信息安全技术 第一章 安全概述ppt课件.ppt

信息安全技术,李钟华江西财经大学信息学院ftp：/lzhst:123456210.35.205.52,第一章 绪论,1.1 典型网络安全需求1.2 安全与开放系统1.3 网络安全策略1.4 安全威胁与防护措施1.5 网络安全服务1.6 入侵检测与安全审计1.7 网络体系结构1.8 安全服务的分层配置与安全服务的管理1.9 安全基础设施,3,信息的处理方式,1.1 典型的网络安全需求,目前，网络安全已不再是军方和政府要害部门的一种特殊需求。实际上，所有的网络应用环境包括银行、电子交易、政府（无密级的）、公共电信载体和互联/专用网络都有网络安全的需求。,典型的网络安全需求,1.2 安全与开放系统,矛盾？开放系统：可以自由地选择经销商来购买不同的系统部件，而这些部件可以有机地组合起来以满足购买者的需要。因此，开放系统的发展与应用和标准的制定密切相关。计算机联网是与开放系统并肩发展起来的。开放系统的标志是开放系统互连（OSI）模型的提出。自从70年代以来，这个模型得到了不断的发展和完善，从而成为全球公认的计算机通信协议标准。除了OSI标准外，另外一些标准化组织也建立了开放系统网络协议。最为有名的当属Internet协会，它提出了著名的TCP/IP协议。通过围绕开放系统互联所开展的标准化活动，使得不同的厂家所提供的设备进行互联成为可能。,续一,将安全保护措施渗透到开放系统网络中：复杂性安全技术的应用与通信协议的设计。为了给开放系统网络提供安全保证，就必须将安全技术与安全协议相结合，而安全协议是一般的网络协议的重要组成部分。当前，我们要做的主要工作是在下列的三个较宽的领域内，设计或建立一些兼容的或作为补充的标准： 1）安全技术； 2）一般用途的安全协议； 3）特殊用途的安全协议，如银行、电子邮件等应用。,续二,与以上领域有关的标准主要来自以下四个方面： 1）有关信息技术的国际标准。这些标准是由以下组织建立的：国际标准化组织（ISO），国际电工委员会（IEC），国际电信联盟（ITU，原称CCITT）和电气与电子工程师协会（IEEE）； 2）银行工业标准。这些标准或者是由ISO国际性地开发的，或者是由美国国家标准协会(ANSI)面向美国国内的应用而开发的； 3）国家政府标准。这些标准是由各国政府制定的； 4）Internet标准。这些标准是由Internet协会开发的。,1.3 网络安全策略,安全区域：通常是指属于某个组织的处理和通信资源之集。安全策略：是指在某个安全区域内，用于所有与安全活动相关的一套规则。这些规则是由此安全区域中所设立的一个权威机构来建立的。安全策略是一个很广泛的概念，这一术语以许多不同的方式用于各种文献和标准之中。OSI安全体系结构中将安全策略定义为安全服务应达到的各种准则。,续一,安全策略有以下几个不同的等级： 1）安全策略目标：是某个机构对所要保护的特定资源要达到的目的所进行的描述； 2）机构安全策略：是一套法律、规则和实际操作方法，用于规范某个机构如何来管理、保护和分配资源以达到安全策略的既定目标； 3）系统安全策略：所描述的是如何将某个特定的信息技术系统付诸工程实现，以支持此机构的安全策略要求。,续二,1.3.1 授权1.3.2 访问控制策略1.3.3 责任,1.3.1 授权,授权（authorization）：指赋予主体（用户、终端、程序等）对客体（数据、程序等）的支配权力，它等于规定了谁可以对什么做些什么。授权描述在机构安全策略等级上的一些例子如下： 1）文件Project-X-Status只能由lzhh修改，并由tanzw，wanz和Project-X计划小组中的成员阅读； 2）一个人事纪录只能由人事部的职员进行新增和修改，并且只能由人事部职员、执行经理和该纪录所属于的那个人阅读； 3）在一个有机密、秘密和绝密等密级的多级安全系统中，只有所持许可证级别等于或高于此密级的人员，才有权访问此密级中的信息。,1.3.2 访问控制策略,访问控制策略（Access Control Policies）：隶属于系统安全策略，它迫使在计算机系统和网络中自动地执行授权。以上授权描述实例分别对应于以下不同的访问控制策略： 1）基于身份的策略：该策略允许或拒绝对明确区分的个体或群体进行访问； 2）基于角色的策略：该策略是基于身份的策略的一种变形，它给每个个体分配角色，并基于这些角色来使用授权机制； 3）多级策略：该策略是基于信息敏感性的等级以及工作人员许可证等级而制定的一般规则。,续一,可分为强制访问控制策略、自主访问控制策略两类。强制访问控制策略是由安全区域的权威机构强制实施的，任何用户都不能回避它。强制访问控制策略在军事上和其它政府机密环境最为常用，上述的策略3）就是一个例子。自主访问控制策略为一些特殊的用户提供了对资源（例如信息）的访问权，这些用户可以利用此权限控制对资源进行访问。上述的策略1）和2）就是自主访问控制策略的两个例子。在机密环境中，自主访问控制策略用于强制执行“须知（Need to Know）”最小特权策略（Least Privilege Policy）或最小泄漏策略（Least Exposure Policy）。前者只授予主体为执行任务所必需的信息或处理能力；后者按原则向主体提供机密信息，并且主体承担保护信息的责任。,1.3.3 责任,责任（Accountability）：支撑所有安全策略的一个根本原则。受到安全策略制约的任何个体在执行任务时，需要对它们的行为负责任。这与人事安全有十分重要的关联。某些网络防护措施，包括认证工作人员的身份以及与这种身份相关的活动，都直接地支持这一原则。,1.4安全威胁与防护措施,1.4.1 基本概念1.4.2 安全威胁1.4.3 防护措施1.4.4 病毒,1.4.1 基本概念,安全威胁：是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法使用所造成的危害。某种攻击就是某种威胁的具体实现。防护措施：是指保护资源免受威胁的一些物理控制、机制、策略和过程。脆弱性：是指在防护措施中和在缺少防护措施时系统所具有的弱点。风险：是关于某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。当某个脆弱的资源的价值高，以及成功攻击的概率高时，风险也就高；反之，当某个脆弱的资源的价值低，以及成功攻击的概率低时，风险也就低。风险分析能够提供定量的方法来确定防护措施的支出是否应予以保证。安全威胁可分成故意的（如黑客渗透）和偶然的（如信息被发往错误的地址）两类。故意的威胁又可以进一步被分成被动的和主动的两类。被动威胁包括只对信息进行监听（如搭线窃听），而不对其进行修改。主动威胁包括对信息进行故意的修改（如改动某次金融会话过程中货币的数量）。,18,网络安全面临的威胁,物理风险,系统风险,信息风险,应用风险,其它风险,网络的风险,管理风险,设备防盗，防毁 链路老化人为破坏 网络设备自身故障 停电导致无法工作 机房电磁辐射 其他,信息存储安全 信息传输安全 信息访问安全 其他,身份鉴别 访问授权 机密性 完整性 不可否认性 可用性,计算机病毒 外部攻击 内部破坏 其他风险 软件弱点,是否存在管理方面的风险需有无制定相应的安全制度,安全拓扑 安全路由,Internet,19,国际标准化组织对具体的威胁定义 ：,伪装(pseudonym)：非法连接(illegal association)：非授权访问(no-authorized access)：重放(replay)拒绝服务(denial of service)：抵赖(repudiation)：信息泄露(leakage of information)：业务流量分析(traffic analysis)改变信息流(invalid message sequencing)篡改或破坏数据(data modification or destruction)推断或演绎信息(deduction of information)：非法篡改(illegal modification of programs)：,1.4.2 安全威胁,基本的威胁 信息安全的基本目标是实现信息的机密性、完整性、可用性以及资源的合法使用。以下四个基本的安全威胁直接反映出了这四个安全目标。 1）信息泄漏：信息被泄漏或透露给某个未授权的实体。这种威胁主要来自诸如窃听、搭线或其它更加错综复杂的信息探测攻击； 2) 完整性破坏：数据的一致性通过未授权的创建、修改或破坏而受到损坏； 3）拒绝服务：对信息或其它资源的合法访问被无条件地阻止。这可能是由于以下攻击所致：攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的负载，从而导致系统的资源对合法用户也是不可使用的。也可能由于系统在物理上或逻辑上受到破坏而中断服务； 4）非法使用：某一资源被某个未授权的人或以某一未授权的方式使用。,续二,主要的可实现的威胁 在安全威胁中，主要的可实现的威胁是十分重要的，因为任何这类威胁的某一实现会直接导致任何基本威胁的某一实现。因而，这些威胁使基本的威胁成为可能。主要的可实现的威胁包括渗入威胁和植入威胁。 主要的渗入威胁有： 1）假冒：某个实体（人或系统）假装成另外一个不同的实体。这是渗入某个安全防线的最为通用的方法。某个未授权的实体提示某一防线的守卫者，使其相信它是一个合法的实体，此后便攫取了此合法用户的权利和特权。黑客大多采用假冒攻击。 2）旁路控制：为了获得未授权的权利和特权，某个攻击者会发掘系统的缺陷或安全上的脆弱之处。 3）授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其它未授权的目的，这也称作“内部威胁”。 主要的植入威胁有： 1）特洛伊木马（Torojan House）：软件中含有一个觉察不出的或无害的程序段，当它被执行时，会破坏用户的安全性。 2）陷门：在某个系统或某个文件中设置的“机关”，使得当提供特定的输入数据时，允许违反安全策略。,续三,潜在威胁 如果在某个给定环境对任何一种基本威胁或者主要的可实现的威胁进行分析，我们就能够发现某些特定的潜在威胁，而任意一种潜在威胁都可能导致一些更基本的威胁的发生。例如，如果考虑信息泄漏这样一种基本威胁，我们有可能找出以下几种潜在威胁（不考虑主要的可实现的威胁）： 1) 窃听； 2) 业务流分析； 3) 人员疏忽； 4) 媒体清理。,23,我国当前信息安全的现状,总部,下属机构,黑客,信息泄密 信息被篡改,Internet,2.电脑黑客活动已形成重要威胁。,24,我国当前信息安全的现状,3.信息基础设施面临网络安全的挑战。,非法用户,非法登录,合法用户,越权访问,计算机网络,信息被越权访问 信息被非授权访问,图1.4.1 典型的潜在威胁及其之间的相互关系,表1.4.1 典型的网络安全威胁,接上表,续,在现实生活中，下面几种威胁是最主要的威胁： 1）授权侵犯； 2）假冒； 3）旁路控制； 4）特洛伊木马或陷门； 5）媒体清理。 在具体实施攻击时，攻击者往往将几种攻击结合起来使用，Internet蠕虫（Internet Worm）就是将旁路控制与假冒攻击结合起来的一种威胁。在这种威胁中，旁路控制涉及对Berkeley UNIX操作系统的已知缺陷的利用，而假冒则涉及对用户口令的破译。,29,攻击者需要的技能日趋下降,攻击工具复杂性,攻击者所需技能,1.4.3 防护措施,除了采取密码技术的防护措施以外，还有以下几类防护措施： 1） 物理安全：门锁或其它物理访问控制；敏感设备的防窜改；环境控制； 2）人员安全：职位敏感性识别；雇员筛选过程；安全性训练和安全意识； 3）管理安全：控制软件从外国进口；调查安全泄露、检查审计追踪以及检查责任控制的工作程序； 4) 媒体安全：保护信息的存储；控制敏感信息的记录、再生和销毁；确保废弃的纸张或含有敏感信息的磁性介质得到安全的销毁；对媒体进行扫描，以便发现病毒； 5) 辐射安全：射频（RF）及其它电磁（EM）辐射控制（亦被称作TEMPEST保护）； 6) 生命周期控制：可信系统的设计、实现、评估和担保；程序设计标准及控制；文档控制。,续,一个安全系统的强度是与其最弱链路的强度相同。为了提供有效的安全性，我们需要将属于不同种类的威胁对抗措施联合起来使用。例如，当用户将口令遗忘在某个不安全的地方，或者受到欺骗而将口令暴露给某个未知的电话用户时，用于对付假冒攻击的口令系统即使技术上是完备的也将是无效的。保护措施可用来对付大多数的安全威胁，但是每个防护措施均要付出代价。一个网络用户或代理人需要仔细考虑这样一个问题，即为了防止某一攻击所付出的代价是否值得。例如，在商业网络中，一般不考虑对付电磁（EM）或射频泄露，因为对商用来说其风险是很小的，而且其防护措施又十分昂贵（但在一个机密环境中，我们会得出不同的结论）。对于某一特定的网络环境，究竟采用什么安全防护措施，这种决策的做出属于风险管理的范畴。目前，人们已经开发出了各种定性的和定量的风险管理工具。,1.4.4 病毒,病毒（Viruses）：是指一段可执行的程序代码，通过对其它程序进行修改，可以“感染”这些程序使它们成为含有该病毒程序的一个拷贝。一种病毒通常含有两种功能：一种功能是对其它程序产生“感染”；另一种或者是引发损坏功能，或者是一种植入攻击的能力。病毒是对软件、计算机和网络系统的最大威胁。随着网络化，特别是Internet的发展，大大地加速了病毒的传播。尽管在“开放”环境中要完全消除病毒是不可能的，但是它们的传播可以通过病毒软件和媒体管理等手段，而得到有效的控制。,33,黑客攻击与网络病毒日趋融合,1.5 网络安全服务,在计算机通信网络中，主要的安全防护措施被称作安全服务。有以下五种通用的安全服务： 1）认证服务：提供某个实体（人或系统）的身份的保证； 2）访问控制服务：保护资源以免对其进行非法使用和操纵； 3）机密性服务：保护信息不被泄露或暴露给未授权的实体； 4）数据完整性服务：保护数据以防止未授权的改变、删除或替代； 5）非否认服务：防止参与某次通信交换的一方事后否认本次交换曾经发生过。为某一安全区域所制定的安全策略决定着在该区域内或者在与其它区域进行通信交换时，应采用哪些安全服务。它也决定着在什么条件下可以使用某个安全服务，以及对此服务的任意一个变量参数施加了什么限制。对于数据通信环境，甚至电子环境，都没有更特别的安全服务。而上述各种通用的安全服务均有非电子的模拟系统，它们采用了人们所熟悉的支持机制。,表1.5.1 非电子的安全机制,1.5.1 认证,认证服务：提供了关于某个实体（人或事物）身份的保证。这意味着每当某个实体声称具有一个特定的身份（例如，一个特定的用户名）时，认证服务将提供某种方法来证实这一声明是正确的。口令是一种提供认证的熟知方法。认证是一种最重要的安全服务，因为在某种程度上所有其它的安全服务都依赖于它。认证是对付假冒攻击的有效方法。,续一,认证用于一个特定的通信过程，即在此过程中需要提交实体的身份。认证可分为： 1）实体认证：身份是由参与某次通信连接或会话的远端的一方提交的。这种认证只是简单地认证实体本身的身份，不会和实体想要进行何种活动联系起来。显然，它的作用是有限的（因为实体通常是希望在识别身份的基础上执行其它操作）。因此，在实际工作中，实体认证通常会产生一个明确的结果，允许实体进行其它活动或通信。 2）数据起源认证：身份是由声称它是某个数据项的发送者的那个实体所提交的。此身份连同数据项一起发送给接收者。这种认证就是认证某个指定的数据项是否来源于某个特定的实体。这既不是孤立地认证一个实体，也不是为了允许实体执行下一步的操作而认证它的身份，而是为了确定被认证的实体与一些特定数据项有着静态的不可分割的联系。,续二,在达到基本的安全目标方面，上述两种类型的认证服务都具有重要的作用。数据起源认证是保证部分完整性目标的直接方法，即保证知道某个数据项的真正的起源。而实体认证则采用以下各种不同方式，以便达到安全目标。 1）作为访问控制服务的一种必要支持，访问控制服务的执行依赖于确知的身份（访问控制服务直接对达到机密性、完整性、可用性及合法使用目标提供支持）； 2）作为提供数据起源认证的一种可能方法（当它与数据完整性机制结合起来使用时）； 3）作为对责任原则的一种直接支持，例如，在审计追踪过程中做纪录时，提供与某一活动相联系的确知身份。 实体认证的一个重要的实例是人员认证，即对处于网络终端上的某个人进行认证。需要特别指出的是在某个终端上，不同的人员之间容易互相替代。在区分单个人方面可以采用一些特别的技术。,1.5.2 访问控制,未授权访问：包括未经授权的使用、泄露、修改、销毁以及颁发指令等。访问控制的目标是防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。访问控制直接支持机密性、完整性、可用性以及合法使用的安全目标。它对机密性、完整性和合法使用所起的作用是十分明显的。它对可用性所起的作用，取决于对以下几个方面进行有效的控制： 1）谁能够颁发会影响网络可用性的网络管理指令； 2）谁能够滥用资源以达到占用资源的目的； 3）谁能够获得可以用于拒绝服务攻击的信息。访问控制是实施授权的一种方法。它既是通信安全的问题，又是计算机（操作系统）安全的问题。由于必须在系统之间传输访问控制信息，因此它对通信协议具有很高的要求。访问控制的一般模型假定了一些主动的实体，称为发起者或主体。它们试图访问一些被动的资源，称作目标或客体。术语“主体/客体” “发起者/目标” 。,续一,一个访问控制机制模型由两部分组成-实施功能和决策功能。OSI访问控制模型（ISO/IEC10181-3标准）使用了这些概念。如图1.5.1所示。实际上，这两个组成部分的物理构成可能差别很大。通常，某些构成是将两个组成部分放在一起的。然而，在这些组成部分之间常常要传输访问控制信息，访问控制服务为这一通信提供了保证。,图1.5.1 访问控制模型的基本组成部分,续二,访问控制的另一作用是保护敏感信息不经过有风险的环境传送。这涉及到对网络的业务流或消息所实施的路由控制（所谓路由控制是指选路规则，以选择或绕过指定的网络、连接或中继）。访问控制服务的深入讨论依赖于两个因素：访问控制策略的类型和各组成部分的物理构成。,1.5.3 机密性,机密性服务就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。在存储和通信中的某一数据项构成了某种形式的信息通道。然而，在计算机通信环境中，这不是唯一的信息通道。其它信息通道包括： 1）观察某一数据项的存在与否（不管它的内容）； 2）观察某一数据项的大小； 3）观察某一数据项（如数据项内容、存在、大小等）的动态变化。例如，信息“导弹已经发射”可用下列方法中的任何一种方法故意或无意地传送： 1）1比特数据项：值1表示“导弹已经被发射”，值0表示“导弹仍未被发射”； 2）在某一文件目录中称作“导弹发射报告”的文件存在与否； 3）利用包含导弹发射纪录的表的数据项的尺寸比先前的导弹发射的纪录的尺寸大的事实； 4）通过观察导弹发射的英里计数器继续增加的事实。,续,在计算机通信安全中，要区分两种类型的机密性服务：数据机密性服务（例如，使用加密手段）使得攻击者想要从某个数据项中推出敏感信息是十分困难的；而业务流机密性服务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困难的。根据对什么样数据项进行加密，数据机密性服务又可以分成三种主要类型：第一，称作连接机密性服务，它是对某个连接上传输的所有数据进行加密；第二，称作无连接机密性服务，它是对构成一个无连接数据单元的所有数据进行加密；第三，称作选择字段机密性服务，它仅对某个数据单元中所指定的字段进行加密。,1.5.4完整性,完整性服务是对下面的安全威胁所采取的一类防护措施，这种威胁就是以某种违反安全策略的方式，改变数据的价值和存在。改变数据的价值是指对数据进行修改和重新排序；而改变数据的存在则意味着新增或删除它。依赖于应用环境，以上任何一种威胁都有可能导致严重的后果。例如，考虑一台与其控制银行进行通信的自动出纳机（ATM）。,续,数据完整性服务有三种重要的类型：第一，连接完整性服务，它是对某个连接上传输的所有数据进行完整性检验；第二，无连接完整性服务，它是对构成一个无连接数据单元的所有数据进行完整性检验；第三，选择字段完整性服务，它仅对某个数据单元中所指定的字段进行完整性检验。所有的数据完整性服务都能够对付新增或修改数据的企图。但未必都能够对付复制或删除数据。复制是由重放攻击所造成的。无连接和选择字段完整性服务主要是为了检测对部分数据的修改，也许不能检测到重放攻击。连接完整性服务要求能够防止在某一连接内重放数据，但它仍然存在弱点，因为某个入侵者可能重放一个完整的连接。检测对某些数据的删除至少与检测重放攻击一样难。因此在说明任意一种数据完整性服务时要特别注意。一个连接完整性服务也许会提供“恢复”的选择。在这种情况下，当在某个连接内检测到完整性被破坏的时候，该服务将试图“恢复”数据。例如，通信将返回到某一检测点并重新开始。,1.5.5非否认性,非否认服务：主要目的是保护通信用户免遭来自系统中其它合法用户的威胁，而不是来自未知攻击者的威胁。“否认” 是指参与某次通信交换的一方事后不诚实地否认曾发生过本次交换。 “非否认” 所能够做的是提供无可辩驳的证据，以支持快速解决任何这样的纠纷。 非否认服务的出发点并不是仅仅因为在通信各方之间存在着相互欺骗的可能性。它也反映了这样一个现实，即没有任何一个系统是完备的，而且也可能出现通信双方最终达不成一致协议这样的情况。,续,生活中的非否认机制，诸如签名、公证签名、收据、邮戳以及挂号邮件等。电子化商业活动中，非否认服务提供了保护机制。主要是采用数字签名技术。数据网络环境，服务的否认又可以分为以下两种不同的情况： 1）起源的否认：这是一种关于“某特定的一方是否产生了某一特定的数据项”的纠纷和/或关于产生时间的纠纷； 2）传递的否认：这是一种“某一特定的数据项是否被传送给某特定一方”的纠纷和/或关于产生时间的纠纷。 这两种服务的否认情况导致了两种不同的非否认服务。,1.5.6应用,分两步：第一步是建立典型的安全需求与安全威胁之间的对应关系，见表1.5.2；第二步是指出用于对付典型的威胁可能采用的安全服务，见表1.5.3。,表1.5.3 用于对付典型安全威胁的安全服务,1.6入侵检测与安全审计,入侵检测：基于实时事件序列和/或积累的纪录进行分析，自动地向安全管理者警告可能的安全侵犯。这些方法的主要目的是检测异常活动。例如，从一个终端进行多次不成功的登录或多次试图访问一个计算机口令文件。检测的基本方法有两类：一类是基于统计分析的；另一类是基于规则的。基于统计分析的监测方法的基本观点是：定期收集与合法用户行为有关的数据，而后用于对观察的行为统计检验，以高可信度决定是否与合法用户的行为相符。基于规则的检测方法的基本观点是：试图以预先定义的一组规则来检测一个入侵者的行为。入侵检测是一个特别有用的安全工具，因为它能对付滥用权力的内部攻击者和由于口令或密钥丢失或被盗等此类事件所造成的攻击。目前市场上已有许多这类产品。,续,安全审计是对系统纪录和过程的检查和审查。其目的是测试安全策略是否充足，证实安全策略的一致性，建议安全策略的改变，协助攻击的分析，收集证据以用于起诉攻击者。安全审计追踪是记录用于入侵检测和/或安全审计的相关事件的一个日志。它可自动纪录一些重要安全事件，例如入侵者持续地试验不同的通行字企图接入。记录此事件应包括试图联机的每个用户所在工作站的网络地址和时间，同时对管理员的活动也要纪录，以便于研究入侵事件。有些入侵的成功可能是由于管理员的错误所造成的，如管理员误将根访问权给了另一个用户。审计追踪是检测入侵的一个基本工具。设计审计系统的关键是： 1）确定必须审计的事件，建立软件纪录这些事件，并将其存储，防止随意访问； 2）审计机构监测系统的活动细节并以确定格式进行纪录； 3）对试图联机，对敏感文件的读写，管理员对文件的删除、建立和访问权的授予等每一事件进行纪录； 4）管理员在安装时对要纪录的事件做出明确规定。,1.7网络体系结构1.7.1网络的层次结构 计算机网络就是将多台计算机互连起来，使得用户程序能够交换信息和共享资源。不同系统中的实体进行通信，其过程是相当复杂的，为了简化网络的设计，人们采用工程设计中常用的结构化设计方法，即将复杂的通信问题分解成若干个容易处理的子问题，然后逐个加以解决。 网络设计中采用的结构化设计方法，就是将网络按照功能分成一系列的层次，每一层完成一个特定的功能，相邻层中的较高层直接使 用较低层提供的服务来实现本层的功能，同时 又向它的上一层提供服务，服务的提供和使用都是通过相邻层的接口来进行的。这也就是人们通常所说的网络的层次结构，参见图1.7.1。层次结构是现代计算机网络的基础。这种结构不仅使得网络的设计与具体的应用、基础的媒体技术以及互联技术等无关，具有很大的灵活性，而且每一层的功能简单、易于实现和维护。,N+1层,N1层,N1层,N/N+1层接口,N/N+1层接口,图1.7.1 网络的层次结构,1.7.2服务、接口和协议 每一层中的活动元素称为实体，实体可以是软件实体（如进程），也可以是硬件实体（如智能I/O芯片）。位于不同系统上同一层中的实体称为对等实体，不同系统间进行通信实际上是各对等实体间在通信。在某层上进行通信所使用的规则的集合称为该层的协议，各层协议按层次顺序排列而成的协议序列称为协议栈。 事实上，除了在最底层的物理媒体上进行的是实通信之外，其余各对等实体间进行的都是虚通信，即并没有数据流从一个系统的第N层直接流到另一个系统的第N层。每个实体只能和同一系统中上下相邻的实体进行直接的通信，不同系统中的对等实体是没有直接通信能力的，它们间的通信必须通过其下各层的通信间接完成。第N层实体向第(N+1)层实体提供的在第N层上的通信能力称为第N层的服务。由此可见，第（N+1）层实体通过请求第N层的服务完成第（N+1）层上的通信，而第N层实体通过请求第（N-1）的服务完成第N层上的通信，以此类推直到最底层，最底层上的对等实体通过连接它们的物理媒体直接通信。在第N层协议中所传送的每一信息被称作第N层协议数据单元PDU(Protocol-Data-Unit)。,相邻实体间的通信是通过它们的边界进行的，该边界称为相邻层间的接口。在接口处规定了下层向上层提供的服务，以及上下层实体请求（提供）服务所使用的形式规范语句，这些形式规范语句称为服务原语。因此可以说，相邻实体通过发送或接收服务原语进行交互作用。而下层向上层提供的服务分为两大类：面向连接的服务和无连接的服务。面向连接的服务是电话系统服务模式的抽象，每一次完整的数据传输都必须经过建立连接、使用连接和终止连接三个过程。在数据传输过程中，个数据分组不携带信宿地址，而使用连接号。本质上，服务类型中的连接是一个管道，发送者在一端放如数据，接收者从另一端取出数据。其特点是：收发数据不但顺序一致而且内容相同。无连接服务是邮政系统服务模式的抽象，其中每个数据分组都携带完整的信宿地址，各数据分组在系统中独立传送。无连接服务不能保证数据分组的先后顺颍捎谙群蠓偷氖分组可能经不同去往信宿，所以先发的未必先到。 图1.7.2是计算机网络的层次模型，其中用实线表示实通信，用虚线表示虚通信。,N+1,N,N-1,N+1,N,N-1,系统A,系统B,物理媒体,N/N+1层接口处,图1.7.2 网络的层次模型 在对一个网络进行层次结构的划分时，应做到：各层功能明确，相互独立；层间接口清晰，穿越接口的信息量尽量少；层次适中。虽然模型系统在结构上是分层的，但这并不要求现实系统在工程实现时也采用同样的层次结构。它们可以由实现者按其选择的任何方式来构造，只要这种实现的最终性能与模型系统所定义的性能相吻合即可。例如，人们在工程实现时，可能将多个相邻层的功能合并成一个软件，而层与层之间没有明显的界限。 通常人们将网络的层次结构、协议栈和相邻层间的接口以及服务统称为网络体系结构。,1.7.3网络参考模型 目前最主要和流行的网络参考模型是OSI参考模型和TCP/IP参考模型。本节简要介绍一下这两个参考模型。1.OSI参考模型 OSI(Open System Interconnection开放系统互连)参考模型是ISO为解决异种机互连而制定的开放式计算机网络层次结构模型，它的最大优点是将服务、接口和协议这三个概念明确地区别开来。服务说明某一层提供什么功能，接口说明上一层如何使用下层的服务，而协议涉及如何实现该层的服务。各层采用什么样的协议是没有限制的，只要向上提供相同的服务并且不改变相邻层的接口即可。这种思想同现代的面向对象的编程思想是完全一致的，一层就是一个对象，服务实现的细节完全封装在层内，因此各层之间具有很强的独立性。OSI参考模型出现在其协议栈之前，因而它不依赖于任何具体的协议，非常具有普适性，适合于用来描述各种网络。OSI参考模型分为七层，由低到高依次为物理层、数据链路层、网络层、会话层、表示层和应用层，参见图1.7.3。OSI参考模型只是规定了网络的层次划分，以及每一层上所实现的功能，但它没有规定每一层上所实现的服务和协议，因此它本身并不是一个网络体系结构。尽管ISO已为每一层都制订了标准，但这些标准不是参考模型的组成部分。,应用层,网络层,传输层,会话层,表示层,应用层,表示层,会话层,传输层,网络层,数据链路层,数据链路层,物理层,物理层,开放式系统A,开放式系统B,网络层,物理层,网络层,物理层,通信子网边界内部子网协议,数据链路层,数据链路层,第七层,第六层,第五层,第四层,第三层,第二层,第一层,网络层主机路由协议,数据链路层主机路由协议,物理层主机路由协议,图1.7.3 OSI参考模型,各层的主要功能如下： 1）应用层是OSI参考模型的最高层，它的作用是为应用进程提供访问OSI环境的方法。应用层协议标准描述了应用于某一特定应用或一类应用的通信功能。对于一些普通需要的网络应用，如域名服务、文件传输、电子邮件、远程终端等，已经制订了一系列的标准，随着网络应用的进一步开发，新的标准将不断地产生； 2）表示层为上层用户提供数据或信息语法的表示转换。大多数用户间交换的信息是有一定数据结构的，如人名、日期、货币数量等，不同的系统内部表示数据的方法可能不同。为了便于信息的相互理解，需定义一种抽象的数据语法来形式地表示各种数据类型和数据结构，并定义相关的编码形式作为传输数据时的传送语法，表示层即负责系统内部的数据表示与抽象数据表示之间的转换工作。除此之外，在表示层上还可以进行数据的加/解密和压缩/解压缩等转换功能。总之，表示层上实现的功能都与数据表示有关；,3）会话层是进程-进程层，进程间的通信也称为会话，会话层组织和管理不同主机上各进程间的对话。具体地说，会话层负责在两个会话层用户（如表示层协议实体）之间建立和清除对话；如果与对话相关的数据交换是半双工的，那么会话层就可以提供一种数据权标来控制哪一方有权发送数据；当进程间要进行长时间数据传输，而通信子网故障率又比较高时，会话层可以在数据流中插入若干同步点，在每次网络出现故障时，仅需从最近的一个同步点开始重传，不必每次都从头开始。在七个层次中，会话层是最“薄”的一层，功能很少，在有些网络中可以省略这一层；,4）传输层是第一个端-端层，也称为主机-主机层，它为上层用户提供不依赖于具体网络的高效、经济、透明的端-端数据传输服务（所谓端-端是描述网络传输中对等实体之间关系的一个概念。在端-端系统中，初始信源机上某实体与最终信宿机的对等实体直接通信，彼此之间就像有一条直接线路，而不管传输过程中要经过多少接口报文处理机（IMP）。与端-端对应的另一个概念是点-点。在点-点系统中，对等实体间的通信由一段一段的直接相连的机器间的通信组成）。由于传输层将具体的通信子网同上层用户隔离开来，上层用户觉察不到通信子网的存在，因而利用统一的传输原语书写的高层软件可以运行于任何通信子网之上，具有很好的通用性。除了处理端-端的差错控制和流量控制以外，传输层还可以通过上层用户提出的传输连接请求，或为其建立一条独立的网络连接；或为其建立多条网络连接来分流大量的数据，减少传输时间；或将多条传输连接复用到同一条网络连接上，从而降低每一条传输连接的费用；分流和复用对上层用户都是透明的。,5）网络层的作用是将数据分成一定长度的分组，将分组穿过通信子网从信源传送到信宿。在点-点子网中，从信源到信宿通常存在多条路径，网络层要负责进行路由选择。另外，过多的分组同时涌入通信子网，会引起网络局部或全网性能下降，造成拥塞，网络层必须采用一定的手段控制分组的过量流入。当分组需要跨越多个网络才能到达目的时，网络层还需要解决网络互连的问题； 6）数据链路层的作用就是通过一定的手段，将有差错的物理链路转化成对网络层来说是没有传输错误的数据链路。它采用的手段就是将数据分成一个个的数据帧，以数据帧为单位来进行传输。接收者对收到的帧进行校验，发回应答帧，发送者对错误帧进行重发。通过应答，数据链路层上还可以进行流量控制，即协调发送双方的数据传输速率，以免接收者来不及处理对方发来的高速数据而引起缓存器溢出及线路阻塞； 7）物理层的作用是在物理媒介上传输原始的数据比特流，这一层的设计同具体的物理媒介有关，如用什么信号表示“1”，用什么信号表示“0”，信号电平多少，收发双方如何同步，接插件的规格等。,由以上的讨论可知，只有最低三层涉及通过通信子网的数据传输，高三层是端到端的层次，因而通信子网只包括低三层的功能。 图1.7.4中图示了在OSI结构的网络层中考虑子网络的重要性。它表明了如何串联使用多个子网络（可能采用不同的互联和媒体技术）以支持某一应用的通信会话。,物理媒体,物理媒体,层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,开放系统A,开放系统B,中断系统,图1.7.4 具有多重网络的OSI模型结构,从实际的观点出发，OSI分层可以按照以下几点来考虑： 1）依赖于应用的协议； 2）与特定媒体相关的协议； 3）在1）与2）之间的桥接功能。 依赖于应用的协议包括应用层、表示层和会话层，即所谓的高层。这些层次的实现与所支持的应用密切相关，与所采用的通信技术完全无关。剩下的几层涉及上面的2）和3），被称为低层。依赖于媒体技术的协议处于物理层、数据链路层以及网络层中与子网有关的一个下部子层。桥接功能由传输层和网络层中的一个上部子层来提供。虽然服务质量（quality-of-service）是可变的，而且依赖于所采用的子网络，但是网络层的上部子层能为它的上层提供一个一致的网络服务接口。传输层使得它的下层对于高层来说是透明的。它或者可以得到具有适当服务质量的网络连接，或者在必要时将服务质量升级。例如，当它发现网络层的误码性能不合适时，可以在传输协议中提供错误检测或恢复功能。,2. TCP/IP参考模型 TCP/IP参考模型没有明确区分开服务、接口和协议的概念，并且它是专门用来描述TCP/IP协议栈的，无法用来描述其它非TCP/IP网络。因此，尽管TCP/IP模型在工业上得到了广泛的应用，但人们在讨论网络时，常常使用OSI参考模型，因为它更具有一般性。TCP/IP参考模型分为四层，它们是应用层、传输层、网络互联层和网络接口层，参见图1.7.5。 各层的功能如下： 1）应用层将OSI的高层-应用层、表示层和会话层的功能结合了起来，常见的如文件传输协议（FTP）、远程终端协议（TELNET）、简单电子邮件传输协议（SMTP）、域名系统(DNS）、简单网络管理协议(SNMP) 、访问WWW站点的HTTP等；,应用层,传输层,网络互联层,网络接口层,图1.7.5 TCP/IP参考模型,2）传输层在功能上等价于OSI的传输层。在这一层上主要定义了两个传输协议，一个是可靠的面向连接的协议，称为传输控制协议（TCP），另一个是不可靠的无连接协议，称为用户数据报协议（UDP）； 3）网络互联层在功能上等价于OSI网络层中与子网无关的部分。网络互联层是TCP/IP参考模型的核心，这一层上的协议称为IP。TC