【正文】 　 另一種編碼稱為 quotedprintable，這種編碼方法適用于當所傳送的數(shù)據(jù)中只有少量的非 ASCII 碼。3　 對于任意的二進制文件，可用 base64 編碼。 二十四、動態(tài)主機配置協(xié)議 DHCP(Dynamic Host Configuration Protocol)動態(tài)主機配置協(xié)議 DHCP 提供了即插即用連網(wǎng)(plugandplay networking)的機制。這種機制允許一臺計算機加入新的網(wǎng)絡和獲取IP地址而不用手工參與。DHCP 使用客戶服務器方式：需要 IP 地址的主機在啟動時就向 DHCP 服務器廣播發(fā)送發(fā)現(xiàn)報文（DHCPDISCOVER），這時該主機就成為 DHCP 客戶。本地網(wǎng)絡上所有主機都能收到此廣播報文，但只有 DHCP 服務器才回答此廣播報文。DHCP 服務器先在其數(shù)據(jù)庫中查找該計算機的配置信息。若找到，則返回找到的信息。若找不到，則從服務器的 IP 地址池(address pool)中取一個地址分配給該計算機。DHCP 服務器的回答報文叫做提供報文（DHCPOFFER）。 DHCP中繼代理（relay agency）并不是每個網(wǎng)絡上都有 DHCP 服務器，這樣會使 DHCP 服務器的數(shù)量太多?，F(xiàn)在是每一個網(wǎng)絡至少有一個 DHCP 中繼代理，它配置了 DHCP 服務器的 IP 地址信息。當 DHCP 中繼代理收到主機發(fā)送的發(fā)現(xiàn)報文后，就以單播方式向 DHCP 服務器轉(zhuǎn)發(fā)此報文，并等待其回答。收到 DHCP 服務器回答的提供報文后，DHCP 中繼代理再將此提供報文發(fā)回給主機。租用期(lease period) 216。 DHCP 服務器分配給 DHCP 客戶的 IP 地址的臨時的，因此 DHCP 客戶只能在一段有限的時間內(nèi)使 用這個分配到的 IP 地址。DHCP 協(xié)議稱這段時間為租用期。 216。 租用期的數(shù)值應由 DHCP 服務器自己決定。216。 DHCP 客戶也可在自己發(fā)送的報文中（例如，發(fā)現(xiàn)報文）提出對租用期的要求。 二十五、簡單網(wǎng)絡管理協(xié)議 SNMP SNMP 使用無連接的 UDP二十六、應用進程跨越網(wǎng)絡的通信 系統(tǒng)調(diào)用 大多數(shù)操作系統(tǒng)使用系統(tǒng)調(diào)用(system call)的機制在應用程序和操作系統(tǒng)之間傳遞控制權(quán)。對程序員來說，每一個系統(tǒng)調(diào)用和一般程序設計中的函數(shù)調(diào)用非常相似，只是系統(tǒng)調(diào)用是將控制權(quán)傳遞給了操作系統(tǒng)。多個應用進程使用系統(tǒng)調(diào)用的機制 應用編程接口API(Application Programming Interface)當某個應用進程啟動系統(tǒng)調(diào)用時，控制權(quán)就從應用進程傳遞給了系統(tǒng)調(diào)用接口。此接口再將控制權(quán)傳遞給計算機的操作系統(tǒng)。操作系統(tǒng)將此調(diào)用轉(zhuǎn)給某個內(nèi)部過程，并執(zhí)行所請求的操作。內(nèi)部過程一旦執(zhí)行完畢，控制權(quán)就又通過系統(tǒng)調(diào)用接口返回給應用進程。系統(tǒng)調(diào)用接口實際上就是應用進程的控制權(quán)和操作系統(tǒng)的控制權(quán)進行轉(zhuǎn)換的一個接口，即應用編程接口 API。 幾種應用編程接口 API1　 Berkeley UNIX 操作系統(tǒng)定義了一種 API，它又稱為套接字接口(socket interface)。2　 微軟公司在其操作系統(tǒng)中采用了套接字接口 API，形成了一個稍有不同的 API，并稱之為 Windows Socket。3　 ATamp。T 為其 UNIX 系統(tǒng) V 定義了一種 API，簡寫為 TLI (Transport Layer Interface)。 套接字的作用 u 當應用進程需要使用網(wǎng)絡進行通信時就發(fā)出系統(tǒng)調(diào)用，請求操作系統(tǒng)為其創(chuàng)建“套接字”，以便把網(wǎng)絡通信所需要的系統(tǒng)資源分配給該應用進程。u 操作系統(tǒng)為這些資源的總和用一個叫做套接字描述符的號碼來表示，并把此號碼返回給應用進程。應用進程所進行的網(wǎng)絡操作都必須使用這個號碼。u 通信完畢后，應用進程通過一個關閉套接字的系統(tǒng)調(diào)用通知操作系統(tǒng)回收與該“號碼”相關的所有資源。調(diào)用 socket 創(chuàng)建套接字 =========================================================第7章 網(wǎng)絡安全 計算機網(wǎng)絡面臨的安全性威脅計算機網(wǎng)絡上的通信面臨以下的四種威脅： (1) 截獲——從網(wǎng)絡上竊聽他人的通信內(nèi)容。 (2) 中斷——有意中斷他人在網(wǎng)絡上的通信。 (3) 篡改——故意篡改網(wǎng)絡上傳送的報文。 (4) 偽造——偽造信息在網(wǎng)絡上傳送。截獲信息的攻擊稱為被動攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊。 被動攻擊和主動攻擊被動攻擊 ——攻擊者只是觀察和分析某一個協(xié)議數(shù)據(jù)單元 PDU 而不干擾信息流。主動攻擊 —— 是指攻擊者對某個連接中通過的 PDU 進行各種處理，如：216。 更改報文流 216。 拒絕報文服務 216。 偽造連接初始化 三、計算機網(wǎng)絡通信安全的目標 (1) 防止析出報文內(nèi)容；(2) 防止通信量分析；(3) 檢測更改報文流；(4) 檢測拒絕報文服務；(5) 檢測偽造初始化連接。四、惡意程序(rogue program) (1) 計算機病毒——會“傳染”其他程序的程序，“傳染”是通過修改其他程序來把自身或其變種復制 進去完成的。(2) 計算機蠕蟲——通過網(wǎng)絡的通信功能將自身從一個結(jié)點發(fā)送到另一個結(jié)點并啟動運行的程序。(3) 特洛伊木馬——一種程序，它執(zhí)行的功能超出所聲稱的功能。(4) 邏輯炸彈——一種當運行環(huán)境滿足某種特定條件時執(zhí)行其他特殊功能的程序。 五、計算機網(wǎng)絡安全的內(nèi)容216。 保密性216。 安全協(xié)議的設計 216。 訪問控制 六、公鑰密碼體制公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。 公鑰和私鑰在公鑰密碼體制中，加密密鑰(即公鑰) PK（Public Key） 是公開信息，而解密密鑰(即私鑰或秘鑰) SK(Secret Key) 是需要保密的。加密算法 E(Encrypt) 和解密算法 D 也都是公開的。雖然秘鑰 SK 是由公鑰 PK 決定的，但卻不能根據(jù) PK 計算出 SK。 公鑰算法的特點216。 發(fā)送者 A 用 B 的公鑰 PKB 對明文 X 加密（E 運算）后，在接收者 B 用自己的私鑰 SKB 解密（D 運算），即可恢復出明文： 216。 解密密鑰是接收者專用的秘鑰，對其他人都保密。216。 加密密鑰是公開的，但不能用它來解密，即216。 加密和解密的運算可以對調(diào)，即 216。 在計算機上可容易地產(chǎn)生成對的 PK 和 SK。216。 從已知的 PK 實際上不可能推導出 SK，即從 PK 到 SK 是“計算上不可能的”。216。 加密和解密算法都是公開的。七、 數(shù)字簽名數(shù)字簽名必須保證以下三點：(1) 報文鑒別——接收者能夠核實發(fā)送者對報文的簽名；(2) 報文的完整性——發(fā)送者事后不能抵賴對報文的簽名；(3) 不可否認——接收者不能偽造對報文的簽名?，F(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法。但采用公鑰算法更容易實現(xiàn)。 數(shù)字簽名的實現(xiàn) ：216。 因為除 A 外沒有別人能具有 A 的私鑰，所以除 A 外沒有別人能產(chǎn)生這個密文。因此 B 相信報文 X 是 A 簽名發(fā)送的。216。 若 A 要抵賴曾發(fā)送報文給 B，B 可將明文和對應的密文出示給第三者。第三者很容易用 A 的公鑰去證實 A 確實發(fā)送 X 給 B。216。 反之，若 B 將 X 偽造成 X‘，則 B 不能在第三者前出示對應的密文。這樣就證明了 B 偽造了報文。 具有保密性的數(shù)字簽名 八、鑒別在信息的安全領域中，對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改和偽造則要用鑒別(authentication) 。報文鑒別使得通信的接收方能夠驗證所收到的報文（發(fā)送者和報文內(nèi)容、發(fā)送時間、序列等）的真?zhèn)巍Ｊ褂眉用芫涂蛇_到報文鑒別的目的。但在網(wǎng)絡的應用中，許多報文并不需要加密。應當使接收者能用很簡單的方法鑒別報文的真?zhèn)巍? 鑒別的手段1） 報文鑒別（使用報文摘要 MD (Message Digest)算法與數(shù)字簽名相結(jié)合）2） 實體鑒別 運輸層安全協(xié)議 安全套接層 SSL(Secure Socket Layer)216。 SSL可對萬維網(wǎng)客戶與服務器之間傳送的數(shù)據(jù)進行加密和鑒別。216。 SSL 在雙方的聯(lián)絡階段協(xié)商將使用的加密算法和密鑰，以及客戶與服務器之間的鑒別。216。 在聯(lián)絡階段完成之后，所有傳送的數(shù)據(jù)都使用在聯(lián)絡階段商定的會話密鑰。216。 SSL 不僅被所有常用的瀏覽器和萬維網(wǎng)服務器所支持，而且也是運輸層安全協(xié)議 TLS (Transport Layer Security)的基礎。 SSL 的位置 SSL的三個功能：(1) SSL 服務器鑒別 允許用戶證實服務器的身份。具有 SS L 功能的瀏覽器維持一個表，上面有一些可信賴的認證中心 CA (Certificate Authority)和它們的公鑰。(2) 加密的 SSL 會話 客戶和服務器交互的所有數(shù)據(jù)都在發(fā)送方加密，在接收方解密。(3) SSL 客戶鑒別 允許服務器證實客戶的身份。安全電子交易 SET (Secure Electronic Transaction)安全電子交易 SET 是專為在因特網(wǎng)上進行安全支付卡交易的協(xié)議。 SET 的主要特點是：(1) SET 是專為與支付有關的報文進行加密的。(2) SET 協(xié)議涉及到三方，即顧客、商家和商業(yè)銀行。所有在這三方之間交互的敏感信息都被加密。(3) SET 要求這三方都有證書。在 SET 交易中，商家看不見顧客傳送給商業(yè)銀行的信用卡號碼。 十、防火墻(firewall)216。 防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，是一種特殊編程的路由器，用來在兩個網(wǎng)絡之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。216。 防火墻內(nèi)的網(wǎng)絡稱為“可信賴的網(wǎng)絡”(trusted network)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡”(untrusted network)。216。 防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。防火墻在互連網(wǎng)絡中的位置 防火墻的功能防火墻的功能有兩個：阻止和允許?！白柚埂本褪亲柚鼓撤N類型的通信量通過防火墻（從外部網(wǎng)絡到內(nèi)部網(wǎng)絡，或反過來）?！霸试S”的功能與“阻止”恰好相反。防火墻必須能夠識別通信量的各種類型。不過在大多數(shù)情況下防火墻的主要功能是“阻止”。 防火墻技術的分類 (1) 網(wǎng)絡級防火墻——用來防止整個網(wǎng)絡出現(xiàn)外來非法的入侵。屬于這類的有分組過濾和授權(quán)服務器。前者檢查所有流入本網(wǎng)絡的信息，然后拒絕不符合事先制訂好的一套準則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。(2) 應用級防火墻——從應用程序來進行接入控制。通常使用應用網(wǎng)關或代理服務器來區(qū)分各種應用。例如，可以只允許通過訪問萬維網(wǎng)的應用，而阻止 FTP 應用的通過。===========================================================================第9章 無線局域網(wǎng) 無線局域網(wǎng)的組成有固定基礎設施的無線局域網(wǎng)無固定基礎設施的無線局域網(wǎng)二、熱點(hot spot)現(xiàn)在許多地方，如辦公室、機場、快餐店、旅館、購物中心等都能夠向公眾提供有償或無償接入 WiFi 的服務。這樣的地點就叫做熱點。三、移動自組網(wǎng)絡，又稱自組網(wǎng)絡(ad hoc network) 自組網(wǎng)絡是沒有固定基礎設施（即沒有 AP）的無線局域網(wǎng)。這種網(wǎng)絡由一些處于平等狀態(tài)的移動站之間相互通信組成的臨時網(wǎng)絡：四、 局域網(wǎng)的 MAC 幀 幀共有三種類型，即控制幀、數(shù)據(jù)幀和管理幀。==============================================第十章 下一代因特網(wǎng)一、IPv6 的基本首部216。 IPv6 仍支持無連接的傳送所引進的主要變化如下216。 更大的地址空間。IPv6 將地址從 IPv4 的 32 位 增大到了 128 位。 216。 擴展的地址層次結(jié)構(gòu)。 216。 靈活的首部格式。 216。 改進的選項。 216。 允許協(xié)議繼續(xù)擴充。 216。 支持即插即用（即自動配置） 216。 支持資源的預分配。216。 IPv6 將首部長度變?yōu)楣潭ǖ?40 字節(jié)，稱為基本首部(base header)。216。 將不必要的功能取消了，首部的字段數(shù)減少到只有 8 個。216。 取消了首部的檢驗和字段，加快了路由器處理數(shù)據(jù)報的速度。216。 在基本首部的后面允許有零個或多個擴展首部。216。 所有的擴展首部和數(shù)據(jù)合起來叫做數(shù)據(jù)報的有效載荷(payload)或凈負荷。 二、 從 IPv4 向 IPv6 過渡216。 向 IPv6 過渡只能采用逐步演進的辦法，同時，還必須使新安裝的 IPv6 系統(tǒng)能夠向后兼容。216。 IPv6 系統(tǒng)必須能夠接收和轉(zhuǎn)發(fā) IPv4 分組，并且能夠為 IPv4 分組選擇路由。216。 雙協(xié)議棧(dual stack)是指在完全過渡到 IPv6 之前，使一部分主機（或路由器）裝有兩個協(xié)議棧，一個 IPv4 和一個 IPv6。 47th