下载文档原格式
第六章广域网6-01 试从多方面比较虚电路和数据报这两种服务的优缺点答:答:(1)在传输方式上,虚电路服务在源、目的主机通信之前,应先建立一条虚电路,然后才能进行通信,通信结束应将虚电路拆除。
而数据报服务,网络层从运输层接收报文,将其装上报头(源、目的地址等信息)后,作为一个独立的信息单位传送,不需建立和释放连接,目标结点收到数据后也不需发送确认,因而是一种开销较小的通信方式。
但发方不能确切地知道对方是否准备好接收,是否正在忙碌,因而数据报服务的可靠性不是很高。
(2)关于全网地址:虚电路服务仅在源主机发出呼叫分组中需要填上源和目的主机的全网地址,在数据传输阶段,都只需填上虚电路号。
而数据报服务,由于每个数据报都单独传送,因此,在每个数据报中都必须具有源和目的主机的全网地址,以便网络结点根据所带地址向目的主机转发,这对频繁的人—机交互通信每次都附上源、目的主机的全网地址不仅累赘,也降低了信道利用率。
(3)关于路由选择:虚电路服务沿途各结点只在呼叫请求分组在网中传输时,进行路径选择,以后便不需要了。
可是在数据报服务时,每个数据每经过一个网络结点都要进行一次路由选择。
当有一个很长的报文需要传输时,必须先把它分成若干个具有定长的分组,若采用数据报服务,势必增加网络开销。
(4)关于分组顺序:对虚电路服务,由于从源主机发出的所有分组都是通过事先建立好的一条虚电路进行传输,所以能保证分组按发送顺序到达目的主机。
但是,当把一份长报文分成若干个短的数据报时,由于它们被独立传送,可能各自通过不同的路径到达目的主机,因而数据报服务不能保证这些数据报按序列到达目的主机。
(5)可靠性与适应性:虚电路服务在通信之前双方已进行过连接,而且每发完一定数量的分组后,对方也都给予确认,故虚电路服务比数据报服务的可靠性高。
但是,当传输途中的某个结点或链路发生故障时,数据报服务可以绕开这些故障地区,而另选其他路径,把数据传至目的地,而虚电路服务则必须重新建立虚电路才能进行通信。
7.7 链路加密与端到端加密从网络传输的角度看,通常有两种不同的加密策略,即链路加密与端到端加密。
现分别讨论如下:7.7.1 链路加密在采用链路加密的网络中,每条通信链路上的加密是独立实现的。
通常对每条链路使用不同的加密密钥。
(图7-14,图中的E和D分别表示加密和解密运算)。
当某条链路受到破坏是时不会导致其他链路上传送的信息被析出。
由于协议数据单元PDU中的协议控制信息和数据都被加密,这就掩盖了源点和终点的地址。
若在结点间保持连续的密文序列,则PUD 的频度和长度也能得到掩盖。
这样就能够防止各种形式的流量分析。
由于不需要传送额外的数据,采用这种技术不会减少网络的有效带宽。
由于只需要相邻结点之间具有相同的密钥,因而密钥管理易于实现。
链路加密对用户来说是透明的。
此处插图由于报文是以明文形式在各结点内加密的,所以结点本身必须是安全的。
一般认为网络的源点和终点在物理上是安全的,但所有的中间结点(包括可能经过的路由器)未必都是安全的。
因此必须采取有效措施。
对于采用动态自适应路由的网络,一个被攻击者掌握的结点可以设法更改路由使有意义的PUD经过此结点,这样将导致大量的信息泄露,因为对整个网络的安全造成威胁。
链路加密的最大缺点是在中间结点暴露了信息的内容。
在网络互连的情况下,仅采用链路加密是不能实现通信安全的。
此外,链路加密也不适用于广播网络,以为它的通信子网没有明确的链路存在。
若将整个PDU加密造成无法确定接受者和发送者。
由于上述原因,除非采取其他措施,否则在网络环境中链路加密将受到很大的限制,可能只适用于局部数据的保护。
7.7.2端到端加密端到端加密是在源结点和目的结点中对传送的PDU 进行加密和解密,报文的安全性不会因中间结点的不可靠而受到影响。
此处插图端到端加密应在运输层或其以上各层来实现。
若选择在运输层进行加密,可以是安全措施对于用户来说是透明的。
这样可不比为每一个用户提供单独的安全保护,但容易遭受运输层以上的攻击。
