计算机网络是允许节点共享资源的数字电信网络。在计算机网络中,计算设备使用节点之间的连接(数据链路)相互交换数据。这些数据链路通过有线介质(如电线或光缆)或无线介质(如Wi-Fi)建立。
发起、路由和终止数据的网络计算机设备称为网络节点。[1] 节点通常由网络地址标识,可以包括个人计算机、电话和服务器等主机,以及路由器和交换机等网络硬件。当一个设备能够与另一个设备交换信息时,可以说两个这样的设备联网在一起,不管它们是否彼此直接连接。在大多数情况下,特定于应用的通信协议在其他更通用的通信协议上分层(即作为有效载荷携带)。这一庞大的信息技术集合需要熟练的网络管理来保持其可靠运行。
计算机网络支持大量的应用程序和服务,例如访问万维网、数字视频、数字音频、共享应用程序和存储服务器、打印机和传真机,以及使用电子邮件和即时消息应用程序以及许多其他应用程序。计算机网络在用于传输信号的传输介质、组织网络流量的通信协议、网络的大小、拓扑结构、流量控制机制和组织意图方面有所不同。最著名的计算机网络是互联网。
计算机网络重大发展的年表包括:
计算机网络可以被认为是电气工程、电子工程、电信、计算机科学、信息技术或计算机工程的一个分支,因为它依赖于相关学科的理论和实际应用。
计算机网络有助于人际通信,允许用户通过各种方式高效、轻松地进行通信:电子邮件、即时消息、在线聊天、电话、视频电话和视频会议。网络允许共享网络和计算资源。用户可以访问和使用网络上设备提供的资源,例如在共享网络打印机上打印文档或使用共享存储设备。网络允许共享文件、数据和其他类型的信息,使授权用户能够访问存储在网络上其他计算机上的信息。分布式计算使用网络上的计算资源来完成任务。
安全黑客可能使用计算机网络在连接到网络的设备上部署计算机病毒或计算机蠕虫,或者阻止这些设备通过拒绝服务攻击访问网络。
不支持数据包的计算机通信链路,如传统的点对点电信链路,只是以比特流的形式传输数据。然而,绝大多数计算机网络以数据包的形式传输数据。网络数据包是数据包交换网络携带的格式化数据单元(位或字节列表,通常是几十字节到几千字节长)。数据包通过网络发送到目的地。一旦数据包到达,它们就被重新组装成原始消息。
数据包由两种数据组成:控制信息和用户数据(有效载荷)。控制信息提供网络传递用户数据所需的数据,例如:源和目的网络地址、错误检测代码和排序信息。通常,控制信息在数据包报头和包尾中找到,有效载荷数据在两者之间。
与电路交换相比,使用数据包时,用户可以更好地共享传输介质的带宽。当一个用户不发送数据包时,链路可以由其他用户的数据包填充,因此只要链路没有被过度使用,就可以在相对较小的干扰下分摊成本。通常情况下,数据包需要通过网络的路由不会立即可用。在这种情况下,数据包会排队等待,直到链路空闲。
网络的物理布局通常不如连接网络节点的拓扑重要。因此,大多数描述物理网络的图都是拓扑的,而不是地理的。这些图上的符号通常表示网络链路和网络节点。
网络拓扑是计算机网络互连节点的布局或组织层次。不同的网络拓扑会影响吞吐量,但可靠性往往更为关键。对于许多技术,例如总线网络,单个故障会导致网络完全故障。一般来说,互连越多,网络就越健壮;但是安装越贵。
常见的布局是:
请注意,网络中节点的物理布局可能不一定反映网络拓扑。例如,对于FDDI,网络拓扑是一个环(实际上是两个反向旋转的环),但是物理拓扑通常是一个星形,因为所有相邻的连接都可以通过一个中心物理位置路由。
覆盖网络是建立在另一个网络之上的虚拟计算机网络。覆盖网络中的节点通过虚拟或逻辑链路连接。每条链路对应于底层网络中的一条路径,可能通过许多物理链路。覆盖网络的拓扑可能(并且经常)不同于底层网络的拓扑。例如,许多点对点网络是覆盖网络。它们被组织成在互联网上运行的虚拟链接系统的节点。[11]
自网络发明以来,覆盖网络就一直存在,那时计算机系统通过电话线使用调制解调器连接,并且没有任何数据网络存在。覆盖网络最显著的例子是互联网本身。互联网本身最初是作为电话网络的一个覆盖层而建立的。[11]即使在今天,每个互联网节点实际上可以通过由完全不同的拓扑和技术组成的子网构成的底层网格与任何其他节点进行通信。地址解析和路由是允许将完全连接的IP覆盖网络映射到其底层网络的方法。
覆盖网络的另一个例子是分布式哈希表,它将密钥映射到网络中的节点。在这种情况下,底层网络是一个IP网络,覆盖网络是一个由密钥索引的表(实际上是一个映射)。
覆盖网络也被提议作为改进互联网路由的一种方式,例如通过服务质量保证来实现更高质量的流媒体。以前的建议,如IntServ、DiffServ和IP多播,在很大程度上没有被广泛接受,因为它们需要修改网络中的所有路由器。另一方面,可以在运行覆盖协议软件的终端主机上逐步部署覆盖网络,而无需互联网服务提供商的合作。覆盖网络无法控制数据包在底层网络中两个覆盖节点之间的路由方式,但它可以控制消息到达目的地之前经过的覆盖节点的顺序。
例如,Akamai Technologies管理一个覆盖网络,该网络提供可靠、高效的内容传递(一种多播),学术研究包括终端系统组播[12] 、弹性路由和服务质量研究等。
用于连接设备以形成计算机网络的传输介质(在文献中通常称为物理介质)包括电缆、光纤和无线电波。在OSI模型中,这些是在第1层和第2层(物理层和数据链路层)定义的。
局域网(LAN)技术中广泛采用的传输介质系列统称为以太网。IEEE 802.3定义了能够通过以太网在联网设备之间进行通信的媒体和协议标准。以太网通过铜缆和光缆传输数据。无线局域网标准使用无线电波,其他标准使用红外信号作为传输媒介。电力线通信使用建筑物的电力电缆传输数据。
以下几类有线技术用于计算机网络。
在通过外来介质传输数据方面,已经有很多尝试:
这两种情况都有很长的往返延迟时间,这使得双向通信很慢,但并不妨碍发送大量信息。
除了可能存在的任何物理传输介质之外,网络还包括附加的基本系统构建模块,例如网络接口控制器(NICs)、中继器、集线器、网桥、交换机、路由器、调制解调器和防火墙。任何特定的设备都经常包含多个构建块并执行多种功能。
附属卡形式的ATM网络接口。许多网络接口是内置的。
网络接口控制器(NIC)是计算机硬件,它为计算机提供访问传输介质的能力,并具有处理低级网络信息的能力。例如,网卡可能具有用于接收电缆的连接器、用于无线传输和接收的天线以及相关电路。
网卡响应发往网卡或整个计算机网络地址的流量。
在以太网中,每个网络接口控制器都有一个唯一的媒体访问控制(MAC)地址——通常存储在控制器的永久存储器中。为了避免网络设备之间的地址冲突,电气和电子工程师协会(IEEE)维护和管理MAC地址的唯一性。以太网MAC地址的大小是六个八位字节。三个最重要的八位字节被保留以识别网卡制造商。这些制造商仅使用它们分配的前缀,唯一地分配它们生产的每个以太网接口的三个最低有效八位字节。
中继器是接收网络信号、清除不必要的噪声并再生网络信号的电子设备。信号以更高的功率电平重新传输,或者传输到障碍物的另一侧,这样信号可以覆盖更长的距离而不会衰减。在大多数双绞线以太网配置中,长度超过100米的电缆需要中继器。有了光纤,中继器可以相隔几十甚至几百公里。
具有多个端口的中继器被称为以太网集线器。中继器在OSI模型的物理层工作。中继器需要少量时间来再生信号。这可能会导致传播延迟,影响网络性能并可能影响正常功能。因此,许多网络体系结构限制了一行中可以使用的中继器的数量,例如以太网5-4-3规则。
局域网中的集线器和中继器大多被现代交换机淘汰。
网桥在OSI模型的数据链路层(第2层)连接并过滤两个网段之间的流量,形成单一网络。这打破了网络的冲突域,但保持了统一的广播域。网络分段将一个大而拥挤的网络分解成更小、更高效的网络集合。
网桥有三种基本类型:
网络交换机是一种根据每个端口中的目的MAC地址在端口之间转发和过滤OSI第2层数据报(帧)的设备。[16]交换机不同于集线器,它只将帧转发到通信中涉及的物理端口,而不是所有连接的端口。可以认为它是一座多端口网桥。[17] 它通过检查接收帧的源地址来学习将物理端口与MAC地址相关联。如果目标是未知的目的地,交换机将广播到除源之外的所有端口。交换机通常有许多端口,便于设备采用星型拓扑,并级联更多交换机。
路由器是一种网络互联设备,通过处理数据包或数据报中包含的路由信息(来自第3层的互联网协议信息),在网络之间转发数据包。路由信息通常与路由表(或转发表)一起处理。路由器使用路由表来确定数据包转发到哪里。路由表中的目的地可以包括“null”接口,也称为“black hole”接口,因为数据可以进入其中,然而,对该数据不做进一步的处理,即丢弃数据包。
调制解调器(调制器-解调器)用于通过线路连接最初不是为数字网络业务或无线网络设计的网络节点。为此,数字信号对一个或多个载波信号进行调制,以产生模拟信号,该模拟信号可定制传输所需的特性。调制解调器通常用于电话线,使用数字用户线技术。
防火墙是用于控制网络安全和访问规则的网络设备。防火墙通常配置为拒绝来自未识别来源的访问请求,同时允许来自已识别来源的操作。随着网络攻击的不断增加,防火墙在网络安全中扮演着重要的角色。
通信协议是通过网络交换信息的一组规则。在协议栈中(也见OSI模型),每个协议都利用它下面的协议层的服务,直到最底层控制通过介质发送信息的硬件。协议分层的使用如今在计算机网络领域无处不在。协议栈的一个重要例子是通过IEEE 802.11(Wi-Fi协议)在IP上通过TCP(因特网协议)运行的HTTP(万维网协议)。当用户上网时,该协议栈用于无线路由器和家庭用户的个人计算机之间。
通信协议有多种特征。它们可以是面向连接的或无连接的,可以使用电路模式或分组交换,也可以使用分层寻址或平面寻址。
有许多通信协议,下面描述其中的一些。
IEEE 802是一系列处理局域网和城域网的IEEE标准。完整的IEEE 802协议套件提供了多种网络功能。这些协议有一个统一的寻址方案。它们主要在OSI模型的第1层和第2层运行。
例如,MAC网桥(IEEE 802.1D)使用生成树协议处理以太网数据包的路由。IEEE 802.1Q描述了虚拟局域网,并且IEEE 802.1X定义了一个基于端口的网络访问控制协议,该协议构成了虚拟局域网中使用的认证机制的基础(但也可以在无线局域网中找到)——当用户必须输入“无线访问密钥”时,家庭用户会看到。
以太网
以太网,有时简称为局域网,是有线局域网中使用的一系列协议,由电气和电子工程师协会出版的称为IEEE 802.3的一组标准描述。
无线局域网
无线局域网,也称为WLAN或WiFi,可能是当今家庭用户 IEEE 802协议族中最知名的协议。它被IEEE 802.11标准化,并与有线以太网共享许多属性。
互联网协议族,也称为TCP/IP,是所有现代网络的基础。它在本质上不可靠的网络上提供无连接和面向连接的服务,该网络通过Internet协议(IP)级的数据报传输。协议族的核心是为互联网协议版本4 (IPv4)和IPv6定义寻址、标识和路由规范,IPv6是下一代具有更大寻址能力的协议。
同步光网络(SONET)和同步数字体系(SDH)是标准化的多路复用协议,使用激光通过光纤传输多个数字比特流。它们最初设计用于传输来自各种不同来源的电路模式通信,主要支持以PCM(脉码调制)格式编码的实时、未压缩的电路交换语音。然而,由于其协议中立性和面向传输的特性,SONET/SDH也是传输异步传输模式帧的首选。
异步传输模式(ATM)是电信网络的一种交换技术。它使用异步时分复用,并将数据编码成小的固定大小的信元。这不同于使用可变大小数据包或帧的其他协议,如互联网协议族或以太网。ATM与电路和分组交换网络都有相似之处。这使得它成为必须同时处理传统高吞吐量数据流量和实时、低延迟内容(如语音和视频)的网络的良好选择。ATM使用面向连接的模型,在实际数据交换开始之前,必须在两个端点之间建立虚拟电路。
虽然ATM的作用正在逐渐减少,而代之以下一代网络,但它仍然在最后一英里发挥作用,即互联网服务提供商和家庭用户之间的连接。[18]
有许多不同的数字蜂窝标准,包括:全球移动通信系统(GSM)、通用分组无线业务(GPRS)、cdmaOne、CDMA2000、演进数据优化(EV-DO)、 增强型数据速率GSM演进(EDGE)、通用移动电信系统(UMTS)、数字增强无绳电信(DECT)、数字先进移动电话服务(IS-136/TDMA)和集成数字增强型网络(iDEN)。[19]
网络可以通过其物理容量或组织目的来表征。网络的使用,包括用户授权和访问权限,也有相应的不同。
纳米通信网络具有在纳米级实现的关键组件,包括消息载体,并利用不同于宏观通信机制的物理原理。纳米通信将通信扩展到非常小的传感器和致动器,例如那些在生物系统中发现的传感器和致动器,并且还倾向于在对于传统通信来说过于苛刻的环境中操作。[20]
个人局域网(PAN)是用于计算机和接近个人的不同信息技术设备之间通信的计算机网络。个人电脑、打印机、传真机、电话、掌上电脑、扫描仪,甚至电子游戏机都是PAN中使用的设备。PAN可以包括有线和无线设备。PAN的延伸范围通常达到10米。有线PAN通常由USB和 FireWire连接构成,而蓝牙和红外通信等技术通常形成无线PAN。
局域网(LAN)是连接有限地理区域内的计算机和设备的网络,例如家庭、学校、办公楼或位置紧密的建筑群。网络上的每台计算机或设备都是一个节点。有线局域网很可能基于以太网技术。较新的标准,如 ITU-T G.hn也提供了一种利用现有线路(如同轴电缆、电话线和电源线)创建有线局域网的方法。[21]
与广域网(WAN)相比,局域网的主要特征包括更高的数据传输速率、有限的地理范围以及不依赖租用线路来提供连接。当前的以太网或其他IEEE 802.3局域网技术以高达100千兆比特/秒的数据传输速率运行,2010年被IEEE标准化。目前,正在开发400千兆比特/秒的以太网。
局域网可以通过路由器连接到广域网。
家庭局域网(HAN)是一种住宅局域网,用于通常部署在家中的数字设备之间的通信,通常是少量个人计算机和附件,如打印机和移动计算设备。一个重要的功能是共享互联网接入,通常是通过有线电视或数字用户线(DSL)路提供商提供的宽带服务。
存储区域网络(SAN)是一种专用网络,提供对整合的块级数据存储的访问。San主要用于使服务器能够访问存储设备,如磁盘阵列、磁带库和光盘机,从而使这些设备看起来像操作系统的本地连接设备。存储区域网络通常有自己的存储设备网络,其他设备通常无法通过局域网访问。SANs的成本和复杂性在21世纪初下降到允许在企业和中小型企业环境中广泛采用的水平。
校园网(CAN)是由有限地理区域内的局域网互连构成的。网络设备(交换机、路由器)和传输介质(光纤、铜缆、5类电缆等)几乎完全归校园租户/所有者(企业、大学、政府等)所有。
例如,大学校园网络可能连接各种校园建筑,以连接学院或系、图书馆和学生宿舍。
主干网是计算机网络基础设施的一部分,它为不同局域网或子网之间的信息交换提供了一条路径。主干网可以将同一建筑内、不同建筑之间或广阔区域内的不同网络连接在一起。
例如,一家大公司可能会实施主干网络来连接位于世界各地的部门。将部门网络连接在一起的设备构成了网络主干。在设计网络主干网时,网络性能和网络拥塞是需要考虑的关键因素。通常,主干网的容量大于与之相连的单个网络的容量。
主干网的另一个例子是互联网主干网,它是一组广域网(WANs)和核心路由器,将所有连接到互联网的网络连接在一起。
城域网(MAN)是一个大型计算机网络,通常跨越一个城市或一个大校园。
广域网(WAN)是一种计算机网络,覆盖大的地理区域,如城市、国家,甚至跨越洲际距离。广域网使用的通信信道结合了多种媒介,如电话线、电缆和无线电波。广域网通常利用公共运营商(如电话公司)提供的传输设施。广域网技术通常在OSI模型的下三层运行:物理层、数据链路层和网络层。
企业专用网络是单个组织构建的网络,用于互连其办公地点(如生产站点、总部、远程办公室、商店),以便共享计算机资源。
虚拟专用网是一种覆盖网络,其中节点之间的一些链路由一些较大网络(例如互联网)中的开放连接或虚拟电路承载,而不是由物理线路承载。在这种情况下,虚拟网络的数据链路层协议被称为通过更大的网络进行隧道传输。一个常见的应用是通过公共互联网进行安全通信,但是虚拟专用网不需要有明确的安全特性,例如身份验证或内容加密。例如,虚拟专用网络(VPN)可以用来分隔具有强大安全功能的底层网络上不同用户群体的流量。
虚拟专用网可能具有最佳性能,也可能在虚拟专用网客户和虚拟专用网服务提供商之间有一个定义好的服务级别协议(SLA)。一般来说,虚拟专用网的拓扑比点对点更复杂。
全球区域网络(GAN)是用于支持移动跨越任意数量的无线局域网、卫星覆盖区域等的网络。移动通信的关键挑战是将用户通信从一个本地覆盖区域切换到下一个覆盖区域。在IEEE项目802中,这涉及一系列地面无线局域网。[22]
网络通常由拥有它们的组织管理。私有企业网络可以使用内部网和外部网的组合。它们还可以提供对互联网的网络访问,互联网没有单一所有者,几乎允许无限的全球连接。
内部网是由单一管理实体控制的一组网络。内部网使用IP协议和基于IP的工具,如网页浏览器和文件传输应用程序。管理实体限制其授权用户使用内部网。最常见的是,内部网是组织的内部局域网。大型内部网通常至少有一个网络服务器,为用户提供组织信息。内部网也是局域网中路由器后面的任何东西。
外联网是一种也受单个组织管理控制的网络,但支持与特定外部网络的有限连接。例如,组织可以提供对其内部网某些方面的访问,以便与其业务伙伴或客户共享数据。从安全角度来看,这些其他实体不一定可信。到外联网的网络连接通常(但不总是)通过广域网技术实现。
网际网络是通过使用路由器公共路由技术连接多个计算机网络。
互联网是互联网络的最大例子。这是一个政府、学术、企业、公共和私人计算机网络相互连接的全球系统。它是基于互联网协议族的网络技术。它是美国国防部高级研究计划署开发的高级研究项目机构网络(ARPANET)的继承者。互联网也是万维网(WWW)的通信支柱。
互联网参与者使用数百种不同的方法,这些方法都是记录在案的,而且通常是标准化的,与互联网协议套件,以及由互联网分配号码管理机构和地址登记机构管理的寻址系统(IP地址)兼容的协议。服务提供商和大型企业通过边界网关协议(BGP)交换关于其地址空间可达性的信息,形成冗余的全球传输路径网格。
暗网是一个覆盖网络,通常运行在互联网上,只能通过专门的软件访问。暗网是一种匿名网络,仅在受信任的对等方(有时称为“朋友”(F2F)[23]之间使用非标准协议和端口进行连接。
暗网不同于其他分布式对等网络,因为共享是匿名的(也就是说,IP地址不公开共享),因此用户可以在不担心政府或企业干预的情况下进行通信。[24]
路由计算信息通过网络的良好路径。例如,从节点1到节点6,最佳路由可能是1-8-7-6或1-8-10-6,因为这是最厚的路由。
路由是选择网络路径来承载网络流量的过程。路由是为多种网络执行的,包括电路交换网络和分组交换网络。
在分组交换网络中,路由通过中间节点引导分组转发(逻辑寻址的网络分组从其源向最终目的地的传输)。中间节点通常是网络硬件设备,如路由器、网桥、网关、防火墙或交换机。通用计算机也可以转发数据包和执行路由,尽管它们不是专用硬件,性能可能有限。路由过程通常基于路由表来指导转发,路由表维护着到不同网络目的地的路由记录。因此,构建保存在路由器内存中的路由表对于高效路由非常重要。
通常可以选择多条路由,为了在它们之间进行选择,可以考虑不同的元素来决定将哪些路由安装到路由表中,例如(按优先级排序):
大多数路由算法一次只使用一条网络路径。多路径路由技术允许使用多条可选路径。
从更狭义的角度来说,路由经常与桥接形成对比,它假设网络地址是结构化的,并且相似的地址意味着网络内的邻近。结构化地址允许一个路由表条目代表一组设备的路由。在大型网络中,结构化寻址(狭义的路由)优于非结构化寻址(桥接)。路由已成为互联网上的主要寻址形式。桥接仍然在本地化环境中广泛使用。
根据安装要求,网络性能通常由电信产品的服务质量来衡量。影响这一点的参数通常包括吞吐量、抖动、误码率和延迟。
以下列表给出了电路交换网络和一种分组交换网络的网络性能测量示例,即ATM:
衡量网络性能的方法有很多,因为每个网络在性质和设计上都是不同的。性能也可以建模而不是测量。例如,状态转换图通常用于模拟电路交换网络中的排队性能。网络规划人员使用这些图表来分析网络在各种状态下的表现,确保网络得到最佳设计。[30]
当链路或节点承载太多的数据以至于其服务质量下降时,就会发生网络拥塞。典型的影响包括排队延迟、数据包丢失或新连接的阻塞。后两种情况的结果是,所提供负载的增量增加要么导致网络吞吐量的小幅增加,要么导致网络吞吐量的实际降低。
使用主动重传来补偿数据包丢失的网络协议往往会使系统处于网络拥塞状态,即使在初始负载降低到正常情况下不会导致网络拥塞的水平之后。因此,使用这些协议的网络在相同的负载水平下可以表现出两种稳定状态。低吞吐量的稳定状态称为拥塞崩溃。
现代网络使用拥塞控制、拥塞避免和流量控制技术来避免拥塞崩溃。其中包括:802.11的CSMA/CA和原始以太网等协议中的指数退避、TCP中的窗口缩减以及路由器等设备中的公平排队。避免网络拥塞负面影响的另一种方法是实施优先级方案,以便某些数据包的传输优先级高于其他数据包。优先级方案本身并不能解决网络拥塞,但它们有助于减轻拥塞对某些服务的影响。这方面的一个例子是802.1p。避免网络拥塞的第三种方法是将网络资源明确分配给特定的流。这方面的一个例子是在ITU-T G.hn标准中使用无竞争传输机会(CFTXOPs),它通过现有的家庭电线(电源线、电话线和同轴电缆)提供高速(高达1千兆比特/秒)局域网。
对于互联网,RFC 2914详细阐述了拥塞控制的主题。
网络弹性是“在正常运行遇到故障和挑战时,提供和保持可接受服务水平的能力”。[31]
网络安全由网络管理员采用的规定和策略组成,以防止和监控对计算机网络及其网络可访问资源的未授权访问、误用、修改或拒绝。[32] 网络安全是对网络中数据访问的授权,由网络管理员控制。用户被分配一个身份和密码,允许他们访问权限内的信息和程序。网络安全用于各种公共和私人计算机网络,以保护企业、政府机构和个人之间的日常交易和通信。
网络监控是对通过计算机网络(如互联网)传输的数据的监控。监控通常是秘密进行的,可以由政府、公司、犯罪组织或个人进行,也可以根据政府、公司、犯罪组织或个人的要求进行。它可能合法也可能不合法,可能需要也可能不需要法院或其他独立机构的授权。
如今,计算机和网络监控程序非常普遍,几乎所有的互联网流量都受到或可能受到监控,以寻找非法活动的线索。
监视对于政府和执法部门维持社会控制、识别和监测威胁以及预防/调查犯罪活动非常有用。随着全面信息意识计划、高速监控计算机和生物识别软件等技术以及通信协助执法法案等法律的出现,政府现在拥有了前所未有的监控公民活动的能力。[33]
然而,许多公民权利和隐私团体——如无国界记者组织、电子前沿基金会和美国公民自由联盟——都表示担心,对公民日益加强的监督可能会导致一个政治和个人自由有限的大规模监督社会。诸如此类的担忧导致了无数的诉讼,如Hepping诉AT&T案。[33][34] 黑客活动组织 Anonymous入侵政府网站,以抗议其认为的“严厉监控”。[35][36]
端到端加密(E2EE)是一种数字通信模式,可以不间断地保护在两个通信方之间传输的数据。它涉及发起方加密数据,因此只有预期的接收者才能解密数据,而不依赖于第三方。端到端加密可防止中介机构(如互联网提供商或应用服务提供商)发现或篡改通信。端到端加密通常保护机密性和完整性。
端到端加密的例子包括网络流量的HTTPS加密、电子邮件的PGP加密、即时消息的OTR加密、电话的ZRTP加密和无线电的TETRA加密。
典型的基于服务器的通信系统不包括端到端加密。这些系统只能保证保护客户端和服务器之间的通信,而不能保证通信方之间的通信。非E2EE系统的例子有Google Talk、Yahoo Messenger、Facebook和Dropbox。有些这样的系统,例如LavaBit和SecretInk,甚至称自己提供了“端到端”加密,而实际上它们并没有。一些通常提供端到端加密的系统已经被证明包含了一个后门,它会破坏通信方之间的加密密钥协商,例如Skype或Hushmail。
端到端加密范例并不直接解决通信端点本身的风险,例如客户端的技术利用、劣质随机数生成器或密钥托管。E2EE也不处理流量分析,流量分析涉及到端点的身份、发送的消息的时间和数量。
20世纪90年代中期,电子商务在万维网上的引入和迅速发展,使人们清楚地认识到,需要某种形式的认证和加密。网景公司率先采用了新标准。当时,占主导地位的网络浏览器是 Netscape Navigator。网景创建了一个叫做安全套接字层(SSL)的标准。SSL要求服务器带有证书。当客户端请求访问受SSL保护的服务器时,服务器会向客户端发送证书副本。SSL客户端检查此证书(所有网络浏览器都预载了一份完整的证书颁发机构根证书列表),如果证书已签出,服务器将通过身份验证,客户端将协商一个对称密钥密码用于会话。会话现在位于SSL服务器和SSL客户端之间非常安全的加密隧道中。[13]
用户和网络管理员通常对他们的网络有不同的看法。用户可以共享工作组中的打印机和一些服务器,这通常意味着他们位于相同的地理位置和同一局域网上,而网络管理员负责保持该网络的正常运行。感兴趣的社区与本地的联系较少,应该被认为是共享一组服务器的一组任意位置的用户,并且还可能通过对等技术进行通信。
网络管理员可以从物理和逻辑两个角度查看网络。物理视角包括地理位置、物理布线和通过传输介质互连的网络元件(例如路由器、网桥和应用层网关)。在TCP/IP体系结构中称为子网的逻辑网络映射到一个或多个传输介质上。例如,校园建筑中的一个常见做法是使用虚拟局域网(VLAN)技术,使每栋建筑中的一组局域网电缆看起来像是一个公共子网。
用户和管理员都在不同程度上了解网络的信任和范围特征。再次使用TCP/IP体系结构术语,内部网是通常由企业在私人管理下感兴趣的社区,并且只能由授权用户(例如员工)访问。[37] 内部网不必连接到互联网,但通常具有有限的连接。外联网是内联网的扩展,允许与内联网之外的用户(如业务伙伴、客户)进行安全通信。[37]
非正式地说,互联网是由互联网服务提供商(ISP)相互连接的一组用户、企业和内容提供商。从工程角度来看,互联网是一组子网和子网集合,它们共享注册的IP地址空间,并使用边界网关协议交换关于这些IP地址可达性的信息。通常,通过域名系统(DNS)的目录功能,可以将服务器的可读名称透明地转换为IP地址。
在互联网上,可以有企业对企业(B2B)、企业对消费者(B2C)和消费者对消费者(C2C)的通信。当交换金钱或敏感信息时,通信容易受到某种形式的通信安全机制的保护。使用安全虚拟专用网(VPN)技术,内部网和外部网可以安全地叠加在互联网上,而普通互联网用户和管理员无需任何访问。
^Computer network definition, archived from the original on 2012-01-21, retrieved 2011-11-12.
^"История о том, как пионер кибернетики оказался не нужен СССР" [The story of how a cybernetics pioneer became unnecessary to the USSR]. ria.ru (in Russian). МИА «Россия сегодня». 2010-08-09. Retrieved 2015-03-04. Главным делом жизни Китова, увы, не доведенным до практического воплощения, можно считать разработку плана создания компьютерной сети (Единой государственной сети вычислительных центров - ЕГСВЦ) для управления народным хозяйством и одновременно для решения военных задач. Этот план Анатолий Иванович предложил сразу в высшую инстанцию, направив в январе 1959 года письмо генсеку КПСС Никите Хрущеву. Не получив ответа (хотя начинание на словах было поддержано в различных кругах), осенью того же года он заново направляет на самый верх письмо, приложив к нему 200-страничный детальный проект, получивший название 'Красной книги'. [One can regard the magnum opus of Kitov's career as his elaboration of the plan – unfortunately never brought into practical form – for the establishment of a computer network (the Unified State Network of Computer Centres – EGSVTs) for the control of the national economy and simultaneously for the resolution of military tasks. Anatolii Ivanovich presented this plan directly to the highest levels, sending a letter in January 1959 to the General Secretary of the Communist Party of the Soviet Union Nikita Khrushchev. Not receiving a reply (although supported in various circles), in the autumn of the same year he again sent a letter to the very top, appending a 200-page detailed project plan, called the 'Red Book']CS1 maint: Unrecognized language (link).
^Isaacson, Walter (2014). The Innovators: How a Group of Hackers, Geniuses, and Geeks Created the Digital Revolution. Simon and Schuster. pp. 237–246..
^"Inductee Details - Paul Baran". National Inventors Hall of Fame. Retrieved 6 September 2017..
^"Inductee Details - Donald Watts Davies". National Inventors Hall of Fame. Retrieved 6 September 2017..
^Roberts, Larry; Marrill, Tom (October 1966). Toward a Cooperative Network of Time-Shared Computers. Fall AFIPS Conference..
^Chris Sutton. "Internet Began 35 Years Ago at UCLA with First Message Ever Sent Between Two Computers". UCLA. Archived from the original on March 8, 2008..
^Bennett, Richard (September 2009). "Designed for Change: End-to-End Arguments, Internet Innovation, and the Net Neutrality Debate" (PDF). Information Technology and Innovation Foundation. p. 11. Retrieved 11 September 2017..
^Robert M. Metcalfe; David R. Boggs (July 1976). "Ethernet: Distributed Packet Switching for Local Computer Networks". Communications of the ACM. 19 (5): 395–404. Archived from the original on 2007-08-07..
^Spurgeon, Charles E. (2000). Ethernet The Definitive Guide. O'Reilly & Associates. ISBN 1-56592-660-9..
^D. Andersen; H. Balakrishnan; M. Kaashoek; R. Morris (October 2001), Resilient Overlay Networks, Association for Computing Machinery, retrieved 2011-11-12.
^"End System Multicast". project web site. Carnegie Mellon University. Archived from the original on February 21, 2005. Retrieved May 25, 2013..
^Meyers, Mike (2012). CompTIA Network+ exam guide : (exam N10-005) (5th ed.). New York: McGraw-Hill. ISBN 9780071789226. OCLC 748332969..
^"Bergen Linux User Group's CPIP Implementation". Blug.linux.no. Retrieved 2014-03-01..
^A. Hooke (September 2000), Interplanetary Internet (PDF), Third Annual International Symposium on Advanced Radio Technologies, archived from the original (PDF) on 2012-01-13, retrieved 2011-11-12.
^"Define switch". webopedia. Retrieved April 8, 2008..
^Bradley Mitchell. "bridge – network bridges". About.com. Archived from the original on 2008-03-28..
^For an interesting write-up of the technologies involved, including the deep stacking of communication protocols used, see.Martin, Thomas. "Design Principles for DSL-Based Access Solutions" (PDF). Retrieved 18 June 2011..
^Paetsch, Michael (1993). The evolution of mobile communications in the US and Europe: Regulation, technology, and markets. Boston, London: Artech House. ISBN 978-0-8900-6688-1..
^Bush, S. F. (2010). Nanoscale Communication Networks. Artech House. ISBN 978-1-60807-003-9..
^"New global standard for fully networked home". ITU-T Newslog. ITU. 2008-12-12. Archived from the original on 2009-02-21. Retrieved 2011-11-12..
^"IEEE 802.20 Mission and Project Scope". IEEE 802.20 — Mobile Broadband Wireless Access (MBWA). Retrieved 2011-11-12..
^Mansfield-Devine, Steve (December 2009). "Darknets". Computer Fraud & Security. 2009 (12): 4–6. doi:10.1016/S1361-3723(09)70150-2..
^Wood, Jessica (2010). "The Darknet: A Digital Copyright Revolution" (PDF). Richmond Journal of Law and Technology. 16 (4). Retrieved 25 October 2011..
^RFC 5321, "Simple Mail Transfer Protocol", J. Klensin (October 2008).
^RFC 1035, "Domain names – Implementation and Specification", P. Mockapetris (November 1987).
^Peterson, L.L.; Davie, B.S. (2011). Computer Networks: A Systems Approach (5th ed.). Elsevier. p. 372. ISBN 978-0-1238-5060-7..
^ITU-D Study Group 2 (June 2006). Teletraffic Engineering Handbook (PDF). Archived from the original (PDF) on 2007-01-11..
^Telecommunications Magazine Online, Americas January 2003, Issue Highlights, Online Exclusive: Broadband Access Maximum Performance, Retrieved on February 13, 2005..
^"State Transition Diagrams". Archived from the original on October 15, 2003. Retrieved July 13, 2003..
^"Definitions: Resilience". ResiliNets Research Initiative. Retrieved 2011-11-12..
^Simmonds, A; Sandilands, P; van Ekert, L (2004). "An Ontology for Network Security Attack". Lecture Notes in Computer Science. Lecture Notes in Computer Science. 3285: 317–323. doi:10.1007/978-3-540-30176-9_41. ISBN 978-3-540-23659-7..
^"Is the U.S. Turning Into a Surveillance Society?". American Civil Liberties Union. Retrieved March 13, 2009..
^Jay Stanley; Barry Steinhardt (January 2003). "Bigger Monster, Weaker Chains: The Growth of an American Surveillance Society" (PDF). American Civil Liberties Union. Retrieved March 13, 2009..
^Emil Protalinski (7 April 2012). "Anonymous hacks UK government sites over 'draconian surveillance'". ZDNet. Retrieved 12 March 2013..
^James Ball (20 April 2012). "Hacktivists in the frontline battle for the internet". The Guardian. Retrieved 17 June 2012..
^RFC 2547, "BGP/MPLS VPNs", E. Rosen; Y. Rekhter (March 1999).
暂无