前言:
作者在CSDN博客上开通了[网络工程师]专栏,目的在于激励自己坚持学习。由于是初次进行博客创作、经验不足、可能比较粗糙,如有错漏之处希望大家能够指正、也欢迎大家一起交流学习。
如需查看完整学习博文(笔记)请点击 [网络工程师] 进行查看
系列博文
第五章 新型网络应用
1. 即时通信( IM) 系统
⚫ 1996 年 11 月,以色列 Mirabils 公司推出了世界上第一款即时通信软件 ICQ(I Seek You,网络寻呼机), 宣告了“即时通信(Instant Messaging, IM)”这一概念的诞生。
⚫ 即时通信系统是一种基于 Internet 的通信服务, 可提供近实时的信息交换和用户状态跟踪。
⚫ 2000 年,IMPP 工作小组提交的关于即时通信系统的 RFC 草案, 获得了 IETF 的批准, 成为正式的RFC 文件。
⚫ IETF 批准的 RFC2778 给出了一个抽象的呈现与即时消息系统模型,描述了即时通信系统的功能, 勾勒出了即时通信系统的模型框架。
⚫ 一个即时通信系统通常包括两种服务
① 一种是呈现服务(Pesence srvice), 用户之间相互订阅并获取彼此的状态变更信息;
② 另一种是即时消息服务( istant message srvice), 用于用户之间相互收发短消息。
⚫ 即时通信系统一般釆用两种通信模式
① 用户/服务器模式,在用户/服务器模式中,消息的发送和接收需要通过服务器中转,主流的即时通信软件的文本消息大多使用用户/服务器模式。
② 用户/用户模式。消息的发送和接收采用直接的点对点的通信方式,文件传送等大数据量业务通常使用用户/用户模式。
2. 即时通信协议
l 微软 MSN釆用 MSNP协议;
⚫ AOL 采用 OSCAR 协议;
⚫ QQ 采用自己设计的私有协议
⚫ 由于各厂商自己定义的协议互不开放,因此造成彼此间互不兼容,无法互联互通。
⚫ 即时通信开放的协议主要代表有两个
① 一个是基于 SIP 协议框架的 SIMPLE 协议簇
② 一个是基于 JABBER 协议框架的 XMPP 协议簇。
③ SIMPLE 协议是对 SIP 协议的扩展, 以使其更好地支持即时消息服务。
④ XMPP 协议簇是基于 XML 语言定义的即时消息协议。
3. SIP(会话初始化协议)
⚫ SIP 是 IETF 于 1999 年提出的一个信令控制协议, 主要内容在 RFC3261 中进行定义;
⚫ SIP 协议位于应用层, 目标是方便地创建、管理和终止用户之间的会话。
⚫ SIP 协议主要是为 IP 网络设计的,可以运行于 TCP、UDP、SCTP 等各种传输层协议之上。但是,SIP 协议本身并不关心承载网络,因此 SIP 协议也可工作在 ATM、帧中继等承载网中。
4. SIP 系统
-
SIP 用户的地址以“SIP”开始, 后面类似于 E-mail 地址。
-
例如可以使用 sip:miyname@my-company.com 表示一个 SIP 用户, 该用户处于 mycompany.com 域中, 在 mycompany.com 域中的名字为 myname。
-
SIP 地址是一个全局性的地址, SIP 系统通过这种统一名字标识符定位和查询 SIP 用户。
-
按逻辑功能区分,SIP 系统由 4 种元素组成,它们是用户代理(user agent,UA)、代理服务(proxy server)、重定向服务器(redirect server)和注册服务器( registrar)。
⚫ 用户代理:
① 用户代理由两个部分组成:一部分是用户代理客户机(User Agent Client,UAC),另一部分是用户代理服务器( User Agent Server UAS)。
② UAC 负责发起呼叫, UAS 负责接收呼叫并作出响应。
③ UAC 和 UAS 共同组成 UA,存在于用户终端之中。
④ 用户通过 SIP 用户代与 SIP 系统交互,其存在的形式多种多样,如计算机上的即时通信软件、专用的软电话( phone)等。
⚫ 代理服务器:
① 代理服务器负责接收用户代理发来的请求,根据网络策略将请求发给相的服务器,并根据收到的应答对用户作出响应。
② 代理服务器是一个中间元素, 既有客户机的性质又有服务器的性质, 同时还具有名字解析能力。
③ 代理服务器分为有状态代理服务器和无状态代理服务器。
④ 有状态代理服务器需要存储接收到的请求、回送的响应和它转发的请求,而无状态代理服务器一旦转发请求和响应后就忘记所有的信息。
⚫ 重定向服务器:重定向服务器是一个规划 SIP 呼叫路径的服务器。
⚫ 注册服务器:用于接收和处理用户端的注册请求, 完成用户地址的注册。
5. SIP 消息
- SIP 消息组成
l 由一个起始行(start-line)、消息头(message-header)、一个标志消息头结束的空行 CRLF)和可选的消息体(messagebody)组成。
⚫ 其中,消息头由一个或多个宇段组成。
- SIP 消息包括两种类型:
⚫ 从客户机到服务器的请求消息( request)
① 在请求消息中,起始行为请求行。
② 请求行中一般包括请求方法、请求的 SIP 用户地址和 SIP 的协议版本。
③ 在 SIP 协议中有 6 种请求方法, 它们是 INVITE、ACK、OPTIONS、BYE、CANCEL 和 REGISTER。
请求方法 | 功能 |
---|---|
INVITE | 邀请用户或服务器参加一个会话 |
ACK | UA 向服务器证实它已经收到了对 INVITE 请求的最终响应。ACK 只和 INVITE 一起使用 |
OPTIONS | 请求关于服务器能力的信息。如果服务器认为它能与用户联系,则可用一个能力集晌应 |
BYE | 用户终止一次会话,既可由主叫 UA 发送,也可由被叫 UA 发送 |
CANCEL | 取消一个挂起的呼叫 |
REGISTER | 向定位服务器注册 UA 的相关信息 |
⚫ 从服务器到客户机的响应消息( response)
① 响应消息中,起始行为状态行。
② 状态行中一般包括 SIP 的版本号、状态码和一句对该状态的文本描述信息。
6. SIMPLE 协议
⚫ SIMPLE 协议是一组能够提供即时消息服务的通信协议。
⚫ 它由 IETF 的 SIMPLE 工作组制定, 基本上与 RFC2778 定义的即时消息系统模型保持一致。
⚫ SIMPLE 协议通过对 SIP 协议进行扩展,使其支持即时消息服务。
⚫ SIMPLE 增加了 NOTIFY、SUBSCRIBE 和 MESSAGE 方法支持即时通信。
① MESSAGE:用来发送一次性的短消息, 即寻呼机模式的即时消息。
② SUBSCRIBE:用于观察者( watcher)向服务器订阅其他用户的呈现信息。
③ NOTIFY:在用户的呈现信息发生改变时,服务器使用 NOTIFY 方法向该用户的订阅用户发送呈现信息。
7. XMPP 系统
⚫ XMPP 协议是一种基于 XML 的即时通信协议;
⚫ XMPP 协议的系统架构沿袭了 E-mail 系统的架构;
⚫ XMPP 系统架构主要由 3 种实体组成: XMPP 客户、XMPP 服务器和 XMPP 网关:
① XMPP 服务器间相互通信, 形成一个由 XMPP 服务器组成的分布式网络;
② XMPP 网关负责 XMPP 与非 XMPP 系统之间的互联, 可以使 XMPP 客户和非 XMPP 客户进行通信;
③ XMPP 客户通过 Internet 接入 XMPP 系统, 可以通过 XMPP 系统与其他客户进行通信( 如果存在
XMPP 网关, XMPP 客户也可以和非 XMPP 客户进行通信)。
8. XMPP 系统特点
① 用户/服务器中转模式:XMPP 使用用户/服务器通信模式, 而不是有些即时消息系统采用的用户/ 用户模式。从一个用户客户机端发给另一个用户客户机端的 XMPP 即时消息都必须通过服务器中转。
② 分布式网络系统:XMPP 的网络体系结构与 E-mail 系统类似, XMPP 客户和服务器组成一个分布式的网络处理系统,即时消息和呈现信息在这些 XMPP 客户和服务器之间传输。XMPP 地址和 E-mail 地址形式一样(如 stpeter®jabber,org), 因此,从一个用户地址即可得知该用户所属的 XMPP 服务器。
③ 简单客户机端:XMPP 的目标之一是必须支持简单客户机端,将复杂性从用户端转移到服务器端。
XMPP 系统架构要求用户端必须支持的功能:通过 TCP 套接字与 XMPP 服务器进行通信、解析组织好的
XML 信息包、理解消息数据类型。(目前 Google 的 Google Talk 和 Jive Message 都采用 XMPP 协议)。
④ XML 数据格式:XML 是 XMPP 系统的核心, 几乎能表述任何一种结构化数据。
9. XMPP 协议
⚫ 寻址方案
① XMPP 通信系统具有统一的寻址方案, XMPP 用户地址的格式必须符合 RFC2396 统一资源标识符的语法规定。
② 由于历史原因, XMPP 地址也被称为 JID(JabberID7Jab-ber 标识)。
③ JID 用于标识即时消息用户和用户连接的资源,它由域标识符、结点标识符、资源标识 3 部分组成,形如 node@domaia/resource。其中,域标识符是唯一必需的,通常表不 XMPP 服务器或 XMPP 网关,必须是一个合法的 DNS 域名; 结点标识符是一个可选项, 以“@” 符号分割放在域标识符之前。结点标识符通常是一个使用 XMPP 服务的一个用户; 资源标识符也是一个可选的标识符, 表示具体的资源。资源标识符放在域标识符之后,并以“/”分隔。
⚫ XML 流与 XML 节(Stanza)
① XMPP 是一套基于 XML 流的协议;
② XMPP 流中的“节”有 3 种类型,它们是消息(message)、呈现(presence)和查询( 1/Q,Info/Query)。
③ 消息节表示传输的消息,其中消息的接收方、发送方可以使用 to、from 等关键字表明;
④ 呈现节用来表明用户的状态(如在线、离线等)。当用户的状态改变时,用户端就会在用户到服务器的流中插入一个呈现节,用于表明自身的状态;
⑤ 查询节是一种请求/响应机制。一个实体发送请求, 另外一个实体接收请求并进行响应。
10. 即时通信实例
⚫ 腾讯 QQ、网易泡泡、新浪 UC、微软 MSN 和雅虎 Messenger 等都曾经是非常流行的即吋通信软件。
⚫ 除了实时消息交换和状态跟踪之外,即时消息系统一般还提供一些附加功能,如音频/视频聊天、应用共享、文件传输、文件共享、游戏邀请、远程助理、白板等。
11. QQ 用户登录过程
① 客户端每次登陆时会访问记录上次登陆服务器的地址的记录文件,如果成功则不会重发 DNS 请求。
② 在 QQ 通信中,用户必须先登录后才可以进行互相发送信息等操作。
③ QQ 聊天通信信息是加密的,每次登陆时 QQ 客户机会向服务器获取一个会话密钥。
④ 客户端会从服务器端获得好友列表,以建立点对点的联系。
⑤ QQ 采用的通信协议以 UDP 为主,辅以 TCP 协议。
12. P2P 文件共享
⚫ 文件共享是指用户主动地在网络上分享自己主机中的文件或者目录。
⚫ P2P 文件共享起源于 1999 年的音乐分享网站 Napster。Napster 釆用的是集中式的对等网络结构。
⚫ eDonkey2000 继承了前者共享文件系统的优点,并为文件增加了哈希( Hash)信息。
⚫ 最初的 BT 系统需要中心服务器存放用户的信息, 该服务器被称为 Tracker 服务器。
⚫ BT 系统要求文件的发布者制作一个被称为“种子” 文件的.torrent 文件,该文件包含了 Tracker
服务器的相关信息和发布者共享文件的信息。
⚫ 下载者通过发布者提供的种子文件连接到 Tracker 服务器, 并通过 Tracker 服务器获取其他下载者(包括发布者)的 IP 地址和端口号。
l 下载的人越多, BT 系统提供的带宽越大,下载速度也就越快。在后续的版本中,BT系统加入了 DHT的支持,以实现无 Tracker服务器的文件传输。
⚫ 在 20 世纪 60 年代, 美国著名社会心理学家米尔格伦( Stanley Milgram)提出了“六度分隔(Six Degrees of Separation)”理论。这就是著名的“小世界假设” 。六度分隔理论为 P2P 文件共享系统中的结点的快速发现和资源快速发现提供了理论基础。
13. 文件共享实现方式
⚫ 如 FTP 文件共享、NFS 网络文件系统共享、Windows 共享文件夹以及正在流行的 P2P 文件共享等。
⚫ 在 FTP 文件共享中, 用户将需要共享的文件传送到 FTP 服务器,其他用户使用该文件时需要通过
FTP 服务器进行下载;
⚫ 在 NFS 网络文件系统中, 用户可以将自己主机上的文件或目录共享出来, 其他用户需要使用时, 只需将该文件或目录挂接在自己的文件系统下,像使用本地文件一样使用远程主机上的文件;
⚫ Windows 共享文件夹是微软针对 Windows 系统开发的文件共享机制,它通常使用 NetBIOS 和 NetBEUI
协议将文件夹共享给其他用户使用。
⚫ NetBIOS 是由微软公司开发,工作于网络层驱动接口和传输层驱动接口之间,支持 254 个并发通信话路, 名字服务可以采用 UDP 协议。
14. Maze 系统
⚫ Maze 系统是一个功能非常强大的 P2P 文件共享系统, 属于混合式的 P2P 网络系统。
⚫ Maze 系统参考了 Kerberos 协议, 采用了分布式认证机制。
l 为了促使用户更多地共享资源, Maze系统采用了 Maze 积点和 Maze星级技术。
⚫ 该系统采用了以六度分隔理论为基础的网络链接关系, 能够支持在线资源搜索和文件目录视图, 可以进行多点下载和断点续传,支持跨防火墙的文件共享与下载。
⚫ Maze 系统中的用户被称为 Peer,每个 Peer 相当于一个传统 FTP 服务器与一个 FTP 客户端的结合体。整个系统除了多个 Peer 外,还包括集中式的用户管理服务器、文件目录服务器、索引和检索服务器、心跳服务器。
① 用户管理服务器实现用户注册与身份认证;
② 文件目录服务器负责收集每个 Peer 共享的目录列表并将它们存入集中式的目录数据库;
③ 索引和检索服务器读取目录数据库中的数据,为所有共享文件目录建立索引并提供 XML 方式的检索接口;
④ 心跳服务器负责维护在线用户的列表。
15. 互联网协议电视(IPTV)
⚫ 用户可以采用两种方式使用 IPTV 服务,一种是计算机方式,另一种是网络机顶盒加普通电视机方式。
⚫ 电视类服务是与电视业务相关的服务,如视频点播、直播电视和时移电视等;
⚫ 通信类服务是指基于 IP 的语音服务、即时通信服务和电视短信服务等;
⚫ 增值服务是指电视购物、互动广告和在线游戏等增值类服务。
16. 视频点播(Video on Demand,VOD)
⚫ 视频点播(Video on Demand, VOD)也被称为交互式电视点播系统。
⚫ 本质上讲,VOD 是一种基于 IP 网络的利用机顶盒作为接收终端,电视机作为显示设备的视频点播系统。
17. VOD 的服务类型
VOD 的服务类型分为 3种:
-
就近式点播电视 NVOD:在支持就近式点播电视系统中,每个视频流间隔一定的时间就发送同样的内容,用户选择距最近的某个时间起点进行收看。
-
真实点播电视 TV0D:真实点播电视支持即点即放,每个视频流只为一个特定的用户服务。
-
交互式点播电视 IVOD:交互式点播电视不仅可以支持即点即放,而且还可以让用户对视频流进行交互式的控制。
18. 媒体内容分发技术
⚫ 媒体内容分发网络(Media Content Delivery Network,MCDN)技术是 IPTV 大规模应用的重要技术保障。
⚫ MCDN 关键技术包含以下几个方面。
① 内容发布:借助于索引、缓存、流分裂和组播等技术,将内容发布或投递到距离用户最近的远程服务点处。
② 内容路由:是整体性的网络负载均衡技术。内容路由技术通过内容路由器中的重定向以及媒体位置注册机制,在多个远程服务点上均衡用户的请求,保证用户请求得到最近内容源的响应。
③ 内容交换:根据内容的可用性、服务器的可用性以及用户的背景,利用应用层交换、流分裂、重定向及宽带媒体分发策略等技术,智能地平衡负载流量。
④ 性能管理:通过内部和外部监控系统,获取网络部件的状态信息。同时,性能管理还测量内容发布的端到端性能(如包丢失率、延时时间、平均带宽、启动时间和帧速率等),保证网络处于最佳的运行状态。
⑤ IP 承载网:MCDN 充分利用高速交换、汇聚层路由转发、接入层带宽保障、组播路由及服务质量等
IP 网络技术,为 IPTV 应用提供可靠 IP 网络平台。
19. VOIP 可以实现的通信方式
⚫ VoIP(VoiceoverIP)也称为 IP电话,是利用 IP网络实现语音通信的一种通信手段,是基于IP网络的语音传输技术。
⚫ VoIP 系统可以将源用户的电话语音数字化,通过压缩、打包后利用 IP 网络传输给目的用户。
⚫ 目的用户收到数据包后,将数据解压并还原成声音。
⚫ 利用VOIP可以实现的通信方式包括:PC-to-PC,PC-to-Phone,Phone-to-Phone,PC-to-Pad,Pad-to-Phone,
PC到IP网关,IP网关到 IP网关。
20. VoIP 系统组成
VoIP 系统有 4 个基本组件,它们是终端设备(Terminal)、IP 电话网关(Gateway)、网守(Gatekeeper)和多点控制单元(MultipointControlUnit,MCU)
1) 终端设备
⚫ 终端设备是直接和用户接触的设备。VoIP 中的终端设备有多种类型,其中包括传统的语音电话终端、ISDN 终端、多媒体 PC 等。
2) IP 电话网关
⚫ IP 电话网关是 VoIP 系统的关键设备, 是 IP 网络和电话网络之间的桥粱。
IP 电话网关的基本功能如下:
① 号码查询
② 建立通信连接
③ 信号调制
④ 信号压缩和解压
⑤ 路由寻址
3) 网守
⚫ 网守是一个*控制实体,在 VoIP 系统中起管理作用。
⚫ 网守是 VoIP 系统中的消息控制中心,可以进行呼叫控制、地址解析、呼叫授权、身份验证、集中账务和计费管理、存留呼叫详细记录等操作。
l 同时,网守还可以像实时网管一样监控网络、平衡负载、管理带宽以及提供与现有系统的接口。
4) 多点控制单元
⚫ 多点控制单元 MCU 的功能在于利用 IP 网络实现多点通信, 使得 VoIP 系统能够支持 3 个或 3 个以上端点参与的多点会议。
⚫ MCU 通常由两部分组成,分别是多点控制器( Multipoint Controller,MC)和多点处理器(Multipoint Processor,MP)。
⚫ MC 主要负责呼叫信令的处理和会议的控制;
⚫ MP 则提供多点会议中媒体流的集中处理, 主要负责混音、交换等处理工作。
21. RTCP 报文
根据所携带的控制信息不同, RTCP 报文分为 5 种类型,分别是 SR、RR、SEDS、BYE 和 APP。
⚫ SR(sender report,发送者报告): 该类型报文中含有活动端的发送和接收统计信息。
⚫ RR(receiver report, 接收者报告): 该类型报文中含有非活动端的接收统计信息。
⚫ SDES( source description items,源描述项):该类型报文中含有对数据源的描述信息。例如,数据源的 CNAME 和 SSRC 的映射关系等。
⚫ BYE(goodbye,离开报告): 参与者结束通信时使用该类型报文通知其他参与者。
⚫ APP( application-specificfunctions, 特定应用): 用于特定应用功能的一类 RTCP 报文。
22. Skype
⚫ Skype 融合了当前热门的两大技术——VoIP 技术和 P2P 技术,主要提供 IP 网络电话、即时消息、文件传输、用户搜寻等功能。
⚫ Skype 还能有效地突破防火墙的限制。
① SkypeClient: SkypeClient 是 Skype 系统的客户机端, 简称为 SC。
② SuperNode:SkypeNode 是 Skype 系统中的超级结点, 简称为 SN。在 Skype 系统中,Super-Nodc 是动态生成的,其作用就像 Internet 中的核心路由器。
③ LoginServer:LoginServer 是 Skype 系统中的登录服务器,简称为 LSQLS 登录服务器存储着用户的用户名和密码,负责用户登录时的合法性认证。同时,它还要负责用户名的全局唯一性管理。
④ HostCache 简称为 HC, 是一个 SN 的 IP 地址和端口对的列表。它由 SC 建立, 并会经常更新。
⑤ BaddyList:BaddyList 是一个用户的好友列表。
⑥ Encryption:加密处理。Skype 釆用了 256 位的 AES 加密算法。同时, Skype 采用 1536〜2048 位的 RSA 算法对 AES 使用的对称密钥进行协商。
⑦ Codecs:编码方式。Skype 米用了 GloballPSounci 公司的宽带编码技术 iLBC 和 iSAC。这两种编码技术允许频率在 50~8000Hz 的语音通过。
⑧ Port:Skype 系统采用的端口。SC 可以使用 TCP 和 UDP 进行端口监听,这些端口值在 SC 的连接对话框设置。在安装客户机端软件时, SC 会随机选择一个端口号。除此之外, SC 也可以在 HTTP 的 80 端口和HTTPS 的 443 端口进行监听。
⑨ NAT/FirewalhSC 釆用各种 STUN 和 TURN 技术来判定它在哪种类型的 NAT 和防火墙之后, 以便进行
NAT 或防火墙穿越。
23. Skype 的特点
-
高清晰音质:从理论上说, 使用 Skype 可以听到人类可以听到的所有声音频率,而普通电话只能听到 300~3000Hz 以内的声音。较宽的频率范围保证了高保真度的声音品质。
-
高度保密性:Skype 终端之间传送的声音和消息都是经过加密处理的。Skype 采用 AES 加密算法, 密钥长度为 256 位,是 AES 可选密钥长度里最长的(因此也是最安全)。AES 的会话密钥利用 2048 位的RSA 算法生成, 可以确保密钥的安全性。同时, 用户登录时, 系统会利用用户的私钥进行身份验证。
-
免费多方通话:Skype 支持最多 5 人的多方会议呼叫,而且所有的通话都釆用端到端加密。因此,
Skype 比较适宜于商务会谈和其他会谈。
- 跨平台: Skype 提供不同操作系统下的发行版本, 包括 Windows、Linux 以及 MacOS 等。
24. 搜索引擎组成
搜索引擎构成一般都由 4 个部分组成,即搜索器、索引器、检索器和用户接口。
l 搜索器
搜索器通过逐个访问 Internet中的 Web站点来采集 Web网页信息,并建立该站点的关键字列表。人们常把搜索器建立关键字列表的过程称为网络爬行。
⚫ 索引器
索引器的功能是理解搜索器所搜索的信息,从中抽取出索引项,用于表示文档以及生成文档库的索引表。
⚫ 检索器
检索器的功能是根据用户的查询要求在索引库中快速检出文档,进行文档与査询的相关度评价,对将要输出的结果进行排序。同时,检索器还应具有某种用户相关性反馈机制。
⚫ 用户接口
① 用户接口的作用是输入用户查询、显示查询结果、提供用户相关性反馈机制。
② 用户输入接口可以分为简单接口和复杂接口两种:
③ 简单接口只提供用户输入查询词的文本框;
④ 复杂接口可让用户对查询进行限制,如逻辑运算(与、或、非等)、相近关系(相邻、NEAR等域名范围( .edu.com等)、出现位置(标题、内容等)、信息时间、长度等。
25. LAMP 网站架构
⚫ LAMP 网站架构是目前国际流行的 Web 框架,该框架包括:Linux 操作系统,Apache 网络服务器,MySQL 数据库,Perl、PHP 或者 Python 编程语言,所有组成产品均是开源软件,是国际上成熟的架构框架。
⚫ 该架构起源于Linux 平台,由于是开源软件,建设成本很低。
26. IPSec
⚫ IPSec 是为网络层提供安全的一组协议。
⚫ 在 IPSec 协议族中有两个主要的协议:身份认证头(AH)协议和封装安全负载(ESP)协议。
⚫ SA(安全协定)定义的逻辑连接是一个单工连接,也就是说,连接是单向的。SA 是由一个 3 元组确定的。
⚫ ESP 头部采用 32 位顺序号字段组成。
第六章 网络管理与网络安全
1. 网络管理
⚫ 在网络管理中,一般采用网络管理者-网管代理模型。管理者实质上是运行在计算机操作系统之上的一组应用程序,代理位于被管理的设备内部。
⚫ 一个管理者可以和多个代理之间进行信息交换。
⚫ 网络管理一般采用集中式网络管理或者分布式网络管理。
⚫ 集中式网络管理模式和分布式网络管理模式是网络系统在发展过程中自然形成的两种管理模式,它们各有特点,适用于不同的网络系统结构和不同的应用程序。
2. 网络管理资源分类
分为硬件资源和软件资源。
⚫ 硬件资源是指物理介质、计算机设备和网络互联资源。物理介质通常是物理层设备、如网卡、双绞线等; 计算机设备包括打印机和存储设备及其他计算机外围设备。常用的网络互联设备有中继器、网桥、路由器、网关等;
⚫ 软件资源主要包括操作系统、应用软件和通信软件。
3. 网络安全管理作用
采用多层防卫手段,将受到侵扰和破坏的概率降到最低、提供迅速检测非法使用和非法入侵初始点的手段,核查跟踪入侵者的活动、提供恢复被破坏的数据和系统的手段,尽量降低损失和提供查获入侵者的手段。
4. 网络故障管理
网络故障管理包括检测故障、隔离故障和纠正故障 3 个方面,应包括典型的功能有维护并检测错误日志、接收错误检测报告并作出响应、跟踪与辨认错误、执行诊断测试、纠正错误。
5. 网络管理的目标
⚫ 网络管理目标是通过合理的网络配置与安全策略,保证网络安全、可靠、连续与正常运行,当网络出现异常时及时响应并排除故障;通过网络状态监控、资源统计与性能分析,对网络做出及时调整与扩充,以便优化网 络性能 。
6. 网管模型
国际标准化组织( ISO)定义的网管模型包括 4 个部分:组织模型、信息模型、通信模型与功能模型。
⚫ 组织模型描述网管系统的组成部分与结构;
⚫ 信息模型描述网管系统的对象命名与结构;
⚫ 通信模型描述网管系统使用的网管协议;
⚫ 功能模型描述网管系统的主要功能。
7. 网管功能域
⚫ 网络管理功能模型就是常说的网管功能域。
⚫ 网管功能域定义的是主要的网管功能,并将这些功能划分为 5 个部分:
① 配置管理(Configuration Management)
② 故障管理(Fault Management)
③ 性能管理(Performance Management)
④ 安全管理(Security Management)
⑤ 记账管理(Accounting Management)
1) 配置管理
⚫ 配置管理用于实现网络设备的配置与管理,主要是网络设备参数与设备之间的连接关系。
⚫ 配置管理的主要内容包括:标识网络中的被管对象( 表示网络设备),识别网络拓扑结构( 生成拓扑图),修改设备配置(工作参数、连接关系)。
2) 故障管理
⚫ 故障管理用于发现与解决网络中的故障,目的是保证网络连续、可靠地运行并提供服务。
⚫ 故障管理的主要内容包括:故障检测(通过轮询机制或告警信息), 故障记录( 生成故障事件、告警信息或日志),故障诊断(通过诊断测试或故障跟踪),故障恢复(通过设备更换、维修或启用冗余设备)。
3) 性能管理
⚫ 性能管理用于测试网络运行中的性能指标;
⚫ 目的是检验网络服务是否达到预定水平,找出已发生的问题或潜在的瓶颈,通过数据分析与统计来建立性能分析模型,以便预先报告网络性能的变化趋势,并为网管决策提供必要的依据。
⚫ 性能参数包括网络的吞吐率、利用率、响应时间、传输延时等。
⚫ 性能管理可分为两个部分:性能监控与网络控制。其中,性能监控是指收集网络状态信息,网络控
制是指为改善性能采取的措施。
4) 安全管理
⚫ 安全管理用于保护网络中的资源的安全,以及网管系统自身的安全性。
⚫ 安全管理的主要内容包括:控制与维护对网络资源的网管访问权限,安全服务设施的建立、控制与删除,与安全措施有关的信息分发,与安全有关的事件通知,与安全有关的网络操作的记录、维护与查阅等,以及网络防病毒等。
5) 记账管理
⚫ 记账管理用于监视与记录用户对网络资源的使用,以及计算网络运行成本与用户应交费用
⚫ 记账管理的主要内容包括:统计网络资源使用情况(通信量、利用率等),确定计费方法(采用包月、计时、按流量等),计算用户账单( 根据资源、时段、费率等),分析网络运营成本与资费变更影响等。
8. 网络管理系统(NMS)
⚫ 网络管理系统通常简称网管系统,它是用来实现网管功能的软件或硬件系统。
⚫ 从逻辑结构上来看,网管系统通常包括 3 个部分:管理对象、管理进程与管理协议
① 管理对象(Managed Object) 是经过抽象的网络元素, 对应于网络中具体可以操作的数据;
② 管理进程(Management Process)是负责对网络设备进行管理与监控的软件,它安装在网络中的网管工作站与各种网络设备中。
③ 管理协议(Management Protocol)负责在网管工作站与网络设备的管理进程之间通信,传输信息包括发送的操作命令与返回的操作结果。
9. SNMP 协议
⚫ 1987 年,IETF 制定了简单网关监控协议( Simple Gateway Monitoring Protocol,SGMP)。SGMP 是一种监控网关或路由器的协议, SNMP 协议在 SGMP 的基础上发展起来。
① I989 年, IETF 制定 SNMP 第一个版本( snmpv1), 它是一种设计简单、易于实现的协议,但没有考虑安全问题;
② 1993 年,IETF 制定 SNMP 第二个版本( snmpv2),增加了操作类型与支持多种传输层协议,在提高安全性和更有效性地传递管理信息方面加以改进,具体包括提供验证、加密和时间同步机制;
③ 1998 年,IETF 制定 SNMP 第 3 个版本( snmpv3),提供了安全性与改进的框架结构。
⚫ SNMP 是一种应用层的网络协议, 面向 Internet 的网管协议。
⚫ SNMP 在传输层采用支持无连接服务的 UDP 协议, 在传输管理信息之前不需要建立连接。
⚫ SNMP 协议采用轮询监控方式,管理器定时向代理请求获得管理信息,并根据返回信息判断是否发生异常。
⚫ SNMP 是 TCP/IP 协议族中的重要协议, 它的成功与 TCP/IP 协议是分不开的。
10. CMIP 协议
⚫ ISO 制定的是通用管理信息服务(Common Management Information Service, CMIS)与通用管理信息协议(Common Management Information Protocol,CMIP)。
⚫ CMIP 是基于 OSI 模型的网络管理协议, 致力于解决异构互联网络中的网络管理问题。
l CMIS/CMIP建立在 OSI模型的基础上,两者共同提供通用的网管服务。
l CMIP协议负责实现具体的网管操作,这些操作需使用 CMIS定义的各种服务原语。
l CMIP是一种应用层的网络协议。
l CMIP系统包括两个组成部分:CMIP客户机与服务器。
l CMIP协议釆用委托监控的方式,管理者只需向代理发送监控请求,代理将会自动监视指定的管理对象,并在异常事件发生时向管理者告警。这种监控方式的特点是开销小、反应快。
11. 网络安全服务基本功能
网络安全服务应该提供以下基本保障。
1) 可用性
可用性是指,尽管存在可能的突发事件(例如停电、自然灾害、事故或攻击等)情况下,网络仍然可处于正常运转状态,用户可使用各种网络服务。
2) 机密性
机密性是指,保证网络中的数据不被非法截获或被非授权访问,保护敏感数据和涉及个入隐私信息的安全。
3) 完整性
完整性是指,保证数据在网络中传输、存储的完整,数据没有被修改、插入或删除。
4) 不可否认性
不可否认性是指,确认通信参与者的身份真实性,防止对已发送或已接收的信息否认现象的出现。
5) 可控性
可控性是指,能够控制与限定网络用户对主机系统、网络服务与网络信息资源的访问和使用,防止非授权用户读取、写入、删除数据。
12. 可信计算机系统评估准则(TESEC)
⚫ 美国国防部公布了《可信计算机系统评估准则》TCSEC,将计算机系统的安全可信度从低到高分为 D、C、B、A 四类共七个级别:D 级,C1 级,C2 级,B1 级,B2 级,B3 级,A1 级。
⚫ (最小保护)D 级:该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何入只要启动系统就可以访问系统的资源和数据,如 DOS,Windows 的低版本和 DBASE 均是这一类(指不符合安全要求的系统,不能在多用户环境中处理敏感信息)。
⚫ (自主保护类)C1 级:具有自主访问控制机制、用户登录时需要进行身份鉴别。
⚫ (自主保护类)C2 级:具有审计和验证机制((对 TCB)可信计算机基进行建立和维护操作,防止外部入员修改)。如多用户的 UNIX 和 ORACLE 等系统大多具有 C 类的安全设施。
⚫ (强制安全保护类)B1 级:引入强制访问控制机制,能够对主体和客体的安全标记进行管理。
⚫ B2 级:具有形式化的安全模型,着重强凋实际评价的手段,能够对隐通道进行限制。(主要是对存储隐通道)
⚫ B3 级:具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完整性,提供可信通道。对时间隐通道的限制。
⚫ A1 级:要求对安全模型作形式化的证明,对隐通道作形式化的分析,有可靠的发行安装过程。(其安全功能,依次后面包含前面的)
13. 信息传输安全
信息传输安全是指保证信息在网络传输过程中不被泄露、篡改与伪造。
⚫ 截获信息。信息从源结点开始传输,中途被攻击者非法截获,目的结点没有接收到该信息,因而造成信息在传输途中丢失。
⚫ 窃听信息。信息从源结点传输到目的结点,但是中途被攻击者非法窃听。
⚫ 篡改信息。信息从源结点传输到目的结点的途中被攻击者非法截获,攻击者修改信息或插入欺骗性的信息, 并将篡改后的信息发送给目的结点。
⚫ 伪造信息。在这种情况下,源结点并没有信息要传送到目的结点。攻击者冒充源结点用户,将伪造的信息发送给目的结点。
14. 网络攻击的分类
网络攻击可以有两种分类方法:主动攻击与被动攻击、服务攻击与非服务攻击。
1) 主动攻击与被动攻击
⚫ 被动攻击主要以收集信息为目的,信息的合法用户难以察觉这种活动,例如嗔探、漏洞扫描、信息收集等。
⚫ 主动攻击不但进入对方系统搜集信息,同时要进行破坏活动,例如拒绝服务、信息算改、窃取信息、欺骗攻击等。
⚫ 无论是主动攻击还是被动攻击,后果的严重程度有所区别,但是都是属于非法入侵的行为。
服务攻击与非服务攻击
⚫ 服务攻击是指攻击者对 E-mail、FTP、Web 或 DNS 服务器发起攻击,造成服务器工作不正常,甚至造成服务器瘫痪。
⚫ 非服务攻击不针对某项具体应用服务,而是针对网络设备或通信线路。攻击者可能使用各种方法对网络设备(例如路由器、交换机、网关、防火墙等)与通信线路发起攻击,使得网络设备出现严重阻塞甚至瘫痪,或者造成线路阻塞,最终使网络通信中断。
15. DDoS 攻击的特征
**1.**主要有以下几点:
⚫ 被攻击主机上可能有大量等待应答的 TCP 连接。
⚫ 网络中充斥着大量的无用数据包,并且数据包的源地址是伪造的。
⚫ 大量无用数据包造成网络拥塞,使得网络工作不正常,甚至瘫痪。
⚫ 被攻击主机可能在攻击发起之后的短短几秒钟后就处于瘫痪状态。
⚫ 攻击服务器与傀儡机都是在不知情的情况下参与攻击行动,而真正的攻击者早已消失。
16. 对称加密与非对称加密
⚫ 常用的加密技术可以分为两类: 对称加密(Symmetric Cryptography) 与非对称加密(Asymmetric Cryptography)。
⚫ 在传统的对称密码系统中,加密用的密钥与解密用的密钥相同,密钥在通信中需要严格保密。
⚫ 在非对称加密系统中,加密用的公钥与解密用的私钥不同,加密用的公钥可以向大家公开,而解密用的私钥需要保密。
17. 典型的对称加密算法
- 数据加密标准
数据加密标准(Data Encryption Standard,DES)是最典型的对称加密算法,它是由 IBM 公同提出、经 ISO认定的国际标准。
- DES
DES 是一种典型的分组密码,它将数据分解成固定大小的分组,以分组为单位进行加密或解密。DES 每次处理一个 64 位的明文分组,并且每次生成一个 64 位的密文分组。DES 算法采用 64 位密钥长度,其中 8 位用于奇偶校验,用户可使用其余的 56 位。
- 3 重 DES
3 重 DES(triple DES,3DES)是针对 DES 安全问题的改进方案。
- 高级加密标准
⚫ 高级加密标准(Advanced Encryption Standard,AES)是后来出现的一种对称加密算法。
⚫ AES 将数据分解成固定大小的分组,以分组为单位进行加密或解密。
⚫ AES 的主要参数是:分组长度、密钥长度与计算轮数。分组长度与密钥长度可以是 32 位的整数倍,范围是128〜256位。AES规定分组长度为 128位,密钥长度可以为128、192或256位,根据密钥长度分别称为:AES-128、AES-192或AES-256。
- 其他对称加密算法主要包括 IDEA、Blowfish、RC2、RC4、RC5、CAST 等。
18. 公钥密码基本特征
⚫ 公钥密码的基本特征是加密密钥与解密密钥不同,并且无法由加密密钥推导出解密密钥。
⚫ 公钥密码技术提供了两个密钥:公钥与私钥。其中,公钥是可以公开的密钥;私钥是需要严格保密的密钥。
⚫ 公钥密码技术使用的加密与解密算法公开。公钥密码的加密与解密算法是基于数学函数,而不是像对称密码那样地基于位模式的简单操作。
⚫ 公钥密码的出现对保密性、密钥分发与认证等都有深远的影响。
19. 公钥密码的应用领域
公钥密码技术 | 主要应用领域 |
---|---|
RSA | 数据加密、数字签名与密钥交换 |
EGG | 数据加密、数字签名与密钥交换 |
DSS | 数字签名 |
ElGamal | 数字签名 |
Diffie-Heilman | 密钥交换 |
20. 典型的非对称加密算法
- RSA
⚫ 1977年,Ron Rivest、Adi Shamir与Leonard Adleman 设计了一种加密算法,并用3 人的姓氏首字母命名该算法。
⚫ RSA 的理论基础是寻找大素数相对容易,而分解两个大素数的积在计算上不可行。
⚫ RSA 算法的安全性建立在大素数分解极其困难的基础上。
- 椭圆曲线密码(ECC)
⚫ 1985 年,椭圆曲线密码由 Neal Koblitz 和 Victor Miller 分别提出;
⚫ 其安全性建立在求解椭圆曲线离散对数的困难性上。
⚫ 在同等密钥长度的情况下,ECC 算法的安全性要远高于RSA 算法等。
- 其他非对称加密算法主要包括 DSS、ElGamal 与 Diffie-Hellman 等。
21. 公钥基础设施( PKI)
⚫ PKI 是利用公钥加密和数字签名技术建立的安全服务基础设施,以保证网络环境中数据的秘密性、完整性与不可抵赖性。
⚫ PKI 是一种针对电子商务、电子政务应用,利用非对称加密体系,提供安全服务的通用性网络安全基础设施。
⚫ PKI 系统对用户是透明的,用户获得加密和数字签名服务时,无须知道 PKI 是如何管理证书与密钥。
⚫ PKI 建立的安全通信信任平台与密钥管理体系,能够为所有网络应用提供加密与数字签名服务,实现 PKI
系统的关键是密钥的管理。
⚫ PKI 的主要任务是确定用户可信任的合法身份。这个信任关系是通过公钥证书来实现。公钥证书就是用户身份与所持有公钥的结合,这是由可信任的第 3 方权威机构(认证中心)来确认。
22. 数字签名
⚫ 在网络环境中,通常使用数字签名来模拟日常生活中的亲笔签名。
l 数字签名将信息发送人的身份与信息传送相结合,以保证信息在传输过程中的完整性,并提供信息发送者的身份认证,防止信息发送人抵赖行为的发生。
⚫ 利用非对称加密(例如 RSA 算法) 进行数字签名是最常用的方法。
⚫ 非对称加密算法(例如 RSA 算法)效率比较低,并对加密的信息块长度有一定的限制。在使用非对称加密算法进行数字签名前,通常先使用单向散列函数或哈希函数(Hashing Function 签名信息进行计算,生成信息摘要,并对信息摘要进行签名。
⚫ 目前,广泛应用的数字签名算法是消息摘要(Message Digest5,MD5)。它是 Rivest 于 1994 年发表的一种单向散列算法,可对任意长度的数据生成 128 位的散列值,也叫作不可逆指纹。
⚫ MD5 算法没有对数据进行加密或修改,只是生成一个用于判断数据完整性与真实性的散列值。
⚫ 因此,利用数字签名可验证数据在传输过程中是否被篡改,同时确认发送放的身份,防止信息交互中的抵赖现象发生。
23. TCP/IP 协议安全机制
⚫ 在主机-网络层(数据链路层对应它的一部分)中,主要的安全协议包括 PPTP、L2TP 与 UF 等。
⚫ 在互联层(或网络层)中,最主要的安全机制是 IPSec 的两个组成协议,即认证头部(AH)与封装安全有效载荷(ESP)。
⚫ 在传输层中,主要的安全协议包括 SSL、SSH 与 SOCKS 等。
⚫ 在应用层中,针对不同网络服务或应用的安全机制比较多,例如用于增强 Web 安全的 S-HTTP、用于保障邮件安全的 S/MIME、用于电子商务安全交易的 SET 等。
⚫ S/MIME 主要支持功能有:加密的数据、签名的数据、透明签名的数据、签名并加密的数据。
24. IPSec
⚫ IPSec 主要包括 3 个组成部分:认证头(Authentication Header,AH)、封装安全负载(Encapsulating Security Payload,ESP)与密钥管理协议。
⚫ 其中,AH 协议可提供数据源身份认证、数据完整性认证,以及可选的抗重放数据包功能;
⚫ ESP 协议可提供 AH 协议的所有功能与数据加密服务;
⚫ 密钥管理协议用于通信双方之间协商安全参数,例如工作模式、认证或加密算法、密钥与生存期等。
⚫ 实际上,AH 与 ESP 协议都是网络层的安全协议,而密钥管理协议是应用层的安全协议。
25. 安全套接层(SSL)协议
⚫ SSL 协议使用非对称加密*和数字证书技术,可保护信息传输的秘密性和完整性。SSL 是国际上最早应用于电子商务的一种网络安全协议。
⚫ 同期, Microsoft 公司开发了类似的 PCT 协议。鉴于 SSL 与 PCT 不兼容的现状, IETF 发布了传输层协议( Transport Layer Security, TLS),希望推动传输层安全协议的标准化。
26. SSL 协议特点
⚫ SSL 可用于 HTTP、FTP、TELNET 等, 但是目前主要应用于 HTTP 协议, 为基于 Web 服务的各种网络应用中的客户机与服务器之间的用户身份认证与安全数据传输提供服务。
⚫ SSL 处于端系统的应用层与传输层之间, 在 TCP 之上建立一个加密的安全通道,为 TCP 协议的数据传输提供安全保障。
⚫ 当 HTTP 协议使用 SSL 时, HTTP 请求、应答报文格式与处理方法不变。不同之处在于: 应用进程产生的报文通过 SSL 加密后, 再通过 TCP 连接传输; 在接收方的 TCP 软件将加密的报文传送给 SSL 解密后,再发送给应用层的 HTTP 协议。
⚫ 当 Web 系统釆用 SSL 时, Web 服务器的默认端口号从 80 变换为 443,Web 浏览器使用https 代替常用的http。
l SSL 主要包含两个协议:SSL 握手协议( SSL Handshake Protocol)与 SSL 记录协议( SSL Record Protocol),SSL 握手协议实现双方的加密算法协商与密钥传递; SSL 记录协议定义 SSL 数据传输格式, 实现对数据的加密与解密操作。
27. PGP 协议
⚫ PGP 协议于 1995 年开发, 包括电子邮件的加密、身份认证、数字签名等安全功能。
⚫ PGP 用来保证数据在传输过程中的安全, 它的设计思想与数字信封是一致的。
⚫ PGP 数字签名能够保证邮件的完整性、身份认证与不可抵赖性, 数据加密可以保证邮件内容的机密性。
⚫ 它主要由 5 种服务组成:鉴别、机密性、压缩、电子邮件的兼容性和分段,支持多语种安装平台。
⚫ 数字签名使用 DSS/SHA 或 RSA/SHA 算法,报文加密采用 CAST 或 IDEA,或使用 Diffie-Hellman 的 3DES 或 RSA 算法。
⚫ PGP 也提供了公共密钥认证机制,但是这个机制完全不同于通用的认证中心(CA)。PGP 公共密钥通过委托网站进行认证,它也可以通过互联网上的 PGP 公共密钥服务器发布。
28. 电子支付安全(SET)协议
⚫ 电子商务是以 Internet 环境为基础,在计算机系统支持下进行的商务活动。
⚫ 电子商务是基于浏览器/Web 服务器工作模式, 实现网上购物和在线支付的一种新型商业运营模式。
⚫ SET 使用了对称加密与非对称加密体系, 以及数字信封、数字签名、信息摘要技术与双重签名技术,以保证信息在 Web 环境中传输和处理的安全性。
29. 防火墙主要功能
⚫ 检查所有从外部网络进入内部网络的数据包。
⚫ 检查所有从内部网络流出到外部网络的数据包。
⚫ 执行安全策略,限制所有不符合安全策略要求的数据包通过。
⚫ 具有防攻击能力,保证自身安全性的能力。
30. 网络防火墙构成
常用防火墙有 3 种:包过滤路由器、应用级网关和电路级网关。
- 包过滤路由器
⚫ 包过滤路由器依据一套规则对收到的 IP 包进行处理,决定是转发还是丢弃。
⚫ 包过滤路由器也称为屏蔽路由器( Screening Router), 它是被保护的内部网络与外部网络之间的第一道防线。
⚫ 包过滤规则通常基于部分或全部报头内容。
⚫ 路由器按照设置的分组过滤规则( 即访问控制表),检查每个分组的源地址、目的地址,决定该分组是否应该转发。例如,对于 TCP 报头信息,可以是源地址、目的地址、协议类型、IP 选项、源端口号、目的端口号、TCPACK 标识等。
⚫ 包过滤路由器只工作于传输层也可以工作于应用层。
⚫ 应用级网关也叫代理服务器,它在应用级的通信中扮演着一个消息传递者的角色。应用级网关不足之处在于它在每次连接中有多余的处理开销,处理数据时开销较大。
⚫ 电路级网关不允许一个端到端的直接 TCP 连接。
31. 入侵检测系统的基本功能
① 监控、分析用户和系统的行为;
② 检查系统的配置和漏洞;
③ 评估重要的系统和数据文件的完整性;
④ 对异常行为的统计分析,识别攻击类型,并向网络管理入员报警;
⑤ 对操作系统进行审计、跟踪管理,识别违反授权的用户活动;
32. 网络蠕虫
⚫ 网络蠕虫的权威定义是:一种无须用户干预、依靠自身复制能力、自动通过网络进行传播的恶意代码。
⚫ 具有以下几个特点:冲击力度大,已导致很多部门的网络遭到严重破坏;大量通过垃圾邮件群发, 利用系统漏洞快速传播。
33. 蠕虫和病毒的区别
主要表现在以下几个方面:
⚫ 蠕虫是独立的程序,而病毒是寄生到其他程序中的一段程序。
⚫ 蠕虫是通过漏洞进行传播,而病毒是通过复制自身到宿主文件来实现传播。
⚫ 蠕虫感染计算机,而病毒感染的是文件系统。
⚫ 蠕虫会造成网络拥塞甚至瘫痪,而病毒破坏计算机的文件系统。
⚫ 防范蠕虫可通过及时修复漏洞的方法,而防治病毒需要依靠杀毒软件来查杀。
34. 认证中心(Certification Authority,CA)
⚫ 为了解决公共密钥可能会遭受第 3方的主动攻击,在实际当中引入了一个可信媒介 认证中心。
⚫ 认证中心(Certification Authority,CA)验证一个公共密钥是否属于一个特殊实体。
⚫ 认证中心负责将公共密钥和特定实体进行绑定,它的工作是证明身份的真实性和发放证书,
⚫ 国际电信联盟(ITU)和 IETF 制定了认证中心的标准。
⚫ CA 具有以下作用:
① CA 验证实体(个入、路由器等)的身份。
② 一旦 CA 验证了实体的身份,CA 就可以产生一个证书,将这个公共密钥和身份进行绑定。
35. 信息存储安全措施
信息存储安全措施至少要包括 3 类:
① 社会的法律政策、企业的规章制度及网络安全教育;
② 技术方面的措施,如防火墙技术、防病毒、信息加密、身份确认以及授权即设置访问权限等;
③ 审计与管理措施,包括技术与社会措施。主要有实时监控、提供安全策略改变的能力以及对安全系统实施漏洞检查等。
36. Caesar 密码加密
⚫ Caesar 密码加密方法为,对每一个字母用它之后的第 3 个字母来代换,明文空间和密文空间都是 26 个英文字母的集合。
⚫ Caesar 密钥取值范围为 1-25,最大的可能取值是 25。
37. 密文攻击
⚫ 唯密文攻击指的是在仅知已加密文字的情况下进行穷举攻击。
⚫ 已知明文攻击指攻击者掌握了某段明文和对应密文,推断加密方式,从而破解后段密文的攻击方式。
⚫ 选择明文攻击是指攻击者不仅已知加密算法和密文,而且还能够通过某种方式让发送者在发送的信息中插入一段由他选择的信息。
⚫ 选择密文攻击的密码分析者事先任意搜集一定数量的密文,让这些密文透过被攻击的加密算法解密,透过未知的密钥获得解密后的明文。
38. 背包加密算法
背包加密算法是一种公钥加密算法,该算法中背包的物品总重量是公开的,所有可能的物品也是公开的,但是背包中的物品却是保密的,它是一个 NP 难度问题。目前大多数一次背包*均被破译了,一次背包已不安全了。
39. Blowfish 算法
⚫ Blowfish 算法是由 Bruce Schneier 设计的一种对称分组密码;
⚫ Blowfish 是一个可变密钥长度的分组密码算法,分组长度为 64 位;
⚫ Blowfish 算法所有的运算都是 32 位字的加法和异或,仅有的另一个运算是每轮的四个查表。
40. RC5 算法
⚫ RC5 算法是 Ron Rivest 设计的一种堆成加密算法,它是参数可变的分组密码算法;
⚫ 3 个可变的参数是:分组大小、密钥大小和加密轮数。
⚫ 在此算法中使用了 3 种运算:异或、加和循环。
41. X.509 公共密钥证书
⚫ 在 X.509 公共密钥证书中,主题名是实体的身份,其公钥与证书相关,以 DN 格式表示;
⚫ 版本字段是 X.509 说明书的版本号;
⚫ 合法时期表示证书有效期的起止时间;
⚫ 发行者名是签发证书CA身份,以 DN格式[RFC-2253]表示。
42. 42.数字版权管理
数字版权管理主要采用的技术为数字水印、版权保护、数字签名和数据加密。