51CTO-软考网络工程师复习笔记_不用看大纲第一章计算机基础知识
一、硬件知识
1、计算机系统的组成包括硬件系统和软件系统
硬件系统分为三种典型结构:
(1)单总线结构 (2)、双总线结构 (3)、采用通道的大型系统结构中央处理器CPU包含运算器和控制器。
2、指令系统
指令由操作码和地址码组成。
3、存储系统分为主存—辅存层次和主存—Cache层次
Cache作为主存局部区域的副本~用来存放当前最活跃的程序和数据。计算机中数据的表示
Cache的基本结构:Cache由存储体、地址映像和替换机构组成。
4、通道是一种通过执行通道程序管理I/O操作的控制器~它使CPU与I/O操作达到更高的并行度。
5、总线从功能上看~系统总线分为地址总线,AB,、数据总线(DB)、控制总线,CB,。
6、磁盘容量记计算
非格式化容量=面数*(磁道数/面)*内圆周长*最大位密度
格式化容量=面数*(磁道数/面)*,扇区数/道,*,字节数/扇区,
7、数据的表示方法
原码和反码
[+0]原=000...00 [-0]原=100...00 [+0]反=000 (00)
[-0]反=111 (11)
正数的原码=正数的补码=正数的反码
负数的反码:符号位不变~其余位变反。
负数的补码:符号位不变~其余位变反~最低位加1。
二、操作系统
操作系统定义:用以控制和管理系统资源~方便用户使用计算机的程序的集合。功能:是计算机系统的资源管理者。
特性:并行性、共享性
分类:多道批处理操作系统、分时操作系统、实时操作系统、网络操作系统。进程:是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。进程分为三种状态:运行状态,Running,、就绪状态(Ready)、等待状态(Blocked)。作业分为三种状态:提交状态、后备运行、完成状态。
产生死锁的必要条件:
(1)、互斥条件:一个资源一次只能被一个进程所使用,
(2)、不可抢占条件:一个资源仅能被占有它的进程所释放~而不能被别的进程强行抢占,
(3)、部分分配条件:一个进程已占有了分给它的资源~但仍然要求其它资源,
(4)、循环等待条件:在系统中存在一个由若干进程形成的环形请求链~其中的每一个进程均占有若干种资源中的某一种~同时每一个进程还要求,链上,下一个进程所占有的资源。
死锁的预防:1、预先静态分配法 2、有序资源使用法 3、银行家算法
虚拟存储器:是指一种实际上并不以物理形式存在的虚假的存储器。
页架:把主存划分成相同大小的存储块。
页:把用户的逻辑地址空间,虚拟地址空间,划分成若干个与页架大小相同的部分~每部分称为页。
页面臵换算法有:1、最佳臵换算法OPT 2、先进先出臵换算法FIFO 3、最近最少使用臵换算法LRU 4、最近未使用臵换算法NUR
虚拟设备技术:通过共享设备来模拟独占型设备的动作~使独占型设备成为共享设备~从而提高设备利用率和系统的效率。
SPOOL系统:实现虚拟设备技术的硬件和软件系统~又Spooling系统~假脱机系统。
作业调度算法:
1、先来先服务调度算法FIFO:按照作业到达系统或进程进入就绪队列的先后次序来选择。
2、优先级调度算法:按照进程的优先级大小来调度~使高优先级进程得到优先处理的调度策略。
3、最高响应比优先调度算法:每个作业都有一个优先数~该优先数不但是要求的服务时间的函数~而且是该作业为得到服务所花费的等待时间的函数。以上三种都是非抢占的调度策略。
三、嵌入式系统基本知识
定义:以应用为中心~计算机技术为基础~软硬件可裁剪~适应于特定应用系统~对功能、可靠性、成本、体积、功耗有严格要求的计算机系统。
特点:硬件上~体积小、重量轻、成本低、可靠性高等特点、使用专用的嵌入式CPU。软件上~代码体积小、效率高~要求响应速度快~能够处理异步并发事件~实时处理能力。
应用:从航天飞机到家用微波炉。
第二章、计算机网络概论
滑动窗口协议规定重传未被确认的分组~这种分组的数量最多可以等于滑动窗口
2
的大小~TCP采用滑动窗口协议解决了端到端的流量控制。
第三章数据通信基础
一、数据通信的主要技术指标
传输速率 S=(1/T)log2N
T—信号脉冲重复周期或单位脉冲宽度
n—一个脉冲信号代表的有效状态数~是2的整数值
log2N--单位脉冲能表示的比特数
信道容量:表征一个信道传输数据的能力。单位:bps
信道容量的计算:
无噪声 C=2H =2Hlog2N (奈奎斯特定理)
H—信道带宽 N—一个脉冲信号代表的有效状态数
有噪声
C=Hlog2(1+S/N) (香农公式)
H—信道带宽 S—信号功率 N—噪声功率
dB=10log10S/N,当S/N=1000时~信噪比为30dB
二、数据交换方式
延迟的计算
、电路交换 1
总延迟=链路建立时间+线路延迟+发送时长
2、虚电路分组交换
总延迟=链路建立时间+(每个分组在交换结点延迟+每个分组线路延迟+每个分组发送时长)*分组数
3、数据报分组交换
总延迟= (每个分组在交换结点延迟+每个分组线路延迟+每个分组发送时长)*分组数
三、 a、模拟信号à模拟传输
b、模拟信号à数字传输需要编码解码器,Codec,,模拟数据数字化分为三步:采样、量化、编码
采样:对于连续信号是通过规则的时间间隔测出波的振动幅度从而产生一系列数据。量化:采样得到的离散数据转换成计算机能够表示的数据范围的过程~即将样值量化成一个有限幅度的集合X,nT,。编码:用一定位数的二进制数来表示采样所得脉冲的量化幅度的过程。常用编码方法有PCM脉冲编码调制。 c、数字信号—>数字传输常用编码:归零码、不归零码、曼彻斯**、差分曼彻斯** IEEE802.3以太网使用曼彻斯特编码~IEEE802.5令牌环使用差分曼彻斯特编码~两者的编码效率是50%~FDDI、100BASE-FX使用了4B/5B编码和NRZ-I,不归零码,~编码效率是80%。
d、数字信号à模拟传输
需要调制和解调~调制:由发送端将数字数据信号转换成模拟数据信号的过程,
3
解调:在接收端把模拟数据信号还原为数字数据信号的过程~调制的方法:载波的表示--y=A(t)sin(wt+Ф)
,分为ASK振幅调制、FSK频率调制、PSK相位调制。
曼彻斯特编码:每比特的1/2周期处要发生跳变~由高电平跳到低电平表示1~由低电平跳到高电平表示0,差分曼彻斯特编码:有电平转换表示0~无电平转换表示1
,关于曼彻斯特编码~此处特别注意:1、0的表示方式并无明确强制规定~也可以规定由高电平跳到低电平表示0~由低电平跳到高电平表示1~而且现在大多数主流教程确实按照这种方法规定的。根据百度百科--曼彻斯特编码的词条: 曼彻斯特编码~常用于局域网传输。在曼彻斯特编码中~每一位的中间有一跳变~位中间的跳变既作时钟信号~又作数据信号,从高到低跳变表示"0"~从低到高跳变表示"1"。还有一种是差分曼彻斯特编码~每位中间的跳变仅提供时钟定时~而用每位开始时有无跳变表示"0"或"1"~有跳变为"0"~无跳变为"1"。
对于以上电平跳变观点有歧义:关于曼彻斯特编码电平跳变~在雷振甲编写的,,网络工程师教程,,中对曼彻斯特编码的解释为:从低电平到高电平的转换表示1~
从高电平到低电平的转换表示0~模拟卷中的答案也是如此~张友生写的考点分析中也是这样讲的~而《计算机网络,第4版,》中,P232页,则解
~低电平到高电平的转换为0。清华大学的《计释为高电平到低电平的转换为
1
算机通信与网络教程》《计算机网络,第4版,》采用如下方式:曼彻斯特编码
从高到低的跳变是 0 从低到高的跳变是 1 。
以上需特别注意~避免混乱。版主友情提示,
四、差错控制
CRC-CCITT G(X)=X16+X12+X5+1 HDLC的帧校验用
CRC-16
G(X)=X16+X15+X2+1
CRC-32 G(X)=X32+…+X+1 用在局域网中
海明码 m+k+1<2k
数据位m~要纠正单个错误~得出冗余位k必须取的最小值。码距为m、n中最小值~它能够发现,码距-1,位错~并可纠正,码距-1-1,位错,比如8421的码距为1。要检测出d位错~码字之间的海明距离最小值应为d+1。
CRC冗余码求法:(1)、如果信息位为K位~则其K-1次多项式可记为K(x),如信息1011001~则k(x)=x6+x4+x3+1,(2)、冗余位为R位~其R-1位记为R(x),如冗余位为1011~则R(x)=x3+x+1,(3)、发送信息为N=K+R,多项式为
T(x)=Xr*K(x)+R(x),Xr表示将K
(x)向左平移r位,(4)、冗余位产生过程:已知K(x)求R(x)的过程~一般应选一特定R次多项式G(x)(生成多项式)一般先事先商定好的~用G(x)去除Xr*K(x)得余式即为R(x)。R(x)=Xr*K(x)/G(x),运算规则异或运算~相同取0~不同取1。
4
五、压缩和解压缩方法
JPEG属于黑白文稿数据压缩系统。二维压缩技术是指在水平和垂直方向都进行了压缩~在压缩算法中属于二维压缩技术的是MR。MMR数据压缩系统是在MR的基础上该进而来的~它主要在压缩效率和容错能力方面进行了改进和提高。下列压缩技术中~MPEG属于动态图像压缩技术。
第四章、广域通信网
一、在电气性能方面EIA-RS232-C与CCITT的V.28建议致~在功能特性方面与CCITT的V.24建议书一致~RS-449则与CCITT的V.35建议书一致~它采用37引脚的插头座。
二、X.25公用数据网
X.25 是分组交换协议交换标准~公用数据网一般都用分组交换协议~所以
X.25就是公用数据网的协议标准。
X.25分为三层:物理层—采用X.21,链路层—采用LAP-B(链路访问平衡过程)~它是HDLC的子集,分组层—提供外部虚电路服务~使用X.25 PLP协议。
X.25又包括(1)HDLC协议--数据链路控制协议:面向字符的协议和面向比特的协议,HDLC定义了三种类型的站、两种链路配臵和三种数据传输方式,(2)PLP协议—分组级协议。支持永久虚电路PVC和交换虚电路SVC。
[希赛教育推荐:IT项目管理视频课程]
heavenyl 2007-9-30 17:59:53 [个人资料] [Blog][回复] [引用] 第1楼得分:0
就这些吗,
[计算机专业考研:计算机网络视频教程]
ocaction
2007-10-1 23:35:45 [个人资料] [Blog][回复] [引用] 第2楼得分:0 高手
5
[计算机专业考研:计算机网络视频教程]
cjfre 2007-10-5 7:32:37
[个人资料] [Blog][回复] [引用] 第3楼得分:0
三、帧中继网F.R
本质上仍是分组交换技术~但舍去了X.25的分组层~仅保留物理层和数据链路层~以帧为单位在链路层上进行发送、接收、处理~是简化了的X.25版本~是去掉了差错检测功能和纠错功能~只支持永久虚电路PVC~帧中继协议叫做LAP-D,Q.921,,链路层用它提供可靠的数据链路控制服务。
四、ISDN和ATM
ISDN将话音传输、图像传输、数据传输等多种业务综合到一个网络中。为分四个参考点R、S、T、U~ISDN设备有:(1)1类终端设备TE1—与ISDN网络兼容的
2)2类终端设备TE2—与ISDN网络不兼容的设设备~可直接连接NT1或NT2,(
备~连接ISDN网时需要使用终端适配器TA,(3)终端适配器TA~把非ISDN设备的信号转换成符合ISDN标准的信号,(4)、1类网络终结设备NT1~用户端网络设备~可以支持连接8台ISDN终端设备,(5)、2类网络终结设备NT2~可接大型用户的较多终端设备。
ISDN提供了一种数字化的比特管道~支持由TDM(时分多路复用)分隔的多个信道。常用的有2
种标准化信道:D信道—16kb/s数字信道~用于带外信令~传输控制信号,B信道—64kb/s数字PCM信道~用于语音或数字。ISDN比特管道主要支持2种信道的组合:BRI—基本速率接口2B+D,N-ISDN速率达144kbps,;PRI—基群速率接口,一次群~B-ISDN,~北美23B+D~1.544M(T1)~欧洲30B+D,2.048M(E1)。
N-ISDN在传送信令的D通路使用分组交换~而B-ISDN则使用快速分组交换~即异步传递方式,ATM,。
ISDN分为三层~第一层处理信令分帧~第二层处理分帧协议~第三层处理D信道的呼叫建立和拆卸协议~NT2提供数字数据与模拟电话交换功能。
ATM是宽带综合业务数字网B-ISDN的核心技术~常称B-ISDN为ATM网~它是一种高速分组交换传输模式~交换单位为固定长度的信元53字节~支持永久虚电
6
路PVC和交换虚电路SVC。
ATM各层的功能
层次子层功能与OSI的对应
高层对用户数据的控制高层
ATM适配层
汇聚子层CS 为高层数据提供统一接口第四层
拆装子层SAR 分割和合并用户数据
ATM层
虚通路和虚信道的管理~信元头的组装和拆分~信元的多路复用~流量控制
第三层
物理层传输会聚子层TC 信元校验和速率控制~数据帧的组装和分拆第二层物理介质子层PMD 比特定时,物理网络接入第一层
ATM信元包含5个字节的信元头—主要完成寻址功能,48个字节的数据—用来装载不同用户~不同业务的信息。信元头中包括:GFC—通用流量控制~进行接入流量控制~用在NUI中,PTI—有效载荷~用来区分用户信息与非用户信息,HEC—首部差错控制~进行多个或单个比特的纠错。
在交换过程中~当实施 VP 交换时~其中 VPl、VCI
的变化情况是VCI不变、VPI根据需要变化。若在交换过程中出现拥塞~该信息被记录在信元的CLP中。注:VP交换是把一困VC交换~VC交换是用交换机进行的。
AAL协议
AAL1:对应于A类业务。CS子层监测丢弃和误插入的信元~平滑进来的数据~提供固定速率的输出~并且进行分段。SAR子层加上信元顺序号和及其检测号和~以及奇偶校验位等。
AAL2:对应于B类业务。用于传输面向连接的实时数据流~不进行错误检验~只检查顺序。
AAL3/4:对应于C/D类业务。该协议用于面向连接的和无连接的服务~对信元错误和丢失敏感。AAL5:对应于C/D类业务~是计算机行业提出的协议。
7
ATM局域网的优点:信道利用率高~对于突发业务延时更小。
ATM
LANE—ATM局域网仿真包括四个协议:LEC局域网仿真客户端、LES局域网仿真服务器—完成MAC-to-ATM的地址转换、LECS局域网仿真配臵服务器、BUS广播和未知服务器。
五、SMDS交换式多兆位数据服务
是一种高速的WAN技术~通常在T载波线路上实施~采用的高速总线带宽可达155Mbps。SMDS与大量基于LAN的协议兼容~在欧洲是一种非常流行的WAN技术。
第五章、局域网和城域网
一、决定局域网特性的三种主要技术:传输介质、拓扑结构、介质访问控制方法
,协议,
二、IEEE802.3以太网采用CSMA/CD协议~使用曼彻斯特编码,CSMA/CD机制特点:先听后发、边听边发、冲突停止、随机延迟后重发,CSMA/CD对以太网中数据帧的最小帧长的要求:最小帧长=两站点间最大的距离/传播速度*传输速率
三、IEEE802.4使用令牌总线
令牌总线物理上为总线结构~利用802.3广播电缆的可靠性,逻辑上为环网:所有的站点组成1个环~每个站点按序分配1个逻辑地址~每个站点都知道在它前面和后面的站地址~最后一个站点后面相邻的站点是第一个站点。
四、IEEE802.5使用令牌环
令牌环是由高速数字通信信道和环接口组成~节点主机通过环接口连接到网内。
五、IEEE802.6使用分布队列双总线DQDB
DQDB由两条单向总线,一般用光纤介质,组成~所有的计算机都连接在上面。
8
它同时支持电路交换和分组交换两种服务~在大地理范围内提供综合服务~如数据话音、图像的高速传输等。
六、FDDI光纤分布数据接口
FDDI使用了和802.5类似的令牌环协议~是一种高性能的光纤令牌环局域网。它的令牌帧含有前导码~提供时钟同步信号。
七、ATM局域网
信道利用率高~对于突发业务延时更小~但实现复杂~它利用电路交换和分组交换实现。使用53字节的固定信元进行传输。
八、IEEE802.11的两种无线网络拓扑结构:(1)、基础设施网络~无线终端通过接入点,access point
AP,访问骨干网上的设备~或者互相访问~接入点如同一个网桥~负责在802.11和802.3MAC协议之间进行转换,(2)、特殊网络,Ad Hoc Networking,,是一种点对点连接~以无线网卡连接的终端设备之间可以直接通信。
无线局域网采用802.11系列标准~主要有4个子标准:
802.11b 标准的传输速度为11MB/S
802.11a 标准的连接速度可达54MB/S~与802.11a互不兼容。
802.11g 兼容802.11b与802.11a两种标准~这样原有的802.11b和802.11a 两种标准的设备都可以在同一网络中使用。
802.11z 是一种专门为了加强无线局域网安全的标准。
第六章、网络互连和互联网
TCP/IP是一组小的、专业化协议集~包括TCP、IP、UDP、ARP、ICMP~以及其它的一些被称为子协议的协议。
9
网络互连设备包括中继器、集线器,Hub物理层设备~相当于多端口的中继器,、网桥、路由器、网关。
网桥工作于数据链路层中的介质访问控制子层,MAC,~所以它包含:流控、差错处理、寻址、媒体访问等。分为(1)透明网桥:网桥自动学习每个端口所接网段的机器地址,MAC地址,~形成一个地址映象表~网桥每次转发帧时~先查地址映象表~如查到则向相应端口转发~如查不到~则向除接收端口之外的所有端口转
发,flood,。为了防止出现循环路由~可采用生成树算法网桥。(2)、源路由网桥,SRB,:在发送方知道目的机的位臵~并将路径中间所经过的网桥地址包含在帧头中发出~路径中的网桥依照帧头中的下一站网桥地址一一转发~直到到达目的地。
Internet的应用技术:域名系统,DNS,、简单网络管理协议,SNMP,、电子邮件及简单邮件传输系统,SMTP,、远程登录及TELNET协议、文件传输和FTP、网络新闻,USENET,、网络新闻传输协议,NNTP,、WWW和HTTP。
第七章、网络安全
一、威胁定义为对缺陷的潜在利用~这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。
二、传统密码系统又单钥密码系统又对称密码系统:加密解密所用的密钥是相同的或类似的~即由加密密码很容易推导出解密密码~反之亦然。常用的有DES数据加密标准~密钥为56位,后有改进型的IDEA国际数据加密算法~密钥为128位。
公钥密码系统又非对称密码系统:加密密钥和解密密钥是本质上不同的~不需要分发密钥的额外信道。有RSA密码系统~它可以实现加密和数字签名~它的一个比较知名的应用是SSL安全套接字,传输层协议,。
三、对照ISO/OSI参考模型各个层中的网络安全服务~在物理层可以采用防窃听技术加强通信线路的安全,在数据链路层~可以采用通信保密机进行链路加密,在
网络层可以采用防火墙技术来处理信息内外网络边界到进程间的加密~最常见的传输层安全技术有SSL,为了将低层安全服务进行抽象和屏弊~最有效的一类做法是可以在传输层和应用层之间建立中间件层可实现通用的安全服务功能~通过定义统一的安全服务接口向应用层提供身份认证、访问控制和数据加密。
10
防火墙技术一般可以分为两类:网络级防火墙,采用报文动态分组,和应用级防火墙,采用代理服务机制,~而后者又包括双穴主机网关、屏蔽主机网关、屏蔽子网网关。
防火墙定义:(1)所有的从外部到内部或从内部到外部的通信都必须经过它,(2)只有有内部访问策略的通信才能被允许通过,(3)系统本身具有很强的高可靠性。
防火墙基本组成:安全操作系统、过滤器、网关、域名服务、函件处理。
防火墙设计的主要技术:数据包过滤技术、代理服务技术。
IPSec协议不是一个单独的协议~它给出了应用于IP层上网络数据安全的一整套体系结构~包括网络认证协议AH、封装安全载荷协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换~向上提供了访问控制、数据源认证、数据加密等网络安全服务。网络安全与信息安全
、密码学、鉴别主要内容:1
2、访问控制、计算机病毒
3、网络安全技术
4、安全服务与安全机制
5、信息系统安全体系结构框架
6、信息系统安全评估准则
一、密码学
1、密码学是以研究数据保密为目的~对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。
2、对称密钥密码系统(私钥密码系统):在传统密码体制中加密和解密采用的是同一密钥。常见的算法有:DES、IDEA
3、加密模式分类:
,1,序列密码:通过有限状态机产生性能优良的伪随机序列~使用该序列加密信息流逐位加密得到密文。
,2,分组密码:在相信复杂函数可以通过简单函数迭代若干圈得到的原则~利用简单圈函数及对合等运算~充分利用非线性运算。
4、非对称密钥密码系统(公钥密码系统):现代密码体制中加密和解密采用不同的密钥。
实现的过程:每个通信双方有两个密钥~K和K,~在进行保密通信时通常将加密密钥K公开(称为公钥)~而保留解密密钥K,(称为私钥)~常见的算法有:RSA 二、鉴别
鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程~一般通过某种复杂的身份认证协议来实现。
1、口令技术
身份认证标记:PIN保护记忆卡和挑战响应卡
11
分类:共享密钥认证、公钥认证和零知识认证
,1,共享密钥认证的思想是从通过口令认证用户发展来了。
,2,公开密钥算法的出现为
2、会话密钥:是指在一次会话过程中使用的密钥~一般都是由机器随机生成的~会话密钥在实际使用时往往是在一定时间内都有效~并不真正限制在一次会话过程中。
签名:利用私钥对明文信息进行的变换称为签名
封装:利用公钥对明文信息进行的变换称为封装
3、Kerberos鉴别:是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份~该凭据是由KDC专门为客户和服务器方在某一阶段内通信而生成的。凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥~还有证明客户方拥有会话密钥的身份认证者信息。身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记是检测重放攻击。
4、数字签名:
加密过程为C=EB(DA(m)) 用户A先用自己的保密算法(解密算法DA)对数据进行加密DA(m)~再用B的公开算法(加密算法EB)进行一次加密EB(DA(m))。
解密的过程为m= EA (DB (C)) 用户B先用自己的保密算法(解密算DB)对密文C进行解密DB (C)~再用A的公开算法(加密算法EA)进行一次解密EA (DB ~B是无法依靠或修改的~所以A是不得抵赖的DA(m)(C))。只有A才能产生密文C
被称为签名。
三、访问控制
访问控制是指确定可给予哪些主体访问的权力、确定以及实施访问权限的过程。被访问的数据统称为客体。
1、访问矩阵是表示安全政策的最常用的访问控制安全模型。访问者对访问对象的权限就存放在矩阵中对应的交叉点上。
2、访问控制表(ACL)每个访问者存储有访问权力表~该表包括了他能够访问的特定对象和操作权限。引用监视器根据验证访问表提供的权力表和访问者的身份来决定是否授予访问者相应的操作权限。
3、粗粒度访问控制:能够控制到主机对象的访问控制
细粒度访问控制:能够控制到文件甚至记录的访问控制
4、防火墙作用:防止不希望、未经授权的通信进出被保护的内部网络~通过边界控制强化内部网络的安全政策。
防火墙的分类:IP过滤、线过滤和应用层代理
路由器过滤方式防火墙、双穴信关方式防火墙、主机过滤式防火墙、子网过滤方式防火墙
5、过滤路由器的优点:结构简单~使用硬件来降低成本,对上层协议和应用透明~无需要修改已经有的应用。缺点:在认证和控制方面粒度太粗~无法做到用户级别的身份认证~只有针对主机IP地址~存在着假冒IP攻击的隐患,访问控制也只有控制到IP地址端口一级~不能细化到文件等具体对象,从系统管理角度来看人工负担很重。
6、代理服务器的优点:是其用户级身份认证、日志记录和帐号管理。缺点:要想提供全面的安全保证~就要对每一项服务都建立对应的应用层网关~这就极大限制了新应用的采纳。
12
7、VPN:虚拟专用网~是将物理分布在不同地点的网络通过公共骨干网~尤其是internet联接而成的逻辑上的虚拟子网。
8、VPN的模式:直接模式VPN使用IP和编址来建立对VPN上传输数据的直接控制。对数据加密~采用基于用户身份的鉴别~而不是基于IP地址。隧道模式VPN 是使用IP帧作为隧道的发送分组。
9、IPSEC是由IETF制订的用于VPN的协议。由三个部分组成:封装安全负载ESP主要用来处理对IP数据包的加密并对鉴别提供某种程序的支持。~鉴别报头(AP)只涉及到鉴别不涉及到加密~internet密钥交换IKE主要是对密钥交换进行管理。
四、计算机病毒
1、计算机病毒分类:操作系统型、外壳型、入侵型、源码型
2、计算机病毒破坏过程:最初病毒程序寄生在介质上的某个程序中~处于静止状态~一旦程序被引导或调用~它就被激活~变成有传染能力的动态病毒~当传染条件满足时~病毒就侵入内存~随着作业进程的发展~它逐步向其他作业模块扩散~并传染给其他软件。在破坏条件满足时~它就由表现模块或破坏模块把病毒以特定的方针表现出来。
五、网络安全技术
1、链路层负责建立点到点的通信~网络层负责寻径、传输层负责建立端到端的通信信道。
、物理层可以在通信线路上采用某些技术使得搭线偷听变得不可能或者容易 2 被检测出。数据链路层~可以采用通信保密机进行加密和解密。
3、IP层安全性
在IP加密传输信道技术方面~IETF已经指定了一个IP安全性工作小组IPSEC 来制订IP安全协议IPSP和对应的internet密钥管理协议IKMP的标准。
,1,IPSEC采用了两种机制:认证头部AH~提前谁和数据完整性,安全内容封装ESP~实现通信保密。1995年8月internet工程领导小组IESG批准了有关IPSP 的RFC作为internet标准系列的推荐标准。同时还规定了用安全散列算法SHA来代替MD5和用三元DES代替DES。
4、传输层安全性
,1,传输层网关在两个通信节点之间代为传递TCP连接并进行控制~这个层次一般称作传输层安全。最常见的传输层安全技术有SSL、SOCKS和安全RPC等。
,2,在internet编程中~通常使用广义的进程信IPC机制来同不同层次的安全协议打交道。比较流行的两个IPC编程界面是BSD Sockets和传输层界面TLI。
,3,安全套接层协议SSL
在可靠的传输服务TCP/IP基础上建立~SSL版本3~SSLv3于1995年12月制定。SSL采用公钥方式进行身份认证~但是大量数据传输仍然使用对称密钥方式。通过双方协商SSL可以支持多种身份认证、加密和检验算法。
SSL协商协议:用来交换版本号、加密算法、身份认证并交换密钥SSLv3提供对Deffie-Hellman密钥交换算法、基于RSA的密钥交换机制和另一种实现在Frotezza chip上的密钥交换机制的支持。
SSL记录层协议:它涉及应用程序提供的信息的分段、压缩数据认证和加密SSLv3提供对数据认证用的MD5和SHA以及数据加密用的R4主DES等支持~用来对数据进行认证和加密的密钥可以有通过SSL的握手协议来协商。
SSL协商层的工作过程:当客户方与服务方进行通信之前~客户方发出问候,
13
服务方收到问候后~发回一个问候。问候交换完毕后~就确定了双方采用的SSL协议的版本号、会话标志、加密算法集和压缩算法。
SSL记录层的工作过程:接收上层的数据~将它们分段,然后用协商层约定的压缩方法进行压缩~压缩后的记录用约定的流加密或块加密方式进行加密~再由传输层发送出去。
5、应用层安全性
6、WWW应用安全技术
,1,解决WWW应用安全的方案需要结合通用的internet安全技术和专门针对WWW的技术。前者主要是指防火墙技术~后者包括根据WWW技术的特点改进HTTP 协议或者利用代理服务器、插入件、中间件等技术来实现的安全技术。
,2,HTTP目前三个版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本~它只定义了最基本的简单请求和简单回答,HTTP1.0较完善~也是目前使用广泛的一个版本,HTTP1.1增加了大量的报头域~并对HTTP1.0中没有严格定义的部分作了进一步的说明。
,3,HTTP1.1提供了一个基于口令基本认证方法~目前所有的WEB服务器都可以通过"基本身份认证"支持访问控制。在身份认证上~针对基本认证方法以明文传输口令这一最大弱点~补充了摘要认证方法~不再传递口令明文~而是将口令经过散列函数变换后传递它的摘要。
,4,针对HTTP协议的改进还有安全HTTP协议SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基础上~提供了数据加密、身份认证、数据完整、防止否认等能力。
,5,DEC-Web
WAND服务器是支持DCE的专用Web服务器~它可以和三种客户进行通信:第一是设臵本地安全代理SLP的普通浏览器。第二种是支持SSL浏览器~这种浏览器向一个安全网关以SSL协议发送请求~SDG再将请求转换成安全RPC调用发给WAND~收到结果后~将其转换成SSL回答~发回到浏览器。第三种是完全没有任何安全机制的普通浏览器~WANS也接受它直接的HTTP请求~但此时通信得不到任何保护。
六、安全服务与安全与机制
1、ISO7498-2从体系结构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制。