網(wǎng)絡(luò)信息安全講義合訂本

網(wǎng)絡(luò)信息安全緒論：什么是網(wǎng)絡(luò)信息安全本節(jié)內(nèi)容什么是信息什么是網(wǎng)絡(luò)什么是網(wǎng)絡(luò)信息安全學(xué)科內(nèi)容授課內(nèi)容什么是信息科學(xué)家說(shuō)：信息是不確定性的減少，是負(fù)熵老百姓說(shuō)：信息是讓你知道些什么的東西安全專(zhuān)家說(shuō)：信息是一種資產(chǎn)，它意味著一種風(fēng)險(xiǎn)老百姓說(shuō)：不怕賊偷，就怕賊惦記信息內(nèi)容和信息載體信息內(nèi)容和信息載體的關(guān)系，好比靈魂和肉體的關(guān)系同一個(gè)內(nèi)容，可以用多種載體承載不同的內(nèi)容，可以用同一載體承載信息可以被——?jiǎng)?chuàng)建輸入存儲(chǔ)輸出傳輸（發(fā)送，接收，截?。┨幚恚ň幋a，解碼，計(jì)算）銷(xiāo)毀創(chuàng)建輸入存儲(chǔ)傳輸處理銷(xiāo)毀輸出一個(gè)例子:S先生和P先生的故事黑桃:A10842紅桃:A54方塊:Q5梅花:KQ3我不知道我知道你不知道我也不知道PS一個(gè)例子:S先生和P先生的故事黑桃:A10842紅桃:A54方塊:Q5梅花:KQ3我知道了我也知道了你知道了嗎?方塊5!PS信息的要害是改變知識(shí)狀態(tài)什么是是網(wǎng)絡(luò)絡(luò)網(wǎng)絡(luò)確保信信息按按需有有序流流動(dòng)的的基礎(chǔ)礎(chǔ)設(shè)施施傳輸網(wǎng)網(wǎng)絡(luò)基礎(chǔ)電電信網(wǎng)網(wǎng)、基基礎(chǔ)廣廣電網(wǎng)網(wǎng)互聯(lián)網(wǎng)網(wǎng)絡(luò)互聯(lián)網(wǎng)網(wǎng)（因因特網(wǎng)網(wǎng)）、、內(nèi)聯(lián)聯(lián)網(wǎng)、、外聯(lián)聯(lián)網(wǎng)人際網(wǎng)網(wǎng)絡(luò)關(guān)系網(wǎng)網(wǎng)、銷(xiāo)銷(xiāo)售網(wǎng)網(wǎng)、間間諜網(wǎng)網(wǎng)什么是是安全全Security:信信息息的安安全Safety:物物理理的安安全Security的的含義義在有敵敵人（（Enemy））/對(duì)對(duì)手（（Adversary））/含含敵意意的主主體（（HostileAgent））存在在的網(wǎng)網(wǎng)絡(luò)空空間中中，確確保己己方的的信息息、信信息系系統(tǒng)和和通信信不受受竊取取和破破壞，，按照照需要要對(duì)敵敵方的的信息息、信信息系系統(tǒng)和和通信信進(jìn)行行竊取取和破破壞的的“機(jī)機(jī)制””（Mechanism）什么是是網(wǎng)絡(luò)絡(luò)信息息安全全在網(wǎng)絡(luò)絡(luò)環(huán)境境下信信息資資產(chǎn)（（信息息、信信息系系統(tǒng)、、通信信）的的可能能面臨臨的風(fēng)風(fēng)險(xiǎn)的的評(píng)估估、防防范、、應(yīng)對(duì)對(duì)、化化解措措施。。技術(shù)措措施（（采用用特定定功能能的設(shè)設(shè)備或或系統(tǒng)統(tǒng)）管理措措施（（法律律、規(guī)規(guī)章制制度、、檢查查）三分技技術(shù)七七分管管理網(wǎng)絡(luò)信信息安安全的的要害害網(wǎng)絡(luò)信信息安安全的的要害害就是是防止止通過(guò)過(guò)改變變知識(shí)識(shí)狀態(tài)態(tài)來(lái)造造成不不希望望的后后果對(duì)信息息進(jìn)行行竊取取，會(huì)會(huì)使竊竊取者者知道道信息息擁有有者不不希望望他知知道的的事情情對(duì)信息息進(jìn)行行破壞壞，會(huì)會(huì)使信信息的的擁有有者失失去對(duì)對(duì)信息息的擁?yè)碛?，，不再再知道道他本本?lái)知知道的的事情情背景網(wǎng)絡(luò)的的普及及對(duì)網(wǎng)絡(luò)絡(luò)的依依賴(lài)加加深攻擊的的門(mén)檻檻降低低攻擊資資源的的廣泛泛存在在實(shí)施攻攻擊的的難度度大大大降低低維護(hù)國(guó)國(guó)家主主權(quán)和和社會(huì)會(huì)穩(wěn)定定、打打擊網(wǎng)網(wǎng)上犯犯罪、、引導(dǎo)導(dǎo)青少少年健健康上上網(wǎng)（（過(guò)濾濾與監(jiān)監(jiān)控））網(wǎng)絡(luò)信信息資資源的的綜合合利用用（情情報(bào)獲獲取與與分析析）網(wǎng)絡(luò)信信息對(duì)對(duì)抗和和網(wǎng)絡(luò)絡(luò)信息息戰(zhàn)網(wǎng)絡(luò)信信息安安全的的CIA模模型CIA模型型C:Confidentiality保保密密性I:Integrity完完整性性A:Availability可可用性性不足之之處身份的的真實(shí)實(shí)性//可可靠的的匿名名性操作的的不可可否認(rèn)認(rèn)性//操操作的的不可可追溯溯性學(xué)科內(nèi)內(nèi)容網(wǎng)絡(luò)安安全主機(jī)安安全通信與與交易易安全全內(nèi)容安安全數(shù)字權(quán)權(quán)利保保障第一章章網(wǎng)網(wǎng)絡(luò)絡(luò)攻防防1.1TCP/IP簡(jiǎn)簡(jiǎn)單回回顧層次觀觀點(diǎn)“溫度度”和和“分分子熱熱運(yùn)動(dòng)動(dòng)”“有””和““無(wú)””無(wú)無(wú)有有有有有有有有有有有有無(wú)無(wú)有有有無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)有有有有無(wú)無(wú)有有有有有有有有有有有有有有有有有有有有有有無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)有有有無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)有有有有有有無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)有有有有有有有無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)有有有有有有有無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)有有有有有有無(wú)無(wú)無(wú)無(wú)無(wú)有有有有有有有有無(wú)無(wú)無(wú)無(wú)無(wú)無(wú)有有有有有有有有有有有有有TCP/IP家家族EthernetFDDIATMIPICMPARPRARPRIPX.25xDSLTCPUDPTelnetFTPSMTPHTTPGopherDNS……物理接接口層層局域網(wǎng)網(wǎng)廣廣域域網(wǎng)接入網(wǎng)網(wǎng)際際互連連局域網(wǎng)網(wǎng)基本定定義狹義的的局域域網(wǎng)：：一個(gè)廣播體體系所波及及范圍內(nèi)的的網(wǎng)絡(luò)。這這是最小定定義的局域域網(wǎng)。如沒(méi)沒(méi)有路由器器的網(wǎng)絡(luò)。。廣義的局域域網(wǎng)：通信線路屬屬于網(wǎng)絡(luò)所所有者的范范圍內(nèi)的網(wǎng)網(wǎng)絡(luò)，這是是最大定義義的局域網(wǎng)網(wǎng)。如具有有路由器的的樓宇網(wǎng)，，園區(qū)網(wǎng)，，城域網(wǎng)等等。局域網(wǎng)的基基本組成局域網(wǎng)特點(diǎn)點(diǎn)：較高的數(shù)據(jù)據(jù)傳輸率，，數(shù)百兆傳傳輸率多種傳輸介介質(zhì)，細(xì)纜纜、粗纜、、光纖、雙雙絞線較小的覆蓋蓋范圍；分分布距離短短局域網(wǎng)的基基本組成網(wǎng)絡(luò)服務(wù)器器文件服務(wù)器器，專(zhuān)用服服務(wù)器（郵郵件等）工作站客戶端網(wǎng)卡MAC地址址傳輸介質(zhì)細(xì)纜，粗纜纜，雙絞線線，光纖細(xì)纜：段間最大距距離為185米，段段內(nèi)工作站站不超超過(guò)30個(gè)個(gè)，段數(shù)為為5個(gè)，最大距距離為925米。接插頭頭稱(chēng)為BNC。傳輸介質(zhì)光纖，分單單模與多模模兩種：內(nèi)徑分別為為9微米及及62.5微米的光光纖介質(zhì)質(zhì)，傳輸距距離遠(yuǎn)。UTP：非屏蔽雙絞絞線，一般般使用5類(lèi)類(lèi)雙絞絞線線。通常的的接插頭稱(chēng)為為RJ45。。以太網(wǎng)的的連接模模式總線模式式細(xì)纜終端匹配配器BNC三通星型模式式以太網(wǎng)工工作原理理一個(gè)站在在發(fā)送前前先偵聽(tīng)聽(tīng)信道上上是否有有數(shù)據(jù)，，如果沒(méi)沒(méi)有則開(kāi)開(kāi)始發(fā)送送包，如如果有則則隨機(jī)等等待一段段時(shí)間。。每個(gè)站理理論上可可以聽(tīng)到到所有的的數(shù)據(jù)包包，但在在正常工工作模式式下，只只對(duì)發(fā)給給自己的的包進(jìn)行行處理在監(jiān)聽(tīng)模模式下，，對(duì)所有有的包都都進(jìn)行處處理等待等10毫毫秒等15毫毫秒令牌環(huán)網(wǎng)網(wǎng)連接在令令牌環(huán)網(wǎng)網(wǎng)上的計(jì)計(jì)算機(jī)使使用一種種叫做令令牌的特特殊的短短報(bào)文來(lái)來(lái)協(xié)調(diào)環(huán)環(huán)的使用用。在任何時(shí)時(shí)候環(huán)上上只有一一個(gè)令牌牌。為了了發(fā)送數(shù)數(shù)據(jù)，計(jì)計(jì)算機(jī)必必須等待待令牌到到來(lái)，然然后傳輸輸一幀數(shù)數(shù)據(jù)，再再向下一一個(gè)計(jì)算算機(jī)傳輸輸令牌牌。當(dāng)沒(méi)有計(jì)計(jì)算機(jī)要要發(fā)送數(shù)數(shù)據(jù)時(shí)，，令牌以以高速在在環(huán)上循循環(huán)。放送方接收方FDDI（光光纖分布布雙環(huán)網(wǎng)網(wǎng)）令牌繞環(huán)環(huán)前進(jìn)，，發(fā)送信信息包的的站需要要將令牌牌拿走，，隨后開(kāi)開(kāi)始發(fā)送送，發(fā)送送后將令令牌交出出。即使某個(gè)個(gè)站出現(xiàn)現(xiàn)故障，，雙環(huán)機(jī)機(jī)制也能能確保令令牌在無(wú)無(wú)故障的的站之間間快速傳傳遞廣域網(wǎng)定義：覆蓋地理理范圍相相對(duì)較廣廣的數(shù)據(jù)據(jù)通信網(wǎng)網(wǎng)絡(luò)實(shí)例：X.25異步傳輸輸模式(ATM)X.25協(xié)議通通道分組數(shù)據(jù)據(jù)業(yè)務(wù)的的國(guó)際標(biāo)標(biāo)準(zhǔn)：一種用于于在分組組交換網(wǎng)網(wǎng)上規(guī)范范分組交交換設(shè)備備與用戶戶終端之之間的協(xié)協(xié)議。其其主要包包括物理理層的bit流流、鏈路路層的楨楨流及分分組層的的分組流流三層。。面向聯(lián)接接的虛電電路網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)，，應(yīng)用是是根據(jù)需需要映射射地址空空間分組交換換機(jī)X.25

X.25協(xié)議通通道異步傳輸輸模式（（ATM）ATM采采用硬件件將信息分割割成53個(gè)字節(jié)節(jié)的固定定長(zhǎng)碎片片(包括括5個(gè)字字節(jié)的信信頭)進(jìn)進(jìn)行傳輸輸。ATM網(wǎng)網(wǎng)絡(luò)以星星型拓?fù)鋼浣Y(jié)構(gòu)為為主，其其主要技技術(shù)是交交換技術(shù)術(shù)，可以以建立虛虛電路，，支持不不同的速速率。異步傳輸輸模式(ATM)接入定義：向最終用用戶提供供網(wǎng)絡(luò)通通信能力力的網(wǎng)絡(luò)絡(luò)互連機(jī)機(jī)制實(shí)例：PPPISDNxDSLHFCPPP撥撥號(hào)接入入PPP———點(diǎn)對(duì)對(duì)點(diǎn)協(xié)議議是SLIP（串行線線接口協(xié)協(xié)議）的的改進(jìn)，，服務(wù)器器方通常常采用動(dòng)動(dòng)態(tài)IP地址分配配模式WIN95以上的版版本內(nèi)含含該協(xié)議議，低版版本操作作系統(tǒng)需需要運(yùn)行行相應(yīng)的的軟件PSTN服務(wù)器用戶數(shù)字信號(hào)號(hào)模擬信號(hào)號(hào)綜合業(yè)務(wù)務(wù)數(shù)字網(wǎng)網(wǎng)（ISDN））接入綜合業(yè)務(wù)務(wù)數(shù)字網(wǎng)網(wǎng)，以數(shù)數(shù)字傳輸輸?shù)男问绞酱嬖?，，目的是是在同一一條線路路上同時(shí)時(shí)傳送多多種信息息，包括括數(shù)字化化的聲音音信息、、圖象、、數(shù)字等等。一般帶寬寬為128K，，也稱(chēng)為為2B+D信道道，即兩兩個(gè)B（（64K）信道道用于語(yǔ)語(yǔ)音及數(shù)數(shù)據(jù)的傳傳遞，一一個(gè)D（（16K）信道道用于傳傳輸信令令。綜合業(yè)務(wù)務(wù)數(shù)字網(wǎng)網(wǎng)(ISDN)ISDN接口ISDN數(shù)字用戶戶線xDSL現(xiàn)有電話話線的速速度一般般是56k，其主要限限制原因因是網(wǎng)絡(luò)絡(luò)過(guò)濾器器及網(wǎng)絡(luò)絡(luò)本身。。創(chuàng)造數(shù)字字用戶技技術(shù)（DSL））的目的的是將現(xiàn)現(xiàn)有銅線線技術(shù)的的傳輸速速率提高高到2M以上。。使得更更新設(shè)備備后，無(wú)無(wú)需更新新線路即即可提高高帶寬幾種DSL技術(shù)術(shù)：ADSL：非對(duì)稱(chēng)稱(chēng)用戶數(shù)數(shù)據(jù)線VDSL：超高比比特率數(shù)數(shù)字用戶戶線HDSL：高比比特率用用戶數(shù)字字線：兩兩條線實(shí)實(shí)現(xiàn)雙向向傳輸，，帶寬為為1.544到到2.048Mbps。SDSL：?jiǎn)尉€線/對(duì)稱(chēng)稱(chēng)數(shù)字用用戶線：：HDSL單線線版本。。HFCCableNetwork利用電視視頻道來(lái)來(lái)傳送計(jì)計(jì)算機(jī)數(shù)數(shù)字信息息采取單工工工作模模式，區(qū)區(qū)分上行行通道與與下行通通道將計(jì)算機(jī)機(jī)信號(hào)調(diào)調(diào)制到指指定的高高頻信號(hào)號(hào)，有線線電視網(wǎng)網(wǎng)絡(luò)只是是傳遞計(jì)計(jì)算機(jī)信信號(hào)的一一個(gè)載體體，如同同電話網(wǎng)網(wǎng)絡(luò)一樣樣。采用非對(duì)對(duì)稱(chēng)傳輸輸體系，，下行帶帶寬要高高于上行行帶寬。。采用多種種傳輸手手段相結(jié)結(jié)合的方方法，如如電話與與電視信信道相結(jié)結(jié)合。HeadendNodeNodeNodeHubHubHubCOAXTapNodeNodeNodeDrop8MHzCCTVHCATVCETV2000HomesHFCCableNetworkNodeNodeNode網(wǎng)絡(luò)中繼器網(wǎng)橋網(wǎng)關(guān)路由器交換機(jī)網(wǎng)間互連網(wǎng)絡(luò)中繼器中繼器又稱(chēng)為為轉(zhuǎn)發(fā)器，工工作在物理層層，用于連接接以太制式的的總線式網(wǎng)絡(luò)絡(luò)。中繼器實(shí)實(shí)現(xiàn)網(wǎng)絡(luò)在物物理層上的連連接，起到擴(kuò)擴(kuò)展網(wǎng)絡(luò)連接接距離的作用用。網(wǎng)絡(luò)中繼器中繼器分為直直接放大式和和信號(hào)再生式式兩種：直接放大式只只是一個(gè)簡(jiǎn)單單的放大器，，噪音也將一一同傳遞到下下一網(wǎng)段。信號(hào)再生式同同時(shí)具有信號(hào)號(hào)再生功能，，其可對(duì)信號(hào)號(hào)進(jìn)行整形后后傳到下一網(wǎng)網(wǎng)段。交換機(jī)交換機(jī)是將各各端口之間進(jìn)進(jìn)行邏輯上的的直聯(lián)，由此此不僅各端口口可以同時(shí)進(jìn)進(jìn)行傳輸，而而且可以將網(wǎng)網(wǎng)絡(luò)劃分為多多個(gè)子段以提提高廣播效率率。交換機(jī)可分為為二層交換與與三層交換，，其中第二層層交換作用在在鏈路層，起起到廣播轉(zhuǎn)移移的作用，如如以太網(wǎng)交換換機(jī)。而第三三層交換則作作用在網(wǎng)絡(luò)層層，支持IP交換。第三層交換是是路由器的另另一種實(shí)現(xiàn)模模式，用于完完成路由控制制功能。其與與傳統(tǒng)的路由由器的主要差差別一是表現(xiàn)現(xiàn)在硬件實(shí)現(xiàn)現(xiàn)上，二是與與交換機(jī)合為為一體，使得得在交換的同同時(shí)進(jìn)行路由由選擇?？梢灾С諺LAN。網(wǎng)橋網(wǎng)橋是用于連連接兩個(gè)同構(gòu)構(gòu)的相互獨(dú)立立的網(wǎng)絡(luò)。主主要用于進(jìn)行行信息的過(guò)濾濾與轉(zhuǎn)發(fā)。網(wǎng)橋網(wǎng)橋本地網(wǎng)橋查表得知目的的地址在本端端口處，進(jìn)行包過(guò)過(guò)濾，不予轉(zhuǎn)轉(zhuǎn)發(fā)查表得知目的的地址不在本本端口處，將報(bào)報(bào)文轉(zhuǎn)發(fā)出去去網(wǎng)關(guān)網(wǎng)關(guān)是用于連連接兩個(gè)異構(gòu)構(gòu)的相互獨(dú)立立的網(wǎng)絡(luò)。可可以支持不同同協(xié)議之間的的轉(zhuǎn)換GATEWAY作為網(wǎng)關(guān)的PC機(jī)路由器路由器是在多多個(gè)網(wǎng)絡(luò)及介介質(zhì)之間對(duì)IP協(xié)議提供供網(wǎng)絡(luò)互連能能力。其與網(wǎng)橋的主主要差別是可可以支持不同同底層協(xié)議網(wǎng)網(wǎng)絡(luò)的互連與網(wǎng)關(guān)的主要要差別在于路路由器具有路路由功能。路由器路由器路由器路由器路由器路由選擇交換機(jī)靜態(tài)交換與動(dòng)動(dòng)態(tài)交換靜態(tài)交換：只是簡(jiǎn)單地進(jìn)進(jìn)行分段及廣廣播轉(zhuǎn)移，如如交換式集線線器；各端口之間采采用廣播方式式。無(wú)法解決決擁塞問(wèn)題。。動(dòng)態(tài)交換：在各端口維持持一個(gè)地址表表，用用于建建立虛聯(lián)接；；地址表定時(shí)更更新；更新時(shí)間可設(shè)設(shè)置。網(wǎng)絡(luò)層IP ICMPARPRARPIP網(wǎng)絡(luò)接口IP網(wǎng)絡(luò)接口IP網(wǎng)絡(luò)接口主機(jī)主機(jī)路由器IP協(xié)議執(zhí)行行過(guò)程示意網(wǎng)絡(luò)網(wǎng)絡(luò)IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包IP包主機(jī)主機(jī)IP網(wǎng)絡(luò)接口IP網(wǎng)絡(luò)接口網(wǎng)絡(luò)網(wǎng)絡(luò)打包應(yīng)用層層數(shù)據(jù)據(jù)應(yīng)用層層數(shù)據(jù)據(jù)TCP頭TCP頭TCP頭應(yīng)用層層數(shù)據(jù)據(jù)應(yīng)用層層數(shù)據(jù)據(jù)IP頭頭IP頭頭楨頭IP數(shù)數(shù)據(jù)包包結(jié)構(gòu)構(gòu)VerIHLService長(zhǎng)度包序號(hào)號(hào)標(biāo)志報(bào)片偏偏移TTL協(xié)議CRC源地址址目的地地址選項(xiàng)Pad數(shù)據(jù)IP地地址的的表示示IP地地址：：子網(wǎng)網(wǎng)編碼碼+主主機(jī)編編碼比如BBS曙光光站的的二進(jìn)進(jìn)制地地址10011111111000100010100110100110點(diǎn)分十十進(jìn)制制地址址66子網(wǎng)掩掩碼11111111111111111111111100000000（））子網(wǎng)主機(jī)IPv4vs.IPv6目前互互聯(lián)網(wǎng)網(wǎng)實(shí)行行的編編址方方案是是IPv4業(yè)界正正在大大力推推進(jìn)IPv6地址空空間從從32位擴(kuò)擴(kuò)大到到128位位，擴(kuò)擴(kuò)大296倍目前多多以雙雙協(xié)議議?；蚧蛩淼赖婪绞绞綄?shí)現(xiàn)現(xiàn)MAC地址址和IP地地址之之間的的映射射IPMAC：地地址解解析協(xié)協(xié)議（（ARP））MACIP：反反向地地址解解析協(xié)協(xié)議（（RARP）網(wǎng)際控控制報(bào)報(bào)文協(xié)協(xié)議處理不不同機(jī)機(jī)器的的IP層之之間的的通信信可以發(fā)發(fā)送一一些狀狀態(tài)報(bào)報(bào)文比比如出出錯(cuò)信信息，，因此此IP層的的軟件件都是是通過(guò)過(guò)它來(lái)來(lái)向機(jī)機(jī)器發(fā)發(fā)送狀狀態(tài)報(bào)報(bào)告，，ICMP也由由此成成為了了實(shí)際際上IP層層的通通信系系統(tǒng)比如ping就就是一一個(gè)應(yīng)應(yīng)用ICMP的的非常常的著著名命命令，，它的的作用用就是是向一一臺(tái)機(jī)機(jī)器發(fā)發(fā)送一一個(gè)小小ICMP報(bào)文文來(lái)檢檢查這這臺(tái)機(jī)機(jī)器是是否應(yīng)應(yīng)答關(guān)掉ICMP的的機(jī)器器不能能通過(guò)過(guò)ping探測(cè)測(cè)其網(wǎng)網(wǎng)絡(luò)連連通性性傳輸層層TCPUDP傳輸層層的地地位：：中間間層應(yīng)用層層傳輸層層網(wǎng)絡(luò)層層數(shù)據(jù)鏈鏈路層層物理層層面向信信息處理面向通信用戶功能網(wǎng)絡(luò)功能兩種觀觀點(diǎn)劃劃分高高層與與低層層傳輸層層的功功能基基本功功能：：提供供端到到端（（進(jìn)程程-進(jìn)進(jìn)程））的可可靠通通信，，即向向高層層用戶戶屏蔽蔽通信信子網(wǎng)網(wǎng)的細(xì)細(xì)節(jié)，，提供供通用用的傳傳輸接接口主要功功能：：傳輸連連接管管理：：把傳傳輸?shù)氐刂酚秤成錇闉榫W(wǎng)絡(luò)絡(luò)地址址，把把端到到端的的傳輸輸連接接復(fù)用用到網(wǎng)網(wǎng)絡(luò)連連接上上數(shù)據(jù)傳傳送優(yōu)優(yōu)化：：端到到端的的順序序控制制、差差錯(cuò)檢檢測(cè)及及恢復(fù)復(fù)、分分段處處理及及QoS監(jiān)監(jiān)測(cè)通用的的傳輸輸接口口傳輸層層與數(shù)數(shù)據(jù)鏈鏈路層層的區(qū)區(qū)別網(wǎng)絡(luò)物理信道數(shù)據(jù)鏈路層的環(huán)境傳輸層的環(huán)境結(jié)點(diǎn)1結(jié)點(diǎn)2主機(jī)A主機(jī)B傳輸層層模型型傳輸服服務(wù)用用戶傳輸服服務(wù)用用戶應(yīng)用層層抽象機(jī)機(jī)器.....傳輸服服務(wù)提提供者者（傳傳輸實(shí)實(shí)體））傳輸服服務(wù)訪訪問(wèn)點(diǎn)點(diǎn)TSAP連接端端點(diǎn)傳輸連連接管管理、、數(shù)據(jù)據(jù)傳送送傳輸協(xié)協(xié)議的的尋址址傳輸用用戶（（客戶戶端））與服服務(wù)器器建立立連接接的過(guò)過(guò)程示示例應(yīng)用進(jìn)進(jìn)程服務(wù)器器TSAP6TSAP122NSAPXNSAPY傳輸層層傳輸層層網(wǎng)絡(luò)層層網(wǎng)絡(luò)層層(1)服服務(wù)器器以TSAP122為地地址，，等待待呼入入(2)HOST1的應(yīng)用用進(jìn)程程發(fā)出出連接接請(qǐng)求求，源源地址址為T(mén)SAP6，目目的地地址為為T(mén)SAP122(3)HOST1的的傳輸輸實(shí)體體通過(guò)過(guò)NSAP在HOST1與與HOST2之間間建立立網(wǎng)絡(luò)絡(luò)連接接(4)HOST1的的傳輸輸實(shí)體體將應(yīng)應(yīng)用進(jìn)進(jìn)程的的連接接請(qǐng)求求傳送送給HOST2的的傳輸輸實(shí)體體(5)HOST2的的傳輸輸實(shí)體體詢問(wèn)問(wèn)應(yīng)用用服務(wù)務(wù)器是是否同同意建建立傳傳輸連連接HOST1HOST2TCP中的的SOCKET流程程SERVERCLIENT申請(qǐng)創(chuàng)創(chuàng)建申請(qǐng)創(chuàng)創(chuàng)建等待待偵偵聽(tīng)聽(tīng)呼叫叫發(fā)起起連連接接許可可連連接接發(fā)送送數(shù)數(shù)據(jù)據(jù)接收收數(shù)數(shù)據(jù)據(jù)UDP中中的的SOCKET流流程程SERVERCLIENT申請(qǐng)請(qǐng)創(chuàng)創(chuàng)建建申請(qǐng)請(qǐng)創(chuàng)創(chuàng)建建SENDTORECVFROMSENDTORECVFROMTCP報(bào)報(bào)文文格格式式保留留URG源端端口口目的的端端口口發(fā)送送序號(hào)號(hào)確認(rèn)認(rèn)序序號(hào)號(hào)首部部長(zhǎng)長(zhǎng)度度緊急急指指針針選項(xiàng)項(xiàng)和和填填充充窗口口大大小小檢查查和和數(shù)據(jù)據(jù)（（可可選選））ACKPSHRSTSYNFIN建立立TCP連連接接：：三三次次握握手手主機(jī)機(jī)1主機(jī)機(jī)2SYN=1，，ACK=0Send_Seq=xSYN=1，，ACK=1Send_Seq=y,Ack_Seq=x+1通知知應(yīng)應(yīng)用用進(jìn)進(jìn)程程主機(jī)機(jī)1主機(jī)機(jī)2應(yīng)用用進(jìn)進(jìn)程程要要求求連連接接通知知應(yīng)應(yīng)用用進(jìn)進(jìn)程程Ack_Seq=y+1SYN=1,ACK=0,Send_Seq=xSYN=1,ACK=0,Send_Seq=ySYN=1，，ACK=1Send_Seq=x,Ack_Seq=y+1SYN=1，，ACK=1Send_Seq=y,Ack_Seq=x+1正常常連連接接情情形形呼叫叫沖沖突突：：兩兩個(gè)個(gè)主主機(jī)機(jī)在在相相同同的的一對(duì)對(duì)SOCKET之之間間建建立立連連接接初始始序序號(hào)號(hào)的的設(shè)設(shè)置置：：基基于于時(shí)時(shí)鐘鐘的的方方法法三次次握握手手：：簡(jiǎn)簡(jiǎn)化化的的流流程程SYNSYN/ACKACK連接接的的正正常常釋釋放放主機(jī)機(jī)1主機(jī)機(jī)2FIN=1,Send_Seq=xAck_Seq=x+1應(yīng)用用進(jìn)進(jìn)程程要要求求釋釋放放連連接接通知知應(yīng)應(yīng)用用進(jìn)進(jìn)程程應(yīng)用用進(jìn)進(jìn)程程要要求求釋釋放放連連接接通知知應(yīng)應(yīng)用用進(jìn)進(jìn)程程FIN=1,Send_Seq=yAck_Seq=y+1整個(gè)個(gè)連連接接釋釋放放采采用用定定時(shí)時(shí)器器方方法法，，處處理理確確認(rèn)認(rèn)丟丟失失的的情情況況TCP連連接接管管理理的的有有限限狀狀態(tài)態(tài)自自動(dòng)動(dòng)機(jī)機(jī)CLOSEDLISTENSYNRCVDSYNSENTESTABLISHEDFINWAIT1FINWAIT2CLOSINGCLOSEWAITLASTACKTIMEDWAITCLOSED客戶應(yīng)用進(jìn)程程請(qǐng)求連接3次握手建建立連接釋放連接請(qǐng)求求對(duì)方應(yīng)答收到對(duì)方的釋放請(qǐng)求超時(shí)LISTEN收到連接請(qǐng)求求收到客戶端的的確認(rèn)收到對(duì)方的釋釋放請(qǐng)求釋放連接請(qǐng)求求對(duì)方應(yīng)答收到對(duì)方的釋釋放請(qǐng)求對(duì)方應(yīng)答對(duì)方請(qǐng)求+應(yīng)應(yīng)答釋放連接請(qǐng)求求拒絕連接請(qǐng)求建立連接接同時(shí)建立連接接UDP報(bào)頭格格式源端口目的端口UDP報(bào)文長(zhǎng)長(zhǎng)度檢查和課間休息……應(yīng)用層HTTP互互聯(lián)網(wǎng)域名名系統(tǒng)電子郵件遠(yuǎn)遠(yuǎn)程登錄文件傳輸電電子公告版版HTTP協(xié)議概述HTTP協(xié)議的進(jìn)化HTTP/0.9（只有幾頁(yè)紙））HTTP/1.0（RFC1945，1996年5月））HTTP/1.1（RFC2068，1997年1月））HTTP協(xié)議概述HTTP協(xié)議的定位應(yīng)用層無(wú)狀態(tài)態(tài)通信協(xié)議依賴(lài)于具有可可靠傳輸性能能的底層協(xié)議議一般在TCP/IP基礎(chǔ)礎(chǔ)上實(shí)現(xiàn)（默默認(rèn)端口號(hào)80），也不不排除其他底底層協(xié)議HTTP協(xié)議概述HTTP/1.1協(xié)議的主要內(nèi)內(nèi)容基本概念請(qǐng)求與應(yīng)答持續(xù)連接內(nèi)容的格式、、編碼與協(xié)商商身份認(rèn)證緩存及其控制制基本概念消息（Message）HTTP協(xié)議議傳輸?shù)膶?duì)象象，分請(qǐng)求和和應(yīng)答兩種請(qǐng)求（Request）HTTP中的的主動(dòng)消息，申請(qǐng)接接受一種服務(wù)務(wù)應(yīng)答（Response）HTTP中的被動(dòng)消息，提供所所申請(qǐng)的服務(wù)務(wù)或說(shuō)明服務(wù)務(wù)不能正常進(jìn)進(jìn)行的原因基本概念客戶端（Client）發(fā)送請(qǐng)求的軟軟件實(shí)體，也也叫用戶代理理服務(wù)器（Server）根據(jù)請(qǐng)求發(fā)送送應(yīng)答的軟件件實(shí)體。分原始服務(wù)器和中介服務(wù)器。中介服務(wù)器器又分：代理服務(wù)器、網(wǎng)關(guān)服務(wù)器和管道服務(wù)器連接（Connection））傳輸層上兩程程序間通信用用虛擬線路客戶端服務(wù)器請(qǐng)求應(yīng)答連接基本概念原始服務(wù)器（（OriginServer）資源放在其上上或在其上創(chuàng)創(chuàng)建的服務(wù)器器中介服務(wù)器（（IntermediateServer））代表客戶端和和其他服務(wù)器器轉(zhuǎn)發(fā)HTTP請(qǐng)求和應(yīng)答的的服務(wù)器客戶端中介服務(wù)器原始服務(wù)器客戶端、原始始服務(wù)器與中中介服務(wù)器基本概念代理服務(wù)器（（ProxyServer）在轉(zhuǎn)發(fā)中可以以對(duì)消息進(jìn)行行過(guò)濾和變換換的身份明確確的中介服務(wù)務(wù)器管道服務(wù)器（（Tunnel）在轉(zhuǎn)發(fā)中不能能對(duì)消息進(jìn)行行過(guò)濾和轉(zhuǎn)換換的身份明確確的中介服務(wù)務(wù)器網(wǎng)關(guān)服務(wù)器（（Gateway）在轉(zhuǎn)發(fā)中代替替原始服務(wù)器器身份的中介介服務(wù)器客戶端代理服務(wù)器原始服務(wù)器請(qǐng)求1請(qǐng)求1‘應(yīng)答1應(yīng)答1‘客戶端管道服務(wù)器原始服務(wù)器請(qǐng)求2請(qǐng)求2應(yīng)答2應(yīng)答2客戶端網(wǎng)關(guān)服務(wù)器原始服務(wù)器請(qǐng)求3請(qǐng)求3‘應(yīng)答3‘應(yīng)答32基本概念請(qǐng)求鏈與應(yīng)答答鏈CM1M2S請(qǐng)求鏈（上行行）應(yīng)答鏈（下行行）請(qǐng)求與應(yīng)答消息＝消息頭頭＋消息體請(qǐng)求＝請(qǐng)求頭頭＋請(qǐng)求體（（實(shí)體）請(qǐng)求頭＝請(qǐng)求求行＋*（頭頭域1）頭域1＝通用用頭域|請(qǐng)請(qǐng)求頭域|實(shí)體頭頭域應(yīng)答＝應(yīng)答頭頭＋應(yīng)答體（（實(shí)體）應(yīng)答頭＝應(yīng)答答行＋*（頭頭域2）頭域2＝通用用頭域|應(yīng)應(yīng)答頭域|實(shí)體頭頭域請(qǐng)求與應(yīng)答請(qǐng)求行請(qǐng)求方法GET，HEAD，POST，PUT，OPTIONS，，DELETE，TRACE，擴(kuò)展方法請(qǐng)求URI絕對(duì)URI，，相對(duì)URI協(xié)議版本號(hào)請(qǐng)求與應(yīng)答方法－OPTIONS指定與資源相相關(guān)聯(lián)的通信信環(huán)境，不對(duì)對(duì)資源本身進(jìn)進(jìn)行操作方法－GET把所指定的資資源作為實(shí)體體取到客戶端端方法－HEAD把關(guān)于所指定定的資源信息息作為頭取到客戶端請(qǐng)求與應(yīng)答方法－POST把請(qǐng)求所攜帶帶的實(shí)體作為為所請(qǐng)求資源源的一個(gè)附屬屬物方法－PUT把請(qǐng)求所攜帶帶的實(shí)體存儲(chǔ)儲(chǔ)在指定URI下方法－DELETE刪除指定URI所表示的的資源請(qǐng)求與應(yīng)答方法－TRACE激活請(qǐng)求消息息的一個(gè)遠(yuǎn)程程的、應(yīng)用層層的回環(huán)擴(kuò)展方法請(qǐng)求與應(yīng)答應(yīng)答行協(xié)議版本號(hào)狀態(tài)碼1xx告知類(lèi)：請(qǐng)求收到，，繼續(xù)處理2xx成功類(lèi)：動(dòng)作成功地地收到，理解解并接受3xx重定向：為完成請(qǐng)求求，還要做進(jìn)進(jìn)一步工作4xx客戶端錯(cuò)誤：請(qǐng)求包含非非法格式無(wú)法法履行5xx服務(wù)器錯(cuò)誤：請(qǐng)求合法但但服務(wù)器無(wú)法法服務(wù)理由陳述請(qǐng)求與應(yīng)答頭域——通用用頭域Cache-Control緩存控制Connection連連接Date資資源創(chuàng)創(chuàng)建日期Pragma 規(guī)定定Transfer-Encoding 傳輸編編碼Upgrade升升級(jí)Via經(jīng)經(jīng)由請(qǐng)求頭域頭域——請(qǐng)求求頭域Accept Accept-CharsetAccept-EncodingAccept-LanguageAuthorizationFromHostIf-Modified-SinceIf-MatchIf-None-MatchIf-RangeIf-Unmidified-SinceMax-Forwards Proxy-AuthorizationRangeRefererUser-Agent請(qǐng)求與應(yīng)答請(qǐng)求與應(yīng)答頭域——實(shí)體體頭域AllowContent-BaseContent-Encoding Content-LanguageContent-LengthContent-LocationContent-MD5 Content-RangeContent-Type EtagExpires Last-Modified擴(kuò)充實(shí)體頭域域持續(xù)連接做法允許在一次連連接中進(jìn)行多多次請(qǐng)求/應(yīng)應(yīng)答交互是服務(wù)器端的的缺省行為客戶端/服務(wù)務(wù)器可以發(fā)信信號(hào)關(guān)閉連接接目的減少因頻繁打打開(kāi)/關(guān)閉連連接造成的CPU開(kāi)銷(xiāo)支持流水作業(yè)業(yè)報(bào)錯(cuò)不必關(guān)閉閉連接建立連接請(qǐng)求1客戶端服務(wù)器應(yīng)答1請(qǐng)求2應(yīng)答2請(qǐng)求3應(yīng)答3請(qǐng)求4關(guān)閉連接時(shí)間持續(xù)連接建立連接關(guān)閉連接q1q2q3q4q5q6q7r1r2r3r4r5r6持續(xù)連接下的的流水作業(yè)客戶端服務(wù)器時(shí)間內(nèi)容的格式、、編碼與協(xié)商商媒體類(lèi)型（MediaType））類(lèi)型/子類(lèi)型型（比如：text/html,audio/basic等）IANA注冊(cè)的MIME類(lèi)型（FRC2048）對(duì)多部分“multi-part””類(lèi)型的處理理HTTP與與MIME略略有不同字符集（CharacterSet）指把八位字節(jié)節(jié)流轉(zhuǎn)換為字字符流的方法法內(nèi)容的格式、、編碼與協(xié)商商內(nèi)容編碼（ContentEncoding）對(duì)內(nèi)容采取的的編碼形式在IANA注冊(cè)包括：gzipcompressdeflate內(nèi)容的格式、、編碼與協(xié)商商語(yǔ)言（ContentLanguage）表明資源的一一個(gè)變體所使使用的自然語(yǔ)語(yǔ)言客戶端可指定定所使用的語(yǔ)語(yǔ)言內(nèi)容協(xié)商（ContentNegotiation）客戶端驅(qū)動(dòng)的的協(xié)商服務(wù)器驅(qū)動(dòng)的的協(xié)商內(nèi)容的格式、、編碼和協(xié)商商傳輸編碼（TransferEncoding）消息體的編碼碼方式可分段（Chunk）順順序傳輸用以保證可靠靠的8位數(shù)據(jù)據(jù)傳輸片斷傳輸（Range））可指定文件的的片斷進(jìn)行傳傳輸支持?jǐn)嗑€續(xù)傳傳機(jī)制支持異地索引引訪問(wèn)認(rèn)證挑戰(zhàn)－回應(yīng)式式認(rèn)證模式服務(wù)器用401（未授權(quán)權(quán)）應(yīng)答向客客戶端提出認(rèn)認(rèn)證挑戰(zhàn)客戶端選擇認(rèn)認(rèn)證模式并提提供認(rèn)證信息息認(rèn)證模式分為為簡(jiǎn)單認(rèn)證模式式和簽名認(rèn)證模式式訪問(wèn)認(rèn)證訪問(wèn)認(rèn)證關(guān)于安全性的的考慮簡(jiǎn)單認(rèn)證模式式毫無(wú)安全性性和隱私權(quán)可可言簽名認(rèn)證模式式強(qiáng)度稍高用戶的某些愚愚蠢做法可泄漏秘密的的一些敏感信信息及其保護(hù)護(hù)緩存及其控制制基本概念緩存系統(tǒng)（Cache））為提高通信性性能，縮短請(qǐng)請(qǐng)求/應(yīng)答鏈鏈，在盡量保保證語(yǔ)義透明明性的前提下下，在代理服服務(wù)器上用來(lái)來(lái)存儲(chǔ)和發(fā)送送替代性應(yīng)答答的子系統(tǒng)緩存條目（CacheEntry）在緩存系統(tǒng)中中存儲(chǔ)的對(duì)應(yīng)應(yīng)于原始服務(wù)務(wù)器上真實(shí)應(yīng)應(yīng)答的實(shí)體，，用作真實(shí)應(yīng)應(yīng)答的替代性性應(yīng)答。緩存及其控制制基本概念存活期（Age）實(shí)體自創(chuàng)建至至當(dāng)前時(shí)刻所所經(jīng)過(guò)的時(shí)間間間隔長(zhǎng)度明確失效期（（ExplicitExpirationTime）由原始服務(wù)器器指定的時(shí)間間期限。過(guò)了了這個(gè)期限，，一個(gè)實(shí)體未未經(jīng)有效性檢檢驗(yàn)就不得被被緩存系統(tǒng)當(dāng)當(dāng)作替代性應(yīng)應(yīng)答使用推定失效期（（HeuristicExpirationTime））在無(wú)明確失效效期可循時(shí)，，由緩存系統(tǒng)統(tǒng)自行指定的的失效期限緩存及其控制制基本概念保鮮期（FreshnessLifetime）從應(yīng)答生成時(shí)時(shí)刻到失效時(shí)時(shí)刻的時(shí)間間間隔長(zhǎng)度新鮮的（Fresh））存活期<保保鮮期過(guò)期的（Stale））存活期>保保鮮期生效標(biāo)志（validator）用來(lái)確定緩存存中的副本是是否與原實(shí)體體等價(jià)的標(biāo)志志緩存及其控制制緩存基本模型型原始服務(wù)器緩存系統(tǒng)客戶端正本副本緩存及其控制制緩存基本模型型如果緩存中沒(méi)沒(méi)有副本，則則從原始服務(wù)務(wù)器取得正本本，轉(zhuǎn)發(fā)給客客戶端，同時(shí)時(shí)緩存中留下下副本如果緩存中中有副本，，而副本尚尚未失效，，則直接把把副本返回回客戶端如果緩存中中有副本，，而副本已已經(jīng)失效，，則向原始始服務(wù)器進(jìn)進(jìn)行有效性性再驗(yàn)證。。若返回304，則則副本重新新生效；否否則，取得得新正本并并轉(zhuǎn)發(fā)緩存及其控控制緩存受控模模型客戶端和原原始服務(wù)器器均可使用用Cache-Control命令覆蓋蓋緩存基本本模式可控的緩存存行為有：：限制哪些應(yīng)應(yīng)答可以緩緩存限制哪些實(shí)實(shí)體可以被被緩存系統(tǒng)統(tǒng)存儲(chǔ)修改失效機(jī)機(jī)制對(duì)有效性再再驗(yàn)證和重重載的控制制對(duì)實(shí)體的變變換的控制制緩存及其控控制緩存與其他他機(jī)制的關(guān)關(guān)系與訪問(wèn)認(rèn)證證的關(guān)系（（共享與非非共享）與沿途低版版本緩存系系統(tǒng)的關(guān)系系與內(nèi)容協(xié)商商的關(guān)系（（緩存上的的變體）與持續(xù)連接接的關(guān)系與部分內(nèi)容容傳輸?shù)年P(guān)關(guān)系（片斷斷的拼湊））互聯(lián)網(wǎng)域名名系統(tǒng)主機(jī)命名層級(jí)化域名名系統(tǒng)域名解析域名系統(tǒng)的的構(gòu)成域名系統(tǒng)的的工作原理理Internet域域名系統(tǒng)主機(jī)名.組組名.網(wǎng)點(diǎn)點(diǎn)名.頂級(jí)級(jí)域名曙光bbs服務(wù)器智能中心科技網(wǎng)中國(guó)=66用名字來(lái)代代替IP地地址,以以便于人們們的記憶COM商商業(yè)組織EDU教教育機(jī)構(gòu)GOV政政府部門(mén)MIL軍軍事部門(mén)INT國(guó)國(guó)際組織織……………...域名地址IP地址址66………………...主機(jī)根服務(wù)cnacukeduiaacBradict主機(jī)服務(wù)器服務(wù)器cn服務(wù)器器Www.brad.ac.ukWww.brad.ac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukac.ukac.ukac.ukac.ukac.ukac.ukac.ukukukukukukukukukukukukukukukukac.ukac.ukac.ukac.ukac.ukac.ukac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukbrad.ac.ukWww.brad.ac.ukWww.brad.ac.ukWww.brad.ac.ukWww.brad.ac.ukWww.brad.ac.uk域名解析過(guò)過(guò)程電子郵件(Email)電子郵件是是利用計(jì)算算機(jī)網(wǎng)絡(luò)來(lái)來(lái)交換電子子媒體信件件的通信方方式，其協(xié)協(xié)議是SMTP（簡(jiǎn)簡(jiǎn)單郵件傳傳輸協(xié)議）），特點(diǎn)是是只規(guī)定如如何與TCP協(xié)議銜銜接。電子子郵郵件件采采取取存存儲(chǔ)儲(chǔ)轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)的的方方式式，，發(fā)發(fā)送送失失敗敗后后將將繼繼續(xù)續(xù)嘗嘗試試發(fā)發(fā)送送。。電子子郵郵件件電子子郵郵件件需需分分別別指指定定發(fā)發(fā)信信服服務(wù)務(wù)器器與與收收信信服服務(wù)務(wù)器器，，發(fā)發(fā)信信服服務(wù)務(wù)器器稱(chēng)稱(chēng)為為SMTP服服務(wù)務(wù)器器，，無(wú)無(wú)需需賬賬號(hào)號(hào)，，收收信信服服務(wù)務(wù)器器通通常常是是POP3服服務(wù)務(wù)器器（（POP：：郵郵局局協(xié)協(xié)議議）），，需需要要賬賬號(hào)號(hào)。。信箱箱格格式式為為：：用用戶戶名名@收收信信服服務(wù)務(wù)器器域域名名bai@電子子郵郵件件(Email)POP3服務(wù)器SMTP服務(wù)器POP3服務(wù)器SMTP服務(wù)器計(jì)算機(jī)網(wǎng)絡(luò)遠(yuǎn)程程登登錄錄(Telnet)遠(yuǎn)程程登登錄錄是是指指用用戶戶可可以以在在本本地地自自己己的的終終端端上上通通過(guò)過(guò)支支持持TCP/IP的的Internet網(wǎng)網(wǎng)絡(luò)絡(luò)與與另另一一個(gè)個(gè)地地方方的的主主機(jī)機(jī)系系統(tǒng)統(tǒng)進(jìn)進(jìn)行行交交互互。。遠(yuǎn)程程登登錄錄的的必必備備條條件件是是本本地地端端具具有有Telnet的的客客戶戶程程序序，，知知道道對(duì)對(duì)方方的的IP地地址址或或域域名名、、賬賬號(hào)號(hào)、、口口令令。。遠(yuǎn)程程登登錄錄Telnet協(xié)議（應(yīng)用層）TCP協(xié)議（傳輸層）IP協(xié)議（網(wǎng)絡(luò)層）鏈路層客戶接向服務(wù)收數(shù)據(jù)器發(fā)送Telnet協(xié)議（應(yīng)用層）TCP協(xié)議（傳輸層）IP協(xié)議（網(wǎng)絡(luò)層）鏈路層服務(wù)器接向客戶收數(shù)據(jù)發(fā)送數(shù)據(jù)TCP建立連接IP數(shù)據(jù)包Telnet服務(wù)器文件件傳傳輸輸(FTP)FTP是是用用于于在在兩兩個(gè)個(gè)支支持持TCP/IP的的Internet網(wǎng)網(wǎng)絡(luò)絡(luò)上上的的主主機(jī)機(jī)之之間間進(jìn)進(jìn)行行文文件件交交換換。。遠(yuǎn)程程登登錄錄的的必必備備條條件件是是本本地地端端具具有有FTP的的客客戶戶程程序序，，知知道道對(duì)對(duì)方方的的IP地地址址或或域域名名、、賬賬號(hào)號(hào)、、口口令令。。在在對(duì)對(duì)方方是是匿匿名名FTP服服務(wù)務(wù)器器時(shí)時(shí)可可以以進(jìn)進(jìn)行行匿匿名名FTP登登錄錄與與傳傳輸輸。。在瀏瀏覽覽器器上上直直接接支支持持FTP操操作作：：FTP://電子子公公告告版版（（BBS））致謝謝本節(jié)節(jié)講講義義采采用用了了哈哈工工大大云云曉曉春春教教授授的的《《網(wǎng)網(wǎng)絡(luò)絡(luò)基基礎(chǔ)礎(chǔ)知知識(shí)識(shí)》》講講義義、、計(jì)計(jì)算算所所白白碩碩教教授授的的《《網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息安安全全講講義義》》和和網(wǎng)網(wǎng)絡(luò)絡(luò)未未具具名名作作者者的的《《傳傳輸輸層層講講義義》》中中的的若若干干幻幻燈燈片片，，謹(jǐn)謹(jǐn)致致謝謝意意1.2主主流流操操作作系系統(tǒng)統(tǒng)簡(jiǎn)簡(jiǎn)介介操作作系系統(tǒng)統(tǒng)的的由由來(lái)來(lái)三大大主主流流操操作作系系統(tǒng)統(tǒng)操作作系系統(tǒng)統(tǒng)的的安安全全問(wèn)問(wèn)題題1.2主主流流操操作作系系統(tǒng)統(tǒng)簡(jiǎn)簡(jiǎn)介介操作作系系統(tǒng)統(tǒng)的的由由來(lái)來(lái)三大大主主流流操操作作系系統(tǒng)統(tǒng)操作作系系統(tǒng)統(tǒng)的的安安全全問(wèn)問(wèn)題題操作作系系統(tǒng)統(tǒng)的的由由來(lái)來(lái)背景景單作作業(yè)業(yè)多多作作業(yè)業(yè)單用用戶戶多多用用戶戶少量量資資源源大大量量資資源源低級(jí)級(jí)語(yǔ)語(yǔ)言言高高級(jí)級(jí)語(yǔ)語(yǔ)言言直接接控控制制間間接接控控制制需求求一個(gè)個(gè)介介于于用用戶戶和和機(jī)機(jī)器器之之間間的的服服務(wù)務(wù)程程序序，，為為用用戶戶按按需需調(diào)調(diào)度度、、管管理理資資源源操作系統(tǒng)的管管理對(duì)象處理器進(jìn)程內(nèi)存用戶網(wǎng)絡(luò)外設(shè)文件中斷圖形用戶界面面單一系統(tǒng)映像像應(yīng)用應(yīng)用應(yīng)用應(yīng)用應(yīng)用應(yīng)用……其他服務(wù)例程程對(duì)操作系統(tǒng)的的操作命令行系統(tǒng)命命令最原始的、但但直到今天仍仍然有許多高高手喜歡使用用的方式，一一般有諸多““選項(xiàng)”事件通過(guò)圖形用戶戶界面上的點(diǎn)點(diǎn)擊/擊鍵或或其他動(dòng)作產(chǎn)產(chǎn)生的事件，，在系統(tǒng)內(nèi)部部驅(qū)動(dòng)等效的的命令執(zhí)行ShellCode在一個(gè)特定運(yùn)運(yùn)行環(huán)境里的的命令組合，，被Shell解釋成一一系列的命令令，其中可能能包含與環(huán)境境變量有關(guān)的的判斷和以環(huán)環(huán)境變量為參參數(shù)選項(xiàng)的命命令系統(tǒng)調(diào)用在命令的執(zhí)行行或某些程序序的執(zhí)行過(guò)程程中需要系統(tǒng)統(tǒng)核心提供的的某些服務(wù)三大主流操作作系統(tǒng)DOS/Windows系列MacOS系系列Unix/Linux系系列微軟的DOS/Windows系列列祖宗：MS-DOSx桌面系列：Windows3.xWindowsXP介紹示意圖服務(wù)器系列：：WindowsNT3.xWindows.Net介紹示意圖MS-DOSxWindows3.xWindows.NetWindows95Windows98WindowsMeWindowsforWorkgroupsWindowsNT3.5(w)WindowsNT4.0(w)Windows2000(w)WindowsXPWindows2000(S)WindowsNT4.0(S)WindowsNT3.51(S)WindowsNT3.5(S)WindowsNT3.1(S)微軟的Dos/Windows演進(jìn)進(jìn)示意圖MacOSMacOS一一度十分強(qiáng)大大，在GUI（圖形用戶戶界面）方面面曾經(jīng)頗具優(yōu)優(yōu)勢(shì)MacOS有有傳統(tǒng)的應(yīng)用用領(lǐng)域（如出出版），但總總體上說(shuō)正在在衰落MacOS在在中國(guó)沒(méi)有很很大市場(chǎng)關(guān)于MacOS的演進(jìn)狀狀況，本課程程從略UNIX/Linux系系列UNIX家族族全圖幾大商業(yè)UNIX系統(tǒng)IBMAIXSUNSolarisHPHP-UXSGIIRIXSCOSCOUNIX兩大免費(fèi)UNIX系統(tǒng)FreeBSDLinuxUnixCSUnixV6UnixSystemIIIBSDUnixSystemVFreeBSDLinuxAIXHP-UXSolarisIrixSCOUnixV7主要的UNIX系統(tǒng)演進(jìn)進(jìn)示意圖諸侯、霸主與與俠客商業(yè)UNIX的發(fā)展，缺缺乏一條明確確的主線和統(tǒng)統(tǒng)一的規(guī)劃，，諸侯林立。。但由于其本本身在高端技技術(shù)上的一些些優(yōu)勢(shì)，在大大型服務(wù)器平平臺(tái)領(lǐng)域，UNIX仍有有相當(dāng)?shù)牡乇P(pán)盤(pán)微軟Windows系列列有清晰的產(chǎn)產(chǎn)品線和產(chǎn)品品戰(zhàn)略，已經(jīng)經(jīng)在低端處于于絕對(duì)的霸主主地位（OS2案例）Linux/FreeBSD高舉舉“自由”大大旗，加上由由此而來(lái)的安安全概念，異異軍突起，對(duì)對(duì)微軟的霸主主地位形成一一定沖擊，但但不足以動(dòng)搖搖微軟的霸主主地位操作系統(tǒng)的安安全問(wèn)題D級(jí)操作系統(tǒng)統(tǒng)的權(quán)限模型型C級(jí)操作系統(tǒng)統(tǒng)的權(quán)限模型型B級(jí)操作系統(tǒng)統(tǒng)的權(quán)限模型型意義操作系統(tǒng)所處處的位置決定定了它是具有有戰(zhàn)略意義的的軟件系統(tǒng)，，是一切信息息和信息系統(tǒng)統(tǒng)的安全攸關(guān)關(guān)的底座操作系統(tǒng)的安安全功能是網(wǎng)網(wǎng)絡(luò)信息安全全的至關(guān)重要要的組成部分分操作系統(tǒng)的安安全功能主要要是通過(guò)“訪訪問(wèn)控制”來(lái)來(lái)實(shí)現(xiàn)的，具具體體現(xiàn)在內(nèi)核地址空間間的相對(duì)隔離離用戶和權(quán)限的的管理對(duì)與安全有關(guān)關(guān)的關(guān)鍵性信信息的加密存存儲(chǔ)操作系統(tǒng)的安安全等級(jí)（TCSEC））D級(jí)：最小安安全策略（無(wú)無(wú)訪問(wèn)控制措措施）C級(jí)：自主訪訪問(wèn)控制C1：可信任任的計(jì)算基礎(chǔ)礎(chǔ)C2：安全審審計(jì)B級(jí)：強(qiáng)制訪訪問(wèn)控制B1：設(shè)置敏敏感度標(biāo)記B2：隱通道道分析B3：審計(jì)跟跟蹤A級(jí)：結(jié)構(gòu)化化訪問(wèn)控制A1：形式化化驗(yàn)證（理想想狀態(tài)）C1級(jí)操作系系統(tǒng)的訪問(wèn)控控制主體：用戶用戶組程序（隸屬于于一定的用戶戶）客體：資源，，包括文件目錄進(jìn)程（暫時(shí)不不說(shuō)）操作：讀、寫(xiě)寫(xiě)、執(zhí)行權(quán)限：允許、、禁止讀寫(xiě)執(zhí)行允許/禁止允許的操作權(quán)限客體主體操作屬主，用戶組組，權(quán)限管理理一定的客體為為一定的主體體所擁有，該該主體稱(chēng)為該該客體的屬主主（Owner）一定的用戶集集合可組成用用戶組（Group），，同組的用戶戶在安全策略略上具有一定定的共性一定的可執(zhí)行行客體具有權(quán)權(quán)限管理的執(zhí)執(zhí)行效果，擁?yè)碛袌?zhí)行這類(lèi)類(lèi)客體權(quán)限的的主體事實(shí)上上具有了改變變別的主體和和客體的相關(guān)關(guān)安全策略的的能力權(quán)限碼由9個(gè)二進(jìn)制制位組成0表示禁止，，1表示允許許從高到低的九九個(gè)二進(jìn)制位位依次表示屬主是否可讀讀、可寫(xiě)、可可執(zhí)行同組用戶是否否可讀、可寫(xiě)寫(xiě)、可執(zhí)行其他用戶是否否可讀、可寫(xiě)寫(xiě)、可執(zhí)行權(quán)限碼755用戶屬主同組其他操作讀寫(xiě)執(zhí)行讀寫(xiě)執(zhí)行讀寫(xiě)執(zhí)行權(quán)限碼111101101意義允許允許