环节的国内外产业巨头；联盟成员占据中国PC市场份额的41、7%，手机市场46%，电视市场的84、3%，形成了一个非常健康的产业链。目前已有多款产品上市，2006年的产品销量已经达到200多万台，具有初步的产业规模。IGRS标准的体系架构和技术方案也具有行业领先性，其自主知识产权的发明专利数量已达到204项。该标准于2005年6月29日正式获批成为国家推荐性行业标准（SJ/T 11310－2005，SJ/T 11311－2005），成为中国第一个“3C协同产业数字家庭技术标准”。

2004年，在国家建设部，信息产业部和北京市的领导下，IGRS标准工作组参与了《建筑及居住区数子化技术应用》标准的制定工作，并负责完成了“家用电子系统”的编制工作。

2006年9月，IGRS标准提案获得了国际标准组织ISO/IEC JTC1 SC25的立项支持，并已进入委员会草案（Committee Draft）投票表决（ISO/IEC CD 14543-5-1“信息技术家用电子系统体系结构用于HES第二、三类的信息设备资源共享协同服务IGRS 第5-1部分：基础协议”，ISO/IEC CD 14543-5-4“信息技术家用电子系统体系结构用于HES第二、三类的信息设备资源共享协同服务IGRS（HES第二、三类）第5-4部分：设备验证”）。2006年10月，IGRS标准荣获由国家质量监督检验检疫总局和国家标准化管理委员会设立的首届“中国标准创新贡献奖”一等奖。目前，IGRS标准工作组的核心成员正在积极参与“国家数字社区示范工程”的建设，并于2006年得到了“十一五”国家科技支撑计划重大项目――“现代服务业共性技术支撑体系与应用示范工程”这一专项的支持。这一由科技部、建设部支持的项目主要是为了推动数字社区和数字家庭产业的成熟，并计划至2008年，在青岛、济南建设5个智能小区和多个数字社区，这些小区内的家用电子系统和信息管理系统将全部采用IGRS标准进行建设。

中国IGRS标准工作组与日本ECHONET Consortium、韩国Home Network Forum等三方标准组织已于2006年3月签署协议，正式联合成立了亚洲第一个跨地区的家庭网络标准组织“亚洲家庭网络标准委员会(Asia Home Network Council)”；IGRS标准工作组还与其他国际标准组织开展了深入合作，包括CEPCA，IPv6 Forum，DLNA，UPnP等。IGRS标准的国际合作力度与国际影响力正在日益增强。

此外，在相关领域中的国内标准组织包括“家庭网络标准工作组”、“数字电视标准工作组”、“数字音视频编解码技术标准工作组（AVS）”、“中国无线个域网标准工作组（C-WPAN）”等均在数字生活领域做出了一定的贡献。

1、《建筑及居住区数字化技术应用》标准中的家用电子系统应用

在建设部与信产部共同指导下，IGRS标准工作组配合《建筑及住宅社区数字化技术应用》国家标准编制委员会完成了GB/T 20299-2006《建筑及居住区数字化技术应用》标准中的家用电子系统部分。因此，在实现家用电子系统应用层协议时，建议开发者与建筑商遵守“SJ/T 11310-2005”标准和“SJ/T 11311-2005”标准中定义的详细规范性要求。

《建筑及居住区数字化技术应用》标准的家用电子系统服务应用场景具体可分为以下三个方面――家庭、办公和公共移动场所：

（1）在家庭环境中

把计算机（PC/NB）中存储的多媒体文件（电影、MP3、照片等）播放到电视上；

把电视内容录制到计算机上；

手机拍摄的照片直接投到电视上；

用手机遥控家用电器的开关；

通过家庭网关进行设备间的互联（包括连接互联网）。

（2）在办公环境中

笔记本和投影机智能互联，手机控制PPT播放；

笔记本之间自由方便地交换文件；

打印机驱动自动下载安装。

（3）在公共移动场所中

利用手机的摄像功能和笔记本的通讯功能，协同工作召开远程视频会议；

在机场，手机与手机智能连接，玩游戏；

用手机遥控家用电器的开关。

术语和定义

下列术语和定义适用于本部分：

1、家用电子应用层协议设备IGRS device

符合家用电子应用层协议的设备。

2、设备标识符device identifier

用于区分不同家用电子应用层协议设备的标识。

3、设备管道device pipe

符合本部分规定的传输设备间交互消息的通道。

4、设备组device group

多个家用电子应用层协议设备遵循本部分规定的交互规则形成的设备群组，包括对等设备组和主从设备组两种类型。

5、对等设备组peer device group

组内各家用电子应用层协议设备为对等关系的设备组。

6、主从设备组centralized device group

组内存在一个家用电子应用层协议主设备的设备组。家用电子应用层协议主设备管理设备组的创建、解散和家用电子应用层协议从设备的加入。组内的家用电子应用层协议主设备与家用电子应用层协议从设备构成主从关系。

7、家用电子应用层协议服务IGRS service

家用电子应用层协议设备提供的符合本部分规定的可共享资源。家用电子应用层协议服务基于本部分规定的模板描述，基于本部分规定的机制，并且能够通过本部分规定的使用机制被家用电子应用层协议客户调用。

8、服务类型service type

家用电子应用层协议服务分为多种类型，实现同一类型的服务程序具有相同的调用接口和事件机制。

9、服务标识符service identifier

家用电子应用层协议设备上用于区别不同家用电子应用层协议服务的标识。

10、家用电子应用层协议客户IGRS client

家用电子应用层协议设备上调用家用电子应用层协议服务的应用程序。

11、客户标识符client identifier

家用电子应用层协议设备上用于区别不同家用电子应用层协议客户的标识。

12、家用电子应用层协议用户IGRS user

家用电子应用层协议设备和家用电子应用层协议客户的拥有者。

13、用户标识符user identifier

家用电子应用层协议用户的身份标识。

14、测试设备test devices

能够发出、接收、校验符合家用电子应用层协议的基础协议规定的网络消息的实体。

家用电子系统应用层协议实现要求

1、概述

参考SJ/T 11310－2005《信息设备资源共享协同服务》系列标准中的要求，家用电子系统应用层协议实现时应该参照以下描述：

家用电子应用层协议的目标是在企业、公共场所、个人以及家庭所涉及的设备互连时，通过遵循共同资源描述及功能服务接口标准，使设备能够有效实现资源开放及服务协同，提高设备间功能的互操作性。从而最大限度的利用各个设备所拥有的功能，同时创造更多的单个设备所不具备的功能。

家用电子应用层协议本身是一个应用层的协议，支持各种底层的物理连接介质，包括WiFi，蓝牙，以太网，UWB，PLC等等，因此适合于家用电子系统的应用与实施。家用电子系统通过实现家用电子应用层协议可以简化各设备之间连接配置的复杂性，同时可以在各个设备之间共享彼此的资源，为客户提供更多更新的应用体验。

多个信息设备通过家用电子应用层协议构成家用电子应用网络。家用电子应用网络的最小构成元素为设备，各个设备上具有一些可被其他设备所共享的资源。各个设备上所具有的可共享资源在家用电子应用层协议体系中划分为两类，一类为以计算为中心的共享资源，称之为服务，一类为以数据为中心的共享资源，称之为数据集合。家用电子应用层协议将会对常见的服务和数据制定相应的类型及接口标准。用户通过和相应类型的服务或数据相匹配的服务或数据客户端即可使用家用电子应用网络中各个设备上的共享资源。

家用电子应用层协议层次结构如图5。家用电子应用层协议支持各种设备通过有线局域网、无线局域网、蓝牙等网络连接，传输与网络协议基于TCP/IP协议，设备交互消息框架基于HTTP/1、1，设备发现与资源共享基于家用电子应用层协议的基础协议，设备协同服务基于家用电子应用层协议的应用框架。

设备连接、传输与网络协议以及设备交互消息框架采用现有的并被广泛应用的网络技术，家用电子应用层协议的

基础协议、家用电子应用层协议的应用框架及家用电子应用层协议的基础及扩展应用构成了家用电子应用层协议的主要内容，其中家用电子应用层协议的基础协议定义了家用电子应用层协议设备间的组网和客户与服务间的交互机制，在基础协议的基础上，家用电子应用层协议的应用框架为各种家用电子应用抽象并定义出相应的标准服务和交互逻辑，而各种家用电子应用可以基于对应的家用电子应用层协议的应用框架进行标准化实现，保证互操作。

2、家用电子应用层协议的基础协议

家用电子应用层协议的基础协议规定了家用电子应用层协议设备间相互发现及资源共享的机制，包括设备相互发现机制、设备间管道创建机制、服务发现机制、设备组管理机制、会话管理机制和服务访问机制。

设备相互发现机制定义了家用电子应用层协议设备在网络上宣告自身及发现其他设备信息的机制，设备管道创建机制定义了两个家用电子应用层协议设备间建立可靠的交互管道的机制，设备组管理机制定义了多个家用电子应用层协议设备形成特定的设备群组的机制，服务发现机制定义了家用电子应用层协议客户发现家用电子应用层协议服务的机制，会话管理机制定义家用电子应用层协议客户访问家用电子应用层协议服务时的会话创建和维护的机制，服务访问机制定义家用电子应用层协议客户调用家用电子应用层协议服务的交互机制。

3、家用电子应用层协议的应用框架

家用电子应用层协议的应用框架是基于基础协议、面向最终应用而定义的一系列应用交互规则，如面向家庭多媒体应用的音频/视频应用框架定义家庭场景中各种音频/视频相关设备为实现音频/视频应用所应具备的家用电子应用层协议服务与家用电子应用层协议客户间的配合关系。

4、家用电子应用

家用电子应用基于家用电子应用层协议的基础协议和家用电子应用层协议的应用框架，包括家用电子应用层协议的基础应用和家用电子应用层协议的扩展应用两种类型。家用电子应用层协议设备按用途可分为多种设备类型，家用电子应用层协议基础应用是家用电子应用层协议规定的与具体设备类型相关、具有家用电子应用层协议设备功能的标准应用，某种类型的家用电子应用层协议设备上存在某些标准的家用电子应用。家用电子应用层协议的扩展应用是应用程序开发者基于家用电子应用层协议的基础协议和家用电子应用层协议的应用框架开发的符合家用电子应用层协议的应用，以更好地发挥家用电子应用层协议设备功能。

一个家用电子应用层协议应用由一个或多个家用电子应用层协议服务和一个或多个使用家用电子应用层协议服务的家用电子应用层协议客户交互完成。典型情况下一个家用电子应用层协议应用交互如图6所示：

5、家用电子应用层协议与其他标准之间的关系

网络协议标准篇4

关键词：Radius；AAA；中小型企业

中图分类号：TN915、09

1 课题背景

随着计算机网络的快速发展，网络运营商建立起庞大的网络脉络，为用户提供各种网络资源和网络服务。网络运营商在提供网络资源的过程中，不仅要保障自己的经济利益，还要解决会出现的网络安全问题。如何解决对众多用户网络安全访问控制？如何对接入用户行为进行授权和审计？这些问题的出现便给网络运营商提出了严峻的挑战。

为了解决这些出现的问题，网络运营商便开发出一个提供网络安全的AAA系统，AAA提供了认证、授权、计费三种安全功能的系统框架，是网络安全的一种管理机制。目前，业内广泛使用RADIUS作为实现AAA功能的协议。

2 AAA和Radius协议简介

AAA（Authentication、Authorization、Accounting）是认证、授权、计费系统的简称，用来完成对用户合法性的鉴别、权限的分配、话单的采集、费用的结算等功能。AAA系统以其大容量、高可靠性、支持大型数据库，支持多种设备、可以运行在多种操作系统平台之上，这些特点迅速使其成为多种业务的认证授权计费系统。

AAA系统管理通常采用集中式的管理结构，由一个AAA服务器统一管理接入网中的所有用户。其可以通过多种协议（如RADIUS协议、TACACS+协议）来实现。目前在实际应用中设备支持主要基于RADIUS协议来实现AAA，其核心模块RADIUS服务器与网络接入服务器之间的通信采用RADIUS协议。

RADIUS（Remote Authentication Dial-In User Service）远程认证拨号用户服务，是AAA系统应用中的重要协议之一，能保护网络不受未授权访问的干扰，是一种在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息的协议。RADIUS协议中定义了三层管理模型：用户到NAS，NAS到RADIUS服务器，构成了一个以RADIUS为中心的认证管理体制。

3 RADIUS协议在中小型企业AAA系统的应用

3、1 中小型企业网中存在的认证问题

（1）随着企业用户数量的急剧增加和对业务多样性要求的提高，如何对员工进行网络安全访问控制和管理，已经成为突出的网络安全问题。

（2）由于传统企业的认证方式对网络中的用户数据包繁琐的处理造成了网络传输瓶颈，而通过增加其他网络设备来解决传输瓶颈又会带来网络成本的提升，因此无法满足用户对网络安全性、高效性和低成本的要求。

3、2 解决方案

4 结束语

本课题通过搭建基于802、1X接入标准和RADIUS服务器的中小型企业AAA系统实验环境，在员工客户端采用IEEE802、1X标准作为接入认证客户端，采用RADIUS服务器来实现认证、授权和审计功能。利用RADIUS协议在NAS和RADIUS服务器之间作为承载认证、授权和计费，以及配置信息。通过802、1X接入标准和RADIUS协议组建中小型企业AAA系统，实现中小型企业客户端接入企业内部网络的安全管理。

参考文献：

[1]王军号，陆奎、RADIUS协议在AAA系统中的应用研究[J]、计算机技术与发展，2007（01）：14-35、

[2]孟敏、基于RADIUS协议的校园网AAA系统研究[J]、计算机技术与发展，2009、

[3]李斌祥、采用RADIUS协议的AAA系统的研究[J]、重庆邮电学院学报（自然科学版），2006、

[4]隆晓波、RADIUS服务器的实现[J]、重庆邮电学院学报（自然科学版），2008、

[5]韦乃文、基于RADIUS协议的宽带接入认证技术研究[J]、盐城工学院学报（自然科学版），2003、

网络协议标准篇5

关键词：工业无线技术；一致性测试；标准；认证

DOI：10、3969/j、issn、1005-5517、2016、2、007

引言

工业无线技术是本世纪初新兴的一种面向设备间信息交互的无线通信技术，是对现有无线技术在工业应用方向上的功能扩展和提升，将引发传统工业测控模式的变革，引领工业自动化系统向着低成本、高可靠、高灵活的方向发展。目前，国际上有Wireless HART、ISA 100和中国的WIA-PA共3种无线网络技术。2009年，国际电工协会成立了无线工作组IEC SC65CANG16，负责工业无线技术的国际标准研制的工作。

ISA100、11a是最常见的无线传感器网络标准，由国际自动化学会（The International society of Automation，ISA）下属的ISA100工业无线委员会制定，该委员会致力于通过制定一系列标准、建议操作规程、起草技术报告来定义工业环境下的无线系统相关规程和实现技术ISA100、11a标准的主要内容包括工业无线的网络构架、共存性与有线现场网络的互操作性等，其工业无线设备主要包括执行器、传感器、无线手持设备等现场自动化设备。

世界著名市场调研公司。NWorod调研报告表明“55%的人计划采用ISA100技术，40%的人说计划支持无线HART”。由此可见，ISA100、11 a是将会成为最受关注、最有影响力的工业无线技术之一，世界各地专项针对ISA100、11a技术的研究和开发工作正如火如荼地进行、但是ISA100、11a标准使用自然语言描述，并涉及很多关键技术，实现者对于协议的不同理解会导致不同的协议实现，甚至会是错误的。因此，ISA100标准产业化的前提条件之一是所有产品必须通过严格的一致性、互操作性等测试和认证，来检测被测协议实现与协议规范的符合程度。

1 ISA100、11a概述

ISA100、11a标准由美国仪器仪表协会（InstrumentSociety of America、ISA）下属的ISA100工业无线委员会制定，该委员会致力于以研制及修订一系列标准、建议性操作规章、技术规范及指导性文件来定义工业环境下的无线系统及其相关规程，进而实现技术规范及推广。ISA100、11a标准希望工业无线设备以低功耗、低复杂度、合理的成本和适当的通信数据速率去支持工业现场应用。

2009年4月24日，ISA100委员会以81、0%的高赞成率通过了ISA100、11a标准。随后，基于ISA100、11a标准的设备将越来越多地被应用于工程实际，最终形成ISAl00、11a标准的设备产业集群。ISA100、11 a标准在遵循欧洲、日本、美国和加拿大相关规范的前提下，适用于全世界各地区。且ISA100、11a设备必须遵循当地的政策和法规要求。

1、1 ISA100、11a工作组介绍

ISA100、11a工作组是由ISA100、14工作组与ISA100、11工作组合并而成、其中ISA100、11工作组应用于各种控制的无线连接标准，该标准同样经过优化，以适应从闭环调节控制到开环手动操作的各种控制应用；ISA100、14工作组应用于各种工业监控、记录与报警的无线连接标准，希望通过对标准的优化获得独特的性能与成本优势。该两工作组相互协调，以确保ISA100可以提供完整与集成的工业无线应用标准。

ISA100、11 a工作组的主要职责为研制及修订工业无线技术ISA100、11a标准。目前，ISA100、11a工作组主要由系统工作组、汇集工作组、PHY/MAC层工作组、安全工作组、网络/传输层工作组、网络管理工作组、评估工作组、应用层工作组、编辑工作组和网关工作组共10个子工作组组成（见图1）。

1、2 ISA100、11a国内外现状分析

2006年7月，ISA 100委员会面向全球征集技术标准提案，重庆邮电大学、浙江浙大中控信息技术有限公司和中国科学院沈阳自动化研究所等三家知名院校与美国霍尼韦尔公司（Honeywell）、美国通用电气公司（General ElectricCompany，GE）、德国西门子股份公司（Siemens co、，LTD，Siemens）等著名国际公司均提交技术方案与技术白皮书，大力推进工业级无线技术标准的国际化。

2008年4月，重庆邮电大学在重庆成功举办了由“面向自动化领域的无线解决方案”国际高峰论坛“ISA100和ISA100、11 a标准化会议”和“中国无线工厂应用高峰论坛”三个部分组成的“2008工业无线国际学术大会”。

2008年6月，一致性测试工作组（ISA WCI）通过决议决定吸纳重庆邮电大学为ISA1 00测试工作组的成员且免组员年费，同时确定重庆邮电大学与美国NIVlS公司负责ISA100标准的测试验证，并于2009年10月美国休斯敦举行的国际仪器仪表、自动控制览会上免费展示其ISA100、11a研究成果。因此，以重庆邮电大学为代表的国内相关单位在ISA100工业无线技术方面进行了长期的跟踪研究，我国在工业无线技术方面，尤其在ISA100领域处于国际先进水平。

2008年7月，霍尼韦尔公司宣布推出其工业无线网络解决方案One Wireless更新版本，实现了与ISA100、11a工业无线通信标准兼容。下一阶段，针对ISA100、11a标准的协议一致性、互操作性等测试将成为迫切需要解决的问题之一。越来越多的企业及研究机构关注和参与ISA100、11a标准的完善和开发等相关工作，ISA100、11 a技术将是一种具有很大潜力的工业通信技术，必将在正兴起的工业无线领域发挥重要的作用，引起更多的重视和关注。

1、3 ISA100、11a一致性测试研究

一致性测试，即验证协议实现在多大程度上与相应的协议标准一致。在多个厂家进行设备互联时，通过一致性测试会提高人们对设备符合相应协议标准的置信程度，提高相同标准不同实现之间互联的概率，以减少产品在现场运行时发生错误的风险性。标准化的协议并不能确保不同的协议实现之间能够成功地互连互通，所以其需要“协议一致性测试”来对协议实现的正确性和有效性进行测试。

随着ISA100、11 a协议的逐步推广应用，各种相关产品蜂拥而来，可对协议理解的差异，同一协议标准会存在许多不同的实现版本。为检查各个不同生产厂家的ISA100、11a实现是否与标准要求保持一致，并保证协议的不同实现版本之间实现互联互通，则须对协议进行一致性测试。一致性测试是开放系统互联产品的重要步骤，是ISA100、11 a产品产业化和商业运营的关键因素。一致性测试的流程见图2。

2 ISA100、11a标准框架研究

2、1 ISA100、11a标准协议结构分析

ISA100、11 a标准协议体系结构必须遵循ISO/OSI的七层结构，但其只定义了应用层（Application laye）、传输层（Transport Layer）、网络层（Network Layer）、数据链路层（Data Link Layer）和物理层（Physical Layer）

（见图3）、其中数据链路层包括ISA100、11 a的MAC扩展层、IEEE 802、15、4的MAC子层和数据链路层上层；应用层包括应用子层、用户应用进程和设备管理器。

每一层提供了两种服务访问点（Service Access Port，SAP），即数据服务实体提供数据传输服务和管理服务实体提供管理服务，上层通过这两种服务访问点使用下层提供的功能服务。在ISA100、11 a网络中，每个设备只能通过ISA100、11 a应用子层提供的数据服务访问点从而实现与其它设备进行通信。在每个设备里，设备管理器是一个具有管理功能的实体，可以直接访问应用子层、传输层、网络层和DLL的管理信息库。

2、2 ISA100、11a网络拓扑结构分析

为了满足工业应用的需求，ISA100、11a必须支持多种网络拓扑，包括Mesh、网状、星状和星网状拓扑等结构。同时，扩大其网络覆盖面积，在ISA100、11a网络结构中引入骨干网，可减小数据时延。举例说明，如现场设备经骨干路由器接入骨干网，该设备与骨干路由器组成的网络为ISA100、11a DLL子网、ISA100、PPa DLL子网和骨干网就组成了ISA100、11a网络、

再如，现场路由器和终端设备，经骨干路由器接入骨干网，骨干路由器通过网关接入工厂级网络。若ISA100、11a网络中接入骨干网，则ISA100、11a DLL子网只包含其现场的设备和骨干路由器，而ISA100、11a网络包含其所有的DLL子网、骨干路由器和网关（见图4）。

3 ISA100认证

3、1 ISA100认证分析

ISA100认证为测试产品的互操作性、安全性、安装方便性和可靠性的程序，提供了一个广泛认可的关于互操作性和质量方面的凭证，并确保其具有ISA100、11a功能的产品能满足最佳的用户体验。

按照ISA100规定，需ISA100认证的厂商应向ISA100授权的测试实验无线兼容委员会（Wireless ComplianceInstitute，WCI）递交申请，对其产品进行ISA100认证测试。所以厂商需在网上申请，并获得ISA100测试及认证服务。

3、2认证机构分析

ISA100授权符合ISA100、11 a标准的测试实验室来测试厂商的产品。无线兼容委员会是符合ISA100、11a标准产品的专门产品认证机构，能够帮助科技公司更快地将更多的可互操作的产品推向市场，致力于改善网络设备和相关技术之间的互操作性。

无线兼容委员会是非营利性工业组织，为用户和技术开发者提供市场调查、教育培训信息、技术支持以及ISA100标准族中工业无线标准的测试认证，向ISA标准委员会提供关于ISA100设备和系统的使用反馈，从而促进工业无线应用标准的快速改进和发展。

重庆邮电大学和中国科学院沈阳自动化研究所两家无线兼容委员会成员单位。其中重庆邮电大学拥有自主知识产权的ISA100、11 a协议测试方法和系统部分完成多信道测试分析仪及ISA100、11a测试软件。厂商可以申请成为其成员，把产品拿到无线兼容委员会相关认证机构进行认证，通过认证的产品会加认证标识（如图5），详见WCI官网。

3、3认证流程说明

若认证测试不合格，厂商则须进行整改。如果整改过程涉及到软件升级、设备更换，则产品须全部重新进行检测，确保所有的测试都是在同一个设备、同一个软硬件版本的限定条件下进行的。ISA100认证流程见图6。

3、4认证项目分析

一般情况下，WCI认证主要有两项，包括ISA100、11 a设备互操作性认证和ISA100、11a协议一致性认证，且供应商也可以购买符合WCI认证认可的测试工具包进行产品检测。

ISA、100、11a设备互操作性测试套件是WCI认证的主要工具，使用户能够确保制造商的设备符合WCI的官方ISA100、11a产品注册检验，确保ISA100在本地模式下，无线设备的互操作性与ISA100无线协议栈一致性测试套件相结合。其组件包括脚本服务器与软件、测试脚本的源代码和技术文档、测试脚本的源代码和技术文档、诊断骨干路由器、参考测试设备和以太网路由器。同时规定其系统要求为PC和Web浏览器。

3、5会员制度与收费

目前，ISA100所公布的会员制度及收费标准见表1。

4结语

网络协议标准篇6

高效的数据信息传输能力是计算机通信的特点之一。一条线路数字信息的传输速率为64kbit/s，具有每分钟48万个字符的传输能力。相比语言模拟信息传输方式的2400bit/s和每分钟18000个字符能力，数字传输比模拟传输具有更多的数据信息传输量更高的数据传输效率，能够很好的应对现代大规模网络应用带来的全信息、高速度的传输处理要求。

由于计算机通信时用数字通信技术比较适和多媒体通信比如图像、语音、文字、数值、视频等多媒体信息。而多媒体通信有在当今网络通信中占主导地位。

与传统的电话通信相比计算机通信应用数字通信技术易于加密，强行解密很难，信息安全的到很好的保证。在传输过程当中抗干扰能力强，同时还有很好的降噪能力，远距离传输信号稳定等特点。

根据网络数据分析计算机通信有25%数据通信持续时间在1s以下，约50%持续进间为5s以下。然而电话通信的平均时间约为3-5min；同时计算机通信还具有呼叫时间短等特点。所以计算机通信拥有更高效的数据传输能力，这样能减少通讯的硬件设施的建造成本和维护成本。高效的数据传输能力能来很高的经济效益。（5）计算机通信曼彻斯特编码技术，曼彻斯特码Manchestercode（又称裂相码、双向码），一种用电平跳变来表示1或0的编码，其变化规则很简单，即每个码元均用两个不同相位的电平信号表示，也就是一个周期的方波，但0码和1码的相位正好相反。

在计算机网络技术高速发展的今天，计算机网络通信已经遍布世界大多数国家和地区，不同地区、不同语言、不同网络、不同厂商生产的硬件之间要实现无阻碍通信就变得至关重要，一个适合于整个计算机网络通信的通信标准就显得尤为重要了。制定网络通信的标准主要考虑二个方面的问题：一是，硬件设施方面，硬件设备是搭建网络的基础，统一的硬件标准，有利于网络信号性质和传输的稳定，保证信号的质量。但是更值得我们考虑的问题是网络通信的逻辑层次统一的标准。建立一套在逻辑上的约定与规定，形成通信协议，通信协议的建立保障通信在不同文化、不同硬件、不同地区之间的顺利传输、转化。因此标准性是设计，实施和评价通信系统的重要指标。

现在，EIA、IEEE、ITU－TSS、ECMA、ISO、ANSI等权威标准机构为通信协议标准化和规范化的建立做出很大的贡献，全球通信行业都执行这些标准，为信息全球化做出了很大贡献。国际电信联盟（ITU），是联合国的一个专门机构。包含三个电信标准部门（TSS），无线电通信部门和电信发展部门，其中从事标准化工作的TSS是由原CCITT和CCIR部分合并而成，其主要职责是对相关电信资费，操作和技术等问题提出意见和建议，促进全球的电信标准化。TSS关于计算机通信相关的建议系列有：F系列建议：除电话以外的电信业务；G系列建议：有关数字系统和网络，传输系统和媒体；H系列建议：有关非话信号的线路传输；I系列建议：有关ISDN；T系列建议：有关文件结构的重点性能，远程信息业务和高层协议；V系列建议：有关电话网上的数据通信；X系列建议：有关开放系统通信和数据网；Z系列建议：关于程序语言。ISO主要针对操作系统考虑开展计算机（数据）通信的协议标准化工作，使得计算机网络设备具有更好的兼容性。

ANSI是美国全国性的技术情报交换中心，是美国标准化和协调的最高机构，由通信载波、用户、制造商及其他有关组织组成。IEEE是美国制定电气标准的专业组织，对数据通信标准的制定有重大影响。它主要从事OSI模型中数据链路层与物理层协议的制定工作。EIA是美国电子工业商界协会，重点关注标准的开发工作，主要从事OSI模型中物理层有关的标准制定，比如RS-232C标准。ECMA是一个标准化和技术评议机构，主要工作是开发用于通信技术和计算机有关的标准。中国国家标准局是我国有关技术标准与工程的法律制定机构，并颁布相关的标准。在计算机网络和通讯业中，我国已决定采用相应的国际标准。在1983年成立了计算机与信息处理标准化技术委员会，负责ISO/TC97所对应的标准化工作。

网络协议标准篇7

1、1智能电网通信技术现状

目前，网络通信技术在智能电网领域应用广泛，在发、输、变、配、用等环节都有相应的通信标准和应用。比如，变电站与控制中心之间采用IEC61970或IEC61968标准；变电站自动化系统内部使用IEC61850标准通信。当前电网通信技术及标准种类多且兼容性不足，通信技术不能满足不断发展的用户端新的要求，比如电动汽车、智能家居和智能电表等。

1、2智能电网用户端通信技术

智能电网用户端涉及的领域较广，在不同的应用领域有不同的通信技术存在，这是由于各种通信技术在不同时间阶段不同行业发展有各自不同特点所形成。随着新技术的发展，多元化的通信技术在智能电网用户端系统中得到广泛的应用。

（1）InternetIP使用IP基础网络的优势在于与互联网的有效衔接。用户端通信采用基于TCP／IP的网络，可以非常便捷地与现有网络互联互通。其好处还在于大量IP成熟标准、有效工具能直接应用到用户端的应用软件。此外，IP基础网络支持带宽共享和动态路由能力，在智能电网用户端中对最小存取延迟，最大丢包率或最小带宽现状等有特殊要求的应用，一些IP如多协议标签交换（MPLS）技术可满足此特殊要求。

（2）光纤以太网通信它采用光纤介质运行以太网LAN数据包。物理层和数据链路层以任何标准的以太网速度运行，也可以实现交换机的速率限制功能，以非标准的以太网速度运行，最高可以达到10Gbit／s。目前光纤以太网通信在电力监控系统中已有商业化产品投入运行。

（3）电力线宽带（BPL）该技术采用电力线传输数据。通过电力调制解调器可以在一定区域内任意的电源插座上实现网络接入。电力线宽带在缺少其它通信网络的地区有着广阔的应用前景，其优点在于利用现有电力线上网而无新增通信线缆铺设投资。但目前的BPL能够提供的最大带宽为4MB。因为电力网使用的大多是非屏蔽线，电磁兼容性的问题严重影响网络的传输速度。

（4）3G移动通信利用现有3G移动通信可以避免建立专门的无线网络所需的大量投资，使用方便、灵活。但若大量使用成本投入会较高，且日常的运行、管理、维护费用较高。故此通信技术适用于重要、且节点数少的远距离智能电网用户端通信场合。

（5）无线通信（ZigBee、WiMedia、Wi－Fi）Wi－Fi技术具有较高的成本效益，能够进行升级扩展以覆盖大型地域和多个端点，且无需铺设电缆。ZigBee通信使用跳频扩频无线技术，该技术具有可靠性高、传输速率低、传输距离远的优点，由此解决了传输堵塞和干扰。WiMedia通信的物理层采用超宽带标准，其解决方案的射频覆盖水平与ZigBee相似，其数据传输速率高，并具有网状网络功能。

（6）现场总线通信20世纪80年代中期产生的现场总线技术，相比传统控制系统，其特征为：数字化、全双工传输、分支结构多。现场总线技术实现了工业控制系统的分散化、网络化和智能化，导致其体系结构和功能产生重大发展。

（7）通用工业协议（CIP）CIP是面向对象的工业网络控制协议。根据OSI／ISO七层协议模型，DeviceNet协议定义了七层模型中的物理层、数据链路层和应用层。而CIP协议是七层模型中的最上层———应用层。CIP协议是De－viceNet的应用层，同时是ControlNet、EtherNet／IP、CompoNet的应用层。DeviceNet和ControlNet、Eth－erNet／IP、CompoNet共用同一个应用层协议CIP，但它们有各自的数据链路层和物理层。

（8）工业以太网技术当前，工业以太网技术的性能不断提高，成本不断下降，其在工业自动化领域的发展非常迅速。相比其它现场总线技术，以太网技术优势有：1）数据传输速率高，达到100Mbit／s；2）不同的传输协议能在相同总线上共存；3）在以太网中，数据存取技术采用变互式和开放式；4）不同的拓朴结构和不同的物理介质得以存在和运用。

2走向集成的智能电网用户端通信技术

2、1集成的通信技术

在智能电网设备端，目前仍然是多种现场总线并存。从用户角度，希望通过通信技术集成以实现各种智能元器件与控制器之间的互联互通，但并非必须用一个通信网络来实现所有的功能。例如：Internet网络并非同结构的单一网络，但用户确能实现电子邮件、文件下载、网络浏览、网上游戏等不同类型的服务。从通讯协议的构筑模型角度，大多数用户端通讯协议均根据OSI的七层模型。当前，自底层向上定义构筑统一整体的通信协议大量存在，这使得在相同层次上的互联性在各标准协议之间较难集成。其实，定义OSI分层模型是为了让不同构架、不同发展阶段的通讯协议能相互独立，使其能在独立发展的同时具备良好的互相配合、结合，增加其相互间成为一个端对端完整协议的可能。比如，以TCP／IP协议栈为核心的Inter－net网络协议中，不同的应用层协议可以在上层网络存在，而大量的不同局域网、广域网可以在下层网络平台上实现。随着通信技术的发展，通信集成将应运而生。通信集成是指一个集成的通信软硬件平台融合多种通信协议及通信接口，实现不同通信技术的互通互联。

2、2通信技术标准的发展及融合

网络协议标准篇8

关键词：TCP/IP；网络协议；防御；安全协议

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）03-0485-02

在短期内，基础TCP/IP网络协议不可能进行重新设计和部署实施，无法从根本上改变目前网络面临严重安全威胁的状况。通过部署一些监测、预防与安全加固的防范措施，是增强网络对已知攻击的抵御能力不可或缺的环节。

1 网络各层防范措施

在网络接口层，主要监测和防御的安全威胁的方法是网络嗅探，可以利用防范网络嗅探的思路，检测出局域网中的监听点，并在网络设计上尽量细分和优化网络结构，尽量消除数据广播的情况，并对关键路径上的网关、路由器等设备进行严格的安全防护，以减少网络嗅探造成的影响。此外，对于无线网络而言，应增强链路层加密的强度，同时对各类网络采用加密通信协议，使得在通信过程中，即使遭受嗅探也不会破坏数据要达到的机密性要求。

在互联层上，虽然IP、ICMP、ARP等协议中存在安全缺陷，安全问题带来的风险很难完全避免，但我们可以采用多种检测和过滤技术来发现和阻断网络中可能出现的欺骗攻击，此外也可以增强防火墙、路由器和网关设备的安全策略，对一些用于欺骗攻击的特殊数据包进行过滤，特别是对外部网络进行欺骗攻击的数据包进行出站过滤，只有如此，才能共同维护整个互联网的安全。对关键服务器使用静态绑定IP-MAC映射表、使用IP sec协议加密通信等预防机制，可以有效地增强网络对欺骗攻击的抵御能力。

在传输层，可以实现基于面向连接和无连接服务的加密传输和安全控制机制，包括身份认证，访问控制等。

应用层可以采用加密、用户级身份认证、数字签名技术、授权和访问控制技术，以及主机安全技术，如审计、入侵检测等。

2 网络各层安全协议

为了克服TCP/IP协议栈的安全缺陷和问题，互联网研究机构也在不断地研究和开发一些网络安全协议，IETF、IEEE 802等国际性的网络研究和标准化组织在不断地进行讨论和改进，并作为标准化协议规范对业界进行，使得业界能够在这些标准在网络设备、操作系统中实现和应用这些安全协议，从而增强现有网络的安全性。在TCP/IP协议栈各个层次上运用的网络安全协议如下表1所示。

2、1 网络接口层的安全协议

网络接口层的安全协议设计和标准化主要由IEEE802委员会负责推进，由于无线网络传输媒介的共享特性，因此比有线网络更加需要安全保护机制，目前常用的802、11WiFi、蓝牙（Bluetooth）等无线网络均实现了用于身份认证、加密传输和防止假冒篡改攻击的安全协议，如WEP（Wired Equivalent Privacy）和WPA/WPA2（Wi-Fi Protected Access）协议等。此外IEEE802委员会还制定了802、1X协议，提供了基于端口访问控制的接入管理协议标准，为各种不同类型网络中的用户认证和访问控制给出了通用的解决方案。

2、2 网络互联层的安全协议

网络互联层目前最重要的安全通信协议主要是IP sec协议簇。IP sec （Internet Protocol Security），即互联网安全协议，是IETF（Internet Engineering Task Force）提供的一系列的互联网安全通信的标准规范，这些是私有信息通过公用网的安全保障。 IP sec适用于目前的IP版本IPv4和下一代IPv6。IP sec规范相当复杂，规范中包含大量的标准文档。由于IP sec在TCP/IP协议的核心层――IP层实现，因此可以有效地保护各种上层协议，并为各种安全服务提供一个统一的平台，IP sec也是被下一代互联网所采用的网络安全协议。 IP sec协议是现在VPN开发中使用最广泛的一种协议，有可能在将来成为IPVPN的标准。

IP sec协议簇的基本目的是把密码学的安全机制引入IP协议，通过使用现代密码学方法支持机密性和认证服务，使用户能有选择地使用，并得到所期望的安全服务。IP sec将几种安全技术结合形成一个完整的安全体系，包括安全协议部分和密钥协商部分。IP sec的安全协议主要包括AH协议（Authentication Header，认证头）和ESP协议（Encapsulate Security Payload，封装安全载荷）两大部分：AH认证协议提供五连接的完整性、数据源认证和抗重放保护服务，但是AH不提供任何机密性保护服务；而ESP协议则为IP协议提供机密性、数据源验证、抗重放，以及数据完整性等安全服务。其中，数据机密性是ESP的基本功能，而带有数据源身份认证、数据完整性检验以及抗重放保护等功能。此外IP sec中还包含了密钥协商和交换协议，如Internet密钥交换协议（Internet Key Exchange，IKE），负责处理通信双方的协议及算法的协商，产生并交换加密和认证密钥，以建立起AH和ESP协议需要的通信双方安全关联（Security Association，SA）。

IP sec协议支持隧道及传输两种模式。隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。通常情况下，只要IP sec双方有一方是安全网关或路由器，就必须使用隧道模式。传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全。它所保护的数据包的通信终点也是IPsec终点。传输模式下，IP sec主要对上层协议即IP包的载荷进行封装保护，通常情况下，传输模式只用于两台主机之间的安全通信。

由于工作在互联层上，IP sec协议能够为IP协议之上的任何网络应用提供安全保护机制，而网络应用无需任何的特殊设计和实现，就可以使用IP sec、

2、3 传输层的安全协议

传输层上的安全协议主要是TLS（Transport Layer Security），其前身是由Netscape公司所开发的SSL（Secure Socket Layer），目前最新版本是IETF的TLS l、2标准化网络安全协议（RFC 5246）。TLS协议在传输层上通过密码学算法，为应用层的网络通信提供了安全的点到点传输，在Web浏览、电子邮件、即时通信和VoIP （Voice over IP）等网络应用服务中得到了广泛使用。

TLS协议基于密码学算法支持在互联网上的身份认证和通信机密性保护，能够防止窃听、干扰和消息伪造。TLS协议包括两个协议组：TLS记录协议和TLS握手协议。 TLS记录协议位于可靠的传输协议TCP之上，用于封装各种高层协议，提供的安全性具有两个基本特性。

① 加密：使用对称加密算法（如 DES、RC4等）进行数据加密，以保证传输数据的机密性，对称加密所产生的密钥对每个连接都是唯一的，对称密钥由TLS握手协议进行协商，记录协议也可以不使用加密。

② 可靠：信息传输使用密钥进行消息完整性检查，通常使用安全哈希函数（如SHA、MD5等）来计算消息完整性校验和（Message Authentication Code，MAC）。

TLS握手协议允许服务器与客户机在应用程序协议传输和接收其第一个数据字节前，进行单向身份认证，或者彼此之间相互认证，并协商加密算法和加密密钥。

TLS协议已被用于封装整个网络栈以创建虚拟专有网络（Virtual Private Network，VPN），如开源的Open VPN软件，一些厂商也将TLS的加密和认证机制与访问授权相结合，研制出功能更强的SSLVPN产品，与传统的IP sec VPN技术相比，TLS在防火墙和网络地址转换（Network Address Translation，NAT）设备穿越方面具有内在的优势，使其在存在大量远程访问用户的环境中具有更好的易管理性。

2、4 应用层的安全协议

在应用层，安全通信协议的特点是需要针对不同的应用安全需求，设计不同的安全机制，例如HTTP安全、电子邮件、远程控制、电子交易等，在安全协议设计过程中也会尽量地使用底层协议已经提供的安全防护能力。

对于万维网访问进行安全防护的主要协议是安全超文本传输协议（Secure Hypertext Transfer Protocol，HTTPS），基于传输层安全协议TLS实现，端口号为443，通常应用于电子商务、资产管理等应用，随着近年来的发展，HTTPS在Web上逐步流行，在涉及个人敏感信息的登录及使用环节，安全的网站一般都会使用HTTPS协议进行加密传输和身份认证。

安全电子邮件协议（Secure/Multipurpose Internet Mail Extensions，S/MIME），由RSA公司提出，是电子邮件的安全传输标准。S/MIME使用PKI数字签名技术，支持消息和附件的加密传输，采用单向散列算法，如SHA―1、MD5等，也采用公钥机制的加密体系，证书格式采用X、509标准。目前大多数电子邮件产品都包含了对S/MIME的内部支持，网络管理员应启用该安全协议，从而避免了电子邮件明文传输所面临的信息泄露等安全风险。

3 结束语

TCP/IP协议是互联网得以蓬勃发展的基础，然而TCP/IP协议在开始设计时并没有考虑到现在网络上如此多的安全威胁，因此不可避免地遭遇了各种形形的攻击方式。本文介绍了网络各层上的防范措施和安全协议，包括它们的技术原理和具体过程。应对网络协议的攻击威胁，TCP/IP协议也正在进行着完善和改进，对于防御者而言，应采用最新的安全协议来武装自己的网络，从而降低网络安全风险。