第01章網(wǎng)絡基礎知識與Internet

網(wǎng)絡安全講課人：田立勤

日期：2010年9月課程信息課程基本介紹：見教學日歷輔導答疑時間：周三晚8—9:30；答疑地點：1號樓3層,網(wǎng)絡工程教研室每個班有一個聯(lián)系人負責考勤、收發(fā)作業(yè)，聯(lián)系學習、上課等（手機和電話）一般作業(yè)：使用電子郵件（不得copy，否則后果自負）內(nèi)容見教學日歷大作業(yè)教師信息姓名:

田立勤

(

職稱:教授；學士：延安大學數(shù)學系；碩士：清華大學；博士：北京科技大學，博士后：清華大學。主要研究方向計算機網(wǎng)絡的性能評價和計算機網(wǎng)絡服務質量（QOS），密碼學和網(wǎng)絡安全控制，可信網(wǎng)絡

電子郵件:

tianliqin@地址:

1號教學樓3層計算機系網(wǎng)絡工程教研室歡迎大家多多聯(lián)系！學科劃分計算機科學與技術計算機體系結構計算機網(wǎng)絡計算機網(wǎng)絡安全計算機軟件與理論計算機應用計算機網(wǎng)絡安全與計算機科學與技術并列（好找工作，好考學，不要鋪得太寬，面試：語文，英語，計算機＋專業(yè)特長）安全應提供的服務鑒別服務訪問控制服務數(shù)據(jù)完整性服務數(shù)據(jù)保密服務抗抵賴性服務安全保障機制加密機制

數(shù)字簽名機制

訪問控制機制

數(shù)據(jù)完整性機制

認證(鑒別)機制

通信業(yè)務填充機制

路由選擇控制機制

公證機制

目前網(wǎng)絡受到的主要安全危險黑客攻擊

惡意程序

病毒

蠕蟲

特洛伊木馬

拒絕服務攻擊

DOS，DDOS僵尸網(wǎng)絡（防止你的計算機成為僵尸網(wǎng)絡的一部分）網(wǎng)絡安全防范技術病毒防范防火墻入侵檢測數(shù)據(jù)加密技術(機密性（保密性）不可抵賴性(不可抵賴性)完整性（完整性）可識別性(鑒別，認證技術)可用性（可用性,可靠性）可信性()可追溯性//可審查性可控性（訪問控制）Vlan系統(tǒng)和軟件的打補丁，補漏洞協(xié)議安全（Ipsecfor分組），SSL（安全套接層forwww））,VPN）技術的，非技術的（管理，法律制度)第1章網(wǎng)絡基礎知識與Internet 本章是計算機網(wǎng)絡安全的第一課，在這一章里將要介紹：

●網(wǎng)絡參考模型OSI

●網(wǎng)絡互聯(lián)設備

●局域網(wǎng)

●廣域網(wǎng)

●TCP／IP與Internet提供的主要服務中國互聯(lián)網(wǎng)信息中心歷次調查上網(wǎng)計算機總數(shù)目前網(wǎng)絡發(fā)展狀況截至2008年7月，中國網(wǎng)民總人數(shù)達到2.53億，中國網(wǎng)民規(guī)模已躍居世界第一位。比去年同期增長了9100萬人，在2008年上半年，中國網(wǎng)民數(shù)量凈增量為4300萬人。。截至2008年6月底，中國互聯(lián)網(wǎng)普及率達到19.1%，目前仍只有不到1/5的中國居民是網(wǎng)民。這一普及率略低于全球21.1%的平均互聯(lián)網(wǎng)普及率。目前全球互聯(lián)網(wǎng)普及率最高的國家是冰島，已經(jīng)有85.4%的居民是網(wǎng)民。中國的鄰國韓國、日本的普及率分別為71.2%和68.4%。與中國經(jīng)濟發(fā)展歷程有相似性的俄羅斯互聯(lián)網(wǎng)普及率則是20.8%。

認為互聯(lián)網(wǎng)非常有幫助和有幫助的網(wǎng)民比例

互聯(lián)網(wǎng)對網(wǎng)民各方面幫助程度打分情況分布

目前排名前十位的網(wǎng)絡應用網(wǎng)絡音樂、網(wǎng)絡新聞、即時通信、網(wǎng)絡視頻、搜索引擎、電子郵件、網(wǎng)絡游戲、博客/個人空間、論壇/BBS和網(wǎng)絡購物。

網(wǎng)上銀行、網(wǎng)上炒股/基金、網(wǎng)絡求職和網(wǎng)絡教育四項網(wǎng)絡應用是互聯(lián)網(wǎng)作為實用性工具的體現(xiàn)，但鑒于目前中國的這四項網(wǎng)絡應用使用人數(shù)還不多，目前將這些網(wǎng)絡應用歸入其他類網(wǎng)絡應用討論。

網(wǎng)民對互聯(lián)網(wǎng)的信任度滿分為5分，代表網(wǎng)民對互聯(lián)網(wǎng)某方面非常信任，1分為最低分，代表網(wǎng)民對互聯(lián)網(wǎng)某方面非常不信任。網(wǎng)民對互聯(lián)網(wǎng)的論壇/博客內(nèi)容、網(wǎng)上交易安全性信任程度不高，滿分為5分，兩者平均得分均低于3分。各業(yè)界需要共同促進互聯(lián)網(wǎng)誠信方面的建設。

網(wǎng)民對互聯(lián)網(wǎng)信任度打分情況分布網(wǎng)民對互聯(lián)網(wǎng)信任度打分情況分布1.1網(wǎng)絡參考模型OSI1.1.1分層通信從整個網(wǎng)絡體系結構看，網(wǎng)絡技術的發(fā)展在兩個方向最多最復雜，一是體現(xiàn)在應用層的各種新的應用技術層出不窮，另外是在網(wǎng)絡的低三層（通信子網(wǎng)的發(fā)展，為提高網(wǎng)絡速度，承載各種應用），而中間層主要還是以TCP/UDP為主，或對它提出的一些補充修改。1.1網(wǎng)絡參考模型OSI1.1網(wǎng)絡參考模型OSI1.1.1分層通信（1）應用層。這是OSI模型的最高層。它是應用進程訪問網(wǎng)絡服務的窗口。這一層直接為網(wǎng)絡用戶或應用程序提供各種各樣的網(wǎng)絡服務，它是計算機網(wǎng)絡與最終用戶間的界面。應用層提供的網(wǎng)絡服務包括文件服務、打印服務、目錄服務、網(wǎng)絡管理以及數(shù)據(jù)庫服務等。1.1網(wǎng)絡參考模型OSI表示層提供一種公共的信息表示方法（2）表示層。表示層保證了通信設備之間的互操作性。該層的功能使得兩臺內(nèi)部數(shù)據(jù)表示結構都不同的計算機能實現(xiàn)通信。它提供了一種對不同控制碼、字符集和圖形字符等的解釋，而這種解釋是使兩臺設備都能以相同方式理解相同的傳輸內(nèi)容所必需的。表示層還負責為安全性引入的數(shù)據(jù)提供加密與解密，以及為提高傳輸效率提供必需的數(shù)據(jù)壓縮及解壓等功能。1.1網(wǎng)絡參考模型OSI信息的表示：語法和語義；語法：數(shù)據(jù)的表示的格式，由表示層處理它解決異種計算機系統(tǒng)之間的信息表示形式的差異.語義：數(shù)據(jù)內(nèi)容的意義，由應用層的各應用協(xié)議處理FLOWER語義上是花的意思,語法上我們講它看成是字符串.1.1網(wǎng)絡參考模型OSI（3）會話層。會話管理： 會話層是網(wǎng)絡對話控制器，它建立、維護、正常關閉對話。會話層建立和驗證用戶之間的連接，包括口令和登錄確認；它也控制數(shù)據(jù)的交換，決定以何種順序將對話單元傳送到傳輸層1.1網(wǎng)絡參考模型OSI令牌管理：令牌表示會話連接用戶使用會話服務的權力ü擁有令牌的用戶可使用與該屬性相關的服務ü令牌在一個時間點上只分配給一個用戶同步管理:在傳輸過程的哪一點需要接收端的確認(斷點續(xù)傳）。1.1網(wǎng)絡參考模型OSI（4）傳輸層（最關鍵的一層）

利用網(wǎng)絡層的服務和傳輸?shù)膶Φ葘嶓w的功能，向會話層提供服務。以提供可靠的、價格合理的、與網(wǎng)絡層無關的數(shù)據(jù)傳送。提供進程間端到端的、透明的數(shù)據(jù)傳送。(網(wǎng)絡層是提供系統(tǒng)間的數(shù)據(jù)傳送)彌補高層(上3層)要求與網(wǎng)絡層(基于下3層)數(shù)據(jù)傳送服務質量間的差異(吞吐率、延時、費用等)，對高層屏蔽網(wǎng)絡層的服務的差異（網(wǎng)絡提供的服務有：成功傳送，錯誤，丟失的，重復的）同時保證整個消息無差錯、按順序地到達目的地，并在信源和信宿的層次上進行差錯控制和流量控制。傳輸層是進程間端對端的傳輸1.1網(wǎng)絡參考模型OSI（4）傳輸層（最關鍵的一層）傳輸層采取的技術措施復用和分流技術與網(wǎng)絡層服務質量相關；

復用/解復用(multiplexing/demultiplexing)目的：當網(wǎng)絡層服務質量(吞吐量、傳輸延遲等)較好，而運輸層用戶要求不高時，可通過復用可在滿足運輸用戶要求的前提下降低費用。定義：復用/解復用是指在一個網(wǎng)絡連接上支持多個運輸層連接。

1.1網(wǎng)絡參考模型OSI分流/合流(splitting/recombining)目的：當網(wǎng)絡層服務質量(吞吐量、傳輸延遲等)較差，而運輸層用戶要求較高時，通過分流可滿足運輸用戶的要求(提高吞吐量，減少傳輸延遲)。定義：分流/合流是指把一個運輸連接上傳送的會話數(shù)據(jù)映射到多個網(wǎng)絡連接上傳送，各網(wǎng)絡連接可相互獨立地并行傳送。1.1網(wǎng)絡參考模型OSI（5）網(wǎng)絡層功能：?路由控制：利用網(wǎng)絡拓撲結構等網(wǎng)絡狀態(tài)，選擇分組傳送路徑。?擁塞控制：控制和預防網(wǎng)絡中出現(xiàn)過多的分組。?異種網(wǎng)絡的互聯(lián)：解決不同網(wǎng)絡在編址、分組大小、協(xié)議等方面的差異。分組交換方式分成虛電路(面向連接)和數(shù)據(jù)報(無連接方式)兩種方式1.1網(wǎng)絡參考模型OSI（5）網(wǎng)絡層（數(shù)據(jù)報）1.1網(wǎng)絡參考模型OSI（5）網(wǎng)絡層（虛電路）1.1網(wǎng)絡參考模型OSI數(shù)據(jù)鏈路層:數(shù)據(jù)鏈路層從網(wǎng)絡層接收數(shù)據(jù)，并加上有意義的比特位形成報文頭和尾部（用來攜帶地址和其他控制信息）。這些附加信息的數(shù)據(jù)單元稱為幀。數(shù)據(jù)鏈路層負責將數(shù)據(jù)幀無差錯地從一個站點送達下一個相鄰站點，即通過一些數(shù)據(jù)鏈路層協(xié)議完成在不太可靠的物理鏈路上實現(xiàn)可靠的數(shù)據(jù)傳輸（差錯控制和流量控制）。

1.1網(wǎng)絡參考模型OSI（6）數(shù)據(jù)鏈路層的功能：鏈路管理:數(shù)據(jù)鏈路的建立、維持和釋放叫做鏈路管理。幀同步:接收方應當能從收到的比特流中準確地區(qū)分出一幀的開始和結束。（01111110）流量控制:發(fā)送方發(fā)送數(shù)據(jù)的速率必須使接收方來得及接收，當接收方來不及接收時，就必須及時控制發(fā)送方發(fā)送數(shù)據(jù)的速率。（滑動窗口）1.1網(wǎng)絡參考模型OSI（6）數(shù)據(jù)鏈路層。差錯控制1）自動請求重發(fā)自動請求重發(fā)ARQ又稱檢錯重發(fā)。它是利用檢錯編碼的方法在數(shù)據(jù)接收端檢測差錯，當檢測出差錯后，設法通知發(fā)送數(shù)據(jù)端重新發(fā)送數(shù)據(jù)，直到無差錯為止。2）向前糾錯向前糾錯FEC是利用編碼方法，在接收數(shù)據(jù)端不僅對接收數(shù)據(jù)進行檢測，當檢測出差錯后能自動糾正錯誤。1.1網(wǎng)絡參考模型OSI（7）物理層。物理層是OSI的最低層，它建立在物理通信介質的基礎上，作為系統(tǒng)和通信介質的接口，用來實現(xiàn)數(shù)據(jù)鏈路實體間透明的比特（bit）流傳輸。為建立、維持和拆除物理連接，物理層規(guī)定了傳輸介質的機械特性、電氣特性、功能特性和過程特性。 在上述七層中，上五層一般由軟件實現(xiàn)，而下面的兩層是由硬件和軟件實現(xiàn)的。1.1網(wǎng)絡參考模型OSI1.1.2信息格式虛擬局域網(wǎng)技術所謂“虛擬”就是用軟件的方法，將一些屬于不同網(wǎng)絡的終端用戶組合成一個工作群體，就像都連在一個“實際連接”的網(wǎng)絡上工作一般，不管它們是否真的在同一建筑物中或是處在同一建筑群中。虛擬局域網(wǎng)技術虛擬網(wǎng)絡亦即邏輯網(wǎng)絡。在虛擬網(wǎng)上，用戶與相應的網(wǎng)絡資源可進行所需要的各種邏輯結合。例如，可以將任何一個智能

HUB上的任何一個端口，指派到任何一個