计算机网络与信息安全课件第1章 绪论Word格式.docx

1、1.1.3 信息安全的研究内容从学科的角度来讲，信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成，是一个以信息安全理论为核心，以信息技术、信息工程和信息管理等理论体系为支撑，以国家和社会各领域信息安全防护为应用方向的跨学科的交叉性学科群体系。该学科交叉性和边缘性强，应用领域面宽，是一个庞大的学科群体系，涉及计算机科学与技术、通信工程、电子工程、物理、数学等多个学科，横跨理科、工科和军事学等三个门类，涉及的知识点也非常庞杂。随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为攻（攻击）、防（防范）、测

2、（检测）、控（控制）、管（管理）、评（评估）等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域，它综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果，进行自主创新研究，加强顶层设计，提出系统的、完整的，协同的解决方案。与其他学科相比，信息安全的研究更强调自主性和创新性，自主性可以避免信息系统被别国植入后门，体现国家主权；而创新性可以抵抗各种攻击，适应技术发展的需求。就理论研究而言，一些关键的基础理论需要保密，因为从基础理论研究到实际应用的距离很短。现代信息系统中的信息安全其核心问题是密码理论及其应用，其基础是可信信息系统的构建与评估。总的来说，目前在信息安全领域人

3、们所关注的焦点主要有以下几方面： 1） 密码理论与技术；2） 安全协议理论与技术；3） 安全体系结构理论与技术；4） 信息对抗理论与技术；5） 网络安全与安全产品。网络的发展将信息安全的重要性带到一个前所未有的高度。网络是信息安全研究的基础。为了更好地学习信息安全知识，掌握网络的攻防策略，下面将回顾些相关的计算机网络基础知识，作为全书内容的准备。1.2 网络体系结构1.2.1 ISO-OSI模型计算机网络是计算机技术和通信技术相结合的产物。自从1946年第一台电子计算机ENIVAC问世以来，由于计算机网络技术和软件技术的不断发展，人们使用计算机的方式有了根本的改变，由多人通过终端使用一台计算机

4、到现在一人通过计算机网络使用多台计算机。计算机网络是由多个独立的计算机通过通信线路和通信设备互连起来的系统，以实现彼此交换信息和共享资源的目的。计算机网络具有以下功能：数据通信，网络系统中各相连的计算机能够相互传送数据信息，使相距很远的用户之间能够直接交换数据。资源共享，网络中的软件，硬件资源如外部设备、文件系统和数据等可为多个用户所共享。并行和分布式处理，在计算机网络中用户可根据问题的性质和要求选择网内最合适的资源来处理。对于综合性的大问题，可以采用合适的算法，将任务分散到不同的计算机上进行分布和并行处理。提高可靠性，由于控制、数据、软件和硬件的分散性（不存在集中环节），资源冗余以及结构上可

5、动态重组提高了可靠性。好的可扩充性，随着用户需求的增长，包括性能方面和功能方面的增长，只需增加新节点数，而不必替换整个系统。可扩充性可以避免较大的初始投资，另外使用多个微小型机代替一个大型主机，可以获得很好的性能价格比。随着计算机网络的日益普及，它已经应用在各个领域中，我们在日常生活中常见的采用计算机的服务项目，如银行的提款机，销售点的终端，支票和发票的核实等都依赖于计算机网络。下面是计算机网络应用的一些典型领域：服务业:通过计算机网络系统进行酒店和航空公司的在线订票、订房，远程购物等等。金融服务业：现在的金融服务都依赖于计算机网络，如外汇汇兑和投资服务，电子资金转账服务等。企业管理：通过网络

6、信息系统对企业生产、销售、财务等方面进行管理。制造业：计算机网络在制造业的多个方面包括制造过程本身，都有应用。如计算机辅助设计（CAD）和计算机辅助制造（CAM），这两种业务都允许同时有许多用户在同一个项目上工作。电子消息传递：最广泛的应用如电子邮件。信息服务：如电子公告板和WWW站点。实时信息传递：如音频和视频会议，视频点播，远程教学等。总之，计算机网络的应用已经深入到社会和经济生活的各个方面。随着计算机网络应用的不断推广和普及，网络软件的设计和开发越来越流行，目前绝大多数系统软件（例如：操作系统UNIX、Linux、Windows系列等）和应用软件是网络版的。掌握网络安全的原理和方法对于设

7、计和开发网络应用程序是十分重要的。计算机网络要完成数据处理和数据通信两大功能。相应地，网络结构可以分成两大部分：负责数据处理的计算机和终端；负责数据通信的通信控制处理机CPP（Communication Control Processor）、通信线路。计算机网络从逻辑功能上可以分为两个子网：资源子网和通信子网，其结构如图1-1。图1-1 资源子网和通信子网计算机网络由若干个相互连接的节点组成，在这些节点之间要不断地进行数据交换。要进行正确的数据传输，每个节点就必须遵守一些事先约定好的规则，这些规则就是网络协议。网络协议是在主机与主机之间、主机与通信子网之间或子网中各通信节点之间的通信而使用的，

8、是通信双方必须遵守的，事先约定好的规则、标准或约定。一个网络协议主要由以下三个要素组成：1.语法：即数据与控制信息的结构或格式。如：数据格式、信号电平等规定。2.语义：即需要发出何种控制信息，完成何种动作，以及做出何种应答。包括用于调整和进行差错处理的控制信息。3. 时序（同步）：即事件实现顺序的详细说明，包括速度匹配和顺序。为了减少网络设计的复杂性，大多数网络在设计上都是分成不同功能的多个层次的。图1-2是国际标准化组织ISO-OSI网络参考模型，图1-3是以报文传输的形式演示了图1-2中的通信过程。各层协议是通信双方在通信过程中的约定，规定有关部件在通信过程中的操作以保证正确地进行通信。各

9、层的主要功能如下：1. 物理层：规定在一个节点内如何把计算机连接到通信介质上，规定了机械的、电气的功能；该层负责建立、保持和拆除物理链路；规定如何在此链路上传送原始比特流；比特如何编码，使用的电平，极性，连接插头插座的插脚如何分配等。所以在物理层数据的传送单位是比特（bit）。2. 数据链路层：它把相邻两个节点间不可靠的物理链路变成可靠的无差错的逻辑链路，包括把原始比特流分帧、排序、设置检错、确认、重发、流控等功能；数据链路层传输信息的单位是帧（frame），每帧包括一定数量的数据和一些必要的控制信息，在每帧的控制信息中，包括同步信息、地址信息、差错控制信息、流量控制信息等；同物理层相似，数据

10、链路层负责建立、维护和释放数据链路。3. 网络层：它连接网络中任何两个计算机节点，从一个节点上接收数据，正确的传送到另一个节点；在网络层，传送的信息单位是分组或包（packet）。网络层的主要任务是要选择合适的路由和交换节点，透明地向目的站交付发送站所发的分组或包，这里的透明表示收发两端好像是直接连通的。另外网络层还要解决网络互连、拥挤控制和记账等问题。上述三层组成了所谓的通信子网，用户计算机连接到此子网上。通信子网负责把一个地方的数据可靠地传送到另一个地方，但并未实现两个地方主机上进程之间的通信。通信子网的主要功能是面向通信的。4. 传输层：真正地实现了端端间通信，把数据可靠地从一方的用户进

11、程或程序送到另一方的用户进程或程序。这一层的控制通常由通信两端的计算机完成，中间节点一般不提供这一层的服务，这一层的通信与通信子网无关。从这一层开始的以上各层全部是针对通信的最终的源端目的端计算机的进程之间的。传输层传送的信息单位是报文（message）。传输层向上一层提供一个可靠的端端的服务，使上一层看不见下面几层的通信细节。正因为如此，传输层成为网络体系结构中最关键的一层。对于传输层的功能，主要在主机内实现。而对于物理层、数据链路层以及网络层的功能均在报文接口机中实现。对于传输层以上的各个层次的功能通常在主机中实现。5. 对话层:又称会话层。它允许两个计算机上的用户进程建立对话连接，双方相

12、互确认身份，协商对话连接的细节；它可管理对话是双向同时进行的，还是任何时刻只能一个方向进行。在后一种情况下，对话层控制哪一方有权发送数据；对话层还提供同步机制，在数据流中插入同步点机制，在每次网络出现故障后可以仅重传最近一个同步点以后的数据，而不必从头开始。以上两层为两个计算机上的用户进程或程序之间提供了正确传送数据的手段。6. 表示层：主要解决用户信息的语法表示问题。表示层将数据从适合于某一系统的语法转变为适合于OSI系统内部使用的语法。具体地讲，表示层对传送的用户数据进行翻译或解释、编码和变换，使得不同类型的机器对数据信息的不同表示方法可以相互理解。另外，数据加密、解密、信息压缩等都是本层

13、的典型功能。7. 应用层：应用层确定进程之间通信的性质以满足用户的需要；负责用户信息的语义表示，并在两个通信者之间进行语义匹配。具体地说，应用层处理用户的数据和信息，由用户程序（应用程序）组成，完成用户所希望的实际任务。这一层包括人们普遍需要的协议，例如，虚拟终端协议、文件传送协议、电子邮件等。图2 ISO OSI/RM图1-2 OSI的参考模型图1-3 层间通信与对等层间通信1.2.2 服务和数据单元1. 数据的传输方式数据在网络中各节点内是沿层次传送的。如图1-3所示，数据从发送进程出发，在应用层中加上报头AH后，送到表示层。表示层不能区分AH及其后的数据部分，把这两部分看作一个整体，作为

14、应用层来的数据，简单地加上表示层的报头PH后送到对话层。重复同样的过程，一直传送到物理层。物理层亦不区分来自数据链路层的报文含义，而只简单地看作一系列比特流，然后将其转换成电信号通过介质传送到接收进程所在的节点的物理层。数据链路层与其它层不同的是，在数据链路层不仅要加上报头DH，还要加上报尾DT。接收节点上的数据链路层收到物理层送来的比特流后根据数据链路层协议能识别出报头DH和报文尾DT（但不能识别出此数据部分中网络层报头NH），把DH和DT去掉后将其余的部分传送到网络层。重复此过程，依次通过以后各层次并去掉相应的报头。最后，应用层把发送进程发来的纯数据部分交给接收进程。2. 服务、服务访问点

15、和数据单元ISO OSI/RM的每层为其上面各层提供专门的通信服务。也就是说，每层完成的功能是其上各层工作的基础。除了最底层（物理层）外，上面各层都依赖下一层完成其特定的功能。在ISO OSI/RM中，设物理层为第1层，应用层为第7层，在N层和N+1层的接口处，由N层向N+1层提供服务。这里N层是服务的提供者，而N+1层则是该服务的用户。服务是通过一组服务原语来执行的。层间接口处提供服务的地方称为服务访问点SAP（Service Access Point）,每个服务访问点都有一个唯一的标识地址。例如，一个传输层的服务访问点TSAP地址可表示成：主机号端口号。相邻层在提供服务的过程中要传递信息，

16、这些信息的单位在OSI模型中称为服务数据单元（Service Data UnitSDU）。在N层和N-1层间传递的数据单元，记为（N）SDU。SDU在服务访问点处穿过接口时，通常要加上一些辅助信息（比如说服务原语中的某些参数），这些辅助信息在OSI模型中统称为接口控制信息（Interface Control InformationICI）。SDU和ICI一起构成接口数据单元（Interface Data UnitIDU）。IDU在离开接口的SAP时去掉ICI。对等层间交换的信息单位称为协议数据单元（Protocol Data UnitPDU）。N层的PDU由N层的SDU加上该层的协议控制信息（

17、Protocol Control InformationPCI）构成。这里的PCI就是图1-3中各层所加上去的报头。从图1-4中可以看出，（N+1）PDU是通过（N）SDU传递到N层，加上（N） PCI后构成（N）PDU的。看上去似乎（N+1）PDU就等同于（N）SDU，虽然在许多情况下确实如此，但却并不总是这样。有时可以将多个（N+1）PDU拼成一个（N）SDU，称为拼接（Concatenation）。当然，在发送方若进行了拼接，在接收方的对等层就要进行相反的分割（Separation）。另外，一个（N）SDU若太大，也可以分成若干段，分别加上协议控制信息，构成多个（N）PDU。这在发送方称

18、为分段（Segmenting），而接收方则要进行相反的合段（reassembling）。图1-4 各种数据单元的关系1.2.3 服务原语1. 服务原语类型服务原语是引用服务的工具，（N+1）层实体通过使用（N）层的服务原语向（N）层实体要求某个（N）层服务。对一个服务的引用通常是要用多个有关的服务原语来实现。在OSI参考模型中定义了四种类型的服务原语：（1）请求（request）原语，这是由（N+1）层实体向（N）层实体发出的，要求这个（N）层实体向它提供指定的（N）层服务，如进行一次数据传送。（2）指示（indication）原语，这是由（N）层实体向（N+1）层实体发出的，通知这个（N+1

19、）层实体某个特定的（N）层服务已经开始。（3）响应（response）原语，这是由（N+1）层实体向（N）层实体发出的，表示对这个（N）层实体送来的指示原语的响应。（4）证实（confirm）原语，这是由（N）层实体向（N+1）层实体发出的，表示它请求的（N）层服务已经完成。为了方便起见，服务原语所涉及的服务常常就在原语名中反映出来，如传输层中的数据传送原语名为T-DATA,而表示层中的数据传送原语名P-DATA等。2. 服务原语的相互关系按在一次服务调用中服务原语的相互作用关系，可将服务分成两类：证实型服务和非证实型服务。（1）证实型服务。在这种服务中，服务原语的相互作用过程如下：a. 首先

20、由发起这次服务调用的本地（N+1）层实体向本地（N）层实体发出这个（N）层服务的请求原语，本地（N）层实体将这个请求原语送到与其对接的远程（N）层实体。b. 远程（N）层实体将收到的请求原语转变成指示原语并把他交给远程（N+1）层实体。c. 远程（N+1）层实体根据原语及其参数的要求作完相应的动作后，就向它下层的（N）层实体发出一个响应原语以报告有关动作的完成及其结果。该（N）层实体将这个响应原语发回给对应的本地（N）层实体。d. 本地（N）层实体将这个响应原语转变成证实原语后再发给其上层的本地（N+1）层实体，以报告所要求的服务已完成。图1-5表示了证实型服务中服务原语的相互关系。图1-5

21、证实型服务中服务原语的相互关系（2）非证实型服务。在这种服务中，仅需单向的原语发送，即只需证实型服务过程的前半部分，服务原语的相互作用过程如下：图1-6表示了非证实型服务中服务原语的相互关系。图1-6 非证实型服务中服务原语的相互关系因此，证实型服务需要在对等实体间进行一次交互，按顺序使用请求、指示、响应和证实这四种原语，需要对等实体间来回通信一次；而使用非证实型服务，对等实体之间只作一次单向通信。3. 服务原语的组成一个完整的服务原语由三部分组成：原语名字、原语类型和原语参数。原语名字指出是哪一层提供的何种服务。例如，当传输层的用户（即对话实体）要利用传输服务建立传输连接时，它使用请求建立连

22、接的服务原语T-CONNECT.request,其中T是传输层的缩写名。在OSI定义的四种原语类型中，原语参数是在标准中预先定义好的，例如，目的地址、源地址、类型及服务质量等。1.2.4 面向连接的和无连接的服务从通信的角度来看，在OSI参考模型中，下层能向上层提供两种不同形式的服务：面向连接的服务和面向无连接的服务。1. 面向连接的服务所谓连接，就是两个对等实体为进行数据通信而进行的一种结合。面向连接服务在进行数据交换前，先建立连接。当数据传输结束后，应释放这个连接。因此，采用面向连接的服务进行数据传送要经历三个阶段：（1） 建立连接阶段：在有关的服务原语以及协议数据单元中，必须给出源用户和

23、目的用户的完整地址。同时可以协商服务质量和其他一些选项。（2） 数据交换阶段：在这个阶段，每个报文中不必包含完整的源用户和目的用户的完整地址，而是使用一个连接标识符来代替。由于连接标识符相对于地址信息要短得多，因此使控制信息在报文中所占的比重相对减小，从而可减小系统的额外开销，提高信道的利用率。另外，报文的发送和接收都是按固定顺序的，即发送方先发送的报文，在接收方先收到。（3） 释放连接阶段：通过相应的服务原语完成释放操作。从面向连接服务的三个阶段来看，连接就像一个管道，发送者在其一端依次发送报文，接收者依次在其另一端按同样的顺序接收报文。这种连接又称虚拟电路。它可以避免报文的丢失、重复和乱序

24、。若两个用户经常需要通信，则可以建立永久虚电路。这样可以免除每次通信时建立连接和释放连接这两个阶段。这点与电话网中的专线很相似。2. 面向无连接的服务在无连接服务的情况下，两个实体之间的通信不必事先建立一个连接。相对于面向连接的服务，无连接服务灵活方便且快速。但它不能防止报文的丢失、重复和乱序。由于它的每个报文必须包括完整的源地址和目的地址，因此开销较大。面向无连接服务主要有三种类型：（1） 数据报：它的特点是发完报文就结束，而对方不做任何响应。数据报的服务简单，额外开销少，但可靠性差，它比较适合于数据具有很大的冗余度以及要求有较高的实时性的通信场合。（2） 证实交付：又称可靠的数据报。这种服

25、务对每一个报文产生一个证实给发送方，不过这种证实不是来自对应方用户，而是来自提供服务的层。这种证实只能保证报文已经发给目的站了，而不能保证对应方用户正确地收到报文。（3） 请求回答：这种类型服务是接收端用户每收到一个报文，即向发送端用户发送一个应答报文。但是双方发送的报文都有可能丢失。如果接收端发现报文有错误，则回送一个表示有错误的报文。在OSI模型中提供了两种通信服务方式，究竟选择哪种服务方式进行通信主要看使用的要求。数据报是比较基本的服务方式，若报文到达的次序无关紧要时可使用该方式。而面向连接的服务方式主要应用在可靠性要求较高的场合。关于面向连接服务和面向无连接服务的主要差别见表1-1。表

26、1-1 面向连接和无连接服务的主要差别项目面向连接面向无连接初始化设置，状态保持需要不需要目的地址仅在建立连接时需要每个包均需要包的顺序传送保证不保证差错控制提供不提供流量控制任选项协商连接标识符使用不使用路由选择节点失效的影响严重不严重网内负载平衡不支持支持数据速率低高1.3 TCP/IP协议所有关于Internet网络的正式标准都以RFC（Request for Comment）文档出版。还有大量的RFC文档并不是正式的标准，出版的目的只是为了提供相关的信息。RFC文档的每一项都用一个数字来标识，例如RFC983，数字值越大说明RFC文档的内容越新。所有的RFC文档都可以通过电子邮件或用F

27、TP服务从Internet网络上免费获得。和Internet网络标准紧密相关的一个组织是IETF（Internet Engineering Task Force），IETF是一个由网络设计者、操作员、厂商和研究者联合组成的开放的国际团体，他们关心Internet网络体系结构的发展和它的顺利运行。Internet网络标准一般处理协议事务而不是API。但是仍有两个RFC说明IPv6的套接口。它们是信息性RFC而非标准，他们产生的目的是为了加速部署由多家从事早期IPv6工作的厂商所开发的可移植应用程序。Internet连接了不同国家与地区无数不同类型的电脑，可能是某个校园网的大型主机，也可能是某个办

28、公室的个人电脑。硬件千差万别，使用的操作系统与软件也各不相同，要保证这些电脑之间能够畅通无阻地交换信息，必须有相通的语言，即统一的通信协议。Internet中这个统一的通信协议就是TCP/IP协议集。TCP/IP （Transmission Control Protocol/Internet Protocol） 是Internet 运行的基础, 是目前应用最广泛的网络通信协议, 现在已经成为企业网络的事实标准。许多网络操作系统 （NOS）, 例如Windows NT 4.0 Server, Windows 2000 Server, UNIX 以及 Novell Netware 5.0 等, 都以TCP/IP作为缺省的网络协议。TCP/IP 是一个可