第5章 計算機網(wǎng)絡

計算機網(wǎng)絡第5章講課人：***目錄01網(wǎng)絡概述02計算機網(wǎng)絡基礎03Internet技術及應用04網(wǎng)絡安全基礎05物聯(lián)網(wǎng)技術第

5

章計算機網(wǎng)絡第

5

章計算機網(wǎng)絡5.1網(wǎng)絡概述

5.1.1計算機網(wǎng)絡和通信技術5.1.2計算機網(wǎng)絡的性能指標5.2計算機網(wǎng)絡基礎

5.2.1計算機網(wǎng)絡的分類

5.2.2網(wǎng)絡的組成和結構

5.2.3分組交換技術5.2.4網(wǎng)絡體系結構

5.2.4OSI參考模型5.3Internet技術及應用

5.3.1Internet發(fā)展史

5.3.2Internet網(wǎng)絡體系結構

5.3.3分組交換技術5.3Internet技術及應用5.3.4TCP/IP協(xié)議概述5.3.5Internet典型服務和應用5.4網(wǎng)絡安全基礎

5.4.1網(wǎng)絡安全基本概念

5.4.2加密與認證技術

5.4.3網(wǎng)絡安全協(xié)議

5.4.4防火墻和入侵檢測系統(tǒng)5.5物聯(lián)網(wǎng)技術

5.5.1物聯(lián)網(wǎng)技術概述

5.5.2物聯(lián)網(wǎng)的組成

5.5.3物聯(lián)網(wǎng)相關技術

5.5.4物聯(lián)網(wǎng)技術的應用網(wǎng)絡概述第5章015.1網(wǎng)絡概述5.1.1計算機網(wǎng)絡和通信技術計算機網(wǎng)絡的發(fā)展史面向終端的計算機網(wǎng)絡（20世紀50年代初~20世紀60年代中期）多主機互連的網(wǎng)絡階段（20世紀60年代中期~20世紀70年代中期）開放式標準化計算機網(wǎng)絡階段（20世紀70年代末~20世紀90年代中期）網(wǎng)絡互連與高速網(wǎng)絡階段（20世紀90年代末至今）5.1網(wǎng)絡概述5.1.1計算機網(wǎng)絡和通信技術計算機網(wǎng)絡的定義和功能計算機網(wǎng)絡是利用通信設備和線路把地理上分散的多臺具有獨立功能的計算機系統(tǒng)連接起來，在功能完善的網(wǎng)絡軟件支持下進行數(shù)據(jù)通信，實現(xiàn)資源共享、互操作和協(xié)同工作的系統(tǒng)?；镜墓δ埽簲?shù)據(jù)通信，資源共享，分布式處理和均衡負荷，提高安全可靠性5.1網(wǎng)絡概述5.1.1計算機網(wǎng)絡和通信技術數(shù)據(jù)通信與計算機網(wǎng)絡數(shù)據(jù)通信是按照通信協(xié)議，利用傳輸技術在功能單元之間傳輸數(shù)據(jù)信息，從而實現(xiàn)計算機與計算機之間、計算機與數(shù)據(jù)終端之間、數(shù)據(jù)終端與終端之間的信息交互而產生的一種通信技術，它涉及到數(shù)據(jù)通信模型、數(shù)據(jù)編碼技術、數(shù)據(jù)傳輸技術、數(shù)據(jù)通信的交換方式、多路復用與多址通信、數(shù)據(jù)通信的差錯控制等方面。數(shù)據(jù)通信是實現(xiàn)計算機網(wǎng)絡的基礎，計算機網(wǎng)絡的底層（物理層和數(shù)據(jù)鏈路層），就是依賴于數(shù)據(jù)通信技術實現(xiàn)的。5.1網(wǎng)絡概述5.1.1計算機網(wǎng)絡和通信技術數(shù)據(jù)通信模型，如下圖一個數(shù)據(jù)通信系統(tǒng)可包含三大部分：源系統(tǒng)（發(fā)送端）、傳輸系統(tǒng)（傳輸網(wǎng)絡）和目的系統(tǒng)（接收端）。5.1網(wǎng)絡概述5.1.1計算機網(wǎng)絡和通信技術數(shù)據(jù)通信模型源系統(tǒng)一般包括源點（信源）和發(fā)送器（調制器）。其中，源點設備產生要傳輸?shù)臄?shù)據(jù)，比如計算機里錄入的文字、聲音、圖像信息等，由于計算機是電子數(shù)字式計算機，這些信源信息都是二進制的數(shù)字比特流（是數(shù)字信號,也稱基帶信號）；發(fā)送器的作用是將源點的數(shù)字信號進行編碼調制后，變成適合遠距離傳輸?shù)哪M信號（稱為帶通信號）后，再通過傳輸系統(tǒng)發(fā)給目的系統(tǒng)。5.1網(wǎng)絡概述5.1.1計算機網(wǎng)絡和通信技術數(shù)據(jù)通信模型目的系統(tǒng)也包括接收器（解調器）和終點（信宿）兩部分。接收器和發(fā)送器的作用相反，它把來自傳輸線路上的模擬信號進行解調，還原出發(fā)送端產生的原始數(shù)據(jù)（二進制的數(shù)字比特流）；終點設備獲取接收器傳送來的數(shù)字比特流，然后把信息顯示輸出。圖中兩端的計算機和調制解調器，往往同時具備源系統(tǒng)和目的系統(tǒng)的功能，也就是兩端即可以作為源系統(tǒng)發(fā)送數(shù)據(jù)，同時也可以作為目的系統(tǒng)接收數(shù)據(jù)，這在通信上叫做全雙工通信。5.1網(wǎng)絡概述5.1.1計算機網(wǎng)絡和通信技術數(shù)據(jù)通信模型傳輸系統(tǒng)，可以是簡單的傳輸線，也可以是復雜的網(wǎng)絡，甚至是無線的通信網(wǎng)絡，上面?zhèn)鬏數(shù)耐墙?jīng)過調制后的帶通信號，如下圖所示?；鶐盘枺簺]有經(jīng)過調制（三種基本的調幅、調頻、調相）的原始電信號。（類似于貨物）載波：是指被調制用以傳輸信號的波形，一般為正弦波。（類似于載貨的貨車）帶通信號：把基帶信號經(jīng)過載波調制后，把信號的頻率范圍搬移到較高的頻段以便在信道中傳輸?shù)男盘?。（類似于貨車拉貨?.1網(wǎng)絡概述5.1.1計算機網(wǎng)絡和通信技術基帶信號需要調制的原因基帶信號往往包含低頻成分，許多信道不能直接傳輸。需要使用高頻的載波進行調制，把低頻范圍的基帶信號搬移到較高頻段，并轉換為模擬信號，以便在信道中傳輸。載波的工作頻率越高，則帶寬越大，利于提高數(shù)據(jù)傳輸速率；同時便于實現(xiàn)信道多路復用，提高信道的利用率。對于采用天線的無線通信，天線的尺寸和無線信號的波長是成正比的。通過調制，提高了工作頻率，就降低了波長，減小了天線的尺寸。5.1網(wǎng)絡概述5.1.1計算機網(wǎng)絡和通信技術香農公式信道的傳輸速率是有極限的，這被稱為信道的容量極限，過高的傳輸速率，會導致信號失真，不能正確解碼識別。理論上，信道的容量極限受信道的帶寬和信噪比兩個因素的影響，也就是香農公式。其中C為信道的極限信息傳輸速率（單位bps波特率），W為信道帶寬（單位Hz赫茲），S為信號的平均功率，N為信道內部噪聲的平均功率，S/N叫做信噪比（常用分貝）。5.1網(wǎng)絡概述5.1.2計算機網(wǎng)絡的性能指標計算機網(wǎng)絡的性能指標計算機網(wǎng)絡的性能指標是從不同的方面來度量網(wǎng)絡的性能，包括：速率、帶寬、吞吐量、時延、時延帶寬積、往返時間、利用率等性能指標。計算機網(wǎng)絡也可以從成本、質量、標準、可靠性、兼容性、擴展性等非性能方面來衡量。5.1網(wǎng)絡概述5.1.2計算機網(wǎng)絡的性能指標計算機網(wǎng)絡的性能指標速率。是數(shù)據(jù)的傳輸速率，也叫數(shù)據(jù)率（datarate）或者比特率（bitrate）。速率是網(wǎng)絡中最重要的性能指標。單位是bit/s（比特每秒）或b/s（有時也寫作bps即bitpersecond）。bit/s的單位較小，往往用更大的單位：Kbps、Mbps、Gbps、Tbps等。帶寬。網(wǎng)絡帶寬表示在單位時間內網(wǎng)絡中的某信道所能達到的“最高數(shù)據(jù)率”，帶寬的單位就是數(shù)據(jù)率的單位bit/s。計算機網(wǎng)絡基礎第5章025.2計算機網(wǎng)絡基礎5.2.1計算機網(wǎng)絡的分類按照網(wǎng)絡的使用者進行分類公用網(wǎng)。公用網(wǎng)是指電信公司出資建造的大型網(wǎng)絡，所有愿意按照電信公司的規(guī)定繳費的人都可以使用該網(wǎng)絡，也被稱為公眾網(wǎng)。專用網(wǎng)。某個部門為滿足本單位的特殊業(yè)務工作的需要而建立的網(wǎng)絡，稱為專用網(wǎng)，這種網(wǎng)絡不向本單位以外的人提供服務。例如軍隊、鐵路、銀行、電力等系統(tǒng)均有自己的專用網(wǎng)。5.2計算機網(wǎng)絡基礎5.2.1計算機網(wǎng)絡的分類按照網(wǎng)絡的覆蓋范圍進行分類按照網(wǎng)絡的覆蓋范圍由小至大，可分為：個域網(wǎng)PAN（覆蓋用戶身邊10m之內）、局域網(wǎng)LAN（覆蓋10m~10Km的網(wǎng)絡稱）、城域網(wǎng)MAN（覆蓋10Km~100Km的網(wǎng)絡）和廣域網(wǎng)WAN（覆蓋100Km以上范圍的網(wǎng)絡）。個域網(wǎng)多采用無線通信技術，更準確的說法應該是WPAN，包括：IrDA紅外技術、藍牙、802.11(Wi-Fi)、ZigBee、超寬帶(UltraWideBand)、近場通信(NFC)等技術。5.2計算機網(wǎng)絡基礎5.2.1計算機網(wǎng)絡的分類按照網(wǎng)絡的覆蓋范圍進行分類局域網(wǎng)的特點：連接范圍窄、用戶數(shù)少、配置容易、連接速率高。包括以太網(wǎng)（Ethernet）、令牌環(huán)網(wǎng)（TokenRing）、光纖分布式接口網(wǎng)絡（FDDI）、異步傳輸模式網(wǎng)（ATM）以及無線局域網(wǎng)（WLAN）等技術。從局域網(wǎng)到城域網(wǎng)、廣域網(wǎng)，很多技術都是相通的，尤其是萬兆以太網(wǎng)、光以太網(wǎng)等高速局域網(wǎng)技術，使得局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)之間的界限越來越模糊。5.2計算機網(wǎng)絡基礎5.2.1計算機網(wǎng)絡的分類按照傳輸介質分類按照傳輸介質分類可分為有線網(wǎng)絡和無線網(wǎng)絡。其中有線網(wǎng)絡可分為雙絞線網(wǎng)絡、同軸電纜網(wǎng)絡、光纖網(wǎng)絡；無線網(wǎng)絡可分為紅外、微波網(wǎng)絡、衛(wèi)星網(wǎng)絡等。5.2計算機網(wǎng)絡基礎5.2.1計算機網(wǎng)絡的分類按計算機網(wǎng)絡拓撲結構分類網(wǎng)絡拓撲結構一般指網(wǎng)絡中通信線路和節(jié)點之間的幾何排列形式，或網(wǎng)線與節(jié)點之間排列所構成的幾何圖形?？煞譃椋嚎偩€型、星型、樹型、環(huán)型、網(wǎng)狀型和混合型等。5.2計算機網(wǎng)絡基礎5.2.1計算機網(wǎng)絡的分類

Internet按照工作方式、作用進行分類可劃分為核心網(wǎng)、邊緣網(wǎng)、接入網(wǎng)邊緣部分。由所有連接在互聯(lián)網(wǎng)上的主機組成。這部分是用戶直接使用的，用來進行通信（傳送數(shù)據(jù)、音頻或視頻）和資源共享。核心部分。由大量網(wǎng)絡和連接這些網(wǎng)絡的路由器組成。這部分是為邊緣部分提供服務的（提供連通性和數(shù)據(jù)交換）。由ISP提供的接入網(wǎng)，是用戶與因特網(wǎng)相連接的介紹人或中間橋梁。5.2計算機網(wǎng)絡基礎5.2.1計算機網(wǎng)絡的分類

C/S方式和P2P方式在邊緣網(wǎng)絡的端系統(tǒng)之間（不同的主機之間）的通信方式通?？煞譃閮纱箢悾嚎蛻魴C/服務器方式（C/S方式）和對等方式（P2P方式）?？蛻?服務器方式（即Client/Server方式，簡稱C/S方式）?？蛻羰欠盏恼埱蠓?，服務器是服務的提供方。B/S模式。B/S就是“Browser/Server”的縮寫，即“瀏覽器/服務器”模式，可認為是一種特殊的C/S模式。5.2計算機網(wǎng)絡基礎5.2.1計算機網(wǎng)絡的分類

C/S方式和P2P方式在邊緣網(wǎng)絡的端系統(tǒng)之間（不同的主機之間）的通信方式通?？煞譃閮纱箢悾嚎蛻?服務器方式（C/S方式）和對等方式（P2P方式）?？蛻?服務器方式（即Client/Server方式，簡稱C/S方式）。客戶是服務的請求方，服務器是服務的提供方，比如使用百度云盤客戶端查看云盤服務器里面的文件內容。B/S模式。B/S就是“Browser/Server”的縮寫，即“瀏覽器/服務器”模式，可認為是一種特殊的C/S模式。典型的如學校的教務管理系統(tǒng)。運行客戶程序網(wǎng)絡邊緣網(wǎng)絡核心運行服務器程序AB①請求服務②得到服務客戶服務器客戶A向服務器B發(fā)出請求服務，而服務器B向客戶A提供服務。5.2計算機網(wǎng)絡基礎5.2.1計算機網(wǎng)絡的分類

C/S方式和P2P方式對等連接(peer-to-peer，簡寫為P2P)是指兩個主機在通信時并不區(qū)分哪一個是服務請求方還是服務提供方。只要兩個主機都運行了對等連接軟件（P2P軟件），它們就可以進行平等的、對等連接通信。對等連接方式從本質上看仍然是使用客戶服務器方式，只是對等連接中的每一個主機既是客戶又同時是服務器。典型的應用如P2P文件下載網(wǎng)絡邊緣網(wǎng)絡核心運行P2P程序運行P2P程序DCEF運行P2P程序運行P2P程序5.2計算機網(wǎng)絡基礎5.2.2網(wǎng)絡的組成和結構

Internet網(wǎng)絡的邏輯結構用戶接入與使用各種網(wǎng)絡服務都需要經(jīng)過Internet服務提供者（Internetserviceprovider，ISP）提供。5.2計算機網(wǎng)絡基礎5.2.3分組交換技術數(shù)據(jù)交換方式數(shù)據(jù)交換，也就是為任意兩個終端設備建立數(shù)據(jù)通信臨時互連通路的過程。網(wǎng)絡的數(shù)據(jù)交換方式有兩種基本的形式：電路交換和存儲轉發(fā)交換。其中存儲轉發(fā)交換還可以分為報文交換和分組交換。電路交換就是按照某種方式動態(tài)地分配傳輸線路（通信資源）的過程，必須經(jīng)過建立連接（分配通信資源）、通話（一直占用通信資源）、釋放連接（釋放通信資源）三個步驟。5.2計算機網(wǎng)絡基礎5.2.3分組交換技術電路交換方式電路交換的一個重要特點就是在通話的全部時間內，通話的兩個用戶始終占用端到端的通信資源，這帶來了通信實時性強的優(yōu)點，也造成了線路傳輸效率低的缺點。5.2計算機網(wǎng)絡基礎5.2.3分組交換技術分組交換方式把要發(fā)送的整塊數(shù)據(jù)稱為一個報文(message)。在發(fā)送報文之前，先把較長的報文劃分為一個個更小的等長數(shù)據(jù)段，稱為分組。在每個分組數(shù)據(jù)字段的前面，加上源地址、目的地址、序號、控制信息組成的首部（header，也稱為包頭）。首部包含了諸如目的地址和源地址等重要的信息，每一個分組才能在網(wǎng)絡中獨立地選擇傳輸路徑，并被正確地傳送到分組傳輸?shù)慕K點。5.2計算機網(wǎng)絡基礎5.2.3分組交換技術分組交換方式待發(fā)送的報文信息iall分為i1、i2、i3、i4、i5、i6共6個數(shù)據(jù)段，對每個數(shù)據(jù)段加上首部形成新的數(shù)據(jù)包P1、P2、P3、P4、P5、P6。5.2計算機網(wǎng)絡基礎

5.2計算機網(wǎng)絡基礎5.2.3分組交換技術報文交換方式報文交換，就是對傳輸?shù)臄?shù)據(jù)單元的長度不做限制，直接封裝成一個包進行傳輸，這個包就被稱為報文。報文可能是一個很小的文本內容或者語音數(shù)據(jù)，也可能是包含很大內容的圖形、圖像、視頻等數(shù)據(jù)。報文長度不固定，不利于網(wǎng)絡的存儲轉發(fā)。5.2計算機網(wǎng)絡基礎5.2.3分組交換技術三種交換方式的對比實際的計算機網(wǎng)絡采用的是分組交換技術。交換方式優(yōu)點缺點電路交換傳輸時延小，實時性好，交互性好，技術簡單，容易實現(xiàn)信道利用率低，有呼損報文交換采用存儲轉發(fā)技術，信道利用率高，不同類型的終端可以通信，無呼損時延大，費用高分組交換可靠性高，傳輸時延小，信道利用率高，通信環(huán)境靈活技術復雜，數(shù)據(jù)傳輸時延不等5.2計算機網(wǎng)絡基礎5.2.4網(wǎng)絡體系結構網(wǎng)絡體系結構人們把每臺計算機的功能劃分了明確的層次，并規(guī)定了同層次進程間通信的協(xié)議，以及相鄰層之間的接口和服務。這些層次（layer）結構、同層進程間的通信協(xié)議（protocol）以及相鄰層之間的接口（interface）就統(tǒng)稱為網(wǎng)絡體系結構（networkarchitecture）。協(xié)議就是一組控制數(shù)據(jù)交換過程的通信規(guī)則，這些規(guī)則明確地規(guī)定所交換數(shù)據(jù)的格式和時序。這些為網(wǎng)絡數(shù)據(jù)交換制定的通信規(guī)則、約定與標準被稱為“網(wǎng)絡協(xié)議”。5.2計算機網(wǎng)絡基礎5.2.4網(wǎng)絡體系結構網(wǎng)絡體系結構語法：數(shù)據(jù)與控制信息的結構或格式。語義：需要發(fā)出何種控制信息，完成何種動作以及做出何種響應。同步：事件實現(xiàn)順序的詳細說明。在計算機網(wǎng)絡體系結構中，采用了分層的思想和方法，將復雜的系統(tǒng)或問題逐步往下分解為若干的比較容易處理的子系統(tǒng)或者子問題，交給下層來處理或者解決。5.2計算機網(wǎng)絡基礎5.2.5OSI參考模型

OSI參考模型為了解決不同體系結構網(wǎng)絡的互聯(lián)問題，國際標準化組織ISO于1974年發(fā)布了著名的開放系統(tǒng)互連基本參考模型OSI/RM（OpenSystemInterconnectionReferenceModel）文件（ISO7498國際標準），并在1983年正式成為國際標準。OSI參考模型從下到上包含7層：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層。5.2計算機網(wǎng)絡基礎5.2.5OSI參考模型

OSI參考模型中各層的主要功能序號名稱功能特性簡介傳輸單元7應用層作為和用戶應用進程的接口，負責應用管理、用戶信息的語義表示，并進行語義匹配和執(zhí)行應用程序等。數(shù)據(jù)單元6表示層負責通信系統(tǒng)之間的數(shù)據(jù)格式轉換、數(shù)據(jù)加密與解密、數(shù)據(jù)壓縮與解壓恢復。數(shù)據(jù)單元5會話層提供一個面向用戶的連接服務，負責維護會話主機之間連接的建立、管理和終止，以及數(shù)據(jù)交換和數(shù)據(jù)傳輸同步。數(shù)據(jù)單元4傳輸層屏蔽低層數(shù)據(jù)通信的細節(jié)，為不同計算機的進程通信提供可靠的端到端(end-to-end)連接與數(shù)據(jù)傳輸服務。報文(message)3網(wǎng)絡層通過路由選擇算法為分組交換方式選擇適當?shù)膫鬏斅窂?，實現(xiàn)流量控制、擁塞控制與網(wǎng)絡互聯(lián)的功能。分組/包(packet)2數(shù)據(jù)鏈路層建立數(shù)據(jù)鏈路連接，采用差錯控制和流量控制等方法，在不可靠的物理鏈路上實現(xiàn)可靠的數(shù)據(jù)傳輸。數(shù)據(jù)幀(frame)1物理層利用物理傳輸介質為通信的主機之間建立、管理和釋放物理連接，實現(xiàn)比特流的透明傳輸，盡可能屏蔽掉物理介質和設備的差異。比特(bit)5.2計算機網(wǎng)絡基礎5.2.5OSI參考模型

OSI參考模型只要遵循OSI標準，一個系統(tǒng)就可以和位于世界上任何地方的、也遵循這同一標準的其他任何系統(tǒng)進行通信。法律上的國際標準OSI并沒有得到市場的認可。非國際標準TCP/IP現(xiàn)在獲得了最廣泛的應用。TCP/IP常被稱為事實上的國際標準。Internet技術及應用第5章035.3Internet技術及應用5.3.1Internet發(fā)展史

InternetInternet，中文譯名為因特網(wǎng)，又叫做國際互聯(lián)網(wǎng)，是一組全球信息資源的總匯。Internet以相互交流信息資源為目的，基于一些共同的協(xié)議，并通過許多路由器和公共互聯(lián)網(wǎng)而成，它是一個信息資源和資源共享的集合。只要遵循共同的通信協(xié)議TCP/IP（TransmissionControlProtocol/InternetProtocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議），便可以連接至Internet。 5.3Internet技術及應用5.3.1Internet發(fā)展史

Internet發(fā)展史是20世紀60年代美蘇冷戰(zhàn)時期的產物。60年代初，美國國防部領導的遠景研究規(guī)劃局ARPA(AdvancedResearchProjectAgency)提出要研制一種生存性(survivability)很強的網(wǎng)絡。早期的面向終端的計算機網(wǎng)絡是以單個主機為中心的星形網(wǎng)，各終端通過通信線路共享昂貴的中心主機的硬件和軟件資源。APRA網(wǎng)絡采用分組交換網(wǎng)，是以網(wǎng)絡為中心，主機都處在網(wǎng)絡的外圍。用戶通過分組交換網(wǎng)可共享連接在網(wǎng)絡上的許多硬件和各種豐富的軟件資源。5.3Internet技術及應用5.3.1Internet發(fā)展史

Internet發(fā)展史1986年，美國國家科學基金會(NSF)建立了國家科學基金網(wǎng)(NSFNET)。它是一個三級計算機網(wǎng)絡，其中包括主干網(wǎng)、地區(qū)網(wǎng)和校園網(wǎng)，覆蓋了全美國主要的大學和研究所。NSFNET后來接管了ARPA網(wǎng)，并將其更名為Internet。20世紀90年代，Internet開始應用于商業(yè)目的。20世紀90年代初期，歐洲原子核研究組織CERN開發(fā)的萬維網(wǎng)WWW為在Internet上存儲、發(fā)布和交換超文本的圖文信息提供了強有力的工具。1993年，美國伊利諾依大學國家超級計算機中心開發(fā)成功了瀏覽器，使得Internet用戶可以使用Mosaic或Netscape自由地在Internet瀏覽和下載WWW服務器上發(fā)布和存儲的各種軟件與文件。WWW與Netscape的結合，引發(fā)了Internet發(fā)展的新高潮。5.3Internet技術及應用5.3.1Internet發(fā)展史

Internet在我國的發(fā)展1994年4月20日我國使用64kbps的DDN（數(shù)字數(shù)據(jù)網(wǎng)絡）專線接入互聯(lián)網(wǎng)，標志著我國被國際上正式承認為第77個接入互聯(lián)網(wǎng)的國家。同年5月，中國科學院高能物理研究所設立了我國的第一個萬維網(wǎng)服務器。同年9月，中國公用計算機互聯(lián)網(wǎng)CHINANET正式啟動。目前，我國建造并使用的5個規(guī)模較大的全國范圍內的公用計算機網(wǎng)絡，包括：（1）中國電信互聯(lián)網(wǎng)CHINANET（也就是原來的中國公用計算機互聯(lián)網(wǎng)）；（2）中國聯(lián)通互聯(lián)網(wǎng)UNINET；（3）中國移動互聯(lián)網(wǎng)CMNET；（4）中國教育和科研計算機網(wǎng)CERNET；（5）中國科學技術網(wǎng)CSENET。5.3Internet技術及應用5.3.1Internet發(fā)展史

Internet在我國的發(fā)展截至2021年6月，我國網(wǎng)民規(guī)模達10.11億（其中手機網(wǎng)民規(guī)模達10.07億），互聯(lián)網(wǎng)普及率達71.6%，形成了全球規(guī)模最大、應用滲透最強的數(shù)字社會，互聯(lián)網(wǎng)應用和服務的廣泛滲透構建起數(shù)字社會的新形態(tài)：8.88億人看短視頻、6.38億人看直播，短視頻、直播正在成為全民新的生活方式；8.12億人網(wǎng)購、4.69億人叫外賣，人們的購物方式、餐飲方式發(fā)生了明顯變化；3.25億人用在線教育、2.39億人用在線醫(yī)療，在線公共服務進一步便利民眾。5.3Internet技術及應用5.3.2Internet網(wǎng)絡的體系結構

TCP/IP體系結構因特網(wǎng)并沒有采用OSI體系標準，TCP/IP這個由市場、廠家產生的標準成為了現(xiàn)行的Internet網(wǎng)絡體系標準。TCP/IP體系結構采用了4層的層級結構：應用層、傳輸層、網(wǎng)絡層和網(wǎng)絡訪問層。應用層是最高層，是在功能上和用戶最接近的一層。它的作用是通過通信雙方應用進程之間的交互來向雙方提供相應功能的服務，應用進程就是指當前主機中正在運行的程序。不同的服務提供不同的網(wǎng)絡功能，不同的應用層協(xié)議提供不同的網(wǎng)絡應用，在應用層有很多熟知的應用層協(xié)議，如HTTP協(xié)議、DNS協(xié)議、FTP協(xié)議、SMTP協(xié)議等。5.3Internet技術及應用5.3.2Internet網(wǎng)絡的體系結構

TCP/IP體系結構傳輸層的作用是向通信雙方應用層的會話或者說正在交互的應用層進程提供端到端的數(shù)據(jù)傳輸和數(shù)據(jù)控制服務。傳輸層主要的協(xié)議有：TCP協(xié)議（TransmissionControlProtocol）、UDP協(xié)議（UserDatagramProtocol）。網(wǎng)絡層將傳輸層產生的報文封裝成分組，并選擇合適的路由，通過網(wǎng)絡中的路由器一步一步的將分組傳遞給目的主機?；ヂ?lián)網(wǎng)上使用的網(wǎng)絡層協(xié)議是網(wǎng)際協(xié)議IP（InternetProtocol），故互聯(lián)網(wǎng)的網(wǎng)絡層也常常叫做網(wǎng)際層或者IP層。5.3Internet技術及應用5.3.2Internet網(wǎng)絡的體系結構

TCP/IP體系結構網(wǎng)絡訪問層，包含了OSI模型中的數(shù)據(jù)鏈路層（DataLinkLayer）和物理層（PhysicalLayer）。數(shù)據(jù)鏈路層常用的協(xié)議有：PPP協(xié)議（PointtoPointProtocol）、CSMA/CD協(xié)議（CarrierSenseMultipleAccesswithCollisionDetection）、FR協(xié)議（FrameRelay）等；物理層的協(xié)議有很多，如：10BASE2，10BASE5，100BASE-TX、DSL、SONET/SDH、EIARS-232、USB、Bluetooth等。5.3Internet技術及應用應用層運輸層網(wǎng)際層網(wǎng)絡接口層主機A主機B路由器網(wǎng)絡

2網(wǎng)絡

1應用層運輸層網(wǎng)際層網(wǎng)絡接口層網(wǎng)際層網(wǎng)絡接口層4321路由器在轉發(fā)分組時最高只用到網(wǎng)絡層而沒有使用運輸層和應用層。5.3Internet技術及應用5.3.3TCP/IP協(xié)議概述

IP協(xié)議IP協(xié)議就是用來進行分組交換的，它實現(xiàn)了兩個基本的功能：分組和尋址。分組和尋址都是用IP數(shù)據(jù)報頭部的一個字段來實現(xiàn)。在數(shù)據(jù)包頭部包含有源端地址、目的端地址以及一些其它信息，可以對IP數(shù)據(jù)報進行尋址。IP數(shù)據(jù)報的頭部含有源IP地址和目標IP地址。IP地址由32位二進制組成，每八位用“.”隔開。轉換成十進制來表示即點分十進制記法，例如。點分十進制記法10000000000010110000001100011111機器中存放的IP地址是32位二進制代碼10000000000010110000001100011111每隔8位插入一個空格能夠提高可讀性采用點分十進制記法則進一步提高可讀性1128

11331將每8位的二進制數(shù)轉換為十進制數(shù)5.3Internet技術及應用5.3.3TCP/IP協(xié)議概述

IP協(xié)議每一類IP地址都由兩個固定長度的字段組成，其中一個字段是網(wǎng)絡號net-id，它標志主機（或路由器）所連接到的網(wǎng)絡，而另一個字段則是主機號host-id，它標志該主機（或路由器）。兩級的IP地址可以記為：IP地址::={<網(wǎng)絡號>,<主機號>}，::=代表“定義為”IP地址共分為五類，依次是A類、B類、C類、D類、E類。其中在互聯(lián)網(wǎng)中最常使用的A、B、C三大類，而D類主要用于廣域網(wǎng)比較多一點，作用用于多播，E類地址是保留地址主要用于科研使用。net-id24位host-id24位net-id16位net-id8位IP地址中的網(wǎng)絡號字段和主機號字段0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101A類地址的網(wǎng)絡號字段net-id為1字節(jié)B類地址的網(wǎng)絡號字段net-id為2字節(jié)C類地址的網(wǎng)絡號字段net-id為3字節(jié)A類地址的主機號字段host-id為3字節(jié)B類地址的主機號字段host-id為2字節(jié)C類地址的主機號字段host-id為1字節(jié)net-id24位host-id24位net-id16位net-id8位IP地址中的網(wǎng)絡號字段和主機號字段0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101D類地址是多播地址

E類地址保留為今后使用

5.3Internet技術及應用5.3.3TCP/IP協(xié)議概述

IP協(xié)議A、B、C三類IP地址的使用范圍。網(wǎng)絡最大第一個最后一個每個網(wǎng)絡類別網(wǎng)絡數(shù)可用的可用的中最大的網(wǎng)絡號網(wǎng)絡號主機數(shù)

A126(27–2)1.x.x.x126.x.x.x16,777,214B16,383(214

1)128.1.x.x191.255.x.x65,534C2,097,151(2211)192.0.1.x223.255.255.x2545.3Internet技術及應用5.3.3TCP/IP協(xié)議概述子網(wǎng)與子網(wǎng)掩碼為了解決IP地址空間利用率低、兩級IP地址不靈活的缺點，人們在二級IP地址中增加了“子網(wǎng)號”字段，形成了三級IP地址的概念。子網(wǎng)延伸了IP地址的網(wǎng)絡部分，以允許將一個網(wǎng)絡分解為一些邏輯段（子網(wǎng)），這樣子將兩級IP地址（IP地址：網(wǎng)絡號+主機號）變化為三級IP地址（IP地址：網(wǎng)絡號+子網(wǎng)號+主機號）。子網(wǎng)掩碼的長度是32位，也是4個8位的二進制數(shù)，再對應轉換成4個十進制數(shù)，將IP地址和子網(wǎng)掩碼按位相“與”，就可以得到網(wǎng)絡子網(wǎng)ID，再根據(jù)IP地址的分類，可以確定出來網(wǎng)絡ID和子網(wǎng)ID，IP地址“減去”網(wǎng)絡位后剩下的部分，就是主機位（主機號碼）。5.3Internet技術及應用5.3.3TCP/IP協(xié)議概述子網(wǎng)與子網(wǎng)掩碼IP地址： 11001011010001000010111100110010即0，C類地址子網(wǎng)掩碼： 11111111111111111111111111110000即40子網(wǎng)網(wǎng)絡地址：11001011010001000010111100110000即8網(wǎng)絡號碼：110010110100010000101111 即203.68.47子網(wǎng)號碼：0011即3主機號碼：0010即2。5.3Internet技術及應用5.3.3TCP/IP協(xié)議概述私有IP地址IP地址按使用用途分為私有地址和公有地址兩種，所謂私有地址就是只能在局域網(wǎng)內使用，廣域網(wǎng)中是不能使用的。私有IP地址的主機不能直接訪問Internet，由網(wǎng)關（路由器）把私有IP地址轉換為對外的公有IP地址（NAT網(wǎng)絡地址轉換），才可以訪問Internet。公有地址是在廣域網(wǎng)內使用的地址，但在局域網(wǎng)也同樣可以使用。局域網(wǎng)內使用私有IP，節(jié)約了共有IP地址資源。類別地址塊地址范圍A1~55B16~55C256~555.3Internet技術及應用5.3.3TCP/IP協(xié)議概述

IPv6技術解決IP地址耗盡問題的根本措施就是采用具有更大地址空間的IPv6技術，IPv6是InternetProtocolVersion6的縮寫。IPv6是互聯(lián)網(wǎng)工程任務組（InternetEngineeringTaskForce，IETF）設計的用于替代現(xiàn)行版本IP協(xié)議（IPv4）的下一代IP協(xié)議,IPv6設計采用128位固定長度的地址方案。IPv6具有以下幾個優(yōu)勢：1.IPv6具有更大的地址空間。IPv4中規(guī)定IP地址長度為32位，即有232-1個地址；而IPv6中IP地址的長度為128位，即有2128-1個地址。2.IPv6使用更小的路由表，提高了路由器轉發(fā)數(shù)據(jù)包的速度。5.3Internet技術及應用5.3.3TCP/IP協(xié)議概述

IPv6技術3.IPv6增加了增強的組播（Multicast）支持以及對流的支持（FlowControl），這使得網(wǎng)絡上的多媒體應用有了長足發(fā)展的機會，為服務質量（QualityofService，QoS）控制提供了良好的網(wǎng)絡平臺。4.IPv6加入了對自動配置（AutoConfiguration）的支持。這是對DHCP協(xié)議的改進和擴展，使得網(wǎng)絡（尤其是局域網(wǎng)）的管理更加方便和快捷。5.IPv6具有更高的安全性。在使用IPv6網(wǎng)絡中用戶可以對網(wǎng)絡層的數(shù)據(jù)進行加密并對IP報文進行校驗，極大的增強了網(wǎng)絡的安全性。目前互聯(lián)網(wǎng)處在IPv4向IPv6的過渡期，為了確保IPv6向后兼容IPv4，可以采用雙協(xié)議棧和隧道技術兩種策略。5.3Internet技術及應用5.3.3TCP/IP協(xié)議概述

UDP/TCP協(xié)議在網(wǎng)絡環(huán)境中，標識一個進程必須同時使用IP地址和端口號（可理解為主機上的進程號）。在網(wǎng)絡術語中，采用套接字（Socket）來表示IP地址和進程對應的端口號，記做：socket=IP地址：端口號。在TCP/UDP協(xié)議中，端口號的數(shù)值取0~65535之間的整數(shù)。UDP協(xié)議的主要特點表現(xiàn)為：1.UDP協(xié)議是一種無連接的、不可靠的傳輸層協(xié)議。2.UDP協(xié)議是一種面向報文的傳輸服務。UDP協(xié)議的特點，使得UDP協(xié)議在視頻點播、簡短的交互式應用、多播與廣播的場景中得到了廣泛應用。5.3Internet技術及應用5.3.3TCP/IP協(xié)議概述

UDP/TCP協(xié)議TCP協(xié)議的特點主要表現(xiàn)為：1.TCP協(xié)議支持面向連接的傳輸服務。2.TCP協(xié)議支持字節(jié)流的傳輸。3.TCP協(xié)議支持全雙工通信。4.TCP協(xié)議支持同時建立多個并發(fā)的TCP連接。5.TCP協(xié)議支持可靠的傳輸服務。TCP協(xié)議是一種可靠的傳輸服務協(xié)議，它使用滑動窗口和確認機制檢查數(shù)據(jù)是否安全和完整地到達，并且提供擁塞控制功能。因此適用于要求可靠傳輸?shù)膽?，例如文件傳輸，網(wǎng)絡數(shù)據(jù)庫，分布式高精度計算系統(tǒng)的數(shù)據(jù)傳輸?shù)鹊取?.3Internet技術及應用5.3.4Internet典型服務和應用

Internet典型應用www和Internet瀏覽器WWW的全稱為WorldWideWeb，簡稱為Web，中文名稱為萬維網(wǎng)，通過它用戶可以閱讀新聞、查詢資料，乃至和遠方的用戶實現(xiàn)聲音和圖像的交互。WWW采用客戶端/服務器模式，由客戶端或瀏覽器（Client）、服務器端（Server）和超文本傳輸協(xié)議HTTP三部分組成。Web服務器是WWW的核心部件，存儲大量的Web頁面并連接后臺數(shù)據(jù)庫，隨時等待響應Web瀏覽器發(fā)來的請求，并在執(zhí)行查詢后將結果返回給瀏覽器，瀏覽器將根據(jù)請求的資源類型做相應的處理。

Web瀏覽器，與位于URL指定的計算機上的服務器進行通訊來請求文檔，然后瀏覽器向用戶顯示文檔。5.3Internet技術及應用5.3.4Internet典型服務和應用

Internet典型應用搜索引擎通過搜索引擎，用戶可以在Internet的海量信息庫中快速找到自己感興趣的信息。搜索引擎提供的信息導航服務已經(jīng)成為Internet上非常重要的網(wǎng)絡服務，搜索引擎站點被譽為“網(wǎng)絡門戶”，成為人們獲取Internet信息資源的主要檢索工具和手段，也成了網(wǎng)絡信息檢索工具的代名詞。著名的搜索服務網(wǎng)站如國外的Google、Bing、Yahoo，國內的百度（）、搜狗（）、搜搜（）、中搜（）、360搜索（）等。5.3Internet技術及應用5.3.4Internet典型服務和應用

Internet典型應用電子郵件電子郵件（E-Mail）服務是目前最常見、應用最廣泛的一種互聯(lián)網(wǎng)服務。通過電子郵件，可以與Internet上的任何人交換信息。電子郵件的快速、高效、方便以及價廉，得到了越來越廣泛的應用。電子郵件的發(fā)送和接收過程需要遵循專門的電子郵件協(xié)議。目前，電子郵件系統(tǒng)所采用的協(xié)議最常用的是POP3和SMTP。

E-Mail象普通的郵件—樣，也需要地址。電子郵件地址分為兩部分，其典型格式為：收件人郵箱名@郵件服務器域名，如zhangsan@163.com。網(wǎng)絡安全基礎第5章045.4網(wǎng)絡安全基礎5.4.1網(wǎng)絡安全基本概念網(wǎng)絡安全的基本概念被動攻擊和主動攻擊

被動攻擊是指攻擊者從網(wǎng)絡上竊聽他人的通信內容，通常把這類攻擊稱為截獲。在被動攻擊中，攻擊者只是竊聽、觀察和分析數(shù)據(jù)（可能是在網(wǎng)絡中的任何層面）而不去干擾信息流（對方察覺不到）。主動攻擊通常使用篡改、偽造、惡意程序、拒絕服務DoS（DenialofService）等形式。對付被動攻擊，可以采用數(shù)據(jù)加密技術，使得竊聽者理解不了信息內容；對付主動攻擊，可以采取適當?shù)拇胧┘右詸z測對方身份，需要將加密技術和適當?shù)蔫b別技術相結合。5.4網(wǎng)絡安全基礎5.4.1網(wǎng)絡安全基本概念網(wǎng)絡安全的基本概念安全網(wǎng)絡的目標

一個安全的計算機網(wǎng)絡，應該能夠應對各種攻擊，設法達到理想的目標：保密性、端點鑒別、信息的完整性、運行的安全性。保密性就是只有信息的發(fā)送方和接收方才能懂得信息的內容，而信息的竊聽者則看不懂所截獲的信息。安全的計算機網(wǎng)絡必須能夠鑒別信息的發(fā)送方和接收方的真實身份，端點鑒別在應對主動攻擊時是非常重要的。信息的保密性和完整性是不同的概念，確認所收到的信息是完整的，內容沒有被他人篡改過，這就是信息的完整性。為了應對惡意程序和DoS攻擊，確保計算機系統(tǒng)和網(wǎng)絡運行的安全性，必須對訪問網(wǎng)絡的權限加以控制，并規(guī)定每個用戶的訪問權限。5.4網(wǎng)絡安全基礎5.4.2加密與認證技術加密與認證技術加密與解密數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種加密算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來內容，通過這樣的途徑來達到保護數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉化為其原來數(shù)據(jù)的過程。加密是從古至今防范信息泄露最常用的手段，“置位”與“易位”是加密的基本原理。加密算法是相對穩(wěn)定的，可以把加密算法視為常量，而密鑰視為變量。如果事先約定好規(guī)則，對每一個新的信息改變一次密鑰（一次一密），或者定期更換密鑰，就可以提高系統(tǒng)安全性。5.4網(wǎng)絡安全基礎5.4.2加密與認證技術加密與認證技術凱撒密碼

凱撒密碼屬于一種“置位”密碼，它將一組明文字母用另一組偽裝（置位后的）的字母來表示。5.4網(wǎng)絡安全基礎

明文X

截獲密文Y加密密鑰Ke明文X密文Y截取者篡改ABE

運算加密算法D運算解密算法因特網(wǎng)解密密鑰Kd5.4網(wǎng)絡安全基礎5.4.2加密與認證技術加密與認證技術私密密鑰密碼體制和公開密鑰密碼體制私密密鑰密碼體制又稱為對稱密鑰密碼體制，即加密密鑰Ke與解密密鑰Kd是相同的密碼體制。私密密鑰系統(tǒng)的保密性主要取決于密鑰的安全性，它存在著通信雙方之間如何確保密鑰安全交換的問題。密鑰在雙方之間的傳遞和分發(fā)必須通過安全通道進行，如果被第三方獲取就會造成失密，在公共網(wǎng)絡上使用明文傳遞密鑰是不安全、不可靠的。典型的對稱加密算法，如DES和IDEA。5.4網(wǎng)絡安全基礎5.4.2加密與認證技術加密與認證技術私密密鑰密碼體制和公開密鑰密碼體制公開密鑰密碼體制，又稱為非對稱密鑰密碼體制，其最大特點是采用不同的加密、解密密鑰。在公開密鑰密碼體制下，加密算法E和解密算法D都是公開的，每個用戶都擁有兩把密鑰，一個公鑰Ke公開用于加密，另一個私鑰Kd自己專用用于解密，兩個密鑰是成對出現(xiàn)的，但不能通過公鑰Ke計算得到私鑰Kd。5.4網(wǎng)絡安全基礎5.4.2加密與認證技術加密與認證技術私密密鑰密碼體制和公開密鑰密碼體制公開密鑰密碼體制，又稱為非對稱密鑰密碼體制，其最大特點是采用不同的加密、解密密鑰。在公開密鑰密碼體制下，加密算法E和解密算法D都是公開的，每個用戶都擁有兩把密鑰，一個公鑰Ke公開用于加密，另一個私鑰Kd自己專用用于解密，兩個密鑰是成對出現(xiàn)的，但不能通過公鑰Ke計算得到私鑰Kd。任何加密方法的安全性取決于密鑰的長度，以及攻破密文所需的計算量。在這方面，公開密鑰密碼體制不如傳統(tǒng)私密密鑰體制有優(yōu)勢。

5.4網(wǎng)絡安全基礎5.4.2加密與認證技術加密與認證技術公開密鑰密碼體制的特點

1.發(fā)送者A用B的公鑰PKB對明文X

加密（E

運算）后，在接收者B用自己的私鑰SKB解密（D

運算），即可恢復出明文：2.解密密鑰是接收者專用的秘鑰，對其他人都保密。加密密鑰是公開的，但不能用它來解密，即：3.加密和解密的運算可以對調，即：5.4網(wǎng)絡安全基礎5.4.2加密與認證技術加密與認證技術公開密鑰密碼體制的特點

4.在計算機上可容易地產生成對的PK和SK；從已知的PK實際上不可能推導出SK，即從PK到SK是“計算上不可能的”；加密和解密算法都是公開的。典型的非對稱加密算法，如RSA算法、Elgamal、背包算法、Rabin、D-H、ECC（橢圓曲線加密算法）等。具有保密性的數(shù)字簽名/認證核實簽名解密加密簽名E

運算D運算明文X明文X

ABA的私鑰SKA因特網(wǎng)E

運算B的私鑰SKBD運算加密與解密簽名與核實簽名B的公鑰PKBA的公鑰PKA密文5.4網(wǎng)絡安全基礎5.4.2加密與認證技術鑒別技術報文鑒別

在信息的安全領域中，對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改和偽造則要用鑒別(authentication)。

報文鑒別使得通信的接收方能夠驗證所收到的報文（發(fā)送者和報文內容、發(fā)送時間、序列等）的真?zhèn)?。使用加密就可達到報文鑒別的目的。但在網(wǎng)絡的應用中，許多報文并不需要加密但卻需要數(shù)字簽名，以便讓報文的接收者能夠鑒別報文的真?zhèn)巍?.4網(wǎng)絡安全基礎5.4.2加密與認證技術鑒別技術實體鑒別實體鑒別和報文鑒別不同。報文鑒別是對每一個收到的報文都要鑒別報文的發(fā)送者，而實體鑒別是在系統(tǒng)接入的全部持續(xù)時間內對和自己通信的對方實體只需驗證一次。

最簡單的實體鑒別過程A發(fā)送給B的報文的被加密，使用的是對稱密鑰KAB。B收到此報文后，用共享對稱密鑰KAB進行解密，因而鑒別了實體A的身份（B認為只有A才知道A的口令以及密鑰KAB）。漏洞：入侵者C可以從網(wǎng)絡上截獲A發(fā)給B的報文。C并不需要破譯這個報文（因為這可能很花很多時間）而可以直接把這個由A加密的報文發(fā)送給B，使B誤認為C就是A。然后B就會向偽裝是A的C發(fā)送應發(fā)給A的報文。這就叫做重放攻擊(replayattack)。C甚至還可以截獲A的IP地址，然后把A的IP地址冒充為自己的IP地址（這叫做IP欺騙），使B更加容易受騙。ABA,口令KAB使用不重數(shù)進行鑒別ABA,RARBKABRARBKAB,時間為了對付重放攻擊，可以使用不重數(shù)(nonce)。不重數(shù)就是一個不重復使用的大隨機數(shù)，即“一次一數(shù)”。5.4網(wǎng)絡安全基礎

5.4網(wǎng)絡安全基礎5.4.2加密與認證技術完整性鑒別完整性鑒別，也就是報文的完整性鑒別（簡稱報文鑒別），它對每一個收到的報文都要鑒別，判斷是否被篡改，技術上主要是通過密碼散列函數(shù)（cryptographichashfunction）來實現(xiàn)的。密碼散列函數(shù)的特點：1.散列函數(shù)（也稱為哈希函數(shù)）的輸入長度可以很長，但其輸出長度則是固定的，并且較短。散列函數(shù)的輸出叫做散列值。2.由于散列函數(shù)輸出長度固定，輸出的組合是有限的，而輸入長度可以很長，輸入的組合可視為無限），所以不同的散列值肯定其輸入是不同的，但不同的輸入?yún)s可能得出相同的散列值。3.密碼散列函數(shù)的重要特點就是：要找到兩個不同的報文，它們具有相同的散列值，在計算上是不可行的，這也就是說，密碼散列函數(shù)實際上是一種單向函數(shù)（由輸出找到輸入是不可行的）。5.4網(wǎng)絡安全基礎5.4.2加密與認證技術完整性鑒別報文原文“HelloWorld”從A傳送給B（中途可能會被篡改，內容變化），如何讓B知道自己收到的報文是正確的，沒有被篡改過？可以在原報文“HelloWorld”后面加上1個字節(jié)的鑒別檢測字段Check，為了方便讀者理解和計算，該字段的值等于原報文中各個字符的ASCII碼值之和對256求余，因此：Check=（72+101+108+108+111+87+111+114+108+100）%256=1020%256=252將原報文和加密后的Check字段（加密后竊聽者無法修改Check字段）一起發(fā)給B，

如果傳輸過程中，原報文內容被篡改過，變成了“HelloKitty”，那么B收到的是：{“HelloKitty”，E(252)}，其中的E(252)代表的是Check字段加密后的密文。B通過解密，知道這次傳輸?shù)膱笪腃heck值應該是252，收到的報文是“HelloKitty”，B重新鑒別Check，得到：Check=9≠252。收到報文的Check值并不等于原報文的Check，因此，B就知道原報文內容被篡改過了。5.4網(wǎng)絡安全基礎5.4.2加密與認證技術完整性鑒別上述的例子中，鑒別檢測字段Check是一個不夠好的散列函數(shù)，很容易讓竊聽者找到規(guī)律，并讓篡改的內容和原報文都取得同樣的值（這被稱為“碰撞”），比如原文修改為“HdlloWorle”。實際的密碼散列函數(shù)往往很復雜的，很難出現(xiàn)碰撞的情況，典型的實用的密碼散列函數(shù)有MD5和SHA-1、SHA-2、SHA-3。如果原報文{X，H(X)}被截獲，那么竊聽者也無法偽造或篡改出另一個明文Y，使得H(Y)=H(X)。因此，散列函數(shù)H(X)可以用來保護明文X的完整性。5.4網(wǎng)絡安全基礎5.4.3網(wǎng)絡安全協(xié)議網(wǎng)絡層安全協(xié)議IPSecIPSec由IETF制定，面向TCMP，它為IPv4和IPv6協(xié)議提供基于加密安全的協(xié)議。IPSec主要功能為加密和認證，為了進行加密和認證，IPSec還需要有密鑰的管理和交換的功能，以便為加密和認證提供所需要的密鑰并對密鑰的使用進行管理。IPSec的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。5.4網(wǎng)絡安全基礎5.4.3網(wǎng)絡安全協(xié)議安全套接層協(xié)議SSLSSL的英文全稱是“SecureSocketsLayer”，中文名為“安全套接層協(xié)議”。SSL協(xié)議指定了一種在應用程序協(xié)議(如HTTP、Telnet、NNTP和FTP等)和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機制，它為TCP/IP連接提供數(shù)據(jù)加密、服務器認證、消息完整性以及可選的客戶機認證。瀏覽器上使用https訪問的網(wǎng)頁，在輸入用戶名和密碼進行登錄的時候，http就調用SSL對網(wǎng)頁內容進行加密，提高安全性。5.4網(wǎng)絡安全基礎5.4.4防火墻和入侵檢測系統(tǒng)防火墻和入侵檢測系統(tǒng)針對用戶入侵、軟件入侵或者攻擊可以使用入侵檢測技術和防火墻技術來防范。防火墻是一種特殊的路由器，用來連接兩個網(wǎng)絡并控制兩個網(wǎng)絡之間相互訪問規(guī)則，它包括用于網(wǎng)絡連接的軟件和硬件以及控制訪問的策略，用于對進出的所有數(shù)據(jù)進行分析，并對用戶進行認證，從而防止有害信息進入受保護的網(wǎng)絡，為網(wǎng)絡提供安全保障。防火墻是確保內部網(wǎng)絡安全的第一道關卡，但卻不可能阻止所有的入侵行為，所以系統(tǒng)的第二道關卡是入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）。5.4網(wǎng)絡安全基礎5.4.4防火墻和入侵檢測系統(tǒng)防火墻和入侵檢測系統(tǒng)IDS對進入網(wǎng)絡的分組執(zhí)行深度檢查，當觀察到可疑分組時，向網(wǎng)絡管理員發(fā)出告警甚至執(zhí)行阻斷操作。IDS可以檢測到多種網(wǎng)絡攻擊，包括網(wǎng)絡映射、DoS攻擊、端口掃描、蠕蟲和病毒、系統(tǒng)漏洞攻擊等等。入侵檢測方法一般可分為基于特征的入侵檢測和基于異常的入侵檢測兩種。。5.4網(wǎng)絡安全基礎5.4.4防火墻和入侵檢測系統(tǒng)蜜罐技術蜜罐（honeypot）是一個包含漏洞的誘騙系統(tǒng)，通過模擬一個主機、服務器或者其他網(wǎng)絡設備，給攻擊者提供一個容易攻擊的目標（替身），用來被攻擊和攻陷，從而保護真正的網(wǎng)絡目標（真身）。物聯(lián)網(wǎng)技術第5章055.5物聯(lián)網(wǎng)技術5.5.1物聯(lián)網(wǎng)技術概述物聯(lián)網(wǎng)技術的概念物聯(lián)網(wǎng)的英文名稱為“TheInternetofThings”，簡稱IoT，由該名稱可見，物聯(lián)網(wǎng)就是“物物相連的互聯(lián)網(wǎng)”。從網(wǎng)絡結構上看，物聯(lián)網(wǎng)就是通過Internet將眾多信息傳感設備與應用系統(tǒng)連接起來并在廣域網(wǎng)范圍內對物品身份進行識別的分布式系統(tǒng)。物聯(lián)網(wǎng)的定義：通過射頻識別（RFID）裝置、紅外感應器、全球定位系統(tǒng)GPS、激光掃描器等信息傳感設備，按約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)相連接，進行信息交換和通信，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡。5.5物聯(lián)網(wǎng)技術5.5.1物聯(lián)網(wǎng)技術概述物聯(lián)網(wǎng)的特征1.全面感知

利用射頻識別RFID、傳感器、二維碼等技術隨時隨地獲取物體的信息。2.可靠傳遞通過無線網(wǎng)絡與互聯(lián)網(wǎng)的融合，將物體的信息實時準確地傳遞給用戶。3.智能處理利用云計算、數(shù)據(jù)挖掘以及模糊識別等人工智能（ArtificialIntelligence，AI）技術，對海量的數(shù)據(jù)和信息進行分析和處理，對物體實施智能化的控制。5.5物聯(lián)網(wǎng)技術5.5.1物聯(lián)網(wǎng)技術概述物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的區(qū)別1.物聯(lián)網(wǎng)提供行業(yè)性、專業(yè)性與區(qū)域性的服務，是網(wǎng)絡技術在社會各行業(yè)各領域應用上的進一步滲透和升級

互聯(lián)網(wǎng)的應用服務，是面向普通大眾的，有“通用”的性質；而物聯(lián)網(wǎng)是面向行業(yè)、專業(yè)、區(qū)域性的應用領域，具有“專用”的性質。2.物聯(lián)網(wǎng)的數(shù)據(jù)主要是自動方式產生的互聯(lián)網(wǎng)上的信息，以人工的方式生成的；物聯(lián)網(wǎng)上的信息，自動產生和傳輸?shù)摹?.物聯(lián)網(wǎng)是可反饋、可控制的閉環(huán)系統(tǒng)互聯(lián)網(wǎng)一般提供的是開環(huán)的信息服務，而物聯(lián)網(wǎng)主要提供閉環(huán)的控制服務，典型的物聯(lián)網(wǎng)系統(tǒng)都是可反饋、可控制的。5.5物聯(lián)網(wǎng)技術5.5.2物聯(lián)網(wǎng)的組成物聯(lián)網(wǎng)的組成物聯(lián)網(wǎng)的體系架構分為4層：感知層、網(wǎng)絡傳輸層、平臺支撐層、應用層。5.5物聯(lián)網(wǎng)技術5.5.2物聯(lián)網(wǎng)的組成物聯(lián)網(wǎng)的組成物聯(lián)網(wǎng)感知層

感知層的功能主要是完成識別物體、感知環(huán)境和信息采集，包括各類物理量、標識、音頻、視頻等數(shù)據(jù)。物聯(lián)網(wǎng)的數(shù)據(jù)采集涉及傳感器、射頻識別RFID、多媒體信息采集、二維碼和實時定位等技術。物聯(lián)網(wǎng)網(wǎng)絡傳輸層物聯(lián)網(wǎng)網(wǎng)絡傳輸層可以分為接入層、匯聚層與核心交換層。接入層網(wǎng)絡技術類型可以分為兩類：無線接入與有線接入。無線接入技術有：無線局域網(wǎng)、無線個人區(qū)域網(wǎng)技術與移動通信網(wǎng)中的機器到機器（M2M）通信等。有線接入主要有：現(xiàn)場總線網(wǎng)接入、電力線接入、電視電纜與電話線接入等。5.5物聯(lián)網(wǎng)技術5.5.2物聯(lián)網(wǎng)的組成物聯(lián)網(wǎng)的組成物聯(lián)網(wǎng)網(wǎng)絡傳輸層匯聚層的網(wǎng)絡技術也可以分為無線與有線兩類。無線網(wǎng)絡技術主要有：無線個人區(qū)域網(wǎng)、無線局域網(wǎng)、無線城域網(wǎng)、2G/3G/4G/5G移動通信的M2M通信，以及專用無線通信技術。有線網(wǎng)絡技術主要有：局域網(wǎng)、工業(yè)現(xiàn)場總線網(wǎng)標準，以及電話交換網(wǎng)技術。目前物聯(lián)網(wǎng)核心交換層分為三種基本結構：IP網(wǎng)、非IP網(wǎng)和混合結構。非IP網(wǎng)主要是指移動通信網(wǎng)（2G/3G/4G/5G）傳輸網(wǎng)與專用無線通信網(wǎng)（Zigbee等）。5.5物聯(lián)網(wǎng)技術5.5.2物聯(lián)網(wǎng)的組成物聯(lián)網(wǎng)的組成物聯(lián)網(wǎng)平臺支撐層當前的物聯(lián)網(wǎng)平臺支撐層往往通過云平臺（云計算技術）來構建的，主要包含物聯(lián)網(wǎng)終端設備接入、設備管理、安全管理、消息通信、監(jiān)控運維以及數(shù)據(jù)應用等功能。常見的國內物聯(lián)網(wǎng)云平臺有：中國移動物聯(lián)網(wǎng)開放平臺OneNET、阿里云IoT、華為IoT物聯(lián)網(wǎng)（OceanConnect）平臺等；國外的有亞馬遜AWSIoT、微軟AzureIoT、IBMWatsonIoT等。物聯(lián)網(wǎng)應用層物聯(lián)網(wǎng)應用層可以對感知層采集的數(shù)據(jù)進行計算、處理和知識挖掘，從而實現(xiàn)對物理世界的實時控制、精確管理和科學決策。。5.5物聯(lián)網(wǎng)技術5.5.3物聯(lián)網(wǎng)相關技術物聯(lián)網(wǎng)中的無線通信技術當前物聯(lián)網(wǎng)接入方式更多的是使用無線方式，包括有短距離通信的WiFi、Zigbee、Bluetooth藍牙、NFC近場通信、UWB超寬帶技術等；遠距離廣域網(wǎng)通信的LoRa、NB-IoT、LTECat0/1、移動通信2G/3G/4G/5G等技術。標準名稱2G(GPRS/GSM/CDMA)WiFi(802.11b)藍牙(802.15.1)ZigBee(802.15.4)應用重點廣泛范圍（語音通話、短信、數(shù)據(jù)）Web應用、圖像、語音等傳輸有線電纜替代品檢測和控制等傳感網(wǎng)占用的硬件資源(KB、MB)16MB+1MB+250KB+4~128KB電池壽命(天)1~70.5~51~7100~1000+網(wǎng)絡大小-327255/65000帶寬(KB/s)64~128+11000+72020~250傳輸距離(米)1000+1~1001~10+1~100成功尺度(優(yōu)勢)覆蓋面大、質量可靠速度、靈活價格便宜、方便自組網(wǎng)可靠、低功耗、價格便宜5.5物聯(lián)網(wǎng)技術5.5.3物聯(lián)網(wǎng)相關技術物聯(lián)網(wǎng)中的無線通信技術6LoWPAN技術為滿足低功耗、弱計算能力和有損耗的無線網(wǎng)絡環(huán)境下網(wǎng)絡自組織需求，需要對IPv6路由機制進行改進，IETF6LoWPAN和Roll工作組制定了將IPv6網(wǎng)絡技術應用于低功耗、低傳送速率的無線傳感器網(wǎng)絡的相關技術標準6LoWPAN。6LoWPAN技術具有無線低功耗、自組織網(wǎng)絡的特點，是物聯(lián)網(wǎng)感知層、無線傳感器網(wǎng)絡的重要技術。5.5物聯(lián)網(wǎng)技術5.5.3物聯(lián)網(wǎng)相關技術物聯(lián)網(wǎng)中的無線通信技術LoRa和NB-IoT技術物聯(lián)網(wǎng)的快速發(fā)展對無線通信技術提出了更高的要求，專為低帶寬、低功耗、遠距離、大量連接的物聯(lián)網(wǎng)應用而設計的LPWAN低功耗廣域網(wǎng)也快速興起。NB-IoT與LoRa是其中的典型代表。比較項NB-IoTLoRa技術特點蜂窩通信線性擴頻網(wǎng)絡部署與現(xiàn)有蜂窩基站復用，運營商和云數(shù)據(jù)中心掌管數(shù)據(jù)獨立建網(wǎng)，用戶自己掌管數(shù)據(jù)頻段運營商頻段，授權頻段150Mhz~1Ghz，非授權頻段傳輸距離遠距離（基站覆蓋范圍）遠距離（1~20Km）速率200kbps0.3~50kbps連接節(jié)點數(shù)量200K/cell200K~300K/hub終端電池壽命約10年約1