计算机网络与信息安全课件-第1章 绪论.docx

《计算机网络与信息安全课件-第1章 绪论.docx》由会员分享，可在线阅读，更多相关《计算机网络与信息安全课件-第1章 绪论.docx（16页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第16页 共16页第一章 绪论TCP/IP的成功应用把全世界的计算机和网络连接到一起，形成了一个开放性的全球网络系统互联网。自1988年起，互联网的规模就保持着每年翻一番的增长速度。美国国会图书馆印刷品的信息量也不过是10万亿字节，而根据2003年3月IDC最新调查预测，到2007年，互联网流动的信息量，包括访问、下载等的数据，每天都会是美国国会图书馆信息量的64000倍。终端用户互联网通信量将会提高28到29倍。但互联网的安全状况却并不乐观。随着商业、政务、金融等不同领域在互联网上业务的开展，越来越多不同背景和不同动机的参与者

2、加入到互联网环境中，现实社会中的各种违法犯罪行为在互联网中也不断出现，互联网不再是当初以教育和科研为主要目的的校园式互信开放环境，它已成为最主要的网络攻击目标，其安全漏洞的出现速度实际上已经超过了互联网规模的增长速度。便捷的网络环境，拉近了攻防双方的距离。1988年11月Robert T. Morris的“Internet蠕虫”事件，导致数以千计的联网主机遭受攻击，引起了全社会对安全问题的关注。随着互联网的快速发展，各种网络攻击，如IP欺骗、TCP连接劫持、拒绝服务、网络窃听等明显增多，而伴随动态Web而出现的各种新技术，为网络攻击提供了更多的可能性。信息安全的研究是伴随着计算机的普及和发展而

3、兴起的，网络环境下复杂的安全状况更推动了信息安全领域研究的发展和深入。防火墙、入侵检测系统和密码学等领域的研究蓬勃发展，各国计算机应急事件反应小组相继成立，信息安全问题已经成为各国家、各部门、各行业乃至每个计算机用户极为关注的重要问题。1.1 信息安全概述1.1.1 信息安全的定义信息安全并没有统一的定义。按照美国国家安全电信和信息系统安全委员会（NSTISSC）的说法，信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。从广义来理解，这种保护手段应该不仅包括技术，还应包括策略、法规和教育等。1.1.2 信息安全的特征信息的安全性有自己的特征。这些特征体现了信息的价值，但对于不同的用户

4、来说，同样的特征却可能具有不同的价值。l 保密性：防止信息有意或无意地被非授权泄露。l 完整性：防止信息被非授权修改、保持信息的内外部一致。l 可用性：保证信息可以被授权者及时、可靠地访问。l 可控性：对信息的保密性进行控制的能力。l 不可抵赖性：信息源对信息无法否认或抵赖的特性。信息安全的主要任务就是保证信息的这些特征。1.1.3 信息安全的研究内容从学科的角度来讲，信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成，是一个以信息安全理论为核心，以信息技术、信息工程和信息管理等理论体系为支撑，以国家和社会各领域信息安全防护为应用方向的跨学科的交叉性学科群体系。该学科交叉性和边缘

5、性强，应用领域面宽，是一个庞大的学科群体系，涉及计算机科学与技术、通信工程、电子工程、物理、数学等多个学科，横跨理科、工科和军事学等三个门类，涉及的知识点也非常庞杂。随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域，它综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果，进行自主创新研究，加强顶层设计，提出系统的、完整的，协同的解决方案。与其他学科相比，信息安全的研

6、究更强调自主性和创新性，自主性可以避免信息系统被别国植入后门，体现国家主权；而创新性可以抵抗各种攻击，适应技术发展的需求。就理论研究而言，一些关键的基础理论需要保密，因为从基础理论研究到实际应用的距离很短。现代信息系统中的信息安全其核心问题是密码理论及其应用，其基础是可信信息系统的构建与评估。总的来说，目前在信息安全领域人们所关注的焦点主要有以下几方面： 1） 密码理论与技术； 2） 安全协议理论与技术； 3） 安全体系结构理论与技术； 4） 信息对抗理论与技术； 5） 网络安全与安全产品。 网络的发展将信息安全的重要性带到一个前所未有的高度。网络是信息安全研究的基础。为了更好地学习信息安全知

7、识，掌握网络的攻防策略，下面将回顾些相关的计算机网络基础知识，作为全书内容的准备。1.2 网络体系结构1.2.1 ISO-OSI模型计算机网络是计算机技术和通信技术相结合的产物。自从1946年第一台电子计算机ENIVAC问世以来，由于计算机网络技术和软件技术的不断发展，人们使用计算机的方式有了根本的改变，由多人通过终端使用一台计算机到现在一人通过计算机网络使用多台计算机。计算机网络是由多个独立的计算机通过通信线路和通信设备互连起来的系统，以实现彼此交换信息和共享资源的目的。计算机网络具有以下功能：数据通信，网络系统中各相连的计算机能够相互传送数据信息，使相距很远的用户之间能够直接交换数据。资源

8、共享，网络中的软件，硬件资源如外部设备、文件系统和数据等可为多个用户所共享。并行和分布式处理，在计算机网络中用户可根据问题的性质和要求选择网内最合适的资源来处理。对于综合性的大问题，可以采用合适的算法，将任务分散到不同的计算机上进行分布和并行处理。提高可靠性，由于控制、数据、软件和硬件的分散性（不存在集中环节），资源冗余以及结构上可动态重组提高了可靠性。好的可扩充性，随着用户需求的增长，包括性能方面和功能方面的增长，只需增加新节点数，而不必替换整个系统。可扩充性可以避免较大的初始投资，另外使用多个微小型机代替一个大型主机，可以获得很好的性能价格比。随着计算机网络的日益普及，它已经应用在各个领域

9、中，我们在日常生活中常见的采用计算机的服务项目，如银行的提款机，销售点的终端，支票和发票的核实等都依赖于计算机网络。下面是计算机网络应用的一些典型领域：服务业:通过计算机网络系统进行酒店和航空公司的在线订票、订房，远程购物等等。金融服务业：现在的金融服务都依赖于计算机网络，如外汇汇兑和投资服务，电子资金转账服务等。企业管理：通过网络信息系统对企业生产、销售、财务等方面进行管理。制造业：计算机网络在制造业的多个方面包括制造过程本身，都有应用。如计算机辅助设计(CAD)和计算机辅助制造(CAM)，这两种业务都允许同时有许多用户在同一个项目上工作。电子消息传递：最广泛的应用如电子邮件。信息服务：如电

10、子公告板和WWW站点。实时信息传递：如音频和视频会议，视频点播，远程教学等。总之，计算机网络的应用已经深入到社会和经济生活的各个方面。随着计算机网络应用的不断推广和普及，网络软件的设计和开发越来越流行，目前绝大多数系统软件（例如：操作系统UNIX、Linux、Windows系列等）和应用软件是网络版的。掌握网络安全的原理和方法对于设计和开发网络应用程序是十分重要的。计算机网络要完成数据处理和数据通信两大功能。相应地，网络结构可以分成两大部分：负责数据处理的计算机和终端；负责数据通信的通信控制处理机CPP(Communication Control Processor)、通信线路。计算机网络从逻

11、辑功能上可以分为两个子网：资源子网和通信子网，其结构如图1-1。图1-1 资源子网和通信子网计算机网络由若干个相互连接的节点组成，在这些节点之间要不断地进行数据交换。要进行正确的数据传输，每个节点就必须遵守一些事先约定好的规则，这些规则就是网络协议。网络协议是在主机与主机之间、主机与通信子网之间或子网中各通信节点之间的通信而使用的，是通信双方必须遵守的，事先约定好的规则、标准或约定。一个网络协议主要由以下三个要素组成：1.语法：即数据与控制信息的结构或格式。如：数据格式、信号电平等规定。2.语义：即需要发出何种控制信息，完成何种动作，以及做出何种应答。包括用于调整和进行差错处理的控制信息。3.

12、 时序（同步）：即事件实现顺序的详细说明，包括速度匹配和顺序。为了减少网络设计的复杂性，大多数网络在设计上都是分成不同功能的多个层次的。图1-2是国际标准化组织ISO-OSI网络参考模型，图1-3是以报文传输的形式演示了图1-2中的通信过程。各层协议是通信双方在通信过程中的约定，规定有关部件在通信过程中的操作以保证正确地进行通信。各层的主要功能如下：1. 物理层：规定在一个节点内如何把计算机连接到通信介质上，规定了机械的、电气的功能；该层负责建立、保持和拆除物理链路；规定如何在此链路上传送原始比特流；比特如何编码，使用的电平，极性，连接插头插座的插脚如何分配等。所以在物理层数据的传送单位是比特

13、(bit)。2. 数据链路层：它把相邻两个节点间不可靠的物理链路变成可靠的无差错的逻辑链路，包括把原始比特流分帧、排序、设置检错、确认、重发、流控等功能；数据链路层传输信息的单位是帧(frame)，每帧包括一定数量的数据和一些必要的控制信息，在每帧的控制信息中，包括同步信息、地址信息、差错控制信息、流量控制信息等；同物理层相似，数据链路层负责建立、维护和释放数据链路。3. 网络层：它连接网络中任何两个计算机节点，从一个节点上接收数据，正确的传送到另一个节点；在网络层，传送的信息单位是分组或包(packet)。网络层的主要任务是要选择合适的路由和交换节点，透明地向目的站交付发送站所发的分组或包，

14、这里的透明表示收发两端好像是直接连通的。另外网络层还要解决网络互连、拥挤控制和记账等问题。上述三层组成了所谓的通信子网，用户计算机连接到此子网上。通信子网负责把一个地方的数据可靠地传送到另一个地方，但并未实现两个地方主机上进程之间的通信。通信子网的主要功能是面向通信的。4. 传输层：真正地实现了端端间通信，把数据可靠地从一方的用户进程或程序送到另一方的用户进程或程序。这一层的控制通常由通信两端的计算机完成，中间节点一般不提供这一层的服务，这一层的通信与通信子网无关。从这一层开始的以上各层全部是针对通信的最终的源端目的端计算机的进程之间的。传输层传送的信息单位是报文(message)。传输层向上

15、一层提供一个可靠的端端的服务，使上一层看不见下面几层的通信细节。正因为如此，传输层成为网络体系结构中最关键的一层。对于传输层的功能，主要在主机内实现。而对于物理层、数据链路层以及网络层的功能均在报文接口机中实现。对于传输层以上的各个层次的功能通常在主机中实现。5. 对话层:又称会话层。它允许两个计算机上的用户进程建立对话连接，双方相互确认身份，协商对话连接的细节；它可管理对话是双向同时进行的，还是任何时刻只能一个方向进行。在后一种情况下，对话层控制哪一方有权发送数据；对话层还提供同步机制，在数据流中插入同步点机制，在每次网络出现故障后可以仅重传最近一个同步点以后的数据，而不必从头开始。以上两层

16、为两个计算机上的用户进程或程序之间提供了正确传送数据的手段。6. 表示层：主要解决用户信息的语法表示问题。表示层将数据从适合于某一系统的语法转变为适合于OSI系统内部使用的语法。具体地讲，表示层对传送的用户数据进行翻译或解释、编码和变换，使得不同类型的机器对数据信息的不同表示方法可以相互理解。另外，数据加密、解密、信息压缩等都是本层的典型功能。7. 应用层：应用层确定进程之间通信的性质以满足用户的需要；负责用户信息的语义表示，并在两个通信者之间进行语义匹配。具体地说，应用层处理用户的数据和信息，由用户程序（应用程序）组成，完成用户所希望的实际任务。这一层包括人们普遍需要的协议，例如，虚拟终端协

17、议、文件传送协议、电子邮件等。图2 ISO OSI/RM图1-2 OSI的参考模型图1-3 层间通信与对等层间通信1.2.2 服务和数据单元1. 数据的传输方式数据在网络中各节点内是沿层次传送的。如图1-3所示，数据从发送进程出发，在应用层中加上报头AH后，送到表示层。表示层不能区分AH及其后的数据部分，把这两部分看作一个整体，作为应用层来的数据，简单地加上表示层的报头PH后送到对话层。重复同样的过程，一直传送到物理层。物理层亦不区分来自数据链路层的报文含义，而只简单地看作一系列比特流，然后将其转换成电信号通过介质传送到接收进程所在的节点的物理层。数据链路层与其它层不同的是，在数据链路层不仅要

18、加上报头DH，还要加上报尾DT。接收节点上的数据链路层收到物理层送来的比特流后根据数据链路层协议能识别出报头DH和报文尾DT(但不能识别出此数据部分中网络层报头NH)，把DH和DT去掉后将其余的部分传送到网络层。重复此过程，依次通过以后各层次并去掉相应的报头。最后，应用层把发送进程发来的纯数据部分交给接收进程。2. 服务、服务访问点和数据单元ISO OSI/RM的每层为其上面各层提供专门的通信服务。也就是说，每层完成的功能是其上各层工作的基础。除了最底层（物理层）外，上面各层都依赖下一层完成其特定的功能。在ISO OSI/RM中，设物理层为第1层，应用层为第7层，在N层和N+1层的接口处，由N

19、层向N+1层提供服务。这里N层是服务的提供者，而N+1层则是该服务的用户。服务是通过一组服务原语来执行的。层间接口处提供服务的地方称为服务访问点SAP(Service Access Point),每个服务访问点都有一个唯一的标识地址。例如，一个传输层的服务访问点TSAP地址可表示成：。相邻层在提供服务的过程中要传递信息，这些信息的单位在OSI模型中称为服务数据单元（Service Data UnitSDU）。在N层和N-1层间传递的数据单元，记为(N)SDU。SDU在服务访问点处穿过接口时，通常要加上一些辅助信息（比如说服务原语中的某些参数），这些辅助信息在OSI模型中统称为接口控制信息(In

20、terface Control InformationICI)。SDU和ICI一起构成接口数据单元（Interface Data UnitIDU）。IDU在离开接口的SAP时去掉ICI。对等层间交换的信息单位称为协议数据单元（Protocol Data UnitPDU）。N层的PDU由N层的SDU加上该层的协议控制信息(Protocol Control InformationPCI)构成。这里的PCI就是图1-3中各层所加上去的报头。从图1-4中可以看出，(N+1)PDU是通过(N)SDU传递到N层，加上(N) PCI后构成(N)PDU的。看上去似乎(N+1)PDU就等同于(N)SDU，虽然在

21、许多情况下确实如此，但却并不总是这样。有时可以将多个(N+1)PDU拼成一个(N)SDU，称为拼接（Concatenation）。当然，在发送方若进行了拼接，在接收方的对等层就要进行相反的分割（Separation）。另外，一个(N)SDU若太大，也可以分成若干段，分别加上协议控制信息，构成多个(N)PDU。这在发送方称为分段（Segmenting），而接收方则要进行相反的合段（reassembling）。图1-4 各种数据单元的关系1.2.3 服务原语1. 服务原语类型服务原语是引用服务的工具，(N+1)层实体通过使用(N)层的服务原语向(N)层实体要求某个(N)层服务。对一个服务的引用通常

22、是要用多个有关的服务原语来实现。在OSI参考模型中定义了四种类型的服务原语：（1）请求(request)原语，这是由(N+1)层实体向(N)层实体发出的，要求这个(N)层实体向它提供指定的(N)层服务，如进行一次数据传送。（2）指示(indication)原语，这是由(N)层实体向(N+1)层实体发出的，通知这个(N+1)层实体某个特定的(N)层服务已经开始。（3）响应(response)原语，这是由(N+1)层实体向(N)层实体发出的，表示对这个(N)层实体送来的指示原语的响应。（4）证实(confirm)原语，这是由(N)层实体向(N+1)层实体发出的，表示它请求的(N)层服务已经完成。为

23、了方便起见，服务原语所涉及的服务常常就在原语名中反映出来，如传输层中的数据传送原语名为T-DATA,而表示层中的数据传送原语名P-DATA等。2. 服务原语的相互关系按在一次服务调用中服务原语的相互作用关系，可将服务分成两类：证实型服务和非证实型服务。（1）证实型服务。在这种服务中，服务原语的相互作用过程如下：a. 首先由发起这次服务调用的本地(N+1)层实体向本地(N)层实体发出这个(N)层服务的请求原语，本地(N)层实体将这个请求原语送到与其对接的远程(N)层实体。b. 远程(N)层实体将收到的请求原语转变成指示原语并把他交给远程(N+1)层实体。c. 远程(N+1)层实体根据原语及其参数

24、的要求作完相应的动作后，就向它下层的(N)层实体发出一个响应原语以报告有关动作的完成及其结果。该(N)层实体将这个响应原语发回给对应的本地(N)层实体。d. 本地(N)层实体将这个响应原语转变成证实原语后再发给其上层的本地(N+1)层实体，以报告所要求的服务已完成。图1-5表示了证实型服务中服务原语的相互关系。图1-5 证实型服务中服务原语的相互关系（2）非证实型服务。在这种服务中，仅需单向的原语发送，即只需证实型服务过程的前半部分，服务原语的相互作用过程如下：a. 首先由发起这次服务调用的本地(N+1)层实体向本地(N)层实体发出这个(N)层服务的请求原语，本地(N)层实体将这个请求原语送到

25、与其对接的远程(N)层实体。b. 远程(N)层实体将收到的请求原语转变成指示原语并把他交给远程(N+1)层实体。图1-6表示了非证实型服务中服务原语的相互关系。图1-6 非证实型服务中服务原语的相互关系因此，证实型服务需要在对等实体间进行一次交互，按顺序使用请求、指示、响应和证实这四种原语，需要对等实体间来回通信一次；而使用非证实型服务，对等实体之间只作一次单向通信。3. 服务原语的组成一个完整的服务原语由三部分组成：原语名字、原语类型和原语参数。原语名字指出是哪一层提供的何种服务。例如，当传输层的用户（即对话实体）要利用传输服务建立传输连接时，它使用请求建立连接的服务原语T-CONNECT.

26、request,其中T是传输层的缩写名。在OSI定义的四种原语类型中，原语参数是在标准中预先定义好的，例如，目的地址、源地址、类型及服务质量等。1.2.4 面向连接的和无连接的服务从通信的角度来看，在OSI参考模型中，下层能向上层提供两种不同形式的服务：面向连接的服务和面向无连接的服务。1. 面向连接的服务所谓连接，就是两个对等实体为进行数据通信而进行的一种结合。面向连接服务在进行数据交换前，先建立连接。当数据传输结束后，应释放这个连接。因此，采用面向连接的服务进行数据传送要经历三个阶段：（1） 建立连接阶段：在有关的服务原语以及协议数据单元中，必须给出源用户和目的用户的完整地址。同时可以协商

27、服务质量和其他一些选项。（2） 数据交换阶段：在这个阶段，每个报文中不必包含完整的源用户和目的用户的完整地址，而是使用一个连接标识符来代替。由于连接标识符相对于地址信息要短得多，因此使控制信息在报文中所占的比重相对减小，从而可减小系统的额外开销，提高信道的利用率。另外，报文的发送和接收都是按固定顺序的，即发送方先发送的报文，在接收方先收到。（3） 释放连接阶段：通过相应的服务原语完成释放操作。从面向连接服务的三个阶段来看，连接就像一个管道，发送者在其一端依次发送报文，接收者依次在其另一端按同样的顺序接收报文。这种连接又称虚拟电路。它可以避免报文的丢失、重复和乱序。若两个用户经常需要通信，则可以

28、建立永久虚电路。这样可以免除每次通信时建立连接和释放连接这两个阶段。这点与电话网中的专线很相似。2. 面向无连接的服务在无连接服务的情况下，两个实体之间的通信不必事先建立一个连接。相对于面向连接的服务，无连接服务灵活方便且快速。但它不能防止报文的丢失、重复和乱序。由于它的每个报文必须包括完整的源地址和目的地址，因此开销较大。面向无连接服务主要有三种类型：（1） 数据报：它的特点是发完报文就结束，而对方不做任何响应。数据报的服务简单，额外开销少，但可靠性差，它比较适合于数据具有很大的冗余度以及要求有较高的实时性的通信场合。（2） 证实交付：又称可靠的数据报。这种服务对每一个报文产生一个证实给发送

29、方，不过这种证实不是来自对应方用户，而是来自提供服务的层。这种证实只能保证报文已经发给目的站了，而不能保证对应方用户正确地收到报文。（3） 请求回答：这种类型服务是接收端用户每收到一个报文，即向发送端用户发送一个应答报文。但是双方发送的报文都有可能丢失。如果接收端发现报文有错误，则回送一个表示有错误的报文。在OSI模型中提供了两种通信服务方式，究竟选择哪种服务方式进行通信主要看使用的要求。数据报是比较基本的服务方式，若报文到达的次序无关紧要时可使用该方式。而面向连接的服务方式主要应用在可靠性要求较高的场合。关于面向连接服务和面向无连接服务的主要差别见表1-1。表1-1 面向连接和无连接服务的主

30、要差别项目面向连接面向无连接初始化设置，状态保持需要不需要目的地址仅在建立连接时需要每个包均需要包的顺序传送保证不保证差错控制提供不提供流量控制提供不提供任选项协商提供不提供连接标识符使用不使用路由选择仅在建立连接时需要每个包均需要节点失效的影响严重不严重网内负载平衡不支持支持数据速率低高1.3 TCP/IP协议所有关于Internet网络的正式标准都以RFC（Request for Comment）文档出版。还有大量的RFC文档并不是正式的标准，出版的目的只是为了提供相关的信息。RFC文档的每一项都用一个数字来标识，例如RFC983，数字值越大说明RFC文档的内容越新。所有的RFC文档都可以

31、通过电子邮件或用FTP服务从Internet网络上免费获得。和Internet网络标准紧密相关的一个组织是IETF(Internet Engineering Task Force)，IETF是一个由网络设计者、操作员、厂商和研究者联合组成的开放的国际团体，他们关心Internet网络体系结构的发展和它的顺利运行。Internet网络标准一般处理协议事务而不是API。但是仍有两个RFC说明IPv6的套接口。它们是信息性RFC而非标准，他们产生的目的是为了加速部署由多家从事早期IPv6工作的厂商所开发的可移植应用程序。Internet连接了不同国家与地区无数不同类型的电脑，可能是某个校园网的大型主

32、机，也可能是某个办公室的个人电脑。硬件千差万别，使用的操作系统与软件也各不相同，要保证这些电脑之间能够畅通无阻地交换信息，必须有相通的语言，即统一的通信协议。Internet中这个统一的通信协议就是TCP/IP协议集。TCP/IP (Transmission Control Protocol/Internet Protocol) 是Internet 运行的基础, 是目前应用最广泛的网络通信协议, 现在已经成为企业网络的事实标准。许多网络操作系统 (NOS), 例如Windows NT 4.0 Server, Windows 2000 Server, UNIX 以及 Novell Netware

33、 5.0 等, 都以TCP/IP作为缺省的网络协议。TCP/IP 是一个可以路由的协议栈, 可运行在许多不同的软件平台上。TCP/IP 包含了许多成员协议从而构成了实际的TCP/IP协议栈。 TCP/IP 的出现早于OSI 模型, 因此TCP/IP协议栈中的各层不会和OSI 模型的各层直接对应起来。TCP/IP由五层构成：物理层、数据链路层、网络层、传输层和应用层。TCP/IP中的应用层可以等同于OSI的会话层、表示层和应用层的结合。在传输层中，TCP/IP定义了两个协议：TCP和UDP。在网络层，尽管还有其它协议支持数据传输，TCP/IP定义的主要协议是IP。在数据链路层和物理层，TCP/I

34、P没有定义任何特定的协议。它支持下面将要介绍的各种协议。图1-7 描述了TCP/IP 和OSI 模型的对应关系。图1-7 TCP/IP和OSI模型TCP/IP是一个复杂的协议集, 其中有许多协议对用户是透明的。TCP/IP中各层的主要功能如下：（1） 物理层。这一层定义了基本的网络硬件。它的功能和OSI/RM的第一层的功能相对应。（2） 链路层。这一层定义了怎样把数据组织成帧和计算机怎样通过网络传输帧。它的功能和OSI/RM的第二层的功能类似。（3） 网络层或Internet层。这一层规定了包格式以及包怎样从一个计算机上经过一个或多个路由器到达目的计算机。这一层包含了IP（Internet P

35、rotocol）协议、ICMP（Internet Control Message Protocol）协议和IGMP（Internet Group Management Protocol）协议。（4） 传输层。这一层大致对应着OSI/RM的传输层。这一层有两个协议，即TCP（Transmission Control Protocol）协议和UDP（User Datagram Protocol）协议。TCP通过应答机制提供可靠的传输。UDP协议提供不可靠的传输，维持可靠性的任务留给高层来完成。但它比TCP要高效，常用于实时应用中，在这种情况下，应用程序要考虑可靠性的问题。（5）应用层。这一层大致对

36、应于OSI/RM的上三层，它提供的服务包括：Telnet、FTP（File Transfer Protocol）、SMTP（Simple Mail Transfer Protocol）、NSP（Name Server Protocol）和SNMP（Simple Network Management Protocol）等。1.4 Internet常见协议介绍ARP（Address Resolution Protocol）：地址解析协议它用于映射计算机的物理地址和临时指定的网络地址。启动时它选择一个协议（网络层）地址，并检查这个地址是否已经有别的计算机使用，如果没有被使用，此节点被使用这个地址，如

37、果此地址已经被别的计算机使用，正在使用此地址的计算机会通告这一信息，只有再选另一个地址了。SNMP（Simple Network Management Protocol）：网络管理协议它是TCP/IP协议中的一部份，它为本地和远端的网络设备管理提供了一个标准化途径，是分布式环境中的集中化管理的重要组成部份。DHCP（Dynamic Host Configuration Protocol）：动态主机配置协议它是在TCP/IP网络上使客户机获得配置信息的协议，它基于BOOTP协议，并在BOOTP协议的基础上添加了自动分配可用网络地址等功能。这两个协议可以通过一些机制互操作。DHCP协议在安装TCP

38、/IP协议和使用TCP/IP协议进行通信时，必须配置IP地址、子网掩码、缺省网关三个参数，这三个参数可以手动配置，也可以使用DHCP自动配置。FTP（File Transfer Protocol）：文件传输协议它是一个标准协议，是在计算机和网络之间交换文件的最简单的方法。和传送可显示文件的HTTP和电子邮件的SMTP一样，FTP也是应用TCP/IP协议的应用协议标准。FTP通常用于将网页从创作者上传到服务器上供人使用，而从服务器上下传文件也是一种非常普遍的使用方式。作为用户，可以用非常简单的DOS界面来使用FTP，也可以使用由第三方提供的图形界面的FTP来更新（删除，重命名，移动和复制）服务器

39、上的文件。现在有许多服务器支持匿名登录，允许用户使用FTP和ANONYMOUS作为用户名进行登录，通常可使用任何口令或只按回车键。HDLC（High-Level Data Link Control）：高级数据链路控制协议 它是一组用于在网络节点间传送数据的协议。在HDLC中，数据被组成一个个的单元（称为帧）通过网络发送，并由接收方确认收到。HDLC协议也管理数据流和数据发送的间隔时间。HDLC是在数据链路层中最广泛最实用的协议之一。现在作为ISO的标准，HDLC是基于IBM的SDLC协议的，SDLC被广泛用于IBM的大型机环境之中。在HDLC中，属于SDLC的被称为通常响应模式（NRM）。在通

40、常响应模式中，基站（通常是大型机）发送数据给本地或远程的二级站。不同类型的HDLC被用于使用X.25协议的网络和帧中继网络，这种协议可以在局域网或广域网中使用，无论此网是公共的还是私人的。HTTP1.1（Hypertext Transfer Protocol Vertion 1.1）：超文本传输协议-版本1.1它用来在Internet上传送超文本的传送协议。它是运行在TCP/IP协议集之上的HTTP应用协议，它可以使浏览器更加高效，使网络传输减少。任何服务器除了包括HTML文件以外，还有一个HTTP驻留程序，用于响应用户请求。浏览器是HTTP客户，向服务器发送请求，当浏览器中输入了一个开始文件

41、或点击了一个超级链接时，浏览器就向服务器发送了HTTP请求，此请求被送往由IP地址指定的URL。驻留程序接收到请求，在进行必要的操作后回送所要求的信息。HTTPS（Secure Hypertext Transfer Protocol）：安全超文本传输协议它由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL

42、支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。ICMP（Internet Control Message Protocol）：Internet控制信息协议 它是一个在主机和网关之间消息控制和差错报告协议。ICMP使用IP数据报，但消息由TCP/IP软件处理，对于应用程序使用者是不可见的。在被称为Catenet的系统中，IP协议被用作主机到主机的数据报服务。网络连接设备称为网关。这些网关通过网关到网关协议（GGP）相互交换用于控制的信息。通常，目的主机将和源主机通信，例如，报告在数据报过程中的错误。为了这个目的才使用了ICMP，它使用IP作为底层支持，好象它是一个高层协议，而实

43、际上它是IP的一部分，必须由其它IP模块实现。ICMP消息在以下几种情况下发送：当数据报不能到达目的地时，当网关已经失去缓存功能，当网关能够引导主机在更短路由上发送。IP并非设计为绝对可靠，这个协议的目的是为了当网络出现问题的时候返回控制信息，而不是使IP协议变得绝对可靠，并不保证数据报或控制信息能够返回。一些数据报仍将在没有任何报告的情况下丢失。IMAP4（Internet Mail Access Protocol Version 4）：Internet邮件访问协议-版本4它用于从本地服务器上访问电子邮件的标准协议，它是一个C/S模型协议，用户的电子邮件由服务器负责接收保存。IMAP4改进了

44、POP3的不足，用户可以通过浏览信件头来决定是不是要下载此信，还可以在服务器上创建或更改文件夹或邮箱，删除信件或检索信件的特定部分。在用户访问电子邮件时，IMAP4需要持续访问服务器。在POP3中，信件是保存在服务器上的，当用户阅读信件时，所有内容都会被立刻下载到用户的机器上。有时可以把IMAP4看成是一个远程文件服务器，把POP3可以看成是一个存储转发服务。NNTP（Network News Transfer Protocol）：网络新闻传输协议 NNTP同POP3协议一样，也存在某些局限性。 IOTP（Internet Open Trading Protocol）：Internet开放贸易

45、协议 Internet开放贸易协议是一系列的标准，它使电子购买交易在客户，销售商和其它相关部分都是一致的，无论使用何种付款系统。IOTP适用于很多的付款系统，如SET，DigiCash，电子支票或借记卡。付款系统中的数据封装在IOTP报文中。IOTP处理的交易可以包括客户、销售商、信用支票、证明、银行等部分。IOTP使用XML语言（Extensible Markup Language）来定义包含在交易中的数据。IPv6（Internet Protocol Version 6）：Internet协议-版本6 它是Internet协议的最新版本，已作为IP的一部分并被许多主要的操作系统所支持。IP

46、v6也被称为Ipng（下一代IP），它对现行的IP（版本4）进行重大的改进。使用IPv4和IPv6的网络主机和中间节点可以处理IP协议中任何一层的包。用户和服务商可以直接安装IPv6而不用对系统进行重大的修改。相对于版本4新版本的最大改进在于将IP地址从32位改为128位，这一改进是为了适应网络快速的发展对IP地址的需求，也从根本上改变了IP地址短缺的问题。简化IPv4首部字段被删除或者成为可选字段，减少了一般情况下包的处理开销以及IPv6首部占用的带宽。改进IP 首部选项编码方式的修改导致更加高效的传输，在选项长度方面更少的限制，以及将来引入新的选项时更强的适应性。加入一个新的能力，使得那些

47、发送者要求特殊处理的属于特别的传输流的包能够贴上标签，比如非缺省质量的服务或者实时服务。为支持认证，数据完整性以及（可选的）数据保密的扩展都在IPv6中说明。IPX/SPX（Internetwork Packet Exchange/Sequential Packet Exchange）：互连网包交换/顺序包交换它是由Novell提出的用于客户/服务器相连的网络协议。使用IPX/SPX协议能运行通常需要NetBEUI支持的程序，通过IPX/SPX协议可以跨过路由器访问其他网络。MIME（Multi-Purpose Internet Mail Extensions）：多功能Internet邮件扩展

48、MIME是扩展SMTP协议，是1991年Nathan Borenstein向IETF提出。在传输字符数据的同时，允许用户传送另外的文件类型，如声音，图像和应用程序，并将其压缩在MIME附件中。因此，新的文件类型也被作为新的被支持的IP文件类型。NetBEUI（NetBIOS Enhanced User Interface）：网络基本输入输出系统扩展用户接口NetBEUI协议是IBM于1985年提出。NetBEUI主要为20到200个工作站的小型局域网设计的，用于NetBEUI、Lan网、Man网、Windows For Workgroups及Windows NT网。NetBEUI是一个紧凑、快速的协议，但由于NetBEUI没有路由能力，即不能从一个局域网经路由器到另一个局域