網(wǎng)絡(luò)通信安全管理員主講：董振興dongzx@第一章安全基礎(chǔ)提綱安全定義TCP/IP安全性分析通用攻擊技術(shù)簡介信息安全管理簡述冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅安全威脅中國黑客攻擊美國網(wǎng)站(1)中國黑客攻擊美國網(wǎng)站(2)中國黑客攻擊美國網(wǎng)站(3)伊朗突然宣布卸載首座核電站燃料疑遭病毒攻擊什么是信息?用通俗的語言來描述，所謂信息，就是有意義的資料，人們可以通過它獲得一些知識(shí)信息已日漸成為一種資源、資產(chǎn)現(xiàn)代戰(zhàn)爭(zhēng)中的“信息戰(zhàn)”信息化社會(huì)中：信息就是財(cái)富，財(cái)富就是信息什么是信息安全?隨著時(shí)代的發(fā)展，信息安全涉及的內(nèi)容在不斷擴(kuò)展導(dǎo)致不同的人在不同場(chǎng)合下對(duì)信息安全的多方面理解

孤立的討論信息安全沒有實(shí)際意義,需要結(jié)合信息技術(shù)的發(fā)展信息安全不是最終目的，只是服務(wù)于信息化的一種手段為信息提供安全保護(hù)InformationSecurityandAssurance什么是信息安全技術(shù)信息安全不是信息產(chǎn)品的簡單堆積，而是環(huán)境、人員、技術(shù)、操作四種要素緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程。信息安全技術(shù)是信息安全的一個(gè)組成部分。技術(shù)解決信息安全——“見招拆招”早期——密碼學(xué)，加密了就安全；后來——防火墻決定信息安全，IDS、PKI、VPN……現(xiàn)在——“多功能網(wǎng)關(guān)”、UTM，能想到的安全技術(shù)全加上，就安全了信息安全的需求真實(shí)性(IdentificationandAuthentication)保密性(ConfidentialityandPrivacy)完整性(DataIntegrity)不可否認(rèn)性(NonRepudiation)可用性(Availability)真實(shí)性－Identification人的標(biāo)識(shí)用戶名，QQ號(hào)碼，用戶圖象機(jī)器標(biāo)識(shí)IP地址，MAC地址，CPU序列號(hào)網(wǎng)絡(luò)標(biāo)識(shí)網(wǎng)絡(luò)地址，域名應(yīng)用標(biāo)識(shí)進(jìn)程名字，應(yīng)用名，占用端口，標(biāo)準(zhǔn)的應(yīng)答方式真實(shí)性－鑒別／認(rèn)證Whatdoyouknow你知道什么密碼，口令，媽媽的生日，機(jī)密問題Whatdoyouhave你有什么鑰匙，IC卡，令牌，身份證Whatyouare你是什么手型，指紋，眼紋，聲紋，說話方式，行走方式網(wǎng)絡(luò)交易中認(rèn)證的要求網(wǎng)絡(luò)不可信，不能明文傳送認(rèn)證信息加密可以解決認(rèn)證者可能不可信，所以要求認(rèn)證者不能假冒被認(rèn)證者（零知識(shí)）只有非對(duì)稱算法才能提供這樣的機(jī)制要針對(duì)大規(guī)模的人群進(jìn)行認(rèn)證，每個(gè)應(yīng)用系統(tǒng)又不能存放所有人的認(rèn)證信息．專用的認(rèn)證系統(tǒng)，提供認(rèn)證服務(wù)保密性問題通信保密信息隱藏信息加密系統(tǒng)存儲(chǔ)(文件系統(tǒng))／處理保密存取控制自主存取控制強(qiáng)制存取控制（安全操作系統(tǒng)）加密和隱藏加密技術(shù)對(duì)稱密碼知道加密的人原則上就知道如何解密，知道解密的人也知道如何加密（對(duì)稱）一個(gè)對(duì)稱的密鑰k,雙方都知道非對(duì)稱算法知道加密的人不可能知道如何解密，知道解密的人知道如何加密一個(gè)加密密鑰e，一個(gè)解密密鑰d，由d可以算出e，但由e不能算出d完整性問題校驗(yàn)編碼，解決硬件出錯(cuò)攻擊者知道了編碼方法利用帶有密鑰的MAC進(jìn)行校驗(yàn)第三方攻擊沒有辦法，但對(duì)方可以抵賴數(shù)字簽名，對(duì)方不可抵賴?yán)脭?shù)字簽名，任何一個(gè)第三方可以驗(yàn)證不可否認(rèn)性絕對(duì)可信第三方保留備份絕對(duì)可信第三方作MAC或數(shù)字簽名時(shí)間戳服務(wù)器通信雙方簽名可信第三方簽發(fā)證書任意第三方可以驗(yàn)證可用性系統(tǒng)自身的堅(jiān)固，魯棒性“年故障時(shí)間2小時(shí)”故障仍舊有可能發(fā)生利用冗余加強(qiáng)雙機(jī)備份（冷備份，熱備份，冗余備份）仍舊無法抵抗攻擊入侵容忍技術(shù)Byzantine錯(cuò)誤防御技術(shù)門檻密碼應(yīng)用系統(tǒng)用時(shí)間的眼光看歷史通信安全計(jì)算機(jī)安全信息安全信息保障信息安全與保障信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力這一時(shí)期主要關(guān)注“機(jī)密性”40年代以前“通信安全（COMSEC）”也稱“通信保密”40年代增加了“電子安全”50年代歐美國家將“通信安全”和

“電子安全”合稱為“信號(hào)安全（SIGSEC）”密碼學(xué)是解決“通信安全”的重要技術(shù)信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力密碼學(xué)是解決“機(jī)密性”的核心技術(shù)，這一時(shí)期密碼學(xué)得到了很好的發(fā)展。Shannon于1949年發(fā)表的論文《保密系統(tǒng)的信息理論》為對(duì)稱密碼學(xué)建立了理論基礎(chǔ)，從此密碼學(xué)從非科學(xué)發(fā)展成為一門科學(xué)。信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力1965年美國率先提出了計(jì)算機(jī)安全（COMPUSEC）這一時(shí)期主要關(guān)注“機(jī)密性、訪問控制、認(rèn)證”60年代出現(xiàn)了多用戶系統(tǒng)，從而引入了受控共享的問題。此時(shí)計(jì)算機(jī)主要用于軍方，1969年的Ware報(bào)告初步的提出了計(jì)算機(jī)安全及其評(píng)估問題。研究方面，出現(xiàn)了Adept50和multics操作系統(tǒng)上的安全研究工作。信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力70年代是計(jì)算機(jī)安全的奠基時(shí)代。1972年Anderson帶領(lǐng)的小組完成了著名的Anderson報(bào)告，這個(gè)報(bào)告可以看作是計(jì)算機(jī)安全發(fā)展的里程碑。其中提出了計(jì)算機(jī)安全的主要問題以及相關(guān)的范型（如訪問監(jiān)控機(jī)）。在這一階段計(jì)算機(jī)主要用于軍方與科研，而訪問控制方面關(guān)注信息的機(jī)密性，這時(shí)提出了強(qiáng)制訪問控制策略和自主訪問控制策略。其間進(jìn)行的重要工作包括訪問控制矩陣的提出、BLP模型、BIBA模型、HRU模型。其中，BLP模型是影響深遠(yuǎn)的強(qiáng)制訪問控制模型，BIBA模型是提出較早的完整性模型，而HRU模型給出了形式化的訪問控制矩陣的描述，并提出了安全模型領(lǐng)域中著名的SAFTY問題（授權(quán)傳播的可判定性問題）。信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力這一時(shí)期現(xiàn)代密碼學(xué)得到了快速發(fā)展，最有影響的兩個(gè)大事件是：一件是Diffiee和Hellman于1976年發(fā)表的論文《密碼編碼學(xué)新方向》，該文導(dǎo)致了密碼學(xué)上的一場(chǎng)革命，他們首次證明了在發(fā)送者和接收者之間無密鑰傳輸?shù)谋Ｃ芡ㄐ攀强赡艿?，從而開創(chuàng)了公鑰密碼學(xué)的新紀(jì)元；另一件是美國于1977年制定的數(shù)據(jù)加密標(biāo)準(zhǔn)DES。這兩個(gè)事件標(biāo)志著現(xiàn)代密碼學(xué)的誕生。

信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力80年代的一個(gè)標(biāo)志性特征就是計(jì)算機(jī)安全的標(biāo)準(zhǔn)化工作。美國軍方提出了著名的TCSEC標(biāo)準(zhǔn)，為計(jì)算機(jī)安全評(píng)估奠定了基礎(chǔ)。在這之后又陸續(xù)發(fā)表了TNI、TDI等TCSEC解釋性評(píng)估標(biāo)準(zhǔn)。標(biāo)準(zhǔn)化的工作帶動(dòng)了安全產(chǎn)品的大量出現(xiàn)。80年代的另一個(gè)標(biāo)志性特征就是計(jì)算機(jī)在商業(yè)環(huán)境中得到了應(yīng)用，所以訪問控制的研究也不可避免的要涉及到商業(yè)安全策略。而Clark-wilson和Chinesewall策略模型是典型的代表。信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力入侵檢測(cè)系統(tǒng)（IDS）概念最早出自于Anderson在1972年的一項(xiàng)報(bào)告。1980年，Anderson為美國空軍做的題為《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》的技術(shù)報(bào)告，第一次詳細(xì)地闡述了入侵檢測(cè)的概念，并首次為入侵和入侵檢測(cè)提出了一個(gè)統(tǒng)一的架構(gòu)。80年代初，安全協(xié)議理論如安全多方計(jì)算、形式化分析和可證明安全性等相繼問世

信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力這一時(shí)期主要關(guān)注“機(jī)密性、完整性、可用性、非否認(rèn)性”80年代中期，美國和歐洲先后在學(xué)術(shù)界和軍事領(lǐng)域開始使用“信息安全（INFOSEC）”和“信息系統(tǒng)安全（INFOSYSSEC或ISSEC）”。主要內(nèi)容包括：通信安全計(jì)算機(jī)安全發(fā)射安全（EMSEC）傳輸安全（TRANSEC）物理安全（PHYSICALSEC）人事安全（PERSONNELSEC）信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力密碼技術(shù)得到了空前的發(fā)展，提出了很多新觀點(diǎn)和新方法如ECC、密鑰托管、盲簽名、零知識(shí)證明協(xié)議涌現(xiàn)了大量的實(shí)用安全協(xié)議，如互聯(lián)網(wǎng)密鑰交換（IKE）協(xié)議、分布式認(rèn)證安全服務(wù)（DASS）協(xié)議、Kerberos認(rèn)證協(xié)議、X.509協(xié)議、SET協(xié)議、iKP協(xié)議安全協(xié)議的三大理論（安全多方計(jì)算、形式化分析和可證明安全性）取得了突破性進(jìn)展信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力IDS的研究進(jìn)入了多樣化發(fā)展時(shí)期1989年提出了異常檢測(cè)概念1990年形成了基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS兩大檢測(cè)概念1992年形成了分布式入侵檢測(cè)系統(tǒng)（DIDS）1994年，將自治代理（AutonomousAgents）技術(shù)用于IDS的設(shè)計(jì)1996年為了解決入侵檢測(cè)系統(tǒng)的可擴(kuò)展性提出了GRIDS(Graph-basedIntrusionDetectionSystem)信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力安全評(píng)估標(biāo)準(zhǔn)得到高度重視。從美國國防部1985年發(fā)布著名的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）起，世界各國根據(jù)自己的研究進(jìn)展和實(shí)際情況，相繼發(fā)布了一系列有關(guān)安全評(píng)估的準(zhǔn)則和標(biāo)準(zhǔn)，如美國的TCSEC；英、法、德、荷等四國90年代初發(fā)布的信息技術(shù)安全評(píng)估準(zhǔn)則(ITSEC)；加拿大1993年發(fā)布的可信計(jì)算機(jī)產(chǎn)品評(píng)價(jià)準(zhǔn)則（CTCPEC）；美國1993年制定的信息技術(shù)安全聯(lián)邦標(biāo)準(zhǔn)（FC）；6國7方（加拿大、法國、德國、荷蘭、英國、美國NIST及美國NSA）于90年代中期提出的信息技術(shù)安全性評(píng)估通用準(zhǔn)則（CC）信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力計(jì)算機(jī)應(yīng)急響應(yīng)受到重視。1988年，美國康乃爾大學(xué)研究生莫里斯，首次利用計(jì)算機(jī)病毒（蠕蟲）程序成功攻擊了美國國防軍事科研單位與有關(guān)大專院校聯(lián)入因特網(wǎng)的6000臺(tái)計(jì)算機(jī)（占當(dāng)時(shí)因特網(wǎng)聯(lián)機(jī)的1/10），使其癱瘓數(shù)日，造成億元損失1989年，美國、西德聯(lián)手破獲了前蘇聯(lián)收買西德大學(xué)生中的黑客，滲入歐美十余個(gè)國家的計(jì)算機(jī)，獲取大量敏感信息的計(jì)算機(jī)間諜案。這兩起案件，極大地震動(dòng)了西方世界。許多有識(shí)之士認(rèn)為：隨著網(wǎng)絡(luò)技術(shù)及有關(guān)技術(shù)的發(fā)展,

傳統(tǒng)的、靜態(tài)的安全保密措施已不足以抵御計(jì)算機(jī)黑客入侵及有組織的信息手段的攻擊（信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)），必須建立新的安全機(jī)制于是在1989年美國國防部資助卡內(nèi)基—梅隆大學(xué)為其建立了世界上第一個(gè)“計(jì)算機(jī)應(yīng)急小組（CERT）”及其協(xié)調(diào)中心（CERT/CC）。CERT的成立標(biāo)志著信息安全由靜態(tài)保護(hù)向動(dòng)態(tài)防護(hù)的轉(zhuǎn)變。

信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力這一時(shí)期主要關(guān)注“預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、反擊”整個(gè)過程信息安全保障強(qiáng)調(diào)保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)這四種能力，圍繞人、技術(shù)和管理這三個(gè)層面，以支持機(jī)構(gòu)的任務(wù)和職能為目標(biāo)，注重體系建設(shè)，強(qiáng)化組織與協(xié)調(diào)功能。

信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力1995年，在研究信息安全及網(wǎng)絡(luò)戰(zhàn)防御理論過程中，美國國防部提出了“信息安全保障體系”（IA）概念，并給出了“保護(hù)（Protection）—監(jiān)測(cè)（detection）—響應(yīng)（Response）”三環(huán)節(jié)動(dòng)態(tài)模型，即“PDR”模型。后來增加了恢復(fù)（Restore）,變?yōu)椤癙DRR”模型。其中“響應(yīng)”包括平時(shí)事件響應(yīng)和應(yīng)急響應(yīng)，而重點(diǎn)在應(yīng)急處理。我國專家在1999年提出了更為完善的“預(yù)警—保護(hù)—監(jiān)測(cè)—應(yīng)急—恢復(fù)—反擊”即“WPDRRC”模型，使信息安全保障技術(shù)體系立于更堅(jiān)實(shí)的基礎(chǔ)上。

信息安全發(fā)展的四個(gè)階段年代通信安全發(fā)展時(shí)期

從有人類以來60年代中期計(jì)算機(jī)安全發(fā)展時(shí)期

80年代中期信息安全發(fā)展時(shí)期

90年代中期信息安全保障發(fā)展時(shí)期

安全保障能力信息安全保障體系的建設(shè)是一項(xiàng)長期而艱巨的任務(wù)當(dāng)前，人們從以下幾個(gè)方面致力于建立信息安全保障體系組織管理體系：做頂層設(shè)計(jì)技術(shù)與產(chǎn)品體系：密碼、安全監(jiān)控、安全審計(jì)、內(nèi)容安全、授權(quán)認(rèn)證、檢測(cè)、可信計(jì)算、病毒防范、網(wǎng)絡(luò)攻擊、安全評(píng)估、應(yīng)急處理標(biāo)準(zhǔn)體系法規(guī)體系人才培養(yǎng)、培訓(xùn)與服務(wù)咨詢體系應(yīng)急處理體系網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)——開放系統(tǒng)互連參考模型（1）ISO/OSI模型網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層對(duì)等協(xié)議物理介質(zhì)系統(tǒng)A系統(tǒng)B第N+1層第N層PDUSDUHPDU第N-1層SDUN+1層協(xié)議實(shí)體N+1層協(xié)議實(shí)體N層協(xié)議實(shí)體SAPSAP應(yīng)用層(applicationlayer)運(yùn)輸層(transportlayer)網(wǎng)絡(luò)層(networklayer)數(shù)據(jù)鏈路層(datalinklayer)物理層(physicallayer)數(shù)據(jù)鏈路層5應(yīng)用層4運(yùn)輸層3網(wǎng)絡(luò)層2數(shù)據(jù)鏈路層1物理層1.2TCP/IP安全性分析TCP/IP模型TCP/IP的網(wǎng)絡(luò)互連網(wǎng)際互連是通過IP網(wǎng)關(guān)（gateway）實(shí)現(xiàn)的網(wǎng)關(guān)提供網(wǎng)絡(luò)與網(wǎng)絡(luò)之間物理和邏輯上的連通功能網(wǎng)關(guān)是一種特殊的計(jì)算機(jī)，同時(shí)屬于多個(gè)網(wǎng)絡(luò)G1網(wǎng)絡(luò)1網(wǎng)絡(luò)3G1網(wǎng)絡(luò)2首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分?jǐn)?shù)據(jù)部分首部IP數(shù)據(jù)報(bào)固定部分可變部分區(qū)分服務(wù)發(fā)送在前首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分版本——占4位，指IP協(xié)議的版本目前的IP協(xié)議版本號(hào)為4(即IPv4)區(qū)分服務(wù)1.IP數(shù)據(jù)報(bào)首部的固定部分中的各字段首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分首部長度——占4位，可表示的最大數(shù)值是15個(gè)單位(一個(gè)單位為4字節(jié))因此IP的首部長度的最大值是60字節(jié)。區(qū)分服務(wù)首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分區(qū)分服務(wù)——占8位，用來獲得更好的服務(wù)在舊標(biāo)準(zhǔn)中叫做服務(wù)類型，但實(shí)際上一直未被使用過。1998年這個(gè)字段改名為區(qū)分服務(wù)。只有在使用區(qū)分服務(wù)（DiffServ）時(shí)，這個(gè)字段才起作用。在一般的情況下都不使用這個(gè)字段區(qū)分服務(wù)首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分總長度——占16位，指首部和數(shù)據(jù)之和的長度，單位為字節(jié)，因此數(shù)據(jù)報(bào)的最大長度為65535字節(jié)?？傞L度必須不超過最大傳送單元MTU。

區(qū)分服務(wù)首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分標(biāo)識(shí)(identification)占16位，它是一個(gè)計(jì)數(shù)器，用來產(chǎn)生數(shù)據(jù)報(bào)的標(biāo)識(shí)。區(qū)分服務(wù)首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分標(biāo)志(flag)占3位，目前只有前兩位有意義。標(biāo)志字段的最低位是MF(MoreFragment)。MF1表示后面“還有分片”。MF0表示最后一個(gè)分片。標(biāo)志字段中間的一位是DF(Don'tFragment)。只有當(dāng)DF0時(shí)才允許分片。

首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分片偏移(12位)指出：較長的分組在分片后某片在原分組中的相對(duì)位置。片偏移以8個(gè)字節(jié)為偏移單位。區(qū)分服務(wù)首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分生存時(shí)間(8位)記為TTL(TimeToLive)數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中可通過的路由器數(shù)的最大值。區(qū)分服務(wù)首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分協(xié)議(8位)字段指出此數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)使用何種協(xié)議以便目的主機(jī)的IP層將數(shù)據(jù)部分上交給哪個(gè)處理過程區(qū)分服務(wù)運(yùn)輸層網(wǎng)絡(luò)層首部TCPUDPICMPIGMPOSPF數(shù)據(jù)部分IP數(shù)據(jù)報(bào)協(xié)議字段指出應(yīng)將數(shù)據(jù)部分交給哪一個(gè)進(jìn)程首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分首部檢驗(yàn)和(16位)字段只檢驗(yàn)數(shù)據(jù)報(bào)的首部不檢驗(yàn)數(shù)據(jù)部分。這里不采用

CRC

檢驗(yàn)碼而采用簡單的計(jì)算方法。區(qū)分服務(wù)發(fā)送端接收端16位字116位字2置為全0檢驗(yàn)和16位字n16位反碼算術(shù)運(yùn)算求和……取反碼數(shù)據(jù)報(bào)首部IP數(shù)據(jù)報(bào)16位檢驗(yàn)和16位字116位字216位檢驗(yàn)和16位字n16位反碼算術(shù)運(yùn)算求和16位結(jié)果……取反碼數(shù)據(jù)部分若結(jié)果為0,則保留；否則，丟棄該數(shù)據(jù)報(bào)數(shù)據(jù)部分不參與檢驗(yàn)和的計(jì)算首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分固定部分可變部分源地址和目的地址都各占4字節(jié)區(qū)分服務(wù)運(yùn)輸層為相互通信的應(yīng)用進(jìn)程提供了邏輯通信54321運(yùn)輸層提供應(yīng)用進(jìn)程間的邏輯通信主機(jī)A主機(jī)B應(yīng)用進(jìn)程應(yīng)用進(jìn)程路由器1路由器2AP1LAN2WANAP2AP3AP4IP層LAN1AP1AP2AP4端口端口54321IP協(xié)議的作用范圍運(yùn)輸層協(xié)議TCP和UDP的作用范圍AP3應(yīng)用進(jìn)程之間的通信兩個(gè)主機(jī)進(jìn)行通信實(shí)際上就是兩個(gè)主機(jī)中的應(yīng)用進(jìn)程互相通信。

應(yīng)用進(jìn)程之間的通信又稱為端到端的通信。運(yùn)輸層的一個(gè)很重要的功能就是復(fù)用和分用。應(yīng)用層不同進(jìn)程的報(bào)文通過不同的端口向下交到運(yùn)輸層，再往下就共用網(wǎng)絡(luò)層提供的服務(wù)。“運(yùn)輸層提供應(yīng)用進(jìn)程間的邏輯通信”。“邏輯通信”的意思是：運(yùn)輸層之間的通信好像是沿水平方向傳送數(shù)據(jù)。但事實(shí)上這兩個(gè)運(yùn)輸層之間并沒有一條水平方向的物理連接。運(yùn)輸層協(xié)議和網(wǎng)絡(luò)層協(xié)議的主要區(qū)別應(yīng)用進(jìn)程…應(yīng)用進(jìn)程…IP協(xié)議的作用范圍（提供主機(jī)之間的邏輯通信）TCP和UDP協(xié)議的作用范圍（提供進(jìn)程之間的邏輯通信）因特網(wǎng)運(yùn)輸層的主要功能運(yùn)輸層為應(yīng)用進(jìn)程之間提供端到端的邏輯通信（但網(wǎng)絡(luò)層是為主機(jī)之間提供邏輯通信）。運(yùn)輸層還要對(duì)收到的報(bào)文進(jìn)行差錯(cuò)檢測(cè)。運(yùn)輸層需要有兩種不同的運(yùn)輸協(xié)議，即面向連接的TCP和無連接的UDP。

TCP首部20字節(jié)的固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FIN32位SYNRSTPSHACKURG位08162431填充TCP數(shù)據(jù)部分TCP首部TCP報(bào)文段IP數(shù)據(jù)部分IP首部發(fā)送在前

TCP報(bào)文段的首部格式

TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充源端口和目的端口字段——各占2字節(jié)。端口是運(yùn)輸層與應(yīng)用層的服務(wù)接口。運(yùn)輸層的復(fù)用和分用功能都要通過端口才能實(shí)現(xiàn)。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充序號(hào)字段——占4字節(jié)。TCP連接中傳送的數(shù)據(jù)流中的每一個(gè)字節(jié)都編上一個(gè)序號(hào)。序號(hào)字段的值則指的是本報(bào)文段所發(fā)送的數(shù)據(jù)的第一個(gè)字節(jié)的序號(hào)。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充確認(rèn)號(hào)字段——占4字節(jié)，是期望收到對(duì)方的下一個(gè)報(bào)文段的數(shù)據(jù)的第一個(gè)字節(jié)的序號(hào)。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充數(shù)據(jù)偏移（即首部長度）——占4位，它指出TCP報(bào)文段的數(shù)據(jù)起始處距離TCP報(bào)文段的起始處有多遠(yuǎn)?！皵?shù)據(jù)偏移”的單位是32位字（以4字節(jié)為計(jì)算單位）。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充保留字段——占6位，保留為今后使用，但目前應(yīng)置為0。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充緊急URG——當(dāng)URG1時(shí)，表明緊急指針字段有效。它告訴系統(tǒng)此報(bào)文段中有緊急數(shù)據(jù)，應(yīng)盡快傳送(相當(dāng)于高優(yōu)先級(jí)的數(shù)據(jù))。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充確認(rèn)ACK——只有當(dāng)ACK1時(shí)確認(rèn)號(hào)字段才有效。當(dāng)ACK0時(shí)，確認(rèn)號(hào)無效。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充推送PSH(PuSH)——接收TCP收到PSH=1的報(bào)文段，就盡快地交付接收應(yīng)用進(jìn)程，而不再等到整個(gè)緩存都填滿了后再向上交付。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充復(fù)位RST(ReSeT)——當(dāng)RST1時(shí)，表明TCP連接中出現(xiàn)嚴(yán)重差錯(cuò)（如由于主機(jī)崩潰或其他原因），必須釋放連接，然后再重新建立運(yùn)輸連接。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充同步SYN——同步SYN=1表示這是一個(gè)連接請(qǐng)求或連接接受報(bào)文。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充終止FIN(FINis)——用來釋放一個(gè)連接。FIN1表明此報(bào)文段的發(fā)送端的數(shù)據(jù)已發(fā)送完畢，并要求釋放運(yùn)輸連接。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充窗口字段——占2字節(jié)，用來讓對(duì)方設(shè)置發(fā)送窗口的依據(jù)，單位為字節(jié)。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充檢驗(yàn)和——占2字節(jié)。檢驗(yàn)和字段檢驗(yàn)的范圍包括首部和數(shù)據(jù)這兩部分。在計(jì)算檢驗(yàn)和時(shí)，要在TCP報(bào)文段的前面加上12字節(jié)的偽首部。TCP首部20字節(jié)固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FINSYNRSTPSHACKURG位08162431填充緊急指針字段——占16位，指出在本報(bào)文段中緊急數(shù)據(jù)共有多少個(gè)字節(jié)（緊急數(shù)據(jù)放在本報(bào)文段數(shù)據(jù)的最前面）。

客戶服務(wù)器方式TCP連接的建立都是采用客戶服務(wù)器方式。主動(dòng)發(fā)起連接建立的應(yīng)用進(jìn)程叫做客戶(client)。被動(dòng)等待連接建立的應(yīng)用進(jìn)程叫做服務(wù)器(server)。用三次握手建立TCP連接

SYN=1,seq=xCLOSEDCLOSED主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器A的TCP向B發(fā)出連接請(qǐng)求報(bào)文段，其首部中的同步位SYN=1，并選擇序號(hào)seq=x，表明傳送數(shù)據(jù)時(shí)的第一個(gè)數(shù)據(jù)字節(jié)的序號(hào)是x。用三次握手建立TCP連接

SYN=1,seq=xCLOSEDCLOSED主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器SYN=1,ACK=1,seq=y,ack=x1B的TCP收到連接請(qǐng)求報(bào)文段后，如同意，則發(fā)回確認(rèn)。

B在確認(rèn)報(bào)文段中應(yīng)使SYN=1，使ACK=1，其確認(rèn)號(hào)ack=x1，自己選擇的序號(hào)seq=y。SYN=1,seq=xACK=1,seq=x+1,ack=y1CLOSEDCLOSED主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器SYN=1,ACK=1,seq=y,ack=x1A收到此報(bào)文段后向B給出確認(rèn)，其ACK=1，確認(rèn)號(hào)ack=y1。

A的TCP通知上層應(yīng)用進(jìn)程，連接已經(jīng)建立。SYN=1,seq=xACK=1,seq=x+1,ack=y1CLOSEDCLOSED數(shù)據(jù)傳送主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器SYN=1,ACK=1,seq=y,ack=x1B的TCP收到主機(jī)A的確認(rèn)后，也通知其上層應(yīng)用進(jìn)程：TCP連接已經(jīng)建立。SYN-SENTESTAB-LISHEDSYN-RCVDLISTENESTAB-LISHED用三次握手建立TCP連接的各狀態(tài)

SYN=1,seq=xACK=1,seq=x+1,ack=y1CLOSEDCLOSED數(shù)據(jù)傳送主動(dòng)打開被動(dòng)打開AB客戶服務(wù)器SYN=1,ACK=1,seq=y,ack=x1FIN=1,seq=uCLOSED主動(dòng)關(guān)閉數(shù)據(jù)傳送ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器CLOSED

數(shù)據(jù)傳輸結(jié)束后，通信的雙方都可釋放連接。現(xiàn)在A的應(yīng)用進(jìn)程先向其TCP發(fā)出連接釋放報(bào)文段，并停止再發(fā)送數(shù)據(jù)，主動(dòng)關(guān)閉TCP

連接。

A把連接釋放報(bào)文段首部的FIN=1，其序號(hào)

seq=u，等待B的確認(rèn)。TCP

的連接釋放FIN=1,seq=uACK=1,seq=v,ack=u1主動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器TCP

的連接釋放B發(fā)出確認(rèn)，確認(rèn)號(hào)ack=u1，而這個(gè)報(bào)文段自己的序號(hào)seq=v。

TCP服務(wù)器進(jìn)程通知高層應(yīng)用進(jìn)程。從A到B這個(gè)方向的連接就釋放了，TCP連接處于半關(guān)閉狀態(tài)。B若發(fā)送數(shù)據(jù)，A仍要接收。FIN=1,seq=uACK=1,seq=v,ack=u1FIN=1,ACK=1,seq=w,ack=u1主動(dòng)關(guān)閉被動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送TCP

的連接釋放

若B已經(jīng)沒有要向A發(fā)送的數(shù)據(jù)，其應(yīng)用進(jìn)程就通知TCP釋放連接。FIN=1,seq=uACK=1,seq=v,ack=u1FIN=1,ACK=1,seq=w,ack=u1主動(dòng)關(guān)閉被動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送TCP

的連接釋放A收到連接釋放報(bào)文段后，必須發(fā)出確認(rèn)。ACK=1,seq=u+1,ack=w1FIN=1,seq=uACK=1,seq=v,ack=u1FIN=1,ACK=1,seq=w,ack=u1主動(dòng)關(guān)閉被動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送TCP

的連接釋放

在確認(rèn)報(bào)文段中ACK=1，確認(rèn)號(hào)ackw1，自己的序號(hào)seq=u+1。ACK=1,seq=u+1,ack=w1CLOSEDACK=1,seq=u+1,ack=w1FIN=1,seq=uACK=1,seq=v,ack=u1FIN=1,ACK=1,seq=w,ack=u1FIN-WAIT-1CLOSE-WAITFIN-WAIT-2LAST-ACK等待2MSLTIME-WAIT主動(dòng)關(guān)閉被動(dòng)關(guān)閉數(shù)據(jù)傳送通知應(yīng)用進(jìn)程ESTAB-LISHEDESTAB-LISHEDAB客戶服務(wù)器數(shù)據(jù)傳送CLOSED5.9.2TCP

的連接釋放TCP連接必須經(jīng)過時(shí)間2MSL后才真正釋放掉。運(yùn)輸層的端口運(yùn)行在計(jì)算機(jī)中的進(jìn)程是用進(jìn)程標(biāo)識(shí)符來標(biāo)志的。運(yùn)行在應(yīng)用層的各種應(yīng)用進(jìn)程卻不應(yīng)當(dāng)讓計(jì)算機(jī)操作系統(tǒng)指派它的進(jìn)程標(biāo)識(shí)符。這是因?yàn)樵谝蛱鼐W(wǎng)上使用的計(jì)算機(jī)的操作系統(tǒng)種類很多，而不同的操作系統(tǒng)又使用不同格式的進(jìn)程標(biāo)識(shí)符。為了使運(yùn)行不同操作系統(tǒng)的計(jì)算機(jī)的應(yīng)用進(jìn)程能夠互相通信，就必須用統(tǒng)一的方法對(duì)TCP/IP體系的應(yīng)用進(jìn)程進(jìn)行標(biāo)志。需要解決的問題由于進(jìn)程的創(chuàng)建和撤銷都是動(dòng)態(tài)的，發(fā)送方幾乎無法識(shí)別其他機(jī)器上的進(jìn)程。有時(shí)我們會(huì)改換接收?qǐng)?bào)文的進(jìn)程，但并不需要通知所有發(fā)送方。我們往往需要利用目的主機(jī)提供的功能來識(shí)別終點(diǎn)，而不需要知道實(shí)現(xiàn)這個(gè)功能的進(jìn)程。端口號(hào)(protocolportnumber)

簡稱為端口(port)解決這個(gè)問題的方法就是在運(yùn)輸層使用協(xié)議端口號(hào)(protocolportnumber)，或通常簡稱為端口(port)。雖然通信的終點(diǎn)是應(yīng)用進(jìn)程，但我們可以把端口想象是通信的終點(diǎn)，因?yàn)槲覀冎灰岩獋魉偷膱?bào)文交到目的主機(jī)的某一個(gè)合適的目的端口，剩下的工作（即最后交付目的進(jìn)程）就由TCP來完成。軟件端口與硬件端口在協(xié)議棧層間的抽象的協(xié)議端口是軟件端口。路由器或交換機(jī)上的端口是硬件端口。硬件端口是不同硬件設(shè)備進(jìn)行交互的接口，而軟件端口是應(yīng)用層的各種協(xié)議進(jìn)程與運(yùn)輸實(shí)體進(jìn)行層間交互的一種地址。TCP的端口端口用一個(gè)16位端口號(hào)進(jìn)行標(biāo)志。端口號(hào)只具有本地意義，即端口號(hào)只是為了標(biāo)志本計(jì)算機(jī)應(yīng)用層中的各進(jìn)程。在因特網(wǎng)中不同計(jì)算機(jī)的相同端口號(hào)是沒有聯(lián)系的。三類端口熟知端口，數(shù)值一般為0~1023。登記端口號(hào)，數(shù)值為1024~49151，為沒有熟知端口號(hào)的應(yīng)用程序使用的。使用這個(gè)范圍的端口號(hào)必須在IANA登記，以防止重復(fù)?？蛻舳丝谔?hào)或短暫端口號(hào)，數(shù)值為49152~65535，留給客戶進(jìn)程選擇暫時(shí)使用。當(dāng)服務(wù)器進(jìn)程收到客戶進(jìn)程的報(bào)文時(shí)，就知道了客戶進(jìn)程所使用的動(dòng)態(tài)端口號(hào)。通信結(jié)束后，這個(gè)端口號(hào)可供其他客戶進(jìn)程以后使用。運(yùn)輸層為相互通信的應(yīng)用進(jìn)程提供了邏輯通信54321運(yùn)輸層提供應(yīng)用進(jìn)程間的邏輯通信主機(jī)A主機(jī)B應(yīng)用進(jìn)程應(yīng)用進(jìn)程路由器1路由器2AP1LAN2WANAP2AP3AP4IP層LAN1AP1AP2AP4端口端口54321IP協(xié)議的作用范圍運(yùn)輸層協(xié)議TCP和UDP的作用范圍AP3應(yīng)用進(jìn)程之間的通信兩個(gè)主機(jī)進(jìn)行通信實(shí)際上就是兩個(gè)主機(jī)中的應(yīng)用進(jìn)程互相通信。應(yīng)用進(jìn)程之間的通信又稱為端到端的通信。運(yùn)輸層的一個(gè)很重要的功能就是復(fù)用和分用。應(yīng)用層不同進(jìn)程的報(bào)文通過不同的端口向下交到運(yùn)輸層，再往下就共用網(wǎng)絡(luò)層提供的服務(wù)?！斑\(yùn)輸層提供應(yīng)用進(jìn)程間的邏輯通信”?！斑壿嬐ㄐ拧钡囊馑际牵哼\(yùn)輸層之間的通信好像是沿水平方向傳送數(shù)據(jù)。但事實(shí)上這兩個(gè)運(yùn)輸層之間并沒有一條水平方向的物理連接。影響網(wǎng)絡(luò)安全的主要因素（1）網(wǎng)絡(luò)固有的缺陷 因特網(wǎng)在設(shè)計(jì)之初對(duì)共享性和開放性的強(qiáng)調(diào)，使得其在安全性方面存在先天的不足。其賴以生存的TCP/IP協(xié)議族在設(shè)計(jì)理念上更多的是考慮該網(wǎng)絡(luò)不會(huì)因局部故障而影響信息的傳輸，基本沒有考慮安全問題，故缺乏應(yīng)有的安全機(jī)制。因此它在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。

例如：多數(shù)底層協(xié)議為廣播方式，多數(shù)應(yīng)用層協(xié)議為明文傳輸，缺乏保密與認(rèn)證機(jī)制，因此容易遭到欺騙和竊聽軟件及系統(tǒng)的“漏洞”及后門

影響網(wǎng)絡(luò)安全的主要因素（2）

隨著軟件及網(wǎng)絡(luò)系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，比如我們常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的服務(wù)器、瀏覽器、桌面軟件等等都被發(fā)現(xiàn)存在很多安全隱患。任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽或設(shè)計(jì)中的一個(gè)缺陷等原因留下漏洞。這也成為網(wǎng)絡(luò)的不安全因素之一影響網(wǎng)絡(luò)安全的主要因素（4）網(wǎng)絡(luò)普及，安全建設(shè)滯后 網(wǎng)絡(luò)硬件建設(shè)如火如荼，網(wǎng)絡(luò)管理尤其是安全管理滯后，用戶安全意識(shí)不強(qiáng)，即使應(yīng)用了最好的安全設(shè)備也經(jīng)常達(dá)不到預(yù)期效果安全技術(shù)選擇--根據(jù)協(xié)議層次

物理層：物理隔離

鏈路層:鏈路加密技術(shù)、PPTP/L2TP

網(wǎng)絡(luò)層:IPSec協(xié)議（VPN）、防火墻

TCP層:SSL協(xié)議、基于公鑰的認(rèn)證和對(duì)稱鑰加密技術(shù)應(yīng)用層:SHTTP、PGP、S/MIME、SSH(Secureshell)、開發(fā)專用協(xié)議（SET）因特網(wǎng)使用的安全協(xié)議

網(wǎng)絡(luò)層安全協(xié)議

1.IPsec與安全關(guān)聯(lián)SA

網(wǎng)絡(luò)層保密是指所有在IP數(shù)據(jù)報(bào)中的數(shù)據(jù)都是加密的。IPsec中最主要的兩個(gè)部分鑒別首部

AH(AuthenticationHeader)：AH鑒別源點(diǎn)和檢查數(shù)據(jù)完整性，但不能保密。封裝安全有效載荷

ESP(EncapsulationSecurityPayload)：ESP比AH復(fù)雜得多，它鑒別源點(diǎn)、檢查數(shù)據(jù)完整性和提供保密。安全關(guān)聯(lián)SA

(SecurityAssociation)

在使用AH或ESP之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián)

SA。

IPsec

就把傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。安全關(guān)聯(lián)的特點(diǎn)安全關(guān)聯(lián)是一個(gè)單向連接。它由一個(gè)三元組唯一地確定，包括：(1)安全協(xié)議（使用AH或ESP）的標(biāo)識(shí)符(2)此單向連接的源IP地址(3)一個(gè)32位的連接標(biāo)識(shí)符，稱為安全參數(shù)索引

SPI(SecurityParameterIndex)對(duì)于一個(gè)給定的安全關(guān)聯(lián)SA，每一個(gè)IPsec數(shù)據(jù)報(bào)都有一個(gè)存放SPI的字段。通過此SA的所有數(shù)據(jù)報(bào)都使用同樣的SPI值。2.鑒別首部協(xié)議AH在使用鑒別首部協(xié)議AH時(shí)，把AH首部插在原數(shù)據(jù)報(bào)數(shù)據(jù)部分的前面，同時(shí)把IP首部中的協(xié)議字段置為51。在傳輸過程中，中間的路由器都不查看AH首部。當(dāng)數(shù)據(jù)報(bào)到達(dá)終點(diǎn)時(shí)，目的主機(jī)才處理AH字段，以鑒別源點(diǎn)和檢查數(shù)據(jù)報(bào)的完整性。IP首部AH首部TCP/UDP報(bào)文段協(xié)議=513.封裝安全有效載荷ESP使用ESP時(shí)，IP數(shù)據(jù)報(bào)首部的協(xié)議字段置為50。當(dāng)IP首部檢查到協(xié)議字段是50時(shí)，就知道在IP首部后面緊接著的是ESP首部，同時(shí)在原IP數(shù)據(jù)報(bào)后面增加了兩個(gè)字段，即ESP尾部和ESP數(shù)據(jù)。在ESP首部中有標(biāo)識(shí)一個(gè)安全關(guān)聯(lián)的安全參數(shù)索引SPI(32位)，和序號(hào)(32位)。3.封裝安全有效載荷ESP（續(xù)）在ESP尾部中有下一個(gè)首部（8位，作用和AH首部的一樣）。ESP尾部和原來數(shù)據(jù)報(bào)的數(shù)據(jù)部分一起進(jìn)行加密，因此攻擊者無法得知所使用的運(yùn)輸層協(xié)議。ESP鑒別和AH中的鑒別數(shù)據(jù)是一樣的。因此，用ESP封裝的數(shù)據(jù)報(bào)既有鑒別源站和檢查數(shù)據(jù)報(bào)完整性的功能，又能提供保密。在IP數(shù)據(jù)報(bào)中的

ESP的各字段IP首部ESP首部TCP/UDP報(bào)文段使用ESP的IP數(shù)據(jù)報(bào)原數(shù)據(jù)報(bào)的數(shù)據(jù)部分ESP尾部ESP鑒別加密的部分鑒別的部分協(xié)議

=50運(yùn)輸層安全協(xié)議

安全套接層SSL

SSL

是安全套接層(SecureSocketLayer)，可對(duì)萬維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)進(jìn)行加密和鑒別。SSL在雙方的聯(lián)絡(luò)階段協(xié)商將使用的加密算法和密鑰，以及客戶與服務(wù)器之間的鑒別。在聯(lián)絡(luò)階段完成之后，所有傳送的數(shù)據(jù)都使用在聯(lián)絡(luò)階段商定的會(huì)話密鑰。SSL不僅被所有常用的瀏覽器和萬維網(wǎng)服務(wù)器所支持，而且也是運(yùn)輸層安全協(xié)議

TLS(TransportLayerSecurity)的基礎(chǔ)。SSL的位置TCP應(yīng)用層SSL運(yùn)輸層HTTPIMAPSSL功能標(biāo)準(zhǔn)套接字在發(fā)送方，SSL接收應(yīng)用層的數(shù)據(jù)（如HTTP或IMAP報(bào)文），對(duì)數(shù)據(jù)進(jìn)行加密，然后把加了密的數(shù)據(jù)送往TCP套接字。在接收方，SSL從TCP套接字讀取數(shù)據(jù)，解密后把數(shù)據(jù)交給應(yīng)用層。SSL提供以下三個(gè)功能(1)SSL

服務(wù)器鑒別允許用戶證實(shí)服務(wù)器的身份。具有SSL功能的瀏覽器維持一個(gè)表，上面有一些可信賴的認(rèn)證中心

CA(CertificateAuthority)和它們的公鑰。(2)加密的SSL會(huì)話客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密，在接收方解密。(3)SSL客戶鑒別允許服務(wù)器證實(shí)客戶的身份。2.安全電子交易SET

(SecureElectronicTransaction)安全電子交易

SET是專為在因特網(wǎng)上進(jìn)行安全支付卡交易的協(xié)議。SET的主要特點(diǎn)是：(1)SET是專為與支付有關(guān)的報(bào)文進(jìn)行加密的。(2)SET協(xié)議涉及到三方，即顧客、商家和商業(yè)銀行。所有在這三方之間交互的敏感信息都被加密。(3)SET要求這三方都有證書。在SET交易中，商家看不見顧客傳送給商業(yè)銀行的信用卡號(hào)碼。應(yīng)用層的安全協(xié)議

1.PGP(PrettyGoodPrivacy)

PGP是一個(gè)完整的電子郵件安全軟件包，包括加密、鑒別、電子簽名和壓縮等技術(shù)。PGP并沒有使用什么新的概念，它只是將現(xiàn)有的一些算法如MD5，RSA，以及IDEA等綜合在一起而已。雖然PGP已被廣泛使用，但PGP并不是因特網(wǎng)的正式標(biāo)準(zhǔn)。

2.PEM

(PrivacyEnhancedMail)

PEM是因特網(wǎng)的郵件加密建議標(biāo)準(zhǔn)，由四個(gè)RFC文檔來描述：(1)RFC1421：報(bào)文加密與鑒別過程(2)RFC1422：基于證書的密鑰管理(3)RFC1423：PEM的算法、工作方式和標(biāo)識(shí)符(4)RFC1424：密鑰證書和相關(guān)的服務(wù)PEM的主要特點(diǎn)PEM的功能和PGP的差不多，都是對(duì)基于RFC822的電子郵件進(jìn)行加密和鑒別。PEM有比PGP更加完善的密鑰管理機(jī)制。由認(rèn)證中心發(fā)布證書，上面有用戶姓名、公鑰以及密鑰的使用期限。每個(gè)證書有一個(gè)唯一的序號(hào)。證書還包括用認(rèn)證中心秘鑰簽了名的MD5散列函數(shù)。內(nèi)部工作子網(wǎng)與外網(wǎng)的訪問控制進(jìn)行訪問規(guī)則檢查發(fā)起訪問請(qǐng)求合法請(qǐng)求則允許對(duì)外訪問將訪問記錄寫進(jìn)日志文件合法請(qǐng)求則允許對(duì)外訪問發(fā)起訪問請(qǐng)求防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理隔離2、訪問控制3、對(duì)工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)DMZ區(qū)域與外網(wǎng)的訪問控制

Internet區(qū)域Internet邊界路由器進(jìn)行訪問規(guī)則檢查發(fā)起訪問請(qǐng)求合法請(qǐng)求則允許對(duì)外訪問將訪問記錄寫進(jìn)日志文件禁止對(duì)外發(fā)起連結(jié)請(qǐng)求發(fā)起訪問請(qǐng)求防火墻在此處的功能：1、DMZ網(wǎng)段與外部子網(wǎng)的物理隔離2、訪問控制3、對(duì)DMZ子網(wǎng)做MAP映射4、日志記錄DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)內(nèi)部子網(wǎng)與DMZ區(qū)的訪問控制進(jìn)行訪問規(guī)則檢查發(fā)起訪問請(qǐng)求合法請(qǐng)求則允許對(duì)外訪問將訪問記錄寫進(jìn)日志文件禁止對(duì)工作子網(wǎng)發(fā)起連結(jié)請(qǐng)求發(fā)起訪問請(qǐng)求

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)撥號(hào)用戶對(duì)內(nèi)部網(wǎng)的訪問控制撥號(hào)服務(wù)器Cisco2620移動(dòng)用戶PSTNModemModem進(jìn)行一次性口令認(rèn)證認(rèn)證通過后允許訪問內(nèi)網(wǎng)將訪問記錄寫進(jìn)日志文件內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)對(duì)總部的訪問控制撥號(hào)服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNSFW+VPNFW+VPN進(jìn)行規(guī)則檢查將訪問記錄寫進(jìn)日志文件防火墻在此處的功能：1、將內(nèi)部子網(wǎng)與連接下屬機(jī)構(gòu)的公網(wǎng)隔離開2、控制下屬機(jī)構(gòu)子網(wǎng)用戶對(duì)總部內(nèi)網(wǎng)的訪問3、對(duì)下屬機(jī)構(gòu)網(wǎng)絡(luò)與總部子網(wǎng)之間的通訊做日志和審計(jì)基于時(shí)間的訪問控制HostCHostD在防火墻上制定基于時(shí)間的訪問控制策略上班時(shí)間不允許訪問Internet上班時(shí)間可以訪問公司的網(wǎng)絡(luò)Internet用戶級(jí)權(quán)限控制HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶root123root123Yesadmin883No不管那臺(tái)電腦都可以用相同的用戶名來登陸防火墻只需在防火墻設(shè)置該用戶的規(guī)則即可高層協(xié)議控制

應(yīng)用控制可以對(duì)常用的高層應(yīng)用做更細(xì)的控制如HTTP的GET、POST、HEAD

如FTP的GET、PUT等物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)防火墻內(nèi)部接口外部接口根據(jù)策略檢查應(yīng)用層的數(shù)據(jù)符合策略應(yīng)用層應(yīng)用層應(yīng)用層IP與MAC綁定InternetHostAHostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBindTo00-50-04-BB-71-A6BindTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)流量控制HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)HostA的流量已達(dá)到10MHostA的流量已達(dá)到極限值30M阻斷HostA的連接Internet端口映射Internet

公開服務(wù)器可以使用私有地址隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWWFTPMAILDNS：80——：80：21——：21：25——：25：53——：53NAT網(wǎng)關(guān)和IP復(fù)用Internet4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：1目地址：4源地址：目地址：4

隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能透明接入受保護(hù)網(wǎng)絡(luò)Internet如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整HostAHostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址DefaultGateway=防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒有改變信息系統(tǒng)審計(jì)與日志HostAHostBHostCHostDInternet安全網(wǎng)域HostGHostH···TCP8：302001-02-07···TCP9：102001-02-07寫入日志寫入日志一旦出現(xiàn)安全事故可以查詢此日志身份鑒別功能HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶rootasdasdf驗(yàn)證通過則允許訪問root123Yesadmin883No

用戶身份認(rèn)證根據(jù)用戶控制訪問鏈路加密鏈路加密是指?jìng)鬏敂?shù)據(jù)僅在OSI/RM數(shù)據(jù)鏈路層上進(jìn)行加密，只對(duì)中間的傳輸鏈路進(jìn)行加密，不考慮信源和信宿（也就是信號(hào)的發(fā)送節(jié)點(diǎn)和接收節(jié)點(diǎn)）。鏈路加密過程中，所有消息在從源節(jié)點(diǎn)流出后，被傳輸之前需要由加密設(shè)備（加密機(jī)或者集成在網(wǎng)卡上的安全模塊）使用下一個(gè)鏈路的密鑰對(duì)數(shù)據(jù)進(jìn)行加密，在下一個(gè)中間節(jié)點(diǎn)接收消息前再由加密設(shè)備用本鏈路的密鑰進(jìn)行解密；然后在流出該中間節(jié)點(diǎn)進(jìn)行下一鏈路傳輸前再由加密設(shè)備使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)行加密；然后再進(jìn)行傳輸，直到消息到達(dá)目的節(jié)點(diǎn)路加密只是用于保護(hù)數(shù)據(jù)在通信節(jié)點(diǎn)間的傳輸安全，節(jié)點(diǎn)中的數(shù)據(jù)并不是加密的。在到達(dá)目的節(jié)點(diǎn)之前，一條消息可能要經(jīng)過許多條通信鏈路的傳輸，中間要經(jīng)過許多中間節(jié)點(diǎn)，這樣也就需要加、解密多次。由于在每一個(gè)中間節(jié)點(diǎn)消息均被解密后重新進(jìn)行加密，因此包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)在傳輸鏈路上均是以密文形式出現(xiàn)的端到端加密端到端加密是數(shù)據(jù)通信中的一端到另一端的全程加密方式，而且加密、解密過程只進(jìn)行一次，中間節(jié)點(diǎn)沒有這兩個(gè)過程。在端到端加密方式中，數(shù)據(jù)在發(fā)送端被加密，只在接收端解密，中間節(jié)點(diǎn)處不以明文的形式出現(xiàn)。但端到端加密是在應(yīng)用層完成的端到端加密是在源結(jié)點(diǎn)和目的結(jié)點(diǎn)中對(duì)傳送的PDU進(jìn)行加密和