計(jì)算機(jī)網(wǎng)絡(luò) 第七章應(yīng)用層

1、第七章第七章 應(yīng)用層應(yīng)用層應(yīng)用層概述應(yīng)用層概述客戶客戶/服務(wù)器模型服務(wù)器模型域名服務(wù)域名服務(wù)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議snmp網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全電子郵件電子郵件www文件傳輸協(xié)議文件傳輸協(xié)議ftp應(yīng)用層概述（應(yīng)用層概述（1）互聯(lián)網(wǎng)提供一個(gè)通用的通信構(gòu)架，并不指明提供哪些服務(wù)，由哪些計(jì)互聯(lián)網(wǎng)提供一個(gè)通用的通信構(gòu)架，并不指明提供哪些服務(wù)，由哪些計(jì)算機(jī)來(lái)運(yùn)行這些服務(wù)，如何確定服務(wù)的存在，以及如何使用這些服務(wù)。算機(jī)來(lái)運(yùn)行這些服務(wù)，如何確定服務(wù)的存在，以及如何使用這些服務(wù)。應(yīng)用層為用戶提供高層服務(wù)，并決定了用戶對(duì)底層互聯(lián)網(wǎng)能力的認(rèn)知。應(yīng)用層為用戶提供高層服務(wù)，并決定了用戶對(duì)底層互聯(lián)網(wǎng)能力的認(rèn)知。應(yīng)用

2、決定了信息顯示的格式以及用戶選擇和訪問(wèn)信息的機(jī)制。最重要應(yīng)用決定了信息顯示的格式以及用戶選擇和訪問(wèn)信息的機(jī)制。最重要的是，應(yīng)用能定義符號(hào)名字來(lái)標(biāo)識(shí)互聯(lián)網(wǎng)上可用的物理資源和抽象資的是，應(yīng)用能定義符號(hào)名字來(lái)標(biāo)識(shí)互聯(lián)網(wǎng)上可用的物理資源和抽象資源。源。比如，應(yīng)用軟件能為計(jì)算機(jī)和輸入輸出設(shè)備（如打印機(jī)）定義名字，比如，應(yīng)用軟件能為計(jì)算機(jī)和輸入輸出設(shè)備（如打印機(jī)）定義名字，也能為抽象的對(duì)象（如文件、電子郵件信箱、數(shù)據(jù)庫(kù)等）定義名字。也能為抽象的對(duì)象（如文件、電子郵件信箱、數(shù)據(jù)庫(kù)等）定義名字。符號(hào)名字能幫助用戶在高層次上區(qū)分和定位信息與服務(wù)，而不必理解符號(hào)名字能幫助用戶在高層次上區(qū)分和定位信息與服務(wù)，而不必

3、理解或記憶底層軟件協(xié)議所使用的低級(jí)地址?；蛴洃浀讓榆浖f(xié)議所使用的低級(jí)地址。applicationtransportnetworkdata linkphysicalapplicationtransportnetworkdata linkphysicalapplicationtransportnetworkdata linkphysical客戶客戶/服務(wù)器模型（服務(wù)器模型（1） 基本概念基本概念 客戶客戶/服務(wù)器模型服務(wù)器模型是所有網(wǎng)絡(luò)應(yīng)用的是所有網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)?？蛻艋A(chǔ)?？蛻?服務(wù)服務(wù)器分別指參與一次器分別指參與一次通信的兩個(gè)應(yīng)用實(shí)通信的兩個(gè)應(yīng)用實(shí)體，客戶方主動(dòng)地體，客戶方主動(dòng)地發(fā)起通信請(qǐng)求，

4、服發(fā)起通信請(qǐng)求，服務(wù)器方被動(dòng)地等待務(wù)器方被動(dòng)地等待通信的建立。通信的建立。applicationtransportnetworkdata linkphysicalapplicationtransportnetworkdata linkphysical客戶客戶/服務(wù)器模型（服務(wù)器模型（2） 客戶軟件客戶軟件 任何一個(gè)應(yīng)用程序當(dāng)需要進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)成為客戶，這個(gè)應(yīng)用程任何一個(gè)應(yīng)用程序當(dāng)需要進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)成為客戶，這個(gè)應(yīng)用程序也要完成一些本地的計(jì)算；序也要完成一些本地的計(jì)算； 一般運(yùn)行于用戶的個(gè)人計(jì)算機(jī)上；一般運(yùn)行于用戶的個(gè)人計(jì)算機(jī)上； 向服務(wù)器主動(dòng)發(fā)起通信請(qǐng)求；向服務(wù)器主動(dòng)發(fā)起通信請(qǐng)求； 可以訪問(wèn)多

5、個(gè)服務(wù)器，但一次只能訪問(wèn)一個(gè)；可以訪問(wèn)多個(gè)服務(wù)器，但一次只能訪問(wèn)一個(gè)； 不需要特殊的硬件和復(fù)雜的操作系統(tǒng)。不需要特殊的硬件和復(fù)雜的操作系統(tǒng)。 服務(wù)器軟件服務(wù)器軟件 是專用的提供某種服務(wù)的特權(quán)程序，可以同時(shí)處理多個(gè)遠(yuǎn)程客戶；是專用的提供某種服務(wù)的特權(quán)程序，可以同時(shí)處理多個(gè)遠(yuǎn)程客戶； 一般在系統(tǒng)啟動(dòng)時(shí)被執(zhí)行，并連續(xù)運(yùn)行以處理多次會(huì)話；一般在系統(tǒng)啟動(dòng)時(shí)被執(zhí)行，并連續(xù)運(yùn)行以處理多次會(huì)話； 被動(dòng)的等待遠(yuǎn)程客戶發(fā)起通信；被動(dòng)的等待遠(yuǎn)程客戶發(fā)起通信； 需要特殊的硬件和復(fù)雜的操作系統(tǒng)。需要特殊的硬件和復(fù)雜的操作系統(tǒng)?？蛻艨蛻?服務(wù)器模型（服務(wù)器模型（3） 數(shù)據(jù)在客戶和服務(wù)器之間是雙向流動(dòng)的，一般是客戶發(fā)數(shù)據(jù)在

6、客戶和服務(wù)器之間是雙向流動(dòng)的，一般是客戶發(fā)出請(qǐng)求，服務(wù)器給出響應(yīng)。出請(qǐng)求，服務(wù)器給出響應(yīng)。 服務(wù)器軟件的并發(fā)性服務(wù)器軟件的并發(fā)性 由于服務(wù)器軟件要支持多個(gè)客戶的同時(shí)訪問(wèn)，它必須具備并發(fā)由于服務(wù)器軟件要支持多個(gè)客戶的同時(shí)訪問(wèn)，它必須具備并發(fā)性。服務(wù)器軟件為每個(gè)新到的客戶創(chuàng)建一個(gè)進(jìn)程或線程來(lái)處理性。服務(wù)器軟件為每個(gè)新到的客戶創(chuàng)建一個(gè)進(jìn)程或線程來(lái)處理和這個(gè)客戶的通信。服務(wù)器方傳送層實(shí)體使用客戶的源端口號(hào)和這個(gè)客戶的通信。服務(wù)器方傳送層實(shí)體使用客戶的源端口號(hào)和服務(wù)的端口號(hào)來(lái)確定正確的服務(wù)器軟件進(jìn)程（線程）。和服務(wù)的端口號(hào)來(lái)確定正確的服務(wù)器軟件進(jìn)程（線程）。 服務(wù)器軟件的組成服務(wù)器軟件的組成 服務(wù)器軟件

7、一般分為兩部分：一部分用于接受請(qǐng)求并創(chuàng)建新的服務(wù)器軟件一般分為兩部分：一部分用于接受請(qǐng)求并創(chuàng)建新的進(jìn)程或線程，另一部分用于處理實(shí)際的通信過(guò)程。進(jìn)程或線程，另一部分用于處理實(shí)際的通信過(guò)程。客戶客戶/服務(wù)器模型（服務(wù)器模型（4） 客戶客戶/服務(wù)器之間使用的傳送層協(xié)議服務(wù)器之間使用的傳送層協(xié)議 可以是基于連接的可以是基于連接的tcp協(xié)議，要求建立和釋放連接，適用于可協(xié)議，要求建立和釋放連接，適用于可靠的交互過(guò)程；靠的交互過(guò)程； 也可以是無(wú)連接的也可以是無(wú)連接的udp協(xié)議，適用于可靠性要求不高的或?qū)崟r(shí)協(xié)議，適用于可靠性要求不高的或?qū)崟r(shí)的交互過(guò)程；的交互過(guò)程； 同時(shí)使用同時(shí)使用tcp和和udp的服務(wù)，有

8、兩種服務(wù)器軟件的實(shí)現(xiàn)或服務(wù)的服務(wù)，有兩種服務(wù)器軟件的實(shí)現(xiàn)或服務(wù)器軟件同時(shí)和器軟件同時(shí)和tcp、udp協(xié)議交互，不對(duì)客戶做限制。協(xié)議交互，不對(duì)客戶做限制。 客戶和服務(wù)器的交互客戶和服務(wù)器的交互 支持協(xié)議：支持協(xié)議：在在internet中，客戶和服務(wù)器的交互通過(guò)使用中，客戶和服務(wù)器的交互通過(guò)使用tcp/ip協(xié)議棧來(lái)完成。因此，客戶和服務(wù)器所在的機(jī)器要求支協(xié)議棧來(lái)完成。因此，客戶和服務(wù)器所在的機(jī)器要求支持完全的協(xié)議棧?？蛻舫滞耆膮f(xié)議棧。客戶/服務(wù)器通過(guò)套接字訪問(wèn)傳送層服務(wù)。服務(wù)器通過(guò)套接字訪問(wèn)傳送層服務(wù)?？蛻艨蛻?服務(wù)器模型（服務(wù)器模型（5）客戶客戶/服務(wù)器模型（服務(wù)器模型（6）客戶客戶/服務(wù)器模

9、型（服務(wù)器模型（7） 多種服務(wù)：多種服務(wù)：一臺(tái)計(jì)算機(jī)上可以運(yùn)行多個(gè)服務(wù)器軟件，一臺(tái)計(jì)算機(jī)上可以運(yùn)行多個(gè)服務(wù)器軟件，但是要求計(jì)算機(jī)有強(qiáng)大的硬件資源（服務(wù)器級(jí)別的但是要求計(jì)算機(jī)有強(qiáng)大的硬件資源（服務(wù)器級(jí)別的計(jì)算機(jī)）和多任務(wù)操作系統(tǒng)（計(jì)算機(jī)）和多任務(wù)操作系統(tǒng)（unix和和win95/98/2000/nt）。）。 服務(wù)的標(biāo)識(shí)：服務(wù)的標(biāo)識(shí)：客戶是通過(guò)服務(wù)的標(biāo)識(shí)來(lái)訪問(wèn)某種服客戶是通過(guò)服務(wù)的標(biāo)識(shí)來(lái)訪問(wèn)某種服務(wù)的，比如在務(wù)的，比如在internet中，服務(wù)是用端口號(hào)來(lái)標(biāo)中，服務(wù)是用端口號(hào)來(lái)標(biāo)識(shí)，識(shí)，unix在在/etc/services文件中定義。服務(wù)器軟件文件中定義。服務(wù)器軟件啟動(dòng)時(shí)將其標(biāo)識(shí)通知傳送層實(shí)體。

10、啟動(dòng)時(shí)將其標(biāo)識(shí)通知傳送層實(shí)體?？蛻艨蛻?服務(wù)器模型（服務(wù)器模型（8）- 為一個(gè)服務(wù)建立多個(gè)服務(wù)器副本：為一個(gè)服務(wù)建立多個(gè)服務(wù)器副本：一套計(jì)算機(jī)系統(tǒng)如果允許同時(shí)運(yùn)一套計(jì)算機(jī)系統(tǒng)如果允許同時(shí)運(yùn)行多個(gè)應(yīng)用程序，則稱它支持并發(fā)（行多個(gè)應(yīng)用程序，則稱它支持并發(fā)（c o n c u r r e n c y），而具有），而具有一個(gè)以上控制線程（有些系統(tǒng)使用術(shù)語(yǔ)進(jìn)程（一個(gè)以上控制線程（有些系統(tǒng)使用術(shù)語(yǔ)進(jìn)程（ p r o c e s s）或任務(wù)）或任務(wù)（ t a s k）來(lái)表示控制線程）的程序稱為并發(fā)（）來(lái)表示控制線程）的程序稱為并發(fā)（c o n c u r r e n t）程序。并發(fā)性是客戶服務(wù)器交互模式的基

11、礎(chǔ)，因?yàn)橐粋€(gè)并發(fā)服務(wù)程序。并發(fā)性是客戶服務(wù)器交互模式的基礎(chǔ)，因?yàn)橐粋€(gè)并發(fā)服務(wù)器同時(shí)為多個(gè)客戶提供服務(wù)，而不要求每個(gè)客戶等待服務(wù)器對(duì)前一器同時(shí)為多個(gè)客戶提供服務(wù)，而不要求每個(gè)客戶等待服務(wù)器對(duì)前一個(gè)客戶的服務(wù)結(jié)束。個(gè)客戶的服務(wù)結(jié)束。- 動(dòng)態(tài)服務(wù)器創(chuàng)建：動(dòng)態(tài)服務(wù)器創(chuàng)建：大多數(shù)并發(fā)服務(wù)器是動(dòng)態(tài)操作的，服務(wù)器在每個(gè)大多數(shù)并發(fā)服務(wù)器是動(dòng)態(tài)操作的，服務(wù)器在每個(gè)請(qǐng)求到來(lái)時(shí)創(chuàng)建一個(gè)新的線程。事實(shí)上，請(qǐng)求到來(lái)時(shí)創(chuàng)建一個(gè)新的線程。事實(shí)上，服務(wù)器程序由兩部分組成服務(wù)器程序由兩部分組成：一部分負(fù)責(zé)接收請(qǐng)求和生成新線程，另一部分包含處理單個(gè)請(qǐng)求的一部分負(fù)責(zé)接收請(qǐng)求和生成新線程，另一部分包含處理單個(gè)請(qǐng)求的代碼。當(dāng)一個(gè)并發(fā)服

12、務(wù)器開(kāi)始執(zhí)行時(shí)，只有第一部分在運(yùn)行。當(dāng)請(qǐng)代碼。當(dāng)一個(gè)并發(fā)服務(wù)器開(kāi)始執(zhí)行時(shí)，只有第一部分在運(yùn)行。當(dāng)請(qǐng)求到達(dá)時(shí)，主線程創(chuàng)建一個(gè)新的服務(wù)線程來(lái)處理它。處理請(qǐng)求的線求到達(dá)時(shí)，主線程創(chuàng)建一個(gè)新的服務(wù)線程來(lái)處理它。處理請(qǐng)求的線程運(yùn)行第二部分代碼（即為請(qǐng)求提供服務(wù)的部分），然后終止。同程運(yùn)行第二部分代碼（即為請(qǐng)求提供服務(wù)的部分），然后終止。同時(shí)，主線程保持服務(wù)器處于活動(dòng)狀態(tài)時(shí)，主線程保持服務(wù)器處于活動(dòng)狀態(tài)在創(chuàng)建處理請(qǐng)求的線程后，在創(chuàng)建處理請(qǐng)求的線程后，主線程繼續(xù)等待下一個(gè)請(qǐng)求到來(lái)。主線程繼續(xù)等待下一個(gè)請(qǐng)求到來(lái)?？蛻艨蛻?服務(wù)器模型（服務(wù)器模型（9）- 復(fù)雜的客戶服務(wù)器交互：復(fù)雜的客戶服務(wù)器交互： 客戶應(yīng)用并

13、不限于只能訪問(wèn)一個(gè)服務(wù)。同一個(gè)應(yīng)用能夠先是某個(gè)服客戶應(yīng)用并不限于只能訪問(wèn)一個(gè)服務(wù)。同一個(gè)應(yīng)用能夠先是某個(gè)服務(wù)的客戶，以后又成為另一個(gè)服務(wù)的客戶。對(duì)每種服務(wù)，客戶可務(wù)的客戶，以后又成為另一個(gè)服務(wù)的客戶。對(duì)每種服務(wù)，客戶可與不同的服務(wù)器（可能在不同的計(jì)算機(jī)上）進(jìn)行通信。與不同的服務(wù)器（可能在不同的計(jì)算機(jī)上）進(jìn)行通信。 客戶應(yīng)用訪問(wèn)某一服務(wù)時(shí)并不限于一個(gè)服務(wù)器。在有些服務(wù)中，在客戶應(yīng)用訪問(wèn)某一服務(wù)時(shí)并不限于一個(gè)服務(wù)器。在有些服務(wù)中，在不同計(jì)算機(jī)上運(yùn)行的服務(wù)器會(huì)提供不同的信息。在另一些服務(wù)中，不同計(jì)算機(jī)上運(yùn)行的服務(wù)器會(huì)提供不同的信息。在另一些服務(wù)中，所有服務(wù)器提供相同的信息。在這些情況下，客戶可能通過(guò)

14、向多所有服務(wù)器提供相同的信息。在這些情況下，客戶可能通過(guò)向多個(gè)服務(wù)器發(fā)出請(qǐng)求來(lái)提高性能個(gè)服務(wù)器發(fā)出請(qǐng)求來(lái)提高性能它使用最先應(yīng)答的服務(wù)器所發(fā)送它使用最先應(yīng)答的服務(wù)器所發(fā)送的信息。的信息。 服務(wù)器進(jìn)行其他客戶服務(wù)器交互不受限制服務(wù)器進(jìn)行其他客戶服務(wù)器交互不受限制提供某種服務(wù)的服務(wù)提供某種服務(wù)的服務(wù)器能成為另一個(gè)服務(wù)的客戶。器能成為另一個(gè)服務(wù)的客戶。域名服務(wù)（域名服務(wù)（1） 產(chǎn)生原因產(chǎn)生原因 32比特的比特的ip地址難于記憶，應(yīng)該使用符號(hào)地址，比如用地址難于記憶，應(yīng)該使用符號(hào)地址，比如用表示表示。但是，網(wǎng)絡(luò)本身是使用。但是，網(wǎng)絡(luò)本身是使用ip地址地址的，因此需要一個(gè)完成二者之間

15、相互轉(zhuǎn)換的機(jī)制。的，因此需要一個(gè)完成二者之間相互轉(zhuǎn)換的機(jī)制。 當(dāng)網(wǎng)絡(luò)規(guī)模比較小時(shí)，例如當(dāng)網(wǎng)絡(luò)規(guī)模比較小時(shí)，例如arpanet，每臺(tái)主機(jī)只需查找一個(gè)，每臺(tái)主機(jī)只需查找一個(gè)文件（文件（unix的的host），該文件中列出了主機(jī)與），該文件中列出了主機(jī)與ip地址的對(duì)應(yīng)關(guān)系。地址的對(duì)應(yīng)關(guān)系。 當(dāng)網(wǎng)絡(luò)規(guī)模很大時(shí)，上述方法就不適用了，因此產(chǎn)生了域名系統(tǒng)當(dāng)網(wǎng)絡(luò)規(guī)模很大時(shí)，上述方法就不適用了，因此產(chǎn)生了域名系統(tǒng)dns（domain name system）。）。 dns概述概述 域名系統(tǒng)是一個(gè)典型的客戶域名系統(tǒng)是一個(gè)典型的客戶/服務(wù)器交互系統(tǒng)；服務(wù)器交互系統(tǒng)； 域名系統(tǒng)是一個(gè)多層次的、基于域的命名系統(tǒng)，并使用

16、分布式數(shù)域名系統(tǒng)是一個(gè)多層次的、基于域的命名系統(tǒng)，并使用分布式數(shù)據(jù)庫(kù)實(shí)現(xiàn)這種命名機(jī)制；據(jù)庫(kù)實(shí)現(xiàn)這種命名機(jī)制； 當(dāng)應(yīng)用程序需要進(jìn)行域名解析時(shí)（從符號(hào)名到當(dāng)應(yīng)用程序需要進(jìn)行域名解析時(shí)（從符號(hào)名到ip地址），它成地址），它成為域名系統(tǒng)的一個(gè)客戶。它向本地域名服務(wù)器發(fā)出請(qǐng)求（調(diào)用為域名系統(tǒng)的一個(gè)客戶。它向本地域名服務(wù)器發(fā)出請(qǐng)求（調(diào)用resolver），請(qǐng)求以），請(qǐng)求以u(píng)dp包格式發(fā)出，域名服務(wù)器找到對(duì)應(yīng)的包格式發(fā)出，域名服務(wù)器找到對(duì)應(yīng)的ip地址后，給出響應(yīng)。當(dāng)本地域名服務(wù)器無(wú)法完成域名解析，它地址后，給出響應(yīng)。當(dāng)本地域名服務(wù)器無(wú)法完成域名解析，它臨時(shí)變成其上級(jí)域名服務(wù)器的客戶，遞歸解析，直到該域名解臨

17、時(shí)變成其上級(jí)域名服務(wù)器的客戶，遞歸解析，直到該域名解析完成。析完成。 rfc 1034，1035 域名的結(jié)構(gòu)域名的結(jié)構(gòu) internet的頂級(jí)域名分為的頂級(jí)域名分為組織結(jié)構(gòu)組織結(jié)構(gòu)和和地理結(jié)構(gòu)地理結(jié)構(gòu)兩種。每個(gè)域兩種。每個(gè)域?qū)λ旅娴淖佑蚝蜋C(jī)器進(jìn)行管理。對(duì)它下面的子域和機(jī)器進(jìn)行管理。 dns中，每臺(tái)計(jì)算機(jī)的名字是由中，每臺(tái)計(jì)算機(jī)的名字是由“.”所分開(kāi)的字符數(shù)字串所組所分開(kāi)的字符數(shù)字串所組成的。例如成的。例如. 域名是大小寫(xiě)無(wú)關(guān)的，域名是大小寫(xiě)無(wú)關(guān)的，“edu”和和“edu”相同。域名最長(zhǎng)相同。域名最長(zhǎng)255個(gè)個(gè)字符，每部分最長(zhǎng)字符，每部分最長(zhǎng)63個(gè)字符。個(gè)字符。域名服務(wù)（域名服務(wù)（2）域名服務(wù)

18、（域名服務(wù)（3） 資源記錄資源記錄 在在dns的數(shù)據(jù)庫(kù)中用的數(shù)據(jù)庫(kù)中用資源記錄資源記錄來(lái)表示主機(jī)和子來(lái)表示主機(jī)和子域的信息，當(dāng)應(yīng)用程序進(jìn)行域名解析時(shí)，得到域的信息，當(dāng)應(yīng)用程序進(jìn)行域名解析時(shí)，得到的便是域名所對(duì)應(yīng)的資源記錄。的便是域名所對(duì)應(yīng)的資源記錄。 資源記錄是一個(gè)五元式資源記錄是一個(gè)五元式domain_name time_to_live type class value域名服務(wù)（域名服務(wù)（4） 域名服務(wù)器域名服務(wù)器 區(qū)域劃分區(qū)域劃分 dns將域名空間劃分為許多無(wú)重疊的區(qū)域?qū)⒂蛎臻g劃分為許多無(wú)重疊的區(qū)域(zone) ，每個(gè)區(qū)域覆蓋了域名空間的一部分并設(shè)有域名服務(wù)每個(gè)區(qū)域覆蓋了域名空間的一部分

19、并設(shè)有域名服務(wù)器對(duì)這個(gè)區(qū)域的域名進(jìn)行管理。器對(duì)這個(gè)區(qū)域的域名進(jìn)行管理。 每個(gè)區(qū)域有一個(gè)主域名服務(wù)器和若干個(gè)二級(jí)域名服每個(gè)區(qū)域有一個(gè)主域名服務(wù)器和若干個(gè)二級(jí)域名服務(wù)器，區(qū)域的邊界劃分是人工設(shè)置的，比如：務(wù)器，區(qū)域的邊界劃分是人工設(shè)置的，比如： 可以是三個(gè)不同可以是三個(gè)不同的區(qū)域，可以分別有各自的域名服務(wù)器。的區(qū)域，可以分別有各自的域名服務(wù)器。域名服務(wù)（域名服務(wù)（5） 域名解析域名解析 一個(gè)區(qū)域內(nèi)機(jī)器上的應(yīng)用程序進(jìn)行域名解析時(shí)，一個(gè)區(qū)域內(nèi)機(jī)器上的應(yīng)用程序進(jìn)行域名解析時(shí)，首先向該區(qū)域的域名服務(wù)器發(fā)出解析請(qǐng)求，若查首先向該區(qū)域的域名服務(wù)器發(fā)出解析請(qǐng)求，若查找到，則返回域名對(duì)應(yīng)的資源記錄。找到，則返回域

20、名對(duì)應(yīng)的資源記錄。 若找不到，該域名服務(wù)器向所查找域名的頂級(jí)域若找不到，該域名服務(wù)器向所查找域名的頂級(jí)域的域名服務(wù)器發(fā)出解析請(qǐng)求，的域名服務(wù)器發(fā)出解析請(qǐng)求， 頂級(jí)域的域名服務(wù)器通過(guò)向下的層次查詢得到對(duì)頂級(jí)域的域名服務(wù)器通過(guò)向下的層次查詢得到對(duì)應(yīng)的資源記錄，返回給該域名服務(wù)器，應(yīng)的資源記錄，返回給該域名服務(wù)器， 最后資源記錄被返回給發(fā)起域名解析的機(jī)器，并最后資源記錄被返回給發(fā)起域名解析的機(jī)器，并在該區(qū)域的域名服務(wù)器中做緩存，超時(shí)后刪除。在該區(qū)域的域名服務(wù)器中做緩存，超時(shí)后刪除。simple dns examplehost surf.eurecom.fr wants ip address of g

21、1. contacts its local dns server, dns.eurecom.fr2. dns.eurecom.fr contacts root name server, if necessary3. root name server contacts authoritative name server, , if necessary requesting root name serverauthorititive name serverdns.uma

22、local name serverdns.eurecom.fr123456dns exampleroot name server:may not know authoratiative name servermay know intermediate name server: who to contact to find authoritative name serverrequesting root name serverlocal name serverdns.eurecom.fr123456authori

23、tative name intermediate name 78dns: iterated queriesrecursive query:puts burden of name resolution on contacted name serverheavy load?iterated query:contacted server replies with name of server to contact“i dont know this name, but ask this server”requesting

24、 root name serverlocal name serverdns.eurecom.fr123456authoritative name intermediate name 78iterated query簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議snmp（1） snmp（simple network management protocol）的產(chǎn)生的產(chǎn)生 早期網(wǎng)絡(luò)，如早期網(wǎng)絡(luò)，如arpanet，規(guī)模很小，可以通過(guò)執(zhí)行，規(guī)模很小，可以通過(guò)執(zhí)行“p

25、ing”命令來(lái)發(fā)命令來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)故障；現(xiàn)網(wǎng)絡(luò)故障； 網(wǎng)絡(luò)規(guī)模變大，需要一個(gè)好的工具來(lái)管理網(wǎng)絡(luò)。網(wǎng)絡(luò)規(guī)模變大，需要一個(gè)好的工具來(lái)管理網(wǎng)絡(luò)。1990年發(fā)布年發(fā)布rfc 1157，定義了定義了snmp v1； snmp v2，rfc 1441 1452。 網(wǎng)絡(luò)管理的五個(gè)基本管理功能：性能管理、故障管理、配置管理、網(wǎng)絡(luò)管理的五個(gè)基本管理功能：性能管理、故障管理、配置管理、記帳管理和安全管理。記帳管理和安全管理。 snmp是基于是基于udp的的 snmp模型模型snmp網(wǎng)絡(luò)管理模型由四種部件組成：網(wǎng)絡(luò)管理模型由四種部件組成： 被管理節(jié)點(diǎn)被管理節(jié)點(diǎn)運(yùn)行運(yùn)行snmp代理程序（代理程序（snmp agent），

26、維護(hù)一個(gè)本地?cái)?shù)據(jù)庫(kù)，描述節(jié)點(diǎn)），維護(hù)一個(gè)本地?cái)?shù)據(jù)庫(kù)，描述節(jié)點(diǎn)的狀態(tài)和歷史，并影響節(jié)點(diǎn)的運(yùn)行。的狀態(tài)和歷史，并影響節(jié)點(diǎn)的運(yùn)行。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議snmp（2） 管理工作站管理工作站運(yùn)行專門(mén)的網(wǎng)絡(luò)管理軟件（運(yùn)行專門(mén)的網(wǎng)絡(luò)管理軟件（manager），使用管理協(xié)議與被管），使用管理協(xié)議與被管理節(jié)點(diǎn)上的理節(jié)點(diǎn)上的snmp代理通信，維護(hù)管理信息庫(kù)。代理通信，維護(hù)管理信息庫(kù)。 管理信息管理信息每個(gè)站點(diǎn)使用一個(gè)或多個(gè)變量描述自己的狀態(tài)，這些變量稱為每個(gè)站點(diǎn)使用一個(gè)或多個(gè)變量描述自己的狀態(tài)，這些變量稱為“對(duì)象（對(duì)象（objects）”，所有的對(duì)象組成管理信息庫(kù)所有的對(duì)象組成管理信息庫(kù)mib（man

27、agement information base）。）。 管理協(xié)議（管理協(xié)議（snmp）管理協(xié)議用于管理工作站查詢和修改被管理節(jié)點(diǎn)的狀態(tài)，被管管理協(xié)議用于管理工作站查詢和修改被管理節(jié)點(diǎn)的狀態(tài)，被管理節(jié)點(diǎn)可以使用管理協(xié)議向管理站點(diǎn)產(chǎn)生理節(jié)點(diǎn)可以使用管理協(xié)議向管理站點(diǎn)產(chǎn)生“陷阱（陷阱（trap）”報(bào)報(bào)告。告。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議snmp（3）l抽象語(yǔ)法表示法抽象語(yǔ)法表示法1（asn.1）定義：定義：抽象語(yǔ)法表示法抽象語(yǔ)法表示法1是一種標(biāo)準(zhǔn)的對(duì)象定義語(yǔ)言，它分為是一種標(biāo)準(zhǔn)的對(duì)象定義語(yǔ)言，它分為數(shù)據(jù)描述定義數(shù)據(jù)描述定義（iso 8824）和）和傳輸語(yǔ)法定義傳輸語(yǔ)法定義（iso 8825）兩

28、）兩部分。部分。asn.1可以作為異種計(jì)算機(jī)設(shè)備之間可以作為異種計(jì)算機(jī)設(shè)備之間“對(duì)象對(duì)象”的描述和的描述和傳輸機(jī)制。傳輸機(jī)制。asn.1的基本數(shù)據(jù)類(lèi)型的基本數(shù)據(jù)類(lèi)型網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（1） 安全網(wǎng)絡(luò)和安全策略安全網(wǎng)絡(luò)和安全策略沒(méi)有絕對(duì)意義上的安全網(wǎng)絡(luò)（沒(méi)有絕對(duì)意義上的安全網(wǎng)絡(luò)（ secure network）存在）存在任何安全系統(tǒng)的第一步就是制定一個(gè)合理的安全策略任何安全系統(tǒng)的第一步就是制定一個(gè)合理的安全策略（security policy）。）。制定網(wǎng)絡(luò)安全策略是一件很復(fù)雜的事情，其主要復(fù)雜性在制定網(wǎng)絡(luò)安全策略是一件很復(fù)雜的事情，其主要復(fù)雜性在于網(wǎng)絡(luò)安全策略必須能夠覆蓋數(shù)據(jù)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中

29、存于網(wǎng)絡(luò)安全策略必須能夠覆蓋數(shù)據(jù)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和處理等各個(gè)環(huán)節(jié)，否則安全策略就不會(huì)有效。儲(chǔ)、傳輸和處理等各個(gè)環(huán)節(jié)，否則安全策略就不會(huì)有效。制定網(wǎng)絡(luò)安全策略的復(fù)雜性還體現(xiàn)在對(duì)網(wǎng)絡(luò)系統(tǒng)信息價(jià)值制定網(wǎng)絡(luò)安全策略的復(fù)雜性還體現(xiàn)在對(duì)網(wǎng)絡(luò)系統(tǒng)信息價(jià)值的評(píng)定。很容易理解，任何組織只有正確認(rèn)識(shí)了其數(shù)據(jù)信的評(píng)定。很容易理解，任何組織只有正確認(rèn)識(shí)了其數(shù)據(jù)信息的價(jià)值，才能制定一個(gè)合理的安全策略。息的價(jià)值，才能制定一個(gè)合理的安全策略。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（2）安全性指標(biāo)安全性指標(biāo)制定安全策略時(shí)，往往必須在安全性和實(shí)用性之間采取一個(gè)折衷的制定安全策略時(shí)，往往必須在安全性和實(shí)用性之間采取一個(gè)折衷的方案，著重保

30、證一些主要的安全性指標(biāo)，如方案，著重保證一些主要的安全性指標(biāo)，如數(shù)據(jù)完整性數(shù)據(jù)完整性（data integrity），即數(shù)據(jù)在傳輸過(guò)程中的完整性，），即數(shù)據(jù)在傳輸過(guò)程中的完整性，也就是數(shù)據(jù)在發(fā)送前和到達(dá)后是否完全一樣。也就是數(shù)據(jù)在發(fā)送前和到達(dá)后是否完全一樣。數(shù)據(jù)可用性數(shù)據(jù)可用性（data availability），即在系統(tǒng)故障的情況下數(shù)據(jù)），即在系統(tǒng)故障的情況下數(shù)據(jù)是否會(huì)丟失。是否會(huì)丟失。數(shù)據(jù)保密性數(shù)據(jù)保密性（data confidentiality and privacy），即數(shù)據(jù)是否會(huì)），即數(shù)據(jù)是否會(huì)被非法竊取。被非法竊取。 數(shù)據(jù)的不可否認(rèn)性數(shù)據(jù)的不可否認(rèn)性，對(duì)數(shù)據(jù)和信息的來(lái)源進(jìn)行驗(yàn)證，

31、以確保數(shù)，對(duì)數(shù)據(jù)和信息的來(lái)源進(jìn)行驗(yàn)證，以確保數(shù)據(jù)由合法的用戶發(fā)出；防止數(shù)據(jù)發(fā)送方在發(fā)出數(shù)據(jù)后又加以否據(jù)由合法的用戶發(fā)出；防止數(shù)據(jù)發(fā)送方在發(fā)出數(shù)據(jù)后又加以否認(rèn)；同時(shí)防止接收方在收到數(shù)據(jù)后又否認(rèn)曾收到過(guò)此數(shù)據(jù)及篡認(rèn)；同時(shí)防止接收方在收到數(shù)據(jù)后又否認(rèn)曾收到過(guò)此數(shù)據(jù)及篡改數(shù)據(jù)。改數(shù)據(jù)。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（3） 安全責(zé)任和控制安全責(zé)任和控制如何正確分配系統(tǒng)的管理權(quán)限往往是安全策略成敗的關(guān)鍵。如何正確分配系統(tǒng)的管理權(quán)限往往是安全策略成敗的關(guān)鍵。這個(gè)問(wèn)題通?？梢詮膬煞矫鎭?lái)考慮：這個(gè)問(wèn)題通?？梢詮膬煞矫鎭?lái)考慮：帳戶帳戶（a c c o u n t a b i l i t y）?？紤]如何規(guī)定系統(tǒng)各用）?？紤]如何

32、規(guī)定系統(tǒng)各用戶對(duì)系統(tǒng)各項(xiàng)信息的訪問(wèn)權(quán)限，如何監(jiān)督用戶活動(dòng)、記錄戶對(duì)系統(tǒng)各項(xiàng)信息的訪問(wèn)權(quán)限，如何監(jiān)督用戶活動(dòng)、記錄用戶活動(dòng)情況等。用戶活動(dòng)情況等。授權(quán)授權(quán)（a u t h o r i z a t i o n）。對(duì)系統(tǒng)內(nèi)每條信息，考慮）。對(duì)系統(tǒng)內(nèi)每條信息，考慮如何規(guī)定各用戶對(duì)它的操作權(quán)限，如只讀、讀寫(xiě)以及用戶如何規(guī)定各用戶對(duì)它的操作權(quán)限，如只讀、讀寫(xiě)以及用戶之間的權(quán)限轉(zhuǎn)讓等。之間的權(quán)限轉(zhuǎn)讓等。不管是帳戶管理還是授權(quán)管理，關(guān)鍵問(wèn)題是安全責(zé)任控制不管是帳戶管理還是授權(quán)管理，關(guān)鍵問(wèn)題是安全責(zé)任控制一個(gè)組織必須像管理有形資產(chǎn)如辦公樓、機(jī)器設(shè)備一樣對(duì)信一個(gè)組織必須像管理有形資產(chǎn)如辦公樓、機(jī)器設(shè)備一樣對(duì)信息進(jìn)

33、行管理。息進(jìn)行管理。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（4） 完整性機(jī)制完整性機(jī)制校驗(yàn)和以及校驗(yàn)和以及c r c技術(shù)都不能絕對(duì)保證數(shù)據(jù)的完整性，有兩技術(shù)都不能絕對(duì)保證數(shù)據(jù)的完整性，有兩個(gè)原因：個(gè)原因：如果出現(xiàn)檢驗(yàn)值和消息數(shù)據(jù)同時(shí)破壞，且改變后的檢驗(yàn)值如果出現(xiàn)檢驗(yàn)值和消息數(shù)據(jù)同時(shí)破壞，且改變后的檢驗(yàn)值和消息又正巧匹配的情況，系統(tǒng)就無(wú)法發(fā)現(xiàn)錯(cuò)誤（這種情和消息又正巧匹配的情況，系統(tǒng)就無(wú)法發(fā)現(xiàn)錯(cuò)誤（這種情況概率很低，但決不為零）；況概率很低，但決不為零）；上述技術(shù)缺陷，可能為人惡意利用。上述技術(shù)缺陷，可能為人惡意利用?，F(xiàn)已采用幾種機(jī)制能夠確保受到惡意攻擊的消息的完整性?，F(xiàn)已采用幾種機(jī)制能夠確保受到惡意攻擊的消息的完整

34、性。一般采用的方法是使用攻擊者不能攻擊或偽造的一般采用的方法是使用攻擊者不能攻擊或偽造的信息驗(yàn)證碼信息驗(yàn)證碼（message authentication code，mac）技術(shù)對(duì)傳輸數(shù)據(jù)進(jìn)行）技術(shù)對(duì)傳輸數(shù)據(jù)進(jìn)行編碼編碼。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（5） 加密與保密：加密與保密：為了保證有在線竊聽(tīng)的情況下的保密性，必須對(duì)數(shù)據(jù)為了保證有在線竊聽(tīng)的情況下的保密性，必須對(duì)數(shù)據(jù)加密。加密的基本思想是改變信息的排列方式，使得加密。加密的基本思想是改變信息的排列方式，使得只有合法的接收方才能讀懂。任何他人即使截取了該只有合法的接收方才能讀懂。任何他人即使截取了該加密信息也無(wú)法解開(kāi)。加密信息也無(wú)法解開(kāi)。目前存在幾種

35、加密技術(shù)目前存在幾種加密技術(shù) 對(duì)稱加密，雙方具有共享的密鑰對(duì)稱加密，雙方具有共享的密鑰 非對(duì)稱加密，也稱為公開(kāi)密鑰加密非對(duì)稱加密，也稱為公開(kāi)密鑰加密網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（6）對(duì)稱加密對(duì)稱加密：消息發(fā)送方和消息接收方必須使用相同的密鑰，該密消息發(fā)送方和消息接收方必須使用相同的密鑰，該密鑰必須保密。發(fā)送方用該密鑰對(duì)待發(fā)消息進(jìn)行加密，然后將消息鑰必須保密。發(fā)送方用該密鑰對(duì)待發(fā)消息進(jìn)行加密，然后將消息傳輸至接收方，接收方再用相同的密鑰對(duì)收到的消息進(jìn)行解密。傳輸至接收方，接收方再用相同的密鑰對(duì)收到的消息進(jìn)行解密。這一過(guò)程表示成數(shù)學(xué)形式如下：消息發(fā)送方使用的加密函數(shù)這一過(guò)程表示成數(shù)學(xué)形式如下：消息發(fā)送方使用

36、的加密函數(shù)e n c r y p t有兩個(gè)參數(shù)：密鑰有兩個(gè)參數(shù)：密鑰k和待加密消息和待加密消息m，加密后的消息為，加密后的消息為e。e = encrypt（k, m ）消息接收方使用的解密函數(shù)消息接收方使用的解密函數(shù)decrypt把這一過(guò)程逆過(guò)來(lái)，就產(chǎn)生了把這一過(guò)程逆過(guò)來(lái)，就產(chǎn)生了原來(lái)的消息：原來(lái)的消息：m = decrypt（k, e ）數(shù)學(xué)上，數(shù)學(xué)上，decrypt和和encrypt互為逆函數(shù)，有：互為逆函數(shù)，有：m = decrypt（k, encrypt（k, m ）網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（7）非對(duì)稱加密非對(duì)稱加密：給每個(gè)用戶分配兩把密鑰：一個(gè)稱私有密鑰，：給每個(gè)用戶分配兩把密鑰：一個(gè)稱私

37、有密鑰，是保密的；一個(gè)稱公共密鑰，是眾所周知的。是保密的；一個(gè)稱公共密鑰，是眾所周知的。該方法的加密函數(shù)必須具備如下數(shù)學(xué)特性：用公共密鑰加密該方法的加密函數(shù)必須具備如下數(shù)學(xué)特性：用公共密鑰加密的消息除了使用相應(yīng)的私有密鑰外很難解密；同樣，用私有的消息除了使用相應(yīng)的私有密鑰外很難解密；同樣，用私有密鑰加密的消息除了使用相應(yīng)的公共密鑰外很難解密。密鑰加密的消息除了使用相應(yīng)的公共密鑰外很難解密。這種用兩把密鑰加密和解密的方法表示成數(shù)學(xué)形式如下：假這種用兩把密鑰加密和解密的方法表示成數(shù)學(xué)形式如下：假設(shè)設(shè)m表示一條消息，表示一條消息， p u b - u l表示用戶表示用戶1的公共密鑰，的公共密鑰，p

38、r v - u l表示用戶表示用戶1的私有密鑰，那么有的私有密鑰，那么有m = decrypt（pub-ul, encrypt（prv-ul , m）m = decrypt（prv-ul, encrypt（pub-ul, m）l這種方法是安全的，因?yàn)榧用芎徒饷艿暮瘮?shù)具有單向性質(zhì)。這種方法是安全的，因?yàn)榧用芎徒饷艿暮瘮?shù)具有單向性質(zhì)。也就是說(shuō)，僅知道了公共密鑰并不能偽造由相應(yīng)私有密鑰加也就是說(shuō)，僅知道了公共密鑰并不能偽造由相應(yīng)私有密鑰加密過(guò)的消息。密過(guò)的消息。l可以證明，公共密鑰加密法能夠保證保密性。只要消息發(fā)送可以證明，公共密鑰加密法能夠保證保密性。只要消息發(fā)送方使用消息接收方的公共密鑰來(lái)加密待

39、發(fā)消息，就只有消息方使用消息接收方的公共密鑰來(lái)加密待發(fā)消息，就只有消息接收方能夠讀懂該消息。因?yàn)橐饷鼙仨氁澜邮辗降乃浇邮辗侥軌蜃x懂該消息。因?yàn)橐饷鼙仨氁澜邮辗降乃接忻荑€。有密鑰。網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（8）網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全（9） 數(shù)字簽名數(shù)字簽名 數(shù)字簽名是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理得到數(shù)字簽名是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理得到的用以認(rèn)證報(bào)文來(lái)源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)的用以認(rèn)證報(bào)文來(lái)源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串。字串。在電子商務(wù)中，傳送的文件是通過(guò)數(shù)字簽名證明當(dāng)事人身份在電子商務(wù)中，傳送的文件是通過(guò)數(shù)字簽名證明當(dāng)事人身份與數(shù)據(jù)真實(shí)性的。數(shù)

40、據(jù)加密是保護(hù)數(shù)據(jù)的最基本方法，但也與數(shù)據(jù)真實(shí)性的。數(shù)據(jù)加密是保護(hù)數(shù)據(jù)的最基本方法，但也只能防止第三者獲得真實(shí)數(shù)據(jù)。數(shù)字簽名則可以解決否認(rèn)、只能防止第三者獲得真實(shí)數(shù)據(jù)。數(shù)字簽名則可以解決否認(rèn)、偽造、篡改及冒充等問(wèn)題。偽造、篡改及冒充等問(wèn)題。要求：發(fā)送者事后不能否認(rèn)發(fā)送的報(bào)文簽名、接收者能夠核要求：發(fā)送者事后不能否認(rèn)發(fā)送的報(bào)文簽名、接收者能夠核實(shí)發(fā)送者發(fā)送的報(bào)文簽名、接收者不能偽造發(fā)送者的報(bào)文簽實(shí)發(fā)送者發(fā)送的報(bào)文簽名、接收者不能偽造發(fā)送者的報(bào)文簽名、接收者不能對(duì)發(fā)送者的報(bào)文進(jìn)行部分篡改、網(wǎng)絡(luò)中的某名、接收者不能對(duì)發(fā)送者的報(bào)文進(jìn)行部分篡改、網(wǎng)絡(luò)中的某一用戶不能冒充另一用戶作為發(fā)送者或接收者。一用戶不

41、能冒充另一用戶作為發(fā)送者或接收者。數(shù)字簽名的實(shí)現(xiàn)（數(shù)字簽名的實(shí)現(xiàn)（1 1）目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上，它是公用密鑰加密目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上，它是公用密鑰加密技術(shù)的另一類(lèi)應(yīng)用。它的主要方式是：技術(shù)的另一類(lèi)應(yīng)用。它的主要方式是：報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值（或報(bào)文摘位的散列值（或報(bào)文摘要）。要）。發(fā)送方用自己的私人密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)發(fā)送方用自己的私人密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的字簽名。這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起

42、發(fā)送給報(bào)文的接收方。接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值位的散列值（或報(bào)文摘要），再用發(fā)送方的公用密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名（或報(bào)文摘要），再用發(fā)送方的公用密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。進(jìn)行解密。如果兩個(gè)散列值相同、那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。如果兩個(gè)散列值相同、那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別。數(shù)字簽名的實(shí)現(xiàn)（數(shù)字簽名的實(shí)現(xiàn)（2 2） 加入數(shù)字簽名和驗(yàn)證的文件傳輸過(guò)程如下：加入數(shù)字簽名和驗(yàn)證的文件傳輸過(guò)程如下： 發(fā)送方首先

43、用哈希函數(shù)從原文得到數(shù)字簽名，然后采用發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用公開(kāi)密鑰體系用發(fā)送方的私有密鑰對(duì)數(shù)字簽名進(jìn)行加密，公開(kāi)密鑰體系用發(fā)送方的私有密鑰對(duì)數(shù)字簽名進(jìn)行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面；并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面； 發(fā)送一方選擇一個(gè)秘密密鑰對(duì)文件進(jìn)行加密發(fā)送一方選擇一個(gè)秘密密鑰對(duì)文件進(jìn)行加密,并把加密后并把加密后的文件通過(guò)網(wǎng)絡(luò)傳輸?shù)浇邮辗剑坏奈募ㄟ^(guò)網(wǎng)絡(luò)傳輸?shù)浇邮辗剑?發(fā)送方用接收方的公開(kāi)密鑰對(duì)密秘密鑰進(jìn)行加密發(fā)送方用接收方的公開(kāi)密鑰對(duì)密秘密鑰進(jìn)行加密,并通過(guò)并通過(guò)網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗?；網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗?/p>

44、； 數(shù)字簽名的實(shí)現(xiàn)（數(shù)字簽名的實(shí)現(xiàn)（4 4） 接受方使用自己的私有密鑰對(duì)密鑰信息進(jìn)行解密，得到秘接受方使用自己的私有密鑰對(duì)密鑰信息進(jìn)行解密，得到秘密密鑰的明文；密密鑰的明文； 接收方用秘密密鑰對(duì)文件進(jìn)行解密，得到經(jīng)過(guò)加密的數(shù)字接收方用秘密密鑰對(duì)文件進(jìn)行解密，得到經(jīng)過(guò)加密的數(shù)字簽名；簽名； 接收方用發(fā)送方的公開(kāi)密鑰對(duì)數(shù)字簽名進(jìn)行解密，得到數(shù)接收方用發(fā)送方的公開(kāi)密鑰對(duì)數(shù)字簽名進(jìn)行解密，得到數(shù)字簽名的明文；字簽名的明文； 接收方用得到的明文和哈希函數(shù)重新計(jì)算數(shù)字簽名，并與接收方用得到的明文和哈希函數(shù)重新計(jì)算數(shù)字簽名，并與解密后的數(shù)字簽名進(jìn)行對(duì)比。如果兩個(gè)數(shù)字簽名是相同的，解密后的數(shù)字簽名進(jìn)行對(duì)比。如

45、果兩個(gè)數(shù)字簽名是相同的，說(shuō)明文件在傳輸過(guò)程中沒(méi)有被破壞。說(shuō)明文件在傳輸過(guò)程中沒(méi)有被破壞。電子郵件（電子郵件（1） 相關(guān)協(xié)議標(biāo)準(zhǔn)相關(guān)協(xié)議標(biāo)準(zhǔn) 1982年年arpanet提出了提出了rfc821（傳輸協(xié)議）（傳輸協(xié)議）rfc822（消息格式）作為電子郵件協(xié)議；（消息格式）作為電子郵件協(xié)議； 1984年年ccitt提出了提出了x.400建議，建議，但是沒(méi)有得到普及。但是沒(méi)有得到普及。 體系結(jié)構(gòu)體系結(jié)構(gòu) 用戶代理：允許用戶閱讀和發(fā)送用戶代理：允許用戶閱讀和發(fā)送電子郵件，一般為用戶進(jìn)程；電子郵件，一般為用戶進(jìn)程； 消息傳輸代理：將消息從源端發(fā)消息傳輸代理：將消息從源端發(fā)送至目的端，一般為系統(tǒng)的后臺(tái)送至目

46、的端，一般為系統(tǒng)的后臺(tái)進(jìn)程；進(jìn)程； 簡(jiǎn)單郵件傳輸協(xié)議簡(jiǎn)單郵件傳輸協(xié)議smtp（simple mail transfer protocol）mailserveruseragentuseragentuseragentmailserveruseragentuseragentmailserveruseragentsmtpsmtpsmtpuser mailboxoutgoing message queue電子郵件（電子郵件（2） 電子郵件系統(tǒng)提供的五大基本功能電子郵件系統(tǒng)提供的五大基本功能 成文：指創(chuàng)建消息或回答消息的過(guò)程；成文：指創(chuàng)建消息或回答消息的過(guò)程； 傳輸：指將消息從發(fā)送者傳出至接收者；傳輸：指

47、將消息從發(fā)送者傳出至接收者； 報(bào)告：將消息的發(fā)送情況報(bào)告給消息發(fā)送者；報(bào)告：將消息的發(fā)送情況報(bào)告給消息發(fā)送者； 顯示：使用相應(yīng)的工具軟件將收到的消息顯示給接收者顯示：使用相應(yīng)的工具軟件將收到的消息顯示給接收者 處理：接收者對(duì)接收到的消息進(jìn)行處理，存儲(chǔ)處理：接收者對(duì)接收到的消息進(jìn)行處理，存儲(chǔ)/丟棄丟棄/轉(zhuǎn)發(fā)等等。轉(zhuǎn)發(fā)等等。 其它高級(jí)功能其它高級(jí)功能 自動(dòng)轉(zhuǎn)發(fā)、自動(dòng)回復(fù)；自動(dòng)轉(zhuǎn)發(fā)、自動(dòng)回復(fù)； mailbox，創(chuàng)建郵箱存儲(chǔ)郵件；，創(chuàng)建郵箱存儲(chǔ)郵件； mailing list； 抄送（抄送（cc）、高優(yōu)先級(jí)、加密。）、高優(yōu)先級(jí)、加密。電子郵件（電子郵件（3） 電子郵件的組成電子郵件的組成 信封：接收方

48、的信息，如名字、地址、郵件的優(yōu)先級(jí)和安全級(jí)信封：接收方的信息，如名字、地址、郵件的優(yōu)先級(jí)和安全級(jí)別；別； 信件內(nèi)容：由信頭和信體組成，信頭包含了用戶代理所需的控信件內(nèi)容：由信頭和信體組成，信頭包含了用戶代理所需的控制信息，信體是真正的內(nèi)容。制信息，信體是真正的內(nèi)容。 用戶代理用戶代理 發(fā)送電子郵件發(fā)送電子郵件 email地址，例如，地址，例如， mailing list，例如，例如， x.400地址，例如，地址，例如，/c=us/sp=massachusetts/ l=cambridge/pa=360 memorial dr./cn=ken smith/電子郵件（電子郵件（4） 閱讀電子郵件閱

49、讀電子郵件 用戶代理在啟動(dòng)時(shí)檢查用戶的用戶代理在啟動(dòng)時(shí)檢查用戶的mailbox，通知用戶是否有新郵件到，通知用戶是否有新郵件到來(lái)。并摘要性的顯示郵件的主題、發(fā)送者及其郵件的狀態(tài)。來(lái)。并摘要性的顯示郵件的主題、發(fā)送者及其郵件的狀態(tài)。 信件格式信件格式 rfc822 信件包括信封、若干信頭域、一個(gè)空行和信體。信件包括信封、若干信頭域、一個(gè)空行和信體。 電子郵件的擴(kuò)展電子郵件的擴(kuò)展 mime（multipurpose internet mail extensions），增加了對(duì)圖像、），增加了對(duì)圖像、聲音、視頻、可執(zhí)行文件等的支持。使用不同的編碼方法將信息轉(zhuǎn)聲音、視頻、可執(zhí)行文件等的支持。使用不同的

50、編碼方法將信息轉(zhuǎn)化為化為ascii字符流字符流電子郵件（電子郵件（5） 消息傳送協(xié)議消息傳送協(xié)議 internet使用簡(jiǎn)單郵件傳輸協(xié)議使用簡(jiǎn)單郵件傳輸協(xié)議smtp完成電子郵件的交換。完成電子郵件的交換。 過(guò)程如下過(guò)程如下 消息傳輸代理在源端主機(jī)和目的主機(jī)的消息傳輸代理在源端主機(jī)和目的主機(jī)的25號(hào)端口之間建立一條號(hào)端口之間建立一條tcp連接，使用簡(jiǎn)單郵件傳輸協(xié)議連接，使用簡(jiǎn)單郵件傳輸協(xié)議smtp協(xié)議進(jìn)行通信；協(xié)議進(jìn)行通信； 在在tcp連接建立好之后，作為客戶的郵件發(fā)送方等待作為服務(wù)器的連接建立好之后，作為客戶的郵件發(fā)送方等待作為服務(wù)器的郵件接收方首先傳輸信息；郵件接收方首先傳輸信息； 服務(wù)器首先

51、發(fā)出準(zhǔn)備接受的服務(wù)器首先發(fā)出準(zhǔn)備接受的smtp消息，客戶向服務(wù)器發(fā)出消息，客戶向服務(wù)器發(fā)出helo消息，服務(wù)器回答以消息，服務(wù)器回答以helo消息，雙方進(jìn)入郵件傳輸狀態(tài)；消息，雙方進(jìn)入郵件傳輸狀態(tài)；useragentuseragentsmtppop3 orimap電子郵件（電子郵件（6） 郵件傳輸過(guò)程：客戶首先發(fā)出郵件的發(fā)信人地址（郵件傳輸過(guò)程：客戶首先發(fā)出郵件的發(fā)信人地址（mail from），然后發(fā)出收信人的地址（），然后發(fā)出收信人的地址（rcpt to），服務(wù)器），服務(wù)器確認(rèn)收信人存在后，發(fā)出可以繼續(xù)發(fā)送的指示，客戶發(fā)送真確認(rèn)收信人存在后，發(fā)出可以繼續(xù)發(fā)送的指示，客戶發(fā)送真正的消息（正的

52、消息（data），），以以.作為結(jié)束；作為結(jié)束； 當(dāng)客戶方郵件發(fā)送完之后，服務(wù)器開(kāi)始發(fā)送郵件至客戶，過(guò)當(dāng)客戶方郵件發(fā)送完之后，服務(wù)器開(kāi)始發(fā)送郵件至客戶，過(guò)程同上；程同上； 兩個(gè)方向的發(fā)送完成之后，釋放兩個(gè)方向的發(fā)送完成之后，釋放tcp連接（連接（quit）。）。 注意注意 消息以消息以7-比特比特ascii碼為單位碼為單位 某些特殊字符串（如某些特殊字符串（如crlf.crlf）不允許在消息中出現(xiàn)，）不允許在消息中出現(xiàn)，需要編碼（例如，需要編碼（例如，base64）電子郵件（電子郵件（7） 其它協(xié)議其它協(xié)議 pop3（post office protocol），），rfc 1939，用戶代理和

53、郵箱不在用戶代理和郵箱不在同一機(jī)器上，用戶代理使用此協(xié)議將郵箱中的信件取回本地；同一機(jī)器上，用戶代理使用此協(xié)議將郵箱中的信件取回本地； imap（internet mail access protocol），），rfc 1730，收信人使用收信人使用多個(gè)用戶代理訪問(wèn)同一郵箱，郵件始終保持在郵箱中。多個(gè)用戶代理訪問(wèn)同一郵箱，郵件始終保持在郵箱中。 加密電子郵件協(xié)議：加密電子郵件協(xié)議：pgp與與pem協(xié)議。協(xié)議。 try smtp interaction for yourself telnet servername 25 see 220 reply from server enter helo,

54、mail from, rcpt to, data, quit commands above lets you send email without using email client (reader)電子郵件（電子郵件（8） sample smtp interaction s: 220 c: helo crepes.fr s: 250 hello crepes.fr, pleased to meet you c: mail from: s: 250 alicecrepes.fr. sender ok c: rcpt to: s: 250 bobhamburger.

55、edu . recipient ok c: data s: 354 enter mail, end with . on a line by itself c: do you like ketchup? c: how about pickles? c: . s: 250 message accepted for delivery c: quit s: 221 closing connection user other telematic services user mhs au mts mta user ua mta mta ms ua user user ua mt

56、a pdau user physical delivery services user x.400 mhs function model ua - user agent mta - message transfer agent ms - message store au - access unit pdau - physical delivery access unitwww （1） www（world wide web）是用于訪問(wèn)遍布于）是用于訪問(wèn)遍布于internet上的相互鏈接在一起的超文本的一種結(jié)構(gòu)框上的相互鏈接在一起的超文本的一種結(jié)構(gòu)框架。架。 歷史歷史 1989年，設(shè)計(jì)年，設(shè)計(jì)ww

57、w的思想產(chǎn)生于歐洲核研究中心的思想產(chǎn)生于歐洲核研究中心cern； 1991年，第一個(gè)原型在美國(guó)的年，第一個(gè)原型在美國(guó)的hypertext 91會(huì)議上展示；會(huì)議上展示； 1993年，第一個(gè)圖形化瀏覽器，年，第一個(gè)圖形化瀏覽器，mosaic； 1994年，年，andreessen創(chuàng)建創(chuàng)建netscape公司，開(kāi)發(fā)公司，開(kāi)發(fā)web的客戶和的客戶和服務(wù)器軟件；服務(wù)器軟件； 同年，同年，cern和和mit共同創(chuàng)建共同創(chuàng)建www論壇，制定相關(guān)的協(xié)議標(biāo)論壇，制定相關(guān)的協(xié)議標(biāo)準(zhǔn)，準(zhǔn)，。www （2）l術(shù)語(yǔ)術(shù)語(yǔ)web page:lconsists of “objects”ladd

58、ressed by a urlmost web pages consist of:lbase html page, andlseveral referenced objects.user agent for web is called a browser:lms internet explorerlnetscape navigatorserver for web is called web server:pc runningexplorerserver runningncsa webservermac runningnavigatorhttp requesthttp requesthttp r

59、esponsehttp responsewww （3） 用戶眼中的用戶眼中的web web是由互相鏈接在一起的網(wǎng)頁(yè)構(gòu)成的，這些網(wǎng)頁(yè)是由普通文是由互相鏈接在一起的網(wǎng)頁(yè)構(gòu)成的，這些網(wǎng)頁(yè)是由普通文本、超文本本、超文本hypertext，以及圖表、照片等構(gòu)成；，以及圖表、照片等構(gòu)成； 用戶通過(guò)稱為瀏覽器的軟件來(lái)觀看網(wǎng)頁(yè)，瀏覽器取回所請(qǐng)求的用戶通過(guò)稱為瀏覽器的軟件來(lái)觀看網(wǎng)頁(yè)，瀏覽器取回所請(qǐng)求的網(wǎng)頁(yè)，解釋其中所含的文本和格式命令，并正確的顯示出來(lái)；網(wǎng)頁(yè)，解釋其中所含的文本和格式命令，并正確的顯示出來(lái)； 網(wǎng)頁(yè)中的文本串若指向其它的網(wǎng)頁(yè)（此指針?lè)Q為超級(jí)鏈接網(wǎng)頁(yè)中的文本串若指向其它的網(wǎng)頁(yè)（此指針?lè)Q為超級(jí)鏈接hyperlink，此文本串稱為超文本），會(huì)被特別地顯示出來(lái)（加，此文本串稱為超文本），會(huì)被特別地顯示出來(lái)（加下劃線），用戶若選擇此超級(jí)鏈接，瀏覽器會(huì)將此超級(jí)鏈接所下劃線），用戶若選擇此超級(jí)鏈接，瀏覽器會(huì)將此超級(jí)鏈接所指的網(wǎng)頁(yè)取回；指的網(wǎng)頁(yè)取回； 當(dāng)超文本網(wǎng)頁(yè)中包含聲音、動(dòng)畫(huà)等其它媒體時(shí)，網(wǎng)頁(yè)被稱為是當(dāng)超文本網(wǎng)頁(yè)中包含聲音、動(dòng)畫(huà)等其它媒體時(shí)，網(wǎng)頁(yè)被稱為是超媒體的。瀏覽器一般通過(guò)外掛的幫助程序來(lái)顯示這些超媒體超媒體的。瀏覽器一般通過(guò)外掛的幫助程序來(lái)顯示這些超媒體信息。信息。www （4） web的客戶的客戶/服務(wù)器模型服務(wù)器模型 在每個(gè)在每個(gè)web服務(wù)器上有一個(gè)服務(wù)進(jìn)程在服務(wù)器上有一個(gè)服務(wù)進(jìn)程在t