1、计算机的四特点:1有信息处理的特性。2有程序控制的特性。3有灵活选择的特性。4有正确应用的特性。计算机发展经历 5 个重要阶段:1 大型机阶段。1958-103 2 小型机阶段。3 微型机阶段。4 客户机/服务器阶段。5 互联网阶段。1969-APARNET 1983 TCP/IP-Internet 1991 我国第一条 iternet 1994 年四大主干网计算机传统分类:大型机,小型机,PC 机,工作站,巨型机,小巨型 jsj计算机现实硬件分类:服务器,工作站,台式机,笔记本计算机,手持设备(PDA-个人数字处理)计算机指标:1位数。8 位是一个字节。2速度。MIPS 是表示单字长定点指令
2、的平均执行速度。MFLOPS 是考察单字长浮点指令的平均执行速度。平均寻道时间是指磁头沿盘片移动到需要读写的磁道所要的平均时间。平均等待时间是需要读写的扇区旋转到磁头下需要的平均时间。数据传输率是指磁头找到所要读写的扇区后,每秒可以读出或写入的字节数。6 可靠性。平均无故障时间 MTBF 和平均故障修复时间 MTTR 来表示。计算机应用领域:1 科学计算。2 事务处理。3 过程控制。4 辅助工程。5 人工智能。6 网络应用。一个完整的计算机系统由软件和硬件两部分组成。计算机硬件组成四个层次:1 芯片。2 板卡。3 设备 4 网络。奔腾芯片的技术特点:1。超标量技术。通过内置多条流水线来同时执行
3、多个处理,其实质是用空间换取时间。2超流水线技术。通过细化流水,提高主频,使得机器在一个周期内完成一个甚至多个操作,其实质是用时间换取空间。奔腾采用每条流水线分为四级流水:指令预取,译码,执行和写回结果。3分支预测。动态的预测程序分支的转移情况。4双 CACHE 哈佛结构:指令与数据分开。6 增强的 64 位数据总线。 内部总线是 32 位,外部总线增为 64 位。7 采用 PCI 标准的局部总线。PCI 外围部件互连;VESA 个人总线安腾芯片的技术特点: 64 位处理机,简明并行指令计算 EPIC。奔腾系列为 32 位,精简指令技术 RISC。286.386 复杂指令系统 CISC。主板由
4、五部分组成:CPU,存储器,总线,插槽以及电源。CPU 插座: Socket7,slot1主板规格:AT、Baby-AT 、ATX存储器容量:18MB 32MB 63MB芯片集:TX LX BX 数据端口:SCSI EDO AGP扩展槽:EISA PCI USB网络卡主要功能:1 实现与主机总线的通讯连接,解释并执行主机的控制命令。2 实现数据链路层的功能。3 实现物理层的功能。软件就是指令序列以代码形式储存储存器中。这些指令序列就是程序。软件由程序与相关文档组成。软件是程序以及开发、使用和维护程序所需的所有文档的总和。应有软件的种类:1 桌面应用软件 2 演示出版软件 3 浏览工具软件 4
5、管理效率软件 5 通信协作软件 6 系统维护软件开发的三个阶段:1 计划阶段。分为问题定义,可行性研究。 2 开发阶段。分为需求分析,总体设计,详细设计。3 运行阶段。主要是软件维护。在编程中,人们最先使用机器语言。因为它使用最贴近计算机硬件的 2 进制代码,所以为低级语言。符号化的机器语言,用助记符代替 2 进制代码,成汇编语言。把汇编语言源程序翻译成机器语言目标程序的工具,就成为汇编程序。把高级语言源程序翻译成机器语言目标程序的工具,有两种类型:解释程序与编译程序。多媒体技术就是对文本,声音,图象和图形进行处理 ,传输,储存和播发的集成技术。多媒体技术分为偏软件技术和偏硬件技术。多媒体硬件
6、系统的基本组成有:1CD-ROM。 2具有 A/D 和 D/A 转换功能。3具有高清晰的彩色显示器。 4 具有数据压缩和解压缩的硬件支持。多媒体的关键技术:1 数据压缩和解压缩技术。JPEG:实用与连续色调,多级灰度,彩色或单色静止图象。MPEG:运动图像 考虑音频、视频,系统。ISDN:综合业务数字网 H263 适合可视电话 超文本就是收集、储存和浏览离散信息以及建立和表现信息之间关系的技术。超文本是非线性组织当信息不限于文本时,称为超媒体。组成:1 结点。2 链。流媒体:数据网络上按时间先后次序传输和播出的连续音频、视频数据流3 个特点:连续性、实时性、时序性流媒体采用客户机/服务器和 P
7、2P 模式 位图图像 Photoshop,矢量图形 CorelDraw音频处理:声音数字转换软件,声音编辑软件,声音压缩软第 2 章 网络的基本概念信息技术涉及到信息的收集、储存、处理、传输与利用。计算机网络形成与发展大致分为如下 4 个阶段:1 第一个阶段可以追述到 20 世纪 50 年代。2 第二个阶段以 20 世纪 60 年代美国的APPANET 与分组交换技术为重要标志。3 第三个阶段从 20 世纪 70 年代中期开始。4 第四个阶段是 20 世纪 90 年代开始。计算机网络的基本特征:资源共享。计算机网络的定义:以能够相互共享资源的方式互连起来自治计算机系统的集合。广域网的功能:数据
8、处理与数据通信。从逻辑功能上可分为:资源子网与通信子网。通信控制处理机在网络拓扑结构中被称为网络节点。通信线路为通信处理机之间以及通信处理机与主机之间提供通信信道。现代网络机构的特点:微机通过局域网连入广域网,局域网与广域网、广域网与广域网的互联是通过路由器实现的。按传输技术分为:1 广播式网络;2 点-点式网络。采用分组存储转发与路由选择是点-点式网络与广播网络的重要区别之一。按规模分类:局域网,城域网与广域网。广域网的通信子网采用分组交换技术,利用公用分组交换网、卫星通信网和无线分组交换网互联。X25 网是典型的公用分组交换网,是早期广域网中广泛使用的通信子网。它保证数据传输的可靠性,但因
9、此增大了网络传输的延迟时间。在数据传输率高,误码率低的光纤上,使用简单的协议,以减少网络的延迟,而必要的差错控制功能将由用户设备来完成。这就是帧中继(FR,Frame Relay)技术产生的背景。异步传输模式 ATM 是新一代的数据传输与分组交换技术。各种城域网建设方案有几个相同点:传输介质采用光纤,交换接点采用基于 IP 交换的高速路由交换机或 ATM 交换机,在体系结构上采用核心交换层,业务汇聚层与接入层三层模式。城域网 MAN 介于广域网与局域网之间的一种高速网络。计算机网络拓扑是通过网中结点与通信线路之间的几何关系表示网络结构,反映出网络中各实体间的结构关系。主要是指通信子网的拓扑构型
10、。网络拓扑可以根据通信子网中通信信道类型分为:1 点-点线路通信子网的拓扑:星型,环型,树型,网状型。2 广播式通信子网的拓扑:总线型,树型,环型,无线通信与卫星通信型。描述数据通信的基本技术参数有两个:数据传输率与误码率。数据传输速率:在数值上等于每秒钟传输构成数据代码的二进制比特数,单位为比特/ 秒(bit/second),记作 bps.对于二进制数据,数据传输速率为:S1/T(bps),其中,T 为发送每一比特所需要的时间.奈奎斯特准则:信号在无噪声的信道中传输时,对于二进制信号的最大数据传输率 Rmax 与通信信道带宽B(B=f ,单位是 Hz)的关系香农定理:香农定理则描述了有限带宽
11、;有随机热噪声信道的最大传输速率与信道带宽; 信号噪声功率比之间的关系.协议分为三部分:(1)语法,即用户数据与控制信息的结构和格式;(2)语义,即需要发出何种控制信息,以及完成的动作与做出的响应 ;(3)时序,即对事件实现顺序的详细说明.将计算机网络层次模型和各层协议的集合定义为计算机网络体系结构。计算机网络中采用层次结构,可以有以下好处:1 各层之间相互独立。2 灵活性好。3 各层都可以采用最合适的技术来实现,各层实现技术的改变不影响其他各层。4 易于实现和维护。5 有利于促进标准化。该体系结构标准定义了网络互连的七层框架,即 ISO 开放系统互连参考模型。在这一框架中进一步详细规定了每一
12、层的功能,以实现开放系统环境中的互连性,互操作性与应用的可移植性。OSI 标准制定过程中采用的方法是将整个庞大而复杂的问题划分为若干个容易处理的小问题,这就是分层的体系结构办法。在 OSI 中,采用了三级抽象,既体系结构,服务定义,协议规格说明。ISO 将整个通信功能划分为七个层次,划分层次的原则是:(1)网中各结点都有相同的层次;(2)不同结点的同等层具有相同的功能;(3) 同一结点内相邻层之间通过接口通信;(4)每一层使用下层提供的服务,并向其上层提供服务; (5)不同结点的同等层按照协议实现对等层之间的通信.OSI 七层:1 物理层:主要是利用物理传输介质为数据链路层提供物理连接,以便透
13、明的传递比特流。2 数据链路层。在通信实体之间建立数据链路连接,传送以帧为单位的数据,采用差错控制,流量控制方法。3 网络层:通过路由算法,为分组通过通信子网选择最适当的路径。4 传输层:是向用户提供可靠的端到端服务,透明的传送报文。5 会话层:组织两个会话进程之间的通信,并管理数据的交换。6 表示层:处理在两个通信系统中交换信息的表示方式。7 应用层:应用层是 OSI 参考模型中的最高层。确定进程之间通信的性质,以满足用户的需要。TCP/IP 协议的特点:1 开放的协议标准,可以免费使用,并且独立于特定的计算机硬件与操作系统。2 独立于特定的网络硬件,可以运行在局域网、广域网,更适用于互联网
14、。3 统一的网络地址分配方案,使得整个 TCP/IP 设备在网中都具有唯一的地址。4 标准化的高层协议,可以提供多种可靠的用户服务。TCP/IP 参考模型可以分为:应用层,传输层,互连层,主机- 网络层。互连层主要是负责将源主机的报文分组发送到目的主机,源主机与目的主机可以在一个网上,也可以不在一个网上。功能:1 处理来自传输层的分组发送请求。2 处理接受的数据报。3 处理互连的路径、流控与拥塞问题。传输层主要功能是负责应用进程之间的端到端的通信。TCP/IP 参考模型的传输层定义了两种协议,即传输控制协议 TCP 和用户数据报协议UDP。TCP 协议是面向连接的可靠的协议;UDP 协议是无连
15、接的不可靠协议。主机-网络层负责通过网络发送和接受 IP 数据报。包括各种物理协议。地址解析协议 ARP/PARP 并不属于单独的一层,它介于物理地址与 IP 地址间,起着屏蔽物理地址细节的作用。IP 协议横跨整个层次。应用层协议分为:1 一类依赖于面向连接的 TCP。2 一类是依赖于面向连接的 UDP 协议。3另一类既依赖于 TCP 协议,也可以依赖于 UDP 协议。依赖 TCP 协议的主要有: 文件传送协议 FTP、电子邮件协议 SMTP 以及超文本传输协议HTTP 等.依赖 UDP 协议的主要有简单网络管理协议 SNMP;简单文件传输协议 TFTP.既依赖 TCP 又依赖 UDP 协议的
16、是域名服务 DNS 等.还包括:网络终端协议 TELNET;路由信息协议;RIP 网络文件系统 NFS.NSFNET 采用的是一种层次结构,可以分为主干网,地区网与校园网。Internet2 的初始运行速率可达 10Gbps.Internet2 在网络层运行的是 IPv4,同时也支持 IPv6业务.多媒体网络是指能够传输多媒体数据的通信网络。多媒体网络需要支持多媒体传输所需要的交互性和实时性要求。3 网融合:电信传输网 计算机网络和广播电视网 第3章 局域网基础从局域网应用角度看,局域网主要技术特点是:决定局域网的主要技术要素是:网络拓扑,传输介质与介质访问控制方法。局域网从介质访问控制方法分
17、为:共享介质局域网与交换式局域网。局域网拓扑构型总线局域网介质访问控制方式采用的是共享介质方式。主要特点介质访问控制方法是控制多个结点利用公共传输介质发送和接受数据的方法。环形拓扑构型星型拓扑中存在中心结点,每个结点通过点与点之间的线路与中心结点连接,任何两结点之间的通信都要通过中心结点转接。局域网传输介质有同轴电缆、双绞线、光纤与无线通信信道。共享介质访问控制方式主要为:1 带有冲突检测的载波侦听多路访问 CSMA/CD 方法。2 令牌总线方法(TOKEN BUS) 。3 令牌环方法(TOKEN RING) 。IEEE802参考模型:IEEE802参考模型是美国电气电子工程师协会在1980年
18、2月制订的,称为 IEEE802标准,这个标准对应于 OSI 参考模型的物理层和数据链路层,但它的数据链路层又划分为逻辑链路控制子层(LLC)和介质访问控制子层(MAC) 。a.802.1标准:包含了局域网体系结构、网络互连、以及网络管理与性能测试。b.802.2标准:定义了逻辑链路控制(LLC)子层功能及其服务。c.802.3标准:定义了 CSMA/CD 总线介质访问控制子层和物理层规范。d.802.4标准:定义了令牌总线(Token Bus)介质访问控制子层与物理层的规范。e.802.5标准:定义了令牌环(Token Ring)介质访问控制子层与物理层的规范。共享介质局域网可分为 Ethe
19、rnet,Token Bus,Token Ring 与 FDDI 以及在此基础上发展起来的100Mbps Fast Ethernet 、1Gbps 与10Gbps Gigabit Ethernet。交换式局域网可分为 Switch Ethernet 与 ATM LAN,以及在此基础上发展起来的虚拟局域网。光纤分布式数据接口 FDDI 是一种以光纤作为传输介质的高速主干网。FDDI 主要技术特点:(1)使用基于 IEEE802.5的单令牌的环网介质访问控制 MAC 协议;(2) 使用 IEEE802.2协议,与符合 IEEE802标准的局域网兼容;(3)数据传输速率为100Mbps,连网的结点数
20、小于等于1000, 环路长度为100km;(4)可以使用双环结构,具有容错能力;(5)可以使用多模或单模光纤;(6)具有动态分配带宽的能力,能支持同步和异步数据传输.交换局域网的基本结构局域网交换机工作原理:“端口号/MAC 地址映射表”的建立与维护-地址学习根据交换机的帧转发方式,交换机可以分为3类:1 直通交换方式。2 存储转发交换方式。3 改进直通交换方式。局域网交换机的特性:1 低交换传输延迟。2 高传输带宽。3 允许10Mbps/100Mbps。4 局域网交换机可以支持虚拟局域网服务。虚拟网络(VLAN)是建立在交换技术基础上的。虚拟网络是建立在局域网交换机或 ATM 交换机上的,它
21、以软件的形式来实现逻辑组的划分与管理,逻辑工作组的结点组成不受物理位置的限制。网卡是网络接口卡 NIC 的简称 ,是构成网络的基本部件。网卡分类:按网卡支持的计算机种类:标准以太网卡。PCMCIA 网卡(用于便携式计算机) 。按网卡支持的传输速率分类:普通的10Mbps 。高速的100Mbps 网卡。10/100Mbps 自适应网卡。1000Mbps 网卡。按网卡支持的传输介质类型分类:双绞线网卡。粗缆网卡。细缆网卡。光纤网卡。普通的集线器两类端口:一类是用于连接接点的 RJ-45端口,这类端口数可以是8,12,16,24等。另一类端口可以是用于连接粗缆的 AUI 端口,用于连接细缆的 BNC
22、 端口,也可以是光纤连接端口,这类端口称为向上连接端口。路由器或网关是实现局域网与广域网、广域网与广域网互连的主要设备。数据链路层互连的设备是网桥。网桥在网络互连中起到数据接收,地址过渡与数据转发的作用,它是实现多个网络系统之间的数据交换。网络层互连的设备是路由器。如果网络层协议不同,采用多协议路由器。传所谓网络互连,是将分布在不同地理位置的网络,设备相连接,以构成更大规模的互联网络系统,实现互联系统网络资源的共享。网络互连的功能有以下两类:1 基本功能。2 扩展功能。网桥是在数据链路层上实现不同网络互连的设备。网桥的基本格式有:网桥在局域网中经常被用来将一个大型局域网分成既独立又能互相通信的
23、多个子网的互连结构,从而可以改善各个子网的性能与安全性。基于这两种标准(IEEE802.1,802.5)的网桥分别是:1 透明网桥(各网桥) ;2 源路选网桥(源结点)路由器是在网络层上实现多个网络互连的设备。需要每个局域网网络层以上高层协议相同,数据链路层与物理层协议可以不同。第4章 网络操作系统网络操作系统,是能利用局域网低层提供的数据传输功能,为高层网络用户提供共享资源管理服务,提供各种网络服务功能的局域网系统软件。操作系统的管理功能:1)进程管理 DOS 启动函数 EXEC Wingdows 是 GreateProcess2)内存管理 实现内存的分配与回收,存储保护以及内存的扩充3)文
24、件系统 I/O 文件简单任务 在 DOS 里为 FAT 在 Windows 里为 VFAT在 IBM 的操作系统的 OS/2里为 HPFS4)设备 IO 键盘、鼠标、显示器、打印机等硬件操作系统的结构:驱动程序、内核、接口库、外围组件操作系统的结构:简单结构、层次结构、微内核结构、垂直结构、虚拟机结构网络操作系统(NOS)是指能使网络上各个计算机方便而有效的共享网络资源,为用户提供所需要的各种服务的操作系统软件。基于 WEB 的操作系统称为 WebOs,是一个运行于网页浏览器的虚拟操作系统网络操作系统的基本任务是:屏蔽本地资源与网络资源的差异性,用户提供各种基本网络服务功能,完成网络共享系统资
25、源的管理,提供网络操作系统安全性服务。网络操作系统分为两类:面向任务型 NOS 与通用型 NOS。网络操作系统经历了从对等结构与非对等结构演变的过程。 非对等结构网络操作系统,将连网结点分为以下两类:1 网络服务器。2 网络工作站。虚拟盘体可以分为以下三类:专用盘体,共用盘体与共享盘体。基于文件服务的网络操作系统,分为两部分:1 文件服务器。2 工作站软件。典型的局域网可以看成由以下三个部分组成:网络服务器,工作站与通信设备。网络操作系统的基本功能有:1 文件服务(文件句柄-打开文件的惟一的识别) ;2 打印服务;3 数据库服务;4 通信服务;5 信息服务;6 分布式服务;7 网络管理服务;8
26、 Internet/Internet 服Windows NT SERVER 操作系统是以“域”为单位实现对网络资源的集中管理。GUI 图形用户界面主域控制器(PDC)与备份域控制器(BDC ) 。Windows NT 的特点:内置4种标准网络协议:1.TCP/IP 协议。2.Microsoft 公司的 MWLink 协议。3.NetBIOS 的扩展用户接口(NetBEUI) 。4.数据链路控制协议。Windows NT 的优缺点1)兼容性及可靠性 2)便于安装及使用 3)优良的安全性 管理复杂、开发环境差Windows2000 Server 操作系统活动目录管理-目录+目录服务基本管理单位是域
27、,采用树状逻辑结构域还划分为组织单元 OU-下级组织单元不分主控制域和备份控制域,采用多主机复制方式不分全局组和本地组,使用 DNS 域名服务Windows Server 2003操作系统-互操作性Windows Server 2008 -虚拟化技术,增强平台的可靠性提高安全性、广泛适合网络解决方案NetWare 操作系统是以文件服务器为中心的,它由三个部分组成:文件服务器内核,工作站外壳与低层通信协议。工作站运行的重定义程序 NetWare Shell 负责对用户命令进行解释。在 NetWare 环境中,访问一个文件的路径为: 文件服务器名/卷名:目录名子目录名文件名用户分为:1 网络管理员
28、。通过设置用户权限来实现网络安全保护措施。2 组管理员。3 网络操作员。4 普通网络用户。NetWare 的安全保护方法NetWare 操作系统的系统容错技术主要是以下三种:1三级容错机制。第一级系统容错 SFT I 采用了双重目录与文件分配表,磁盘热修复与写后读验证等措施。第二级系统容错 SFT II 包括硬盘镜像与硬盘双工功能。第三级系统容错 SFT III 提供了文件服务器镜像功能。2事务跟踪系统 TTS:NetWare 的事务跟踪系统用来防止在写数据库记录的过程中因为系统故障而造成数据丢失。3 UPS 监控NetWare 的优缺点:1)强大的文件及打印服务能力 2)良好的兼容性及系统容
29、错能力 3)比较完备的安全措施IntranetWare 操作系统IntranetWare 操作系统的主要特点:1 IntranetWare 操作系统能建立功能强大的企业内部网络。2 IntranetWare 操作系统能保护用户现有的投资。3 IntranetWare 操作系统能方便的管理网络与保证网络安全。Novell 目录服务 NDS4 IntranetWare 操作系统能集成企业的全部网络资源。 5 IntranetWare 操作系统能大大减少网络管理的开支。Linux 操作系统:低价格,源代码开放,安装配置简单。Unix 网络操作系统-贝尔实验室各大公司的 UNIX 系统:IBM 公司的
30、 AIX 系统(虚拟技术) 、Sun 公司的 Solaris(Java 控制台) 、HP 的 HPUX(容量配置)UNIX 的标准化:相当复杂 分裂的两个阵营:一个是 UNIX 国际(UI) ATT 和 Sun 为首;另一个是开放系统基金会(OSF), 以 IBM、HP、DEC8大特性:多用户多任务分时;内核(贴近硬件)与外壳(用户程序,贴近用户) ;C 语言;Shell 语言;树状;进程对换Linux 操作系统-芬兰赫尔辛基大学 Novell 的 SUSE Linux Red Hat(虚拟化、身份管理、高可用性)自由软件,具有开放性;多用户多任务;标准兼容性4部分组成:内核(运行程序、管理核
31、心程序) 、外壳(互操作接口) 、文件系统、应用程序第五章 因特网基础因特网主干网:ANSNET。从网络设计者角度考虑,因特网是计算机互联网络 vs 从使用者角度考虑,因特网是信息资源网。因特网中的通信线路归纳起来主要有两类:有线线路和无线线路。因特网主要由通信线路,路由器,服务器和客户机,信息资源四部分组成。所有连接在因特网上的计算机统称为主机。服务器就是因特网服务与信息资源的提供者.客户机是因特网服务和信息资源的使用者。Internet 的接入四种方法:通过电话网;ADSL;HFC;数据通信线路公用电话交换网 PSTN 非对称数字用户线路 ADSL电话网-家庭使用- 调制解调器ADSL-家
32、庭及中小型企业分为上行与下行两个通道-下行速度大于上行上行16640Kb 每秒;下行1.59Mb 每秒ADSL 调制解调器= 网桥=路由器有线电视网 CATV 混合光纤 软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏;更改;泄露,系统连续; 可靠; 正常地运行,网络服务不中断.网络安全的基本要素是实现信息的机密性、完整性、可用性和合法性。国家计算机安全中心 NCSC-可信任计算机标准评估准则 TCSEC,也称橘皮书网络安全等级划分 A、B、C、D4类,A 类安全等级最低、D 类安全等级最低1 D1级。D1级计算机系统标准规定对用户没有验证。例如 DOS,WINDOS3.X 及
33、WINDOW 95(不在工作组方式中) 。Apple 的 System7。X。2 C1级提供自主式安全保护,它通过将用户和数据分离,满足自主需求。3 C2级为处理敏感信息所需要的最底安全级别。C2级别进一步限制用户执行一些命令或访问某些文件的权限,而且还加入了身份验证级别。例如 UNIX 系统。XENIX。Novell 3。0或更高版本。Windows NT。4 B1级是第一种需要大量访问控制支持的级别。安全级别存在保密,绝密级别。5 B2要求计算机系统中的所有对象都要加上标签,而且给设备分配安全级别。6 B3级要求用户工作站或终端通过可信任途径连接到网络系统。而且这一级采用硬件来保护安全系统
34、的存储区。B3级系统的关键安全部件必须理解所有客体到主体的访问。7 A1 最高安全级别,表明系统提供了最全面的安全。第一级自主保护级,不危害国家利益第二级指导保护级,一般损害第三级监督保护级,较大损害第四级强制保护级,严重损害第五级专控保护级,特别严重损害网络安全性是保护网络程序、数据或设备包括:保护信息资源、保护客户机和用户、保证私有性网络安全:信息的存储安全和传输安全存储安全 静态 传输安全-动态1监听2假冒3篡改4否认5重放国际电信联盟 ITU-T 推荐方案 X.800,即 OSI 安全框架包括三个部分:安全攻击、安全机制、安全服务X.800将安全攻击分为两类:主动攻击和被动攻击被动攻击
35、的特点是对传输进行偷听或监视。其目的是获得正在传送的信息。被动攻击有:泄露信息内容和通信量分析等。被动攻击重点是预防,不是检测,不易察觉主动攻击涉及篡改数据流或伪造数据流,它包括伪装、重放、消息篡改和分布式(拒绝服务)等。1伪装:某实体假装别的实体重放涉及被动捕获数据单元以及后来的重新发送,以产生未经授权的效果。2重放:将获得的消息再次发送,在非授权情况下传输3消息篡改:意味着改变了合法消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。4拒绝服务(DoS ):禁止对通信工具的正常使用或管理通信设施。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断,这可以通过使网络失效而实现
36、,或通过消息过载使网络性能降低。5分布式拒绝服务(DDoS)主动攻击易检测,难预防,防止主动攻击的做法是对攻击进行检测,并从它引起的中断或延迟中恢复过来。从网络高层协议角度看,攻击方法可以概括为:服务攻击与非服务攻击。服务攻击是针对某种特定网络服务的攻击。非服务攻击不针对某项具体应用服务,而是基于网络层等低层协议进行的。非服务攻击利用协议或操作系统实现协议时的漏洞来达到攻击的目的,是一种更有效的攻击手段。安全机制用来保护系统免受监听、组织安全攻击、恢复系统机制X.800区分可逆和不可逆加密机制不可逆加密包括 Hash 算法、消息认证码,用于数字签名和消息认证的应用网络安全模型:1可信的第三方2
37、门卫功能程序引起的威胁:信息访问威胁、服务威胁密码学包含两个分支:密码编码学和密码分析学。原始的消息叫做明文。加密后的消息称为密文。这种变换叫做加密。加密的逆过程称为解密。对明文进行加密所采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。1 按将明文转化为密文的操作类型分为。所有的加密算法两个原理:代换与置换代换法Caesar 密码、单表代换密码、Hill 密码、多表代换密码、一次一密、playfair 密码置换密码- 栅栏技术2 按明文的处理方法可分为:分组密码和流密码。3 按密钥的使用个数分为:对称密码体制(使用相同的密钥)和非对称密码体制。如果发送方使用的加密密钥和接受
38、方使用的解密密钥相同,或从其中一个密钥易于的出另一个密钥,这样的系统叫做对称的,单密钥或传统密码。如果发送放使用的加密密钥和接受方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统就叫做不对称的,双钥密码或公钥密码。数据加密技术可以分为3类:对称型加密,不对称型加密和不可逆加密。对称加密使用单个密钥对数据进行加密或解密。不对称加密算法其特点是有两个密钥,只有两者搭配使用才能完成加密和解密的全过程。不对称加密的另一用法称为“数字签名”。不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。攻击密码
39、的体制:密码分析学、穷举攻击唯密文的攻击难度最大,但最容易防范加密算法起码能经受住已知明文攻击才行对称密码:明文、加密算法、密钥、密文、解密算法对称加密算法有: DES; TDEA (或称3DES);RC-5; 高级加密标准 AES、Blowfish 算法等。Blowfish 算法被认为是当今最好最安全的分组密码算法。数据加密算法 EDS-国家标准与技术研究所 NIST 采用的 FIPSPUB46,在穷举攻击下脆弱64位分组长度和56位密钥长度AES分组长度为128位、密钥长度为128、192、256Blowfish 算法是对称分组密码。可变密钥长度、分组长度为64位。算法由密钥扩展和数据家秘
40、密组成数据加密由一个简单函数迭代16论RC5参数可变的分组秘密算法,可变参数为:分组大小、密钥大小和加密轮数使用3中运算:异或、加、循环公钥密钥加密又叫做非对称加密。是建立在数学函数基础上的一种加密方法,不是基于置换和代换技术公钥密码体制有两个密钥:公钥和私钥。公钥密码体制有基本的模型,一种是加密模型,一种是认证模型。它的应用有:1加密解密2数字签名3密钥交换法一1978年 RSA 体制被认为是现在理论上最为成熟完善的一种公钥密码体制,既能数据加密也用于数字签名公钥(n,e) 私钥 (n,d)公式:公钥私钥数目 m=密文 c 的 e 或 d 次方 mod n法二1984ELGamal 算法公钥
41、密码体制和椭圆曲线加密体系,既能用于数据加密也用于数字签名法三背包加密算法-MH 算法,少有人用密钥分发中心 FDC-是服务器证书权威机构(CA)是用户团体可信任的第三方。用来验证一个公共密钥是否属于一个特殊实体负责将公共密钥与特殊实体绑定,证明身份的真实性和发放证书国际电信联盟 ITU 和 IETF 制定了认证中心的标准ITUX.509定义了认证的特殊语法顺序号-CA 分发证书的唯一标识数字证书是一条数字签名的消息,它通常用与证明某个实体的公钥的有效性。数字证书是一个数字结构,具有一种公共的格式,它将某一个成员的识别符和一个公钥值绑定在一起。认证技术是防止主动攻击的重要技术,它对于开放环境中
42、的各种信息系统的安全有重要作用。认证是验证一个最终用户或设备的声明身份的过程。有关认证使用的技术主要有:消息认证,身份认证和数字签名。消息认证是意定的接收者能够检验收到的消息是否真实的方法。又称完整性校验。消息认证的内容包括为:1 证实消息的信源和信宿。2 消息内容是或曾受到偶然或有意的篡改。3 消息的序号和时间性是否正确。认证消息的完整性的两条基本途径:1采用消息认证码 MAC 2采用篡改检测码 MDC3认证消息的序号和时间-阻止消息的重放攻击常用的方法有消息的流水作业号、随机数认法和时间戳消息认证的模式:单向和双向认证的函数:信息加密函数 MEF、信息认证码 MAC散列函数 HF-将任意长
43、度的信息映射成固定长度常用的散列函数有:.消息摘要 5(MD5)算法.安全散列算法(SHA).MD5的4部曲得到128位信息摘要:填充、附加、初始化累加器、进行主循环SHA-1安全哈希算法,类似于 MD4-160位信息摘要消息认证用来保护通信双方免受任何第三方的攻击,但无法阻止通信双方的互相攻击基于公钥密码体制的数字签名,包括普通数字签名和特殊数字签名。普通数字签名的算法有 RSA、ELGamal 、DES 、DSA 、椭圆曲线数字签名等、特殊包括代理签名、盲签名、群签名等美国联邦政府对有限域上的离散函数制定了标准 DSS数字签名没有提供消息内容的机密性.身份认证常用的方法:口令认证、持证认证
44、、生物识别授权是把访问权授予某一个用户,用户组或指定系统的过程。访问控制是限制系统中的信息只能流到网络中的授权个人或系统。身份认证大致分为3类:1 个人知道的某种事物。2 个人持证3 个人特征。1账户名口令认证机制是被广泛研究和使用的一种身份验证方法,也是最实用的认证系统所依赖的一种机制,常用于操作系统登录等口令系统最严重的是外部泄漏和口令猜测、线路窃听、威胁验证者、重放为了使口令更加安全,可以通过加密口令或修改加密方法来提供更强健的方法,这就是一次性口令方案,常见的有 S/KEY 和令牌口令认证方案。2持证验证:持证为个人持有物,用于启动电子设备-与个人识别号 PIN 一起使用3生物识别-
45、虹膜和指纹识别为最可靠的生物识别常用的身份认证协议:一次一密机制、X.509 认证协议(其目录可以作为公钥证书的数据库)、Kerberos 认证它是美国麻省理工学院 MIT 为 TCPIP 网络设计的可信的第三方鉴别协议,用对称密钥体制(一般 DES 或其他)秘密密钥是一个加密口令,会话密钥通信完毕即销毁加密技术应用于网络安全通常有两种形式,既面向网络和面向应用程序服务。面向网络服务的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送,认证网络路由及其其他网络协议所需的信息,从而保证网络的连通性和可用性不受侵害。面向网络应用程序服务的加密技术使用则是目前较为流行的加密技术的使用方法。有
46、Kerberos 服务的 Telent、NFS 、电邮的 PEM、PGP电子邮件的安全两种技术1、 PGP-相当好的私密性 1991年电邮加密方案5种服务组成:鉴别(数字签名 DSSSHA、报文加密 CASTIDEA) 、机密性、压缩、电邮的兼容性与分段4种类型密钥:一次性会话的常规密钥、公开密钥、私有密钥和基于短口令的短语的常规密钥2、 SMIME基于 RSA 数据安全技术的 Internet 电邮格式标准的安全扩充。主要功能:加密数据、签名数据、透明签名、签名并加密数据、 (递归使用)网络层安全-IP 安全协议 IPSec非常复杂:身份认证头 AH 协议和封装安全负载 ESP 协议。AH
47、没有提供秘密性,ESP 协议提供了数据完整性、身份认证、秘密性安全协定 SA从源主机到目的主机的逻辑连接SA 定义的逻辑连接时一个单工连接,是单向的,惟一定义为一个三元组,包括:安全协议AH 或 ESP 标示符、单工连接的源 IP 地址和称为安全参数索引 SPI 的32 位连接标识符,每个 IPSec 数据报够有 SPI 特殊字段。在 IP 头的协议字段协议,值51用来表示数据报包含 AH 头,用50来表明数据报包含 ESP头和 ESP 尾秘密性 DES-CBC 加密来实现ESP 头由 2位 SPI 字段和32位顺序号字段组成Web 面临的威胁服务器安全威胁、浏览器安全威胁以及两者之间的网络通
48、信量安全威胁完整性、机密性、拒绝服务、鉴别Web 流量安全性方法:网络级、传输级、应用级应用级的重要例子是安全的电子交易 SETWEB 站点的访问控制的级别:1 IP 地址限制。2 用户验证。3 WEB 权限。4 硬盘分区权限。两大安全性威胁是:入侵者、病毒入侵者包括黑客和解密高手1假冒者(外部使用者)2非法者(是合法账户,内部人员)3秘密用户(两者)入侵检测技术:统计异常检测 阈值检测、基于轮廓基于规则的检测-异常检测、渗透识别结合起来的检测方法4种审计记录、统计异常检测、基于规则的入侵检测(基于渗透鉴别采用方法-基于专家系统技术的方法)分布式入侵检测 加利福尼亚大学建立的互联网安全检测器
49、ISM,结构为1主机代理模块2局域网监视代理模块3中心管理模块通过过滤器过滤,只保留与安全性有关的记录,按照主机审计记录 HAR 格式重新组装防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。它可以通过检测,限制,更改跨越防火墙的数据流,尽可能的对外部屏蔽网络内部的消息,结构和运行情况,以此来实现网络的安全保护。嵌入驻地网和 Internet 之间防火墙的设计目标是:1进出内部网的通信量必须通过防火墙.2只有那些在内部网安全策略中定义了的合法的通信量才能进出防火墙.3防火墙自身应该能够防止渗透.防火墙用来控制访问和执行站点安全策略的4种技术:1服务控制。确定在围墙外面和里面可以访问的因特网服务类型。2方向控制。启动特定的服务请求并允许它通过防火墙,这些操作具有方向性。3 用户控制根据请求访问的用户来确定是或提供服务。4 行为控制。控制如何使用某种特定的服务。防火墙可以用做 IPSec 平台。采用隧道模式,可以被用来实现虚拟专用网防火墙总体上分为包过滤路由器,应用级网关和电路级网关。1数据包过滤技术是在网络层对数据包进行选择。
