1、1网络安全技术网络安全技术2计算机网络安全基础计算机网络安全基础n第第1章章 网络安全概述与环境配置:介绍信网络安全概述与环境配置:介绍信息安全和网络安全的研究体系、研究网络息安全和网络安全的研究体系、研究网络安全的意义、评价网络安全的标准以及实安全的意义、评价网络安全的标准以及实验环境的配置。验环境的配置。n第第2章章 网络安全协议基础:介绍网络安全协议基础:介绍OSI参考参考模型和模型和TCP/IP协议组,实际分析协议组,实际分析IP/TCP/UDP/ICMP协议的结构以及工作原理、网协议的结构以及工作原理、网络服务和网络命令。络服务和网络命令。3计算机网络安全基础计算机网络安全基础n第第
2、3章章 网络安全编程基础:介绍网络安全网络安全编程基础:介绍网络安全编程的基础知识、编程的基础知识、C语言发展的四个阶段语言发展的四个阶段以及网络安全编程的常用技术:以及网络安全编程的常用技术:Socket编编程、注册表编程以及驻留编程等等。程、注册表编程以及驻留编程等等。4第一章第一章 网络安全概述与环境配置网络安全概述与环境配置 5知识点知识点n信息安全信息安全n网络安全网络安全n研究的必要性研究的必要性n社会意义社会意义n相关法规相关法规n评价标准评价标准n操作操作6知识点知识点信息安全信息安全n定义定义n研究内容研究内容n研究层次研究层次n基本要求基本要求CIAnPDRR保障体系保障体
3、系n可信计算可信计算7信息安全定义信息安全定义 n网络安全网络安全是信息安全学科的重要组成部分。是信息安全学科的重要组成部分。n信息安全信息安全是一门交叉学科,广义上,信息是一门交叉学科,广义上,信息安全涉及多方面的理论和应用知识,除了安全涉及多方面的理论和应用知识,除了数学、通信、计算机等自然科学外,还涉数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。及法律、心理学等社会科学。n狭义上,也就是通常说的信息安全,只是狭义上,也就是通常说的信息安全,只是从从自然科学自然科学的角度介绍信息安全的研究内的角度介绍信息安全的研究内容。容。8信息安全研究内容信息安全研究内容 n信息安全各部
4、信息安全各部分研究内容及分研究内容及相互关系如右相互关系如右图。图。n分为基础理论分为基础理论研究、应用技研究、应用技术研究和安全术研究和安全管理研究。管理研究。9信息安全研究层次信息安全研究层次 n信息安全从总体上可以分成信息安全从总体上可以分成5个层次:个层次:安安全的密码算法,安全协议,网络安全,系全的密码算法,安全协议,网络安全,系统安全以及应用安全统安全以及应用安全。层次结构如图。层次结构如图 10信息安全的基本要求信息安全的基本要求 nCIAn保密性保密性Confidentialityn完整性完整性Integrityn可用性可用性Availability11信息安全的基本要求信息安
5、全的基本要求 n保密性是指保证信息保密性是指保证信息不能被非授权访问不能被非授权访问,即,即使非授权用户得到信息也无法知晓信息内容,使非授权用户得到信息也无法知晓信息内容,因而不能使用。因而不能使用。n通常通过通常通过访问控制阻止访问控制阻止非授权用户获得机密非授权用户获得机密信息,通过信息,通过加密变换阻止加密变换阻止非授权用户获知信非授权用户获知信息内容。息内容。12信息安全的基本要求信息安全的基本要求 n完整性是指维护信息的一致性,即信息在完整性是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。人为或非人为的非
6、授权篡改。n一般通过一般通过访问控制阻止访问控制阻止篡改行为,同时通篡改行为,同时通过过消息摘要算法消息摘要算法来检验信息是否被篡改。来检验信息是否被篡改。n信息的完整性包括两个方面:(信息的完整性包括两个方面:(1)数据完数据完整性整性:数据没有被未授权篡改或者损坏;:数据没有被未授权篡改或者损坏;(2)系统完整性系统完整性:系统未被非法操纵,按:系统未被非法操纵,按既定的目标运行。既定的目标运行。13信息安全的基本要求信息安全的基本要求 n可用性是指保障信息资源可用性是指保障信息资源随时可提供服务随时可提供服务的能力特性的能力特性,即授权用户根据需要可以随,即授权用户根据需要可以随时访问所
7、需信息。时访问所需信息。n可用性是信息资源服务功能和性能可靠性可用性是信息资源服务功能和性能可靠性的度量,涉及到物理、网络、系统、数据、的度量,涉及到物理、网络、系统、数据、应用和用户等多方面的因素,是对应用和用户等多方面的因素,是对信息网信息网络总体可靠性的要求络总体可靠性的要求。14信息安全的发展信息安全的发展 n20世纪世纪60年代:倡导通信保密措施年代:倡导通信保密措施n20世纪世纪60到到70年代:逐步推行计算机安年代:逐步推行计算机安全全n20世纪世纪80年代到年代到90年代:广泛提出的信年代:广泛提出的信息安全概念息安全概念n20世纪世纪90年代以后,开始倡导信息保障年代以后,开
8、始倡导信息保障(IA,Information Assurance)。)。n信息保障的核心思想是对系统或者数据的信息保障的核心思想是对系统或者数据的4个方面的要求:保护(个方面的要求:保护(Protect),检测),检测(Detect),反应(),反应(React)和恢复)和恢复(Restore)。)。15PDRR保障体系保障体系n保护(保护(Protect)指采用可能采取的手段保)指采用可能采取的手段保障信息的保密性、完整性、可用性、可控障信息的保密性、完整性、可用性、可控性和不可否认性。性和不可否认性。n检测(检测(Detect)指提供工具检查系统可能)指提供工具检查系统可能存在的黑客攻击、
9、白领犯罪和病毒泛滥等存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。脆弱性。16PDRR保障体系保障体系n反应(反应(React)指对危及安全的事件、行)指对危及安全的事件、行为、过程及时做出响应处理,杜绝危害的为、过程及时做出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常进一步蔓延扩大,力求系统尚能提供正常服务。服务。n恢复(恢复(Restore)指一旦系统遭到破坏,尽)指一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。快恢复系统功能,尽早提供正常的服务。17可信计算可信计算n可信计算主要关注的是硬件的安全性和软可信计算主要关注的是硬件的安全性和软件安全性的协作。件安全性的协作
10、。nTCG(Trusted Computing Group)目的是)目的是在计算和通信系统中广泛使用基于硬件安在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台(全模块支持下的可信计算平台(TCP,Trusted Computing Platform),以提高),以提高整体的安全性。整体的安全性。18知识点知识点网络安全网络安全n定义定义n攻防体系攻防体系n层次体系层次体系19网络安全的定义网络安全的定义 n网络安全(网络安全(Network Security)是一门涉及是一门涉及计算机科学、网络技术、通信技术、密码计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、
11、数论、技术、信息安全技术、应用数学、数论、信息论等多种学科的信息论等多种学科的综合性科学综合性科学。n从总体上,网络安全可以分成两大方面:从总体上,网络安全可以分成两大方面:网络攻击技术网络攻击技术和和网络防御技术网络防御技术,只有全面,只有全面把握两方面的内容,才能真正掌握计算机把握两方面的内容,才能真正掌握计算机网络安全技术。网络安全技术。20网络安全的攻防体系网络安全的攻防体系 网络安全攻击防御体系攻击技术网络扫描网络监听网络入侵网络后门与网络隐身防御技术操作系统安全配置技术加密技术防火墙技术入侵检测技术网络安全物理基础操作系统:Unix/Linux/Windows网络协议:TCP/IP
12、/UDP/SMTP/POP/FTP/HTTP网络安全的实施工具软件:Sniffer/X-Scan/防火墙软件/入侵检测软件/加密软件 等等编程语言:C/C+/Perl21攻击技术攻击技术五个方面五个方面n1、网络监听:自己不主动去攻击别人,、网络监听:自己不主动去攻击别人,在计算机上设置一个程序去监听目标计算在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。机与其他计算机通信的数据。n2、网络扫描:利用程序去扫描目标计算、网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。侵该计算机做准备。n3、网络入侵:当探测
13、发现对方存在漏洞、网络入侵:当探测发现对方存在漏洞以后,入侵到目标计算机获取信息。以后,入侵到目标计算机获取信息。22攻击技术攻击技术n4、网络后门:成功入侵目标计算机后,、网络后门:成功入侵目标计算机后,为了对为了对“战利品战利品”的长期控制,在目标计的长期控制,在目标计算机中种植木马等后门。算机中种植木马等后门。n5、网络隐身:入侵完毕退出目标计算机、网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被后,将自己入侵的痕迹清除,从而防止被对方管理员发现。对方管理员发现。23防御技术防御技术n1、操作系统的安全配置:操作系统的安、操作系统的安全配置:操作系统的安全是整个网络安
14、全的关键。全是整个网络安全的关键。n2、加密技术:为了防止被监听和盗取数、加密技术:为了防止被监听和盗取数据,将所有的数据进行加密。据,将所有的数据进行加密。n3、防火墙技术:利用防火墙,对传输的、防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。数据进行限制,从而防止被入侵。n4、入侵检测:如果网络防线最终被攻破、入侵检测:如果网络防线最终被攻破了,需要及时发出被入侵的警报。了,需要及时发出被入侵的警报。n5、网络安全协议:保证传输的数据不被、网络安全协议:保证传输的数据不被截获和监听。截获和监听。24网络安全的层次体系网络安全的层次体系n从层次体系上,可以将网络安全分成四个从层
15、次体系上,可以将网络安全分成四个层次上的安全:层次上的安全:n1、物理安全;、物理安全;n2、逻辑安全;、逻辑安全;n3、操作系统安全;、操作系统安全;n4、联网安全。、联网安全。25物理安全物理安全n物理安全主要包括五个方面:物理安全主要包括五个方面:n1、防盗、防盗n2、防火、防火n3、防静电、防静电n4、防雷击、防雷击n5、防电磁泄漏。、防电磁泄漏。26逻辑安全逻辑安全n口令、文件许可等方法;口令、文件许可等方法;n限制登录的次数或对试探操作加上时间限限制登录的次数或对试探操作加上时间限制制n用软件来保护存储在计算机文件中的信息;用软件来保护存储在计算机文件中的信息;n通过硬件完成,在接
16、收到存取要求后,先通过硬件完成,在接收到存取要求后,先询问并校核口令,然后访问列于目录中的询问并校核口令,然后访问列于目录中的授权用户标志号;授权用户标志号;n安全软件包:跟踪可疑的、未授权的存取安全软件包:跟踪可疑的、未授权的存取企图企图27操作系统操作系统安全安全 n操作系统是计算机中最基本、最重要的软操作系统是计算机中最基本、最重要的软件。件。n同一计算机可以安装几种不同的操作系统。同一计算机可以安装几种不同的操作系统。n操作系统必须能区分用户,以便于防止操作系统必须能区分用户,以便于防止相互干扰。相互干扰。n安全性较高、功能较强的操作系统可以为安全性较高、功能较强的操作系统可以为计算机
17、的每一位用户分配账户。计算机的每一位用户分配账户。n不允许一个用户修改由另一个账户产生的不允许一个用户修改由另一个账户产生的数据。数据。28联网安全联网安全n联网的安全性通过两方面的安全服务来达联网的安全性通过两方面的安全服务来达到:到:n1、访问控制服务:用来保护计算机和、访问控制服务:用来保护计算机和联网资源不被非授权使用。联网资源不被非授权使用。n2、通信安全服务:用来认证数据机要、通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。性与完整性,以及各通信的可信赖性。29知识点知识点研究的必要性研究的必要性 n网络需要与外界联系,受到许多方面的威网络需要与外界联系,受到许多方
18、面的威胁胁n物理威胁物理威胁n系统漏洞造成的威胁系统漏洞造成的威胁n身份鉴别威胁身份鉴别威胁n线缆连接威胁线缆连接威胁n有害程序等方面威胁。有害程序等方面威胁。30物理威胁物理威胁 n物理威胁包括四个方面物理威胁包括四个方面n偷窃偷窃n废物搜寻废物搜寻n间谍行为间谍行为n身份识别错误。身份识别错误。31系统漏洞威胁系统漏洞威胁n系统漏洞造成的威胁包括三个方面系统漏洞造成的威胁包括三个方面n乘虚而入乘虚而入n不安全服务不安全服务n配置和初始化错误。配置和初始化错误。32身份鉴别威胁身份鉴别威胁n身份鉴别造成威胁包括四个面身份鉴别造成威胁包括四个面n口令圈套口令圈套n口令破解口令破解n算法考虑不周
19、算法考虑不周n编辑口令编辑口令33线缆连接威胁线缆连接威胁n线缆连接造成的威胁包括三个方面线缆连接造成的威胁包括三个方面n窃听窃听n拨号进入拨号进入n冒名顶替冒名顶替34有害程序威胁有害程序威胁n有害程序造成的威胁包括三个方面有害程序造成的威胁包括三个方面n病毒病毒n代码炸弹代码炸弹n特洛伊木马特洛伊木马35知识点知识点社会意义社会意义 n目前研究网络安全已经不只为了信息和数目前研究网络安全已经不只为了信息和数据的安全性。据的安全性。n网络安全与政治网络安全与政治n网络安全与经济网络安全与经济n网络安全与社会稳定网络安全与社会稳定n网络安全与军事网络安全与军事36知识点知识点相关法规相关法规n
20、国内:目前网络安全方面的法规已经写入国内:目前网络安全方面的法规已经写入中华人民共和国宪法。中华人民共和国宪法。n国际:美国和日本是计算机网络安全比较国际:美国和日本是计算机网络安全比较完善的国家,一些发展中国家和第三世界完善的国家,一些发展中国家和第三世界国家的计算机网络安全方面的法规还不够国家的计算机网络安全方面的法规还不够完善。完善。37知识点知识点评价标准评价标准n国内国内五级五级层次层次n网络安全橙皮书:四类网络安全橙皮书:四类nDnCnBnA38我国评价标准我国评价标准n在我国根据在我国根据计算机信息系统安全保护等级计算机信息系统安全保护等级划分准则划分准则,将计算机安全保护划分为
21、以下,将计算机安全保护划分为以下五个级别五个级别n第一级为用户自主保护级第一级为用户自主保护级n第二级为系统审计保护级第二级为系统审计保护级n第三级为安全标记保护级第三级为安全标记保护级n第四级为结构化保护级第四级为结构化保护级n第五级为访问验证保护级第五级为访问验证保护级39我国评价标准我国评价标准n第一级为用户自主保护级:它的安全保护机第一级为用户自主保护级:它的安全保护机制使用户具备自主安全保护的能力,保护用制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。户的信息免受非法的读写破坏。n第二级为系统审计保护级:除具备第一级所第二级为系统审计保护级:除具备第一级所有的安全保
22、护功能外,要求创建和维护访问有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行的审计跟踪记录,使所有的用户对自己的行为的合法性负责。为的合法性负责。40我国评价标准我国评价标准n第三级为安全标记保护级:除继承前一个级第三级为安全标记保护级:除继承前一个级别的安全功能外,还要求以访问对象标记的别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访安全级别限制访问者的访问权限,实现对访问对象的强制保护。问对象的强制保护。n第四级为结构化保护级:在继承前面安全级第四级为结构化保护级:在继承前面安全级别安全功能的基础上,将安全保护机制划分别安全功能的基础
23、上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系控制访问者对访问对象的存取,从而加强系统的抗渗透能力统的抗渗透能力41我国评价标准我国评价标准n第五级为访问验证保护级:这一个级别特别第五级为访问验证保护级:这一个级别特别增设了访问验证功能,负责仲裁访问者对访增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。问对象的所有访问活动。42国际评价标准国际评价标准n根据美国国防部开发的计算机安全标准根据美国国防部开发的计算机安全标准可信任计算机标准评价准则(可信任计算机标准评价准则(Trusted Com
24、puter Standards Evaluation Criteria:TCSEC),也就是),也就是网络安全橙皮书网络安全橙皮书。n橙皮书把安全的级别从低到高分成橙皮书把安全的级别从低到高分成4个类个类别:别:D类、类、C类、类、B类和类和A类,每类又分几类,每类又分几个级别,个级别,43国际评价标准国际评价标准类别类别级别级别名称名称主要特征主要特征DD低级保护低级保护没有安全保护没有安全保护CC1自主安全保护自主安全保护自主存储控制自主存储控制C2受控存储控制受控存储控制单独的可查性,安全标识单独的可查性,安全标识BB1标识的安全保护标识的安全保护强制存取控制,安全标识强制存取控制,安全
25、标识B2结构化保护结构化保护面向安全的体系结构,较好的抗渗面向安全的体系结构,较好的抗渗透能力透能力B3安全区域安全区域存取监控、高抗渗透能力存取监控、高抗渗透能力AA验证设计验证设计形式化的最高级描述和验证形式化的最高级描述和验证44国际评价标准国际评价标准nD级是最低的安全级别,拥有这个级别的级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。人都可以自由进出,是完全不可信任的。n对于硬件来说,是没有任何保护措施的,对于硬件来说,是没有任何保护措施的,操作系统容易受到损害,没有系统访问限操作系统容易受
26、到损害,没有系统访问限制和数据访问限制,任何人不需任何账户制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问都可以进入系统,不受任何限制可以访问他人的数据文件。他人的数据文件。n属于这个级别的操作系统有:属于这个级别的操作系统有:nDOS和和Windows98等。等。45国际评价标准国际评价标准nC1是是C类的一个安全子级。类的一个安全子级。C1又称选择性又称选择性安全保护(安全保护(Discretionary Security Protection)系统。)系统。n这种级别的系统对硬件又有某种程度的保护,这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,
27、系统通过账号如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。到损害的可能性仍然存在。n用户拥有的访问权是指对文件和目标的访问用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的的访问属性,从而对不同的用户授予不通的访问权限。访问权限。46国际评价标准国际评价标准n使用附加身份验证就可以让一个使用附加身份验证就可以让一个C2级系统级系
28、统用户在不是超级用户的情况下有权执行系用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权给用户分组,授予他们访问某些程序的权限或访问特定的目录。限或访问特定的目录。n能够达到能够达到C2级别的常见操作系统有:级别的常见操作系统有:n(1)、)、Unix系统系统n(2)、)、Novell 3.X或者更高版本或者更高版本n(3)、)、Windows NT、Windows 2000和和Windows 200347国际评价标准国际评价标准nB级中有三个级别,级中有三个级别,B1级即标志安全保护级即标志安全保护
29、(Labeled Security Protection),是支持多),是支持多级安全(例如:秘密和绝密)的第一个级别,级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权象,系统不允许文件的拥有者改变其许可权限。限。n安全级别存在保密、绝密级别,这种安全级安全级别存在保密、绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。防部和国家安全局的计算机系统。48国际评价标准国际评价标准nB2级,又叫结构保护级别(级,又叫结
30、构保护级别(Structured Protection),它要求计算机系统中所有的),它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。带和终端)分配单个或者多个安全级别。nB3级,又叫做安全域级别(级,又叫做安全域级别(Security Domain),使用安装硬件的方式来加强域),使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接该级别也
31、要求用户通过一条可信任途径连接到系统上。到系统上。49国际评价标准国际评价标准nA级,又称验证设计级别(级,又称验证设计级别(Verified Design),是当前橙皮书的最高级别,它),是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性该级别包含了较低级别的所有的安全特性n设计必须从数学角度上进行验证,而且必设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信须进行秘密通道和可信任分布分析。可信任分布(任分布(Trusted Distribution)的含义是:)的含义是:硬件和软件
32、在物理传输过程中已经受到保硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。护,以防止破坏安全系统。50知识点知识点操作操作n网络安全是一门实践性很强的学科,包括网络安全是一门实践性很强的学科,包括许多试验。许多试验。n网络安全实验配置最少应该有两个独立的网络安全实验配置最少应该有两个独立的操作系统,而且两个操作系统可以通过以操作系统,而且两个操作系统可以通过以太网进行通信。太网进行通信。n安装安装VMware虚拟机虚拟机n配置配置VMware虚拟机虚拟机n网络抓包软件网络抓包软件Sniffer安装安装n使用使用Sniffer抓包抓包51第二章第二章 网络安全协议基础网络安全协议基础
33、 52知识点知识点nOSI参考模型参考模型nTCP/IP协议簇协议簇nIP协议协议nTCP协议协议nUDP协议协议nICMP协议协议n常用的网络服务常用的网络服务n常用的网络命令常用的网络命令53网络体系结构的基本概念网络体系结构的基本概念通信者活动邮局服务业务邮局转送业务发信者收信者运输部门的邮件运输业务书写信件贴邮票送邮箱收集信件盖邮戳信件分拣信件打包送运输部门路由选择运输转送邮局接收邮包分发邮件邮件拆包信件投递信件分拣阅读信件通信者活动邮局服务业务邮局转送业务各层之间通过接口,处理人员不需要知道下层的组织各层之间通过接口,处理人员不需要知道下层的组织54知识点知识点OSI参考模型参考模型
34、 nOSI参考模型是国际标参考模型是国际标准化组织准化组织ISO(International Standards Organization)制定的制定的模型,把计算机与计算模型,把计算机与计算机之间的通信分成七个机之间的通信分成七个互相连接的协议层,结互相连接的协议层,结构如右图所示。构如右图所示。551、物理层(、物理层(Physical Layer)n利用传输介质为通信的网络结点之间建立、管利用传输介质为通信的网络结点之间建立、管理和释放物理连接;实现比特流的透明传输理和释放物理连接;实现比特流的透明传输n物理层的数据传输单元是比特。物理层的数据传输单元是比特。n物理层只能看见物理层只能看
35、见0和和1,只与电信号技术和光信,只与电信号技术和光信号技术的物理特征相关。该层的传输介质是同号技术的物理特征相关。该层的传输介质是同轴电缆、光纤、双绞线等。轴电缆、光纤、双绞线等。n物理层可能受到的安全威胁是搭线窃听和监听,物理层可能受到的安全威胁是搭线窃听和监听,可以利用数据加密、数据标签加密,数据标签,可以利用数据加密、数据标签加密,数据标签,流量填充等方法保护物理层的安全。流量填充等方法保护物理层的安全。562、数据链路层(、数据链路层(Data Link Layer)n在物理层提供的服务基础上,数据链路层在在物理层提供的服务基础上,数据链路层在 通信的实体间建立数据链路连接;通信的实
36、体间建立数据链路连接;n传输以传输以“帧帧”为单位的数据包;为单位的数据包;n采用差错控制与流量控制方法,使有差错的采用差错控制与流量控制方法,使有差错的 物理线路变成无差错的数据链路。物理线路变成无差错的数据链路。573、网络层(、网络层(Network Layer)n当报文不得不跨越两个或多个网络时,又当报文不得不跨越两个或多个网络时,又会产生很多新问题。网络层必须解决这些会产生很多新问题。网络层必须解决这些问题,使异构网络能够互连。问题,使异构网络能够互连。n在单个局域网中,网络层是冗余的,因为在单个局域网中,网络层是冗余的,因为报文是直接从一台计算机传送到另一台计报文是直接从一台计算机
37、传送到另一台计算机的。算机的。n通过路由选择算法为分组通过通信子网选通过路由选择算法为分组通过通信子网选择最适当的路径;择最适当的路径;n为数据在结点之间传输创建逻辑链路;为数据在结点之间传输创建逻辑链路;n实现拥塞控制、网络互连等功能。实现拥塞控制、网络互连等功能。n其传输单元是分组其传输单元是分组584、传输层(、传输层(Transport Layer)n向用户提供可靠端到端(向用户提供可靠端到端(end-to-endend-to-end)服服务;务;n处理数据包错误、数据包次序,以及其他处理数据包错误、数据包次序,以及其他一些关键传输问题;一些关键传输问题;n传输层向高层屏蔽了下层数据通
38、信的细节,传输层向高层屏蔽了下层数据通信的细节,是计算机通信体系结构中关键的一层。是计算机通信体系结构中关键的一层。n其传输单元是报文其传输单元是报文595、会话层(、会话层(Session Layer)n负责维护两个结点之间的传输链接,以便确负责维护两个结点之间的传输链接,以便确保点到点传输不中断;管理数据交换;管理保点到点传输不中断;管理数据交换;管理对话控制。对话控制。n会话层允许信息同时双向传输,或限制只能会话层允许信息同时双向传输,或限制只能单向传输。如果属于后者,类似于物理信道单向传输。如果属于后者,类似于物理信道上的半双工模式,会话层将记录此时该轮到上的半双工模式,会话层将记录此
39、时该轮到哪一方。哪一方。n一种与对话控制有关的服务是令牌管理一种与对话控制有关的服务是令牌管理(Token Management)。)。606、表示层(、表示层(Presentation Layer)n表示层关心的是所传送的信息的语法和语表示层关心的是所传送的信息的语法和语义。义。n表示层服务的一个典型例子是用一种一致表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。选定的标准方法对数据进行编码。n用于处理在两个通信系统中交换信息的表用于处理在两个通信系统中交换信息的表示方式;示方式;n数据格式变换;数据格式变换;n数据加密与解密;数据加密与解密;n数据压缩与恢复。数据压缩与恢
40、复。617、应用层(、应用层(Application Layer)n应用层包含大量人们普遍需要的协议;应用层包含大量人们普遍需要的协议;n为应用程序提供了网络服务为应用程序提供了网络服务;n应用层需要识别并保证通信对方的可用性,应用层需要识别并保证通信对方的可用性,使得协同工作的应用程序之间的同步使得协同工作的应用程序之间的同步;n建立传输错误纠正与保证数据完整性的控制建立传输错误纠正与保证数据完整性的控制机制。机制。62知识点知识点TCP/IP协议簇协议簇nTCP/IP协议簇模型协议簇模型 n和其他网络协议一样,和其他网络协议一样,TCP/IP有自己的参考有自己的参考模型用于描述各层的模型用
41、于描述各层的功能。功能。TCP/IP协议簇协议簇参考模型和参考模型和OSI参考参考模型的比较如右图所模型的比较如右图所示。示。63TCP/IP协议簇协议簇nTCP/IP参考模型实现了参考模型实现了OSI模型中的所有模型中的所有功能。功能。n不同之处是不同之处是TCP/IP协议模型将协议模型将OSI模型的模型的部分层进行了合并。部分层进行了合并。nOSI模型对层的划分更精确,而模型对层的划分更精确,而TCP/IP模模型使用比较宽的层定义。型使用比较宽的层定义。64解剖解剖TCP/IP模型模型nTCP/IP协议簇包括四个功能层:应用层、协议簇包括四个功能层:应用层、传输层、网络层及网络接口层。传输
42、层、网络层及网络接口层。n1、网络接口层、网络接口层n网络接口层包括用于物理连接、传输的网络接口层包括用于物理连接、传输的所有功能。所有功能。OSI模型把这一层功能分为模型把这一层功能分为两层:物理层和数据链路层,两层:物理层和数据链路层,TCP/IP参参考模型把两层合在一起。考模型把两层合在一起。n2、网络层(、网络层(Internet层)层)n网络层由在两个主机之间通信所必须的网络层由在两个主机之间通信所必须的协议和过程组成。这意味着数据报文必协议和过程组成。这意味着数据报文必须是可路由的。须是可路由的。65解剖解剖TCP/IP模型模型n3、传输层、传输层n这一层支持的功能包括:为了在网络
43、中这一层支持的功能包括:为了在网络中传输对应用数据进行分段,执行数学检传输对应用数据进行分段,执行数学检查来保证所收数据的完整性,为多个应查来保证所收数据的完整性,为多个应用同时传输数据多路复用数据流用同时传输数据多路复用数据流(传输传输和接收和接收)。这意味着该层能识别特殊应。这意味着该层能识别特殊应用,对乱序收到的数据进行重新排序。用,对乱序收到的数据进行重新排序。n当前的主机到主机层包括两个协议实体:当前的主机到主机层包括两个协议实体:传输控制协议传输控制协议(TCP)和用户数据报协议和用户数据报协议(UDP)。66解剖解剖TCP/IP模型模型n4、应用层、应用层n应用层协议提供远程访问
44、和资源共享。应用层协议提供远程访问和资源共享。应用包括应用包括Telnet服务、服务、FTP服务、服务、SMTP服务和服务和HTTP服务等,很多其他应用程服务等,很多其他应用程序驻留并运行在此层,并且依赖于底层序驻留并运行在此层,并且依赖于底层的功能。该层是最难保护的一层。的功能。该层是最难保护的一层。67解剖解剖TCP/IP模型模型nTCP/IP组的四层、组的四层、OSI参考模型和常用协议参考模型和常用协议的对应关系如图的对应关系如图2-3所示。所示。68知识点知识点IP协议协议n头结构头结构nIPv4及分类及分类n子网掩码子网掩码69IP协议协议nIP协议已经成为世界上最重要的网际协议。协
45、议已经成为世界上最重要的网际协议。nIP的功能定义在由的功能定义在由IP头结构的数据中。头结构的数据中。IP是是网络层上的主要协议,同时被网络层上的主要协议,同时被TCP协议和协议和UDP协议使用。协议使用。nTCP/IP的整个数据报在数据链路层的结构的整个数据报在数据链路层的结构如下表所示。如下表所示。以太网数以太网数据包头据包头IP头头TCP/UDP/ICMP/IGMP头头数据数据70IP头的结构头的结构nIP头的结构如下表所示头的结构如下表所示版本(版本(4位)位)头长度(头长度(4位)位)服务类型(服务类型(8位)位)封包总长度(封包总长度(16位)位)封包标识(封包标识(16位)位)
46、标志(标志(3位)位)片断偏移地址(片断偏移地址(13位)位)存活时间(存活时间(8位)位)协议(协议(8位)位)校验和(校验和(16位)位)来源来源IP地址(地址(32位)位)目的目的IP地址(地址(32位)位)选项(可选)选项(可选)填充(可选)数据数据71IP头的结构头的结构72IP地址分类地址分类 n大型的互连网络中需要有一个全局的地址大型的互连网络中需要有一个全局的地址系统,它能够给每一台主机或路由器的网系统,它能够给每一台主机或路由器的网络连接分配一个络连接分配一个全局唯一的地址全局唯一的地址;nTCP/IP协议的网络层使用的地址标识符叫协议的网络层使用的地址标识符叫做做IP地址;
47、地址;n网络中的每一个主机或路由器网络中的每一个主机或路由器至少有一个至少有一个IP地址地址;n在在Internet中中不允许不允许有两个设备具有有两个设备具有同样同样的的IP地址地址;n地址地址。73IPv4的的IP地址分类地址分类 nIPv4地址在地址在1981年年9月实现标准化的。基月实现标准化的。基本的本的IP地址是地址是8位一个单元的位一个单元的32位二进制位二进制数。为了方便人们的使用,对机器友好的数。为了方便人们的使用,对机器友好的二进制地址转变为人们更熟悉的十进制地二进制地址转变为人们更熟悉的十进制地址。址。nIP地址中的每一个地址中的每一个8位组用位组用0255之间的之间的一
48、个十进制数表示。这些数之间用点一个十进制数表示。这些数之间用点“.”隔开,因此,最小的隔开,因此,最小的IPv4地址值为地址值为0.0.0.0,最大的地址值为最大的地址值为255.255.255.255,然而这,然而这两个值是保留的,没有分配给任何系统。两个值是保留的,没有分配给任何系统。74点分十进制记法点分十进制记法 10000000000010110000001100011111 机器中存放的机器中存放的 IP 地址地址是是 32 bit 二进制代码二进制代码10000000 00001011 00000011 00011111 每隔每隔 8 bit 插入一个空格插入一个空格能够提高可读
49、性能够提高可读性采用点分十进制记法采用点分十进制记法则进一步提高可读性则进一步提高可读性128.11.3.31 128 11 3 31 将每将每 8 bit 的二进制数的二进制数转换为十进制数转换为十进制数75IPv4的的IP地址分类地址分类 nIP地址采用分层结构;地址采用分层结构;nIP地址是由网络号(地址是由网络号(net ID)与主与主机号(机号(host ID)两部分组成的;两部分组成的;网络号主机号IP地址76n每一类地址都由两个固定长度的字段组成,每一类地址都由两个固定长度的字段组成,其中一个字段是网络号其中一个字段是网络号 net-id,它标志主机它标志主机(或路由器)所连接到
50、的网络,而另一个字(或路由器)所连接到的网络,而另一个字段则是主机号段则是主机号 host-id,它标志该主机(或它标志该主机(或路由器)。路由器)。IPv4的的IP地址分类地址分类77n发送分组的主机发送分组的主机 源主机源主机 源源IP地址地址n接收分组的主机接收分组的主机 目的主机目的主机 目的目的IP地址地址cc:mailFrom:168.113.2.144To:155.233.25.76IP数据包数据IP在现实中的例子在现实中的例子78IPv4的的IP地址分类地址分类 n根据不同的取值范围,根据不同的取值范围,IP地址可以分为五地址可以分为五类:类:A类地址、类地址、B类地址、类地址
