第7講 計算機網(wǎng)絡與安全

1、第7講 計算機網(wǎng)絡與安全,內(nèi) 容要 點1,計算機網(wǎng)絡概念計算機網(wǎng)絡模型計算機網(wǎng)絡分類計算機網(wǎng)絡拓樸結構計算機網(wǎng)絡的連接設備互聯(lián)網(wǎng)和TCP/IPInternet基本服務功能,2,1 計算機網(wǎng)絡概念,計算機網(wǎng)絡是將地理位置不同且具有獨立功能的若干臺計算機通過通信設備和線路互相連接起來，按照某種協(xié)議進行數(shù)據(jù)通信，以實現(xiàn)信息傳輸和資源共享的一種計算機系統(tǒng)。計算機網(wǎng)絡是計算機技術和通信技術結合的產(chǎn)物。,3,4,計算機應用模式的發(fā)展經(jīng)

2、歷集中—分散—網(wǎng)絡三個階段,5,,網(wǎng)絡化處理,,,,,計算機網(wǎng)絡發(fā)展四個階段,（1） 具有通信功能的單機系統(tǒng) （2） 具有通信功能的多機系統(tǒng) （3） 計算機通信網(wǎng)絡 （4） 計算機網(wǎng)絡,6,7,（1）具有通信功能的單機系統(tǒng),（2）具有通信功能的多機系統(tǒng),在單機系統(tǒng)中隨著連接遠程終端數(shù)目的增多，計算機既要進行數(shù)據(jù)處理又要承擔通信任務，效率很低。另外每個遠程終端采用專線連接，數(shù)據(jù)傳輸效率低。在主機前設置通信處理機，專門負

3、責與終端的通信工作，并協(xié)助主機對信息進行預處理。在遠程終端集中的區(qū)域設置線路集線器，集線器按照某種策略將終端信息匯集起來，通過高速通信線路送給主機。,8,9,具有通信功能的多機系統(tǒng),（3）計算機通信網(wǎng)絡,將分布在不同地點的計算機連接起來，實現(xiàn)信息交換。用通信線路和主機系統(tǒng)連接起來的計算機群，是計算機網(wǎng)絡的初級形式。希望共享網(wǎng)內(nèi)的系統(tǒng)資源，或調(diào)用網(wǎng)內(nèi)幾臺計算機系統(tǒng)共同完成某項任務。制定一套網(wǎng)絡一直遵守的通信規(guī)則和用來控制協(xié)調(diào)資源共

4、享的網(wǎng)絡操作系統(tǒng)。,10,把整個網(wǎng)絡看做一個大計算機系統(tǒng)，不必了解網(wǎng)絡系統(tǒng)的組成，不必熟悉所關心的信息放在哪個子系統(tǒng)中，所有資源共享中出現(xiàn)的問題都由網(wǎng)絡操作系統(tǒng)協(xié)調(diào)管理。用戶可以非常簡單的訪問被授權的資源，調(diào)用幾臺計算機協(xié)同完成處理緊急或復雜的問題。,11,（4）計算機網(wǎng)絡,計算機網(wǎng)絡的功能,Ⅰ 數(shù)據(jù)通信數(shù)據(jù)通信是計算機網(wǎng)絡最基本的功能。計算機聯(lián)網(wǎng)后，便可以相互傳輸數(shù)據(jù)，進行通信。 Ⅱ 資源共享計算機網(wǎng)絡的主要目的是資源共享

5、。共享的資源包括計算機硬件、軟件和數(shù)據(jù)資源。,12,Ⅲ 集中管理管理信息系統(tǒng)(MIS)，辦公自動化系統(tǒng)(OA)，集成制造系統(tǒng)(CIMS)將分散的信息與對象進行集中控制和管理，提高了工作效率和經(jīng)濟效益。 Ⅳ 分布式處理對于大型的科學計算和信息處理，可采用適當算法，將任務分散到不同的計算機上進行處理，然后集中，解決問題。,13,Ⅴ 負荷均衡負荷均衡是指工作任務被均勻地分配給網(wǎng)絡上的多臺計算機。網(wǎng)絡控制中心負責分配和檢測，當某臺計

6、算機負荷過重時，系統(tǒng)會自動轉移負荷到較輕的計算機系統(tǒng)處理。 Ⅵ 高可靠性網(wǎng)絡中的計算機可以彼此互為備用。,14,Ⅶ 方便用戶隨著各種網(wǎng)絡軟件的日益豐富、完善，用戶可以通過終端得到各種信息和良好的服務，將整個網(wǎng)絡看成是自己的系統(tǒng)。當需要擴充網(wǎng)絡的規(guī)模時，只要把新的設備、站點掛上網(wǎng)絡即可。Ⅷ 高性價比,15,2 計算機網(wǎng)絡模型,網(wǎng)絡設計中采用結構化設計方法，將網(wǎng)絡按功能分成一系列層次，每一層完成一個特定的功能，相鄰層中的較高層直

7、接使用較低層提供的服務來實現(xiàn)本層的功能，同時又向它的上一層提供服務，服務的提供和使用都是通過相鄰層之間的接口進行的。,16,OSI參考模型Open System Interconnect,OSI（開放系統(tǒng)互聯(lián)）參考模型是ISO為解決異構系統(tǒng)互聯(lián)而制定的開放式計算機網(wǎng)絡層次結構模型，其優(yōu)點是將服務、接口和協(xié)議這三個概念明確地區(qū)分開。OSI規(guī)定了網(wǎng)絡層次劃分和每層上實現(xiàn)的功能，但沒有規(guī)定每一層上所實現(xiàn)的服務和協(xié)議。OSI不依賴于任何具體

8、的協(xié)議。,17,OSI開放系統(tǒng)互聯(lián)參考模型,18,OSI參考模型的特點,它是一種實現(xiàn)異構系統(tǒng)互連的分層結構。提供了控制互連系統(tǒng)交互規(guī)則的框架。定義了一種抽象結構，不是具體實現(xiàn)的描述。同等層實體之間的通信由該層協(xié)議管理。直接的數(shù)據(jù)傳輸僅在最低層完成。每層完成所定義的功能，修改本層的功能不影響其他層。,19,,物理層 物理層負責在物理介質(zhì)中傳輸位流。物理層提供建立維護和拆除物理鏈路所需的機械的、電氣的、功能的接口。計算機

9、遵循這些接口的定義，用物理介質(zhì)相連，實現(xiàn)面向比特流的數(shù)據(jù)傳輸。,20,數(shù)據(jù)鏈路層,其任務是增強物理層傳送比特的功能，為網(wǎng)絡層提供一條無差錯的比特傳輸線路。數(shù)據(jù)鏈路層負責將比特組裝成數(shù)據(jù)幀，以便物理層用信號把數(shù)據(jù)幀傳送出去，接收方又以數(shù)據(jù)幀為單位接收并識別它們。數(shù)據(jù)鏈路層應確保能檢測和校正物理鏈路產(chǎn)生的差錯，并提供流量控制。,21,網(wǎng)絡層,確定分組從源端到目的端路徑，經(jīng)過源端到目的端間的許多中間節(jié)點，提供可靠的端到端的數(shù)據(jù)傳送。網(wǎng)絡層

10、還能夠進行擁塞控制。網(wǎng)絡層使多個網(wǎng)絡能夠互聯(lián)。常用網(wǎng)絡層協(xié)議： ★ Internet的網(wǎng)際協(xié)議IP ★ Novell的網(wǎng)際分組交換IPX協(xié)議,22,傳輸層,傳輸層的作用是從會話層接收數(shù)據(jù)，如果數(shù)據(jù)較長，則將數(shù)據(jù)分成較小的單元，再傳給網(wǎng)絡層。傳輸層提供可靠的、透明的、端到端的數(shù)據(jù)傳輸服務、連接管理、錯誤恢復和流量控制。常用傳輸層協(xié)議： ★ Internet的傳輸控制協(xié)議TCP ★ N

11、ovell的順序分組交換SPX協(xié)議,23,會話層,會話層主要任務是提供通信系統(tǒng)之間數(shù)據(jù)流的管理和控制，它在兩個相互通信的應用程序間建立和維護多個連接，進行同步控制和管理通信應用間的對話。,24,表示層,表示層用于表示所傳信息的“含義”，由于各臺計算機都有自己內(nèi)部數(shù)據(jù)的表示方法，所以需要表示層通過轉換來保證不同計算機能夠相互“理解”。,應用層,應用層提供面向最終網(wǎng)絡用戶的大量通信服務，高層的獨立于系統(tǒng)的應用實體均在應用層實現(xiàn)。應用層主要

12、提供直接面向網(wǎng)絡用戶的服務。應用層實現(xiàn)的功能有：文件傳輸、訪問和管理，報文處理，目錄管理，遠程作業(yè)運行以及終端仿真等。,25,3 計算機網(wǎng)絡分類,局域網(wǎng)(LAN) 指在覆蓋距離從幾百米到20km之間的小區(qū)域內(nèi)，各種通信設備互聯(lián)在一起的通信網(wǎng)絡。局域網(wǎng)通常安裝在一個建筑物或相鄰的幾個建筑物內(nèi)，由部門或單位所有。,26,城域網(wǎng)（MAN） 指覆蓋一個城市的、直徑一般在10km到50km之間，由一個城市的郵

13、電部門或政府機構或大公司控制。 城域網(wǎng)通常使用公用通信公司提供的服務，向個人用戶互組織提供服務。,27,廣域網(wǎng)（WAN） 廣域網(wǎng)是覆蓋大范圍內(nèi)（州、國家、世界）的個人計算機或局域網(wǎng)的連接。 廣域網(wǎng)由公用通信公司安裝和運營。,28,4 計算機網(wǎng)絡拓撲結構,拓撲學是一種研究與大小、距離無關的幾何圖形特性的方法。網(wǎng)絡拓撲結構是拋開網(wǎng)絡中的具體設備，將網(wǎng)絡中的設備抽象成結點，而通信線路抽象

14、為線段，這樣一個計算機網(wǎng)絡就抽象為結點和線段組成的幾何圖形。,29,30,以一個結點為中心的處理系統(tǒng)，各類入網(wǎng)設備均與該中心結點通過鏈路直接相連，其它結點之間不能直接通信，由中心結點對各入網(wǎng)設備間的通信和信息交換實施集中控制和管理。,星型拓撲結構,31,優(yōu)點： 高度的集中控制易于網(wǎng)絡管理 故障判斷和隔離容易 比較容易擴展,缺點： 費用較高 可靠性問題,32,總線型結構是將所有入網(wǎng)的計算機均接到一條通信線路上。網(wǎng)絡中所有的站點共

15、享一條數(shù)據(jù)通道（總線）。,總線型拓撲結構,端接器：防止電信號沿著總線發(fā)射回來,33,優(yōu)點： 構建靈活簡單 費用較低 易于擴展,缺點： 故障診斷和隔離比較困難 效率較低,34,環(huán)型拓撲結構是將網(wǎng)絡中的各個結點按順序連接形成封閉的環(huán)形。任意兩個結點間只有一條通路，數(shù)據(jù)只能按一個方向傳輸。,環(huán)型拓撲結構,35,缺點： 可靠性較差 故障檢測困難 維護麻煩，不易重新配置和擴展 單環(huán)結構中數(shù)據(jù)只能單向傳輸,優(yōu)點： 容易安裝和監(jiān)控

16、 實時性強 結構簡單,網(wǎng)狀拓撲結構,網(wǎng)狀結構是各結點通過傳輸線路互連起來形成網(wǎng)狀，任何兩個結點間可能有多條通路。,優(yōu)點：可靠性高,缺點：費用較高不易維護和管理結構復雜,5 計算機網(wǎng)絡的連接設備,各種網(wǎng)絡可以通過連接設備進行連接?；谶B接設備在OSI模型不同層中的作用，將連接設備分為4類： 中繼器 網(wǎng)橋 路由器 網(wǎng)關,37,中繼器,中繼器工作在物理層上，透明地復制二進制位，不識別物理地址或邏輯地址，只是簡單地補償信號

17、的衰減。由于信號在傳輸過程中會衰減，而衰減的信號可能會被接收方錯誤理解。中繼器可以再生信號并將其發(fā)送給網(wǎng)絡的其余部分，從而延伸了網(wǎng)絡的物理長度。,38,網(wǎng)橋,總線拓撲結構所有站點共享傳輸介質(zhì)。當一個站點發(fā)送幀時，總線將被這個站點獨占，其他站點此時不允許發(fā)送幀，直到總線空閑，從而降低了網(wǎng)絡的性能。網(wǎng)橋是工作在數(shù)據(jù)鏈路層連接LAN網(wǎng)的存儲轉發(fā)設備，它獨立于高層協(xié)議。網(wǎng)橋必須具備幀格式轉換和路由選擇的功能。,39,網(wǎng)橋,網(wǎng)橋可以將長總線

18、劃分為一些較小的段，每一個小段都是獨立的通信段。安裝在兩個段之間的網(wǎng)橋根據(jù)幀的目的地址來決定允許或阻止幀的通過。如果一個幀目的地址和源地址位于同一段中，則該幀就被阻止通過網(wǎng)橋去其它段。,40,網(wǎng)橋,41,路由器,路由器工作在OSI參考模型的網(wǎng)絡層，在不同的網(wǎng)絡之間存儲轉發(fā)數(shù)據(jù)分組。網(wǎng)橋用于連接兩個局域網(wǎng)，而路由器可以連接兩個獨立的網(wǎng)絡：局域網(wǎng)和廣域網(wǎng)，局域網(wǎng)和城域網(wǎng)，廣域網(wǎng)和廣域網(wǎng)等，從而形成交互式網(wǎng)絡。,42,路由器,路由器根據(jù)網(wǎng)絡

19、層數(shù)據(jù)包的邏輯地址為其選擇路由。在路由器中存儲著許多路徑選擇信息（路由表），數(shù)據(jù)包根據(jù)路由表中的路徑信息，選擇到達目標站點的最佳路徑。,43,路由器,44,網(wǎng)關,網(wǎng)關又稱為協(xié)議轉換器，其作用是使兩個網(wǎng)絡互相連接并通信，其中每一個網(wǎng)絡可以在OSI定義的7層上擁有不同的協(xié)議組。網(wǎng)關通常是安裝了必要軟件的計算機。網(wǎng)關能夠理解連接的每個網(wǎng)絡所使用的協(xié)議，因此能在兩個網(wǎng)絡間進行翻譯。,45,46,連接設備和OSI參考模型,6 互聯(lián)網(wǎng)和TCP

20、/IP,網(wǎng)絡互連是將多個網(wǎng)絡互相連接，以實現(xiàn)在更大范圍內(nèi)的信息交換、資源共享和協(xié)同工作。當今世界上最大的計算機互聯(lián)網(wǎng)絡是Internet。,47,48,Internet的發(fā)展,第一階段：1969～1990年，ARPAnet階段 1969年建成的 ARPAnet網(wǎng)，是Internet的原型。由美國國防高級研究局(ARPA—Advanced Research Project Agency)主持研制。第二階段：1986～1992年，

21、NSFnet階段 1986年美國國家自然基金會(NSF-National Science Fundation)提供巨資建立全美五大超級計算中心，之后又建立了基于IP協(xié)議的主干網(wǎng)，逐步升級，1990年全面取代ARPAnet網(wǎng)。,49,第三階段：1992年至今，ANSnet階段 商業(yè)部門加入建設Internet的行列，1995年，NSFnet 結束作為科研骨干網(wǎng)的狀態(tài)，由 Pacific BELL、Ameritech Adva

22、nced Data Servicesand Bellcore 和Sprint 三家公司經(jīng)營變?yōu)樯逃镁W(wǎng)絡，以美國為中心向全世界擴展。,50,Internet的組成,物理網(wǎng)實現(xiàn)信息流的傳送,協(xié)議共同遵守的交流規(guī)范（TCP/IP協(xié)議）,應用軟件人們與網(wǎng)絡打交道的交互界面,信息網(wǎng)絡的靈魂,互聯(lián)網(wǎng)協(xié)議,Internet采用當今計算機網(wǎng)絡中最成熟的TCP/IP協(xié)議族，而傳輸控制協(xié)議TCP和網(wǎng)際協(xié)議IP是其中最重要的兩個協(xié)議。TCP/IP協(xié)

23、議族及其分層體系結構與OSI參考模型并不相同，它簡化了OSI模型的層次結構。,51,TCP/IP模型和OSI模型對照,52,Ⅰ 網(wǎng)絡接口層,TCP/IP參考模型對網(wǎng)絡接口層（即物理層和數(shù)據(jù)鏈路層）未定義，只指出主機必須通過某種協(xié)議連接到網(wǎng)絡，才能發(fā)送IP分組。網(wǎng)絡接口層協(xié)議未定義，隨不同主機、不同網(wǎng)絡而異，它支持所有標準和專有協(xié)議，如IEEE802.3、IEEE8802.5、X.25 。TCP/IP可以使用多種傳輸介質(zhì)。,53,互聯(lián)

24、網(wǎng)絡層是網(wǎng)絡互聯(lián)的基礎，在IP層，TCP/IP支持互聯(lián)網(wǎng)網(wǎng)絡協(xié)議（IP）。IP層提供了無連接的分組交換服務，是對大多數(shù)分組交換網(wǎng)所提供服務的抽象。其任務是允許主機將分組放到網(wǎng)上，讓分組獨立地到達目的地，由高層協(xié)議負責對分組重新進行排序。IP協(xié)議不提供差錯校驗或跟蹤機制。,54,Ⅱ 互聯(lián)網(wǎng)絡層（IP層）,IP層傳輸?shù)臄?shù)據(jù)單元稱為IP數(shù)據(jù)報，它是從源端發(fā)送到目的端的獨立包。屬于同一消息或不同消息的數(shù)據(jù)報可能沿不同的路由傳輸，而且到達目的

25、端后可能失序或重復。IP不跟蹤路由，且不提供數(shù)據(jù)報到達目的端的順序重組。分組的路徑選擇也是互聯(lián)網(wǎng)絡層的主要工作。,55,網(wǎng)絡地址,56,在計算機網(wǎng)絡中地址用于標記某個設備在網(wǎng)絡中的位置。一個地址只能對應一臺主機，而一臺主機可以對應多個地址。在任何一個物理網(wǎng)絡中，對其內(nèi)部每臺計算機進行尋址所使用的地址稱為物理地址，物理地址被固化在網(wǎng)卡的ROM中，又稱為網(wǎng)卡地址或硬件地址或MAC地址。MAC地址通常采用6個字節(jié)表示。,在Internet

26、上為每臺計算機指定的地址稱為互聯(lián)網(wǎng)地址或IP地址，是由IP協(xié)議提供的一種統(tǒng)一格式的地址。物理地址對應于實際的信號傳輸過程，而IP地址是一個邏輯意義上的地址。其目的就是屏蔽物理網(wǎng)絡細節(jié)，使得Internet從邏輯上看起來是一個整體。每個IP地址在Internet上是唯一的，是運行TCP/IP協(xié)議的唯一標識。,57,58,網(wǎng)絡地址,為了便于書寫和理解，采用點分十進制表示，兩個字節(jié)中間用“.”分割。,IP地址采用分層結構，由網(wǎng)絡地址和主機地

27、址組成，地址長32位，分為4個字節(jié)。,59,網(wǎng)絡地址+主機地址,202.96.0.133,網(wǎng)絡地址,主機號,,IP地址的構成,例如：10.1.0.81 是網(wǎng)絡教室服務器的IP地址，202.96.0.133 是北京電信局主機服務器。,IP地址的分類,Internet地址根據(jù)網(wǎng)絡規(guī)模的大小分為五種類型，其中A類，B類和C類地址為基本地址。地址全0或全1有特殊含義，不能作為普通地址使用。,60,IP地址的分類,A類地址用8位表示網(wǎng)絡地址，

28、其最高位為0，有效的網(wǎng)絡地址范圍是1～126，即有126個A類網(wǎng)絡。主機地址有24位，A類地址適用于主機較多的網(wǎng)絡，主機地址有（224-2）=16,777,214個。B類地址用16位表示網(wǎng)絡地址，最左邊兩位是10，主機地址16位，B類網(wǎng)絡可以有 214 個，每個網(wǎng)絡中可以有（216-2）=65534個主機，這是一個中型網(wǎng)絡。,61,IP地址的分類,C類地址用24位表示網(wǎng)絡地址，其最左邊3位為110，即有221=2,097,152個C類

29、網(wǎng)絡。C類網(wǎng)絡中可以有（28-2）= 254 臺主機，C類網(wǎng)絡屬于小型網(wǎng)絡。,62,63,第一個字節(jié),子網(wǎng)掩碼 為了充分利用IP地址資源，將IP地址中的主機地址部分進行再次劃分為子網(wǎng)地址和主機地址。例如對一個B類地址， IP地址是168.113.81.3。其中，網(wǎng)絡地址部分是兩個字節(jié): 168.113。后兩個字節(jié)是主機地址部分。如果網(wǎng)絡中主機的數(shù)量遠遠小于允許數(shù)，IP地址資源被浪費，故引入子網(wǎng)的概念：借用主機地址的若干位劃

30、分子網(wǎng)。上例在后兩個字節(jié)的主機地址部分中，用第三個字節(jié)表示子網(wǎng)地址：81；第四個字節(jié)代表主機號：3。系統(tǒng)如何確定原來規(guī)定的主機地址部分到底全用來作為主機號呢，還是一部分作為子網(wǎng)號、一部分作為主機號？引入子網(wǎng)屏蔽碼的概念。,64,子網(wǎng)掩碼采用和IP地址相同的格式，在32位二進制數(shù)中網(wǎng)絡號部分全部填寫1，而主機號部分填寫0。上例，IP地址：168.113.81.3， 子網(wǎng)掩碼: 255.255.255.0計算機根據(jù)I

31、P地址號第一個字節(jié)知道這是一個B類網(wǎng)絡，網(wǎng)絡地址是兩個字節(jié)，再根據(jù)子網(wǎng)掩碼知道第三個字節(jié)是子網(wǎng)號，第四個字節(jié)是主機號。子網(wǎng)掩碼也稱子網(wǎng)屏蔽碼。,65,Ⅲ 傳輸層（TCP層）,傳輸層允許源主機與目的主機上的對等實體進行會話。傳輸層定義了兩個端-端協(xié)議： ★ 傳輸控制協(xié)議 TCP ★ 用戶數(shù)據(jù)報協(xié)議 UDP以上兩種協(xié)議對應兩種不同的傳輸機制。,66,傳輸控制協(xié)議 TCPTCP是一個可靠的面向連接的協(xié)議。TCP協(xié)議規(guī)定將輸

32、入的字節(jié)流分割成離散的報文送給IP層。在目的端，TCP接收進程重新將報文組裝成輸出字節(jié)流。TCP層對數(shù)據(jù)進行監(jiān)控管理，并提供重發(fā)機制，從而保障數(shù)據(jù)可靠。TCP也進行流控制，使得速度快的發(fā)送方不會發(fā)送超過接收方所能處理的報文數(shù)。,67,用戶數(shù)據(jù)報協(xié)議 UDPUDP是比較簡單的協(xié)議，傳輸時只提供端到端發(fā)送的基本傳輸需要。UDP協(xié)議提供無連接服務，無重發(fā)和糾錯的功能，不保障數(shù)據(jù)的可靠傳輸。UDP適合那些不需要TCP的順序與流控制，并

33、希望自己對此進行處理的應用程序。,68,Ⅳ 應用層,TCP/IP參考模型中沒有會話層與表示層，在傳輸層之上就是應用層，它包含了所有高層協(xié)議。常用高層協(xié)議： ★ 遠程登陸協(xié)議Telnet ★ 文件傳輸協(xié)議FTP ★ 電子郵件傳輸協(xié)議SMTP ★ 超文本傳輸協(xié)議HTTP,69,70,客戶/服務器模型,互聯(lián)網(wǎng)上應用層服務采用客戶/服務器模式（Client/Server結構），通過兩臺計算機分工合作完成：一個主動請求、一

34、個被動響應；一個啟動通信，一個等待通信。,71,客戶/服務器模型,客戶端通常是本地計算機上運行的應用程序。服務器是指在遠程計算機上運行的應用程序?？蛻粝蚍掌髡埱蠓?，服務器響應請求，向客戶端提供相應的服務。,服務器,,,呼叫：請求服務,應答：響應請求,72,Internet的工作過程,ISP(Internet Service Provider )因特網(wǎng)服務提供商NSP(Network Service Provider) 網(wǎng)絡服務

35、提供商,73,接入Internet方式,城市地面固定電話銅線網(wǎng)調(diào)制解調(diào)器接入綜合業(yè)務數(shù)字網(wǎng)（ISDN）有線電視HFC網(wǎng)寬帶接入 移動通信接入 衛(wèi)星通信接入 LAN接入系統(tǒng),74,Ⅰ 撥號入網(wǎng)過程,,,,,PPP帳號口令,,,,INTERNET,,ISP網(wǎng)絡,75,Ⅱ 通過局域網(wǎng)聯(lián)網(wǎng)方式,計算機通過網(wǎng)卡和網(wǎng)線將計算機聯(lián)入局域網(wǎng)，再通過局域網(wǎng)與其它網(wǎng)絡進行連接。,網(wǎng)絡設備,,,,,,Internet,76,7 Internet

36、基本服務功能,WWW服務與瀏覽 郵件服務E-Mail 遠程登錄Telnet 文件傳輸FTP 在線聊天ICQ/OICQ 新聞組NEWS Group 信息搜索Yahoo，Google 網(wǎng)絡游戲MUD 域名服務DNS,77,Ⅰ 文件傳輸服務,文件傳輸協(xié)議（FTP）是互聯(lián)網(wǎng)上一臺計算機向另一臺計算機傳送文件的標準協(xié)議。FTP與計算機所處的位置、連接方式、使用的操作系統(tǒng)以及文件的格式無關。從遠程計算機上復制文件到本地計算機稱為

37、下載，將本地計算機上的文件拷貝到遠程計算機上稱為上傳。FTP采用客戶機/服務器的工作模式。,78,Ⅱ 電子郵件服務,互聯(lián)網(wǎng)使用簡單郵件傳輸協(xié)議（SMTP）支持電子郵件服務。SMTP通常和郵局協(xié)議（POP）一起使用。用戶使用SMTP客戶程序發(fā)送郵件，郵件不會直接被接收而是先發(fā)送到運行SMTP服務器的計算機上，接收郵件后將它們存儲在用戶信箱中。當用戶需要取回郵件時，運行POP客戶程序聯(lián)系POP服務器（在運行SMTP服務器的同一臺計算機

38、上）將郵件下載下來。,79,3.5吋軟磁盤的內(nèi)部結構,Ⅲ 遠程登錄,用戶需要在遠程計算機上做許多不同的任務，但不能為每個任務都建立一個專門的客戶-服務器程序。遠程登錄（Telnet）：是一個互聯(lián)網(wǎng)上允許遠程登錄的通用客戶-服務器程序，它將本地計算機模擬成遠程計算機的終端，使本地計算機通過網(wǎng)絡使用對方的各種服務資源。,80,遠程登陸的原理,用戶本地計算機,遠程服務器,,客戶機,服務器,Telnet,運行Telnet應用程序,81,Ⅳ

39、W W W 服務,WWW是World Wide Web（萬維網(wǎng)）把信息檢索技術和超文本技術相融合而形成的環(huán)球信息系統(tǒng)。WWW是以超文本標記語言HTML與超文本傳輸協(xié)議HTTP為基礎，能夠以十分友好的接口提供Internet信息查詢服務的瀏覽系統(tǒng)。,82,WWW服務器與瀏覽器,WWW服務采用客戶機/服務器結構。信息資源以頁面形式存儲在服務器上，客戶通過瀏覽器向服務器提出申請，服務器根據(jù)客戶的請求將保存在服務器中的頁面返回到客戶端，瀏覽

40、器對返回的頁面進行解釋，最終將圖、文、聲音等呈現(xiàn)給用戶。,83,WWW：World Wide Web —— 全球信息網(wǎng),WWW,Browser,軟件,84,統(tǒng)一資源定位符(URL),在Internet的每臺服務器中都有很多頁面，用戶是借助統(tǒng)一資源定位符(URL—Uniform Resource Locators)找到所請求的頁面。 URL由四部分組成：協(xié)議、主機名、端口、路徑或文件名。協(xié)議：//主機名：端口/路徑,85,網(wǎng)頁是WWW

41、中最基本的顯示單位。網(wǎng)頁是用HTML語言編寫的，由瀏覽器進行解釋運行。 網(wǎng)頁以文件的形式存于磁盤，網(wǎng)頁文件的擴展名是HTML或HTM。 一個網(wǎng)站有很多個網(wǎng)頁，但是必須有一個主頁，當用戶訪問某網(wǎng)站時，在訪問網(wǎng)站時用戶給出的URL，省略了主頁的文件名，首先要打開主頁（首頁）。 任何計算機、不同的瀏覽器對網(wǎng)頁的解釋是統(tǒng)一的，也就是說它和平臺無關。,網(wǎng)頁與主頁,信息瀏覽,瀏覽器是一種專門用于定位和訪問Web信息，獲取信息資源的交互式的應用

42、程序。目前WWW瀏覽主要使用Internet Explorer和Netscape。搜索引擎是用于搜索網(wǎng)絡資源，提供所需信息的工具。搜索引擎通過采用分類查詢方式或主題查詢方式獲取特定信息。搜索引擎并不是真正搜索Internet，它搜索的是預先整理好的網(wǎng)頁索引數(shù)據(jù)庫。,信息瀏覽,當用戶查找某個關鍵詞時，所有在頁面內(nèi)容中包含了該關鍵詞的網(wǎng)頁都將作為搜索結果被檢索出來，然后經(jīng)過算法進行排序后，這些結果將按照與搜索關鍵詞的相關度高低依次排列。

43、各種搜索引擎的索引數(shù)據(jù)庫容量有很大差異，并且不同搜索引擎的搜索重點也不盡相同，此外搜索結果排序依據(jù)也不相同，因此使用不同的搜索引擎搜索的結果會不相同。,總結,計算機網(wǎng)絡的概述（概念、發(fā)展、功能）計算機網(wǎng)絡模型（OSI7層結構和功能）計算機網(wǎng)絡的分類（局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)）計算機網(wǎng)絡拓樸結構（星型、環(huán)型和總線型）計算機網(wǎng)絡的連接設備（中繼器、網(wǎng)橋、路由器、網(wǎng)關等）互聯(lián)網(wǎng)和TCP/IP（Internet概述、Internet組

44、成，協(xié)議、工作方式、接入方式）Internet的基本功能（WWW，Telnet、FTP等基本服務、IP地址和域名、統(tǒng)一資源定位器、瀏覽器、電子郵件）,內(nèi) 容要 點 2,計算機病毒計算機病毒傳染的途徑預防和消除計算機病毒加密/解密技術數(shù)字簽名,8 計算機病毒,★ 從廣義上定義，凡是能夠引起計算機故障、破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。 ★ 計算機病毒是利用計算機軟、硬件固有的脆弱性編制的具有傳染性和破壞性功能的程序。,

45、《中華人民共和國計算機信息系統(tǒng)安全保護條例》第28條中定義： 計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。,計算機病毒的特征,傳染性—傳染性是病毒的基本特征。病毒程序在運行時將病毒代碼插入到其它文件中，達到自我復制的目的。未經(jīng)授權而執(zhí)行—計算機病毒的動作、目的對用戶是未知的，是未經(jīng)用戶允許的。隱蔽性—如果不經(jīng)過代碼分析，病毒程序與正常程序

46、是不容易區(qū)分開的。,潛伏性——大部分病毒感染系統(tǒng)后一般不會馬上發(fā)作，它可以長期隱藏在系統(tǒng)中，只有在滿足特定條件時才啟動其破壞模塊。不可預見性——計算機病毒對反病毒軟件永遠都是超前的。,破壞性——計算機病毒破壞性的表現(xiàn)方式有很多種。 ★ 良性病毒（顯示信息，發(fā)出聲響） ★ 惡性病毒（破壞系統(tǒng)配置、刪除文件、加密硬盤等） ★ 毀滅性病毒（破壞硬盤分區(qū)表）,計算機病毒的類型,單機病毒 引導扇區(qū)型病毒

47、引導扇區(qū)病毒能夠替換計算機啟動時需要使用的引導扇區(qū)程序。當系統(tǒng)啟動，計算機運行受感染的引導程序時，病毒進入內(nèi)存，然后傳播到該計算機中的所有磁盤上。,文件型病毒 文件型病毒一般感染可執(zhí)行文件，病毒寄生在可執(zhí)行程序體內(nèi)，只要程序被運行，病毒就會被激活。宏病毒 宏病毒是一種寄生于文檔或模板宏中的病毒，一旦打開帶有宏病毒的文檔，病毒就會被激活，駐留在Normal模板上，所有自動保存的文檔都會感染這種病毒

48、。,網(wǎng)絡病毒蠕蟲病毒 蠕蟲病毒不把本身依附在其它程序之上，而是不斷地把本身程序復制到內(nèi)存中或硬盤上，直到占滿所有存儲空間為止。此時計算機將被迫停止工作。,特洛伊木馬病毒 木馬病毒是指在正常訪問的程序、郵件或網(wǎng)頁中包含了可以控制用戶計算機的程序，這些隱藏的程序非法入侵并監(jiān)控用戶的計算機，竊取用戶的賬號和密碼等機密信息。 木馬病毒一般通過電子郵件、即時通信工具和惡意網(wǎng)頁等方式感染用戶的計

49、算機，多數(shù)是利用操作系統(tǒng)中的漏洞,計算機病毒的常見癥狀,系統(tǒng)內(nèi)存空間明顯變小 文件日期/時間值被修改 可執(zhí)行程序長度增加 程序加載時間變長 程序執(zhí)行時間變長 不正常的顯示或輸出,9 計算機病毒傳染的途徑,計算機病毒的產(chǎn)生過程：病毒程序設計傳播潛伏觸發(fā)運行實施攻擊,計算機病毒最基本的特性是傳染性。計算機病毒的傳播首先要有病毒的載體，病毒通過載體進行傳播。由于計算機病毒是一種特殊形式的程序，與其它的軟件一樣，在未被

50、運行時，均存放在磁記錄設備中或其他存儲設備中。軟盤、硬盤、磁帶、光盤和ROM芯片等這些存儲設備都可能因載有計算機病毒而成為病毒的載體。,Ⅰ 通過不可移動的計算機硬件設備進行傳播這些設備通常有計算機的專用ASIC芯片和硬盤等。這種病毒雖然極少，但破壞力卻極強，目前尚沒有較好的檢測手段對付。,計算機病毒傳播途徑：,Ⅱ 通過移動存儲設備傳播移動存儲設備包括軟盤、光盤、U盤、磁帶等。在移動存儲設備中，軟盤是使用最廣泛移動最頻繁的存儲介質(zhì)，

51、因此也成了計算機病毒寄生的“溫床”。攜帶病毒的軟盤在PC機上使用后，會使該PC機染毒，帶病毒的PC機又會把病毒傳染給此后在這臺PC機上使用的其他軟盤。當這些帶毒軟盤在其他PC機上使用時又繼續(xù)感染，病毒會隨著帶毒軟盤四處去傳染，迅速傳播,Ⅲ 通過計算機網(wǎng)絡進行傳播計算機網(wǎng)絡的飛速發(fā)展為計算機病毒的傳播提供了新的“高速公路”。計算機病毒可以附著在正常文件中通過網(wǎng)絡進入一個又一個計算機系統(tǒng)。,Ⅳ 通過點對點通信系統(tǒng)和無線通道傳播計算機

52、間傳送文件還可以通過無線通信的方法和用計算機通信口進行。PC機可以通過調(diào)制解調(diào)器在兩機或多機間收發(fā)信息和文件，還在以通過串并接口收發(fā)信息和文件。計算機病毒能通過這種渠道在各處傳播。,在使用的所有計算機上安裝反病毒軟件，并運行病毒防火墻，實時監(jiān)視病毒的入侵和感染。將不需要寫入的軟盤和U盤設置為寫保護狀態(tài)，以仿止病毒的侵入。在使用任何一個軟盤或者下載的軟件之前對其進行檢測，確認無毒后再使用。,10 預防和消除計算機病毒,計算機病毒的預

53、防,經(jīng)常運行 Windows Update，安裝操作系統(tǒng)的補丁程序。定期拷貝重要的軟件和數(shù)據(jù)作為備份，用以在遭受病毒危害后進行恢復。定制有關規(guī)章，避免無關人員接觸系統(tǒng)，防止?jié)撛诘牟《痉缸铩２灰蜷_來歷不明的郵件。,單機使用的計算機 使用反病毒軟件殺除病毒并對染毒文件進行恢復。如果反病毒軟件對該病毒無效，只能刪除該程序，并對系統(tǒng)進行測試以驗證系統(tǒng)內(nèi)無該病毒，然后重新安裝該程序。,聯(lián)網(wǎng)使用的計算機

54、 除了如上清除本地計算機中的病毒外，還應該及時向網(wǎng)絡管理員報告病毒，以便管理員采取措施防止病毒在整個網(wǎng)絡上蔓延。,11 加密/解密技術,(一)信息安全概述 隨著互聯(lián)網(wǎng)的發(fā)展，越來越多的數(shù)據(jù)在網(wǎng)絡上交換，需要有安全機制保證數(shù)據(jù)傳輸?shù)陌踩?。安全目標機密性—防止泄露、非授權、攻擊完整性—維護并保護數(shù)據(jù)的真實變化可用性—方便友好的使用,攻擊（三個安全目標）,安全服務,數(shù)據(jù)的機密性 防止嗅探和流量分析消息驗證

55、 接收者需要確定消息發(fā)送者的身份數(shù)據(jù)完整性 防止攻擊或修改不可否認性 證明發(fā)送者確實發(fā)送了消息訪問控制 授權者方便訪問,數(shù)據(jù)加密是將被傳送的數(shù)據(jù)轉換成表面雜亂無章的數(shù)據(jù)，然后傳輸。合法的接收者通過逆變換可以恢復出原始數(shù)據(jù)，而非法竊取得到的只是無意義的數(shù)據(jù)。沒有加密的原始數(shù)據(jù)稱為明文。加密后的數(shù)據(jù)稱為密文。將明文變換成密文的過程稱為加密。將密文還原成明文的過程稱為解密。,加密

56、/解密技術,加密和解密都需要有密鑰和相應的算法。密鑰一般是一串數(shù)字。加密和解密算法是作用于明文或密文以及對應密鑰的一個數(shù)學函數(shù)。根據(jù)密鑰使用方式的不同分為 對稱密鑰密碼體系（私鑰） 非對密鑰稱密碼體系（公鑰）,（二）對稱密鑰密碼體系,對稱密鑰密碼體系又稱為密鑰密碼體系，要求加密和解密雙方使用相同的密鑰對數(shù)據(jù)進行加密/解密。,對稱加密示意圖,傳統(tǒng)密碼 替換密碼 置換密碼

57、 密碼破解：暴力攻擊、蠻力攻擊,數(shù)據(jù)加密標準算法DES,對稱密鑰密碼體系最常用的算法是DES（數(shù)據(jù)加密標準）算法。DES在位層次上進行加密和解密。數(shù)據(jù)首先轉換成位串，位串被分割成64位大小的區(qū)段，不足64位則補充0到最后的區(qū)段。用64位密鑰加密明文區(qū)段。該密鑰實際只含56個可用比特：每8個字節(jié)的最后1位是該字節(jié)的奇偶校驗位。,2001年11月26日發(fā)佈於FIPS PUB 197，並在2002年5月26日成為有效的標準

58、。2006年，高級加密標準已然成為對稱密鑰加密中最流行的算法之一有三種不同的密鑰長度128位、192位、256位,高級加密標準（AES）,同一安全級別所對應的密鑰長度,對稱密鑰密碼體系的特點,算法的實現(xiàn)速度快，效率高，比較適合加密數(shù)據(jù)量大的文件內(nèi)容。對稱加密系統(tǒng)存在的最大的問題是密鑰的分發(fā)與管理非常復雜，代價高昂。如對具有n個用戶的網(wǎng)絡，需要 n(n-1)/2 個密鑰。對于大型網(wǎng)絡，用戶很多的情況下，密鑰的分配和保存就成了大問題。,

59、（三）非對稱密鑰密碼體系,非對稱密鑰密碼體系又稱為公鑰密碼體系。非對稱密鑰密碼體系使用兩個密鑰：公鑰和私鑰。這兩個密鑰在數(shù)學上是相關的，且不能由公鑰計算出對應的私鑰，也不能由私鑰計算出對應的公鑰。接收者保留私鑰，公鑰對公眾公開。,非對稱加密體系的思想 加密和解密算法不是互逆的。如果沒有私鑰，即使有公鑰、加密和解密算法，也無法解密,非對稱加密示意圖,RSA 算法,基于數(shù)論中的歐拉定理，它的安全性依賴于大數(shù)N的因數(shù)分解的困難性

60、私鑰對數(shù)（N , d），公鑰對數(shù)（N ,e）發(fā)送方加密消息C=Pe mod N接收方解密密文P=Cd mod N P是明文，用數(shù)字表示；C是一個表示密文的數(shù),RSA 算法示例,RSA公鑰加密算法是1977年由 Rivest、 Shamirh和Adleman（美國麻省理工學院）開發(fā)的。RSA最有影響力的公鑰加密算法，能夠抵抗已知的所有密碼攻擊，被ISO推薦為公鑰數(shù)據(jù)加密標準。,非對稱密鑰密碼體系的特點,非對稱

61、密碼體系比對稱加密方式安全性更高。由于公鑰是公開的，密鑰的分發(fā)和管理簡單，對有n個用戶的網(wǎng)絡，僅需要2n個密鑰。公鑰可以公開發(fā)布，而密鑰是保密的，只有私鑰才能解密用公鑰加密的數(shù)據(jù)。非對稱加密方式由于算法實現(xiàn)的復雜性導致其加密速度遠低于對稱加密方式。通常用于加密關鍵性、核心的數(shù)據(jù)。,使用組合的保密體系,將對稱密鑰密碼體系的優(yōu)點（效率高）和非對稱密鑰密碼體系的優(yōu)點（密鑰管理簡單）綜合起來，形成組合保密體系。公鑰用于加密密鑰，密鑰用于

62、加密消息。,使用組合的保密體系,組合密鑰,加密/解密過程：,發(fā)送方選擇密鑰。此密鑰稱為會話密鑰，只使用一次。發(fā)送方用接收方的公鑰加密密鑰，并將加密過的密鑰發(fā)送給接收方。發(fā)送方使用密鑰加密實際的消息。接收方使用私鑰解密密鑰。接收方使用密鑰解密密文。,12 數(shù)字簽名,安全性的另外三個方面（完整，驗證，不可否認）可以用數(shù)字簽名技術實現(xiàn)。數(shù)字簽名是通過密碼技術對電子文檔形成簽名，數(shù)字簽名并不是手寫簽名的數(shù)字圖像化，而是加密后得到的一串

63、數(shù)據(jù)。數(shù)字簽名的目的是為了保證發(fā)送信息的真實性和完整性，解決網(wǎng)絡中雙方身份的確認，防止欺騙和抵賴行為的發(fā)生。,為了滿足安全性三個方面的要求，數(shù)字簽名采用非對稱加密方式，即發(fā)送方用自己的私鑰加密，接收方利用發(fā)送方的公鑰解密。在實際應用中，一般將簽名數(shù)據(jù)和被簽名文檔一起發(fā)送。數(shù)字簽名有兩種方式：簽署整個文檔簽署文檔摘要,Ⅰ 簽署整個文檔,簽署整個文檔方式使用非對稱加密方式簽署整個文檔，私鑰用來加密，公鑰用于解密。,134,簽署整個

64、文檔,Ⅱ 簽署文檔摘要,使用非對稱加密方式加密整個文檔效率非常低。為提高效率，可以讓發(fā)送方簽署文檔的摘要來實現(xiàn)數(shù)字簽名。發(fā)送方發(fā)送文件的摘要并簽署它們（用私鑰加密）。接收方檢查文件摘要上的簽名（用發(fā)送方的公鑰解密）,簽署摘要方式使用哈希函數(shù)的方法創(chuàng)建消息的摘要。不論消息長短，摘要都是固定大?。ㄍǔ?28位）。哈希函數(shù)有兩個特性：哈希函數(shù)是單向的，摘要只能從消息中生成，反之則不行。哈希函數(shù)是一一對應的，兩份消息不會創(chuàng)建相同的摘