一、計算機網絡的發展與形成
1. 基於 P2P以“非中心化的方式”的網絡應用成爲新的增長點
2. 計算機網絡形成:
(1)計算機——終端(美國軍方)
(2)計算機——計算機
(3) ARPANET 及 OSI(高校, INTERNET 前生)
(4) INTERNET
3. 網絡協議
(1) ISO 指定 OSI,國際認可
(2) TCP/IP ,業內公認,早於 OSI
4. 信息高速公路:
異步傳輸模式( ATM ),寬帶綜合業務數字網( B-ISDM ),高速局域網,交換局域網,虛擬網,無線網
5. 搜索引擎是一種運用在 WEB 上的應用軟件系統
6. 寬帶城域網
(1)包括核心交換網、接入網
(2)用戶接入網分三類:計算機網絡、電信通信網、廣播電視網(現在數字聚合,三網融合)
7. 無線網絡:
(1)無線局域網( WLAN )
① 傳輸介質:微波、激光、紅外線
② IEEE801.11 制定
③ 運用領域:傳統局域網擴充、建築物之間互聯、特殊網絡
④ 傳輸技術:紅外線、擴頻、窄帶微波
(2)發展
① 無線自組網( AD HOT ):自組織、對等、多跳
② 無線傳感器網( WSN )將 ADHOT 於傳感器結合,三要素是:傳感器、感知對象、觀察者
③ 無線網狀網( WMM ):標準制定 IEEE 802.11S
④ 藍牙技術:標準制定 IEEE 802.15 ,特點:短距離,低功耗
8. 操作系統
(1) Window:
操作系統版本 | 服務器系統 | 客戶機系統 |
---|---|---|
Windows NT系列 | NT server | NT workstation |
Windows 9X | 95、98、ME | |
Windows 2000系列 | Server、Advance Server、Datacenter Server | professional |
Windows 2003系列 | Web、standard、Enterprise、Dataventer | |
其它 | Server 2008 | XP、Vista、7 |
(2) UNIX :小型機、 C 語言、易移植、多用戶多任務、分時、採用樹狀目錄、系統由內核和外殼組成,內核直接對硬件起作用,外殼是用戶程序
(3)在微型機運行,內核效仿 Unix ,開放源代碼、多用戶多任務、界面友好、可移植
二、計算機網絡基本概念
1. 計算機網絡定義
(1)觀點:廣義、資源共享(符合網絡特徵) 、用戶透明
2. 分類
(1)局域網: 覆蓋範圍有限 (方圓幾公里) , 傳輸數據較快, 誤碼率低。 從介質角度:共享式介質和交換式局域網
(2)城域網:
(3)廣域網:最遠最大、速率低。從邏輯和功能:通信子網、資源子網
(4)個人局域網: 10M 內
3. 網絡拓撲結構
(1)分類:星型、環形、樹型、網狀型
① 星型:中心節點是可靠性瓶頸
② 環形:延遲確定,每個線路都是瓶頸
③ 樹型:適用於匯聚數據的
(2)傳輸參數
① 傳輸速率: S=1/T(T 爲每比特所需要的時間) ,記 bps,每秒傳輸的比特數
② 帶寬:與傳輸速率有關
a)奈科斯特准則:有限帶寬、無噪聲信道—— Rmax=2B
b)香茗定理:有限帶寬、有隨機噪聲信道—— Rmax=B*log2(1+S/N)
③ 誤碼率:平均誤碼率要低於 10-9
(3)分包分組交換
① 早起交換分爲:線路交換、存儲轉發交換
a)線路交換:線路建立、數據傳輸(實時,雙向) 、線路釋放
優點:實時性強,交互式會話類通信
缺點:系統效率低,不具備數據存儲,糾錯功能
b)存儲轉發交換:報文交換、報文分組交換
② 現代交換
a)數據報方式: 不同分組經過不同路徑、到達目的節點可能亂序、 每個分組傳輸過程都帶目的地址和源地址、 傳輸延遲大,適合突發性通信,不適合長報文,會話式通信
b)虛電路方式: 在傳輸前源節點和目的節點建立連接、 順序連接、不攜帶目的地址, 源地址,無亂碼重複丟失,每個節點只需要進行差錯檢測不需要路由選擇, 每個節點可與多個節點建立
4. 網絡體系結構
(1)網絡協議
① 三要素
a)語法:格式和結構
b)語義:意義
c)時序:順序說明
(2)網絡體系結構
① 第一個網絡體系結構: IBM 的 SNA
a) OSI
i 定義了各層服務,服務與實現無關,不是一個標準,而是概念的框架ii 各個節點具有相同層次,相鄰層之間接口通信,每層 使用下層服務並向上提供服務
b) TCP/IP( 傳輸控制協議 /互聯網協議 )
i 互聯層主要協議: IP ICMP IGMP ARP RARP
ii 傳輸層: 進程間端到端通信,主要協議:TCP(可靠的面向連接的協議,無差錯 ),UDP (不可靠的無連接協議,不要求分 組順序到達)
iii 應用層:
遠程登錄協議:Telent
文件傳輸協議:FTP
簡單郵件傳輸協議:SMTP
域名服務協議:DNS
路由信息協議:RIP
網絡文件協議:SNMP
超文本傳輸協議:HTTP
c)對比
TCP/IP |
OSI參考模型 |
應用層 |
應用層 |
表示層 |
|
會話層 |
|
傳輸層 |
傳輸層 |
互聯層 |
傳輸層 |
主機-網絡層 |
數據鏈路層 |
物理層 |
5. P2P:最大化的爲“非集中式” ,不依賴 DNS
6. IEEE802.2 將數據鏈路層劃分爲:
邏輯鏈路控制子層( LLC, 協議必相同) ,介質訪問控制子層 (MAC ,協議可不同 )
7. IEEE802.3 以太網標準, 定義載波偵聽多路訪問 (CSMA/CD ) 介質訪問 MAC 子層與物理層標準
8. IEEE802.11 定義無線局域網介質訪問 MAC 子層與物理層標準
9. IEEE802.15 定義近距離個人無線網介質訪問 MAC 子層與物理層標準
10. IEEE802.16 定義寬帶無線局域網)介質訪問 MAC 子層與物理層標準
三、局域網技術
1. 與廣域網不同,存儲轉發方式變爲共享介質與交換方式
2. 拓撲:
(1)總線型(共享介質)
① 解決衝突:載波偵聽多路訪問( CSMA/CD )、令牌總線( Token Bus)
② 所有節點通過網卡連接總線
③ 採用雙絞線、同軸電纜
④ 同一節點只能有一個節點通過總線發送數據,衝突會傳輸失敗
⑤ 優點:結構簡單,易於實現。易於擴展、可靠性強
缺點:不易管理,故障診斷和隔離困難
(2)環形
① 數據傳輸方向確定,採用令牌環
(3)星型
3. 傳輸介質:雙絞線、同軸電纜、光纖,無線信道
4. 以太網最核心技術:
介質訪問控制方法:載波偵聽多路訪問( CSMA/CD ),解決多個節點共享公用總線
5. 以太網傳輸錯誤:
(1) CRC 正確,判定幀長度, “幀長度錯誤”
CRC 錯誤,判斷幀是否爲 8 整數倍,是則“幀校驗錯誤” ,不是則“幀比特錯誤”
6. 以太網物理地址, 按照 48 位編碼 (EUI-48 ), 12 個 12 進制兩兩一組。
前三組公司,後三組生產商自配,允許分配物理地址爲 247 個
7. 高速局域網
(1)解決方案
① 提高帶寬
a)快速以太網— 802.3u
i 100BASE-TX : 2 對非屏蔽雙絞線,支持全雙工
ii 100BASE-T4 : 4 對非屏蔽雙絞線,不知道全雙工
iii 100BASE-FX :2 芯光纖,支持全雙工
b)千兆以太網— 802.3z 或 802.3ab
i 1000BASE-T
ii 1000BASE-CX :屏蔽雙絞線
c)萬兆網 -802.3ae 不再使用雙絞線,只有全雙工
d) 40GBS 以太網:使用波分複用技術
② 將大型局域網劃分
③ 將共享介質方式改爲交換方式
8. 交換式局域網
(1)端口之間可有多個併發連接
(2)交換機利用“端口 /MAC 地址映射表” ,讀取源地址進行“地址學習”自動的學習
(3)交換機幀轉發方式
① 直接轉發——只讀取目的地址,延遲小,沒有差錯能力,不支持不同速率端口轉發
② 存儲轉發——完整接收檢錯再轉發、延遲大,有矯錯,支持不同速率
③ 改進的直接轉發——接收前 64 字節,檢幀頭字段
9. 虛擬局域網
(1)軟件方式實現,節點不收物理位置限制
(2)組網方式
① 用交換機端口定義虛擬網
a)一個端口自己能屬於一個組
b)轉移到另一個端口是,要重配置
② 用 MAC 定義虛擬網(基於用戶)
a)可以隨意移動節點,初始配置麻煩
③ 基於網絡層定義虛擬網
a)可以隨意移動節點,性能差,檢查網絡層地址難
④ 基於廣播組
a)可靈活組件,可跨越局域網與廣域網互聯
(3)優點:方便管理、安全性、改善網絡服務
10. 無線局域網
(1)紅外
① 視距方式傳輸:定向、全方位、漫反射
② 通信安全號,抗干擾性強、簡單易管理、傳輸距離受限
(2)擴頻——犧牲頻帶寬度來提高抗干擾性和安全性
① 跳頻——發收採用相同跳頻系列
② 直接序列——發收採用相同僞隨機碼,所有接受節點使用相同頻段
(3)窄帶微波:微波無線電
(4) MAC 層—— CSMA/CA
① 分類
a)無爭用服務(PCF):中心控制節點
b)爭用服務(DCF)
② 802.11 協議
標準名稱 | 標準描述 |
---|---|
802.11a | 5G Hz波段,速率54Mbps |
802.11b | 2.4G Hz波段,速率11Mbps |
802.11g | 2.4G Hz波段,速率54Mbps |
802.11n | 5G Hz波段,速率100Mbps |
802.11i | 增強無線通信安全的規範 |
802.11e | 服務質量QoS |
四、 INTERNET 基礎
1. Internet 構成:通信線路、路由器、主機、信息資源
2. 接入方式
(1)電話網——需要調制解調器 (調製: 數字—模擬、 解調: 模擬—數字) , 速率 56K
(2) ADSL ——使用電話線, 通過 ADSL 調制解調器, 具有網橋和路由器, 分上下行
(3)使用 HFC——有線電視網,混合光纖和同軸電纜。
(4)數據通信線路
3. IP 協議
(1) IP 服務特點:不可靠、面向無連接、盡最大努力
(2) IP 互聯網特點:隱藏底層物理網絡、不制定網絡拓撲也不要去網絡全連接、信息可跨網、平等對待每個網絡
(3) IP 地址作用:用於標識身份,屏蔽物理地址的差異,標識網絡連接
① 由 32 個比特組成
② 層次結構:網絡號、主機號
③ 分類
a) A 類: 1~126
b) B 類: 128~191
c) C 類: 192~223
d)網絡地址:網絡位不變,主機位變 0
e)廣播地址:
i 直接廣播:網絡位不變,主機位全 1
ii 有線廣播:網絡位全 1,主機位全 1
f )回送地址: 127.0.0.0(用於本地測試)
g)本地地址: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
④ 子網編制(避免 IP 地址浪費)
a) LVSM (可變長子網掩碼,在無類物流中使用)
b) CIDR ()
⑤ 地址解析協議 ARP(已知 IP,求 MAC 的方法)
a)請求是廣播,迴應是單播
b)採用高速緩存技術,時鐘更新保證正確性
c) IP 數據報—— IP 協議使用的數據單元(總長度以 8b 爲單位)
i 報頭區:源 IP 地址、目的 IP 地址(以 32 位雙字節爲單位)
ii 數據區(不校驗)
iii MTU :一個幀最多攜帶的數據量
iv 分段:數據報頭相同,最後一個數據段在頭部設置一個特別位,最終目的主機,重組。
v 分片:標識(區別不同數據報) 、標誌(是否分片,是否是最後一個) 、片偏移(分片位置, 8 字節)
vi 選項:目的——控制和測試、包括——選項嗎,長度,選項數據(源路由,記錄路由,時間戳)
⑥ 差錯與控制報文 ICMP
差錯
a)典型運用: ping 和raceroute
b)特點: 1 沒有什麼特別優先權 2,還報告數據區前 64b 3,先把出錯報文丟棄
c)分類:目的地不可達、超時報告、參數出錯
控制
d) IP 層控制:
i 擁塞控制(路由處理太慢,傳入大於傳出,利用 ICMP 源抑制報文)
ii 路由控制(路徑非最優,繼續轉發併發送重定向 ICMP 報文)
(4)路由器
① 表驅動 IP 選路(路由表是選路依據, 隱藏主機信息, 只表示目的網絡地址)
a)下一站選路思想: (N—目標網絡 ,R—下一站)
b)路由表建立(靜態—人工建立和管理,簡單可靠,不適用複雜網絡,建立維護難, 容易出現路由環, 動態—自動學習, 路 由器運行相同路由選擇協議和相同選擇算法)
i 路由協議:
(1)路由信息協議 RIP:向量—距離( V-D)算法 :週期性30s,過時路由 180s,通過跳數計算距離,向相鄰廣播路由信息表特點:簡答易實現,收斂慢, 需要交換信息大。 適用於變化不大的中小型網絡
形成環路對策: 1、限制最大距離(15 最大)
2、水平分割
3、保持對策( 60s)
4、帶出發刷新的毒性逆轉對策。
(2)開放式最短路進有限協議 OSPF:鏈路—狀態 (L-S)算法: 週期性廣播自己與相鄰的連接關係,構成拓撲圖 特點:收斂速度快,支持服務類選路, 提供負載均衡和身份認證, 使用龐大複雜的網絡, 缺點: 要求 cpu,帶寬 解決辦法 1、分區 2、指派路由器
c)靜態(2~10) RIP(10~50) OSPF(50 以上)
(5)組播
① 單播(一對一,實現個性化服務,網絡瀏覽) ,廣播(有線電視) ,組播(一對一組,視頻點播,視頻會議,沒有糾錯)
② 特點:使用組地址、動態、底層硬件支持
③ 協議
a)組管理協議 IGMP (主機—路由器)
i V1:基本組成員查詢和報告
ii V2 增加快速
iii V3 指定接收不接受
b)組播路由協議(路由器—路由器,核心) :源地址、組地址、入接口、出接口,匹配前三個,獲取單播拓撲結構。
i 域內(密集型—帶寬充裕、稀疏型—帶寬不充裕)
ii 域間
(6) IPV6
① IPV4 地址侷限性:空間侷限性、性能問題、安全性、自動配置問題、服務質量 QoS 問題
② 128 位, ipv4 爲 32 位
③ 單播、組播、任播(發送到任意一個地址,一般最近地址)
④ 數據報:基本頭(40 個字節) ,多個擴展頭,高層協議數據單元
⑤ 自動配置:有狀態(DHCP 支持,向 DHCP 多播發送請求) 、無狀態(64位前綴, 64 爲網絡接口)
(7) TCP 和 UDP(傳輸層)
① TCP 傳輸控制協議(保證可靠性)——面向連接的,可靠的,全雙工
a)丟失與重發(確認機制——,連接初始序列號 32 位隨機號,沒收到確認報文,等待隨機時間重發,等待時間具有適應性,使用 KARN 算法)
b)連接可靠性和優雅關閉——三次握手
c)TCP 緩衝,流控,窗口——窗口(緩衝區剩餘空間) :流量控制
d)TCP 連接與端口 :
應用層協議 | TCP端口號 |
---|---|
FTP-DATA | 20 |
FTP | 21 |
TELNET | 23 |
SMTP | 25 |
DOMAIN | 53 |
POP3 | 110 |
NNTP | 119 |
IMAP | 143 |
telne(遠程登錄)
SMTP:簡單郵件傳輸協議
DOMAIN: 域名傳輸協議
POP3:郵件下載協議
② UDP 用戶數據報協議——面向非連接,不可靠
a)可能出現丟失,亂序,重複,簡單高效
b)端口
應用層協議 | UDP端口號 |
---|---|
DOMAIN | 53 |
BOOTPS | 67 |
BOOTPC | 68 |
TFTP | 69 |
SNMP | 161 |
SNMP-TRAP | 162 |
4. NAT 技術(解決地址短缺問題)
(1)靜態 NAT:內部地址與全局地址一一對應
(2)動態 NAT
(3)網絡地址端口轉換 NAPT (多對一)
五、 INTERNET 基礎服務
1. 客戶機 /服務器模型
(1) WEB,FTP,EMAIL
(2)實現
① 通過端頭號解決特定服務
② 1、重複服務器:先進先出 2、併發服務器
2. P2P 對等模型(流媒體直播,文件共享,協同工作,分佈式搜索)
(1)集中目錄式——在專門服務器存放資源目錄(Napster,要求服務器持續運轉)
(2)分佈式非結構化——洪泛查詢, 適用規模小的網絡 (Gnueteella, 採用 TTL 機制)
(3)分佈式結構化——基於分佈式散列表 DHT ,非中心化,自組織,可擴展性,健壯性,維護複雜。典型代表:pastry, tapestry, chord, CAN
(4)混合式——節點分爲用戶節點, 搜索節點, 索引節點。代表:skype、pplive、BT
3. 域名系統
(1)命名機制
① 原則:唯一性,便於管理,高效映射
② 域名書寫:字母,數字連字符,最長不超過 63,不區分大小寫
③
域名 | 含義 | 域名 | 含義 |
---|---|---|---|
com | 商業機構 | net | 網絡組織 |
edu | 教育機構 | int | 國際機構 |
gov | 政府部門 | org | 其它非營利性組織 |
mil | 軍事機構 | 國家/地址代碼 | 各個國家或地區 |
④域名解析
a)自頂向下, 首先由本地域名服務器請求, 可有服務器和本級建立高速緩存技術,提高效率,
b)遞歸解析(一次解析全部)反覆解析(一級級解析)
c)
4. 遠程登錄 Telnet
(1)採用客戶機 /服務器模型
(2)通過 TCP 連接(可靠的,端口號 23)
(3)網絡虛擬終端 NVT 統一不同格式
5. FTP 服務
(1)採用 C/S 服務
(2)雙重連接:控制連接、數據連接( 1、主動模式—服務器主動,使用 PORT,默認 2、被動模式使用 PASV)
(3)命令與應答採用 7 爲 ASCLL 碼,每個命令由 4 個大寫字符組成,
(4)服務器響應狀態碼: 200(就緒) , 452(文件寫錯)
(5)文本文件傳輸、二進制文件傳輸(圖像文件)
(6)用戶接口
① 傳統 FTP
② 瀏覽器
③ FTP 下載工具(斷點續傳,高速)
(7)訪問控制:利用賬號控制訪問權限,需要先登錄
① 匿名賬號:用戶名: Anonymous,密 碼:guest
6. 電子郵件( TCP 連接)
(1) C/S 模式
(2) SMTP(簡單郵件傳輸協議) :發郵件
(3) POP3(郵件協議) :讀郵件
7. WEB 服務(TCP 連接)
(1)以 HTML 和 HTTP 爲基礎,提供統一的圖形用戶界面
(2) HTTP 請求服務全過程:連接,請求,應答,關閉
(3) HTML 語言:不區分大小寫
(4)安全性: ca 安全認證,安全套接層 SSL 安全控制級別: IP 地址限制、用戶驗證、 WEB 權限、 NTFS 權限
六、新型網絡運用
1. 即時通信
(1)音頻 /視頻聊天( UDP),應用共享( TCP),文件傳輸,文件共享,遊戲要求,遠程助理,白板
(2)通信模式
① C/S(服務器中轉) :信息交互需要通過轉中服務器
② P2P—點到點,服務器提供端口號和地址
(3)通信協議
① SIP 會話初始化協議——可在 YCP,UDP 上傳送
② XMPP —— XML 是核心,統一的選址方案,客戶端簡單
a)用戶代理,
b)代理服務器
c)重定向服務器
d)註冊服務器
2. 文件共享
(1)網絡文件系統 NFS——共享目錄和文件,與主機和操作系統無關,用 mount 命令
① 優點:佔用磁盤少, Home 目錄放在服務器
(2) Windows NetBIOS 協議
(3) Windows NetBIOS 協議
(4) CIFS 鎖定和解鎖
3. P2P 文件共享——起源 Napster,之後 BT(有中心服務器 torrent,用戶提供種子)
(1)六度分割理論
(2) Mzae(支持及時通信和 BBS ,支持在線收縮和文件目錄,支持多點斷電傳輸)
4. IPTV
(1)交互式多媒體,具有交互性和實時性
(2)業務:視頻點播,直播電視(組播) ,時移電視(存儲文件,採用點播)
(3)技術:視頻數字化,傳輸 IP 化,播發流媒體化
5. VOIP (IP 電話)——終端,網關,網守,多點控制單元
(1) PC-PC:全雙工聲卡,相同軟件(最早)
(2) PC-PHONE
(3) PHONE-PHONE: 雙方配置類似於調制解調器中
(4) SKYPE :採用 256 位的 AES 加密‘
6. 網絡搜索技術
(1)條目包括:標題,摘要, URL
(2)搜索引擎:搜索器、索引器、檢索器、用戶接口
① GOOGLE :分佈式爬行系統頁面採集技術,頁面等級技術,超文本匹配分
析技術
② 百度:智能性,可擴展性搜索技術,蜘蛛
七、網絡管理與網絡安全
1. 網絡管理——檢測和控制
(1)對象:硬軟件資源
(2)目標:網絡質量,穩定運轉,異種設備,安全,成本低,業務不單一
(3)功能:配置管理,故障管理,計費管理,性能管理,安全管理
① 配置:辨別,定義,控制,監視網絡對象,使網絡性能達到最優
② 故障:發現和排除故障,故障管理,恢復,預防
③ 性能:維護網絡質量和運行效率
④ 安全:隱蔽性,認證,完整性
(4)模式
① 集中式:至少有一個管理站
② 分佈式:不考慮拓撲結構,分散收集數據
(5)協議
① SNMP (簡單網絡管理協議):包含代理,收集數據方法——輪詢(缺乏實時性) 、基於中斷(實時性強,但信息量大)
② CMIP (公共管理協議):所有功能映射到應用層,採用報告機制。及時性
強,但複雜費用高
2. 網絡安全
(1)真實性、保密性、完整性、可用性、不可抵賴性、可控制性、可審查性
(2)策略——先進技術、嚴格安全管理、法律約束、安全教育
(3)安全等級:
① D1(客戶機系統 DOS,WINDOWS3X.WINDOWS9X ), C1, C2(服務器 linx.) ,B1, B2, B3, A1
② 中國:五個級別
a)自主保護級
b)指導保護級(一定危害)
c)監督保護級(較大危害)
d)強制保護級(嚴重危害)
e)專控保護劑(特大危害)
(4)目的:存儲安全、傳輸安全
(5)安全框架:
① 安全攻擊(被動—預防、主動—檢測、服務攻擊、非服務攻擊—利用漏洞—源路由攻擊和地址欺騙)
② 安全機制
③ 安全服務
(6)安全模型:必須有可信第三方,提供總裁
① 安全服務四方面:安全傳輸、信息保密、分配和共享祕密信息、通信協議
② 威脅:信息訪問威脅、服務威脅
3. 加密技術
(1)編碼特徵:加密算法(代換、置換) 、密鑰數、處理明文方法(分組密碼、流密碼)
(2)密碼分析:密碼分析攻擊、窮舉攻擊
(3)對稱密碼:
① DES(數字加密算法) : 64 明文, 56 密鑰,置換—— NIST
② 三重 DES:多個密鑰,三次加密,速度慢
③ AES (高級加密標準) :密鑰長度 128、 192、 256、分組長度 128 位
④ Blowfish: 分組長度 64 位,密鑰可變。置換和代換
⑤ RC5:分組和密鑰都可變
(4)非對稱密碼:
① 加密密鑰和解密密鑰不相同,但相關
② 應用:
a)加密 /解密
b)數字簽名
c)密鑰交換
③ RSA
a)既能用於加密,也能用於數字簽名
b)分組密碼:明文密文均是 0—(N-1),N 爲 1024 或 309 十進制
④ ELGAMA 算法
a)基於離散對數的公鑰密碼體質,橢圓曲線加密體現
b)密文長度是明文兩倍
c)基於揹包問題
(5)密鑰管理
① 分發:密鑰分發中心( KDC )
② 密鑰認證:
a)認證中心 CA(1.認證身份 2.頒發證書—數字簽名,全球唯一性)——可以從任何地方發出
b)消息認證:證實信息的源和宿,比否被修改,完整性
i 來源
ii 完整性——認證碼、篡改檢驗碼
iii 序號和時間
iv 模式:單向,雙向
v認證函數:加密函數、認證碼、散列函數
c)數字簽名——加密的消息摘要,附在消息後,防止抵賴
i 使用公鑰密碼體制
d)身份認證—— 1、能識別 2、只能識別,沒有其他作用
i 口令認證—— S/Key 協議 、令牌口令認證方案
ii 持證認證
iii 生物認證
e)認證技術
i 一次一密——請求應答機制、詢問應答機制
ii X.509 認證協議:公鑰加密
iii Kerberos 認證技術——美國麻省,爲 TCP/IP 網絡,可信第三方鑑別協議,對稱密鑰機制,一般採用 DES 算法,與網絡上每個實體密鑰不同
4. 安全技術應用
(1)安全電子郵件
① PGP——鑑別、機密性、壓縮、電子郵件兼容性、分段
a)數字簽名: DSS/SH 或 RSA/SHA
b)報文加密: ,沒有 AES
c)壓縮: ZIP
d)兼容: 64-BASE
e)分段:支持分段和重新裝備
f )四種密鑰:一次性會話的常規密鑰、公開密鑰、私有,密鑰、基於口令短語的常規密鑰, PGP 安裝後,爲用戶產生一個公共密鑰對
② S/MIME
a)功能:加密、簽名、透明簽名(簽名數據形成內容) 、簽名並加密
(2)網絡層安全: IPSEC
① 身份驗證頭( AH )封裝安全負責(ESP)
② 建立網絡邏輯連接,安全協定(SA),單工
③ AH :提供身份認證和數據完整性,沒有提供祕密性。 AH 頭在原有 IP 數據報數據(TCP 或 UDP)和 IP 頭之間
a) IP 頭+AH 頭+TCP 或 UDP
④ ESP:提供身份認證和數據完整性,密碼性。比 AH 更復雜
a) IP 頭+ESP 頭+TCP 或 UDP+ESP 尾+ESP 身份認證
(3) WEB 安全
① 服務器安全
② 瀏覽器安全
③ 服務器英語瀏覽器之間網絡通信安全
a)分爲:網絡級IPsec、傳輸級(在 TCP 上實現。安全套接觸 SSL,運輸層安全 TLS)、應用級(安全電子交易 SET)
5. 入侵與防火牆
(1)入侵
① 入侵者:假冒者、非法者、祕密用戶
② 入侵檢測技術
a)統計異常(閥值檢測——閥值和時間區、基於輪廓——刻畫過去行爲)
b)基於規則的檢測(異常檢測、滲透鑑別——依賴專家系統)
c)分佈式入侵檢測(局域網)
(2)防火牆
① 目標:內外通信量都必須經過防火牆、只有被授權通信才能過、對呀滲透免疫
② 特性:服務控制、方向控制、用戶控制、行爲控制
③ 功能:
a)定義單個阻塞點
b)提供安全與監視有關事情的場所c)可用於 IPSEC 平臺
④ 分別:包過濾服務器、應用級網關、電路級網關、堡壘主機
6. 病毒
(1)特點:不是獨立存在、破壞性、傳染性和潛伏性
(2)一般在可執行程序頭部,程序調用時,先執行病毒
(3)病毒獲得系統入口,會感染所有可執行病毒
(4)常見病毒:
① 宏病毒
② 電子郵件