計算機四級 網路工程師 考過指南
一、計算機網路的發展與形成
1. 基於 P2P以“非中心化的方式”的網路應用成為新的增長點
2. 計算機網路形成:
(1)計算機——終端(美國軍方)
(2)計算機——計算機
(3) ARPANET 及 OSI(高校, INTERNET 前生)
(4) INTERNET
3. 網路協議
(1) ISO 指定 OSI,國際認可
(2) TCP/IP ,業內公認,早於 OSI
4. 資訊高速公路:
非同步傳輸模式( ATM ),寬頻綜合業務數字網( B-ISDM ),高速區域網,交換區域網,虛擬網,無線網
5. 搜尋引擎是一種運用在 WEB 上的應用軟體系統
6. 寬頻都會網路
(1)包括核心交換網、接入網
(2)使用者接入網分三類:計算機網路、電信通訊網、廣播電視網(現在數字聚合,三網融合)
7. 無線網路:
(1)無線區域網( WLAN )
① 傳輸介質:微波、鐳射、紅外線
② IEEE801.11 制定
③ 運用領域:傳統區域網擴充、建築物之間互聯、特殊網路
④ 傳輸技術:紅外線、擴頻、窄帶微波
(2)發展
① 無線自組網( AD HOT ):自組織、對等、多跳
② 無線感測器網( WSN )將 ADHOT 於感測器結合,三要素是:感測器、感知物件、觀察者
③ 無線網狀網( WMM ):標準制定 IEEE 802.11S
④ 藍芽技術:標準制定 IEEE 802.15 ,特點:短距離,低功耗
8. 作業系統
(1) Window:
| 作業系統版本 | 伺服器系統 | 客戶機系統 |
|---|---|---|
| Windows NT系列 | NT server | NT workstation |
| Windows 9X | 95、98、ME | |
| Windows 2000系列 | Server、Advance Server、Datacenter Server | professional |
| Windows 2003系列 | Web、standard、Enterprise、Dataventer | |
| 其它 | Server 2008 | XP、Vista、7 |
(2) UNIX :小型機、 C 語言、易移植、多使用者多工、分時、採用樹狀目錄、系統由核心和外殼組成,核心直接對硬體起作用,外殼是使用者程式
(3)在微型機執行,核心效仿 Unix ,開放原始碼、多使用者多工、介面友好、可移植
二、計算機網路基本概念
1. 計算機網路定義
(1)觀點:廣義、資源共享(符合網路特徵) 、使用者透明
2. 分類
(1)區域網: 覆蓋範圍有限 (方圓幾公里) , 傳輸資料較快, 誤位元速率低。 從介質角度:共享式介質和交換式區域網
(2)都會網路:
(3)廣域網:最遠最大、速率低。從邏輯和功能:通訊子網、資源子網
(4)個人區域網: 10M 內
3. 網路拓撲結構
(1)分類:星型、環形、樹型、網狀型
① 星型:中心節點是可靠性瓶頸
② 環形:延遲確定,每個線路都是瓶頸
③ 樹型:適用於匯聚資料的
(2)傳輸引數
① 傳輸速率: S=1/T(T 為每位元所需要的時間) ,記 bps,每秒傳輸的位元數
② 頻寬:與傳輸速率有關
a)奈科斯特准則:有限頻寬、無噪聲通道—— Rmax=2B
b)香茗定理:有限頻寬、有隨機噪聲通道—— Rmax=B*log2(1+S/N)
③ 誤位元速率:平均誤位元速率要低於 10-9
(3)分包分組交換
① 早起交換分為:線路交換、儲存轉發交換
a)線路交換:線路建立、資料傳輸(實時,雙向) 、線路釋放
優點:實時性強,互動式會話類通訊
缺點:系統效率低,不具備資料儲存,糾錯功能
b)儲存轉發交換:報文交換、報文分組交換
② 現代交換
a)資料報方式: 不同分組經過不同路徑、到達目的節點可能亂序、 每個分組傳輸過程都帶目的地址和源地址、 傳輸延遲大,適合突發性通訊,不適合長報文,會話式通訊
b)虛電路方式: 在傳輸前源節點和目的節點建立連線、 順序連線、不攜帶目的地址, 源地址,無亂碼重複丟失,每個節點只需要進行差錯檢測不需要路由選擇, 每個節點可與多個節點建立
4. 網路體系結構
(1)網路協議
① 三要素
a)語法:格式和結構
b)語義:意義
c)時序:順序說明
(2)網路體系結構
① 第一個網路體系結構: IBM 的 SNA
a) OSI
i 定義了各層服務,服務與實現無關,不是一個標準,而是概念的框架ii 各個節點具有相同層次,相鄰層之間介面通訊,每層 使用下層服務並向上提供服務
b) TCP/IP( 傳輸控制協議 /網際網路協議 )
i 互聯層主要協議: IP ICMP IGMP ARP RARP
ii 傳輸層: 程序間端到端通訊,主要協議:TCP(可靠的面向連線的協議,無差錯 ),UDP (不可靠的無連線協議,不要求分 組順序到達)
iii 應用層:
遠端登入協議:Telent
檔案傳輸協議:FTP
簡單郵件傳輸協議:SMTP
域名服務協議:DNS
路由資訊協議:RIP
網路檔案協議:SNMP
超文字傳輸協議:HTTP
c)對比
| TCP/IP |
OSI參考模型 |
| 應用層 |
應用層 |
| 表示層 |
|
| 會話層 |
|
| 傳輸層 |
傳輸層 |
| 互聯層 |
傳輸層 |
| 主機-網路層 |
資料鏈路層 |
| 物理層 |
5. P2P:最大化的為“非集中式” ,不依賴 DNS
6. IEEE802.2 將資料鏈路層劃分為:
邏輯鏈路控制子層( LLC, 協議必相同) ,介質訪問控制子層 (MAC ,協議可不同 )
7. IEEE802.3 乙太網標準, 定義載波偵聽多路訪問 (CSMA/CD ) 介質訪問 MAC 子層與物理層標準
8. IEEE802.11 定義無線區域網介質訪問 MAC 子層與物理層標準
9. IEEE802.15 定義近距離個人無線網介質訪問 MAC 子層與物理層標準
10. IEEE802.16 定義寬頻無線區域網)介質訪問 MAC 子層與物理層標準
三、區域網技術
1. 與廣域網不同,儲存轉發方式變為共享介質與交換方式
2. 拓撲:
(1)匯流排型(共享介質)
① 解決衝突:載波偵聽多路訪問( CSMA/CD )、令牌匯流排( Token Bus)
② 所有節點通過網絡卡連線匯流排
③ 採用雙絞線、同軸電纜
④ 同一節點只能有一個節點通過匯流排傳送資料,衝突會傳輸失敗
⑤ 優點:結構簡單,易於實現。易於擴充套件、可靠性強
缺點:不易管理,故障診斷和隔離困難
(2)環形
① 資料傳輸方向確定,採用令牌環
(3)星型
3. 傳輸介質:雙絞線、同軸電纜、光纖,無線通道
4. 乙太網最核心技術:
介質訪問控制方法:載波偵聽多路訪問( CSMA/CD ),解決多個節點共享公用匯流排
5. 乙太網傳輸錯誤:
(1) CRC 正確,判定幀長度, “幀長度錯誤”
CRC 錯誤,判斷幀是否為 8 整數倍,是則“幀校驗錯誤” ,不是則“幀位元錯誤”
6. 乙太網實體地址, 按照 48 位編碼 (EUI-48 ), 12 個 12 進位制兩兩一組。
前三組公司,後三組生產商自配,允許分配實體地址為 247 個
7. 高速區域網
(1)解決方案
① 提高頻寬
a)快速乙太網— 802.3u
i 100BASE-TX : 2 對非遮蔽雙絞線,支援全雙工
ii 100BASE-T4 : 4 對非遮蔽雙絞線,不知道全雙工
iii 100BASE-FX :2 芯光纖,支援全雙工
b)千兆乙太網— 802.3z 或 802.3ab
i 1000BASE-T
ii 1000BASE-CX :遮蔽雙絞線
c)萬兆網 -802.3ae 不再使用雙絞線,只有全雙工
d) 40GBS 乙太網:使用波分複用技術
② 將大型區域網劃分
③ 將共享介質方式改為交換方式
8. 交換式區域網
(1)埠之間可有多個併發連線
(2)交換機利用“埠 /MAC 地址對映表” ,讀取源地址進行“地址學習”自動的學習
(3)交換機幀轉發方式
① 直接轉發——只讀取目的地址,延遲小,沒有差錯能力,不支援不同速率埠轉發
② 儲存轉發——完整接收檢錯再轉發、延遲大,有矯錯,支援不同速率
③ 改進的直接轉發——接收前 64 位元組,檢幀頭欄位
9. 虛擬區域網
(1)軟體方式實現,節點不收物理位置限制
(2)組網方式
① 用交換機埠定義虛擬網
a)一個埠自己能屬於一個組
b)轉移到另一個埠是,要重配置
② 用 MAC 定義虛擬網(基於使用者)
a)可以隨意移動節點,初始配置麻煩
③ 基於網路層定義虛擬網
a)可以隨意移動節點,效能差,檢查網路層地址難
④ 基於廣播組
a)可靈活元件,可跨越區域網與廣域網互聯
(3)優點:方便管理、安全性、改善網路服務
10. 無線區域網
(1)紅外
① 視距方式傳輸:定向、全方位、漫反射
② 通訊安全號,抗干擾性強、簡單易管理、傳輸距離受限
(2)擴頻——犧牲頻頻寬度來提高抗干擾性和安全性
① 跳頻——發收採用相同跳頻系列
② 直接序列——發收採用相同偽隨機碼,所有接受節點使用相同頻段
(3)窄帶微波:微波無線電
(4) MAC 層—— CSMA/CA
① 分類
a)無爭用服務(PCF):中心控制節點
b)爭用服務(DCF)
② 802.11 協議
| 標準名稱 | 標準描述 |
|---|---|
| 802.11a | 5G Hz波段,速率54Mbps |
| 802.11b | 2.4G Hz波段,速率11Mbps |
| 802.11g | 2.4G Hz波段,速率54Mbps |
| 802.11n | 5G Hz波段,速率100Mbps |
| 802.11i | 增強無線通訊安全的規範 |
| 802.11e | 服務質量QoS |
四、 INTERNET 基礎
1. Internet 構成:通訊線路、路由器、主機、資訊資源
2. 接入方式
(1)電話網——需要調變解調器 (調製: 數字—模擬、 解調: 模擬—數字) , 速率 56K
(2) ADSL ——使用電話線, 通過 ADSL 調變解調器, 具有網橋和路由器, 分上下行
(3)使用 HFC——有線電視網,混合光纖和同軸電纜。
(4)資料通訊線路
3. IP 協議
(1) IP 服務特點:不可靠、面向無連線、盡最大努力
(2) IP 網際網路特點:隱藏底層物理網路、不制定網路拓撲也不要去網路全連線、資訊可跨網、平等對待每個網路
(3) IP 地址作用:用於標識身份,遮蔽實體地址的差異,標識網路連線
① 由 32 個位元組成
② 層次結構:網路號、主機號
③ 分類
a) A 類: 1~126
b) B 類: 128~191
c) C 類: 192~223
d)網路地址:網路位不變,主機位變 0
e)廣播地址:
i 直接廣播:網路位不變,主機位全 1
ii 有線廣播:網路位全 1,主機位全 1
f )回送地址: 127.0.0.0(用於本地測試)
g)本地地址: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
④ 子網編制(避免 IP 地址浪費)
a) LVSM (可變長子網掩碼,在無類物流中使用)
b) CIDR ()
⑤ 地址解析協議 ARP(已知 IP,求 MAC 的方法)
a)請求是廣播,迴應是單播
b)採用快取記憶體技術,時鐘更新保證正確性
c) IP 資料報—— IP 協議使用的資料單元(總長度以 8b 為單位)
i 報頭區:源 IP 地址、目的 IP 地址(以 32 位雙位元組為單位)
ii 資料區(不校驗)
iii MTU :一個幀最多攜帶的資料量
iv 分段:資料報頭相同,最後一個數據段在頭部設定一個特別位,最終目的主機,重組。
v 分片:標識(區別不同資料報) 、標誌(是否分片,是否是最後一個) 、片偏移(分片位置, 8 位元組)
vi 選項:目的——控制和測試、包括——選項嗎,長度,選項資料(源路由,記錄路由,時間戳)
⑥ 差錯與控制報文 ICMP
差錯
a)典型運用: ping 和raceroute
b)特點: 1 沒有什麼特別優先權 2,還報告資料區前 64b 3,先把出錯報文丟棄
c)分類:目的地不可達、超時報告、引數出錯
控制
d) IP 層控制:
i 擁塞控制(路由處理太慢,傳入大於傳出,利用 ICMP 源抑制報文)
ii 路由控制(路徑非最優,繼續轉發併發送重定向 ICMP 報文)
(4)路由器
① 表驅動 IP 選路(路由表是選路依據, 隱藏主機資訊, 只表示目的網路地址)
a)下一站選路思想: (N—目標網路 ,R—下一站)
b)路由表建立(靜態—人工建立和管理,簡單可靠,不適用複雜網路,建立維護難, 容易出現路由環, 動態—自動學習, 路 由器執行相同路由選擇協議和相同選擇演算法)
i 路由協議:
(1)路由資訊協議 RIP:向量—距離( V-D)演算法 :週期性30s,過時路由 180s,通過跳數計算距離,向相鄰廣播路由資訊表特點:簡答易實現,收斂慢, 需要交換資訊大。 適用於變化不大的中小型網路
形成環路對策: 1、限制最大距離(15 最大)
2、水平分割
3、保持對策( 60s)
4、帶出發重新整理的毒性逆轉對策。
(2)開放式最短路進有限協議 OSPF:鏈路—狀態 (L-S)演算法: 週期性廣播自己與相鄰的連線關係,構成拓撲圖 特點:收斂速度快,支援服務類選路, 提供負載均衡和身份認證, 使用龐大複雜的網路, 缺點: 要求 cpu,頻寬 解決辦法 1、分割槽 2、指派路由器
c)靜態(2~10) RIP(10~50) OSPF(50 以上)
(5)組播
① 單播(一對一,實現個性化服務,網路瀏覽) ,廣播(有線電視) ,組播(一對一組,視訊點播,視訊會議,沒有糾錯)
② 特點:使用組地址、動態、底層硬體支援
③ 協議
a)組管理協議 IGMP (主機—路由器)
i V1:基本組成員查詢和報告
ii V2 增加快速
iii V3 指定接收不接受
b)組播路由協議(路由器—路由器,核心) :源地址、組地址、入介面、出介面,匹配前三個,獲取單播拓撲結構。
i 域內(密集型—頻寬充裕、稀疏型—頻寬不充裕)
ii 域間
(6) IPV6
① IPV4 地址侷限性:空間侷限性、效能問題、安全性、自動配置問題、服務質量 QoS 問題
② 128 位, ipv4 為 32 位
③ 單播、組播、任播(傳送到任意一個地址,一般最近地址)
④ 資料報:基本頭(40 個位元組) ,多個擴充套件頭,高層協議資料單元
⑤ 自動配置:有狀態(DHCP 支援,向 DHCP 多播發送請求) 、無狀態(64位字首, 64 為網路介面)
(7) TCP 和 UDP(傳輸層)
① TCP 傳輸控制協議(保證可靠性)——面向連線的,可靠的,全雙工
a)丟失與重發(確認機制——,連線初始序列號 32 位隨機號,沒收到確認報文,等待隨機時間重發,等待時間具有適應性,使用 KARN 演算法)
b)連線可靠性和優雅關閉——三次握手
c)TCP 緩衝,流控,視窗——視窗(緩衝區剩餘空間) :流量控制
d)TCP 連線與埠 :
| 應用層協議 | TCP埠號 |
|---|---|
| FTP-DATA | 20 |
| FTP | 21 |
| TELNET | 23 |
| SMTP | 25 |
| DOMAIN | 53 |
| POP3 | 110 |
| NNTP | 119 |
| IMAP | 143 |
telne(遠端登入)
SMTP:簡單郵件傳輸協議
DOMAIN: 域名傳輸協議
POP3:郵件下載協議
② UDP 使用者資料報協議——面向非連線,不可靠
a)可能出現丟失,亂序,重複,簡單高效
b)埠
| 應用層協議 | UDP埠號 |
|---|---|
| DOMAIN | 53 |
| BOOTPS | 67 |
| BOOTPC | 68 |
| TFTP | 69 |
| SNMP | 161 |
| SNMP-TRAP | 162 |
4. NAT 技術(解決地址短缺問題)
(1)靜態 NAT:內部地址與全域性地址一一對應
(2)動態 NAT
(3)網路地址埠轉換 NAPT (多對一)
五、 INTERNET 基礎服務
1. 客戶機 /伺服器模型
(1) WEB,FTP,EMAIL
(2)實現
① 通過端頭號解決特定服務
② 1、重複伺服器:先進先出 2、併發伺服器
2. P2P 對等模型(流媒體直播,檔案共享,協同工作,分散式搜尋)
(1)集中目錄式——在專門伺服器存放資源目錄(Napster,要求伺服器持續運轉)
(2)分散式非結構化——洪泛查詢, 適用規模小的網路 (Gnueteella, 採用 TTL 機制)
(3)分散式結構化——基於分散式散列表 DHT ,非中心化,自組織,可擴充套件性,健壯性,維護複雜。典型代表:pastry, tapestry, chord, CAN
(4)混合式——節點分為使用者節點, 搜尋節點, 索引節點。代表:skype、pplive、BT
3. 域名系統
(1)命名機制
① 原則:唯一性,便於管理,高效對映
② 域名書寫:字母,數字連字元,最長不超過 63,不區分大小寫
③
| 域名 | 含義 | 域名 | 含義 |
|---|---|---|---|
| com | 商業機構 | net | 網路組織 |
| edu | 教育機構 | int | 國際機構 |
| gov | 政府部門 | org | 其它非營利性組織 |
| mil | 軍事機構 | 國家/地址程式碼 | 各個國家或地區 |
④域名解析
a)自頂向下, 首先由本地域名伺服器請求, 可有伺服器和本級建立快取記憶體技術,提高效率,
b)遞迴解析(一次解析全部)反覆解析(一級級解析)
c)
4. 遠端登入 Telnet
(1)採用客戶機 /伺服器模型
(2)通過 TCP 連線(可靠的,埠號 23)
(3)網路虛擬終端 NVT 統一不同格式
5. FTP 服務
(1)採用 C/S 服務
(2)雙重連線:控制連線、資料連線( 1、主動模式—伺服器主動,使用 PORT,預設 2、被動模式使用 PASV)
(3)命令與應答採用 7 為 ASCLL 碼,每個命令由 4 個大寫字元組成,
(4)伺服器響應狀態碼: 200(就緒) , 452(檔案寫錯)
(5)文字檔案傳輸、二進位制檔案傳輸(影象檔案)
(6)使用者介面
① 傳統 FTP
② 瀏覽器
③ FTP 下載工具(斷點續傳,高速)
(7)訪問控制:利用賬號控制訪問許可權,需要先登入
① 匿名賬號:使用者名稱: Anonymous,密 碼:guest
6. 電子郵件( TCP 連線)
(1) C/S 模式
(2) SMTP(簡單郵件傳輸協議) :發郵件
(3) POP3(郵件協議) :讀郵件
7. WEB 服務(TCP 連線)
(1)以 HTML 和 HTTP 為基礎,提供統一的圖形使用者介面
(2) HTTP 請求服務全過程:連線,請求,應答,關閉
(3) HTML 語言:不區分大小寫
(4)安全性: ca 安全認證,安全套接層 SSL 安全控制級別: IP 地址限制、使用者驗證、 WEB 許可權、 NTFS 許可權
六、新型網路運用
1. 即時通訊
(1)音訊 /視訊聊天( UDP),應用共享( TCP),檔案傳輸,檔案共享,遊戲要求,遠端助理,白板
(2)通訊模式
① C/S(伺服器中轉) :資訊互動需要通過轉中伺服器
② P2P—點到點,伺服器提供埠號和地址
(3)通訊協議
① SIP 會話初始化協議——可在 YCP,UDP 上傳送
② XMPP —— XML 是核心,統一的選址方案,客戶端簡單
a)使用者代理,
b)代理伺服器
c)重定向伺服器
d)註冊伺服器
2. 檔案共享
(1)網路檔案系統 NFS——共享目錄和檔案,與主機和作業系統無關,用 mount 命令
① 優點:佔用磁碟少, Home 目錄放在伺服器
(2) Windows NetBIOS 協議
(3) Windows NetBIOS 協議
(4) CIFS 鎖定和解鎖
3. P2P 檔案共享——起源 Napster,之後 BT(有中心伺服器 torrent,使用者提供種子)
(1)六度分割理論
(2) Mzae(支援及時通訊和 BBS ,支援線上收縮和檔案目錄,支援多點斷電傳輸)
4. IPTV
(1)互動式多媒體,具有互動性和實時性
(2)業務:視訊點播,直播電視(組播) ,時移電視(儲存檔案,採用點播)
(3)技術:視訊數字化,傳輸 IP 化,播發流媒體化
5. VOIP (IP 電話)——終端,閘道器,網守,多點控制單元
(1) PC-PC:全雙工音效卡,相同軟體(最早)
(2) PC-PHONE
(3) PHONE-PHONE: 雙方配置類似於調變解調器中
(4) SKYPE :採用 256 位的 AES 加密‘
6. 網路搜尋技術
(1)條目包括:標題,摘要, URL
(2)搜尋引擎:搜尋器、索引器、檢索器、使用者介面
① GOOGLE :分散式爬行系統頁面採集技術,頁面等級技術,超文字匹配分
析技術
② 百度:智慧性,可擴充套件性搜尋技術,蜘蛛
七、網路管理與網路安全
1. 網路管理——檢測和控制
(1)物件:硬軟體資源
(2)目標:網路質量,穩定運轉,異種裝置,安全,成本低,業務不單一
(3)功能:配置管理,故障管理,計費管理,效能管理,安全管理
① 配置:辨別,定義,控制,監視網路物件,使網路效能達到最優
② 故障:發現和排除故障,故障管理,恢復,預防
③ 效能:維護網路質量和執行效率
④ 安全:隱蔽性,認證,完整性
(4)模式
① 集中式:至少有一個管理站
② 分散式:不考慮拓撲結構,分散收集資料
(5)協議
① SNMP (簡單網路管理協議):包含代理,收集資料方法——輪詢(缺乏實時性) 、基於中斷(實時性強,但資訊量大)
② CMIP (公共管理協議):所有功能對映到應用層,採用報告機制。及時性
強,但複雜費用高
2. 網路安全
(1)真實性、保密性、完整性、可用性、不可抵賴性、可控制性、可審查性
(2)策略——先進技術、嚴格安全管理、法律約束、安全教育
(3)安全等級:
① D1(客戶機系統 DOS,WINDOWS3X.WINDOWS9X ), C1, C2(伺服器 linx.) ,B1, B2, B3, A1
② 中國:五個級別
a)自主保護級
b)指導保護級(一定危害)
c)監督保護級(較大危害)
d)強制保護級(嚴重危害)
e)專控保護劑(特大危害)
(4)目的:儲存安全、傳輸安全
(5)安全框架:
① 安全攻擊(被動—預防、主動—檢測、服務攻擊、非服務攻擊—利用漏洞—源路由攻擊和地址欺騙)
② 安全機制
③ 安全服務
(6)安全模型:必須有可信第三方,提供總裁
① 安全服務四方面:安全傳輸、資訊保密、分配和共享祕密資訊、通訊協議
② 威脅:資訊訪問威脅、服務威脅
3. 加密技術
(1)編碼特徵:加密演算法(代換、置換) 、金鑰數、處理明文方法(分組密碼、流密碼)
(2)密碼分析:密碼分析攻擊、窮舉攻擊
(3)對稱密碼:
① DES(數字加密演算法) : 64 明文, 56 金鑰,置換—— NIST
② 三重 DES:多個金鑰,三次加密,速度慢
③ AES (高階加密標準) :金鑰長度 128、 192、 256、分組長度 128 位
④ Blowfish: 分組長度 64 位,金鑰可變。置換和代換
⑤ RC5:分組和金鑰都可變
(4)非對稱密碼:
① 加密金鑰和解密金鑰不相同,但相關
② 應用:
a)加密 /解密
b)數字簽名
c)金鑰交換
③ RSA
a)既能用於加密,也能用於數字簽名
b)分組密碼:明文密文均是 0—(N-1),N 為 1024 或 309 十進位制
④ ELGAMA 演算法
a)基於離散對數的公鑰密碼體質,橢圓曲線加密體現
b)密文長度是明文兩倍
c)基於揹包問題
(5)金鑰管理
① 分發:金鑰分發中心( KDC )
② 金鑰認證:
a)認證中心 CA(1.認證身份 2.頒發證書—數字簽名,全球唯一性)——可以從任何地方發出
b)訊息認證:證實資訊的源和宿,比否被修改,完整性
i 來源
ii 完整性——認證碼、篡改檢驗碼
iii 序號和時間
iv 模式:單向,雙向
v認證函式:加密函式、認證碼、雜湊函式
c)數字簽名——加密的訊息摘要,附在訊息後,防止抵賴
i 使用公鑰密碼體制
d)身份認證—— 1、能識別 2、只能識別,沒有其他作用
i 口令認證—— S/Key 協議 、令牌口令認證方案
ii 持證認證
iii 生物認證
e)認證技術
i 一次一密——請求應答機制、詢問應答機制
ii X.509 認證協議:公鑰加密
iii Kerberos 認證技術——美國麻省,為 TCP/IP 網路,可信第三方鑑別協議,對稱金鑰機制,一般採用 DES 演算法,與網路上每個實體金鑰不同
4. 安全技術應用
(1)安全電子郵件
① PGP——鑑別、機密性、壓縮、電子郵件相容性、分段
a)數字簽名: DSS/SH 或 RSA/SHA
b)報文加密: ,沒有 AES
c)壓縮: ZIP
d)相容: 64-BASE
e)分段:支援分段和重新裝備
f )四種金鑰:一次性會話的常規金鑰、公開金鑰、私有,金鑰、基於口令短語的常規金鑰, PGP 安裝後,為使用者產生一個公共金鑰對
② S/MIME
a)功能:加密、簽名、透明簽名(簽名資料形成內容) 、簽名並加密
(2)網路層安全: IPSEC
① 身份驗證頭( AH )封裝安全負責(ESP)
② 建立網路邏輯連線,安全協定(SA),單工
③ AH :提供身份認證和資料完整性,沒有提供祕密性。 AH 頭在原有 IP 資料報資料(TCP 或 UDP)和 IP 頭之間
a) IP 頭+AH 頭+TCP 或 UDP
④ ESP:提供身份認證和資料完整性,密碼性。比 AH 更復雜
a) IP 頭+ESP 頭+TCP 或 UDP+ESP 尾+ESP 身份認證
(3) WEB 安全
① 伺服器安全
② 瀏覽器安全
③ 伺服器英語瀏覽器之間網路通訊安全
a)分為:網路級IPsec、傳輸級(在 TCP 上實現。安全套接觸 SSL,運輸層安全 TLS)、應用級(安全電子交易 SET)
5. 入侵與防火牆
(1)入侵
① 入侵者:假冒者、非法者、祕密使用者
② 入侵檢測技術
a)統計異常(閥值檢測——閥值和時間區、基於輪廓——刻畫過去行為)
b)基於規則的檢測(異常檢測、滲透鑑別——依賴專家系統)
c)分散式入侵檢測(區域網)
(2)防火牆
① 目標:內外通訊量都必須經過防火牆、只有被授權通訊才能過、對呀滲透免疫
② 特性:服務控制、方向控制、使用者控制、行為控制
③ 功能:
a)定義單個阻塞點
b)提供安全與監視有關事情的場所c)可用於 IPSEC 平臺
④ 分別:包過濾伺服器、應用級閘道器、電路級閘道器、堡壘主機
6. 病毒
(1)特點:不是獨立存在、破壞性、傳染性和潛伏性
(2)一般在可執行程式頭部,程式呼叫時,先執行病毒
(3)病毒獲得系統入口,會感染所有可執行病毒
(4)常見病毒:
① 巨集病毒
② 電子郵件