第5章 计算机网络

计算机网络第5章讲课人：***目录01网络概述02计算机网络基础03Internet技术及应用04网络安全基础05物联网技术第

5

章计算机网络第

5

章计算机网络5.1网络概述

5.1.1计算机网络和通信技术5.1.2计算机网络的性能指标5.2计算机网络基础

5.2.1计算机网络的分类

5.2.2网络的组成和结构

5.2.3分组交换技术5.2.4网络体系结构

5.2.4OSI参考模型5.3Internet技术及应用

5.3.1Internet发展史

5.3.2Internet网络体系结构

5.3.3分组交换技术5.3Internet技术及应用5.3.4TCP/IP协议概述5.3.5Internet典型服务和应用5.4网络安全基础

5.4.1网络安全基本概念

5.4.2加密与认证技术

5.4.3网络安全协议

5.4.4防火墙和入侵检测系统5.5物联网技术

5.5.1物联网技术概述

5.5.2物联网的组成

5.5.3物联网相关技术

5.5.4物联网技术的应用网络概述第5章015.1网络概述5.1.1计算机网络和通信技术计算机网络的发展史面向终端的计算机网络（20世纪50年代初~20世纪60年代中期）多主机互连的网络阶段（20世纪60年代中期~20世纪70年代中期）开放式标准化计算机网络阶段（20世纪70年代末~20世纪90年代中期）网络互连与高速网络阶段（20世纪90年代末至今）5.1网络概述5.1.1计算机网络和通信技术计算机网络的定义和功能计算机网络是利用通信设备和线路把地理上分散的多台具有独立功能的计算机系统连接起来，在功能完善的网络软件支持下进行数据通信，实现资源共享、互操作和协同工作的系统。基本的功能：数据通信，资源共享，分布式处理和均衡负荷，提高安全可靠性5.1网络概述5.1.1计算机网络和通信技术数据通信与计算机网络数据通信是按照通信协议，利用传输技术在功能单元之间传输数据信息，从而实现计算机与计算机之间、计算机与数据终端之间、数据终端与终端之间的信息交互而产生的一种通信技术，它涉及到数据通信模型、数据编码技术、数据传输技术、数据通信的交换方式、多路复用与多址通信、数据通信的差错控制等方面。数据通信是实现计算机网络的基础，计算机网络的底层（物理层和数据链路层），就是依赖于数据通信技术实现的。5.1网络概述5.1.1计算机网络和通信技术数据通信模型，如下图一个数据通信系统可包含三大部分：源系统（发送端）、传输系统（传输网络）和目的系统（接收端）。5.1网络概述5.1.1计算机网络和通信技术数据通信模型源系统一般包括源点（信源）和发送器（调制器）。其中，源点设备产生要传输的数据，比如计算机里录入的文字、声音、图像信息等，由于计算机是电子数字式计算机，这些信源信息都是二进制的数字比特流（是数字信号,也称基带信号）；发送器的作用是将源点的数字信号进行编码调制后，变成适合远距离传输的模拟信号（称为带通信号）后，再通过传输系统发给目的系统。5.1网络概述5.1.1计算机网络和通信技术数据通信模型目的系统也包括接收器（解调器）和终点（信宿）两部分。接收器和发送器的作用相反，它把来自传输线路上的模拟信号进行解调，还原出发送端产生的原始数据（二进制的数字比特流）；终点设备获取接收器传送来的数字比特流，然后把信息显示输出。图中两端的计算机和调制解调器，往往同时具备源系统和目的系统的功能，也就是两端即可以作为源系统发送数据，同时也可以作为目的系统接收数据，这在通信上叫做全双工通信。5.1网络概述5.1.1计算机网络和通信技术数据通信模型传输系统，可以是简单的传输线，也可以是复杂的网络，甚至是无线的通信网络，上面传输的往往是经过调制后的带通信号，如下图所示。基带信号：没有经过调制（三种基本的调幅、调频、调相）的原始电信号。（类似于货物）载波：是指被调制用以传输信号的波形，一般为正弦波。（类似于载货的货车）带通信号：把基带信号经过载波调制后，把信号的频率范围搬移到较高的频段以便在信道中传输的信号。（类似于货车拉货）5.1网络概述5.1.1计算机网络和通信技术基带信号需要调制的原因基带信号往往包含低频成分，许多信道不能直接传输。需要使用高频的载波进行调制，把低频范围的基带信号搬移到较高频段，并转换为模拟信号，以便在信道中传输。载波的工作频率越高，则带宽越大，利于提高数据传输速率；同时便于实现信道多路复用，提高信道的利用率。对于采用天线的无线通信，天线的尺寸和无线信号的波长是成正比的。通过调制，提高了工作频率，就降低了波长，减小了天线的尺寸。5.1网络概述5.1.1计算机网络和通信技术香农公式信道的传输速率是有极限的，这被称为信道的容量极限，过高的传输速率，会导致信号失真，不能正确解码识别。理论上，信道的容量极限受信道的带宽和信噪比两个因素的影响，也就是香农公式。其中C为信道的极限信息传输速率（单位bps波特率），W为信道带宽（单位Hz赫兹），S为信号的平均功率，N为信道内部噪声的平均功率，S/N叫做信噪比（常用分贝）。5.1网络概述5.1.2计算机网络的性能指标计算机网络的性能指标计算机网络的性能指标是从不同的方面来度量网络的性能，包括：速率、带宽、吞吐量、时延、时延带宽积、往返时间、利用率等性能指标。计算机网络也可以从成本、质量、标准、可靠性、兼容性、扩展性等非性能方面来衡量。5.1网络概述5.1.2计算机网络的性能指标计算机网络的性能指标速率。是数据的传输速率，也叫数据率（datarate）或者比特率（bitrate）。速率是网络中最重要的性能指标。单位是bit/s（比特每秒）或b/s（有时也写作bps即bitpersecond）。bit/s的单位较小，往往用更大的单位：Kbps、Mbps、Gbps、Tbps等。带宽。网络带宽表示在单位时间内网络中的某信道所能达到的“最高数据率”，带宽的单位就是数据率的单位bit/s。计算机网络基础第5章025.2计算机网络基础5.2.1计算机网络的分类按照网络的使用者进行分类公用网。公用网是指电信公司出资建造的大型网络，所有愿意按照电信公司的规定缴费的人都可以使用该网络，也被称为公众网。专用网。某个部门为满足本单位的特殊业务工作的需要而建立的网络，称为专用网，这种网络不向本单位以外的人提供服务。例如军队、铁路、银行、电力等系统均有自己的专用网。5.2计算机网络基础5.2.1计算机网络的分类按照网络的覆盖范围进行分类按照网络的覆盖范围由小至大，可分为：个域网PAN（覆盖用户身边10m之内）、局域网LAN（覆盖10m~10Km的网络称）、城域网MAN（覆盖10Km~100Km的网络）和广域网WAN（覆盖100Km以上范围的网络）。个域网多采用无线通信技术，更准确的说法应该是WPAN，包括：IrDA红外技术、蓝牙、802.11(Wi-Fi)、ZigBee、超宽带(UltraWideBand)、近场通信(NFC)等技术。5.2计算机网络基础5.2.1计算机网络的分类按照网络的覆盖范围进行分类局域网的特点：连接范围窄、用户数少、配置容易、连接速率高。包括以太网（Ethernet）、令牌环网（TokenRing）、光纤分布式接口网络（FDDI）、异步传输模式网（ATM）以及无线局域网（WLAN）等技术。从局域网到城域网、广域网，很多技术都是相通的，尤其是万兆以太网、光以太网等高速局域网技术，使得局域网、城域网、广域网之间的界限越来越模糊。5.2计算机网络基础5.2.1计算机网络的分类按照传输介质分类按照传输介质分类可分为有线网络和无线网络。其中有线网络可分为双绞线网络、同轴电缆网络、光纤网络；无线网络可分为红外、微波网络、卫星网络等。5.2计算机网络基础5.2.1计算机网络的分类按计算机网络拓扑结构分类网络拓扑结构一般指网络中通信线路和节点之间的几何排列形式，或网线与节点之间排列所构成的几何图形。可分为：总线型、星型、树型、环型、网状型和混合型等。5.2计算机网络基础5.2.1计算机网络的分类

Internet按照工作方式、作用进行分类可划分为核心网、边缘网、接入网边缘部分。由所有连接在互联网上的主机组成。这部分是用户直接使用的，用来进行通信（传送数据、音频或视频）和资源共享。核心部分。由大量网络和连接这些网络的路由器组成。这部分是为边缘部分提供服务的（提供连通性和数据交换）。由ISP提供的接入网，是用户与因特网相连接的介绍人或中间桥梁。5.2计算机网络基础5.2.1计算机网络的分类

C/S方式和P2P方式在边缘网络的端系统之间（不同的主机之间）的通信方式通常可分为两大类：客户机/服务器方式（C/S方式）和对等方式（P2P方式）。客户/服务器方式（即Client/Server方式，简称C/S方式）。客户是服务的请求方，服务器是服务的提供方。B/S模式。B/S就是“Browser/Server”的缩写，即“浏览器/服务器”模式，可认为是一种特殊的C/S模式。5.2计算机网络基础5.2.1计算机网络的分类

C/S方式和P2P方式在边缘网络的端系统之间（不同的主机之间）的通信方式通常可分为两大类：客户/服务器方式（C/S方式）和对等方式（P2P方式）。客户/服务器方式（即Client/Server方式，简称C/S方式）。客户是服务的请求方，服务器是服务的提供方，比如使用百度云盘客户端查看云盘服务器里面的文件内容。B/S模式。B/S就是“Browser/Server”的缩写，即“浏览器/服务器”模式，可认为是一种特殊的C/S模式。典型的如学校的教务管理系统。运行客户程序网络边缘网络核心运行服务器程序AB①请求服务②得到服务客户服务器客户A向服务器B发出请求服务，而服务器B向客户A提供服务。5.2计算机网络基础5.2.1计算机网络的分类

C/S方式和P2P方式对等连接(peer-to-peer，简写为P2P)是指两个主机在通信时并不区分哪一个是服务请求方还是服务提供方。只要两个主机都运行了对等连接软件（P2P软件），它们就可以进行平等的、对等连接通信。对等连接方式从本质上看仍然是使用客户服务器方式，只是对等连接中的每一个主机既是客户又同时是服务器。典型的应用如P2P文件下载网络边缘网络核心运行P2P程序运行P2P程序DCEF运行P2P程序运行P2P程序5.2计算机网络基础5.2.2网络的组成和结构

Internet网络的逻辑结构用户接入与使用各种网络服务都需要经过Internet服务提供者（Internetserviceprovider，ISP）提供。5.2计算机网络基础5.2.3分组交换技术数据交换方式数据交换，也就是为任意两个终端设备建立数据通信临时互连通路的过程。网络的数据交换方式有两种基本的形式：电路交换和存储转发交换。其中存储转发交换还可以分为报文交换和分组交换。电路交换就是按照某种方式动态地分配传输线路（通信资源）的过程，必须经过建立连接（分配通信资源）、通话（一直占用通信资源）、释放连接（释放通信资源）三个步骤。5.2计算机网络基础5.2.3分组交换技术电路交换方式电路交换的一个重要特点就是在通话的全部时间内，通话的两个用户始终占用端到端的通信资源，这带来了通信实时性强的优点，也造成了线路传输效率低的缺点。5.2计算机网络基础5.2.3分组交换技术分组交换方式把要发送的整块数据称为一个报文(message)。在发送报文之前，先把较长的报文划分为一个个更小的等长数据段，称为分组。在每个分组数据字段的前面，加上源地址、目的地址、序号、控制信息组成的首部（header，也称为包头）。首部包含了诸如目的地址和源地址等重要的信息，每一个分组才能在网络中独立地选择传输路径，并被正确地传送到分组传输的终点。5.2计算机网络基础5.2.3分组交换技术分组交换方式待发送的报文信息iall分为i1、i2、i3、i4、i5、i6共6个数据段，对每个数据段加上首部形成新的数据包P1、P2、P3、P4、P5、P6。5.2计算机网络基础

5.2计算机网络基础5.2.3分组交换技术报文交换方式报文交换，就是对传输的数据单元的长度不做限制，直接封装成一个包进行传输，这个包就被称为报文。报文可能是一个很小的文本内容或者语音数据，也可能是包含很大内容的图形、图像、视频等数据。报文长度不固定，不利于网络的存储转发。5.2计算机网络基础5.2.3分组交换技术三种交换方式的对比实际的计算机网络采用的是分组交换技术。交换方式优点缺点电路交换传输时延小，实时性好，交互性好，技术简单，容易实现信道利用率低，有呼损报文交换采用存储转发技术，信道利用率高，不同类型的终端可以通信，无呼损时延大，费用高分组交换可靠性高，传输时延小，信道利用率高，通信环境灵活技术复杂，数据传输时延不等5.2计算机网络基础5.2.4网络体系结构网络体系结构人们把每台计算机的功能划分了明确的层次，并规定了同层次进程间通信的协议，以及相邻层之间的接口和服务。这些层次（layer）结构、同层进程间的通信协议（protocol）以及相邻层之间的接口（interface）就统称为网络体系结构（networkarchitecture）。协议就是一组控制数据交换过程的通信规则，这些规则明确地规定所交换数据的格式和时序。这些为网络数据交换制定的通信规则、约定与标准被称为“网络协议”。5.2计算机网络基础5.2.4网络体系结构网络体系结构语法：数据与控制信息的结构或格式。语义：需要发出何种控制信息，完成何种动作以及做出何种响应。同步：事件实现顺序的详细说明。在计算机网络体系结构中，采用了分层的思想和方法，将复杂的系统或问题逐步往下分解为若干的比较容易处理的子系统或者子问题，交给下层来处理或者解决。5.2计算机网络基础5.2.5OSI参考模型

OSI参考模型为了解决不同体系结构网络的互联问题，国际标准化组织ISO于1974年发布了著名的开放系统互连基本参考模型OSI/RM（OpenSystemInterconnectionReferenceModel）文件（ISO7498国际标准），并在1983年正式成为国际标准。OSI参考模型从下到上包含7层：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。5.2计算机网络基础5.2.5OSI参考模型

OSI参考模型中各层的主要功能序号名称功能特性简介传输单元7应用层作为和用户应用进程的接口，负责应用管理、用户信息的语义表示，并进行语义匹配和执行应用程序等。数据单元6表示层负责通信系统之间的数据格式转换、数据加密与解密、数据压缩与解压恢复。数据单元5会话层提供一个面向用户的连接服务，负责维护会话主机之间连接的建立、管理和终止，以及数据交换和数据传输同步。数据单元4传输层屏蔽低层数据通信的细节，为不同计算机的进程通信提供可靠的端到端(end-to-end)连接与数据传输服务。报文(message)3网络层通过路由选择算法为分组交换方式选择适当的传输路径，实现流量控制、拥塞控制与网络互联的功能。分组/包(packet)2数据链路层建立数据链路连接，采用差错控制和流量控制等方法，在不可靠的物理链路上实现可靠的数据传输。数据帧(frame)1物理层利用物理传输介质为通信的主机之间建立、管理和释放物理连接，实现比特流的透明传输，尽可能屏蔽掉物理介质和设备的差异。比特(bit)5.2计算机网络基础5.2.5OSI参考模型

OSI参考模型只要遵循OSI标准，一个系统就可以和位于世界上任何地方的、也遵循这同一标准的其他任何系统进行通信。法律上的国际标准OSI并没有得到市场的认可。非国际标准TCP/IP现在获得了最广泛的应用。TCP/IP常被称为事实上的国际标准。Internet技术及应用第5章035.3Internet技术及应用5.3.1Internet发展史

InternetInternet，中文译名为因特网，又叫做国际互联网，是一组全球信息资源的总汇。Internet以相互交流信息资源为目的，基于一些共同的协议，并通过许多路由器和公共互联网而成，它是一个信息资源和资源共享的集合。只要遵循共同的通信协议TCP/IP（TransmissionControlProtocol/InternetProtocol，传输控制协议/网际协议），便可以连接至Internet。 5.3Internet技术及应用5.3.1Internet发展史

Internet发展史是20世纪60年代美苏冷战时期的产物。60年代初，美国国防部领导的远景研究规划局ARPA(AdvancedResearchProjectAgency)提出要研制一种生存性(survivability)很强的网络。早期的面向终端的计算机网络是以单个主机为中心的星形网，各终端通过通信线路共享昂贵的中心主机的硬件和软件资源。APRA网络采用分组交换网，是以网络为中心，主机都处在网络的外围。用户通过分组交换网可共享连接在网络上的许多硬件和各种丰富的软件资源。5.3Internet技术及应用5.3.1Internet发展史

Internet发展史1986年，美国国家科学基金会(NSF)建立了国家科学基金网(NSFNET)。它是一个三级计算机网络，其中包括主干网、地区网和校园网，覆盖了全美国主要的大学和研究所。NSFNET后来接管了ARPA网，并将其更名为Internet。20世纪90年代，Internet开始应用于商业目的。20世纪90年代初期，欧洲原子核研究组织CERN开发的万维网WWW为在Internet上存储、发布和交换超文本的图文信息提供了强有力的工具。1993年，美国伊利诺依大学国家超级计算机中心开发成功了浏览器，使得Internet用户可以使用Mosaic或Netscape自由地在Internet浏览和下载WWW服务器上发布和存储的各种软件与文件。WWW与Netscape的结合，引发了Internet发展的新高潮。5.3Internet技术及应用5.3.1Internet发展史

Internet在我国的发展1994年4月20日我国使用64kbps的DDN（数字数据网络）专线接入互联网，标志着我国被国际上正式承认为第77个接入互联网的国家。同年5月，中国科学院高能物理研究所设立了我国的第一个万维网服务器。同年9月，中国公用计算机互联网CHINANET正式启动。目前，我国建造并使用的5个规模较大的全国范围内的公用计算机网络，包括：（1）中国电信互联网CHINANET（也就是原来的中国公用计算机互联网）；（2）中国联通互联网UNINET；（3）中国移动互联网CMNET；（4）中国教育和科研计算机网CERNET；（5）中国科学技术网CSENET。5.3Internet技术及应用5.3.1Internet发展史

Internet在我国的发展截至2021年6月，我国网民规模达10.11亿（其中手机网民规模达10.07亿），互联网普及率达71.6%，形成了全球规模最大、应用渗透最强的数字社会，互联网应用和服务的广泛渗透构建起数字社会的新形态：8.88亿人看短视频、6.38亿人看直播，短视频、直播正在成为全民新的生活方式；8.12亿人网购、4.69亿人叫外卖，人们的购物方式、餐饮方式发生了明显变化；3.25亿人用在线教育、2.39亿人用在线医疗，在线公共服务进一步便利民众。5.3Internet技术及应用5.3.2Internet网络的体系结构

TCP/IP体系结构因特网并没有采用OSI体系标准，TCP/IP这个由市场、厂家产生的标准成为了现行的Internet网络体系标准。TCP/IP体系结构采用了4层的层级结构：应用层、传输层、网络层和网络访问层。应用层是最高层，是在功能上和用户最接近的一层。它的作用是通过通信双方应用进程之间的交互来向双方提供相应功能的服务，应用进程就是指当前主机中正在运行的程序。不同的服务提供不同的网络功能，不同的应用层协议提供不同的网络应用，在应用层有很多熟知的应用层协议，如HTTP协议、DNS协议、FTP协议、SMTP协议等。5.3Internet技术及应用5.3.2Internet网络的体系结构

TCP/IP体系结构传输层的作用是向通信双方应用层的会话或者说正在交互的应用层进程提供端到端的数据传输和数据控制服务。传输层主要的协议有：TCP协议（TransmissionControlProtocol）、UDP协议（UserDatagramProtocol）。网络层将传输层产生的报文封装成分组，并选择合适的路由，通过网络中的路由器一步一步的将分组传递给目的主机。互联网上使用的网络层协议是网际协议IP（InternetProtocol），故互联网的网络层也常常叫做网际层或者IP层。5.3Internet技术及应用5.3.2Internet网络的体系结构

TCP/IP体系结构网络访问层，包含了OSI模型中的数据链路层（DataLinkLayer）和物理层（PhysicalLayer）。数据链路层常用的协议有：PPP协议（PointtoPointProtocol）、CSMA/CD协议（CarrierSenseMultipleAccesswithCollisionDetection）、FR协议（FrameRelay）等；物理层的协议有很多，如：10BASE2，10BASE5，100BASE-TX、DSL、SONET/SDH、EIARS-232、USB、Bluetooth等。5.3Internet技术及应用应用层运输层网际层网络接口层主机A主机B路由器网络

2网络

1应用层运输层网际层网络接口层网际层网络接口层4321路由器在转发分组时最高只用到网络层而没有使用运输层和应用层。5.3Internet技术及应用5.3.3TCP/IP协议概述

IP协议IP协议就是用来进行分组交换的，它实现了两个基本的功能：分组和寻址。分组和寻址都是用IP数据报头部的一个字段来实现。在数据包头部包含有源端地址、目的端地址以及一些其它信息，可以对IP数据报进行寻址。IP数据报的头部含有源IP地址和目标IP地址。IP地址由32位二进制组成，每八位用“.”隔开。转换成十进制来表示即点分十进制记法，例如。点分十进制记法10000000000010110000001100011111机器中存放的IP地址是32位二进制代码10000000000010110000001100011111每隔8位插入一个空格能够提高可读性采用点分十进制记法则进一步提高可读性1128

11331将每8位的二进制数转换为十进制数5.3Internet技术及应用5.3.3TCP/IP协议概述

IP协议每一类IP地址都由两个固定长度的字段组成，其中一个字段是网络号net-id，它标志主机（或路由器）所连接到的网络，而另一个字段则是主机号host-id，它标志该主机（或路由器）。两级的IP地址可以记为：IP地址::={<网络号>,<主机号>}，::=代表“定义为”IP地址共分为五类，依次是A类、B类、C类、D类、E类。其中在互联网中最常使用的A、B、C三大类，而D类主要用于广域网比较多一点，作用用于多播，E类地址是保留地址主要用于科研使用。net-id24位host-id24位net-id16位net-id8位IP地址中的网络号字段和主机号字段0A类地址host-id16位B类地址C类地址011host-id8位D类地址1

1

1

0多播地址E类地址保留为今后使用1

1

1

101A类地址的网络号字段net-id为1字节B类地址的网络号字段net-id为2字节C类地址的网络号字段net-id为3字节A类地址的主机号字段host-id为3字节B类地址的主机号字段host-id为2字节C类地址的主机号字段host-id为1字节net-id24位host-id24位net-id16位net-id8位IP地址中的网络号字段和主机号字段0A类地址host-id16位B类地址C类地址011host-id8位D类地址1

1

1

0多播地址E类地址保留为今后使用1

1

1

101D类地址是多播地址

E类地址保留为今后使用

5.3Internet技术及应用5.3.3TCP/IP协议概述

IP协议A、B、C三类IP地址的使用范围。网络最大第一个最后一个每个网络类别网络数可用的可用的中最大的网络号网络号主机数

A126(27–2)1.x.x.x126.x.x.x16,777,214B16,383(214

1)128.1.x.x191.255.x.x65,534C2,097,151(2211)192.0.1.x223.255.255.x2545.3Internet技术及应用5.3.3TCP/IP协议概述子网与子网掩码为了解决IP地址空间利用率低、两级IP地址不灵活的缺点，人们在二级IP地址中增加了“子网号”字段，形成了三级IP地址的概念。子网延伸了IP地址的网络部分，以允许将一个网络分解为一些逻辑段（子网），这样子将两级IP地址（IP地址：网络号+主机号）变化为三级IP地址（IP地址：网络号+子网号+主机号）。子网掩码的长度是32位，也是4个8位的二进制数，再对应转换成4个十进制数，将IP地址和子网掩码按位相“与”，就可以得到网络子网ID，再根据IP地址的分类，可以确定出来网络ID和子网ID，IP地址“减去”网络位后剩下的部分，就是主机位（主机号码）。5.3Internet技术及应用5.3.3TCP/IP协议概述子网与子网掩码IP地址： 11001011010001000010111100110010即0，C类地址子网掩码： 11111111111111111111111111110000即40子网网络地址：11001011010001000010111100110000即8网络号码：110010110100010000101111 即203.68.47子网号码：0011即3主机号码：0010即2。5.3Internet技术及应用5.3.3TCP/IP协议概述私有IP地址IP地址按使用用途分为私有地址和公有地址两种，所谓私有地址就是只能在局域网内使用，广域网中是不能使用的。私有IP地址的主机不能直接访问Internet，由网关（路由器）把私有IP地址转换为对外的公有IP地址（NAT网络地址转换），才可以访问Internet。公有地址是在广域网内使用的地址，但在局域网也同样可以使用。局域网内使用私有IP，节约了共有IP地址资源。类别地址块地址范围A1~55B16~55C256~555.3Internet技术及应用5.3.3TCP/IP协议概述

IPv6技术解决IP地址耗尽问题的根本措施就是采用具有更大地址空间的IPv6技术，IPv6是InternetProtocolVersion6的缩写。IPv6是互联网工程任务组（InternetEngineeringTaskForce，IETF）设计的用于替代现行版本IP协议（IPv4）的下一代IP协议,IPv6设计采用128位固定长度的地址方案。IPv6具有以下几个优势：1.IPv6具有更大的地址空间。IPv4中规定IP地址长度为32位，即有232-1个地址；而IPv6中IP地址的长度为128位，即有2128-1个地址。2.IPv6使用更小的路由表，提高了路由器转发数据包的速度。5.3Internet技术及应用5.3.3TCP/IP协议概述

IPv6技术3.IPv6增加了增强的组播（Multicast）支持以及对流的支持（FlowControl），这使得网络上的多媒体应用有了长足发展的机会，为服务质量（QualityofService，QoS）控制提供了良好的网络平台。4.IPv6加入了对自动配置（AutoConfiguration）的支持。这是对DHCP协议的改进和扩展，使得网络（尤其是局域网）的管理更加方便和快捷。5.IPv6具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，极大的增强了网络的安全性。目前互联网处在IPv4向IPv6的过渡期，为了确保IPv6向后兼容IPv4，可以采用双协议栈和隧道技术两种策略。5.3Internet技术及应用5.3.3TCP/IP协议概述

UDP/TCP协议在网络环境中，标识一个进程必须同时使用IP地址和端口号（可理解为主机上的进程号）。在网络术语中，采用套接字（Socket）来表示IP地址和进程对应的端口号，记做：socket=IP地址：端口号。在TCP/UDP协议中，端口号的数值取0~65535之间的整数。UDP协议的主要特点表现为：1.UDP协议是一种无连接的、不可靠的传输层协议。2.UDP协议是一种面向报文的传输服务。UDP协议的特点，使得UDP协议在视频点播、简短的交互式应用、多播与广播的场景中得到了广泛应用。5.3Internet技术及应用5.3.3TCP/IP协议概述

UDP/TCP协议TCP协议的特点主要表现为：1.TCP协议支持面向连接的传输服务。2.TCP协议支持字节流的传输。3.TCP协议支持全双工通信。4.TCP协议支持同时建立多个并发的TCP连接。5.TCP协议支持可靠的传输服务。TCP协议是一种可靠的传输服务协议，它使用滑动窗口和确认机制检查数据是否安全和完整地到达，并且提供拥塞控制功能。因此适用于要求可靠传输的应用，例如文件传输，网络数据库，分布式高精度计算系统的数据传输等等。5.3Internet技术及应用5.3.4Internet典型服务和应用

Internet典型应用www和Internet浏览器WWW的全称为WorldWideWeb，简称为Web，中文名称为万维网，通过它用户可以阅读新闻、查询资料，乃至和远方的用户实现声音和图像的交互。WWW采用客户端/服务器模式，由客户端或浏览器（Client）、服务器端（Server）和超文本传输协议HTTP三部分组成。Web服务器是WWW的核心部件，存储大量的Web页面并连接后台数据库，随时等待响应Web浏览器发来的请求，并在执行查询后将结果返回给浏览器，浏览器将根据请求的资源类型做相应的处理。

Web浏览器，与位于URL指定的计算机上的服务器进行通讯来请求文档，然后浏览器向用户显示文档。5.3Internet技术及应用5.3.4Internet典型服务和应用

Internet典型应用搜索引擎通过搜索引擎，用户可以在Internet的海量信息库中快速找到自己感兴趣的信息。搜索引擎提供的信息导航服务已经成为Internet上非常重要的网络服务，搜索引擎站点被誉为“网络门户”，成为人们获取Internet信息资源的主要检索工具和手段，也成了网络信息检索工具的代名词。著名的搜索服务网站如国外的Google、Bing、Yahoo，国内的百度（）、搜狗（）、搜搜（）、中搜（）、360搜索（）等。5.3Internet技术及应用5.3.4Internet典型服务和应用

Internet典型应用电子邮件电子邮件（E-Mail）服务是目前最常见、应用最广泛的一种互联网服务。通过电子邮件，可以与Internet上的任何人交换信息。电子邮件的快速、高效、方便以及价廉，得到了越来越广泛的应用。电子邮件的发送和接收过程需要遵循专门的电子邮件协议。目前，电子邮件系统所采用的协议最常用的是POP3和SMTP。

E-Mail象普通的邮件—样，也需要地址。电子邮件地址分为两部分，其典型格式为：收件人邮箱名@邮件服务器域名，如zhangsan@163.com。网络安全基础第5章045.4网络安全基础5.4.1网络安全基本概念网络安全的基本概念被动攻击和主动攻击

被动攻击是指攻击者从网络上窃听他人的通信内容，通常把这类攻击称为截获。在被动攻击中，攻击者只是窃听、观察和分析数据（可能是在网络中的任何层面）而不去干扰信息流（对方察觉不到）。主动攻击通常使用篡改、伪造、恶意程序、拒绝服务DoS（DenialofService）等形式。对付被动攻击，可以采用数据加密技术，使得窃听者理解不了信息内容；对付主动攻击，可以采取适当的措施加以检测对方身份，需要将加密技术和适当的鉴别技术相结合。5.4网络安全基础5.4.1网络安全基本概念网络安全的基本概念安全网络的目标

一个安全的计算机网络，应该能够应对各种攻击，设法达到理想的目标：保密性、端点鉴别、信息的完整性、运行的安全性。保密性就是只有信息的发送方和接收方才能懂得信息的内容，而信息的窃听者则看不懂所截获的信息。安全的计算机网络必须能够鉴别信息的发送方和接收方的真实身份，端点鉴别在应对主动攻击时是非常重要的。信息的保密性和完整性是不同的概念，确认所收到的信息是完整的，内容没有被他人篡改过，这就是信息的完整性。为了应对恶意程序和DoS攻击，确保计算机系统和网络运行的安全性，必须对访问网络的权限加以控制，并规定每个用户的访问权限。5.4网络安全基础5.4.2加密与认证技术加密与认证技术加密与解密数据加密的基本过程就是对原来为明文的文件或数据按某种加密算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。加密是从古至今防范信息泄露最常用的手段，“置位”与“易位”是加密的基本原理。加密算法是相对稳定的，可以把加密算法视为常量，而密钥视为变量。如果事先约定好规则，对每一个新的信息改变一次密钥（一次一密），或者定期更换密钥，就可以提高系统安全性。5.4网络安全基础5.4.2加密与认证技术加密与认证技术凯撒密码

凯撒密码属于一种“置位”密码，它将一组明文字母用另一组伪装（置位后的）的字母来表示。5.4网络安全基础

明文X

截获密文Y加密密钥Ke明文X密文Y截取者篡改ABE

运算加密算法D运算解密算法因特网解密密钥Kd5.4网络安全基础5.4.2加密与认证技术加密与认证技术私密密钥密码体制和公开密钥密码体制私密密钥密码体制又称为对称密钥密码体制，即加密密钥Ke与解密密钥Kd是相同的密码体制。私密密钥系统的保密性主要取决于密钥的安全性，它存在着通信双方之间如何确保密钥安全交换的问题。密钥在双方之间的传递和分发必须通过安全通道进行，如果被第三方获取就会造成失密，在公共网络上使用明文传递密钥是不安全、不可靠的。典型的对称加密算法，如DES和IDEA。5.4网络安全基础5.4.2加密与认证技术加密与认证技术私密密钥密码体制和公开密钥密码体制公开密钥密码体制，又称为非对称密钥密码体制，其最大特点是采用不同的加密、解密密钥。在公开密钥密码体制下，加密算法E和解密算法D都是公开的，每个用户都拥有两把密钥，一个公钥Ke公开用于加密，另一个私钥Kd自己专用用于解密，两个密钥是成对出现的，但不能通过公钥Ke计算得到私钥Kd。5.4网络安全基础5.4.2加密与认证技术加密与认证技术私密密钥密码体制和公开密钥密码体制公开密钥密码体制，又称为非对称密钥密码体制，其最大特点是采用不同的加密、解密密钥。在公开密钥密码体制下，加密算法E和解密算法D都是公开的，每个用户都拥有两把密钥，一个公钥Ke公开用于加密，另一个私钥Kd自己专用用于解密，两个密钥是成对出现的，但不能通过公钥Ke计算得到私钥Kd。任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。在这方面，公开密钥密码体制不如传统私密密钥体制有优势。

5.4网络安全基础5.4.2加密与认证技术加密与认证技术公开密钥密码体制的特点

1.发送者A用B的公钥PKB对明文X

加密（E

运算）后，在接收者B用自己的私钥SKB解密（D

运算），即可恢复出明文：2.解密密钥是接收者专用的秘钥，对其他人都保密。加密密钥是公开的，但不能用它来解密，即：3.加密和解密的运算可以对调，即：5.4网络安全基础5.4.2加密与认证技术加密与认证技术公开密钥密码体制的特点

4.在计算机上可容易地产生成对的PK和SK；从已知的PK实际上不可能推导出SK，即从PK到SK是“计算上不可能的”；加密和解密算法都是公开的。典型的非对称加密算法，如RSA算法、Elgamal、背包算法、Rabin、D-H、ECC（椭圆曲线加密算法）等。具有保密性的数字签名/认证核实签名解密加密签名E

运算D运算明文X明文X

ABA的私钥SKA因特网E

运算B的私钥SKBD运算加密与解密签名与核实签名B的公钥PKBA的公钥PKA密文5.4网络安全基础5.4.2加密与认证技术鉴别技术报文鉴别

在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用鉴别(authentication)。

报文鉴别使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。使用加密就可达到报文鉴别的目的。但在网络的应用中，许多报文并不需要加密但却需要数字签名，以便让报文的接收者能够鉴别报文的真伪。5.4网络安全基础5.4.2加密与认证技术鉴别技术实体鉴别实体鉴别和报文鉴别不同。报文鉴别是对每一个收到的报文都要鉴别报文的发送者，而实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。

最简单的实体鉴别过程A发送给B的报文的被加密，使用的是对称密钥KAB。B收到此报文后，用共享对称密钥KAB进行解密，因而鉴别了实体A的身份（B认为只有A才知道A的口令以及密钥KAB）。漏洞：入侵者C可以从网络上截获A发给B的报文。C并不需要破译这个报文（因为这可能很花很多时间）而可以直接把这个由A加密的报文发送给B，使B误认为C就是A。然后B就会向伪装是A的C发送应发给A的报文。这就叫做重放攻击(replayattack)。C甚至还可以截获A的IP地址，然后把A的IP地址冒充为自己的IP地址（这叫做IP欺骗），使B更加容易受骗。ABA,口令KAB使用不重数进行鉴别ABA,RARBKABRARBKAB,时间为了对付重放攻击，可以使用不重数(nonce)。不重数就是一个不重复使用的大随机数，即“一次一数”。5.4网络安全基础

5.4网络安全基础5.4.2加密与认证技术完整性鉴别完整性鉴别，也就是报文的完整性鉴别（简称报文鉴别），它对每一个收到的报文都要鉴别，判断是否被篡改，技术上主要是通过密码散列函数（cryptographichashfunction）来实现的。密码散列函数的特点：1.散列函数（也称为哈希函数）的输入长度可以很长，但其输出长度则是固定的，并且较短。散列函数的输出叫做散列值。2.由于散列函数输出长度固定，输出的组合是有限的，而输入长度可以很长，输入的组合可视为无限），所以不同的散列值肯定其输入是不同的，但不同的输入却可能得出相同的散列值。3.密码散列函数的重要特点就是：要找到两个不同的报文，它们具有相同的散列值，在计算上是不可行的，这也就是说，密码散列函数实际上是一种单向函数（由输出找到输入是不可行的）。5.4网络安全基础5.4.2加密与认证技术完整性鉴别报文原文“HelloWorld”从A传送给B（中途可能会被篡改，内容变化），如何让B知道自己收到的报文是正确的，没有被篡改过？可以在原报文“HelloWorld”后面加上1个字节的鉴别检测字段Check，为了方便读者理解和计算，该字段的值等于原报文中各个字符的ASCII码值之和对256求余，因此：Check=（72+101+108+108+111+87+111+114+108+100）%256=1020%256=252将原报文和加密后的Check字段（加密后窃听者无法修改Check字段）一起发给B，

如果传输过程中，原报文内容被篡改过，变成了“HelloKitty”，那么B收到的是：{“HelloKitty”，E(252)}，其中的E(252)代表的是Check字段加密后的密文。B通过解密，知道这次传输的报文Check值应该是252，收到的报文是“HelloKitty”，B重新鉴别Check，得到：Check=9≠252。收到报文的Check值并不等于原报文的Check，因此，B就知道原报文内容被篡改过了。5.4网络安全基础5.4.2加密与认证技术完整性鉴别上述的例子中，鉴别检测字段Check是一个不够好的散列函数，很容易让窃听者找到规律，并让篡改的内容和原报文都取得同样的值（这被称为“碰撞”），比如原文修改为“HdlloWorle”。实际的密码散列函数往往很复杂的，很难出现碰撞的情况，典型的实用的密码散列函数有MD5和SHA-1、SHA-2、SHA-3。如果原报文{X，H(X)}被截获，那么窃听者也无法伪造或篡改出另一个明文Y，使得H(Y)=H(X)。因此，散列函数H(X)可以用来保护明文X的完整性。5.4网络安全基础5.4.3网络安全协议网络层安全协议IPSecIPSec由IETF制定，面向TCMP，它为IPv4和IPv6协议提供基于加密安全的协议。IPSec主要功能为加密和认证，为了进行加密和认证，IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。IPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。5.4网络安全基础5.4.3网络安全协议安全套接层协议SSLSSL的英文全称是“SecureSocketsLayer”，中文名为“安全套接层协议”。SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。浏览器上使用https访问的网页，在输入用户名和密码进行登录的时候，http就调用SSL对网页内容进行加密，提高安全性。5.4网络安全基础5.4.4防火墙和入侵检测系统防火墙和入侵检测系统针对用户入侵、软件入侵或者攻击可以使用入侵检测技术和防火墙技术来防范。防火墙是一种特殊的路由器，用来连接两个网络并控制两个网络之间相互访问规则，它包括用于网络连接的软件和硬件以及控制访问的策略，用于对进出的所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护的网络，为网络提供安全保障。防火墙是确保内部网络安全的第一道关卡，但却不可能阻止所有的入侵行为，所以系统的第二道关卡是入侵检测系统IDS（IntrusionDetectionSystem）。5.4网络安全基础5.4.4防火墙和入侵检测系统防火墙和入侵检测系统IDS对进入网络的分组执行深度检查，当观察到可疑分组时，向网络管理员发出告警甚至执行阻断操作。IDS可以检测到多种网络攻击，包括网络映射、DoS攻击、端口扫描、蠕虫和病毒、系统漏洞攻击等等。入侵检测方法一般可分为基于特征的入侵检测和基于异常的入侵检测两种。。5.4网络安全基础5.4.4防火墙和入侵检测系统蜜罐技术蜜罐（honeypot）是一个包含漏洞的诱骗系统，通过模拟一个主机、服务器或者其他网络设备，给攻击者提供一个容易攻击的目标（替身），用来被攻击和攻陷，从而保护真正的网络目标（真身）。物联网技术第5章055.5物联网技术5.5.1物联网技术概述物联网技术的概念物联网的英文名称为“TheInternetofThings”，简称IoT，由该名称可见，物联网就是“物物相连的互联网”。从网络结构上看，物联网就是通过Internet将众多信息传感设备与应用系统连接起来并在广域网范围内对物品身份进行识别的分布式系统。物联网的定义：通过射频识别（RFID）装置、红外感应器、全球定位系统GPS、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。5.5物联网技术5.5.1物联网技术概述物联网的特征1.全面感知

利用射频识别RFID、传感器、二维码等技术随时随地获取物体的信息。2.可靠传递通过无线网络与互联网的融合，将物体的信息实时准确地传递给用户。3.智能处理利用云计算、数据挖掘以及模糊识别等人工智能（ArtificialIntelligence，AI）技术，对海量的数据和信息进行分析和处理，对物体实施智能化的控制。5.5物联网技术5.5.1物联网技术概述物联网与互联网的区别1.物联网提供行业性、专业性与区域性的服务，是网络技术在社会各行业各领域应用上的进一步渗透和升级

互联网的应用服务，是面向普通大众的，有“通用”的性质；而物联网是面向行业、专业、区域性的应用领域，具有“专用”的性质。2.物联网的数据主要是自动方式产生的互联网上的信息，以人工的方式生成的；物联网上的信息，自动产生和传输的。3.物联网是可反馈、可控制的闭环系统互联网一般提供的是开环的信息服务，而物联网主要提供闭环的控制服务，典型的物联网系统都是可反馈、可控制的。5.5物联网技术5.5.2物联网的组成物联网的组成物联网的体系架构分为4层：感知层、网络传输层、平台支撑层、应用层。5.5物联网技术5.5.2物联网的组成物联网的组成物联网感知层

感知层的功能主要是完成识别物体、感知环境和信息采集，包括各类物理量、标识、音频、视频等数据。物联网的数据采集涉及传感器、射频识别RFID、多媒体信息采集、二维码和实时定位等技术。物联网网络传输层物联网网络传输层可以分为接入层、汇聚层与核心交换层。接入层网络技术类型可以分为两类：无线接入与有线接入。无线接入技术有：无线局域网、无线个人区域网技术与移动通信网中的机器到机器（M2M）通信等。有线接入主要有：现场总线网接入、电力线接入、电视电缆与电话线接入等。5.5物联网技术5.5.2物联网的组成物联网的组成物联网网络传输层汇聚层的网络技术也可以分为无线与有线两类。无线网络技术主要有：无线个人区域网、无线局域网、无线城域网、2G/3G/4G/5G移动通信的M2M通信，以及专用无线通信技术。有线网络技术主要有：局域网、工业现场总线网标准，以及电话交换网技术。目前物联网核心交换层分为三种基本结构：IP网、非IP网和混合结构。非IP网主要是指移动通信网（2G/3G/4G/5G）传输网与专用无线通信网（Zigbee等）。5.5物联网技术5.5.2物联网的组成物联网的组成物联网平台支撑层当前的物联网平台支撑层往往通过云平台（云计算技术）来构建的，主要包含物联网终端设备接入、设备管理、安全管理、消息通信、监控运维以及数据应用等功能。常见的国内物联网云平台有：中国移动物联网开放平台OneNET、阿里云IoT、华为IoT物联网（OceanConnect）平台等；国外的有亚马逊AWSIoT、微软AzureIoT、IBMWatsonIoT等。物联网应用层物联网应用层可以对感知层采集的数据进行计算、处理和知识挖掘，从而实现对物理世界的实时控制、精确管理和科学决策。。5.5物联网技术5.5.3物联网相关技术物联网中的无线通信技术当前物联网接入方式更多的是使用无线方式，包括有短距离通信的WiFi、Zigbee、Bluetooth蓝牙、NFC近场通信、UWB超宽带技术等；远距离广域网通信的LoRa、NB-IoT、LTECat0/1、移动通信2G/3G/4G/5G等技术。标准名称2G(GPRS/GSM/CDMA)WiFi(802.11b)蓝牙(802.15.1)ZigBee(802.15.4)应用重点广泛范围（语音通话、短信、数据）Web应用、图像、语音等传输有线电缆替代品检测和控制等传感网占用的硬件资源(KB、MB)16MB+1MB+250KB+4~128KB电池寿命(天)1~70.5~51~7100~1000+网络大小-327255/65000带宽(KB/s)64~128+11000+72020~250传输距离(米)1000+1~1001~10+1~100成功尺度(优势)覆盖面大、质量可靠速度、灵活价格便宜、方便自组网可靠、低功耗、价格便宜5.5物联网技术5.5.3物联网相关技术物联网中的无线通信技术6LoWPAN技术为满足低功耗、弱计算能力和有损耗的无线网络环境下网络自组织需求，需要对IPv6路由机制进行改进，IETF6LoWPAN和Roll工作组制定了将IPv6网络技术应用于低功耗、低传送速率的无线传感器网络的相关技术标准6LoWPAN。6LoWPAN技术具有无线低功耗、自组织网络的特点，是物联网感知层、无线传感器网络的重要技术。5.5物联网技术5.5.3物联网相关技术物联网中的无线通信技术LoRa和NB-IoT技术物联网的快速发展对无线通信技术提出了更高的要求，专为低带宽、低功耗、远距离、大量连接的物联网应用而设计的LPWAN低功耗广域网也快速兴起。NB-IoT与LoRa是其中的典型代表。比较项NB-IoTLoRa技术特点蜂窝通信线性扩频网络部署与现有蜂窝基站复用，运营商和云数据中心掌管数据独立建网，用户自己掌管数据频段运营商频段，授权频段150Mhz~1Ghz，非授权频段传输距离远距离（基站覆盖范围）远距离（1~20Km）速率200kbps0.3~50kbps连接节点数量200K/cell200K~300K/hub终端电池寿命约10年约1