01-TCP IP协议简介.ppt

1 网络安全与电子商务 2 网络安全与电子商务涉及的领域 综合 交叉的学科 密码学理论 计算机网络 操作系统 数据库技术 安全协议 通信技术 电子技术 安全体系结构安全的策略与管理 安全风险分析与计算机安全有关的法律问题 3 课程内容 Internet与TCP IP协议简介网络安全基础常见的网络攻击与防范技术防火墙技术密码学基础现代加密技术密钥管理技术 4 课程内容 鉴别与认证电子商务安全性概述SET协议与其安全性分析电子商务应用案例 5 网络安全与电子商务 第一讲Internet发展与TCP IP协议 6 本章主要内容 Internet基础TCP IP协议简介TCP IP协议的体系结构以太网基础 7 Internet基础 1992年 多媒体万紫千红年 1995年 Internet年 大虾 网虫 伊妹儿 1996年 Intranet年 Intranet提上企业工作日程 CIO 1997年 虚拟与虚拟网络计算年 1998 1999年 政府上网与电子商务年 烧钱年 CIH年 2000 2001年 泡沫与洗牌年 中美网战年 红色代码年 总之 Internet是充满魅力 多姿多彩 流连忘返的世界 8 主要内容 Internet的历史就是一部计算机网络史 当今的网络计算思想都起源于Internet及其前身的ARPANET 一 从ARPANET到Internet二 我国Internet的发展三 Internet提供的服务四 Internet的关键技术五 TCP IP协议 9 一 从APARNET到Internet 1 60年代 ARNANET诞生60年代中期 美国科学家开始探索共享资源的计算机连接方法 建立了一些小的 孤立的计算机网络 但只用于个别大学和个别军事部门内部的通信 60年代末 美国高级研究计划局 ARPA AdvancedResearchProjectsAgency 资助了一个实验性网络的建设 因而取名为ARPANET 2 70年代 ARPANET正式登场1972年10月 ARPANET在首届计算机与通信国际会议上公开亮相 当时 ARPANET开发了一种网络协议 网络控制程序 NCP NetworkControlProgram 该协议使用了分组交换 PacketSwitching 新技术 亦即信息包交换技术 NCP包括了远程登录和远程文件传输的协议 后来又加进了电子邮件 从而形成了ARPANET的基本服务 1974年 Cerf和Kahn首次提出TCP IP协议和网关结构 其重要之处在于 它是独立于网络和计算机硬件的 并提供网络上的全局连接性 3 80年代 Internet开始发展80年代后 国际上相继成立了Internet结构委员会IAB Internet特别工作组IETF Internet学会等一批标准化组织 负责Internet有关标准的开发 设计 规划和管理工作 极大地推进了Internet的商业化进程 10 二 我国Internet的发展 1 发展历程 略 2 Internet接入网从1994年起 中国实现了与Internet的TCP IP连接 开通了Internet的全功能服务 根据国务院规定 有权直接与国际Internet连接的部级单位有四个 中国科学院 国家教委 邮电部和电子工业部 1 中国科学院互联网 CSTNET 由中国科学院主持 联合北大 清华共同建设 网管中心设在中科院计算所 1994年4月正式开通了与Internet的专线连接 1994年5月21日完成了我国最高域名CN主服务器的设置 实现了与Internet的TCP IP连接 1995年底基本完成 百所联网 工程 连接100多个以太网 3000多台计算机 一万多名用户 成为中国地域广 用量大 性能好 通信量大 服务设施齐全的全国性科研网络 CSTNET还是中国互联网管理机构CNNIC的管理单位 出口带宽10Mbps 2 国家教委互联网 中国教育科研网 CERNET 国家计委投资 国家教委主持建设的中国教育科研计算机网络 1994年启动 1995年底完成首期工程 包括北京 网管中心设在清华大学网络中心 上海 南京 广州 武汉 西安 成都和沈阳等高等学校集中的大城市 全国主干网 共11条64KDDN专线 于1995年10月开通 到1996年6月已有100多所高校实现了与CERNET的联网 11 目前正在进行的二期工程 包括全国1000多所大学近300万名教师 研究生和在校学生 4万所中学的550万名师生和16万所小学的1 2亿名师生 将全部联入CERNET 3 原邮电部互联网 CHINANET 邮电部于1994年投资建设的中国公用Internet网 网管中心设在邮电部数据通信局 1995年初与国际Internet连通 1995年5月正式对外服务 其骨干网覆盖了全国各省 市 自治区 该网的主要特点是入网方便 在全国各电信局均可办理入网手续 接入方式灵活 可通过多种方式入网 目前 由中国电信经营管理 向全国公众开放 出口带宽291Mbps 4 金桥网 CHINAGBN由电子工业部 外经贸部和吉通公司合作的面向经贸行业和部门的互联网 提供网络接入和Internet服务 5 其他 中国联通网 中国网通网 每一个希望接入Internet的用户 可根据自己的情况选择上述的骨干网作为接入网络 通过我国的骨干网连入Internet 12 三 Internet提供的服务 1 远程登录 RemoteLogging 它是在网络通信协议Telnet的支持下 使用户自己的计算机暂时成为远程计算机终端 一旦登录成功后 用户便可以实时使用远程计算机对外开放的相应资源 2 文件传送服务 FTP FileTransmissionProtocol FTP是由TCP IP的文件传送协议支持的 无论Internet网上的两台计算机在地理上相距多远 只要两者都支持FTP协议 网上的用户就能将一台计算机上的文件传送到另一台计算机上去 FTP是一种实时的联机服务 在进行工作时 用户首先要登录到对方的计算机上 登录后可以进行与文件搜索和文件传送有关的操作 使用FTP几乎可以传送任何类型的文本文件 二进制文件 图象文件 声音文件 数据压缩文件 3 电子邮件服务电子邮件 E mail ElectronicMail 是一种通过计算机网络与其他用户进行联系的快速 简便 廉价 高效的现代化通信手段 电子邮件系统优点有 方便性 广泛性 廉价性与快捷性 电子邮件系统是采用 存储转发 方式传递信息的 通过在一些Internet的通信节点计算机上运行相应的软件 一般为邮件服务器 mailserver 可以使这些计算机充当 邮局 的角色 用户使用的 电子邮箱 就是建立在这些计算机上 13 4 名称地址服务 主要包括DNS域名系统 实现主机域名与IP地址之间的转换 5 ARCHIE文档查询服务面向FTP开展的信息服务 字符串 或关键词 搜索方式 6 网络新闻服务NetworkNews采用NNTP协议 通过新闻服务器开展专题讨论 7 Gopher服务面向FTP服务器开展的信息服务 是菜单命令方式 8 WAIS服务 WideAreaInformationService 广域信息服务 是基于关键词的Internet检索工具 将网上信息 文献和数据编制成索引 存入数据库 供用户检索 9 WWW服务 Web服务 基于超文本方式 遵循HTTP超文本传输协议 采用Client Server方式运行 与其它服务和应用有良好的接口 10 电子刊物11 电子购物12 金融服务13 ISP的选择 ISP ICP ASP 14 Internet技术可分下列几大部分 1 基本技术基本技术包括TCP IP技术 其中有TCP IP体系结构 TCP IP协议族 TCP IP协议族包括上百个相互关联的协议 常用的应用层协议有Telnet FTP SMTP等 基本技术中还包括Client Server系统结构 2 网络技术Internet的实质是开放 互联的网络系统 它通过高速骨干网络技术将许多广域网和局域网连接起来 所以Internet网络技术可归纳为局域网络技术和广域网络技术 常见的网络技术包括CSMA CD FDDI X 25 ATM 帧中继等 任何能够采用TCP IP协议 能够与Internet中的一个节点或主机相连的网络 都可以成为Internet的子网 各种子网与Internet相连 所要解决的问题主要是与IP互联的问题 路由协议用来完成一个互联网上进行通信时的路由选择 它确定数据包在网内或网间传输所经的路径 路由协议分为静态和动态 静态路由唯一确定地选择一条路径 不能自动适应网络变化 动态路由则根据算法来选择路由 并维持着一个定期刷新的路由表 动态路由协议适用于比较复杂的大型网络 所以广泛应用于Internet中 四 Internet的关键技术 15 3 服务器技术Internet上有许多应用 如E mail WWW等 因此也存在着多种服务器技术 主要是指各种服务器系统软件 4 接入技术电话拨号 租用专线 ISDN ADSL 电视电缆Cable 宽带以太网接入 无线接入技术等 5 网络管理技术网络管理是保证网络正常运行的部分 网管一般有五大功能 故障管理 配置管理 性能管理 安全管理和计帐管理 目前最通用的网络管理协议是SNMP SimpleNetworkManagementProtocol 即简单网络管理协议 常用的网络管理平台主要有HP的OpenView Sun的NetManager和IBM的Netview 6 语言与工具技术HTML与Java语言已是Internet应用必不可少的工具 伴随着网络的发展 产生了一系列工具 如Web与数据库之间信息数据的转换就有CGI CommonGatewayInterface 通用网关接口 ASP ActiveServerPages 活动服务器页面 等 16 TCP IP协议介绍 什么是协议 1969年 ARPA AdvancedResearchProjectAgency 建立了最早的计算机网络之一ARPANET 为了使异种网络之间的互联和互通于1977年 1979年之间推出TCP IP体系结构和协议规范TCP IP是一个OPEN的系统 成为事实的工业标准 17 TCP IP的体系结构 TCP IP是一系列协议的集合是一种体系结构 18 TCP IP协议与国际标准化组织 ISO 的开放系统互连参考模型 OSI 的对应关系见图2 2 19 应用层协议 应用层协议 专门为用户提供应用服务 Telnet仿真终端协议FTP文件传输协议SMTP简单邮件传输协议 20 传输层协议 传输层协议 为两台主机上的应用程序提供端到端的通信 TCP协议 传输控制协议 UDP协议 用户数据报协议 21 TCP协议 TCP协议 为两台主机提供高可靠性的数据通信 22 TCP与UDP 传输控制协议与用户数据报协议 TransmissionControlProtocol UserDatagramProtocol A UDP报文格式与封装UDP提供不可靠的无连接数据报传输服务 它不提供报文到达确认 排序以及流量控制等功能 因此报文可能会丢失 重复以及乱序等 可靠性的问题将由使用UDP的该应用程序来解决 每个UDP报文称为一个用户数据报 分UDP报头和UDP数据区两部分 报头由四个16位长的字段组成 分别说明该报文的源端口 目的端口 报文长度和校验和 23 UDP封装过程 如图2 4所示 UDP层处于IP层之上 当一个UDP报文在互联网中传输时要封装到IP数据报中 最后 网络接口层将数据报封装到一个帧中再进行物理传输通道上的传输 UDP数据报的封装 24 B TCP报文格式 如图2 5所示 两台计算机上的TCP软件之间传输的数据单元称报文段 Segment 通过报文段的交互来建立连接 传输数据 发出确认及关闭连接 TCP报文分为两部分 即报头和数据 报头携带了所需的标识和控制信息 源端口和目的端口字段包含了标识连接两端的应用程序的TCP端口号 25 TCP协议三次握手来建立连接 SendSYN seq 100ctl SYN SYNreceived HostA HostB 26 TCP协议三次握手来建立连接 SendSYN seq 100ctl SYN SYNreceived SendSYN ACK seq 300ack 101ctl syn ack HostA HostB SYNreceived 27 TCP协议三次握手来建立连接 SendSYN seq 100ctl SYN SYNreceived SendSYN ACK seq 300ack 101ctl syn ack Established seq 101ack 301ctl ack HostA HostB SYNreceived 28 TCP协议三次握手来建立连接 SendSYN seq 100ctl SYN SYNreceived SendSYN ACK seq 300ack 101ctl syn ack Established seq 101ack 301ctl ack HostA HostB SYNreceived 29 TCP SYN攻击 TCP SYN 拒绝服务攻击的一种 利用虚假的IP地址 或者可以说是实际上不存在的一个地址发起SYN连接请求 占用目标主机大量的资源来处理这些错误的等待 最后将系统资源耗尽以至瘫痪 30 网络层协议 网络层协议 网络层有时也称作互联网层 处理分组在网络中的活动 IP协议 网际协议 ICMP协议 Internet网际控制报文协议 ARP协议 地址解析协议 RARP协议 反向地址解析协议 31 网际协议IP 网络层协议IP 主要实现网络层的功能具体的功能 1 路由选择和转发2 通过网络连接在主机之间提供分组交换功能3 分组的分段与成块 差错控制 顺序化 流量控制 32 网际协议IP 33 地址解析协议ARP和反向地址解析协议RARP 地址解析协议ARP 目的是将IP地址映射成物理地址 反向地址解析协议RARP 目的是将物理地址映射为IP地址 34 地址解析协议ARP和反向地址解析协议RARP 35 Internet控制消息协议ICMP Internet控制消息协议ICMP 是用来诊断网络问题的重要工具 36 以太网基础 以太网的基本工作原理 CSMA CD 载波监听多路访问 冲突检测 37 以太网的硬件地址 每台连接到以太网上的计算机都有一个唯一的48位以太网地址 MAC0c0011111111H 38 IP地址编码规则根据TCP IP协议标准 IPV4的地址是由32个二进制位表示 其中每8个二进制位为一个字节组 共分为四个字段组成 每个字段用十进制数表示 网络上的每个结点都有唯一的IP地址 由网络标识和主机标识两部分组成 处于同一个网络的各结点 其网络标识是相同的 主机标识规定了该网络中的具体结点 如工作站 服务器 路由器等 注意 网络标识部分第一个字节不能为0 127和255 主机标识部分的各位不能全为1 也不能全为0 Internet委员会规定IP地址可分为A类 B类 C类 D类和E类五种 分别用于不同类型的网络 1 A类 首位为0 网号8位 主机号24位 地址范围 1 0 0 1 126 255 255 254可表示126个网络 每个网络大约1700万个主机 39 2 B类 前两位为10 网号16位 主机号16位 地址范围 128 0 0 1 191 255 255 254可表示16384个网络 每个网络大约65000个主机 3 C类 前三位为110 网号24位 主机号8位 地址范围 192 0 0 1 223 255 255 254可表示200万个网络 每个网络大约254个主机 4 D类D类地址的高端前四个二进制位为1110 其余位用于识别相应主机 IP地址第一个字节段的十进制值 224 239 5 E类E类地址的高端前四个二进制位为1111 该类IP地址第一个字节段的十进制值 240 254Internet给用户专用网络保留的IP地址编码范围是 A类 10 0 0 0 10 255 255 255B类 172 16 0 0 172 31 255 255C类 192 168 0 0 192 168 255 255 40 子网与子网掩码在计算机网络规划中 通过子网技术将单个大网划分为多个子网 并由路由器等网络互联设备连接 它的优点在于融合不同的网络技术 通过重定向路由来减轻网络拥挤 提高网络性能的目的 在TCP IP中 是通过子网掩码来告诉本网是如何划分的 它也是一个32个二进制位的地址 其表示方式是 A 凡是IP地址的网络和子网标识部分 用二进制数1表示 B 凡是IP地址的主机标识部分 用二进制数0表示 C 用点分十进制书写 子网掩码拓宽了IP地址的网络标识部分的表示范围 主要用于 A 屏蔽IP地址的一部分 以区分网络标识和主机标识 B 说明IP地址是在本地局域网上 还是在远程网上 各类地址的缺省子网掩码如下 A类 255 0 0 0B类 255 255 0 0C类 255 255 255 0 41 域名与域名系统 DNS DomainNameSystem在Internet网络中 实现命名服务的方式有UNIX中早期经常使用的HOSTS文件 Microsoft系统中使用的WINS和LMHOSTS文件 而使用最广泛的命名解决方案是域名系统即DNS DomainNameSystem DNS实际上是一个主机信息库 域名服务主要解决主机名字与地址的映射 即主机名与IP地址的对应关系 域名系统是一个大规模的分布式数据库 负责控制本地域名的管理 整个网络上的数据可通过C S Client Server 客户机 服务器 模式在网络上存取 通过采用复制技术和缓存技术使得在保持整个数据库坚固性的同时 又具备优良的性能 DNS数据库中有一个PrimaryServer和SecondaryServer PrimaryServer是主服务器 它可以更新自己数据库中分管的数据 DNS有三部分组成 DomainNameSpace 域名的层次结构 和ResourcerRecords 数据的原始记录 NameServer 名字服务器 Resolvers 解析器即DNS的求答器 42 6 域名分配机构DNS在运行中需要进行委派 这项工作由Internet协会的授权委员会完成 并管理Internet的地址和域名登记 其下属有三个机构 分别管理全球不同地区的域名和地址的分配 这三个机构为 欧洲信息网络中心 负责管理欧洲的域名分配 InterNIC负责管理南北美和非亚太所属区的域名 亚太地区的APNIC负责管理该地区域名和地址的分配 APNIC分配地址有两种方式 对于有国家网络中心的国家和地区 APNIC向这些国家分配域名 该国内的机构向国家和当局申请和分配域名 对于没有成立国家网络中心的机构 APNIC成立了ISP机构负责该项工作 由APNIC把地址分给ISP 由大的ISP分配给小的ISP 层层划分域名 顶级域名一般分成两类 组织上的和地理上的 A 组织顶级域 com公司机构 edu教育机构 gov政府 int国际组织 milU S军队 net网络组织 org非赢利组织等 B 国家顶级域 cn中国 hk中国香港 us美国等 43 IPv6与下一代互联网NGI NextGenerationInternet IPv4面临的问题与挑战 需要增加带宽 减少阻塞 不能满足日益增长的网络应用需求 实时业务服务质量保证 QoS QulityofService 没有体现 网络信息安全存在极大隐患等 IPv6将解决现有协议中地址系统的缺陷 明确了将来的IP地址是128位长 并配有许多新的地址功能 自动设置 功能 即网络设备接入网络后 无需人工设置 即可自动产生它的网络地址 并迅速访问网络 可以对数据信息进行分类和优先排序 以区分服务等级 支持安全验证及提供综合服务质量保证标准体系 QoS 可提供不同级别的服务质量协议 可使最终用户选择不同质量 不同价格的服务等 44 基于T