OSI和TCP/IP的区别

ISO/OSI参考模型 TCP/IP协议模型 所对应PDU(协议数据单元) 
应用层 ……………应用层 …………数据 
表示层 ……………应用层 …………数据 
会话层 ……………应用层 …………数据 

传输层 ……………传输层 …………段 

网络层…………… 网络层……… 包 

数据链路层 ………网络接口层 ……帧 
物理层 ……………网络接口层 ……比特流 

ISO/OSI参考模型与TCP/IP协议模型 
相同点：1、都有应用层、传输层、网络层。 
2、都是下层服务上层。 

不同点：1、层数不同。 
2、模型与协议出现的次序不同，TCP/IP先有协议，后有模型（出 
现早），ISO/OSI先有模型，后有协议（出现晚）。 

首先我们要了解OSI七层模型各层的功能。 

第七层：应用层 数据 用户接口，提供用户程序“接口”。 
第六层：表示层 数据 数据的表现形式，特定功能的实现，如数据加密。 
第五层：会话层 数据 允许不同机器上的用户之间建立会话关系，如WINDOWS 
第四层：传输层 段 实现网络不同主机上用户进程之间的数据通信，可靠 
与不可靠的传输，传输层的错误检测，流量控制等。 
第三层：网络层 包 提供逻辑地址（IP）、选路，数据从源端到目的端的 
传输 
第二层：数据链路层 帧 将上层数据封装成帧，用MAC地址访问媒介，错误检测 
与修正。 
第一层：物理层 比特流 设备之间比特流的传输，物理接口，电气特性等。 

下面是对OSI七层模型各层功能的详细解释： 

OSI七层模型 OSI 七层模型称为开放式系统互联参考模型 OSI 七层模型是一种框架性的设计方法 
OSI 七层模型通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通讯，因此其最主 
要的功能使就是帮助不同类型的主机实现数据传输 
物理层 ： O S I 模型的最低层或第一层，该层包括物理连网媒介，如电缆连线连接器。物理层的协议产生并检测电压以便发送和接收携带数据的信号。在你的桌面P C 上插入网络接口卡，你就建立了计算机连网的基础。换言之，你提供了一个物理层。尽管物理层不提供纠错服务，但它能够设定数据传输速率并监测数据出错率。网络物理问题，如电线断开，将影响物理层。 
数据链路层： O S I 模型的第二层，它控制网络层与物理层之间的通信。它的主要功能是如何在不可靠的物理线路上进行数据的可靠传递。为了保证传输，从网络层接收到的数据被分割成特定的可被物理层传输的帧。帧是用来移动数据的结构包，它不仅包括原始数据，还包括发送方和接收方的网络地址以及纠错和控制信息。其中的地址确定了帧将发送到何处，而纠错和控制信息则确保帧无差错到达。 
数据链路层的功能独立于网络和它的节点和所采用的物理层类型，它也不关心是否正在运行 Wo r d 、E x c e l 或使用I n t e r n e t 。有一些连接设备，如交换机，由于它们要对帧解码并使用帧信息将数据发送到正确的接收方，所以它们是工作在数据链路层的。 
网络层： O S I 模型的第三层，其主要功能是将网络地址翻译成对应的物理地址，并决定如何将数据从发送方路由到接收方。 
网络层通过综合考虑发送优先权、网络拥塞程度、服务质量以及可选路由的花费来决定从一个网络中节点A 到另一个网络中节点B 的最佳路径。由于网络层处理路由，而路由器因为即连接网络各段，并智能指导数据传送，属于网络层。在网络中，“路由”是基于编址方案、使用模式以及可达性来指引数据的发送。 
传输层： O S I 模型中最重要的一层。传输协议同时进行流量控制或是基于接收方可接收数据的快慢程度规定适当的发送速率。除此之外，传输层按照网络能处理的最大尺寸将较长的数据包进行强制分割。例如，以太网无法接收大于1 5 0 0 字节的数据包。发送方节点的传输层将数据分割成较小的数据片，同时对每一数据片安排一序列号，以便数据到达接收方节点的传输层时，能以正确的顺序重组。该过程即被称为排序。 
工作在传输层的一种服务是 T C P / I P 协议套中的T C P （传输控制协议），另一项传输层服务是I P X / S P X 协议集的S P X （序列包交换）。 
会话层： 负责在网络中的两节点之间建立和维持通信。 会话层的功能包括：建立通信链接，保持会话过程通信链接的畅通，同步两个节点之间的对 话，决定通信是否被中断以及通信中断时决定从何处重新发送。 
你可能常常听到有人把会话层称作网络通信的“交通警察”。当通过拨号向你的 I S P （因特网服务提供商）请求连接到因特网时，I S P 服务器上的会话层向你与你的P C 客户机上的会话层进行协商连接。若你的电话线偶然从墙上插孔脱落时，你终端机上的会话层将检测到连接中断并重新发起连接。会话层通过决定节点通信的优先级和通信时间的长短来设置通信期限 
表示层： 应用程序和网络之间的翻译官，在表示层，数据将按照网络能理解的方案进行格式化；这种格式化也因所使用网络的类型不同而不同。 
表示层管理数据的解密与加密，如系统口令的处理。例如：在 Internet上查询你银行账户，使用的即是一种安全连接。你的账户数据在发送前被加密，在网络的另一端，表示层将对接收到的数据解密。除此之外，表示层协议还对图片和文件格式信息进行解码和编码。 
应用层： 负责对软件提供接口以使程序能使用网络服务。术语“应用层”并不是指运行在网络上的某个特别应用程序 ，应用层提供的服务包括文件传输、文件管理以及电子邮件的信息处理。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

TCP/IP:

数据链路层：ARP,RARP 

网络层： IP,ICMP,IGMP 

传输层：TCP ,UDP,UGP 

应用层：Telnet,FTP,SMTP,SNMP.  

OSI:

物理层：EIA/TIA-232, EIA/TIA-499, V.35, V.24, RJ45, Ethernet, 802.3, 802.5, FDDI, NRZI, NRZ, B8ZS 

数据链路层：Frame Relay, HDLC, PPP, IEEE 802.3/802.2, FDDI, ATM, IEEE 802.5/802.2 

网络层：IP，IPX，AppleTalk DDP 

传输层：TCP，UDP，SPX 

会话层：RPC,SQL,NFS,NetBIOS,names,AppleTalk,ASP,DECnet,SCP 

表示层:TIFF,GIF,JPEG,PICT,ASCII,EBCDIC,encryption,MPEG,MIDI,HTML

应用层：FTP,WWW,Telnet,NFS,SMTP,Gateway,SNMP

TCP/IP整体构架分析 

传统的OSI（开放式系统互连）参考模型，是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。

这7层是:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

而TCP/IP协议并不完全符合OSI的七层参考模型，它采用了4层结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。

这4层分别为：

应用层：应用程序间沟通的层，如简单电子邮件传输协议（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。  

传输层：此层提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。
网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP）。 

网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、Serial Line等）来传送数据。

下面简单介绍TCP/IP中协议的功能：  

1． IP  网际协议IP是TCP/IP的心脏，也是网络层中最重要的协议。 

IP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层---TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）。

高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项，叫作IP source routing，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好象是从路径上的最后一个系统传递过来的，而不是来自于它的真实地点。这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。 

2. TCP 

如果IP数据包中有已经封好的TCP数据包，那么IP将把它们传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。TCP将它的信息送到更高层的应用程序，例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层、设备驱动程序和物理介质、最后到接收方。   

面向连接的服务（例如Telnet、FTP、rlogin、Xwindows和SMTP）需要高度的可靠性，所以它们使用了TCP。DNS在某些情况下使用TCP（发送和接收域名数据库），但使用UDP传送有关单个主机的信息。

3.UDP  

UDP与TCP位于同一层，但不提供任何顺序或重新排序功能，因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询---应答的服务，例如NFS。欺骗UDP包比欺骗TCP包更容易，因为UDP没有建立初始化连接（也可以称为握手）（因为在两个系统间没有虚电路），也就是说，与UDP相关的服务面临着更大的危险。

4.ICMP  

ICMP与IP位于同一层，它被用来传送IP的的控制信息。它主要是用来提供有关通向目的地址的路径信息。ICMP的'Redirect'信息通知主机通向其他系统的更准确的路径，而'Unreachable'信息则指出路径有问题。另外，如果路径不可用了，ICMP可以使TCP连接'体面地'终止。PING是最常用的基于ICMP的服务。 

三、TCP/IP各层的安全性和提高各层安全性的方法  

TCP/IP的层次不同提供的安全性也不同，例如，在网络层提供虚拟私用网络，在传输层提供安全套接服务。  

1、网络层的安全性  在过去十年里，已经提出了一些方案对网络层的安全协议进行标准化。

例如，安全协议3号(SP3)就是美国国家安全局以及标准技术协会作为安全数据网络系统(SDNS)的一部分而制定的。网络层安全协议(NLSP)是由国际标准化组织为无连接网络协议(CLNP)制定的安全协议标准。集成化NLSP(I-NLSP)是美国国家科技研究所提出的包括IP和CLNP在内的统一安全机制。SwIPe是另一个网络层的安全协议，由Ioannidis和Blaze提出并实现原型。所有这些提案的共同点多于不同点。事实上，他们用的都是IP封装技术。其本质是，纯文本的包被加密，封装在外层的IP报头里，用来对加密的包进行Internet上的路由选择。到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。 

Internet工程特遣组(IETF)已经特许Internet协议安全协议(IPSEC)工作组对IP安全协议(IPSP)和对应的 Internet密钥管理协议(IKMP)进行标准化工作。IPSP的主要目的是使需要安全措施的用户能够使用相应的加密安全体制。该体制不仅能在目前通行的IP(IPv4)下工作，也能在IP的新版本(IPng或IPv6)下工作。该体制应该是与算法无关的，即使加密算法替换了，也不对其他部分的实现产生影响。此外，该体制必须能实行多种安全政策，但要避免给不使用该体制的人造成不利影响。按照这些要求，IPSEC工作组制订了一个规范：认证头(Authentication Header，AH)和封装安全有效负荷(Encapsulating Security Payload，ESP)。简言之，AH提供IP包的真实性和完整性，ESP提供机要内容

IP AH指一段消息认证代码(Message Authentication Code，MAC)，在发送IP包之前，它已经被事先计算好。发送方用一个加密密钥算出AH，接收方用同一或另一密钥对之进行验证。如果收发双方使用的是单钥体制，那它们就使用同一密钥；如果收发双方使用公钥体制，那它们就使用不同的密钥。在后一种情形，AH体制能额外提供不可否认的服务。有些在传输中可变的域，如IPv4中的time-to-live域或IPv6中的hop limit域，都是在AH的计算中必须忽略不计的。RFC 1828首次规定了加封状态下AH的计算和验证中要采用带密钥的MD5算法。而与此同时，MD5和加封状态都被批评为加密强度太弱，并有替换方案提出。