計算機網(wǎng)絡(luò) 第七章應用層

1、第七章第七章 應用層應用層應用層概述應用層概述客戶客戶/服務器模型服務器模型域名服務域名服務簡單網(wǎng)絡(luò)管理協(xié)議簡單網(wǎng)絡(luò)管理協(xié)議snmp網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全電子郵件電子郵件www文件傳輸協(xié)議文件傳輸協(xié)議ftp應用層概述（應用層概述（1）互聯(lián)網(wǎng)提供一個通用的通信構(gòu)架，并不指明提供哪些服務，由哪些計互聯(lián)網(wǎng)提供一個通用的通信構(gòu)架，并不指明提供哪些服務，由哪些計算機來運行這些服務，如何確定服務的存在，以及如何使用這些服務。算機來運行這些服務，如何確定服務的存在，以及如何使用這些服務。應用層為用戶提供高層服務，并決定了用戶對底層互聯(lián)網(wǎng)能力的認知。應用層為用戶提供高層服務，并決定了用戶對底層互聯(lián)網(wǎng)能力的認知。應用

2、決定了信息顯示的格式以及用戶選擇和訪問信息的機制。最重要應用決定了信息顯示的格式以及用戶選擇和訪問信息的機制。最重要的是，應用能定義符號名字來標識互聯(lián)網(wǎng)上可用的物理資源和抽象資的是，應用能定義符號名字來標識互聯(lián)網(wǎng)上可用的物理資源和抽象資源。源。比如，應用軟件能為計算機和輸入輸出設(shè)備（如打印機）定義名字，比如，應用軟件能為計算機和輸入輸出設(shè)備（如打印機）定義名字，也能為抽象的對象（如文件、電子郵件信箱、數(shù)據(jù)庫等）定義名字。也能為抽象的對象（如文件、電子郵件信箱、數(shù)據(jù)庫等）定義名字。符號名字能幫助用戶在高層次上區(qū)分和定位信息與服務，而不必理解符號名字能幫助用戶在高層次上區(qū)分和定位信息與服務，而不必

3、理解或記憶底層軟件協(xié)議所使用的低級地址?；蛴洃浀讓榆浖f(xié)議所使用的低級地址。applicationtransportnetworkdata linkphysicalapplicationtransportnetworkdata linkphysicalapplicationtransportnetworkdata linkphysical客戶客戶/服務器模型（服務器模型（1） 基本概念基本概念 客戶客戶/服務器模型服務器模型是所有網(wǎng)絡(luò)應用的是所有網(wǎng)絡(luò)應用的基礎(chǔ)?？蛻艋A(chǔ)?？蛻?服務服務器分別指參與一次器分別指參與一次通信的兩個應用實通信的兩個應用實體，客戶方主動地體，客戶方主動地發(fā)起通信請求，

4、服發(fā)起通信請求，服務器方被動地等待務器方被動地等待通信的建立。通信的建立。applicationtransportnetworkdata linkphysicalapplicationtransportnetworkdata linkphysical客戶客戶/服務器模型（服務器模型（2） 客戶軟件客戶軟件 任何一個應用程序當需要進行遠程訪問時成為客戶，這個應用程任何一個應用程序當需要進行遠程訪問時成為客戶，這個應用程序也要完成一些本地的計算；序也要完成一些本地的計算； 一般運行于用戶的個人計算機上；一般運行于用戶的個人計算機上； 向服務器主動發(fā)起通信請求；向服務器主動發(fā)起通信請求； 可以訪問多

5、個服務器，但一次只能訪問一個；可以訪問多個服務器，但一次只能訪問一個； 不需要特殊的硬件和復雜的操作系統(tǒng)。不需要特殊的硬件和復雜的操作系統(tǒng)。 服務器軟件服務器軟件 是專用的提供某種服務的特權(quán)程序，可以同時處理多個遠程客戶；是專用的提供某種服務的特權(quán)程序，可以同時處理多個遠程客戶； 一般在系統(tǒng)啟動時被執(zhí)行，并連續(xù)運行以處理多次會話；一般在系統(tǒng)啟動時被執(zhí)行，并連續(xù)運行以處理多次會話； 被動的等待遠程客戶發(fā)起通信；被動的等待遠程客戶發(fā)起通信； 需要特殊的硬件和復雜的操作系統(tǒng)。需要特殊的硬件和復雜的操作系統(tǒng)?？蛻艨蛻?服務器模型（服務器模型（3） 數(shù)據(jù)在客戶和服務器之間是雙向流動的，一般是客戶發(fā)數(shù)據(jù)在

6、客戶和服務器之間是雙向流動的，一般是客戶發(fā)出請求，服務器給出響應。出請求，服務器給出響應。 服務器軟件的并發(fā)性服務器軟件的并發(fā)性 由于服務器軟件要支持多個客戶的同時訪問，它必須具備并發(fā)由于服務器軟件要支持多個客戶的同時訪問，它必須具備并發(fā)性。服務器軟件為每個新到的客戶創(chuàng)建一個進程或線程來處理性。服務器軟件為每個新到的客戶創(chuàng)建一個進程或線程來處理和這個客戶的通信。服務器方傳送層實體使用客戶的源端口號和這個客戶的通信。服務器方傳送層實體使用客戶的源端口號和服務的端口號來確定正確的服務器軟件進程（線程）。和服務的端口號來確定正確的服務器軟件進程（線程）。 服務器軟件的組成服務器軟件的組成 服務器軟件

7、一般分為兩部分：一部分用于接受請求并創(chuàng)建新的服務器軟件一般分為兩部分：一部分用于接受請求并創(chuàng)建新的進程或線程，另一部分用于處理實際的通信過程。進程或線程，另一部分用于處理實際的通信過程。客戶客戶/服務器模型（服務器模型（4） 客戶客戶/服務器之間使用的傳送層協(xié)議服務器之間使用的傳送層協(xié)議 可以是基于連接的可以是基于連接的tcp協(xié)議，要求建立和釋放連接，適用于可協(xié)議，要求建立和釋放連接，適用于可靠的交互過程；靠的交互過程； 也可以是無連接的也可以是無連接的udp協(xié)議，適用于可靠性要求不高的或?qū)崟r協(xié)議，適用于可靠性要求不高的或?qū)崟r的交互過程；的交互過程； 同時使用同時使用tcp和和udp的服務，有

8、兩種服務器軟件的實現(xiàn)或服務的服務，有兩種服務器軟件的實現(xiàn)或服務器軟件同時和器軟件同時和tcp、udp協(xié)議交互，不對客戶做限制。協(xié)議交互，不對客戶做限制。 客戶和服務器的交互客戶和服務器的交互 支持協(xié)議：支持協(xié)議：在在internet中，客戶和服務器的交互通過使用中，客戶和服務器的交互通過使用tcp/ip協(xié)議棧來完成。因此，客戶和服務器所在的機器要求支協(xié)議棧來完成。因此，客戶和服務器所在的機器要求支持完全的協(xié)議棧?？蛻舫滞耆膮f(xié)議棧?？蛻?服務器通過套接字訪問傳送層服務。服務器通過套接字訪問傳送層服務?？蛻艨蛻?服務器模型（服務器模型（5）客戶客戶/服務器模型（服務器模型（6）客戶客戶/服務器模

9、型（服務器模型（7） 多種服務：多種服務：一臺計算機上可以運行多個服務器軟件，一臺計算機上可以運行多個服務器軟件，但是要求計算機有強大的硬件資源（服務器級別的但是要求計算機有強大的硬件資源（服務器級別的計算機）和多任務操作系統(tǒng)（計算機）和多任務操作系統(tǒng)（unix和和win95/98/2000/nt）。）。 服務的標識：服務的標識：客戶是通過服務的標識來訪問某種服客戶是通過服務的標識來訪問某種服務的，比如在務的，比如在internet中，服務是用端口號來標中，服務是用端口號來標識，識，unix在在/etc/services文件中定義。服務器軟件文件中定義。服務器軟件啟動時將其標識通知傳送層實體。

10、啟動時將其標識通知傳送層實體?？蛻艨蛻?服務器模型（服務器模型（8）- 為一個服務建立多個服務器副本：為一個服務建立多個服務器副本：一套計算機系統(tǒng)如果允許同時運一套計算機系統(tǒng)如果允許同時運行多個應用程序，則稱它支持并發(fā)（行多個應用程序，則稱它支持并發(fā)（c o n c u r r e n c y），而具有），而具有一個以上控制線程（有些系統(tǒng)使用術(shù)語進程（一個以上控制線程（有些系統(tǒng)使用術(shù)語進程（ p r o c e s s）或任務）或任務（ t a s k）來表示控制線程）的程序稱為并發(fā)（）來表示控制線程）的程序稱為并發(fā)（c o n c u r r e n t）程序。并發(fā)性是客戶服務器交互模式的基

11、礎(chǔ)，因為一個并發(fā)服務程序。并發(fā)性是客戶服務器交互模式的基礎(chǔ)，因為一個并發(fā)服務器同時為多個客戶提供服務，而不要求每個客戶等待服務器對前一器同時為多個客戶提供服務，而不要求每個客戶等待服務器對前一個客戶的服務結(jié)束。個客戶的服務結(jié)束。- 動態(tài)服務器創(chuàng)建：動態(tài)服務器創(chuàng)建：大多數(shù)并發(fā)服務器是動態(tài)操作的，服務器在每個大多數(shù)并發(fā)服務器是動態(tài)操作的，服務器在每個請求到來時創(chuàng)建一個新的線程。事實上，請求到來時創(chuàng)建一個新的線程。事實上，服務器程序由兩部分組成服務器程序由兩部分組成：一部分負責接收請求和生成新線程，另一部分包含處理單個請求的一部分負責接收請求和生成新線程，另一部分包含處理單個請求的代碼。當一個并發(fā)服

12、務器開始執(zhí)行時，只有第一部分在運行。當請代碼。當一個并發(fā)服務器開始執(zhí)行時，只有第一部分在運行。當請求到達時，主線程創(chuàng)建一個新的服務線程來處理它。處理請求的線求到達時，主線程創(chuàng)建一個新的服務線程來處理它。處理請求的線程運行第二部分代碼（即為請求提供服務的部分），然后終止。同程運行第二部分代碼（即為請求提供服務的部分），然后終止。同時，主線程保持服務器處于活動狀態(tài)時，主線程保持服務器處于活動狀態(tài)在創(chuàng)建處理請求的線程后，在創(chuàng)建處理請求的線程后，主線程繼續(xù)等待下一個請求到來。主線程繼續(xù)等待下一個請求到來。客戶客戶/服務器模型（服務器模型（9）- 復雜的客戶服務器交互：復雜的客戶服務器交互： 客戶應用并

13、不限于只能訪問一個服務。同一個應用能夠先是某個服客戶應用并不限于只能訪問一個服務。同一個應用能夠先是某個服務的客戶，以后又成為另一個服務的客戶。對每種服務，客戶可務的客戶，以后又成為另一個服務的客戶。對每種服務，客戶可與不同的服務器（可能在不同的計算機上）進行通信。與不同的服務器（可能在不同的計算機上）進行通信。 客戶應用訪問某一服務時并不限于一個服務器。在有些服務中，在客戶應用訪問某一服務時并不限于一個服務器。在有些服務中，在不同計算機上運行的服務器會提供不同的信息。在另一些服務中，不同計算機上運行的服務器會提供不同的信息。在另一些服務中，所有服務器提供相同的信息。在這些情況下，客戶可能通過

14、向多所有服務器提供相同的信息。在這些情況下，客戶可能通過向多個服務器發(fā)出請求來提高性能個服務器發(fā)出請求來提高性能它使用最先應答的服務器所發(fā)送它使用最先應答的服務器所發(fā)送的信息。的信息。 服務器進行其他客戶服務器交互不受限制服務器進行其他客戶服務器交互不受限制提供某種服務的服務提供某種服務的服務器能成為另一個服務的客戶。器能成為另一個服務的客戶。域名服務（域名服務（1） 產(chǎn)生原因產(chǎn)生原因 32比特的比特的ip地址難于記憶，應該使用符號地址，比如用地址難于記憶，應該使用符號地址，比如用表示表示。但是，網(wǎng)絡(luò)本身是使用。但是，網(wǎng)絡(luò)本身是使用ip地址地址的，因此需要一個完成二者之間

15、相互轉(zhuǎn)換的機制。的，因此需要一個完成二者之間相互轉(zhuǎn)換的機制。 當網(wǎng)絡(luò)規(guī)模比較小時，例如當網(wǎng)絡(luò)規(guī)模比較小時，例如arpanet，每臺主機只需查找一個，每臺主機只需查找一個文件（文件（unix的的host），該文件中列出了主機與），該文件中列出了主機與ip地址的對應關(guān)系。地址的對應關(guān)系。 當網(wǎng)絡(luò)規(guī)模很大時，上述方法就不適用了，因此產(chǎn)生了域名系統(tǒng)當網(wǎng)絡(luò)規(guī)模很大時，上述方法就不適用了，因此產(chǎn)生了域名系統(tǒng)dns（domain name system）。）。 dns概述概述 域名系統(tǒng)是一個典型的客戶域名系統(tǒng)是一個典型的客戶/服務器交互系統(tǒng)；服務器交互系統(tǒng)； 域名系統(tǒng)是一個多層次的、基于域的命名系統(tǒng)，并使用

16、分布式數(shù)域名系統(tǒng)是一個多層次的、基于域的命名系統(tǒng)，并使用分布式數(shù)據(jù)庫實現(xiàn)這種命名機制；據(jù)庫實現(xiàn)這種命名機制； 當應用程序需要進行域名解析時（從符號名到當應用程序需要進行域名解析時（從符號名到ip地址），它成地址），它成為域名系統(tǒng)的一個客戶。它向本地域名服務器發(fā)出請求（調(diào)用為域名系統(tǒng)的一個客戶。它向本地域名服務器發(fā)出請求（調(diào)用resolver），請求以），請求以udp包格式發(fā)出，域名服務器找到對應的包格式發(fā)出，域名服務器找到對應的ip地址后，給出響應。當本地域名服務器無法完成域名解析，它地址后，給出響應。當本地域名服務器無法完成域名解析，它臨時變成其上級域名服務器的客戶，遞歸解析，直到該域名解臨

17、時變成其上級域名服務器的客戶，遞歸解析，直到該域名解析完成。析完成。 rfc 1034，1035 域名的結(jié)構(gòu)域名的結(jié)構(gòu) internet的頂級域名分為的頂級域名分為組織結(jié)構(gòu)組織結(jié)構(gòu)和和地理結(jié)構(gòu)地理結(jié)構(gòu)兩種。每個域兩種。每個域?qū)λ旅娴淖佑蚝蜋C器進行管理。對它下面的子域和機器進行管理。 dns中，每臺計算機的名字是由中，每臺計算機的名字是由“.”所分開的字符數(shù)字串所組所分開的字符數(shù)字串所組成的。例如成的。例如. 域名是大小寫無關(guān)的，域名是大小寫無關(guān)的，“edu”和和“edu”相同。域名最長相同。域名最長255個個字符，每部分最長字符，每部分最長63個字符。個字符。域名服務（域名服務（2）域名服務

18、（域名服務（3） 資源記錄資源記錄 在在dns的數(shù)據(jù)庫中用的數(shù)據(jù)庫中用資源記錄資源記錄來表示主機和子來表示主機和子域的信息，當應用程序進行域名解析時，得到域的信息，當應用程序進行域名解析時，得到的便是域名所對應的資源記錄。的便是域名所對應的資源記錄。 資源記錄是一個五元式資源記錄是一個五元式domain_name time_to_live type class value域名服務（域名服務（4） 域名服務器域名服務器 區(qū)域劃分區(qū)域劃分 dns將域名空間劃分為許多無重疊的區(qū)域?qū)⒂蛎臻g劃分為許多無重疊的區(qū)域(zone) ，每個區(qū)域覆蓋了域名空間的一部分并設(shè)有域名服務每個區(qū)域覆蓋了域名空間的一部分

19、并設(shè)有域名服務器對這個區(qū)域的域名進行管理。器對這個區(qū)域的域名進行管理。 每個區(qū)域有一個主域名服務器和若干個二級域名服每個區(qū)域有一個主域名服務器和若干個二級域名服務器，區(qū)域的邊界劃分是人工設(shè)置的，比如：務器，區(qū)域的邊界劃分是人工設(shè)置的，比如： 可以是三個不同可以是三個不同的區(qū)域，可以分別有各自的域名服務器。的區(qū)域，可以分別有各自的域名服務器。域名服務（域名服務（5） 域名解析域名解析 一個區(qū)域內(nèi)機器上的應用程序進行域名解析時，一個區(qū)域內(nèi)機器上的應用程序進行域名解析時，首先向該區(qū)域的域名服務器發(fā)出解析請求，若查首先向該區(qū)域的域名服務器發(fā)出解析請求，若查找到，則返回域名對應的資源記錄。找到，則返回域

20、名對應的資源記錄。 若找不到，該域名服務器向所查找域名的頂級域若找不到，該域名服務器向所查找域名的頂級域的域名服務器發(fā)出解析請求，的域名服務器發(fā)出解析請求， 頂級域的域名服務器通過向下的層次查詢得到對頂級域的域名服務器通過向下的層次查詢得到對應的資源記錄，返回給該域名服務器，應的資源記錄，返回給該域名服務器， 最后資源記錄被返回給發(fā)起域名解析的機器，并最后資源記錄被返回給發(fā)起域名解析的機器，并在該區(qū)域的域名服務器中做緩存，超時后刪除。在該區(qū)域的域名服務器中做緩存，超時后刪除。simple dns examplehost surf.eurecom.fr wants ip address of g

21、1. contacts its local dns server, dns.eurecom.fr2. dns.eurecom.fr contacts root name server, if necessary3. root name server contacts authoritative name server, , if necessary requesting root name serverauthorititive name serverdns.uma

22、local name serverdns.eurecom.fr123456dns exampleroot name server:may not know authoratiative name servermay know intermediate name server: who to contact to find authoritative name serverrequesting root name serverlocal name serverdns.eurecom.fr123456authori

23、tative name intermediate name 78dns: iterated queriesrecursive query:puts burden of name resolution on contacted name serverheavy load?iterated query:contacted server replies with name of server to contact“i dont know this name, but ask this server”requesting

24、 root name serverlocal name serverdns.eurecom.fr123456authoritative name intermediate name 78iterated query簡單網(wǎng)絡(luò)管理協(xié)議簡單網(wǎng)絡(luò)管理協(xié)議snmp（1） snmp（simple network management protocol）的產(chǎn)生的產(chǎn)生 早期網(wǎng)絡(luò)，如早期網(wǎng)絡(luò)，如arpanet，規(guī)模很小，可以通過執(zhí)行，規(guī)模很小，可以通過執(zhí)行“p

25、ing”命令來發(fā)命令來發(fā)現(xiàn)網(wǎng)絡(luò)故障；現(xiàn)網(wǎng)絡(luò)故障； 網(wǎng)絡(luò)規(guī)模變大，需要一個好的工具來管理網(wǎng)絡(luò)。網(wǎng)絡(luò)規(guī)模變大，需要一個好的工具來管理網(wǎng)絡(luò)。1990年發(fā)布年發(fā)布rfc 1157，定義了定義了snmp v1； snmp v2，rfc 1441 1452。 網(wǎng)絡(luò)管理的五個基本管理功能：性能管理、故障管理、配置管理、網(wǎng)絡(luò)管理的五個基本管理功能：性能管理、故障管理、配置管理、記帳管理和安全管理。記帳管理和安全管理。 snmp是基于是基于udp的的 snmp模型模型snmp網(wǎng)絡(luò)管理模型由四種部件組成：網(wǎng)絡(luò)管理模型由四種部件組成： 被管理節(jié)點被管理節(jié)點運行運行snmp代理程序（代理程序（snmp agent），

26、維護一個本地數(shù)據(jù)庫，描述節(jié)點），維護一個本地數(shù)據(jù)庫，描述節(jié)點的狀態(tài)和歷史，并影響節(jié)點的運行。的狀態(tài)和歷史，并影響節(jié)點的運行。簡單網(wǎng)絡(luò)管理協(xié)議簡單網(wǎng)絡(luò)管理協(xié)議snmp（2） 管理工作站管理工作站運行專門的網(wǎng)絡(luò)管理軟件（運行專門的網(wǎng)絡(luò)管理軟件（manager），使用管理協(xié)議與被管），使用管理協(xié)議與被管理節(jié)點上的理節(jié)點上的snmp代理通信，維護管理信息庫。代理通信，維護管理信息庫。 管理信息管理信息每個站點使用一個或多個變量描述自己的狀態(tài)，這些變量稱為每個站點使用一個或多個變量描述自己的狀態(tài)，這些變量稱為“對象（對象（objects）”，所有的對象組成管理信息庫所有的對象組成管理信息庫mib（man

27、agement information base）。）。 管理協(xié)議（管理協(xié)議（snmp）管理協(xié)議用于管理工作站查詢和修改被管理節(jié)點的狀態(tài)，被管管理協(xié)議用于管理工作站查詢和修改被管理節(jié)點的狀態(tài)，被管理節(jié)點可以使用管理協(xié)議向管理站點產(chǎn)生理節(jié)點可以使用管理協(xié)議向管理站點產(chǎn)生“陷阱（陷阱（trap）”報報告。告。簡單網(wǎng)絡(luò)管理協(xié)議簡單網(wǎng)絡(luò)管理協(xié)議snmp（3）l抽象語法表示法抽象語法表示法1（asn.1）定義：定義：抽象語法表示法抽象語法表示法1是一種標準的對象定義語言，它分為是一種標準的對象定義語言，它分為數(shù)據(jù)描述定義數(shù)據(jù)描述定義（iso 8824）和）和傳輸語法定義傳輸語法定義（iso 8825）兩

28、）兩部分。部分。asn.1可以作為異種計算機設(shè)備之間可以作為異種計算機設(shè)備之間“對象對象”的描述和的描述和傳輸機制。傳輸機制。asn.1的基本數(shù)據(jù)類型的基本數(shù)據(jù)類型網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（1） 安全網(wǎng)絡(luò)和安全策略安全網(wǎng)絡(luò)和安全策略 沒有絕對意義上的安全網(wǎng)絡(luò)（沒有絕對意義上的安全網(wǎng)絡(luò)（ secure network）存在）存在 任何安全系統(tǒng)的第一步就是制定一個合理的安全策略任何安全系統(tǒng)的第一步就是制定一個合理的安全策略（security policy）。）。 制定網(wǎng)絡(luò)安全策略是一件很復雜的事情，其主要復雜性在制定網(wǎng)絡(luò)安全策略是一件很復雜的事情，其主要復雜性在于網(wǎng)絡(luò)安全策略必須能夠覆蓋數(shù)據(jù)在計算機網(wǎng)絡(luò)

29、系統(tǒng)中存于網(wǎng)絡(luò)安全策略必須能夠覆蓋數(shù)據(jù)在計算機網(wǎng)絡(luò)系統(tǒng)中存儲、傳輸和處理等各個環(huán)節(jié)，否則安全策略就不會有效。儲、傳輸和處理等各個環(huán)節(jié)，否則安全策略就不會有效。 制定網(wǎng)絡(luò)安全策略的復雜性還體現(xiàn)在對網(wǎng)絡(luò)系統(tǒng)信息價值制定網(wǎng)絡(luò)安全策略的復雜性還體現(xiàn)在對網(wǎng)絡(luò)系統(tǒng)信息價值的評定。很容易理解，任何組織只有正確認識了其數(shù)據(jù)信的評定。很容易理解，任何組織只有正確認識了其數(shù)據(jù)信息的價值，才能制定一個合理的安全策略。息的價值，才能制定一個合理的安全策略。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（2）安全性指標安全性指標制定安全策略時，往往必須在安全性和實用性之間采取一個折衷的制定安全策略時，往往必須在安全性和實用性之間采取一個折衷的方案

30、，著重保證一些主要的安全性指標，如方案，著重保證一些主要的安全性指標，如 數(shù)據(jù)完整性數(shù)據(jù)完整性（data integrity），即數(shù)據(jù)在傳輸過程中的完整性，），即數(shù)據(jù)在傳輸過程中的完整性，也就是數(shù)據(jù)在發(fā)送前和到達后是否完全一樣。也就是數(shù)據(jù)在發(fā)送前和到達后是否完全一樣。 數(shù)據(jù)可用性數(shù)據(jù)可用性（data availability），即在系統(tǒng)故障的情況下數(shù)據(jù)），即在系統(tǒng)故障的情況下數(shù)據(jù)是否會丟失。是否會丟失。 數(shù)據(jù)保密性數(shù)據(jù)保密性（data confidentiality and privacy），即數(shù)據(jù)是否會），即數(shù)據(jù)是否會被非法竊取。被非法竊取。 數(shù)據(jù)的不可否認性數(shù)據(jù)的不可否認性，對數(shù)據(jù)和信息的

31、來源進行驗證，以確保數(shù)，對數(shù)據(jù)和信息的來源進行驗證，以確保數(shù)據(jù)由合法的用戶發(fā)出；防止數(shù)據(jù)發(fā)送方在發(fā)出數(shù)據(jù)后又加以否據(jù)由合法的用戶發(fā)出；防止數(shù)據(jù)發(fā)送方在發(fā)出數(shù)據(jù)后又加以否認；同時防止接收方在收到數(shù)據(jù)后又否認曾收到過此數(shù)據(jù)及篡認；同時防止接收方在收到數(shù)據(jù)后又否認曾收到過此數(shù)據(jù)及篡改數(shù)據(jù)。改數(shù)據(jù)。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（3） 安全責任和控制安全責任和控制如何正確分配系統(tǒng)的管理權(quán)限往往是安全策略成敗的關(guān)鍵。如何正確分配系統(tǒng)的管理權(quán)限往往是安全策略成敗的關(guān)鍵。這個問題通?？梢詮膬煞矫鎭砜紤]：這個問題通常可以從兩方面來考慮： 帳戶帳戶（a c c o u n t a b i l i t y）?？紤]如何規(guī)定系統(tǒng)

32、各用）?？紤]如何規(guī)定系統(tǒng)各用戶對系統(tǒng)各項信息的訪問權(quán)限，如何監(jiān)督用戶活動、記錄戶對系統(tǒng)各項信息的訪問權(quán)限，如何監(jiān)督用戶活動、記錄用戶活動情況等。用戶活動情況等。 授權(quán)授權(quán)（a u t h o r i z a t i o n）。對系統(tǒng)內(nèi)每條信息，考慮）。對系統(tǒng)內(nèi)每條信息，考慮如何規(guī)定各用戶對它的操作權(quán)限，如只讀、讀寫以及用戶如何規(guī)定各用戶對它的操作權(quán)限，如只讀、讀寫以及用戶之間的權(quán)限轉(zhuǎn)讓等。之間的權(quán)限轉(zhuǎn)讓等。不管是帳戶管理還是授權(quán)管理，關(guān)鍵問題是安全責任控制不管是帳戶管理還是授權(quán)管理，關(guān)鍵問題是安全責任控制一個組織必須像管理有形資產(chǎn)如辦公樓、機器設(shè)備一樣對信一個組織必須像管理有形資產(chǎn)如辦公樓、機

33、器設(shè)備一樣對信息進行管理。息進行管理。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（4） 完整性機制完整性機制校驗和以及校驗和以及c r c技術(shù)都不能絕對保證數(shù)據(jù)的完整性，有兩技術(shù)都不能絕對保證數(shù)據(jù)的完整性，有兩個原因：個原因： 如果出現(xiàn)檢驗值和消息數(shù)據(jù)同時破壞，且改變后的檢驗值如果出現(xiàn)檢驗值和消息數(shù)據(jù)同時破壞，且改變后的檢驗值和消息又正巧匹配的情況，系統(tǒng)就無法發(fā)現(xiàn)錯誤（這種情和消息又正巧匹配的情況，系統(tǒng)就無法發(fā)現(xiàn)錯誤（這種情況概率很低，但決不為零）；況概率很低，但決不為零）； 上述技術(shù)缺陷，可能為人惡意利用。上述技術(shù)缺陷，可能為人惡意利用?，F(xiàn)已采用幾種機制能夠確保受到惡意攻擊的消息的完整性?，F(xiàn)已采用幾種機制能夠確保受

34、到惡意攻擊的消息的完整性。一般采用的方法是使用攻擊者不能攻擊或偽造的一般采用的方法是使用攻擊者不能攻擊或偽造的信息驗證碼信息驗證碼（message authentication code，mac）技術(shù)對傳輸數(shù)據(jù)進行）技術(shù)對傳輸數(shù)據(jù)進行編碼編碼。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（5） 加密與保密：加密與保密：為了保證有在線竊聽的情況下的保密性，必須對數(shù)據(jù)為了保證有在線竊聽的情況下的保密性，必須對數(shù)據(jù)加密。加密的基本思想是改變信息的排列方式，使得加密。加密的基本思想是改變信息的排列方式，使得只有合法的接收方才能讀懂。任何他人即使截取了該只有合法的接收方才能讀懂。任何他人即使截取了該加密信息也無法解開。加密信息也

35、無法解開。目前存在幾種加密技術(shù)目前存在幾種加密技術(shù) 對稱加密，雙方具有共享的密鑰對稱加密，雙方具有共享的密鑰 非對稱加密，也稱為公開密鑰加密非對稱加密，也稱為公開密鑰加密網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（6）對稱加密對稱加密：消息發(fā)送方和消息接收方必須使用相同的密鑰，該密消息發(fā)送方和消息接收方必須使用相同的密鑰，該密鑰必須保密。發(fā)送方用該密鑰對待發(fā)消息進行加密，然后將消息鑰必須保密。發(fā)送方用該密鑰對待發(fā)消息進行加密，然后將消息傳輸至接收方，接收方再用相同的密鑰對收到的消息進行解密。傳輸至接收方，接收方再用相同的密鑰對收到的消息進行解密。這一過程表示成數(shù)學形式如下：消息發(fā)送方使用的加密函數(shù)這一過程表示成數(shù)學形

36、式如下：消息發(fā)送方使用的加密函數(shù)e n c r y p t有兩個參數(shù)：密鑰有兩個參數(shù)：密鑰k和待加密消息和待加密消息m，加密后的消息為，加密后的消息為e。e = encrypt（k, m ）消息接收方使用的解密函數(shù)消息接收方使用的解密函數(shù)decrypt把這一過程逆過來，就產(chǎn)生了把這一過程逆過來，就產(chǎn)生了原來的消息：原來的消息：m = decrypt（k, e ）數(shù)學上，數(shù)學上，decrypt和和encrypt互為逆函數(shù)，有：互為逆函數(shù)，有：m = decrypt（k, encrypt（k, m ）網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（7）非對稱加密非對稱加密：給每個用戶分配兩把密鑰：一個稱私有密鑰，：給每個用戶

37、分配兩把密鑰：一個稱私有密鑰，是保密的；一個稱公共密鑰，是眾所周知的。是保密的；一個稱公共密鑰，是眾所周知的。該方法的加密函數(shù)必須具備如下數(shù)學特性：用公共密鑰加密該方法的加密函數(shù)必須具備如下數(shù)學特性：用公共密鑰加密的消息除了使用相應的私有密鑰外很難解密；同樣，用私有的消息除了使用相應的私有密鑰外很難解密；同樣，用私有密鑰加密的消息除了使用相應的公共密鑰外很難解密。密鑰加密的消息除了使用相應的公共密鑰外很難解密。這種用兩把密鑰加密和解密的方法表示成數(shù)學形式如下：假這種用兩把密鑰加密和解密的方法表示成數(shù)學形式如下：假設(shè)設(shè)m表示一條消息，表示一條消息， p u b - u l表示用戶表示用戶1的公共

38、密鑰，的公共密鑰，p r v - u l表示用戶表示用戶1的私有密鑰，那么有的私有密鑰，那么有m = decrypt（pub-ul, encrypt（prv-ul , m）m = decrypt（prv-ul, encrypt（pub-ul, m）l這種方法是安全的，因為加密和解密的函數(shù)具有單向性質(zhì)。這種方法是安全的，因為加密和解密的函數(shù)具有單向性質(zhì)。也就是說，僅知道了公共密鑰并不能偽造由相應私有密鑰加也就是說，僅知道了公共密鑰并不能偽造由相應私有密鑰加密過的消息。密過的消息。l可以證明，公共密鑰加密法能夠保證保密性。只要消息發(fā)送可以證明，公共密鑰加密法能夠保證保密性。只要消息發(fā)送方使用消息接

39、收方的公共密鑰來加密待發(fā)消息，就只有消息方使用消息接收方的公共密鑰來加密待發(fā)消息，就只有消息接收方能夠讀懂該消息。因為要解密必須要知道接收方的私接收方能夠讀懂該消息。因為要解密必須要知道接收方的私有密鑰。有密鑰。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（8）網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（9） 數(shù)字簽名數(shù)字簽名 數(shù)字簽名是通過一個單向函數(shù)對要傳送的報文進行處理得到數(shù)字簽名是通過一個單向函數(shù)對要傳送的報文進行處理得到的用以認證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)的用以認證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。字串。在電子商務中，傳送的文件是通過數(shù)字簽名證明當事人身份在電子商務中，傳送的文件是通過數(shù)字簽名證明當事人

40、身份與數(shù)據(jù)真實性的。數(shù)據(jù)加密是保護數(shù)據(jù)的最基本方法，但也與數(shù)據(jù)真實性的。數(shù)據(jù)加密是保護數(shù)據(jù)的最基本方法，但也只能防止第三者獲得真實數(shù)據(jù)。數(shù)字簽名則可以解決否認、只能防止第三者獲得真實數(shù)據(jù)。數(shù)字簽名則可以解決否認、偽造、篡改及冒充等問題。偽造、篡改及冒充等問題。要求：發(fā)送者事后不能否認發(fā)送的報文簽名、接收者能夠核要求：發(fā)送者事后不能否認發(fā)送的報文簽名、接收者能夠核實發(fā)送者發(fā)送的報文簽名、接收者不能偽造發(fā)送者的報文簽實發(fā)送者發(fā)送的報文簽名、接收者不能偽造發(fā)送者的報文簽名、接收者不能對發(fā)送者的報文進行部分篡改、網(wǎng)絡(luò)中的某名、接收者不能對發(fā)送者的報文進行部分篡改、網(wǎng)絡(luò)中的某一用戶不能冒充另一用戶作為發(fā)

41、送者或接收者。一用戶不能冒充另一用戶作為發(fā)送者或接收者。數(shù)字簽名的實現(xiàn)（數(shù)字簽名的實現(xiàn)（1 1）目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上，它是公用密鑰加密目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上，它是公用密鑰加密技術(shù)的另一類應用。它的主要方式是：技術(shù)的另一類應用。它的主要方式是：報文的發(fā)送方從報文文本中生成一個報文的發(fā)送方從報文文本中生成一個128位的散列值（或報文摘位的散列值（或報文摘要）。要）。發(fā)送方用自己的私人密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)發(fā)送方用自己的私人密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的字簽名。這個數(shù)字簽名將作

42、為報文的附件和報文一起發(fā)送給報文的接收方。接收方。報文的接收方首先從接收到的原始報文中計算出報文的接收方首先從接收到的原始報文中計算出128位的散列值位的散列值（或報文摘要），再用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名（或報文摘要），再用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名進行解密。進行解密。如果兩個散列值相同、那么接收方就能確認該數(shù)字簽名是發(fā)送方的。如果兩個散列值相同、那么接收方就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別。數(shù)字簽名的實現(xiàn)（數(shù)字簽名的實現(xiàn)（2 2） 加入數(shù)字簽名和驗證的文件傳輸過程如下：加入數(shù)字簽名和驗證的文件傳輸

43、過程如下： 發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用公開密鑰體系用發(fā)送方的私有密鑰對數(shù)字簽名進行加密，公開密鑰體系用發(fā)送方的私有密鑰對數(shù)字簽名進行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面；并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面； 發(fā)送一方選擇一個秘密密鑰對文件進行加密發(fā)送一方選擇一個秘密密鑰對文件進行加密,并把加密后并把加密后的文件通過網(wǎng)絡(luò)傳輸?shù)浇邮辗剑坏奈募ㄟ^網(wǎng)絡(luò)傳輸?shù)浇邮辗剑?發(fā)送方用接收方的公開密鑰對密秘密鑰進行加密發(fā)送方用接收方的公開密鑰對密秘密鑰進行加密,并通過并通過網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗?；網(wǎng)絡(luò)把加密后

44、的秘密密鑰傳輸?shù)浇邮辗剑?數(shù)字簽名的實現(xiàn)（數(shù)字簽名的實現(xiàn)（4 4） 接受方使用自己的私有密鑰對密鑰信息進行解密，得到秘接受方使用自己的私有密鑰對密鑰信息進行解密，得到秘密密鑰的明文；密密鑰的明文； 接收方用秘密密鑰對文件進行解密，得到經(jīng)過加密的數(shù)字接收方用秘密密鑰對文件進行解密，得到經(jīng)過加密的數(shù)字簽名；簽名； 接收方用發(fā)送方的公開密鑰對數(shù)字簽名進行解密，得到數(shù)接收方用發(fā)送方的公開密鑰對數(shù)字簽名進行解密，得到數(shù)字簽名的明文；字簽名的明文； 接收方用得到的明文和哈希函數(shù)重新計算數(shù)字簽名，并與接收方用得到的明文和哈希函數(shù)重新計算數(shù)字簽名，并與解密后的數(shù)字簽名進行對比。如果兩個數(shù)字簽名是相同的，解密后

45、的數(shù)字簽名進行對比。如果兩個數(shù)字簽名是相同的，說明文件在傳輸過程中沒有被破壞。說明文件在傳輸過程中沒有被破壞。電子郵件（電子郵件（1） 相關(guān)協(xié)議標準相關(guān)協(xié)議標準 1982年年arpanet提出了提出了rfc821（傳輸協(xié)議）（傳輸協(xié)議）rfc822（消息格式）作為電子郵件協(xié)議；（消息格式）作為電子郵件協(xié)議； 1984年年ccitt提出了提出了x.400建議，建議，但是沒有得到普及。但是沒有得到普及。 體系結(jié)構(gòu)體系結(jié)構(gòu) 用戶代理：允許用戶閱讀和發(fā)送用戶代理：允許用戶閱讀和發(fā)送電子郵件，一般為用戶進程；電子郵件，一般為用戶進程； 消息傳輸代理：將消息從源端發(fā)消息傳輸代理：將消息從源端發(fā)送至目的端，

46、一般為系統(tǒng)的后臺送至目的端，一般為系統(tǒng)的后臺進程；進程； 簡單郵件傳輸協(xié)議簡單郵件傳輸協(xié)議smtp（simple mail transfer protocol）mailserveruseragentuseragentuseragentmailserveruseragentuseragentmailserveruseragentsmtpsmtpsmtpuser mailboxoutgoing message queue電子郵件（電子郵件（2） 電子郵件系統(tǒng)提供的五大基本功能電子郵件系統(tǒng)提供的五大基本功能 成文：指創(chuàng)建消息或回答消息的過程；成文：指創(chuàng)建消息或回答消息的過程； 傳輸：指將消息從發(fā)送者

47、傳出至接收者；傳輸：指將消息從發(fā)送者傳出至接收者； 報告：將消息的發(fā)送情況報告給消息發(fā)送者；報告：將消息的發(fā)送情況報告給消息發(fā)送者； 顯示：使用相應的工具軟件將收到的消息顯示給接收者顯示：使用相應的工具軟件將收到的消息顯示給接收者 處理：接收者對接收到的消息進行處理，存儲處理：接收者對接收到的消息進行處理，存儲/丟棄丟棄/轉(zhuǎn)發(fā)等等。轉(zhuǎn)發(fā)等等。 其它高級功能其它高級功能 自動轉(zhuǎn)發(fā)、自動回復；自動轉(zhuǎn)發(fā)、自動回復； mailbox，創(chuàng)建郵箱存儲郵件；，創(chuàng)建郵箱存儲郵件； mailing list； 抄送（抄送（cc）、高優(yōu)先級、加密。）、高優(yōu)先級、加密。電子郵件（電子郵件（3） 電子郵件的組成電子郵

48、件的組成 信封：接收方的信息，如名字、地址、郵件的優(yōu)先級和安全級信封：接收方的信息，如名字、地址、郵件的優(yōu)先級和安全級別；別； 信件內(nèi)容：由信頭和信體組成，信頭包含了用戶代理所需的控信件內(nèi)容：由信頭和信體組成，信頭包含了用戶代理所需的控制信息，信體是真正的內(nèi)容。制信息，信體是真正的內(nèi)容。 用戶代理用戶代理 發(fā)送電子郵件發(fā)送電子郵件 email地址，例如，地址，例如， mailing list，例如，例如， x.400地址，例如，地址，例如，/c=us/sp=massachusetts/ l=cambridge/pa=360 memorial dr./cn=ken smith/電子郵件（電子郵件

49、（4） 閱讀電子郵件閱讀電子郵件 用戶代理在啟動時檢查用戶的用戶代理在啟動時檢查用戶的mailbox，通知用戶是否有新郵件到，通知用戶是否有新郵件到來。并摘要性的顯示郵件的主題、發(fā)送者及其郵件的狀態(tài)。來。并摘要性的顯示郵件的主題、發(fā)送者及其郵件的狀態(tài)。 信件格式信件格式 rfc822 信件包括信封、若干信頭域、一個空行和信體。信件包括信封、若干信頭域、一個空行和信體。 電子郵件的擴展電子郵件的擴展 mime（multipurpose internet mail extensions），增加了對圖像、），增加了對圖像、聲音、視頻、可執(zhí)行文件等的支持。使用不同的編碼方法將信息轉(zhuǎn)聲音、視頻、可執(zhí)行文

50、件等的支持。使用不同的編碼方法將信息轉(zhuǎn)化為化為ascii字符流字符流電子郵件（電子郵件（5） 消息傳送協(xié)議消息傳送協(xié)議 internet使用簡單郵件傳輸協(xié)議使用簡單郵件傳輸協(xié)議smtp完成電子郵件的交換。完成電子郵件的交換。 過程如下過程如下 消息傳輸代理在源端主機和目的主機的消息傳輸代理在源端主機和目的主機的25號端口之間建立一條號端口之間建立一條tcp連接，使用簡單郵件傳輸協(xié)議連接，使用簡單郵件傳輸協(xié)議smtp協(xié)議進行通信；協(xié)議進行通信； 在在tcp連接建立好之后，作為客戶的郵件發(fā)送方等待作為服務器的連接建立好之后，作為客戶的郵件發(fā)送方等待作為服務器的郵件接收方首先傳輸信息；郵件接收方首先

51、傳輸信息； 服務器首先發(fā)出準備接受的服務器首先發(fā)出準備接受的smtp消息，客戶向服務器發(fā)出消息，客戶向服務器發(fā)出helo消息，服務器回答以消息，服務器回答以helo消息，雙方進入郵件傳輸狀態(tài)；消息，雙方進入郵件傳輸狀態(tài)；useragentuseragentsmtppop3 orimap電子郵件（電子郵件（6） 郵件傳輸過程：客戶首先發(fā)出郵件的發(fā)信人地址（郵件傳輸過程：客戶首先發(fā)出郵件的發(fā)信人地址（mail from），然后發(fā)出收信人的地址（），然后發(fā)出收信人的地址（rcpt to），服務器），服務器確認收信人存在后，發(fā)出可以繼續(xù)發(fā)送的指示，客戶發(fā)送真確認收信人存在后，發(fā)出可以繼續(xù)發(fā)送的指示，客

52、戶發(fā)送真正的消息（正的消息（data），），以以.作為結(jié)束；作為結(jié)束； 當客戶方郵件發(fā)送完之后，服務器開始發(fā)送郵件至客戶，過當客戶方郵件發(fā)送完之后，服務器開始發(fā)送郵件至客戶，過程同上；程同上； 兩個方向的發(fā)送完成之后，釋放兩個方向的發(fā)送完成之后，釋放tcp連接（連接（quit）。）。 注意注意 消息以消息以7-比特比特ascii碼為單位碼為單位 某些特殊字符串（如某些特殊字符串（如crlf.crlf）不允許在消息中出現(xiàn)，）不允許在消息中出現(xiàn)，需要編碼（例如，需要編碼（例如，base64）電子郵件（電子郵件（7） 其它協(xié)議其它協(xié)議 pop3（post office protocol），），rfc

53、 1939，用戶代理和郵箱不在用戶代理和郵箱不在同一機器上，用戶代理使用此協(xié)議將郵箱中的信件取回本地；同一機器上，用戶代理使用此協(xié)議將郵箱中的信件取回本地； imap（internet mail access protocol），），rfc 1730，收信人使用收信人使用多個用戶代理訪問同一郵箱，郵件始終保持在郵箱中。多個用戶代理訪問同一郵箱，郵件始終保持在郵箱中。 加密電子郵件協(xié)議：加密電子郵件協(xié)議：pgp與與pem協(xié)議。協(xié)議。 try smtp interaction for yourself telnet servername 25 see 220 reply from server e

54、nter helo, mail from, rcpt to, data, quit commands above lets you send email without using email client (reader)電子郵件（電子郵件（8） sample smtp interaction s: 220 c: helo crepes.fr s: 250 hello crepes.fr, pleased to meet you c: mail from: s: 250 alicecrepes.fr. sender ok c: rcpt to: s: 250 bo

55、 . recipient ok c: data s: 354 enter mail, end with . on a line by itself c: do you like ketchup? c: how about pickles? c: . s: 250 message accepted for delivery c: quit s: 221 closing connection user other telematic services user mhs au mts mta user ua mta mta ms ua user

56、 user ua mta pdau user physical delivery services user x.400 mhs function model ua - user agent mta - message transfer agent ms - message store au - access unit pdau - physical delivery access unitwww （1） www（world wide web）是用于訪問遍布于）是用于訪問遍布于internet上的相互鏈接在一起的超文本的一種結(jié)構(gòu)框上的相互鏈接在一起的超文本的一種結(jié)構(gòu)框架。架。 歷史歷史 198

57、9年，設(shè)計年，設(shè)計www的思想產(chǎn)生于歐洲核研究中心的思想產(chǎn)生于歐洲核研究中心cern； 1991年，第一個原型在美國的年，第一個原型在美國的hypertext 91會議上展示；會議上展示； 1993年，第一個圖形化瀏覽器，年，第一個圖形化瀏覽器，mosaic； 1994年，年，andreessen創(chuàng)建創(chuàng)建netscape公司，開發(fā)公司，開發(fā)web的客戶和的客戶和服務器軟件；服務器軟件； 同年，同年，cern和和mit共同創(chuàng)建共同創(chuàng)建www論壇，制定相關(guān)的協(xié)議標論壇，制定相關(guān)的協(xié)議標準，準，。www （2）l術(shù)語術(shù)語web page:lconsists of “o

58、bjects”laddressed by a urlmost web pages consist of:lbase html page, andlseveral referenced objects.user agent for web is called a browser:lms internet explorerlnetscape navigatorserver for web is called web server:pc runningexplorerserver runningncsa webservermac runningnavigatorhttp requesthttp re

59、questhttp responsehttp responsewww （3） 用戶眼中的用戶眼中的web web是由互相鏈接在一起的網(wǎng)頁構(gòu)成的，這些網(wǎng)頁是由普通文是由互相鏈接在一起的網(wǎng)頁構(gòu)成的，這些網(wǎng)頁是由普通文本、超文本本、超文本hypertext，以及圖表、照片等構(gòu)成；，以及圖表、照片等構(gòu)成； 用戶通過稱為瀏覽器的軟件來觀看網(wǎng)頁，瀏覽器取回所請求的用戶通過稱為瀏覽器的軟件來觀看網(wǎng)頁，瀏覽器取回所請求的網(wǎng)頁，解釋其中所含的文本和格式命令，并正確的顯示出來；網(wǎng)頁，解釋其中所含的文本和格式命令，并正確的顯示出來； 網(wǎng)頁中的文本串若指向其它的網(wǎng)頁（此指針稱為超級鏈接網(wǎng)頁中的文本串若指向其它的網(wǎng)頁（

60、此指針稱為超級鏈接hyperlink，此文本串稱為超文本），會被特別地顯示出來（加，此文本串稱為超文本），會被特別地顯示出來（加下劃線），用戶若選擇此超級鏈接，瀏覽器會將此超級鏈接所下劃線），用戶若選擇此超級鏈接，瀏覽器會將此超級鏈接所指的網(wǎng)頁取回；指的網(wǎng)頁取回； 當超文本網(wǎng)頁中包含聲音、動畫等其它媒體時，網(wǎng)頁被稱為是當超文本網(wǎng)頁中包含聲音、動畫等其它媒體時，網(wǎng)頁被稱為是超媒體的。瀏覽器一般通過外掛的幫助程序來顯示這些超媒體超媒體的。瀏覽器一般通過外掛的幫助程序來顯示這些超媒體信息。信息。www （4） web的客戶的客戶/服務器模型服務器模型 在每個在每個web服務器上有一個服務進程在服務器