第1章 無線通信網(wǎng)概述103

1、1 無線網(wǎng)絡(luò)技術(shù)無線網(wǎng)絡(luò)技術(shù) 2 參考資料參考資料 q推薦參考書推薦參考書 3 1.7 網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)互聯(lián) (1) 無線中繼無線中繼 (Wireless Repeater) q高端商用高端商用 AP 大多支持中繼模式。使用這種模式時(shí)，一大多支持中繼模式。使用這種模式時(shí)，一 個(gè)接入有線局域網(wǎng)的個(gè)接入有線局域網(wǎng)的 AP 作為中心作為中心 AP，根據(jù)需要可采用根據(jù)需要可采用 “AP 模式模式”，而充當(dāng)中繼器的，而充當(dāng)中繼器的 AP 不接入有線網(wǎng)絡(luò)，只不接入有線網(wǎng)絡(luò)，只 接電源，使用接電源，使用“中繼模式中繼模式” (作為作為 Repeater)，并填入遠(yuǎn)，并填入遠(yuǎn) 程程 AP 的的 MAC 地址地址

2、(Remote AP MAC)。中繼。中繼 AP 與中與中 心心AP 之間進(jìn)行橋接，同時(shí)也可提供自身信號(hào)覆蓋范圍內(nèi)之間進(jìn)行橋接，同時(shí)也可提供自身信號(hào)覆蓋范圍內(nèi) 的客戶端接入，從而延伸覆蓋范圍。的客戶端接入，從而延伸覆蓋范圍。 q中繼模式使無線覆蓋變得更容易和靈活，但需要高檔中繼模式使無線覆蓋變得更容易和靈活，但需要高檔 AP 的支持。另一方面，如果中心的支持。另一方面，如果中心 AP 出了問題，則整個(gè)出了問題，則整個(gè) WLAN 將癱瘓，冗余性無法保障。將癱瘓，冗余性無法保障。 4 1.7 網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)互聯(lián) (2)網(wǎng)橋網(wǎng)橋 q網(wǎng)橋?qū)蓚€(gè)相似的網(wǎng)絡(luò)連接起來，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流通進(jìn)網(wǎng)橋?qū)蓚€(gè)相似的網(wǎng)絡(luò)

3、連接起來，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流通進(jìn) 行管理。它作于行管理。它作于數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層，不但能擴(kuò)展網(wǎng)絡(luò)的距離或范，不但能擴(kuò)展網(wǎng)絡(luò)的距離或范 圍，而且可提高網(wǎng)絡(luò)的性能、可靠性和安全性。網(wǎng)絡(luò)圍，而且可提高網(wǎng)絡(luò)的性能、可靠性和安全性。網(wǎng)絡(luò)1 和和 網(wǎng)絡(luò)網(wǎng)絡(luò)2 通過網(wǎng)橋連接后，網(wǎng)橋接收網(wǎng)絡(luò)通過網(wǎng)橋連接后，網(wǎng)橋接收網(wǎng)絡(luò)1 發(fā)送的數(shù)據(jù)包，發(fā)送的數(shù)據(jù)包， 檢查數(shù)據(jù)包中的地址，如果地址屬于網(wǎng)絡(luò)檢查數(shù)據(jù)包中的地址，如果地址屬于網(wǎng)絡(luò)1 ，它就將其放，它就將其放 棄，相反，如果是網(wǎng)絡(luò)棄，相反，如果是網(wǎng)絡(luò)2 的地址，它就繼續(xù)發(fā)送給網(wǎng)絡(luò)的地址，它就繼續(xù)發(fā)送給網(wǎng)絡(luò)2. 這樣可利用網(wǎng)橋隔離信息，將同一個(gè)網(wǎng)絡(luò)號(hào)劃分成多個(gè)網(wǎng)這樣可利

4、用網(wǎng)橋隔離信息，將同一個(gè)網(wǎng)絡(luò)號(hào)劃分成多個(gè)網(wǎng) 段（屬于同一個(gè)網(wǎng)絡(luò)號(hào)），隔離出安全網(wǎng)段，防止其他網(wǎng)段（屬于同一個(gè)網(wǎng)絡(luò)號(hào)），隔離出安全網(wǎng)段，防止其他網(wǎng) 段內(nèi)的用戶非法訪問。由于網(wǎng)絡(luò)的分段，各網(wǎng)段相對(duì)獨(dú)立段內(nèi)的用戶非法訪問。由于網(wǎng)絡(luò)的分段，各網(wǎng)段相對(duì)獨(dú)立 （屬于同一個(gè)網(wǎng)絡(luò)號(hào)），一個(gè)網(wǎng)段的故障不會(huì)影響到另一（屬于同一個(gè)網(wǎng)絡(luò)號(hào)），一個(gè)網(wǎng)段的故障不會(huì)影響到另一 個(gè)網(wǎng)段的運(yùn)行。個(gè)網(wǎng)段的運(yùn)行。 5 1.7 網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)互聯(lián) 6 1.7 網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)互聯(lián) (3) 無線網(wǎng)橋無線網(wǎng)橋 (WBridge P2P) q距離較遠(yuǎn)的兩個(gè)點(diǎn)可以使用加設(shè)定向天線的方式實(shí)現(xiàn)長(zhǎng)距離較遠(yuǎn)的兩個(gè)點(diǎn)可以使用加設(shè)定向天線的方式實(shí)現(xiàn)長(zhǎng) 距離的

5、信號(hào)傳輸?？梢岳眠@種點(diǎn)對(duì)點(diǎn)橋接模式實(shí)現(xiàn)網(wǎng)距離的信號(hào)傳輸。可以利用這種點(diǎn)對(duì)點(diǎn)橋接模式實(shí)現(xiàn)網(wǎng) 絡(luò)互聯(lián)。例如，兩棟建筑物內(nèi)各有一個(gè)局域網(wǎng)：絡(luò)互聯(lián)。例如，兩棟建筑物內(nèi)各有一個(gè)局域網(wǎng)：LAN1和和 LAN2，兩個(gè)，兩個(gè) AP：AP- A 和和 AP-B 使用點(diǎn)對(duì)點(diǎn)橋接模式使用點(diǎn)對(duì)點(diǎn)橋接模式 相連。兩個(gè)相連。兩個(gè) AP 都各自連入本地都各自連入本地 LAN 的交換機(jī)中，此時(shí)的交換機(jī)中，此時(shí) 這兩個(gè)這兩個(gè) AP 起到無線網(wǎng)橋的作用。兩個(gè)起到無線網(wǎng)橋的作用。兩個(gè) AP 均設(shè)置在均設(shè)置在“橋橋 接模式接模式”，并在，并在“遠(yuǎn)程橋接遠(yuǎn)程橋接 MAC 地址地址 (Remote Bridge MAC)”中輸入對(duì)方中

6、輸入對(duì)方 AP 的的 MAC 地址。兩個(gè)地址。兩個(gè) AP 的的 IP 須須 在同一網(wǎng)段，使用相同的信道，均采用定向天線。從而在同一網(wǎng)段，使用相同的信道，均采用定向天線。從而 實(shí)現(xiàn)兩個(gè)有線局域網(wǎng)之間互連和資源共享實(shí)現(xiàn)兩個(gè)有線局域網(wǎng)之間互連和資源共享, 也可以實(shí)現(xiàn)有也可以實(shí)現(xiàn)有 線網(wǎng)絡(luò)的擴(kuò)展。線網(wǎng)絡(luò)的擴(kuò)展。 7 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) q點(diǎn)到點(diǎn)連接點(diǎn)到點(diǎn)連接 wP2P 或或 ad-hoc 連接；連接；LAN 無線網(wǎng)橋；藍(lán)牙；無線網(wǎng)橋；藍(lán)牙； IrDA q星型拓?fù)湫切屯負(fù)?wWiMAX 基站，基站，ZigBee PAN q網(wǎng)狀網(wǎng)狀 w移動(dòng)移動(dòng) ad-hoc 連接連接 8 1.8

7、 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) (1) WLAN 802.11拓?fù)浣Y(jié)構(gòu)：點(diǎn)對(duì)點(diǎn)拓?fù)浣Y(jié)構(gòu)：點(diǎn)對(duì)點(diǎn)Ad-HOC結(jié)構(gòu)結(jié)構(gòu) qAd hoc network：自組織網(wǎng)絡(luò)，特定網(wǎng)絡(luò)，對(duì)等網(wǎng)絡(luò)。指：自組織網(wǎng)絡(luò)，特定網(wǎng)絡(luò)，對(duì)等網(wǎng)絡(luò)。指 臨時(shí)應(yīng)變的特定網(wǎng)絡(luò)。若干個(gè)移動(dòng)的無線通信終端可以構(gòu)臨時(shí)應(yīng)變的特定網(wǎng)絡(luò)。若干個(gè)移動(dòng)的無線通信終端可以構(gòu) 成一個(gè)臨時(shí)應(yīng)變的網(wǎng)絡(luò)。這種網(wǎng)絡(luò)是臨時(shí)性的、無中心的，成一個(gè)臨時(shí)應(yīng)變的網(wǎng)絡(luò)。這種網(wǎng)絡(luò)是臨時(shí)性的、無中心的， 無需依靠任何基礎(chǔ)設(shè)施的非標(biāo)準(zhǔn)網(wǎng)絡(luò)。因此可稱作是無需依靠任何基礎(chǔ)設(shè)施的非標(biāo)準(zhǔn)網(wǎng)絡(luò)。因此可稱作是“自自 組織網(wǎng)絡(luò)組織網(wǎng)絡(luò)”。也有人稱它是。也有人稱它是“特定網(wǎng)絡(luò)特定網(wǎng)絡(luò)

8、”，是因?yàn)樗呛?，是因?yàn)樗呛?短距離的特定連接，并且只能用于近距離的用戶，又因?yàn)槎叹嚯x的特定連接，并且只能用于近距離的用戶，又因?yàn)?它是便于加入和離開，既能主控，又能被控的網(wǎng)絡(luò)，所以它是便于加入和離開，既能主控，又能被控的網(wǎng)絡(luò)，所以 又有人稱之為又有人稱之為“對(duì)等網(wǎng)絡(luò)對(duì)等網(wǎng)絡(luò)”。 q點(diǎn)對(duì)點(diǎn)點(diǎn)對(duì)點(diǎn) Ad-Hoc 對(duì)等結(jié)構(gòu)就相當(dāng)于有線網(wǎng)絡(luò)中的多機(jī)對(duì)等結(jié)構(gòu)就相當(dāng)于有線網(wǎng)絡(luò)中的多機(jī)(一般一般 最多是最多是3臺(tái)機(jī)臺(tái)機(jī))直接通過網(wǎng)卡互聯(lián)，中問沒有集中接入設(shè)備，直接通過網(wǎng)卡互聯(lián)，中問沒有集中接入設(shè)備， 信號(hào)直接在兩個(gè)通信端點(diǎn)對(duì)點(diǎn)傳輸。信號(hào)直接在兩個(gè)通信端點(diǎn)對(duì)點(diǎn)傳輸。 9 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)

9、的物理結(jié)構(gòu) Ad-Hoc對(duì)等結(jié)構(gòu)對(duì)等結(jié)構(gòu) 10 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) q上述結(jié)構(gòu)模式也稱為上述結(jié)構(gòu)模式也稱為 IBSS (Independent basic service set)：A self-sufficient network 。There is no AP (access point) in IBSS。 q有線網(wǎng)絡(luò)中每個(gè)連接都需要專門的傳輸介質(zhì)，所以在多機(jī)有線網(wǎng)絡(luò)中每個(gè)連接都需要專門的傳輸介質(zhì)，所以在多機(jī) 互連結(jié)構(gòu)中，一臺(tái)機(jī)器可能需要安裝多塊網(wǎng)卡?；ミB結(jié)構(gòu)中，一臺(tái)機(jī)器可能需要安裝多塊網(wǎng)卡。WLAN 中中 沒有物理傳輸介質(zhì)，信號(hào)以電磁波的形式發(fā)散傳播，所以沒有物

10、理傳輸介質(zhì)，信號(hào)以電磁波的形式發(fā)散傳播，所以 在在 WLAN 中的對(duì)等連接模式中，各用戶無須安裝多塊中的對(duì)等連接模式中，各用戶無須安裝多塊 WLAN 網(wǎng)卡，相比有線網(wǎng)絡(luò)來說，組網(wǎng)方式要簡(jiǎn)單得多。網(wǎng)卡，相比有線網(wǎng)絡(luò)來說，組網(wǎng)方式要簡(jiǎn)單得多。 11 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) qAd-Hoc 對(duì)等結(jié)構(gòu)網(wǎng)絡(luò)通信中沒有一個(gè)信號(hào)交換設(shè)備，網(wǎng)對(duì)等結(jié)構(gòu)網(wǎng)絡(luò)通信中沒有一個(gè)信號(hào)交換設(shè)備，網(wǎng) 絡(luò)通信效率較低，僅適用于較少數(shù)量的無線互連。同時(shí)由絡(luò)通信效率較低，僅適用于較少數(shù)量的無線互連。同時(shí)由 于這一模式?jīng)]有中心管理單元，這種網(wǎng)絡(luò)在可管理性和擴(kuò)于這一模式?jīng)]有中心管理單元，這種網(wǎng)絡(luò)在可管理性和擴(kuò) 展

11、性方面受到一定的限制。各無線節(jié)點(diǎn)之間只能單點(diǎn)通信，展性方面受到一定的限制。各無線節(jié)點(diǎn)之間只能單點(diǎn)通信， 不能實(shí)現(xiàn)交換連接，類似于有線網(wǎng)絡(luò)中的對(duì)等網(wǎng)。這種無不能實(shí)現(xiàn)交換連接，類似于有線網(wǎng)絡(luò)中的對(duì)等網(wǎng)。這種無 線網(wǎng)絡(luò)模式通常只適用于臨時(shí)的無線應(yīng)用環(huán)境，如小型會(huì)線網(wǎng)絡(luò)模式通常只適用于臨時(shí)的無線應(yīng)用環(huán)境，如小型會(huì) 議室，議室，SOHO 家庭無線網(wǎng)絡(luò)等。家庭無線網(wǎng)絡(luò)等。 qIBSS 的安全性：每個(gè)的安全性：每個(gè) IBSS 主機(jī)都需要自建安全機(jī)制。主機(jī)都需要自建安全機(jī)制。 12 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) (2) WLAN 802.11 拓?fù)浣Y(jié)構(gòu)：基于拓?fù)浣Y(jié)構(gòu)：基于AP的的Infrast

12、ructure結(jié)構(gòu)結(jié)構(gòu) q基于無線基于無線 AP 的的 Infrastructure(基礎(chǔ)基礎(chǔ)) 結(jié)構(gòu)模式類似于有線結(jié)構(gòu)模式類似于有線 網(wǎng)絡(luò)中的星型交換模式，也屬于集中式結(jié)構(gòu)類型。其中的網(wǎng)絡(luò)中的星型交換模式，也屬于集中式結(jié)構(gòu)類型。其中的 無線無線AP相當(dāng)于有線網(wǎng)絡(luò)中的交換機(jī)，起著集中連接和數(shù)據(jù)相當(dāng)于有線網(wǎng)絡(luò)中的交換機(jī)，起著集中連接和數(shù)據(jù) 交換的作用。在這種無線網(wǎng)絡(luò)結(jié)構(gòu)中，除了需要像交換的作用。在這種無線網(wǎng)絡(luò)結(jié)構(gòu)中，除了需要像 Ad- Hoc 對(duì)等結(jié)構(gòu)中在每臺(tái)主機(jī)上安裝無線網(wǎng)卡，還需要一個(gè)對(duì)等結(jié)構(gòu)中在每臺(tái)主機(jī)上安裝無線網(wǎng)卡，還需要一個(gè) AP 接接 入設(shè)備，稱入設(shè)備，稱“訪問點(diǎn)訪問點(diǎn)”或或“接入點(diǎn)

13、接入點(diǎn)”。這個(gè)。這個(gè) AP 設(shè)備設(shè)備 用于集中連接所有無線節(jié)點(diǎn)，并進(jìn)行集中管理。一般的無用于集中連接所有無線節(jié)點(diǎn)，并進(jìn)行集中管理。一般的無 線線 AP 還提供了一個(gè)有線以太網(wǎng)接口，用于與有線網(wǎng)絡(luò)、還提供了一個(gè)有線以太網(wǎng)接口，用于與有線網(wǎng)絡(luò)、 工作站和路由設(shè)備的連接?；A(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)如圖所示。工作站和路由設(shè)備的連接。基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)如圖所示。 13 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) 基于基于AP的的Infrastructure結(jié)構(gòu)結(jié)構(gòu) 14 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) q上述網(wǎng)絡(luò)結(jié)構(gòu)模式也稱為上述網(wǎng)絡(luò)結(jié)構(gòu)模式也稱為 BSS(Basic service set)，或，或 (I

14、nfrastructure)：A set of stations controlled by a single coordination function (AP). 15 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) q這種網(wǎng)絡(luò)結(jié)構(gòu)模式的特點(diǎn)主要表現(xiàn)在網(wǎng)絡(luò)易于擴(kuò)展、便于這種網(wǎng)絡(luò)結(jié)構(gòu)模式的特點(diǎn)主要表現(xiàn)在網(wǎng)絡(luò)易于擴(kuò)展、便于 集中管理、能提供用戶身份驗(yàn)證等優(yōu)勢(shì)，另外數(shù)據(jù)傳輸性集中管理、能提供用戶身份驗(yàn)證等優(yōu)勢(shì)，另外數(shù)據(jù)傳輸性 能也明顯高于能也明顯高于 Ad-Hoc 對(duì)等結(jié)構(gòu)。在這種對(duì)等結(jié)構(gòu)。在這種 AP 網(wǎng)絡(luò)中，網(wǎng)絡(luò)中，AP 和無線網(wǎng)卡還可針對(duì)具體的網(wǎng)絡(luò)環(huán)境調(diào)整網(wǎng)絡(luò)連接速率。和無線網(wǎng)卡還可針對(duì)具體

15、的網(wǎng)絡(luò)環(huán)境調(diào)整網(wǎng)絡(luò)連接速率。 q理論上一個(gè)理論上一個(gè)IEEE 802.11b 的的 AP 最大可連接最大可連接72個(gè)無線節(jié)點(diǎn)，個(gè)無線節(jié)點(diǎn)， 實(shí)際應(yīng)用中考慮到更高的連接需求，一般建議為實(shí)際應(yīng)用中考慮到更高的連接需求，一般建議為10個(gè)節(jié)點(diǎn)個(gè)節(jié)點(diǎn) 以內(nèi)。同時(shí)要求單個(gè)以內(nèi)。同時(shí)要求單個(gè) AP 所連接的無線節(jié)點(diǎn)要在其有效的所連接的無線節(jié)點(diǎn)要在其有效的 覆蓋范圍內(nèi)，這個(gè)距離通常為室內(nèi)覆蓋范圍內(nèi)，這個(gè)距離通常為室內(nèi)100米、室外米、室外300米左右。米左右。 在實(shí)際的應(yīng)用環(huán)境中，連接性能往往受到許多方面因素的在實(shí)際的應(yīng)用環(huán)境中，連接性能往往受到許多方面因素的 影響，實(shí)際連接速率要遠(yuǎn)低于理論速率，如上面所提到

16、的影響，實(shí)際連接速率要遠(yuǎn)低于理論速率，如上面所提到的 AP 和無線網(wǎng)卡可針對(duì)特定的網(wǎng)絡(luò)環(huán)境動(dòng)態(tài)調(diào)整速率，原和無線網(wǎng)卡可針對(duì)特定的網(wǎng)絡(luò)環(huán)境動(dòng)態(tài)調(diào)整速率，原 因就在于此。因就在于此。 16 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) qIEEE 802.11a 或或 IEEE 802.11g 的的 AP 速率可達(dá)到速率可達(dá)到 54Mbps，有效覆蓋范圍也比，有效覆蓋范圍也比 IEEE 802.11b 的大的大1倍以上，倍以上， 理論上單個(gè)理論上單個(gè) AP 的理論連接節(jié)點(diǎn)數(shù)在的理論連接節(jié)點(diǎn)數(shù)在l00個(gè)以上，實(shí)際應(yīng)用個(gè)以上，實(shí)際應(yīng)用 中所連接的用戶數(shù)一般建議不超過中所連接的用戶數(shù)一般建議不超過20個(gè)

17、。個(gè)。 q另外，基礎(chǔ)結(jié)構(gòu)的無線局域網(wǎng)不僅可以應(yīng)用于獨(dú)立的無線另外，基礎(chǔ)結(jié)構(gòu)的無線局域網(wǎng)不僅可以應(yīng)用于獨(dú)立的無線 局域網(wǎng)中，如小型辦公室無線網(wǎng)絡(luò)、局域網(wǎng)中，如小型辦公室無線網(wǎng)絡(luò)、SOHO 家庭無線網(wǎng)絡(luò)，家庭無線網(wǎng)絡(luò)， 也可以以它為基本網(wǎng)絡(luò)結(jié)構(gòu)單元組建成也可以以它為基本網(wǎng)絡(luò)結(jié)構(gòu)單元組建成 龐大的無線局域網(wǎng)龐大的無線局域網(wǎng) 系統(tǒng)，如系統(tǒng)，如 ISP 在在“熱點(diǎn)熱點(diǎn)”位置為各移動(dòng)辦公用戶提供的無線位置為各移動(dòng)辦公用戶提供的無線 上網(wǎng)服務(wù)，在賓館、酒店、機(jī)場(chǎng)為用戶提供的無線上網(wǎng)區(qū)上網(wǎng)服務(wù)，在賓館、酒店、機(jī)場(chǎng)為用戶提供的無線上網(wǎng)區(qū) 等。注意到各等。注意到各 AP 所用的信道數(shù)量，在同一有效距離內(nèi)不所用的信

18、道數(shù)量，在同一有效距離內(nèi)不 能超過能超過3個(gè)不同的信道。個(gè)不同的信道。 17 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) 18 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) 無線網(wǎng)卡無線網(wǎng)卡(WNIC) 19 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) 接入點(diǎn)（接入點(diǎn)（AP） 20 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) q無線交換機(jī)無線交換機(jī) q無線路由器無線路由器 q無線網(wǎng)橋無線網(wǎng)橋 q智能天線智能天線 WLAN天線天線 21 22 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) q藍(lán)牙藍(lán)牙 藍(lán)牙音箱藍(lán)牙音箱 藍(lán)牙家用電話藍(lán)牙家用電話 23 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理

19、結(jié)構(gòu) 藍(lán)牙數(shù)碼相框藍(lán)牙數(shù)碼相框 藍(lán)牙太陽能耳機(jī)藍(lán)牙太陽能耳機(jī) 24 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) 藍(lán)牙虛擬鍵盤藍(lán)牙虛擬鍵盤 25 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) qZigBee ZigBee 設(shè)備設(shè)備 26 1.8 無線網(wǎng)絡(luò)的物理結(jié)構(gòu)無線網(wǎng)絡(luò)的物理結(jié)構(gòu) q基站基站 q用戶終端用戶終端 q固定天線固定天線 q移動(dòng)設(shè)備移動(dòng)設(shè)備 27 28 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q網(wǎng)絡(luò)不能簡(jiǎn)單地劃分為安全的或是不安全的，因?yàn)榘踩@網(wǎng)絡(luò)不能簡(jiǎn)單地劃分為安全的或是不安全的，因?yàn)榘踩@ 個(gè)詞本身就有其相對(duì)性，它因環(huán)境和需求的界定不同而有個(gè)詞本身就有其相對(duì)性，它因環(huán)境和需求的界定不同而有

20、不同的含義。不存在能滿足各種需要的絕對(duì)安全的網(wǎng)絡(luò)。不同的含義。不存在能滿足各種需要的絕對(duì)安全的網(wǎng)絡(luò)。 q比如，有些單位的數(shù)據(jù)是很有保密價(jià)值的，他們就把網(wǎng)絡(luò)比如，有些單位的數(shù)據(jù)是很有保密價(jià)值的，他們就把網(wǎng)絡(luò) 安全定義為其數(shù)據(jù)不被外界訪問；有些單位需要向外界提安全定義為其數(shù)據(jù)不被外界訪問；有些單位需要向外界提 供信息，但禁止外界修改這些信息，他們就把網(wǎng)絡(luò)安全定供信息，但禁止外界修改這些信息，他們就把網(wǎng)絡(luò)安全定 義為數(shù)據(jù)不能被外界修改；有些單位注重通信的隱秘性，義為數(shù)據(jù)不能被外界修改；有些單位注重通信的隱秘性， 他們就把網(wǎng)絡(luò)安全定義為信息不可被他人截獲或閱讀；還他們就把網(wǎng)絡(luò)安全定義為信息不可被他人截

21、獲或閱讀；還 有些單位對(duì)安全的定義會(huì)更復(fù)雜，他們把數(shù)據(jù)劃分為不同有些單位對(duì)安全的定義會(huì)更復(fù)雜，他們把數(shù)據(jù)劃分為不同 的級(jí)別，其中有些級(jí)別數(shù)據(jù)對(duì)外界保密，有些級(jí)別數(shù)據(jù)只的級(jí)別，其中有些級(jí)別數(shù)據(jù)對(duì)外界保密，有些級(jí)別數(shù)據(jù)只 能被外界訪問而不能被修改等等。能被外界訪問而不能被修改等等。 29 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q正因?yàn)闆]有絕對(duì)意義上的安全網(wǎng)絡(luò)（正因?yàn)闆]有絕對(duì)意義上的安全網(wǎng)絡(luò)（secure network） 存在，任何安全系統(tǒng)的第一步就是制定一個(gè)合理的安全策存在，任何安全系統(tǒng)的第一步就是制定一個(gè)合理的安全策 略（略（security policy）。該策略不需規(guī)定具體的技術(shù)實(shí)現(xiàn)，）。該策略不需規(guī)

22、定具體的技術(shù)實(shí)現(xiàn)， 而是要清晰地闡明要保護(hù)的各項(xiàng)條目。而是要清晰地闡明要保護(hù)的各項(xiàng)條目。 q網(wǎng)絡(luò)安全策略必須能夠覆蓋數(shù)據(jù)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、網(wǎng)絡(luò)安全策略必須能夠覆蓋數(shù)據(jù)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、 傳輸和處理等各個(gè)環(huán)節(jié)，否則安全策略就不會(huì)有效。傳輸和處理等各個(gè)環(huán)節(jié)，否則安全策略就不會(huì)有效。 q制定網(wǎng)絡(luò)安全策略的復(fù)雜性還體現(xiàn)在對(duì)網(wǎng)絡(luò)系統(tǒng)信息價(jià)值制定網(wǎng)絡(luò)安全策略的復(fù)雜性還體現(xiàn)在對(duì)網(wǎng)絡(luò)系統(tǒng)信息價(jià)值 的評(píng)定。任何組織只有正確認(rèn)識(shí)了其數(shù)據(jù)信息的價(jià)值，才的評(píng)定。任何組織只有正確認(rèn)識(shí)了其數(shù)據(jù)信息的價(jià)值，才 能制定一個(gè)合理的安全策略。而在大多數(shù)情況下，信息的能制定一個(gè)合理的安全策略。而在大多數(shù)情況下，信息的

23、價(jià)值難以評(píng)估。價(jià)值難以評(píng)估。 30 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q例如：一個(gè)工資數(shù)據(jù)庫系統(tǒng)。該數(shù)據(jù)庫系統(tǒng)記錄了某公司例如：一個(gè)工資數(shù)據(jù)庫系統(tǒng)。該數(shù)據(jù)庫系統(tǒng)記錄了某公司 所有雇員、他們的上班時(shí)間及工資等級(jí)等信息。該系統(tǒng)的所有雇員、他們的上班時(shí)間及工資等級(jí)等信息。該系統(tǒng)的 價(jià)值來自三個(gè)方面：第一、重新建立該系統(tǒng)的代價(jià)。這一價(jià)值來自三個(gè)方面：第一、重新建立該系統(tǒng)的代價(jià)。這一 部分比較容易評(píng)價(jià)，只需要計(jì)算出重新收集和組織該系統(tǒng)部分比較容易評(píng)價(jià)，只需要計(jì)算出重新收集和組織該系統(tǒng) 信息所需的工作量。第二、該系統(tǒng)信息不正確使得公司可信息所需的工作量。第二、該系統(tǒng)信息不正確使得公司可 能面臨的損失。比如非法操作

24、使系統(tǒng)中某些雇員的工資等能面臨的損失。比如非法操作使系統(tǒng)中某些雇員的工資等 級(jí)比實(shí)際情況高，公司將被迫多支付薪水。第三、系統(tǒng)信級(jí)比實(shí)際情況高，公司將被迫多支付薪水。第三、系統(tǒng)信 息泄漏導(dǎo)致的間接損失。例如工資信息被競(jìng)爭(zhēng)者竊取，競(jìng)息泄漏導(dǎo)致的間接損失。例如工資信息被競(jìng)爭(zhēng)者竊取，競(jìng) 爭(zhēng)者會(huì)采取針對(duì)性措施使該公司在人力資源方面蒙受巨大爭(zhēng)者會(huì)采取針對(duì)性措施使該公司在人力資源方面蒙受巨大 損失，如被迫提高員工薪水、增加培訓(xùn)等各項(xiàng)開銷。損失，如被迫提高員工薪水、增加培訓(xùn)等各項(xiàng)開銷。 31 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q如前所述，沒有絕對(duì)安全的網(wǎng)絡(luò)。制定安全策略時(shí)，往往如前所述，沒有絕對(duì)安全的網(wǎng)絡(luò)。制定安全策

25、略時(shí)，往往 必須在安全性和實(shí)用性之間采取一個(gè)折衷的方案，著重保必須在安全性和實(shí)用性之間采取一個(gè)折衷的方案，著重保 證一些主要的安全性指標(biāo)，如證一些主要的安全性指標(biāo)，如 w數(shù)據(jù)完整性（數(shù)據(jù)完整性（data integrity）：數(shù)據(jù)在傳輸過程中的）：數(shù)據(jù)在傳輸過程中的 完整性，也即數(shù)據(jù)在發(fā)送前和到達(dá)后是否完全一樣。完整性，也即數(shù)據(jù)在發(fā)送前和到達(dá)后是否完全一樣。 w數(shù)據(jù)可用性（數(shù)據(jù)可用性（data availability）：在系統(tǒng)故障的情況）：在系統(tǒng)故障的情況 下數(shù)據(jù)是否會(huì)丟失。下數(shù)據(jù)是否會(huì)丟失。 w數(shù)據(jù)保密性（數(shù)據(jù)保密性（data confidentiality and privacy）：）：

26、 數(shù)據(jù)是否會(huì)被非法竊取。數(shù)據(jù)是否會(huì)被非法竊取。 32 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q系統(tǒng)管理權(quán)限的正確分配往往是安全策略成敗的關(guān)鍵。系統(tǒng)管理權(quán)限的正確分配往往是安全策略成敗的關(guān)鍵。 w強(qiáng)制授權(quán)（強(qiáng)制授權(quán)（Authorization）：對(duì)請(qǐng)求訪問的用戶進(jìn)行）：對(duì)請(qǐng)求訪問的用戶進(jìn)行 授權(quán)，規(guī)定各用戶對(duì)系統(tǒng)的操作權(quán)限。授權(quán)，規(guī)定各用戶對(duì)系統(tǒng)的操作權(quán)限。 w認(rèn)證（認(rèn)證（Authentication）：對(duì)訪問資源的用戶進(jìn)行認(rèn)）：對(duì)訪問資源的用戶進(jìn)行認(rèn) 證以驗(yàn)證他們是否有訪問的權(quán)利和權(quán)限。證以驗(yàn)證他們是否有訪問的權(quán)利和權(quán)限。 w可計(jì)帳性（可計(jì)帳性（Accountability）：對(duì)獲得授權(quán)和認(rèn)證的）：對(duì)獲得

27、授權(quán)和認(rèn)證的 用戶活動(dòng)情況進(jìn)行監(jiān)督記錄。用戶活動(dòng)情況進(jìn)行監(jiān)督記錄。 簡(jiǎn)稱簡(jiǎn)稱 AAA。 33 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q在數(shù)據(jù)可能遭到意外破壞的情況下，使用一些技術(shù)如奇偶在數(shù)據(jù)可能遭到意外破壞的情況下，使用一些技術(shù)如奇偶 位、校驗(yàn)和以及位、校驗(yàn)和以及 CRC 等來保證數(shù)據(jù)的完整性。例如發(fā)送等來保證數(shù)據(jù)的完整性。例如發(fā)送 方同時(shí)發(fā)送該消息的檢驗(yàn)值，消息接收方接到消息時(shí)只需方同時(shí)發(fā)送該消息的檢驗(yàn)值，消息接收方接到消息時(shí)只需 重新計(jì)算一次檢驗(yàn)值，并比較兩檢驗(yàn)值是否相同就可判斷重新計(jì)算一次檢驗(yàn)值，并比較兩檢驗(yàn)值是否相同就可判斷 該消息是否正確。該消息是否正確。 q校驗(yàn)和以及校驗(yàn)和以及 CRC 技術(shù)都

28、不能絕對(duì)保證數(shù)據(jù)的完整性，有技術(shù)都不能絕對(duì)保證數(shù)據(jù)的完整性，有 兩個(gè)原因：其一，如果出現(xiàn)檢驗(yàn)值和消息數(shù)據(jù)同時(shí)破壞，兩個(gè)原因：其一，如果出現(xiàn)檢驗(yàn)值和消息數(shù)據(jù)同時(shí)破壞， 且改變后的檢驗(yàn)值和消息又正巧匹配的情況，系統(tǒng)就無法且改變后的檢驗(yàn)值和消息又正巧匹配的情況，系統(tǒng)就無法 發(fā)現(xiàn)錯(cuò)誤（這種情況概率很低，但決不為零）；其二，原發(fā)現(xiàn)錯(cuò)誤（這種情況概率很低，但決不為零）；其二，原 因一中所述技術(shù)上的缺陷，可能為人惡意利用。因一中所述技術(shù)上的缺陷，可能為人惡意利用。 34 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q有幾種機(jī)制能夠確保受到惡意攻擊的消息的完整性。一般有幾種機(jī)制能夠確保受到惡意攻擊的消息的完整性。一般 采用的方

29、法是使用攻擊者不能攻擊或偽造的信息驗(yàn)證碼采用的方法是使用攻擊者不能攻擊或偽造的信息驗(yàn)證碼 （message authentication code，MAC）技術(shù)對(duì)傳輸數(shù)）技術(shù)對(duì)傳輸數(shù) 據(jù)進(jìn)行編碼。典型的編碼機(jī)制是密碼散列據(jù)進(jìn)行編碼。典型的編碼機(jī)制是密碼散列 (cryptographic hashing) 機(jī)制，如使用只有發(fā)送方和接受方才知道的私機(jī)制，如使用只有發(fā)送方和接受方才知道的私 有密鑰。這樣，在發(fā)送方對(duì)信息編碼時(shí)，密碼散列函數(shù)像有密鑰。這樣，在發(fā)送方對(duì)信息編碼時(shí)，密碼散列函數(shù)像 對(duì)數(shù)據(jù)編碼一樣使用私有密鑰打亂信息中的字節(jié)的排列位對(duì)數(shù)據(jù)編碼一樣使用私有密鑰打亂信息中的字節(jié)的排列位 置。只有

30、接收方才能夠恢復(fù)這些信息，而沒有密鑰的攻擊置。只有接收方才能夠恢復(fù)這些信息，而沒有密鑰的攻擊 者不能解碼，也就不能引入錯(cuò)誤。只有接收方才能知道被者不能解碼，也就不能引入錯(cuò)誤。只有接收方才能知道被 解碼的信息都是真實(shí)的。解碼的信息都是真實(shí)的。 35 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q現(xiàn)已采用幾種機(jī)制能夠確保受到惡意攻擊的消息的完整性?，F(xiàn)已采用幾種機(jī)制能夠確保受到惡意攻擊的消息的完整性。 一般采用的方法是使用攻擊者不能攻擊或偽造的信息驗(yàn)證一般采用的方法是使用攻擊者不能攻擊或偽造的信息驗(yàn)證 碼（碼（message authentication code，MAC）技術(shù)對(duì)傳輸）技術(shù)對(duì)傳輸 數(shù)據(jù)進(jìn)行編碼。典型的

31、編碼機(jī)制是密碼散列數(shù)據(jù)進(jìn)行編碼。典型的編碼機(jī)制是密碼散列 (cryptographic hashing) 機(jī)制，如使用只有發(fā)送方和接機(jī)制，如使用只有發(fā)送方和接 受方才知道的私有密鑰。這樣，在發(fā)送方對(duì)信息編碼時(shí)，受方才知道的私有密鑰。這樣，在發(fā)送方對(duì)信息編碼時(shí)， 密碼散列函數(shù)像對(duì)數(shù)據(jù)編碼一樣使用私有密鑰打亂信息中密碼散列函數(shù)像對(duì)數(shù)據(jù)編碼一樣使用私有密鑰打亂信息中 的字節(jié)的排列位置。只有接收方才能夠恢復(fù)這些信息，而的字節(jié)的排列位置。只有接收方才能夠恢復(fù)這些信息，而 沒有密鑰的攻擊者不能解碼，也就不能引入錯(cuò)誤。只有接沒有密鑰的攻擊者不能解碼，也就不能引入錯(cuò)誤。只有接 收方才能知道被解碼的信息都是真實(shí)

32、的。收方才能知道被解碼的信息都是真實(shí)的。 36 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q很多計(jì)算機(jī)系統(tǒng)采用口令機(jī)制來控制對(duì)系統(tǒng)資源的訪問。很多計(jì)算機(jī)系統(tǒng)采用口令機(jī)制來控制對(duì)系統(tǒng)資源的訪問。 每個(gè)用戶都有一個(gè)私有密鑰。用戶想要訪問被保護(hù)的資源每個(gè)用戶都有一個(gè)私有密鑰。用戶想要訪問被保護(hù)的資源 時(shí)，被要求輸入口令。時(shí)，被要求輸入口令。 q在傳統(tǒng)的計(jì)算機(jī)系統(tǒng)中，簡(jiǎn)單的口令機(jī)制可以取得很好的在傳統(tǒng)的計(jì)算機(jī)系統(tǒng)中，簡(jiǎn)單的口令機(jī)制可以取得很好的 效果，因?yàn)橄到y(tǒng)本身不會(huì)把口令泄漏出去。而在網(wǎng)絡(luò)系統(tǒng)效果，因?yàn)橄到y(tǒng)本身不會(huì)把口令泄漏出去。而在網(wǎng)絡(luò)系統(tǒng) 中，這樣的口令就很容易被竊聽。比如，如果某用戶通過中，這樣的口令就很容易

33、被竊聽。比如，如果某用戶通過 網(wǎng)絡(luò)傳輸口令到一臺(tái)遠(yuǎn)程計(jì)算機(jī)上，在線竊聽者就很容易網(wǎng)絡(luò)傳輸口令到一臺(tái)遠(yuǎn)程計(jì)算機(jī)上，在線竊聽者就很容易 獲取該口令的副本。在線竊聽在局域網(wǎng)上更容易實(shí)現(xiàn)，因獲取該口令的副本。在線竊聽在局域網(wǎng)上更容易實(shí)現(xiàn)，因 為大多數(shù)局域網(wǎng)都是總線結(jié)構(gòu)，任一臺(tái)計(jì)算機(jī)都可以獲得為大多數(shù)局域網(wǎng)都是總線結(jié)構(gòu)，任一臺(tái)計(jì)算機(jī)都可以獲得 傳輸數(shù)據(jù)的副本。在這種情況下，必須采取另外的保護(hù)措傳輸數(shù)據(jù)的副本。在這種情況下，必須采取另外的保護(hù)措 施。施。 37 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q為了保證有在線竊聽的情況下的保密性，必須對(duì)數(shù)據(jù)加密。為了保證有在線竊聽的情況下的保密性，必須對(duì)數(shù)據(jù)加密。 加密的基本思

34、想是改變信息的排列方式，使得只有合法的加密的基本思想是改變信息的排列方式，使得只有合法的 接收方才能讀懂。任何他人即使截取了該加密信息也無法接收方才能讀懂。任何他人即使截取了該加密信息也無法 解開。解開。 (1) 一個(gè)簡(jiǎn)單的加密結(jié)構(gòu)一個(gè)簡(jiǎn)單的加密結(jié)構(gòu) q一種傳統(tǒng)的加密技術(shù)是，消息發(fā)送方和消息接收方使用相一種傳統(tǒng)的加密技術(shù)是，消息發(fā)送方和消息接收方使用相 同的密鑰，該密鑰必須由雙方加以保密。發(fā)送方用該密鑰同的密鑰，該密鑰必須由雙方加以保密。發(fā)送方用該密鑰 對(duì)待發(fā)消息進(jìn)行加密，然后將消息傳輸至接收方，接收方對(duì)待發(fā)消息進(jìn)行加密，然后將消息傳輸至接收方，接收方 再用相同的密鑰對(duì)收到的消息進(jìn)行解密。再用

35、相同的密鑰對(duì)收到的消息進(jìn)行解密。 38 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q這一過程表示成數(shù)學(xué)形式如下：消息發(fā)送方使用的加密函這一過程表示成數(shù)學(xué)形式如下：消息發(fā)送方使用的加密函 數(shù)數(shù) encrypt 有兩個(gè)參數(shù)：密鑰有兩個(gè)參數(shù)：密鑰 K 和待加密消息和待加密消息 M，加密，加密 后的消息為后的消息為 E： E = encrypt (K, M) 消息接收方使用的解密函數(shù)消息接收方使用的解密函數(shù) decrypt 把這一過程逆過來，把這一過程逆過來， 就還原了原來的消息：就還原了原來的消息： M = decrypt (K, E) 數(shù)學(xué)上，數(shù)學(xué)上，decrypt 和和 encrypt 互為逆函數(shù)，有：互為逆函

36、數(shù)，有： M = decrypt (K, encrypt (K, M) 39 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 (2) 公共密鑰加密公共密鑰加密 q很多加密方法中，密鑰必須是保密的。公共密鑰加密法它很多加密方法中，密鑰必須是保密的。公共密鑰加密法它 給每個(gè)用戶分配兩把密鑰：一個(gè)稱私有密鑰，是保密的；給每個(gè)用戶分配兩把密鑰：一個(gè)稱私有密鑰，是保密的； 一個(gè)稱公共密鑰，是眾所周知的。一個(gè)稱公共密鑰，是眾所周知的。 q該方法的加密函數(shù)必須具備如下數(shù)學(xué)特性：用公共密鑰加該方法的加密函數(shù)必須具備如下數(shù)學(xué)特性：用公共密鑰加 密的消息除了使用相應(yīng)的私有密鑰外很難解密；同樣，用密的消息除了使用相應(yīng)的私有密鑰外很難解密

37、；同樣，用 私有密鑰加密的消息除了使用相應(yīng)的公共密鑰外很難解密。私有密鑰加密的消息除了使用相應(yīng)的公共密鑰外很難解密。 q假設(shè)假設(shè)M表示一條消息，表示一條消息， pub-u1 表示用戶表示用戶1的公共密鑰，的公共密鑰， prv-u1 表示用戶表示用戶1的私有密鑰，那么有的私有密鑰，那么有 M = decrypt(pub-u1,encrypt(prv-u1 , M) 40 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 和和 M = decrypt(prv-u1,encrypt(pub-u1, M) q這種方法是安全的，因?yàn)榧用芎徒饷艿暮瘮?shù)具有單向性質(zhì)。這種方法是安全的，因?yàn)榧用芎徒饷艿暮瘮?shù)具有單向性質(zhì)。 也就是說，僅

38、知道了公共密鑰并不能偽造由相應(yīng)私有密鑰也就是說，僅知道了公共密鑰并不能偽造由相應(yīng)私有密鑰 加密過的消息。加密過的消息。 q可以證明，公共密鑰加密法能夠保證保密性。只要消息發(fā)可以證明，公共密鑰加密法能夠保證保密性。只要消息發(fā) 送方使用消息接收方的公共密鑰來加密待發(fā)消息，就只有送方使用消息接收方的公共密鑰來加密待發(fā)消息，就只有 消息接收方能夠讀懂該消息。因?yàn)橐饷鼙仨氁澜邮障⒔邮辗侥軌蜃x懂該消息。因?yàn)橐饷鼙仨氁澜邮?方的所有密鑰。方的所有密鑰。 41 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q公共密鑰加密法還可以用于驗(yàn)證消息發(fā)送方，這種技術(shù)稱公共密鑰加密法還可以用于驗(yàn)證消息發(fā)送方，這種技術(shù)稱 作數(shù)字

39、簽名（作數(shù)字簽名（digital signature）。）。 q消息發(fā)送方使用其私鑰加密一條消息，實(shí)現(xiàn)對(duì)消息的簽名。消息發(fā)送方使用其私鑰加密一條消息，實(shí)現(xiàn)對(duì)消息的簽名。 接收方使用消息發(fā)送方的公共密鑰對(duì)該消息進(jìn)行解密。由接收方使用消息發(fā)送方的公共密鑰對(duì)該消息進(jìn)行解密。由 于只有發(fā)送方發(fā)送的密文才能被公共密鑰解密，從而完成于只有發(fā)送方發(fā)送的密文才能被公共密鑰解密，從而完成 驗(yàn)證（即發(fā)送方身份得以確認(rèn)）。為了保證加密的消息不驗(yàn)證（即發(fā)送方身份得以確認(rèn)）。為了保證加密的消息不 被復(fù)制和重傳，原始消息中可引入創(chuàng)建該消息的日期和時(shí)被復(fù)制和重傳，原始消息中可引入創(chuàng)建該消息的日期和時(shí) 間。間。 42 1.9

40、 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q如果采用雙重加密，可以使消息同時(shí)具有身份可驗(yàn)證性和如果采用雙重加密，可以使消息同時(shí)具有身份可驗(yàn)證性和 保密性。所謂雙重加密，是指先用發(fā)送方的私有密鑰加密，保密性。所謂雙重加密，是指先用發(fā)送方的私有密鑰加密， 再用接收方的公共密鑰對(duì)已加密消息進(jìn)行再加密。其數(shù)學(xué)再用接收方的公共密鑰對(duì)已加密消息進(jìn)行再加密。其數(shù)學(xué) 形式如下：形式如下： X = encrypt (pub-u2, encrypt (prv-u1, M) 其中，其中，M 表示原始消息，表示原始消息，X 表示雙重加密后的消息，表示雙重加密后的消息，prv- u1 表示消息發(fā)送方的私有密鑰，表示消息發(fā)送方的私有密鑰，pu

41、b-u2 表示消息接收方表示消息接收方 的公共密鑰。的公共密鑰。 q在接收端，解密過程是加密過程的逆過程。首先，消息接在接收端，解密過程是加密過程的逆過程。首先，消息接 收方用它的私有密鑰解除外層加密，然后用消息發(fā)送方的收方用它的私有密鑰解除外層加密，然后用消息發(fā)送方的 公共密鑰解除內(nèi)層加密。這一過程表示如下：公共密鑰解除內(nèi)層加密。這一過程表示如下： M = decrypt (pub-u1, decrypt (prv-u2, X) 43 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q經(jīng)過雙重加密的消息是保密的，因?yàn)橹挥兄付ǖ南⒔邮战?jīng)過雙重加密的消息是保密的，因?yàn)橹挥兄付ǖ南⒔邮?方才擁有解除外層加密所需的解

42、密密鑰。同時(shí)該消息的身方才擁有解除外層加密所需的解密密鑰。同時(shí)該消息的身 份一定是經(jīng)過驗(yàn)證的，因?yàn)橹挥邢l(fā)送方才擁有必要的份一定是經(jīng)過驗(yàn)證的，因?yàn)橹挥邢l(fā)送方才擁有必要的 內(nèi)層加密密鑰。內(nèi)層加密密鑰。 44 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q為了防止網(wǎng)絡(luò)系統(tǒng)中每臺(tái)計(jì)算機(jī)都可隨意訪問其他計(jì)算機(jī)為了防止網(wǎng)絡(luò)系統(tǒng)中每臺(tái)計(jì)算機(jī)都可隨意訪問其他計(jì)算機(jī) 以及系統(tǒng)中的各項(xiàng)服務(wù)，需要使用包過濾（以及系統(tǒng)中的各項(xiàng)服務(wù)，需要使用包過濾（packet filtering）技術(shù)。如圖所示，包過濾器是路由器的一部分，）技術(shù)。如圖所示，包過濾器是路由器的一部分， 它是由阻止包任意通過路由器在不同的網(wǎng)絡(luò)之間穿越的軟它是由阻止

43、包任意通過路由器在不同的網(wǎng)絡(luò)之間穿越的軟 件組成的。件組成的。 45 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q網(wǎng)絡(luò)管理員可以配置包過濾器，以控制哪些包可以通過路網(wǎng)絡(luò)管理員可以配置包過濾器，以控制哪些包可以通過路 由器，哪些包不可以（一些局域網(wǎng)交換機(jī)在局域網(wǎng)內(nèi)部提由器，哪些包不可以（一些局域網(wǎng)交換機(jī)在局域網(wǎng)內(nèi)部提 供類似的過濾功能，允許管理員控制哪些幀可以從一臺(tái)計(jì)供類似的過濾功能，允許管理員控制哪些幀可以從一臺(tái)計(jì) 算機(jī)到另一臺(tái)計(jì)算機(jī)，哪些則不可以）。算機(jī)到另一臺(tái)計(jì)算機(jī)，哪些則不可以）。 q包過濾器的工作是檢查每個(gè)包的頭部中的有關(guān)字段。網(wǎng)絡(luò)包過濾器的工作是檢查每個(gè)包的頭部中的有關(guān)字段。網(wǎng)絡(luò) 管理員可以配置包過

44、濾器，指定要檢測(cè)哪些字段以及如何管理員可以配置包過濾器，指定要檢測(cè)哪些字段以及如何 處理等等。比如，控制兩個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)之間的通信，要處理等等。比如，控制兩個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)之間的通信，要 檢測(cè)每個(gè)包頭部中的檢測(cè)每個(gè)包頭部中的 source 和和 destination 字段。上圖字段。上圖 中，要防止右邊網(wǎng)絡(luò)中中，要防止右邊網(wǎng)絡(luò)中IP地址為地址為7的計(jì)算機(jī)和左的計(jì)算機(jī)和左 邊網(wǎng)絡(luò)中的所有計(jì)算機(jī)通信，包過濾器必須阻止所有邊網(wǎng)絡(luò)中的所有計(jì)算機(jī)通信，包過濾器必須阻止所有 source 字段為字段為7的包通過。的包通過。 46 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q同樣，要

45、防止左邊網(wǎng)絡(luò)中同樣，要防止左邊網(wǎng)絡(luò)中 IP 地址為地址為2的計(jì)算機(jī)的計(jì)算機(jī) 接收來自右邊網(wǎng)絡(luò)中的任意包，包過濾器必須阻止所有接收來自右邊網(wǎng)絡(luò)中的任意包，包過濾器必須阻止所有 destination 字段為字段為2的包通過。的包通過。 q除了源地址和目的地址之外，包過濾器還能檢查出包中使除了源地址和目的地址之外，包過濾器還能檢查出包中使 用的上層協(xié)議，從而知道該包所傳遞的數(shù)據(jù)屬于哪一種服用的上層協(xié)議，從而知道該包所傳遞的數(shù)據(jù)屬于哪一種服 務(wù)。包過濾器的這種功能使得網(wǎng)絡(luò)管理員能夠?qū)Ω鞣N服務(wù)務(wù)。包過濾器的這種功能使得網(wǎng)絡(luò)管理員能夠?qū)Ω鞣N服務(wù) 進(jìn)行管理，比如可以

46、過濾掉所有進(jìn)行管理，比如可以過濾掉所有 www 服務(wù)的包而讓電子服務(wù)的包而讓電子 郵件的包能得到較快的傳輸?shù)取＞W(wǎng)絡(luò)管理員可以根據(jù)需要郵件的包能得到較快的傳輸?shù)?。網(wǎng)絡(luò)管理員可以根據(jù)需要 靈活配置包過濾器，以達(dá)到其所希望的過濾效果。通常，靈活配置包過濾器，以達(dá)到其所希望的過濾效果。通常， 包過濾器的過濾條件是源地址、目的地址以及各種網(wǎng)絡(luò)服包過濾器的過濾條件是源地址、目的地址以及各種網(wǎng)絡(luò)服 務(wù)等的復(fù)雜的布爾表達(dá)式。凡是滿足該過濾條件的包都會(huì)務(wù)等的復(fù)雜的布爾表達(dá)式。凡是滿足該過濾條件的包都會(huì) 被過濾掉。被過濾掉。 47 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q包過濾器經(jīng)常用來控制一個(gè)單位的內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)之間包過

47、濾器經(jīng)常用來控制一個(gè)單位的內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)之間 的通信。如圖所示，包過濾器是連接內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)的的通信。如圖所示，包過濾器是連接內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)的 路由器的一部分。路由器的一部分。 48 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q用于保護(hù)一個(gè)單位內(nèi)部網(wǎng)絡(luò)，使之不受來自外部因特網(wǎng)的用于保護(hù)一個(gè)單位內(nèi)部網(wǎng)絡(luò)，使之不受來自外部因特網(wǎng)的 非法訪問的包過濾器，稱為因特網(wǎng)防火墻（非法訪問的包過濾器，稱為因特網(wǎng)防火墻（Internet firewall）。這個(gè)術(shù)語來源于兩個(gè)結(jié)構(gòu)間為防止火在它們）。這個(gè)術(shù)語來源于兩個(gè)結(jié)構(gòu)間為防止火在它們 之間蔓延而采用的物理防火邊界。與傳統(tǒng)的防火墻相似，之間蔓延而采用的物理防火邊界。與傳

48、統(tǒng)的防火墻相似， 因特網(wǎng)防火墻可用來防止在因特網(wǎng)上不同組織的計(jì)算機(jī)間因特網(wǎng)防火墻可用來防止在因特網(wǎng)上不同組織的計(jì)算機(jī)間 可能產(chǎn)生的問題?？赡墚a(chǎn)生的問題。 q防火墻是互不信任的單位之間建立網(wǎng)絡(luò)連接時(shí)最重要的安防火墻是互不信任的單位之間建立網(wǎng)絡(luò)連接時(shí)最重要的安 全工具。通過設(shè)置防火墻為組織提供了防止外界侵入內(nèi)部全工具。通過設(shè)置防火墻為組織提供了防止外界侵入內(nèi)部 網(wǎng)絡(luò)的安全邊界（網(wǎng)絡(luò)的安全邊界（secure perimeter）。特別地，通過限）。特別地，通過限 制對(duì)一小部分計(jì)算機(jī)的訪問，防火墻能防止外界接觸到組制對(duì)一小部分計(jì)算機(jī)的訪問，防火墻能防止外界接觸到組 織內(nèi)所有計(jì)算機(jī)、禁止大量占用組織內(nèi)部

49、網(wǎng)絡(luò)的通信或阻織內(nèi)所有計(jì)算機(jī)、禁止大量占用組織內(nèi)部網(wǎng)絡(luò)的通信或阻 止通過傳輸大量止通過傳輸大量 IP 數(shù)據(jù)報(bào)攻擊計(jì)算機(jī)而引起的系統(tǒng)癱瘓。數(shù)據(jù)報(bào)攻擊計(jì)算機(jī)而引起的系統(tǒng)癱瘓。 49 1.9 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 q除了提供安全機(jī)制之外，防火墻還可以降低系統(tǒng)成本。沒除了提供安全機(jī)制之外，防火墻還可以降低系統(tǒng)成本。沒 有防火墻的話，外界可以向任意計(jì)算機(jī)傳輸數(shù)據(jù)包（通過有防火墻的話，外界可以向任意計(jì)算機(jī)傳輸數(shù)據(jù)包（通過 猜測(cè)、嘗試的方法獲得組織內(nèi)部計(jì)算機(jī)的猜測(cè)、嘗試的方法獲得組織內(nèi)部計(jì)算機(jī)的 IP 地址）。要地址）。要 保證內(nèi)部網(wǎng)絡(luò)安全，必須在該網(wǎng)絡(luò)系統(tǒng)的所有計(jì)算機(jī)上提保證內(nèi)部網(wǎng)絡(luò)安全，必須在該網(wǎng)絡(luò)系統(tǒng)的所有計(jì)算機(jī)上提 供安全機(jī)制才行。而有了防火墻，就可以通過它來靈活控供安全機(jī)制才行。而有了防火墻，就可以通過它來靈活控 制，使外界對(duì)內(nèi)部網(wǎng)絡(luò)的訪問只能集中在幾臺(tái)甚至一臺(tái)計(jì)制，使外界對(duì)內(nèi)部網(wǎng)絡(luò)的