网络(network)由若干个结点(node)和连接这些结点的链路(link)组成。这些结点可以是计算机、集线器、交换机或路由器等。
网络可以通过路由器(集线器、交换机)互连起来,这样就构成了一个覆盖范围更大的网络,即互联网(互连网)。因此,互联网是“网络的网络(network of networks)”。
因特网(Internet)是世界上最大的互联网络(用户数以亿计,互连的网络数以百万讲)。习惯上大家把连接在因特网上的计算机都称为主机(host)。
计算机(可简称为网络)网络把许多计算机连接在一起,而互联网则把许多网络连接在一起。因特网是世界是最大的互联网。
1969年美国国防部创建第一个分组交换网ARPANET最初只是一个单个的分组交换网,所有要连接在APRANET上的主机都直接与就近的结点交换机相连。
1983年TCP/IP协议成为APRANET上的标准协议,使得所有使用TCP/IP协议的计算机都能利用互连网相互通信,因而人们就把1983年作为因特网的诞生时间。1990年ARPANET正式宣布关闭,因为它的实验任务已经完成。
internet(互联网或互连网)是一个通用名词,它泛指由多个计算机网络互连而成的网络。在这些网络之间的通信协议(即通信规则)可以是任意的。
Internet(因特网)是一个专用名词,它指当前全球最大的、开放的、由众多网络相互连接而成的特定计算机网络,它采用TCP/IP协议作为通信的规则,且其前身是美国的ARPANET。
ISP(Internet Service Provider)就是因特网服务提供者的英文缩写。从1993年开始,由美国政府资助的NSFNET逐渐被若干个商用的因特网主干网替代,而政府机构不再负责因特网的运营,而是让各种ISP来运营。ISP又常译为因特网服务提供商。
因特网按工作方式可划分为边缘部分与核心部分。主机在网络的边缘分部,其作用是进行信息处理。路由器在网络的核心部分,其作用是按存储转发方式进行分组转换。
计算机通信是计算机中的进程(运行着的程序)之间的通信。计算机网络采用的通信方式是C/S方式和P2P方式。
C/S客户服务器都是指通信中所涉及的两个应用进程。客户是服务请求方,服务器是服务提供方。
计算机网络中最常用的性能指标是:速率、带宽、吞吐量、时延(发送时延、传送时延、处理时延、排队时延)和信道(或网络)利用率。
网络协议即协议,是为进行网络中的数据交换而建立的规则。计算机网络的各层协议及其协议的集合,称为网络的体系结构。
此外还有一个中国调整互连研究试验网NSFnet,是由中国科学院、北京大学、清华大学等单位在北京中关村地区建行的用来研究因特网新技术的调整网络。
计算机网络的各层及其协议的集合,称为网络的体系结构(architecture),换种说法,计算机网络的体系结构就是这个计算机网络及其构件所应完成的功能的精确定义。需要强调的是:这些功能空间是用何种硬件或软件完成的,则是一个遵循这种体系结构的实现(implementation)的问题。体系结构的英文名词atchitecture的原意是建筑学或者建筑的设计和风格。它和一个具体的建筑物的概念很不相同。例如我们可以走进一个明代的建筑物中,但却不能走进一个明代的建筑风格之中。同理,我们也不能把一个具体的计算机网络说成是一个抽象的网络体系结构。总之,体系结构是抽象的,而实现则是具体的,是真正在运行的计算机硬件和软件。
因特网是一个很大的互联网,它由大量的异构(hetergeneous)网络通过路由器(router)相互连接起来。因特网主要的网络层协议是无连接的网际协议IP(Internet Protocol)和许多路由选择协议,因此因特网的网络层也叫做网际层或IP层。
物理层(physical layer),物理层的主要任务是确定与传输媒体的接口有关的一些特性,如机械特性、电气特性、功能特性和过程特性。
一个数据通信系统可分为三大部分,即源系统、传输系统和目的系统。源系统包括源点(或源站、信源)和发送器,目的系统包括接收器和终点(或目的站,或信宿)。
通信是目的是传送消息,如话音、文字、图像等都是消息。数据是运送消息的实体,信号则是数据的电气的或电磁的表现。
根据信号中代表消息的参数的取值方式不同,信号可分为模拟信号(或连续信号)和数字信号(或离散信号)。代表数字信号不同离散数值的基本波形称为码元。
从通信双方信息交互的方式可以划分为单向通信(或单工通信)、双向交替通信(或半双工通信)和双向同时通信(或全双工通信)。
数字数据转换成数字信号的过程称为编码,而将数字数据转换成模拟信号的过程称为调制。
来自信源的信号叫做基带信号。信号要在信道上传输就要经过调制。调制有基带调制和带通调制之分。最基本的带通调制方法有①调幅AM②调频FM③调相PM。还有更复杂的调制方法,如正交振幅调制。
要提高数据在信道上的传输速率,可以使用更好的传输媒体,或使用先进的调制技术。但数据传输速率总不可能被任意的提高。
用于物理层的协议也常称为物理层规程(procedure)。其实物理层规程就是物理层协议。
数字信号常用的编码方式:归零制,不归零制,曼彻斯特编码,差分曼彻斯特编码。
传输媒体可分为两大类,即①导引型传输媒体(双绞线,同轴电缆,光缆)。②非导引型传输媒体(无线或红外或大气激光)。
复用(multiplexing);复用器(multiplexer)总是和分用器(demultiplexer)成对地使用。在复用器和分用器之间是用户共享的高速信道。分用器的作用正好和复用器相反,它把高速信道传送过来的数据进行分用,分别送交到相应的用户。
整个同步网络的各级时钟都来自一个非常精确的主时钟(通常采用昂贵的钩原时钟,其精度优于±10﹣¹¹
为了达到更高的信息传输速率,必须采用技术上更为复杂的多元制的振幅相位混合调制方法。例如,正交振幅调制QAM(Quadrature Amplitue Modulation)。
协议是控制两个对等实体(或多个实体)进行通信的规则集合。在协议的控制下,两个对等实体间的通信使得本层能够向上一层提供服务。要实现本层协议,还需要使用下面一层所提供的服务。使用本层服务的实体只能看见服务而无法看见下面的协议。下面的协议对上面的实体是透明的。“透明”是一个很重要的术语。它表示:某一个实际存在的事物看起来却好像不存在一样。协议是“水平的”,即协议是控制对等实体之间通信的规则。但服务是“垂直”,服务是由下层向上层通过层间接口提供的。
TCP/IP协议可以为各式各样的应用提供服务(所谓的everything over IP),同时TCP/IP协议也允许IP协议在各式各样的网络构成的互联网上运行(所谓的IP over everything)。
链路(link)就是从一个结点到相邻结点的一段物理链路。数据链路(data link)则是在链路的基础上增加了一些必要的硬件(如网络适配器)和软件(如协议的实现)。
链路(link)就是从一个结点到相邻结点的一段物理链路。而中间许多没有任何其他的交换结点。在进行数据通信是时,两个计算机之间的通信路径往往要经过许多段这样的链路。可见链路只是一条路径的组成部分。数据链路(data link)则是另一个概念。这是因为当需要在一条线路上传送数据时,除了必须有一条物理线路外,还必须有一些必要的通信协议来控制这些数据的传输。若把实现这些法律有钱人硬件和软件加到链路上,就构成了数据链路。这样的数据链路就不再是简单的物理链路而是一条逻辑链路了。现在最常用的方法是使用网络适配器(如拔号上网使用拔号适配器,以及通过以太网使用局域网适配器)作为这些协议的硬件和软件。一般的适配器都包括了数据链路层和物理层这两层功能。早期的数据通信协议曾叫通信规程(procedure)。因此, 数据链路层,规程和协议是同义语。帧是点对点信道的数据链路层的协议数据单元。
差错检测。现实的通信链路都不会是理想的。这就是说,比特在传输过程中可能会产生差错:1可能会变成0,0可能会变成1。这就叫错比特差错。
环冗余检验CRC(Cyclic Redundancy Check)是一种检错方法,而FCS是添加在数据后面的冗余码,在检错方法上可以选用CRC,但也不选用CRC。仅使用检错还不能实现可靠传输。
点对点协议PPP(Point-to-Point Protocol),PPP协议的主要特点如下:①简单②封装成帧③透明性④多种网络层协议和多种类型链路,PPP协议能够在同一条物理链路上同时支持多种网络层协议(如IP、IPX等)的运行,以及能够在多种类型的链路上运行。例如,串行的或并行的,同步的异步的,低速的或高速的,电的或光的点对点链路。⑤差错检测(error detection)⑥检测连接状态⑦最大传送单元⑧网络层地址协商
点对点协议PPP是数据链路层使用的最多的一种协议,它的特点是简单;只检测差错,而不是纠正差错;不使用序号,也不进行流量控制;可同时支持多种网络层协议。
停止等待协议能够在不可靠的传输网络上实现可靠的通信。每发送完一帧就停止发送,等待对方的确认。在收到确认后再发送下一帧。帧需要进行编号。
超时重传是指中要超过了一段时间仍然没有收到确认,就重传前面发送过的帧(认为刚才发送的帧丢失了)。因此每发送完一帧需要设置一个超时充电器,其重传时间应比数据在帧传输的平均往返时间更第一些。这种自动重传方式常称为自动重传请求ARQ。
局域网最主要的特点是:网络作为一个单位所拥有,且地理范围和站点数目均有限。在局域网刚刚出现时,局域网比广域网具有较高的数据率、较低的时延和较小的误码率。但随着光纤技术在广域网中普遍使用,现在广域网也具有很高的数据率和很低的误码率。局域网具有如下主要优点:①具有广播功能,从一个站点很可能方便的访问全网。②便于系统的扩展和逐渐的演变,各设备的位置可灵活调整和改变。③提高了系统的可靠性(reliability)、可用性(availability)和生存性(survivability)。
共享通信媒体资源的方法有两种:一种是静态划分信道(各种复用技术);另一种是动态媒体接入控制,又称为多点接入(随机接入或受控接入)。
为了使数据链路层能更好地适应多种局域网标准,IEEE802委员会把局域网的数据链路层拆成两个已层,即逻辑链路控制LLC(Logical Link Control)子层和媒体接入控制MAC(Medium Access Control)子层。但现在LLC子层已成为历史。
计算机与外界局域网的连接是通过通信适配器(adapter)。适配器醒来是在主机箱内插入的一块网络接口板(或者在笔记本电脑中插入一块PCMCIA卡)。这种接口板又称为网络接口卡NIC(Nework Interface Card)或简称为“网卡”。目前的计算机主板都已经嵌入这种适配器,不再使用单独的网卡。在适配器上装有处理器和存储器(包括RAM和ROM)。计算机的硬件地址就在适配器的ROM中。
以太网采用无连接的工作方式,对发送的数据帧不进行编号,也不要求对方发回确认。目的站收到的有差错帧就把它丢弃,其他什么也不做。
CSMA/CD协议。以太网采用的协议是具有冲突检测的载波监听多点接入CDMA/CD(Carrier Sense Multiple Access with Collision Detection)。协议的要点是发送前先监听,检测到信道空闲就发送数据,同时边发送边监听,一旦发现了总线上出现了碰撞,就立即停止发送。然后按照退避算法等待一段随机时间后再次发送。每一个站在自己发送数据后的一小段 时间内,存在着遭遇碰撞的可能性。以太网上的各站点都平等地争用以太网信道。
以太网的MAC层。在局域网中,硬件地址又称为物理地址或MAC地址(因为为种地址用在MAC帧中)。在所有计算机系统的设计中,标识系统(identification system)是一个核心问题。在标识系统中,地址就是为识别某个系统的一个非常重要的标识符。在讨论地址问题时,最常见的就是如下定义:“名字指出我们所要寻找的那个资源,地址指那个资源在何处,路由告诉我们如何到达该处。”这个非形式的定义固然很简单,但有时却不够准确。严格地讲,名字应当与系统的所在地无关。这就像我们每一个人的名字一样,不随我们所处的地点而改变。但是802标准为局域网规定了一种48位的全球地址(一般简称为“地址”),是指局域网上的每一台计算机中固化在适配器的ROM中的地址。因此,有以下两种情况:①假定连接在局域网上的一台计算机的适配器坏了而我们更换了一个新的适配器,那么这台计算机的局域网的“地址”也就改变了,虽然这台计算机的地理位置一点也没有变化,所接入的局域网也没有任何改变。②假定我们把位于南京的某局域网上的一台笔记本电脑携带到北京,并连接在北京的某局域网上。虽然这台笔记本电脑的地理位置改变了,但只要电脑中的适配器不变,那么该电脑的北京的局域网中的“地址”和它在南京的局域网中的“地址”一样。
以太网的硬件地址,即MAC地址,实际上就是适配器地址或适配器标识符,与主机所在的地点无关。源地址和目的地址都是48位长。
由此可见,局域网上的某个主机的“地址”根本不能告诉我们这台主机位于什么地方。因此严格的讲,局域网的“地址”应当是每一个站的“名字”或标识符。不过计算机的名字通常都是比较适合人记忆的不太长的字符串,而这种48位二进制的“地址”却很不像一般计算机名字。现在人们还是习惯于把这种48位的“名字”称为“地址”。请注意,如果连接在局域网上的主机或路由器安装有多个适配器,那么这样的主机或路由器就有多个“地址”。更准确些说,这种48位“地址”应当是某个接口的标识符。
MAC地址也叫硬件地址(hardware address)或物理地址。可见“MAC地址”实际上就是适配器地址或适配器标识符EUI-48。当这块适配器插入(或嵌入)到某台计算机后,适配器上的标识符EUI-48就成为这台计算机的MAC地址了。
扩展的以太网:在物理层扩展的以太网(光纤带来的时延很小,很且带宽很高,使用这种方法可以很容易地使主机和几公里以外的集线器相连接);在数据链路层扩展的以太网(两个以太网通过网桥连接起来后,就成为一个覆盖范围更大的以太网,而原来每个以太网可以称为一个网段segment,网桥的接口称为端口port这和运输层的端口是两个不同的概念,网桥是通过内部的接口管理软件和网桥协议实体来完成上述操作的)
使用网桥可以在数据链路层扩展以太网(扩展后的以太网授权是个网络)。网桥在转发帧时不改变帧的源地址。使用网桥可以带来以下好处:①过滤通信量,增大吞吐量②扩大物理范围,因而也增加了整个以太网工作站的最大数目。③提高了可靠性。④可互连不同物理层、不同MAC子层和不同速率(如10Mbit/s和100Mbit/s以太网)的以太网。当然网桥也有一些缺点:①增加了时延。②在MAC子层并没有流量控制功能。③网桥只适合于用户数不太多(不超过几百个)和通信量不太大的以太网,否则有时还会因传播过多的广播信息而产生网络拥塞。这就是所谓的广播风暴。
目前使用最多的网桥是透明网桥(tranparent bridge)。“透明”是指局域网上的站点并不知道所发送的帧将经过哪几个网桥,因为网桥对各站来说是看不见的。透明网桥是一种即插即用设备,其标准是IEEE 802.1D。透明网桥使用了一个支撑树(spanning tree)算法。
交换式集线器常称为以太网交换机或第二层交换机(工作在数据链路层)。它就是一个多接口的网桥,而每个接口都直接与某台单主机或另一个集线器相连,县城工作在全双工方式。以太网交换机能同时连接许多对的接口,使每一对相互通信的主机都能像独占通信媒体那样,无碰撞的传输数据。
高速以太网有10BASE-T以太网,Gbit/s以太网,10Gbit/s以太网和100特比以太网,以及10/100Gbit/s以太网。在宽带接入技术中,用高速以太网进行接入也是一种可供选择的方法。
无线局域网的标准是IEEE的802.11系列。使用802.11系列协议的局域网又称为Wi-Fi。802.11无线以太网标准使用星形拓扑,其中心叫做接入点AP,它就是基本服务内的基站。
802.11无线以太网在MAC层使用CSMA/CA协议,以尽量减少碰撞发生的概率。不能使用CSMA/CD协议的原因是因为在无线局域网中无法实现碰撞检测。在使用CSMA/CA的同时,还使用停止等待协议。
802.11标准规定,所有的站在完成发送后,必须再等待一段时间间隔才能发送下一帧。帧间间隔的长短取决于该站要发送的帧的优先级。
在802.11无线局域网的MAC帧首部中有一个持续期字段,用来填入在本帧结束后还要占用信道多少时间(以微秒为单位)。
802.11标准允许要发送数据的站对信道进行预约,即在发送数据帧之前要先发送请求发送RTS帧。在收到响应允许发送CTS帧后,就可发送数据帧。
TCP/IP体系中的网络层向上只提供简单灵活的、无连接的、尽最大努力交付的数据报服务。网络层不提供服务质量的承诺,不保证分组交付的时限,所传送的分组可能出错、丢失、重复和失序。进程之间的通信的可靠性由运输层负责。
IP网是虚拟的,因为从网络层上看,IP网好像是一个统一的、抽象的网络(实际上是异构的)。IP层抽象的互联网屏蔽 了下层网络很复杂的细节,使我们能够使用统一的、抽象的IP地址处理主机之间的通信问题。
在互联网上的交付有两种:在本网络上的直接交付(不经过路由器)和到其他网络的间接交付(经过至少一个路由器,但最后一次一定是直接交付)。
虚电路VC(Virtual Cirtuit),虚电路表示这只是一条逻辑上的连接,分组都沿着这条逻辑连接按照存在转发方式传送,并不是真正建立一条物理连接。请注意,电话交换的电话通信是建立了一条直接的连接。因为分组交换的虚连接和电路交换的连接只是类似,但并不完全一样。
网际协议IP是TCP/IP体系中最主要的协议之一,也是最重要的因特网标准协议之一。与IP配套使用的还有四个协议:地址解析协议ARP、逆地址解析协议RARP、网际控制报协议ICMP、网际组管理协议IGMP。
能不能让大家都使用相同的网络,这样可以使网络互连变成比较简单。答案是不行的。因为用户的需求是多样的,没有单一的网络能够适应所有用户的需求。另外网络技术是不断发展的,网络制造厂家也经常推出新的网络,在竞争中求生存。因此在市场上总有多种不同的性能、不同网络协议的网络,供不同的用户选用。从一般来讲, 将网络互连起来要使用一些中间设备,根据中间设备所在的层次,可以有以下不同的中间设备:①物理层使用的中间设备叫做转发器(repeater)。②数据链路层使用的中间设备叫做网桥或转发器(bridge)。③网络层使用的中间设备叫做路由器(router)。④在网络层上使用的中间设备叫做网关(gateway)。用网关连接两个不兼容的系统需要在高层进行协议转换。
TCP/IP体系在网络互连上采集的做法是在网络层(即IP层)采用了标准化协议,但相互连接的网络则可以是异构的。
IP地址的编址方法共经过了以下三个历史阶段:①分类的IP地址。②子网的划分。③构成超网。
一个IP地址在整个因特网范围内是唯一的。分类的IP地址包括:A类,B类和C类地址(单播地址),以及D类地址(多播地址)。E类地址未使用。
分类的IP地址由网络号字段(指明网络)和主机号字段(指明主机)组成。网络号字段最前面的类别位指明IP地址的类别。
IP地址是一种分等级的地址结构。IP地址管理机构在分配IP地址时只分配网络号,而剩下的主机号则由得到该网络号的单位自动分配。路由器只根据目的主机所连接的网络号来转发分组。
IP地址标志一台主机(或路由器)和一条链路的接口。多归主机同时连接到两个或更多的网络上。这样的主机同时具有两个或更多的IP地址,其网络号必须是不同的。由于一个路由器至少应当连接到两个网络,因为一个路由器至少应当有两个不同的IP地址。
物理地址是数据链路层和物理层使用的地址,而IP地址是网络层和以上各层使用的地址,是一种逻辑地址(用软件实现的),在数据链路层看不见数据报的IP地址。
IP数据报分为首部和数据两部分。首部的前一部分。是固定长度,共20字节,是所有IP数据报必须具有的(源地址、目的地址、总长度等重要字段都在固定首部中)。一些长度可变的可选的字段放在固定首部的后面。
IP首部中的生存时间字段给出了IP数据报在因特网中所能经过的最大路由器数,可防止IP数据报在互联网中无限制地兜圈子。
IP地址与硬件地址。在局域网中,由于硬件地址已固化在网上上的ROM中,因此常常将硬件地址称为物理地址。因为局域网的MAC帧中的源地址和目的地址都是硬件地址,因此硬件地址又称为MAC地址。物理地址、硬件地址和MAC地址常常作为同义词。但应注意,有时,如在X.25网中,计算机的硬件地址并不是固化在ROM中。
IP地址放在IP数据报的首部,而硬件地址则放在MAC帧的首部。在网络层和网络层以上使用的是IP地址,而数据链路层以下使用的是硬件地址。
地址解析协议ARP。在实际应用中,我们经常会遇到这样的问题:已经知道了一个机器(主机或路由器)的IP地址,需要找出其相应的物理地址;或反过来,已经知道了物理地址,需要找出相应的IP地址。地址解析协议ARP和逆地址解析协议RARP就是用来解决这样的问题的。
地址解析协议ARP把IP地址解析为硬件地址,它解决同一个局域网上的主机或路由器的IP地址和硬件地址的映射问题。ARP的高速缓存可以大大减少网络上的通信量。
每一个主机都设有一个ARP高速缓存(ARP cache),里面有本局域网上的各主机和路由器的IP地址到硬件地址的映射表,这些都是该主机目前知道的一些地址。
在因特网中,我们无法根据硬件地址寻找到在某个网络上的某台主机。因此,从IP地址到硬件地址的解析是非常必要的。
由于全世界存在着各式各样的网络,它们使用不同的硬件地址。要使这些异构网络能够互相通通信就必须进行非常复杂的硬件地址转换工作,因此由用户或用户主机来完成这项工作几乎是不可能的事。但统一的IP地址把这个复杂的问题解决了。连接到因特网的主机只需拥有统一的IP地址,它们之间的通信就像连接在同一个网络上那样简单方便,因为调用ARP的复杂过程都是由计算机软件自动进行的,并不需要用户参与。因此在虚拟的IP网络上用户IP地址进行通信给广大计算机来了了很大的方便。
无分类域间路由选择CIDR是解决IP地址紧缺的一个好方法。CIDR记法把IP地址后面加上斜线“/”,然后写上前缀所占的位数。前缀(或网络前缀)用来指明网络,前缀后面的部分是后缀,用来指明主机。CIDR把前缀都相同的连续的IP 地址组成一个“CIDR地址块”。IP地址的分配都以CIDR地址块为单位。
CIDR的32位地址掩码(或子网掩码)由一串1和一串0组成,而1的个数就是前缀的长度。只要把IP地址和地址掩码逐位进行“逻辑与(AND)运算,很容易就得出网络地址。A类地址的默认地址掩码是255.0.0.0。B类地址的默认地址掩码是255.255.0.0。C类地址的默认地址掩码是255.255.255.0。
路由聚合(把许多前缀相同的地址用一个来代替)有利于路由表中的项目,减少路由器之间的路由选择信息的交换,从而提高整个因特网的性能。
IP数据报的首部并不知道源主机或上的主机所连接的网络是否进行了子网的划分。这是因为32位的IP地址本身以及数据报的首部都没有包含任何有关子网划分的信息。因此必须另外想办法,这就是使用子网掩码(subnet mask)。使用subnet mask的好处就是:不管网络有没有划分子网,只要把subnet mask和IP地址进行”与“运算(AND),就立即得出网络地址来。在路由器处理到来的分组时就可采用同样的算法。划分子网增加了灵活性,但却减少了能够连接在网络上的主机总数。
无分类编址CIDR(构造超网)(Classless Inter-Domain Routin,CIDRyfujj sider)。CIER主要特点有两个:①CIDR消除了传统的ABC类地址以及划分子网的概念,因而可以更加有效地分配IPv4地址空间,并且可以在新的IPv6使用之前宿州因特网的规模继续增长。②CIDR把网络前缀都相同的IP地址组成一个”CIDR地址块“。
网际控制报协议ICMP。为了更有效地转发IP数据报和提高交付成功的机会,在网际层使用了网际控制报文协议 ICMP(Internet Control Message Protocol)
因特网的路由选择协议的几个基本概念:1.理想的路由算法应具有以下几个特点:①算法必须是正确的和完事的。②算法在计算上应简单。③算法能够适应通信量和网络拓扑的变化,这就是说,要有自适应性。④算法应具有稳定性。⑤算法应是公平的。⑥算法应是最佳的。所谓“最佳”只能是相对于某一种特定要求下得出的较为合理的选择而已;2.分层次的路由选择协议。在目前的因特网中,一个大的ISP就是一个自治系统。这样因特网就把路由选择协议划分为以下两大类。①内部网关协议IGP(Interior Gateway Protocol)。即在一个自治系统内部使用的路由选择协议,而这与互联网中的其他自治系统选用的路由选择协议无关。目前,这类路由选择协议使用得最多,如RIP路由信息协议(Routing Information Protocol)和OSPF开放最短路径优先(Open Shorterst Path First)协议。②外部网关协议EGP(External Gateway Protocol)。目前,使用最多的外部网关协议是BGP边际网关协议的版本4(BGP-4)。
路由器的构成。整个路由器的构成可划分为两大部分:路由选择部分和分组转发部分。路由选择部分也叫控制部分,其核心部分是路由选择处理机。分组转发部分是重点,它由三个部分构成:交换结构(switching fabric又称为交换组织,它的作用就是根据转发表forwarding table对分组进行处理,将某个输入端口进入的分组从一个合适的输出端口转发出去。交换结构本身就是一种网络,但这种网络完全包含在路由器之中,因此交换结构可看成是路由器中的网络)、一组输入端口和一组输出端口(请注意这里的端口就是硬件接口)。
“转发”和“路由选择”是有区别的。在互联网中,“转发”就是路由器根据转发表把收到的IP数据报从路由器合适的端口转发出去。“转发”仅仅涉及一个路由器。但“路由选择”则涉及很多路由器,因为路由表则是许多路由器协同工作的结果,这些路由器相互交换信息时,目的是生成路由表,再从路由表导出转发表。若采用自适应路由选择算法,则当网络拓扑变化时,路由表和转发表都能够自动更新。在讨论路由选择的原理时,往往不去区分转发表和路由表的区别,而可以笼统地都使用路由表这一名词。一个路由器的输入端口和输出端口就做在路由器的线路接口卡上。
自治系统AS就是在单一的技术管理下的一组路由器。一个AS对其他AS表现出的是一个单一的和一致的路由选择策略。
路由选择协议有两大类:内部网关协议(自治系统内部的路由选择协议),如RIP和OSPF;外部网关协议(或自治系统之间的路由选择协议),如BGP-4。
RIP是分布式的基于距离向量的路由选择协议,只适用于小型互联网。RIP按固定的时间间隔和相邻路由器交换信息。交换的信息是自己当前的路由表,即到本自治系统中所有网络的(最短)距离,以及到每个网络应经过的下一跳路由器。
OSPF是分布式的链路状态协议,适用于大型互联网。OSPF只在链路状态发生变化时,才用向本自治系统中的所有路由器,用洪泛法发送与本路由器相邻的所有路由器的链路状态信息。
BGP-4是不同AS的路由器之间交换路由信息的协议,是一种路径向量路由选择协议, BGP力求寻找一条能够到达目的的网络(可达)且比较好的路由(不兜圈子),而并非要寻找一条最佳路由。
网际控制报文协议ICMP是IP层的协议。ICMP报文作为IP数据报的数据,加上首部后组成IP数据报发送出去。使用ICMP并不是实现了可靠传输。ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告。ICMP报文的各类有两种,即ICMP差错报告报文和ICMP询问报文。
因特网中的多播。能够运行多播协议的路由器称为多播路由器(multicast router)。多播路由器当然也可以转发普通的单播IP数据报。
多播主干网MBONE(Multicast Backbone On the InterNEt),MBONE可以把分组传播给地点分散但属于一个组的许多主机。现在多播主干网已经有相当大的规模。在因特网上进行多播就叫做IP多播。多播地址只能用于目的地址,而不能用于源地址。此外,对多播数据不产生ICMP差错报文。因此在PING命令后面键入多播地址,将永远不会收到响应。
与单播相比,在一对多的通信中,IP多播可大大节约网络资源。IP多播D类IP地址。IP多播需要两种协议。IGMP(网际组管理协议Interner Group Mangement Protocol)和多播路由选择协议。
虚拟专用网VPN(Virtual Private Network)利用公用的因特网作为本机构各专用网之间的通信载体。VPN内部因特网的专用地址。一个VPN至少要有一个路由器具有合法的全球IP 地址,这样才能和本系统的另一个VPN通过因特网进行通信。所有通过因特网传送的数据都必须经过加密。
要解决IP地址耗尽的问题,最根本的方法就是采用具有更大的地址空间的新版本的IP协议,即下一代的网际协议IPv6(IPng)。
IPv6所带来的主要变化是:①更大的地址空间(采用128位地址)②灵活的首部格式。③改进的选项。④支持即插即用。⑤支持资源的预分配。⑥IPv6首部改为8字节对齐。
IPv6数据报以在基本首部的后面允许有零个或多个扩展首部,再后面就是数据。所有的扩展首部和数据合起来叫做数据报的有效载荷或净负荷。
IPv6数据报的目的地址可以是以下三种基本类型地址之一:单播、多播和任播。
向IPv6过渡只能采用逐步演进的办法,必须使新安装的IPv6系统能够向后兼容。向IPv6过渡可以使用双协议栈或使用隧道技术。
有一种网桥和路由器的混合物桥路器(brouter),它兼有网桥和路由器的功能的产品。实际是严格的网桥和严格的路由器产品是较少见的。不过此名词用得不普遍。
运输层:从通信和信息处理的角度看,运输层向它上面的应用层提供端到端通信服务,它属于面向通信部分的最高层,同时也是用户功能中的最低层。当位于网络边缘部分的两台主机使用网络核心部分的功能进行端到端的通信时,只有主机的协议栈才有运输层,而网络核心分部中的路由器在转发分组时都只用到下三层的功能。
从IP层来说,通信的两端是两个主机。IP数据报的首部明确地标志了这两个主机的IP地址。然后严格的讲,两个主机进行通信实际上就是两个主机中的应用进程互相通信。
运输层的一个很重要的功能就是复用(multiplexing)和分用(demultiplexing)。这里的“复用”是指在发送方不同的应用进程都可以使用同一个运输层协议传送数据(当然要加上适当的首部),而“分用”是指接收方的运输层在剥去报的首部后能够把这些数据正确交付到目的应用进程。
运输层提供应用进程间的逻辑通信,也就是说,运输层之间的通信并不是真正在两个运输层之间直接传送数据。运输层向应用层屏蔽了下面网络的细节(如网络拓扑、所采用的路由选择协议等),它使应用进程看见的就是好像在两个运输层实体之间有一条端到端的逻辑信道。“逻辑通信”的意思是:运输层之间的通信好像是沿水平方向传送数据。但事实上这两个运输层之间并没有一条水平方向的物理连接。
从这里可以看出网络层和运输层有很大区别。网络层是为主机之间提供逻辑通信,而运输层为应用进程之间提供端到端的逻辑通信。
网络层为主机之间提供逻辑通信,而运输层为应用进程之间提供端到端的逻辑通信。
因特网的运输层协议:①用户数据报协议UDP(User Datagram Protocol)。②传输控制协议TCP(Transmission Control Protocol)。它们都有复用和分用。当运输层采用面向连接的TCP协议时,尽管下面的网络是不可靠的(只提供尽最大努力的服务),但这种逻辑通信信道就相当于一条全双工通信的可靠信道。当运输层采用无连接的UDP协议时,这种逻辑通信信道仍然是一条不可靠的信道。
按照OSI的术语,两个对等运输实体在通信时值拳数据单位叫做运输协议数据单元TPDU(Transport Protocol Data Unit)。但在因特网中,则根据所使用的协议是TCP或UDP,分别称之为TCP报文段(segment)或UDP报文或用户数据报。
运输层的复用与分用。用户层所有的应用进程之间都可以通过运输层再传送到IP层
,这就是复用。运输层从IP层收到数据后必须交付给指明的应用进程,这就是分用。运输层要能正确地将数据交付给指定应用进程,就必须给每个应用进程赋予一个明确的标志。在TCP/IP网络中,使用一种与操作系统无关的协议端口号(protocol port number)简称端口号来实现对通信应用进程的标志。端口用一个16位端口号进行标志。但端口号只具有本地意义。在因特网不同计算机中相同的端口号是没有联系的,并且TCP和UDP端口号之间也没有必然联系。在逻辑上,三元组(IP地址、运输层协议、端口号)唯一标识了因特网中一的一个通信进程。
运输层用一个16位端口号来标志一个端口。端口号只具有本地意义,它只是为了标志本地计算机应用层中的各个进程在和运输层交互时的层间的接口。在因特网的不同计算机中,相同的端口号是没有关联的。
两台计算机中的进程要互相通信,不仅要知道对方的IP地址(为了找到对方的计算机),而且还要知道对方的端口号(为了找到对方计算机中的应用进程)。
运输层的端口号共分为下面的三类:①服务器使用的端口号(0~1023指派给熟知端口well-known port,1024~49151是登记端口。③客户端暂时使用的端口号(动态端口,其数值为49151~65535)。
用户数据报协议UDP(User Datagram Protocol)在某些方面有其特殊的优点,例如:①UDP是无连接的,即发送数据之前不需要建立连接(当然发送数据结束时也没有连接可释放),因此减少了开销和发送数据之前的时延。②UDP使用尽最大努力进行交付,即不保证可靠交付,同时也不需要使用流量控制和拥塞控制,因此主机不需要维持具有许多参数的、复杂的连接状态表。③由于UDP没有拥塞控制,因此网络中出现的拥塞不会使源主机的发送速率降低。④UDP是面向报文的。⑤UDP支持一对一、一对多、多对一和多对多的交互通信。⑥用户数据报只有8个字节(只有4个字段:源端口、目的端口、长度和检测)的首部开销,比TCP的20个字节的首部要短得多。
传输控制协议TCP(Transmission Control Protocol)最主要的几个特点:①TCP是面向连接的运输层协议。②每一条TCP只能有两个端点,即每一条TCP连接只能是点对点的(一对一)。③TCP提供可靠交付的服务。也就是说,通过TCP连接传送的数据,无差错、不丢失、不重复,并且按顺序到达。④TCP提供全双工通信。⑤面向字节流。
TCP用主机的IP地址加上主机上的端口号作为TCP连接的端点。这样的端点叫做套接字(socket)或插口。套接字用(IP地址:端口号)来表示。
TCP报文段首部的前20个字节是固定的,后面有4N字节是根据需要而增加的选项(N是整数)。在一个TCP连接中传送的字节流中的每一个字节都按顺序编号。首部中的序号字段值则指的是本报文段所发送的数据的第一个字节的序号。
TCP首部的确认号是期望收到对方下一段报文段的第一个数据字节的序号。若确认号为N,则表明:到序号N-1为止所有的数据都已经正确收到。
TCP首部中的窗口字段指出了现在允许对方发送的数据量。窗口值并非固定不变。
TCP使用滑动窗口机制。发送窗口里面的序号表示允许发送的序号。发送窗口后沿的部分表示已发送且已收到了确认,而发送窗口前沿的前面部分表示不允许发送的。发送窗口后沿的变化情况有两种可能,即不动(没有收到新的确认)和前移(收到了新的确认)。发送窗口前沿通常是不断向前移动的。
拥塞控制原理。当网络中出现太多的分组时,网络的性能开始下降。这种情况称为拥塞(congestion)。拥塞是分组交换中一个非常重要的问题。如果网络中的负载(load),即发送到网络中的数量,超过了网络的容量,即网络中能处理的分组数量,那么在网络中就可能发生拥塞。所谓拥塞控制(congestion control)就是防止过多的数据注入到网络中,这样可以使网络中的路由器或链路不致过载。
拥塞控制的任务是防止过多的数据注入到网络中,使网络能够承受现有的网络负载。这是一个全局性的问题,涉及各方面的行为,包括所有的主机、所有的路由器、路由器内部的存储转发处理过程,有及与降低网络传输性能有关的所有因素。
流量控制只与特定点对点通信的发送方和接收方之间的流量有关。它是任务是,确保一个快速的发送方不会持续地以超过接收方接收能力的速率发送数据,以防止接收方来不及处理数据。
在某段时间,若对网络中某一资源的需求超过了该资源所能提供的可用部分,网络性能就要变坏。这种情况叫做拥塞。拥塞控制就是防止过多的数据注入到网络当中,这样可以使网络中的路由器或链路不致过载。
流量控制是一个端到端的问题,是接收端抑制发送端发送数据的速率,以便使接收端来得及接收。拥塞控制是一个全局性的过程,涉及所有主机、所有的路由器,以及与降低网络传输性能有关的所有因素。
为了进行拥塞控制,TCP的发送方要维持一个拥塞窗口cwnd的状态变量。拥塞窗口的大小取决于网络的拥塞程序,并且动态地在变化。发送方让自己的发送窗口取为拥塞窗口和接收方的接收窗口中较小的一个。
主动发起TCP连接建立的是客户进程,而被动等待的是连接建立的是服务器进程。TCP的连接建立采用三资联络机制。服务器要确认客户的连接请求,然后,客户要对服务器的确认进行确认。
TCP的连接释放采用四次联络机制。任何一方都可以在数据传送结束后发出连接释放的通知,待对方确认后就进入半关闭状态。当另一方也没有数据再发送时,则发送连接释放通知,对方确认后就完全关闭了TCP连接。
应用层协议(application-layer protocol)是为了解决某一类应用问题,而问题的解决又是通过位于不同主机中的多个应用进程之间的通信和协同工作来完成的。应用层规定了应用进程在通信时所遵循的协议。应用层的许多协议都是基于客服/服务器方式的。客户是服务请求方,服务器是服务提供方。
域名系统DNS(Domain Name System)并不是直接和用户打交道的网络应用。相反DNS是为其他各种网络应用提供一种核心服务,即名字服务,用来把计算机的名字转换为对应的IP地址。因此,我们首先讨论许多网络应用都要使用的域名系统。域名到IP地址的转换是由若干个域名服务器程序完成的。这种域名到IP地址的转换过程叫域名解析。作了进行主机名到IP地址的转换外,DNS还提供了一些重要的服务:①主机别名。有些主机的主机名比较复杂,可以为该主机取个简单易记的别名。应用程序可以调用DNS来获得主机别名对应的规范主机名(不是别名的主机名)。②负载分配。③反向域名解析。
域名系统DNS是因特网使用的命名系统,用来把便于人们使用的机器名字转换为IP地址。DNS是一个联机分布式数据库系统,并采用客服服务器方式。
域名到IP地址的解析,是由分布在因特网上的许多域名服务器程序(即域名服务器)共同完成的。因特网采用层次树状结构的命名方法,任何连接在因特网上的主机或路由器,都有一个唯一的层次结构名字,即域名。域名只是个逻辑概念,并不代表计算机所在的物理地点。域名中的点和点分十进制IP地中的点无关。
域名服务器。可划分为以下四种不同类型:①根域名服务器。②顶级域名服务器(即TLD服务器)。③权限域名服务器,负责管理某个区的域名服务器。④本地域名服务器。
域名服务器中广泛地使用了高速缓存(即高速缓存域名服务器)。高速缓存用来存放最近查询过的域名,以及何处获得域名映射信息的记录。由于使用了高速缓存,大多数名字都可以在本地进行解析,仅少量解析需要在因特网上通信。
万维网WWW(World Wide Web)。并非某种特殊的计算机网络。万维网是一个大规模的、联机式的的信息储藏所,现在经常只用一个英文字Web来表示万维网。万维网利用见面之间的链接(或称为超链接,即到另一个见面的指针),将不同网站的网页链接成一张逻辑上的信息网,从而用户可以方便地从因特网上的一个站点访问另一个站点,主动的按需获取丰富的信息。万维网是一个分布式的超媒体(hypermidia)系统,它是超文本(hypertext)系统的扩充。超文本是带有链接的文本,而这种链接或超链(hyperlink),不过一般都使用更简洁的名词“链接”。
万维网的客户程序向因特网中的服务器程序发出请求,服务器程序向客户程序送回客户所要的万维网文档。在客户主窗口上显示出的万维网文档称为页面。
万维网使用统一资源定位符URL来标志万维网上的各种文档。URL一般形式由以下四个部分组成:协议;//主机:端口/路径
万维网的客户程序与服务器程序之间进行交互所使用的协议是超文本传送协议HTTP。HTTP使用TCP连接进行可靠的传送。但HTTP协议本身是无连接的、无状态的。HTTP/1.1协议使用了持续连接(分为非流水线方式和流水线方式)。
万维网静态文档是指在文档创作完毕后就存放在万维网服务器中,在被用户浏览的过程中,内容不会改变。动态文档是指文档的内容是在浏览器访问万维网服务器时才由应用程序动态创建的。活动文档技术可以使浏览器屏幕连续更新。
代理服务器(proxy sever)又称为万维网缓存(万维网cache)。
一个电子邮件(e-mail)系统有三个主要组成构件,即用户代理、邮件服务器、以及邮件协议(包括邮件发送协议,如简单邮件传送协议SMTP,和邮件读取协议,如POP3)。用户代理和邮件服务器都要运行这两种协议。
SMTP协议用于从用户代理到邮件服务器以及在邮件服务器之间的邮件传送。但用户代理从邮件服务器读取邮件时,则要使用POP3(或IMAP)协议。
基于万维网的电子邮件使用户能够使用浏览器来收发电子邮件。用户浏览器和邮件服务器之间的邮件传送使用HTTP协议,而在邮件服务器之间邮件的传送使用SMTP协议。
文件传送协议FTP使用TCP可靠的运输服务来传送文件。FTP使用客户服务器方式。一个FTP服务器进程可同时为多个客户进程提供服务。FTP的服务器进程有两大部分组成:一个主进程,负责接受新的请求;另外有若干个人属进程,负责处理单个请求。
在进行文件传输时,FTP的客户和服务器之间要建立两个并行的TCP连接:控制连接和数据连接。FTP客户所发出的传送请求,通过控制连接发送给服务器端的控制过程,但控制连接并不用来传送文件。实际用于传输文件的是数据连接。
邮局协议POP是一个非常简单、但功能有限的邮件读取协议。现在使用的POP3是1996年颂的RFC1939,它已经成为因特网的正式标准。POP3可简称为POP。POP3有两种工作方式:下载删除方式和下载并保留方式。
通用因特网邮件扩充MIME,主要包括以下三部分内容:①五个新的邮件的首部字段,它们可包含在邮件首部中。这些字段提供了有关邮件主体的信息。②定义了许多邮件内容的格式,对多媒体邮件的表示方法进行了标准化。③定义了传送编码,可对任何内容进行转换,而不会被邮件系统改变。
使用P2P文件共享时,把文件划分为很多等长的小数据块进行分发,可加快文件分发的速度。使用查询洪泛可有效的减少网络中的查询流量。案例:BitTorrent。,
常用的多媒体网络应用:①流式存储音频/视频(又称为流媒体),是一些经过压缩并存储在服务器中的文件,客户端可以通过因特网边下载边播放这些文件,也就是我们所说的音频/视频点播。所谓“流式”是指可以在下载文件的同时连续播放该文件。②流式实况音频/视频,又称为音频/视频直播,类似为传统的广播电台和电视台播放的音频和视频节目,区别在于它们是通过因特网来传输的。这样的应用包括因特网广播电台和因特网电视。③实时交互音频/视频。因特网电话和因特网视频会议。
要使用多媒体应用的性能,可以使用①音频视频压缩技术。②时延抖动消除技术。③丢失分组恢复技术。
运行在UDP之上的实时传输协议RTP(Real-time Tranport Protocol),能够使UDP传输多种格式的多媒体数据,并加上序号、时间戳和同步源标识符。
媒体服务器使用基于UDP的流媒体传输协议(如RTP)来传输音频/视频数据。实时流协议RSTP是一种带外控制协议,用来控制流式媒体的传送,但其本身并不直接传送流式媒体数据。
SIP是一个简单且实用的实时交互协议,能够用来定位用户、建立、管理和终止多媒体会话,并支持双方、多方或多播会话,但不强调使用特定的编解码器和多媒体传输协议。
计算机网络所面临的安全威胁主要来自两大类攻击,即主动攻击(如截获)和被动攻击(如中断、篡改和伪造),这两类攻击中四种最基本的形式:①截获(interception)攻击者从网络上窃听他人的通信内容。②中断(interruption)攻击者有意中断他人在网络上的通信。③篡改(modification)攻击者故意篡改网络上的报文。④伪造(fabrication)攻击者伪造信息在网络上传送。主动攻击的类型有更改报文流、拒绝服务、伪造初始化、恶意程序(病毒、蠕虫、木马)等。
在被动攻击中,攻击者只是观察和分析网络中传输的数据流而不干扰数据流本身。即使通信的内容被加密,攻击者不能直接从内容中获取秘密,但通过观察分组的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究分组的长度和传输的频度,以便了解所交换的数据的性质。这种被动攻击称为通信量分析(traffic analysis)。
主动攻击是指攻击者对传输中的数据流进行各种处理。例如,有选择地更改、删除、延迟这些报文(当然也包括记录和复制它们)。除了中断、篡改和伪造外,还有一种重放攻击将截获的报文再次发送以产生非授权的效果。
计算机网络中需要提供的基本安全服务有:机密性、安全协议的设计和访问控制。
还有一种特殊的主动攻击就是恶意程序(rogue program)攻击。目前主要有以下几种恶意程序:①计算机病毒(computer virus),一种会“传染”的其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。②计算机蠕虫(computer worm),一种通过通信功能将自身从一个结点发送到另一个结点并启动运行的程序。③特洛伊木马(Trojan horse),一种在表面功能掩护下执行非授权功能的程序。④逻辑炸弹(logic bomb),一种当运行环境满足某种特定条件执行其他特殊功能的程序。
如果不论截取者获得了多少密文,都无法唯一地确定出对应的明文,则这一密码体制称为无条件安全的(或理论上不可破的)。在无任何限制的条件下,目前几乎所有实用的密码体制均是可破的。如果一个密码体制中的密码不能在一定时间内被可以使用的计算机资源破译,则这一密码体制称为在计算机上是安全的。
我们通过计算机网络传输数据时,如果无法防止他人窃听,可以利用密码学技术将发送的数据变换成对任何不知道如何做逆变换的人都不可理解的形式,从而保证了数据的机密性。这种变换称为加密(encryption),被加密的数据被称为密文(ciphertext),而加密前的数据称为明文(plaintext)。接收方必须能通过某种逆变换将密文重新变换回原来的明文,该逆变换称为解密(decryption)。密码学家很早就发现,加密和解密过程可以以一个密钥(key)为参数,并且加密和解密过程可以公开,只有密钥应该保密。
对称密钥密码体制是加密密钥与解密密钥相同的密码体制(如DES数据加密标准Data Encryption Standard),这种加密的保密性仅取决于对密钥的保密,而算法是公开的。
公钥密码体制(又称为公开密钥密码体制)使用不同的加密密钥与解密密钥。加密密钥(即公钥)是向公众公开的,而解密密钥(即私钥或秘钥)则是需要保密的。加密算法和解密算法都是公开的。
任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量,而不是简单的取决于加密的体制(公钥密码体制或传统加密体制)。
由于密码算法是公开的,密钥系统的安全性领带于密钥的安全保护。在对称密码体系中,通信双方要共享同一个秘密的密钥,如何将密钥分发到通信的双方是一个需要解决的问题。显然密钥必须通过安全的通路进行分发。例如,可以派非常可靠的集合携带密钥分发给互相通信的各用户。这种称为网外分发。但随着用户的增多和通信量的增大,密钥更换频繁(密钥必须定期更换才能做到可靠),派信使的办法将不再适用。因此,需要解决为解决网内密钥自动分发问题。对于对称密钥密码体制,这个可信的机构就是KDC密钥分发中心(Key Distribution Center)。而对于公钥密码体制,则通过认证中心CA(Certification Authority)来实现公钥的签发和认证。
数字签名必须保证能够实现以下三点功能:①报文鉴别,即接收者能够核实发送者对报文的签名;②报文完整性,即接收者确信所收到的数据和发送者发送的完全一样而没有被篡改过。③不可否认,发送者事后不能抵赖对报文的签名。
密钥管理包括:密钥的产生、分配、注入、验证和使用。密钥分配(或密钥分发)是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。目前,常用的密钥分配方式是设立密钥分配中心KDC。KDC是大家都信任的机构,其任务就是给需要进行通信的用户临时分配一个仅使用一次的会话密钥。
认证中心CA是一个值得领带的机构,用来将公钥与其对应的实体(人或机器进行绑定)。每个实体都有CA发来的证书,里面有公钥及其拥有者的标识信息(人名或IP地址)。此证书被CA进行了数字签名。任何用户都可从可信的地方(如代表政府的报纸)获得认证中心CA的的公钥。
IPsec是为因特网网络层提供安全服务的一组协议。IPsec可以以两种不同的方式运行:①传输方式,IPSec只保护IP报文的有效载荷,而不是保护IP报文的首部,通常用于主机到主机的数据保护;②隧道方式,IPSec保护包括IP首部在内的整个IP数据报,通常用于两个路由器之间,或一个主机与一个路由器之间的数据保护。
SSL最新版本是SSL3.0,它是保护万维网HTTP通信量公认的的事实上的标准。微软浏览器IE目前也使用SSL。后来IETF在SSL的基础上设计了运输层安全协议TLS。但当需要使用加密的浏览器时,就需要使用安全的浏览器,这时就要使用运输层安全协议SSL/TLS和应用层的HTTPS。
PGP(Pretty Good Privacy)是安全电子邮件软件(不是因特网的正式标准)。PGP通过报文摘要和数字签名技术为电子邮件提供完整性和不可否认,使用对称密钥和公钥的组合加密来提供机密性。
防火墙(firewall),是一个把组织的内部网络与其他网络(通常就是因特网)隔离开的软件和硬件的组合。
防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。一般防火墙内的网络称为“可信网络”(trusted network),而外部的因特网称为“不可信网络”(untrusted network)。防火墙的功能有两个,一个是阻止(主要的),另一个是允许。
防火墙技术分为:网络级防火墙,用来防止整个网络出现外来非法的入侵(属于这类的有分组过滤和授权服务器);应用级防火墙,用来进行访问控制(用应用网关和代理服务器来区分各种应用)。
分组过滤路由器是一种具有分组过滤功能的路由器,它根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)。
应用网关也称为代理服务器(proxy server),它在应用层通信中扮演报文中继的角色。一种网络应用需要一个应用网关,例如在前面介绍过的万维网缓存就是一种万维网应用的代理服务器。在应用网关中可以实现基于应用层数据的过滤和高层用户鉴别。
防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实上它是不可能阻止所有的入侵行为,因此有必要采取措施在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。入侵检测系统IDS(Intrusion Detection System)正是这样一种技术。