2008年02月13日
第四章 局域网应用技术
决议局域网的主要技术要素是:网络拓扑,传输介质与介质拜候控制方法。
局域网从介质拜候控制方法分为:同享介质局域网与交换式局域网。
总线局域网的介质拜候控制体式格局采用的是“同享介质”体式格局。
介质拜候控制方法是控制多个结点哄骗公共传输介质发送和接受数据的方法。
根据星型拓扑的定义,星型拓扑中存在中心结点,每个结点通过点与点之间的线路与中心结点连接,任何两结点之间的通信都要通过中心结点转接。
普通的同享介质体式格局的局域网中不存在星型拓扑。但是以交换分机CBX为中心的局域网为中心的局域网系统可以归为星型局域网拓扑结构。
双绞线三类线带宽为16MHz,适合于10MHz以下的数据;4类20MHz,语音。5类100MHz,甚至可以支持155MHz异步传输模式ATM。
同享介质拜候控制体式格局主要为:
1 带有冲突检测的载波侦听多路拜候CSMA/CD方法。
2 令牌总线方法(TOKEN BUS)。
3 令牌环方法(TOKEN RING)。
IEEE802.2尺度定义的同享局域网有三类:
1 采用CSMA/CD介质拜候控制方法的总线型局域网。
2 采用TOKEN BUS介质拜候控制方法的总线型局域网。
3 采用TOKEN RING介质拜候控制方法的环型局域网。
ETHERNET(以太网)的核心技术是它的随机争用型介质拜候方法既CSMA/CD介质拜候控制方法。
{zx0}使用随机争用技术的是夏威夷大学的校园网。
CSMA/CD的发送流程可以简单的概括为1先听先发2边听边发3冲突停止4随机延迟后重发。
冲突检测是发送结点在发送的同时,将其发送旌旗灯号波形与接受到的波形对比。
TOKEN BUS(令牌总线方法)是一种在总线拓扑中哄骗“令牌”作为控制结点拜候公共传输介质的确定型介质拜候控制方法。
所谓正常稳态操作是网络已经完成初始化,各结点进入正常传递令牌与数据,并且没有结点要加入与除掉,没有发生令牌丢失或者网络故障的正常工作状态。
令牌传递规定由高地址向低地址,{zh1}由低地址向高地址传递。
令牌总线网在物理上是总线网,而在逻辑上是环网。
交出令牌的条件:
1 该结点没有数据帧等候发送。
2 该结点已经发完。
3 令牌持有{zd0}时间到。
推动局域网发展的直接因素是个人计算机的广泛使用。
如果网中有N个结点,那么每个结点平均能分配到带宽为10Mbps/N。
同享介质局域网又可以分为Ethernet,Token Bus,Token Ring与FDDI以及在此根蒂根基上发展起来的Fast Ethernet,FDDI II等。交换式局域网可以分为Switched Ethernet与ATM LAN,以及在此根蒂根基上发展起来的虚拟局域网。
光纤漫衍式数据接口是一种以光纤作为传输介质的高速主干网。
Gigabit Ethernet的传输速率比Fast Ethernet(100Mbps)快10倍,达到1000Mbps,将传统的Ethernet每个比特的发送时间由100ns减低到1ns。
根据交换机的帧转发体式格局,交换机可以分为3类:
1 直接交换体式格局。
2 存储转发交换体式格局。
3 改进直接交换体式格局。
局域网交换机的特性:
1 低交换传输延迟。2 高传输带宽。3 允许10Mbps/100Mbps。4 局域网交换机可以支持虚拟局域网服务。
虚拟网络(VLAN)是成立在交换技术根蒂根基上的。
虚拟网络是成立在局域网交换机或者ATM交换机上的,它以软件的形式来使成为事实逻辑组的区分清楚与管理,逻辑工作组的结点组成不受物理位置的限定。
对虚拟网络成员的定义方法上,有以下4种:
1 用交换机端口号定义虚拟局域网。(最通用的办法)
2 用MAC地址。
3 用网络层地址。(例如用IP地址来定义)。
4 IP广播组。
这种虚拟局域网的成立是动态的,它代表一组IP地址。
10 BASE-5是IEEE 802。3物理曾尺度中最基本的一种。它采用的传输介质是阻抗为50偶的基带粗同轴电缆。
网卡是网络接口卡NIC的简称,它是构成网络的基本部件。
网卡分类:
①按网卡支持的计算机种类:尺度以太网卡。PCMCIA网卡(用于便携式计算机)。
②按网卡支持的传输速率分类:普通的10Mbps。高速的100Mbps网卡。10/100Mbps自适应网卡。1000Mbps网卡。
③按网卡支持的传输介质类型分类:双绞线网卡。粗缆网卡。细缆网卡。光纤网卡。
普通的集线器两类端口:一类是用于连接接点的RJ-45端口,这类端口数可所以8,12,16,24等。另一类端口可所以用于连接粗缆的AUI端口,用于连接细缆的BNC端口,也可所以光纤连接端口,这类端口称为向上连接端口。
④按传输速率分类:1。10Mbps集线器。2。100Mbps集线器。3。10Mbps/100Mbps自适应集线器。
⑤按集线器是或者能够堆叠分类:1。普通集线器。2。可堆叠式集线器。
⑥按集线器是或者支持网管功效:1。简单集线器。2。带网管功效的集线器。
局域网交换机的定义。
专用端口,同享端口。
局域网交换机可以分为:
1 简单的10Mbps交换机。
2 10Mbps/100Mbps自适应的局域网交换机。
使用同轴电缆组建以太网是最传统的组网体式格局。
粗同轴电缆与细同轴电缆。
中继器用来扩展作为总线的同轴电缆的长度。作为物理层连接装备,起到接受,放大,整形转发同轴电缆中的数据旌旗灯号的作用。
如果不使用中继器,{zd0}粗缆长度不超过500米,如果使用中继器,一个以太网中最多只允许使用4个中继器,连接5条{zd0}长度为500米的粗缆,总长不超过2500米。
如果不使用中继器,{zd0}细缆长度不超过185米,如果使用中继器,一个以太网中最多只允许使用4个中继器,连接5条{zd0}长度为185米的粗缆,总长不超过185*5=925米。
粗缆与细缆混合结构的电缆缆段{zd0}长度为500米。如果粗缆长度为L米,细缆长度为T米,则L,T 的关系为:
L+3.28*T《500
采用多集线器的级联络构时,通常采用以下两种方法:
1.使用双绞线,通过集线器的RJ-45端口使成为事实级联。
2.使用同轴电缆或者光纤,通过集线器的向上连接端口使成为事实级联。
结构化布线系统与传统的布线系统{zd0}的区别在于:结构化布线系统的结构与当前所连接的装备位置无关。结构化布线系统先预先按建筑物的结构,将建筑物中所有可能放置计算机及其外部装备的位置都布好了线,然后再根据实际所连接的装备环境,通过调整内部跳线装置,将所有计算机装备以及外部装备连接起来。
一个完善的智能大楼系统除了结构化布线系统以外,还应该包含以下几种系统:
1 办公自动化系统。
2 通信自动化系统。
3 楼宇自动化系统。
4 。
建筑物综合布线系统的主要特点是:
1 因为建筑物综合布线系统支持各种系统与装备的集成,能与现在所有的语音,数据系同一起工作,从而可以保护用户在硬件,软件,培训方面的投资。
2 建筑物综合布线系统有助于将分散的布线系统,合并成一组同一的,尺度的布线系统中。
3 建筑物综合布线系统的结构化设计,使用户自己能够容易的排除故障,增强了系统安全性,便于管理。
4 采用高性能的非屏蔽双绞线与光纤的建筑物综合布线系统,能够支持高达100Mbps,甚至更高的数据传输速率。
工业布线系统是专门为工业环境设计的布线尺度与装备。
网络操作系统,能哄骗局域网低层提供的数据传输功效,为高层网络用户提供同享资源管理服务,以及其他网络服务功效的局域网系统软件,使连网的计算机能够方便而有效的同享网络资源,为网络用户提供所需要的各种服务的软件与协议的集合。
两方面的功效:
1 为用户提供各种简单有效的拜候本机资源的手眼。
2 合理组织系统工作流程,能够有效得管理系统。
分为两类:面向任务型与通用型。
通用型又可以分为:变形系统与根蒂根基级系统。
履历了从对等结构与非对等结构演变的过程。
非对等结构网络操作系统的设计思想,将连网结点分为以下两类:
1 网络服务器。
2 网络工作站。
虚拟盘体可以分为以下三类:专用盘体,共用盘体与同享盘体。
基于文件服务的网络操作系统,分为两部分:
1 文件服务器。
2 工作站软件。
典型的局域网可以看成由以下三个部分组成:网络服务器,工作站与通信装备。
网络操作系统的基本功效有:
1 文件服务;
2 打印服务;
3 数据库服务;
4 通信服务;
5 信息服务;
6 漫衍式服务;
7 网络管理服务;
8 Internet/Internet服务。
网络操作系统的基本任务是:屏蔽本地资源与网络资源的差异性,为用户提供各种基本网络服务功效,完成网络同享系统资源的管理,并提供网络操作系统的E-MAIL服务。
WINDOWS NT SERVER操作系统是以“域”为单位使成为事实对网络资源的集中管理。
主域控制器与后备域控制器。
WINDOWS NT SEVER采用线程进行管理与占先式多任务,使得应用程序能更有效的运行。
内置4种尺度网络协议:1.TCP/IP协议。2.Microsoft公司的MWLink协议。3.NetBIOS的扩展用户接口NetBEUI。4.数据链路控制协议。
哄骗域与域信托任务关系使成为事实对大型网络的管理。
NetWare操作系统是以文件服务器为中心的,它由三个部分组成:文件服务器内核,工作站外壳与低层通信协议。
服务器与工作站之间的连接是通过通信软件,网卡,传输介质来使成为事实的。通信软件包括网卡驱动程序和通信协议软件。
工作站运行的重定义程序NetWare Shell负责对用户号令进行诠释。
在NetWare环境中,拜候一个文件的路径为:
文件服务器名/卷名:目次名\子目次名\文件名
用户分为:
1 网络管理员。通过设置用户权限来使成为事实网络安全保护措施。
2 组管理员。
3 网络操作员。
4 普通网络用户。
NetWare操作系统的系统容错技术主要是以下三种:
三级容错机制。
{dy}级系统容错SFT I采用了双重目次与文件分配表,磁盘热道修复与写后读证验等措施。
第二级系统容错SFT II包括硬盘镜像与硬盘双工功效。
第三级系统容错SFT III提供了文件服务器镜像功效。
NetWare的事务跟踪系统用来防止在写数据库记录的过程中因为系统故障而造成数据丢失。
IntranetWare操作系统的主要特点:
1 IntranetWare操作系统能成立功效强大的企业内部网络。
2 IntranetWare操作系统能保护用户现有的抛掷。
3 IntranetWare操作系统能方便的管理网络与保证网络安全。
4 IntranetWare操作系统能基成企业的全部网络资源。
5 ntranetWare操作系统能大大减少网络管理的开支。
LINUX系统:低价格,原代码开放,安装配置简单。
同种局域网使用网桥就可以将分散在不同地理位置的多个局域网互连起来。
异型局域网也可以用网桥互连起来,ATM局域网与传总同享介质局域网互连必须解决局域网仿真问题。
路由器或者网关是使成为事实局域网与广域网互连的主要装备。
数据链路层互连的装备是网桥。网桥在网络互连中起到数据接收,地址过渡与数据转发的作用,它是使成为事实多个网络系统之间的数据交换。
网络层互连的装备是路由器。如果网络层协议不同,采用多协议路由器。
传输层以上各层协议不同的网络之间的互连属于高层互连。使成为事实高层互连的装备是网关。高层互连的网关很可能是应用层网关,通常简称为应用网关。
互连是根蒂根基,相互沟通是手眼,互操作是目的。
所谓网络互连,是将漫衍在不同地理位置的网络,装备相连接,以构成更大规模的互联网络系统,使成为事实互联系统网络资源的同享。
网络互连的功效有以下两类:
1 基本功效。2 扩展功效。
网桥是在数据链路层上使成为事实不同网络互连的装备。需要互连的网络在数据链路层以上采用相同的协议。
网桥在局域网中经常被用来将一个大型局域网分为既独立又能相互沟通的都个子网的互连结构,从而可以改善各个子网的性能与安全性。
基于这两种尺度的网桥分别是:
1 透明网桥(各网桥);2 源路选网桥(源结点)
路由器是在网络层上使成为事实多个网络互连的装备。需要每个局域网网络层以上高层协议相同,数据链路层与物理层协议可以不同。如果高层协议不同,则采用多协议路由器连接。
网关可以完成不同网络协议之间的转换。
使成为事实协议转换的方法主要是:1 直接将网络信息包格局转化成输出网络信息包格局 N(N-1);2 将输入网络信息包的格局转化成一种同一的尺度网间信息包的格局 2N。
一个网关可以由两个半网关构成。
第五章 因特网根蒂根基
因特网主要作用:丰富的信息资源(www);便利的通信服务(E-MAIL);快捷的电子商务(中国{zx0}的商务平台8488).
因特网主干网:ANSNET。
从网络设计者角度考虑,因特网是计算机互联网络。
从使用者角度考虑,因特网是信息资源网。
因特网中的通信线路归纳起来主要有两类:有线线路和无线线路。
因特网主要由通信线路,路由器,服务器和客户机,信息资源四部分组成。
所有连接在因特网上的计算机统称为主机。
服务器就是因特网服务与信息资源的提供者.客户机是因特网服务和信息资源的使用者。
TCP/IP协议就是将它们维系在一起的纽带,TCP/IP是一个协议集,它对因特网中主机的寻址体式格局,主机的定名机制,信息的传输规则,以及各种服务功效做了详细约定。
IP(通信规则)主要是负责为计算机之间传输的数据报寻址,并管理这些数据报的分片过程。
运行IP协议的网络层可以为其高层用户提供如下三种服务:
1. 不成靠的数据投递服务;
2. 面向无连接的传输服务;
3. 尽{zd0}努力投递服务。
IP地址由两部分组成,1.网络号和2.主机号。只要两台主机具备相同的网络号,不论它们物理位置,都属于同一逻辑网络。
A类IP地址用于大型网络;B类IP地址用于中型网络;C类用于小规模网络,最多只能连接256台装备;D类IP用于多目的地址发送;E类则保留为今后使用。
再次区分清楚IP地址的网络号和主机号部分用子网屏蔽码来区分。
IP数据报的格局可以分为头板区和数据区两大多,此中数据区包括高层需要传输的数据,头板区是为了正确传输高层数据而增长的控制信息。
因特网中,需要路由选择的装备一般采用表驱动的路由选择算法。
路由表有两种基本形式:1.静态路由表;2.动态路由表。动态路由表是网络中的路由器互相自动发送路由信息而动态成立的。
TCP为应用层提供可靠的数据传输服务。TCP是一个端到真个传输协议,因为它可以提供一条从一台主机的一个应用程序到远程主机的另一个应用程序的直接连接.(虚拟连接)
端口就是TCP和UDP为了辨认一个主机上的多个目标而设计的。
因特网的域名由TCP/IP协议集中的域名系统进行定义。
因特网中的这种定名结构只代表着一种逻辑的组织方法,并不代表实际的物理连接。借助于一组既独立又协作的域名服务器来完成,因特网存在着大量域名服务器,每台域名服务器保存着域中主机的名字与IP地址的对照表,这组名字服务器是解析系统的核心。
域名解析两体式格局:1.递归解析.2.反复解析。
因特网提供的基本服务主要有:
1.电子邮件E-MAIL;2.远程登陆Telnet;3.文件传输FTP;4.WWW服务。
电子邮件服务采用客户机/服务器工作模式。
用户发送和接收邮件需要借助于安装在客户机中的电子邮件应用程序来完成。
电子邮件应用程序应具备如下两个最为基本的功效:
1. 创建和发送电子邮件
2. 接收,阅读,管理邮件
电子邮件应用程序在向邮件服务器传送邮件时使用简单邮件传输协议SMTP,从邮件服务器读取时辰可以使用POP3协议或者IMAP协议。
当使用电子邮件应用程序拜候IMAP服务器时,用户可以决议是或者将邮件拷贝到客户机中,以及是或者在IMAP服务器中保留邮件副本,用户可以直接在服务器中阅读和管理邮件。
电子邮件由两部分组成:邮件头和邮件体(实际传送的内部实质意义)。
远程终端协议,既Telnet协议,Telnet协议是TCP/IP协议的一部分,它xx的定义了本地客户机与远程服务器之间交互过程。
因特网提供的远程登陆服务可以使成为事实:
1. 本地用户与远程计算机上运行程序相互交互。
2. 用户登陆到远程计算机时,可以执行远程计算机上的任何应用程序,并且能屏蔽不同3. 型号计算机之间的差异。
4. 用户可以哄骗个人计算机去完成许多只有大型机才能完成的任务.
网络虚拟终端:提供了一种尺度的键盘定义,用来屏蔽不同计算机系统对键盘输入的差异性。
因特网用户使用的FTP客户端应用程序通常有三种类型,既传统的FTP号令行,浏览器和FTP下载工具。
这种在文本中包含与其他文本的连接特征,形成了超文本的{zd0}特点:无序性。
选择热字的过程,实际上就是选择某种信息链接线索的过程。
超文本传输协议HTTP是WWW客户机与WWW服务器之间的应用层传输协议。
HTTP会话过程包括以下4个步凑:
1. 连接.2.请求.3.应答.4.关闭。
URL由三部分组成:协议类型,主机名与路径及文件名。
WWW服务器所存储的页面是一种结构化的文档,采用超文本标记语言HTML书写而成。
HTML主要特点是可以包含指向其他文档的链接项,既其他页面的URL;可以将声音,图象,视频等多媒体信息集合在一起。
对于机构来说,主页通常是WWW服务器的缺省页,既用户在输入URL时只消给出WWW服务器的主机名,而不必指定具体的路径日文件名,WWW服务器会自动将其缺省页返回给用户。
搜刮引擎是因特网上的一个WWW服务器,它的主要任务是在因特网中主动搜刮其他WWW服务器中的信息并对其自动索引,将索引内部实质意义存储在可供查询的大型数据库中。
网络新闻组是一种哄骗网络进行专题讨论的国际论坛,到目前为止USENET仍是{zd0}规模的网络新闻组。
ISP一方面为用户提供因特网接入服务,另一方面为用户提供各种类型的信息服务。
用户的计算机可以通过各种通信线路连接到ISP,但归纳起来可以区分清楚为两类:手机线路和数据通信线路。
调制解调器在通信的一端负责将计算机输出的数字信息转换成普通手机线路能够传输的旌旗灯号,在另一端将从手机线路接受的旌旗灯号转化成计算机能够处理的数字旌旗灯号。
通经手办理机线路介入因特网的费用通常由三部分组成:开户费,因特网使用费(连接费用和占用磁盘空间费用)和手机费。
第六章 网络安全技术
网络管理包括五个功效:配置管理,故障管理,性能管理,计费管理和安全管理。
代理位于被管理的装备内部,它把来自管理者的号令或者信息请求转换为本装备特有的指令,完成管理者的指示,或者返回它所在装备的信息。
管理者和代理之间的信息交换可以分为两种:从管理者到代理的管理操作;从代理到管理者的事务通知。
配置管理的目标是掌握和控制网络和系统的配置信息以及网络各装备的状态和连接管理。现代网络装备由硬件和装备驱动组成。
配置管理最主要的作用是可以增强网络管理者对网络配置的控制,它是通过对装备的配置数据提供快速的拜候来使成为事实的。
故障就是出现大量或者严重错误需要修复的异常环境。故障管理是对中的问题或者故障进行定位的过程。
故障管理最主要的作用是通过提供网络管理者快速的检查问题并启动恢复过程的工具,使网络的可靠性获得增强。故障标签就是一个监视网络问题的前端进程。
性能管理的目标是衡量和呈现网络特性的方方面面,使网络的性能维持在一个可以接受的水平上。
性能管理包括监视和调整两大功效。
记费管理的目标是跟踪个人和团体用户对网络资源的使用环境,对其收取合理的费用。
记费管理的主要作用是网络管理者能测量和报告基于个人或者团体用户的记费信息,分配资源并计算用户通过网络传输数据的费用,然后给用户开出帐单。
安全管理的目标是按照一定的方法控制对网络的拜候,以保证网络不被损害,并保证重要的信息不被未权力委托用户拜候。
安全管理是对网络资源以及重要信息拜候进行约束和控制。
在网络管理模型中,网络管理者和代理之间需要交换大量的管理信息,这一过程必须遵循同一的通信规范,咱们把这个通信规范称为网络管理协议。
网络管理协议是高层网络应用协议,它成立在具体物理网络及其根蒂根基通信协议根蒂根基上,为网络管理平台服务。
目前使用的尺度网络管理协议包括:简单网络管理协议SNMP,公共管理信息服务/协议CMIS/CMIP,和局域网个人管理协议LMMP等。
SNMP采用轮循监控体式格局。代理/管理站模式。
管理节点一般是面向工程应用的工作站级计算机,领有很强的处理能力。代理节点可所以网络官吏就职何类型的节点。SNMP是一个应用层协议 ,在TCP/IP网络中,它应用传输层和网络层的服务向其对等层传输信息。
CMIP的优点是安全性高,功效强大,不仅可用于传输管理数据,还可以执行一定的任务。
信息安全包括五个基本要素:机密性,完整性,可用性,可控性与可审查性。
1 D1级。D1级计算机系统尺度规定对用户没有证验。例如DOS,WINDOS3.X及WINDOW 95(不在工作组体式格局中)。Apple的System7。X。
2 C1级提供自立式安全保护,它通过将用户和数据分离,满足自立需求。
C1级又称为选择安全保护系统,它描述了一种典型的用在Unix系统上的安全级别。
C1级要求硬件有一定的安全级别,用户在使用前必须登陆到系统。
C1级的防护的不足之处在与用户直接拜候操作系统的根。
3 C2级提供比C1级系统更细微的自立式拜候控制。为处理敏感信息所需要的{zd2}安全级别。C2级别还包含有受控拜候环境,该环境具备进一步限定用户执行一些号令或者拜候某些文件的权限,并且还加入了身份证验级别。例如UNIX系统。XENIX。Novell 3。0或者更高版本。WINDOWS NT。
4 B1级称为标记安全防护,B1级支持多级安全。标记是指网上的一个对象在安全保护计划中是可辨认且受保护的。B1级是{dy}种需要大量拜候控制支持的级别。安全级别存在保密,绝密级别。
5 B2又称为结构化保护,他要求计算机系统中的所有对象都要加上标签,并且给装备分配安全级别。B2级系统的关键安全硬件/软件部件必须成立在一个形式的安全方法模式上。
6 B3级又叫安全域,要求用户工作站或者终端通过可信托路子连接到网络系统。并且这一级采用硬件来保护安全系统的存储区。B3级系统的关键安全部件必须理解所有客体到主体的拜候,必须是防窜犯的,并且必须足够小以便阐发与试验。
7 A1 {zg}安全级别,表明系统提供了xxx的安全,又叫做证验设计。所有来自构成系统的部件来源必须有安全保证,以此保证系统的完善和安全,安全措施还必须担保在销售过程中,系统部件不负伤害。
网络安全从素质上讲就是网络上的信息安全。凡是涉及到网络信息的保密性,完整性,可用性,真实性和可控性的相关技术和理论都是网络安全的研究领域。
安全策约是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。安全策约模型包括了成立安全环境的三个重要组成部分:威严的法律,进步前辈的技术和严格的管理。
网络安全是网络系统的硬件,软件以及系统中的数据受到保护,不会因为间或者或者恶意的原因而遭到破坏,更改,泄露,系统能连续,可靠和正常的运行,网络服务不中断。
保证安全性的所有机制包括以下两部分:
1 对被传送的信息进行与安全相关的转换。
2 两个主体同享不希望对手得知的保密信息。
安全威胁是某个人,物,事或者概念对某个资源的机密性,完整性,可用性或者合法性所造成的危害。某种进犯就是某种威胁的具体使成为事实。
安全威胁分为故意的和间或者的两类。故意威胁又可以分为不主动和主动两类。
中断是系统资源遭到破坏或者变的不能使用。这是对可用性的进犯。
截取是未权力委托的实体获得了资源的拜候权。这是对保密性的进犯。
修改是未权力委托的实体不仅获得了拜候权,并且还窜改了资源。这是对完整性的进犯。
捏造是未权力委托的实体向系统中插入伪造的对象。这是对真实性的进犯。
不主动进犯的特点是偷听或者监视传送。其目的是获得正在传送的信息。不主动进犯有:泄露信息内部实质意义和通信量阐发等。
主动进犯涉及修改数据流或者创建错误的数据流,它包括假冒,重放,修改信息和拒绝服务等。
假冒是一个实体假装成另一个实体。假冒进犯通常包括一种其他形式的主动进犯。 重放涉及不主动捕获数据单元以及后来的重新发送,以孕育发生未经权力委托的效果。
修改消息意味着改变了真实消息的部分内部实质意义,或者将消息延迟或者重新排序,导致未权力委托的操作。
拒绝服务的禁止对通信工具的正常使用或者管理。这种进犯领有特定的目标。另一种拒绝服务的形式是全般网络的中断,这可以通过使网络无效而使成为事实,或者通过消息过载使网络性能减低。
防止主动进犯的做法是对进犯进行检测,并从它导致的中断或者延迟中恢复过来。
从网络高层协议角度看,进犯方法可以概括为:服务进犯与非服务进犯。
服务进犯是针对某种特定网络服务的进犯。
非服务进犯不针对某项具体应用服务,而是基于网络层等低层协议进行的。
非服务进犯哄骗协议或者操作系统使成为事实协议时的漏洞来达到进犯的目的,是一种更有效的进犯手眼。
网络安全的基本目标是使成为事实信息的机密性,完整性,可用性和合法性。
主要的可使成为事实威胁:
1 渗入威胁:假冒,旁路控制,权力委托侵犯。
2 植入威胁:特洛伊木马,陷门。
病毒是能够通过修改其他程序而传染它们的一种程序,修改后的程序里面包含了病毒程序的一个副本,这样它们就能接续传染其他程序。
网络反病毒技术包括预防病毒,检测病毒和xx三种技术。
1 预防病毒技术。
它通过自身长驻系统内存,优先获得系统的控制权,监视和判断系统中是或者有病毒存在,进而遏止计算机病毒进入计算机系统对系统进行破坏。这类技术有:加密可执行程序,引导区保护,系统监控与读写控制。
2.检测病毒技术。
通过对计算机病毒的特征来进行判断的技术。如自身效验,关键字,文件长度的变化等。
3.xx技术。
通过对计算机病毒的阐发,研发出具备删去病毒程序并恢复原元件的软件。
网络反病毒技术的具体使成为事实方法包括对网络服务器中的文件进行频繁地扫描和检测,在工作站上用防病毒芯片和对网络目次以及文件设置拜候权限等。
网络信息系统安全管理三个原则:
1 多人负责原则。
2 任期有限原则。
3 职务和责任分离原则。
保密学是研究密码系统或者通信安全的科学,它包含两个分支:密码学和密码阐发学。
需要隐藏的消息叫做明文。明文被变换成另一种隐藏形式被称为密文。这种变换叫做加密。加密的逆过程叫组解密。对明文进行加密所采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常是在一组密码钥匙控制下进行的,加密算法所采用的密码钥匙成为加密密码钥匙,解密算法所使用的密码钥匙叫做解密密码钥匙。
密码系统通常从3个独立的方面进行分类:
1 按将明文转化为密文的操作类型分为:置换密码态度温和位密码。
所有加密算法都是成立在两个通用原则之上:置换态度温和位。
2 按明文的处理方法可分为:分组密码(块密码)和序列密码(流密码)。
3 按密码钥匙的使用个数分为:对称密码体系体例和非对称密码体系体例。
如果发送方使用的加密密码钥匙和接受方使用的解密密码钥匙相同,或者从这个时候起中一个密码钥匙易于的出另一个密码钥匙,这样的系统叫做对称的,但密码钥匙或者常规加密系统。如果发送放使用的加密密码钥匙和接受方使用的解密密码钥匙不相同,从这个时候起中一个密码钥匙难以推出另一个密码钥匙,这样的系统就叫做不对称的,双密码钥匙或者公钥加密系统。
分组密码的加密体式格局是首先将明文序列以固定长度进行分组,每一组明文用相同的密码钥匙和加密函数进行运算。
分组密码设计的核心上构造既具备可逆性又有很强的线性的算法。
序列密码的加密过程是将报文,话音,图象,数据等原始信息转化成明文数据序列,然后将它同密码钥匙序列进行异或者运算。天生密文序列发送给接受者。
数据加密技术可以分为3类:对称型加密,不对称型加密和不成逆加密。
对称加密使用单个密码钥匙对数据进行加密或者解密。
不对称加密算法也称为公开加密算法,其特点是有两个密码钥匙,只有两者搭配使用才能完成加密和解密的全过程。
不对称加密的另一用法称为“数字签名”,既数据源使用其私人所有密码钥匙对数据的效验和或者其他与数据内部实质意义有关的变量进行加密,而数据接受方则用相应的公用密码钥匙解读“数字签名”,并将解读结果用于对数据完整性的检验。
不成逆加密算法的特征是加密过程不需要密码钥匙,并且经过加密的数据没有办法被解密,只有一样输入的输入数据经过一样的不成逆算法才能获得一样的加密数据。
加密技术应用于网络安全通常有两种形式,既面向网络和面向应用程序服务。
面向网络服务的加密技术通常工作在网络层或者传输层,使用经过加密的数据包传送,认证网络路由及其其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。
面向网络应用程序服务的加密技术使用则是目前较为流行的加密技术的使用方法。
从通信网络的传输方面,数据加密技术可以分为3类:链路加密体式格局,节点到节点体式格局和端到端体式格局。
链路加密体式格局是一般网络通信安全主要采用的体式格局。
节点到节点加密体式格局是为相识决在节点中数据是明文的缺点,在中间节点里装有加,解密的保护装置,由这个装置来完成一个密码钥匙向另一个密码钥匙的变换。
在端到端机密体式格局中,由发送方加密的数据在没有到达{zj2}目的节点之前是不被解密的。
试图发现明文或者密码钥匙的过程叫做密码阐发。
算法实际进行的置换和转换由保密密码钥匙决议。
密文由保密密码钥匙和明文决议。
对称加密有两个安全要求:
1 需要强大的加密算法。
2 发送方和接受方必须用安全的体式格局来获得保密密码钥匙的副本。
常规机密的安全性取决于密码钥匙的保密性,而不是算法的保密性。
IDEA算法被认为是当今{zh0}xxx的分组密码算法。
公开密码钥匙加密又叫做非对称加密。
公钥密码体系体例有两个基本的模型,一种是加密模型,一种是认证模型。
通常公钥加密时辰使用一个密码钥匙,在解密时使用不同但相关的密码钥匙。
常规加密使用的密码钥匙叫做保密密码钥匙。公钥加密使用的密码钥匙对叫做公钥或者私钥。
RSA体系体例被认为是现有理论上最为成熟完善的一种公钥密码体系体例。
密码钥匙的生存周期是指权力委托使用该密码钥匙的周期。
在实际中,存储密码钥匙xxx的方法就是将其放在物理上安全的地方。
密码钥匙登记包括将孕育发生的密码钥匙与特定的应用绑定在一起。
密码钥匙管理的重要内部实质意义就是解决密码钥匙的分发问题。
密码钥匙销毁包括xx一个密码钥匙的所有踪迹。
密码钥匙分发技术是将密码钥匙发送到数据交换的两方,而其他人没有办法看到的地方。
数字证书是一条数字签名的消息,它通经常使用与证实某个实体的公钥的有效性。数字证书是一个数字结构,具备一种公共的格局,它将某一个成员的辨认符和一个公钥值绑定在一起。人们采用数字证书来分发公钥。
序列号:由证书颁发者分配的本证书的{wy}标示符。
认证是防止主动进犯的重要技术,它对于开放环境中的各种信息系统的安全有重要作用。
认证是证验一个{zj2}用户或者装备的声明身份的过程。
认证主重要的条目的为:
1 证验信息的发送者是真实的,而不是假充的,这称为信源辨认。
2 证验信息的完整性,保证信息在传送过程中未被窜改,重放或者延迟等。
认证过程通常涉及加密和密码钥匙交换。
帐户名和口令认证体式格局是最经常使用的一种认证体式格局。
权力委托是把拜候权授予某一个用户,用户组或者指定系统的过程。
拜候控制是限定系统中的信息只能流到网络中的权力委托个人或者系统。
有关认证使用的技术主要有:消息认证,身份认证和数字签名。
消息认证的内部实质意义包括为:
1 证实消息的信源和信宿。
2 消息内部实质意义是或者曾受到间或者或者有意的窜改。
3 消息的序号和时间性。
消息认证的一般方法为:孕育发生一个附件。
身份认证大抵分为3类:
1 个人知道的某种事物。
2 个人持证
3 个人特征。
口令或者个人辨认码机制是被广泛研究和使用的一种身份证验方法,也是最实用的认证系统所依赖的一种机制。
为了使口令越发安全,可以通过加密口令或者修改加密方法来提供更强健的方法,这就是一次性口令方案,常见的有S/KEY和令牌口令认证方案。
持证为个人持有物。
数字签名的两种格局:
1 经过密码变换的被签名信息整体。
2 附加在被签消息之后或者某个特定位置上的一段签名图样。
对与一个连接来说,维持认证的{wy}办法是同时使用连接完整性服务。
防火墙总体上分为包过滤,应用级网关和代理服务等几大类型。
数据包过滤技术是在网络层对数据包进行选择。
应用级网关是在网络应用层上成立协议过滤和转发功效。
代理服务也称链路级网关或者TCP通道,也有人将它归于应用级网关一类。
防火墙是设置在不同网络或者网络安全域之间的一系列不见的组合。它可以通过检测,限定,更改跨越防火墙的数据流,尽可能的对外部屏蔽网络内部的消息,结构和运行环境,以此来使成为事实网络的安全保护。
防火墙的设计目标是:
1 出进内部网的通信量必须通过防火墙。
2 只有那一些在内部网安全策约中定义了的合法的通信量才能出进防火墙。
3 防火墙自身应该防止渗透。
防火墙能有效的防止外来的入侵,它在网络系统中的作用是:
1 控制出进网络的信息流向和信息包。
2 提供使用和流量的日志和审记。
3 隐藏内部IP以及网络结构细节。
4 提供虚拟专用网功效。
通常有两种设计策约:允许所有服务除非被明确禁止;禁止所有服务除非被明确允许。
防火墙使成为事实站点安全策约的技术:
1 服务控制。确定在围墙外面和里面可以拜候的INTERNET服务类型。
2 方向控制。启动特定的服务请求并允许它通过防火墙,这些操作具备方向性。
3 用户控制。根据请求拜候的用户来确定是或者提供该服务。
4 行为控制。控制如何使用某种特定的服务。
影响防火墙系统设计,安装和使用的网络策约可以分为两级:
高级的网络策约定义允许和禁止的服务以及如何使用服务。
低级的网络策约描述了防火墙如何限定和过滤在高级策约中定义的服务。
第七章 网络应用:电子商务
电子商务是已开放的因特网环境为根蒂根基,在计算机系统支持下进行的商务行动。它基于浏览器/服务器应用体式格局,是使成为事实网上购物,网上交易和在线支付的一种新型商业运营模式。
从广义上讲,电子商务的概念为:以计算机与通信网络为根蒂根基平台,哄骗电子工具使成为事实的在线商业交换和行政作业活动的全过程。
电子商务的利益:
1 以最小的费用制作{zd0}的广告。
2 丰富的网络资源有利于企业相识市场的变化,作出理性的决策。
3 展示产品而不需要占用店面,小企业可以和大企业获得几乎同等的商业机会。
4 提高服务质量,及时获得顾客的反馈消息。
5 在线交易方便,快捷,可靠。
使用户相识自己的企业和产品只是电子商务的{dy}步。
在线交易是电子商务的高级阶段和{zj2}目的。
它是买卖两边以为平台,进行在线的销售与购买。
在线交易需要较为庞大的网络环境和进步前辈的计算机技术来保证交易的安全性和可靠性,同时,需要有完善的法律法规减低在线交易的风险。
电子商务的应用规模:
1 企业与企业之间的应用。电子数据交换EDI是企业与企业之间电子商务最典型,最基本的应用。
2 企业与消费者之间的应用
3 企业与政府之间的应用。
电子数据交换EDI是按照协议对具备一定结构特征的尺度信息,经数据通信网络,在计算机系统之间进行交换和自动处理,既EDI用户根据国际通用的尺度格局编制报文,已机器可读的体式格局将结构化的消息。按照协议将尺度化的文件通过计算机网络传送。
EDI系统三个特点:
1 EDI是两个或者多个计算机应用系统之间的通信。所谓的计算机系统是于EDI通信网络系统相连接的电子数据处理系统EDP。
2 计算机之间传输的消息遵循一定的语法规则与国际尺度。
3 数据自动的投递和传输处理不需要人工介入,应用程序对它自动响应。
总之,计算机通信网是EDI应用的根蒂根基,计算机系统应用是EDI的前提条件,而数据信息尺度化是EDI的关键。
EDI的工作流程:
1 发送方计算机应用系统天生原始用户数据。
2 发送报文的数据影射与传译。影射程序将用户格局的原始数据报文展开为平面文件,以便使传译程序能够辨认。传译程序
将平面文件传译为尺度的EDI格局文件。平面文件是用户格局文件和EDI尺度格局文件之间的中间接口文件。
3 发送尺度的EDI文件。
4 贸易伙伴获取尺度的EDI文件。
5 接受方应用系统处理传译后的文件。
与电子邮件等应用系统不同,EDI电子数据交换系统在网络中传输的是经过传译软件传译的尺度格局报文。
电子数据处理系统EDP是使成为事实EDI的根蒂根基和必要条件。EDP主要是企业内部自身业务的自动化。
在EDI应用系统中,目前使用最多的是通过专门网络服务商提供的EDI网络平台,成立用户之间的数据交换关系。
EDI平台的数据接入主要有以下几种:
1 具备纯一计算机应用系统的用户接入体式格局:领有纯一计算机应用系统的企业规模一般半大,这类用户可以哄骗手机交换网,通过调制解调器直接接入EDI中心。
2 具备多个计算机应用系统的用户接入体式格局:对于规模较大的企业,多个应用系统都需要与EDI中心进行数据交换。为了减小企业的通信费用和方便网络管理,一般是采用连网体式格局将各个应用系统首先接入负责与EDI中心交换信息的服务器中,再由该服务器接入EDI交换平台。
3 普通用户接入体式格局: 该类用户通常没有自己的计算机系统,当必须使用EDI与其贸易伙伴进行业务数据传递时,她们通常采用通过因特网或者手机网以拨号的体式格局接入EDI网络交换平台。
EDI是电子商务的先驱。网络安全技术的开放和研究依然是网络发展的主要课题之一。
电子商务的体系结构可以分为:1 网络根蒂根基平台 2 安全结构 3 支付体系 4 业务系统4个层次。
电子商务是以计算机网络为根蒂根基的,计算机网络是电子商务的运行平台。
电子商务活动分为支付型业务和非支付型业务。
电子商务业务包括支付型业务和非支付型业务。支付型业务通常涉及资金的转移。支付型业务成立在支付体系之上,根据业务的需要使用相应的支付体系。而非支付型业务则直接成立在安全根蒂根基结构之上,使用安全根蒂根基层提供的各种认证手眼和安全技术保证安全的电子商务服务。
通过CA安全认证系统发放的证书确认对方的身份是电子商务中最经常使用的方法之一。
证书是一个经证书权力委托中心签名的,它包括证书领有者的基本信息和公用密码钥匙。
证书的作用归纳为两个方面:
1 证书是由CA安全认证中心发放的,具备xx机构的签名,所以它可以用来向系统中的其他实体证实自己的身份。
2 每分证书都携带着证书持有者的公用密码钥匙,所以它可以向接受者证实某个实体对公用密码钥匙的领有,同时起着分发公用密码钥匙的作用。
安全是电子商务的命脉。电子商务的安全是通过加密手眼来达到的。公用密码钥匙加密技术是电子商务系统中使用的主要加密技术之一。
证书按照用户和应用规模可以分为个人证书,企业证书,服务器证书和业务受理点证书等等。
支付网关处于公共因特网与银行内部网络之间,主要完成通信,协议转换和数据加密解密功效和保护银行内部网络。
每一个业务应用系统对应于一个特定的业务应用。
支付型的业务应用系统必须配备具备支付服务功效的支付服务器,该服务器通过支付服务软件系统接入因特网,并通过支付网关系统与银行进行信息交换。
人们进行电子商务活动最经常使用的终端是计算机终端。
一个完整的电子商务系统需要CA安全认证中心,支付网关系统,业务应用系统及用户终端系统的配合与协作。
电子商务的安全要求包括4个方面:
1 数据传输的安全性。
2 数据的完整性。
3 身份安全。
4 交易的不成抵赖。交易的不成抵赖技术是通过数字签名技术和数字证书技术来使成为事实。
私人所有密码钥匙加密技术,公用密码钥匙加密技术以及数字指纹技术是保证电子商务系统安全运行的最基本,最关键的技术。
数字信封技术用来保证数据数据在传输过程中的安全。私人所有密码钥匙加密算法运算效率高,但密码钥匙不容易传递。而公用密码钥匙加密算法密码钥匙传递简单,但运算效率低,并且要求被加密的信息块长度要小于密码钥匙的长度。
数字信封技术首先使用私人所有密码钥匙加密技术对要发送的数据信息进行加密,然后,哄骗公用加密加密算法对私人所有密码钥匙加密技术中使用的私人所有密码钥匙进行解密。
数字信封技术使用两层加密体系体例,在内层,哄骗私人所有密码钥匙加密技术,每次传送信息均可以重新天生新的私人所有密码钥匙,保证信息的安全性。在外层,哄骗公用密码钥匙加密技术加密私人所有密码钥匙,保证私人所有密码钥匙传递的安全性。
签名是保证文件或者资料真实性的一种方法。哄骗公用密码钥匙加密算法进行数字签名中最经常使用的方法。
哄骗数字签名可以使成为事实以下功效:
1 保证信息传输过程中的完整性:安全单向散列函数的特性保证如果两条信息的信息择要相同,那么它们信息内部实质意义也相同。
2 发送者的身份认证:数字签名技术使用公用密码钥匙加密算法,发送者使用自己的私人所有对发送的信息进行加密。
3 防止交易中的抵赖发生:当交易中的抵赖行为发生时,接受者可以将接收到的密文呈现给第三方。
数字信封保证安全性。数字签名保证信息的完整信息。安全的数据传输必须将数字信封技术和数字签名技术结合起来。
电子付款就是网上进行买卖两边的金融交换,这种交换通常是由银行等金融机构中介的。
电子现金也叫数字现金。电子现金具备用途广,使用灵活,匿名性,简捷简单,无须直接与银行连接便可使用等特点。
买方使用自己的计算机通过网络拜候银行的电子现金天生器,将部分或者全部现金取出,以加密文件形式存入计算机硬盘。这样,该计算机硬盘中的现金文件就形成了一个电子钱包。尤其合用与金额较小的业务支付。
所谓电子支票就是传统支票以因特网为根蒂根基,进行信息传递,完成资金转移。
电子支票的交换主要通过银行等金融单位的专用网络进行。
安全电子交易SET是由VISA和MASTERCARD所研发的开放式支付规范,是为了保证信用卡在公共因特网上支付的安全而设立的。
安全电子交易SET要达到的最主重要的条目的是:
1 信息在公共因特网上安全传输,保证网上传输的数据不被窃取。
2 订单信息和个人帐号信息隔离。
3 持卡人和商家相互认证,以确保交易各方的真实身份。
4 要求软件遵循相同的协议和信息格局,使不同厂家研发的软件具备兼容性和互操作性,并且可以在不同的
硬件的操作系统平台上。
SET协议涉及确当事人包括持卡人,xx机构,商家,银行以及支付网关。
SET协议是针对用卡支付的网上交易而设计的支付规范,对不消卡支付的交易体式格局,则与SET协议无关。
私人所有密码钥匙加密技术和公用密码钥匙加密技术是两种最基本的加密技术。订单可通电流通过子化体式格局从商{zc}过来,或者由持卡人的电子购物软件成立。
安全通道使用安成套接层技术。
保证电子邮件安全的手眼是使用数字证书。
WEB站点的拜候控制的级别。
1 IP地址限定。
2 用户证验。
3 WEB权限。
4 NTFS权限。如果WEB站点的内部实质意义位于NTFS分区,可以借助于NTFS的目次日文件权限来限定用户对站点内部实质意义的拜候。
网站内部实质意义是网民相识站点领有者的关键和窗口。网站的内部实质意义关系到站点建设的成败。
网站的管理有两个方面,一方面,需要对网络的链路,服务器等硬件装备进行管理。另一方面,需要对网站的内部实质意义,网站的创意,网民的咨询等软对象进行管理。
保持网站内部实质意义的长变长新就是网站管理者面对的重要课题。
哄骗传统体式格局进行网站的推广与营销是最根蒂根基,xxx的方法。
电子邮件具备速度快,效率高的特点,哄骗电子邮件进行网站营销也是可以考虑的办法之一。
网上购物是电子商务系统的一种重要应用。
