,用户数据,链路尾(在链路上)Р描述用于发起TCP连接的三次握手的过程(重点)Р主机A向主机B发送连接请求数据包,数据包的序号为ISNA,SYN=1,ACK=0,表示这是一个主动发起请求的数据包。Р主机B收到这个请求包后,记下主机A的初始序列号ISNA,对主机A的连接请求发送响应数据包,主机B发送的数据包的序列号为ISNB,SYN=1,ACK=1,表示这是一个响应请求的数据包,确认序号为ISNA+1,表示主机B期望从A收到的下一个数据包的序号。Р主机A收到主机B的响应数据包后,记下主机B的序列号ISNB,给主机B发送响应数据包,表示收到了主机B的响应,该数据包的序号为ISNA+1,确认序号为ISNB+1,表示主机A期望从B收到的下一个数据包的序号。Р至此双方建立了TCP链接,注意A和B是ISN是分别编号的。Р网络层、传输层面临的主要威胁和解决措施Р-网络层Р网络层安全的优点是迷药协商的开销被大大削减了,因为只需要在网络节点之间协商密钥,其上的多种传输协议和应用程序可共享网络层提供的密钥管理架构,对应用程序的改动要少得多,能很容易构建VPN。缺点是因为缺乏用户背景,很难解决“抗抵赖”之类的问题,网络层的安全协议时IPsec。Р-传输层Р在传输层实现安全机制,不会强制要求每个应用都在安全方面做出相应的改进,缺点是为提供有具体用户决定的服务,通常假定只有一名用户使用系统,与应用级安全类似,只能在端系统实现,应用程序仍需要修改,才能要求传输层提供安全服务。传说曾的安全协议有SSL/TLS。РIPsec的组成、提供的安全功能、工作模式(考,不确定,重要)Р组成:三个系列文档RFCxxx,两个安全协议(鉴别头协议AH和封装安全载荷协议ESP),Р提供功能(服务):访问控制、无连接完整性、数据源鉴别、重放的检测和拒绝、机密性(通过加密)、有限通信流的机密性。Р工作模式:传输模式,隧道模式