A. 計算機主要技術指標
(1)字長:指計算機運算機中寄存器的位數。字長帆賀越長,表示數的范圍越大,即有效數字的位數越多,計算精度越高。
(2)運算嫌睜速度:表示電子計算機運算快慢程度的指標,用每秒鍾所能執行的指令條數表示,單位為「次/秒」。
(3)存貯容量:指存貯器所能寄存的數字或指令的數量,即存貯器能夠存貯二進制信息的能力。
(4)存取周期:指存貯器進行一次完整的存取操作所需要的時間,存取周期在很大程度上決定著計算機的計算速度,它越短越好。
(1)計算機網路的性能指示擴展閱讀
計算機主要技術指標性能評價技術研究使性能成為數量化的、能進行度量和評比的客觀指標,以及從系統本身或從系統模型獲取有關性能信息的方法。前者即測量技術,後者包括模擬技術和分析技術。
性能評價通常是與成本分析綜合進行的,藉以獲得各種系統性能和性能價格比的定量值,從而指導新型計算機系統的設計和改進,以及指導計算機應用系統的設計和改進,包括選擇計算機類型、型號和確定系統配置等。
參考態者派資料來源:網路-電子計算機技術指標
B. 計算機網路體系結構的ISO/OSI網路體系結構
國際標准化組織ISO(International Standards Organization)在80年代提出的開放系統互聯參考模型OSI(Open System Interconnection),這個模型將計算機網路通信協議分為七層。這個模型是一個定義異構計算機連接標準的框架結構,其具有如下特點:
①網路中異構的每個節點均有相同的層次,相同層次具有相同的功能。
②同一節點內相鄰層次之間通過介面通信。
③相鄰層次間介面定義原語操作,由低層向高層提供服務。
④不同節點的相同層次之間的通信由該層次的協議管理,
⑤每層次完成對該層所定義的功能,修改本層次功能不影響其它層、
⑥僅在最低層進行直接數據傳送。
⑦定義的是抽象結構,並非具體實現的描述。
在OSI網路體系結構中、除了物理層之外,網路中數據的實際傳輸方向是垂直的。數據由用戶發送進程發送給應用層,向下經表示層、會話層等到達物理層,再經傳輸媒體傳到接收端,由接收端物理層接收,向上經數據鏈路層等到達應用層,再由用戶獲取。數據在由發送進程交給應用層時,由應用層加上該層有關控制和識別信息,再向下傳送,這一過程一直重復到物理層。在接收端信息向上傳遞時,各層的有關控制和識別信息被逐層剝去,最後數據送到接收進程。
現在一般在制定網路協議和標准時,都把ISO/OSI參考模型作為參照基準,並說明與該參照基準的對應關系。例如,在IEEE802區域網LAN標准中,只定義了物理層和數據鏈路層,並且增強了數據鏈路層的功能。在廣域網WAN協議中,CCITT的X.25建議包含了物理層、數據鏈路層和網路層等三層協議。一般來說,網路的低層協議決定了一個網路系統的傳輸特性,例如所採用的傳輸介質、拓撲結構及介質訪問控制方法等,這些通常由硬體來實現;網路的高層協議則提供了與網路硬體結構無關的,更加完善的網路服務和應用環境,這些通常是由網路操作系統來實現的。 物理層建立在物理通信介質的基礎上,作為系統和通信介質的介面,用來實現數據鏈路實體間透明的比特 (bit) 流傳輸。只有該層為真實物理通信,其它各層為虛擬通信。物理層實際上是設備之間的物理介面,物理層傳輸協議主要用於控制傳輸媒體。
(1)物理層的特性
物理層提供與通信介質的連接,提供為建立、維護和釋放物理鏈路所需的機械的、電氣的、功能的和規程的特性,提供在物理鏈路上傳輸非結構的位流以及故障檢測指示。物理層向上層提供位 (bit) 信息的正確傳送。
其中機械特性主要規定介面連接器的尺寸、芯數和芯的位置的安排、連線的根數等。電氣特性主要規定了每種信號的電平、信號的脈沖寬度、允許的數據傳輸速率和最大傳輸距離。功能特性規定了介面電路引腳的功能和作用。規程特性規定了介面電路信號發出的時序、應答關系和操作過程,例如,怎樣建立和拆除物理層連接,是全雙工還是半雙工等。
(2)物理層功能
為了實現數據鏈路實體之間比特流的透明傳輸,物理層應具有下述功能:
①物理連接的建立與拆除
當數據鏈路層請求在兩個數據鏈路實體之間建立物理連接時,物理層能夠立即為它們建立相應的物理連接。若兩個數據鏈路實體之間要經過若干中繼數據鏈路實體時,物理層還能夠對這些中繼數據鏈路實體進行互聯,以建立起一條有效的物理連接。當物理連接不再需要時,由物理層立即拆除。
②物理服務數據單元傳輸
物理層既可以採取同步傳輸方式,也可以採取非同步傳輸方式來傳輸物理服務數據單元。
③物理層管理
對物理層收發進行管理,如功能的激活 (何時發送和接收、異常情況處理等)、差錯控制 (傳輸中出現的奇偶錯和格式錯)等。 數據鏈路層為網路層相鄰實體間提供傳送數據的功能和過程;提供數據流鏈路控制;檢測和校正物理鏈路的差錯。物理層不考慮位流傳輸的結構,而數據鏈路層主要職責是控制相鄰系統之間的物理鏈路,傳送數據以幀為單位,規定字元編碼、信息格式,約定接收和發送過程,在一幀數據開頭和結尾附加特殊二進制編碼作為幀界識別符,以及發送端處理接收端送回的確認幀,保證數據幀傳輸和接收的正確性,以及發送和接收速度的匹配,流量控制等。
(1)數據鏈路層的目的
提供建立、維持和釋放數據鏈路連接以及傳輸數據鏈路服務數據單元所需的功能和過程的手段。數據鏈路連接是建立在物理連接基礎上的,在物理連接建立以後,進行數據鏈路連接的建立和數據鏈路連接的拆除。具體說,每次通信前後,雙方相互聯系以確認一次通信的開始和結束,在一次物理連接上可以進行多次通信。數據鏈路層檢測和校正在物理層出現的錯誤。
(2)數據鏈路層的功能和服務
數據鏈路層的主要功能是為網路層提供連接服務,並在數據鏈路連接上傳送數據鏈路協議數據單元L-PDU,一般將L-PDU稱為幀。數據鏈路層服務可分為以下三種:
①無應答、無連接服務。發送前不必建立數據鏈路連接,接收方也不做應答,出錯和數據丟失時也不做處理。這種服務質量低,適用於線路誤碼率很低以及傳送實時性要求高的 (例如語音類的)信息等。
②有應答、無連接服務。當發送主機的數據鏈路層要發送數據時,直接發送數據幀。目標主機接收數據鏈路的數據幀,並經校驗結果正確後,向源主機數據鏈路層返回應答幀;否則返回否定幀,發送端可以重發原數據幀。這種方式發送的第一個數據幀除傳送數據外,也起數據鏈路連接的作用。這種服務適用於一個節點的物理鏈路多或通信量小的情況,其實現和控制都較為簡單。
③面向連接的服務。該服務一次數據傳送分為三個階段:數據鏈路建立,數據幀傳送和數據鏈路的拆除。數據鏈路建立階段要求雙方的數據鏈路層作好傳送的准備;數據傳送階段是將網路層遞交的數據傳送到對方;數據鏈路拆除階段是當數據傳送結束時,拆除數據鏈路連接。這種服務的質量好,是ISO/OSI參考模型推薦的主要服務方式。
(3)數據鏈路數據單元
數據鏈路層與網路層交換數據格式為服務數據單元。數據鏈路服務數據單元,配上數據鏈路協議控制信息,形成數據鏈路協議數據單元。
數據鏈路層能夠從物理連接上傳輸的比特流中,識別出數據鏈路服務數據單元的開始和結束,以及識別出其中的每個欄位,實現正確的接收和控制。能按發送的順序傳輸到相鄰結點。
(4)數據鏈路層協議
數據鏈路層協議可分為面向字元的通信規程和面向比特的通信規程。
面向字元的通信規程是利用控制字元控制報文的傳輸。報文由報頭和正文兩部分組成。報頭用於傳輸控制,包括報文名稱、源地址、目標地址、發送日期以及標識報文開始和結束的控制字元。正文則為報文的具體內容。目標節點對收到的源節點發來的報文,進行檢查,若正確,則向源節點發送確認的字元信息;否則發送接收錯誤的字元信息。
面向比特的通信規程典型是以幀為傳送信息的單位,幀分為控制幀和信息幀。在信息幀的數據欄位 (即正文)中,數據為比特流。比特流用幀標志來劃分幀邊界,幀標志也可用作同步字元。 廣域網路一般都劃分為通信子網和資源子網,物理層、數據鏈路層和網路層組成通信子網,網路層是通信子網的最高層,完成對通信子網的運行控制。網路層和傳輸層的界面,既是層間的介面,又是通信子網和用戶主機組成的資源子網的界限,網路層利用本層和數據鏈路層、物理層兩層的功能向傳輸層提供服務。
數據鏈路層的任務是在相鄰兩個節點間實現透明的無差錯的幀級信息的傳送,而網路層則要在通信子網內把報文分組從源節點傳送到目標節點。在網路層的支持下,兩個終端系統的傳輸實體之間要進行通信,只需把要交換的數據交給它們的網路層便可實現。至於網路層如何利用數據鏈路層的資源來提供網路連接,對傳輸層是透明的。
網路層控制分組傳送操作,即路由選擇,擁塞控制、網路互連等功能,根據傳輸層的要求來選擇服務質量,向傳輸層報告未恢復的差錯。網路層傳輸的信息以報文分組為單位,它將來自源的報文轉換成包文,並經路徑選擇演算法確定路徑送往目的地。網路層協議用於實現這種傳送中涉及的中繼節點路由選擇、子網內的信息流量控制以及差錯處理等。
(1)網路層功能
網路層的主要功能是支持網路層的連接。網路層的具體功能如下:
①建立和拆除網路連接
在數據鏈路層提供的數據鏈路連接的基礎上,建立傳輸實體間或者若干個通信子網的網路連接。互連的子網可採用不同的子網協議。
②路徑選擇、中繼和多路復用
網際的路徑和中繼不同與網內的路徑和和中繼,網路層可以在傳輸實體的兩個網路地址之間選擇一條適當的路徑,或者在互連的子網之間選擇一條適當的路徑和中繼。並提供網路連接多路復用的數據鏈路連接,以提高數據鏈路連接的利用率。
③分組、組塊和流量控制
數據分組是指將較長的數據單元分割為一些相對較小的數據單元;數據組塊是指將一些相對較小的數據單元組成塊後一起傳輸。用以實現網路服務數據單元的有序傳輸,以及對網路連接上傳輸的網路服務數據單元進行有效的流量控制,以免發生信息堵塞現象。
④差錯的檢測與恢復
利用數據鏈路層的差錯報告,以及其他的差錯檢測能力來檢測經網路連接所傳輸的數據單元,檢測是否出現異常情況。並可以從出錯狀態中解脫出來。
(2)數據報和虛電路
網路層中提供兩種類型的網路服務,即無連接服務和面向連接的服務。它們又被稱為數據報服務和虛電路服務。
①數據報 (Datagram)服務
在數據報方式,網路層從傳輸層接受報文,拆分為報文分組,並且獨立地傳送,因此數據報格式中包含有源和目標節點的完整網路地址、服務要求和標識符。發送時,由於數據報每經過一個中繼節點時,都要根據當時情況按照一定的演算法為其選擇一條最佳的傳輸路徑,因此,數據報服務不能保證這些數據報按序到達目標節點,需要在接收節點根據標識符重新排序。
數據報方式對故障的適應性強,若某條鏈路發生故障,則數據報服務可以繞過這些故障路徑而另選擇其他路徑,把數據報傳送至目標節點。數據報方式易於平衡網路流量,因為中繼節點可為數據報選擇一條流量較少的路由,從而避開流量較高的路由。數據報傳輸不需建立連接,目標節點在收到數據報後,也不需發送確認,因而是一種開銷較小的通信方式。但是發方不能確切地知道對方是否准備好接收、是否正在忙碌,故數據報服務的可靠性不是很高。而且數據報發送每次都附加源和目標主機的全網名稱降低了信道利用率。
②虛電路 (Virtue Circuit) 服務
在虛電路傳輸方式下,在源主機與目標主機通信之前,必須為分組傳輸建立一條邏輯通道,稱為虛電路。為此,源節點先發送請求分組Call-Request,Call-Request包含了源和目標主機的完整網路地址。Call-Request途徑每一個通信網路節點時,都要記下為該分組分配的虛電路號,並且路由器為它選擇一條最佳傳輸路由發往下一個通信網路節點。當請求分組到達目標主機後,若它同意與源主機通信,沿著該虛電路的相反方向發送請求分組Call-Request給源節點,當在網路層為雙方建立起一條虛電路後,每個分組中不必再填上源和目標主機的全網地址,而只需標上虛電路號,即可以沿著固定的路由傳輸數據。當通信結束時,將該虛電路拆除。
虛電路服務能保證主機所發出的報文分組按序到達。由於在通信前雙方已進行過聯系,每發送完一定數量的分組後,對方也都給予了確認,故可靠性較高。
③路由選擇
網路層的主要功能是將分組從源節點經過選定的路由送到目標節點,分組途經多個通信網路節點造成多次轉發,存在路由選擇問題。路由選擇或稱路徑控制,是指網路中的節點根據通信網路的情況 (可用的數據鏈路、各條鏈路中的信息流量),按照一定的策略 (傳輸時間最短、傳輸路徑最短等)選擇一條可用的傳輸路由,把信息發往目標節點。
網路路由選擇演算法是網路層軟體的一部分,負責確定所收到的分組應傳送的路由。當網路內部採用無連接的數據報方式時,每傳送一個分組都要選擇一次路由。當網路層採用虛電路方式時,在建立呼叫連接時,選擇一次路徑,後繼的數據分組就沿著建立的虛電路路徑傳送,路徑選擇的頻度較低。
路由選擇演算法可分為靜態演算法和動態演算法。靜態路由演算法是指總是按照某種固定的規則來選擇路由,例如,擴散法、固定路由選擇法、隨機路由選擇法和流量控制選擇法。動態路由演算法是指根據拓撲結構以及通信量的變化來改變路由,例如,孤立路由選擇法、集中路由選擇法、分布路由選擇法、層次路由選擇法等 從傳輸層向上的會話層、表示層、應用層都屬於端一端的主機協議層。傳輸層是網路體系結構中最核心的一層,傳輸層將實際使用的通信子網與高層應用分開。從這層開始,各層通信全部是在源與目標主機上的各進程間進行的,通信雙方可能經過多個中間節點。傳輸層為源主機和目標主機之間提供性能可靠、價格合理的數據傳輸。具體實現上是在網路層的基礎上再增添一層軟體,使之能屏蔽掉各類通信子網的差異,向用戶提供一個通用介面,使用戶進程通過該介面,方便地使用網路資源並進行通信。
(1) 傳輸層功能
傳輸層獨立於所使用的物理網路,提供傳輸服務的建立、維護和連接拆除的功能;選擇網路層提供的最適合的服務。傳輸層接收會話層的數據,分成較小的信息單位,再送到網路層,實現兩傳輸層間數據的無差錯透明傳送。
傳輸層可以使源與目標主機之間以點對點的方式簡單地連接起來。真正實現端一端間可靠通信。傳輸層服務是通過服務原語提供給傳輸層用戶(可以是應用進程或者會話層協議),傳輸層用戶使用傳輸層服務是通過傳送服務埠TSAP實現的。當一個傳輸層用戶希望與遠端用戶建立連接時,通常定義傳輸服務訪問點TSAP。提供服務的進程在本機TSAP埠等待傳輸連接請求,當某一節點機的應用程序請求該服務時,向提供服務的節點機的TSAP埠發出傳輸連接請求,並表明自己的埠和網路地址。如果提供服務的進程同意,就向請求服務的節點機發確認連接,並對請求該服務的應用程序傳遞消息,應用程序收到消息後,釋放傳輸連接。
傳輸層提供面向連接和無連接兩種類型的服務。這兩種類型的服務和網路層的服務非常相似。傳輸層提供這兩種類型服務的原因是因為,用戶不能對通信子網加以控制,無法通過使用通信處理機來改善服務質量。傳輸層提供比網路層更可靠的端一端間數據傳輸,更完善的查錯糾錯功能。傳輸層之上的會話層、表示層、應用層都不包含任何數據傳送的功能。
(2)傳輸層協議類型
傳輸層協議和網路層提供的服務有關。網路層提供的服務於越完善,傳輸層協議就越簡單,網路層提供的服務越簡單,傳輸層協議就越復雜。傳輸層服務可分成五類:
0類:提供最簡單形式的傳送連接,提供數據流控制。
1類:提供最小開銷的基本傳輸連接,提供誤差恢復。
2類:提供多路復用,允許幾個傳輸連接多路復用一條鏈路。
3類:具有0類和1類的功能,提供重新同步和重建傳輸連接的功能。
4類:用於不可靠傳輸層連接,提供誤差檢測和恢復。
基本協議機制包括建立連接、數據傳送和拆除連接。傳輸連接涉及四種不同類型的標識:
用戶標識:即服務訪問點SAP,允許實體多路數據傳輸到多個用戶。
網路地址:標識傳輸層實體所在的站。
協議標識:當有多個不同類型的傳輸協議的實體,對網路服務標識出不同類型的協議。
連接標識:標識傳送實體,允許傳輸連接多路復用。 會話是指兩個用戶進程之間的一次完整通信。會話層提供不同系統間兩個進程建立、維護和結束會話連接的功能;提供交叉會話的管理功能,有一路交叉、兩路交叉和兩路同時會話的3種數據流方向控制模式。會話層是用戶連接到網路的介面。
(1)會話層的主要功能
會話層的目的是提供一個面向應用的連接服務。建立連接時,將會話地址映射為傳輸地址。會話連接和傳輸連接有三種對應關系,一個會話連接對應一個傳輸連接;多個會話連接建立在一個傳輸連接上;一個會話連接對應多個傳輸連接。
數據傳送時,可以進行會話的常規數據、加速數據、特權數據和能力數據的傳送。
會話釋放時,允許正常情況下的有序釋放;異常情況下由用戶發起的異常釋放和服務提供者發起的異常釋放。
(2)會話活動
會話服務用戶之間的交互對話可以劃分為不同的邏輯單元,每個邏輯單元稱為活動。每個活動完全獨立於它前後的其他活動,且每個邏輯單元的所有通信不允許分隔開。
會話活動由會話令牌來控制,保證會話有序進行。會話令牌分為四種,數據令牌、釋放令牌、次同步令牌和主同步令牌。令牌是互斥使用會話服務的手段。
會話用戶進程間的數據通信一般採用互動式的半雙工通信方式。由會話層給會話服務用戶提供數據令牌來控制常規數據的傳送,有數據令牌的會話服務用戶才可發送數據,另一方只能接收數據。當數據發完之後,就將數據令牌轉讓給對方,對方也可請求令牌。
(3)會話同步
在會話服務用戶組織的一個活動中,有時要傳送大量的信息,如將一個文件連續發送給對方,為了提高數據發送的效率,會話服務提供者允許會話用戶在傳送的數據中設置同步點。一個主同步點表示前一個對話單元的結束及下一個對話單元的開始。在一個對話單元內部或者說兩個主同步點之間可以設置次同步點,用於會話單元數據的結構化。當會話用戶持有數據令牌、次同步令牌和主同步令牌時就可在發送數據流中用相應的服務原語設置次同步點和主同步點。
一旦出現高層軟體錯誤或不符合協議的事件則發生會話中斷,這時會話實體可以從中斷處返回到一個已知的同步點繼續傳送,而不必從文件的開頭恢復會話。會話層定義了重傳功能,重傳是指在已正確應答對方後,在後期處理中發現出錯而請求的重傳,又稱為再同步。為了使發送端用戶能夠重傳,必須保存數據緩沖區中已發送的信息數據,將重新同步的范圍限制在一個對話單元之內,一般返回到前一個次同步點,最多返回到最近一個主同步點。 應用層作為用戶訪問網路的介面層,給應用進程提供了訪問OSI環境的手段。
應用進程藉助於應用實體 (AE)、實用協議和表示服務來交換信息,應用層的作用是在實現應用進程相互通信的同時,完成一系列業務處理所需的服務功能。當然這些服務功能與所處理的業務有關。
應用進程使用OSI定義和通信功能,這些通信功能是通過OSI參考模型各層實體來實現的。應用實體是應用進程利用OSI通信功能的唯一窗口。它按照應用實體間約定的通信協議 (應用協議),傳送應用進程的要求,並按照應用實體的要求在系統間傳送應用協議控制信息,有些功能可由表示層和表示層以下各層實現。
應用實體由一個用戶元素和一組應用服務元素組成。用戶元素是應用進程在應用實體內部,為完成其通信目的,需要使用的那些應用服務元素的處理單元。實際上,用戶元素向應用進程提供多種形式的應用服務調用,而每個用戶元素實現一種特定的應用服務使用方式。用戶元素屏蔽應用的多樣性和應用服務使用方式的多樣性,簡化了應用服務的實現。應用進程完全獨立於OSI環境,它通過用戶元素使用OSI服務。
應用服務元素可分為兩類,公共應用服務元素 (CASE)和特定應用服務元素 (SASE)。公共應用服務元素是用戶元素和特定應用服務元素公共使用的部分,提供通用的最基本的服務,它使不同系統的進程相互聯系並有效通信。它包括聯系控制元素、可靠傳輸服務元素、遠程操作服務元素等;特定應用服務元素提供滿足特定應用的服務。包括虛擬終端、文件傳輸和管理、遠程資料庫訪問、作業傳送等。對於應用進程和公共應用服務元素來說,用戶元素具有發送和接收能力。對特定服務元素來說,用戶元素是請求的發送者,也是響應的最終接收者。
C. 計算機網路之RDMA技術(七)Queue Pair
姓名:周肇星;學號:22011110028;學院:通信工程學院
部分素材取自 https://zhuanlan.hu.com/p/195757767
【嵌牛導讀】RDMA技術全稱遠程直接數據存取,就是為了解決網路傳輸中伺服器端數據處理的延遲而產生的。RDMA通過網路把資料直接傳入計算機的存儲區,將數據從一個系統快速移動到遠程系統存儲器中,而不對操作系統造成任何影響,這樣就不需要用到多少計算機的處理功能。它消除了外部存儲器復制和上下文切換的開銷,因而能解放內存帶寬和CPU周期用於改進應用系統性能。本專題將針對RDMA技術進行介紹!
【嵌牛鼻子】計算機網路,高性能網路,RDMA
【嵌牛提問】讀完本文,對RDMA技術的QP概念有所認識了嗎?
【嵌牛正文】
InfiniBand specification R1.3, Chapter3, 3.2.1, Page 98【QP與相關元素的概念】
InfiniBand specification R1.3, Chapter3, 3.5.1, Page 108【QP與相關元素的概念】
InfiniBand specification R1.3, Chapter3, 3.5.10, Page 117【QPN、QP0、QP1的概述】
InfiniBand specification R1.3, Chapter3, 3.7.5.1, Page 137【SMI使用QP0】
InfiniBand specification R1.3, Chapter3, 3.7.5.2, Page 138【GSI使用QP1】
InfiniBand specification R1.3, Chapter3, 3.8, Page 139【QP包含SQ與RQ】
InfiniBand specification R1.3, Chapter3, 3.8, Page 139【通道適配器對WQE的處理與數據的收發】
InfiniBand specification R1.3, Chapter3, 3.9, Page 143【GSI模型具體描述】
InfiniBand specification R1.3, Chapter3, 3.9.4, Page 145【QP0限定為無連接的數據報服務類型】
InfiniBand specification R1.3, Chapter3, 3.9.5, Page 147【QP1限定為無連接的數據報服務類型】
InfiniBand specification R1.3, Chapter3, 3.9.5.1, Page 147【允許QP1重定向的原因與機制】
根據IB協議中的描述,QP是硬體和軟體之間的一個虛擬介面。QP由一個發送隊列SQ與接收隊列RQ組成,SQ與RQ均是隊列結構,按順序存儲著軟體給硬體下發的任務(WQE),WQE中包含從哪裡取出多長的數據,並且發送給哪個目的地等等信息
通道適配器硬體接收到WQE後,讀取WQE、並解析其中的命令,驗證WQE的虛擬地址,將其轉換為物理地址,並訪問對應的數據。數據可通過一個或切分成多個數據包被傳輸出去,通道適配器為每個數據包添加一個傳輸頭,如果目標位於其它子網上,則再添加上網路頭部,隨後添加本地路由頭、並計算效驗和
當數據到達目的節點時,驗證校驗和後,傳輸頭指出了目標QP,通道適配器通過該QP的QP Context檢查數據包是否來自正確的源端。對於SEND操作,QP從其接收隊列中取出WQE,從中檢索接收緩存區的虛擬地址、並轉換成接收物理地址,將數據寫入相應的位置,如果這不是消息的最後一個包,QP則在其QP Context中保存當前寫的位置,並等待下一個包,然後繼續寫入緩存區,直至接收到最後一個包,然後該接收WQE退役,並向源端發送ACK確認
當發起者收到確認時,它會在CQ上創建一個CQE,並將WQE從發送隊列中退出。一個QP可以在任何時候有多個未完成的消息,但接收端總是按照發送的順序進行確認,因此WQE會按發送的順序退役
對於可靠的服務類型,如果QP檢測到一個或多個丟失的數據包,它會向發送者發送一條NAK消息指示其下一個預期的序列號。然後發起者可以從預期的數據包開始重新發送
每個QP間都是獨立的,彼此通過PD隔離,因此一個QP可以被視為某個用戶獨占的一種資源,一個用戶也可以同時使用多個QP
QP有很多種服務類型,包括RC、UD、RD和UC等,所有的源QP和目的QP必須為同一種類型才能進行數據交互
雖然IB協議將QP稱為「虛擬介面」,但是它是有實體的:
QP Number簡稱為QPN,就是每個QP的編號。IB協議中規定用24個bit來表示QPN,即每個節點最大可以同時使用2^24個QP,每個節點都各自維護著QPN的集合,由通道適配器分配,相互之間是獨立的,即QPN編號在各節點內唯一、不同的節點上可以存在編號相同的QP
編號為0的QP用於子網管理介面SMI(Subnet Management Interface),用於管理子網中的全部節點
子網管理器使用通過QP0發送、接收被稱為子網管理報文SMP(Subnet Management Packet)的特殊類型的MAD(Management Datagram)報文(並僅發送接收SMP,其餘數據無效)
並且QP0被永久配置為不可靠的數據報的服務類型
編號為1的QP用於通用服務介面GSI(General Service Interface)
GSI使用QP1進行初始通信,但允許對特定類的流量重定向到特權QP上,這是因為所有管理類數據包都進入同一隊列,將導致瓶頸問題、線頭阻塞現象,因此設計了重定向到其它QP的機制。當通道適配器接收到QP1上的GMP報文時,它可能會響應為一個指示新埠和QP的重定向響應,然後發起者將請求重新發送到新地址,並將該地址用於同一管理類的所有後續請求
並且QP1被永久配置為不可靠的數據報的服務類型,QP1上僅能收發MAD數據包
通用服務代理GSA(General Service Agents)是由許多管理服務代理組合而成,通用服務GA(General Service)使用稱為通用管理報文GMP(General Service Packet)的報文,該報文是一種特殊的MAD報文
GSA中最出名的就是CM(Communication Management),是一種在通信雙方節點正式建立連接之前用來交換必須信息的一種方式
QPC全稱是Queue Pair Context,用於存儲QP相關屬性
QP在硬體上的實體只是一段存儲空間而已,硬體除了知道這段空間的起始地址和大小之外一無所知,甚至連這個QP服務類型都不知道。還有很多其他的重要信息,比如某個QP中包含了若干個WQE,硬體怎麼知道有多少個,當前應該處理第幾個呢?
所以就需要軟體通過操作系統提前申請好一大片連續的空間,即QPC來承載這些信息給硬體看。網卡及其配套的驅動程序提前約定好了QPC中都有哪些內容,這些內容分別占據多少空間,按照什麼順序存放。這樣驅動和硬體就可以通過通過QPC這段空間來讀寫QP的狀態等等信息
如上圖所示,硬體其實只需要知道QPC的地址0x12350000就可以了,因為它可以解析QPC的內容,從而得知QP的位置,QP序號,QP大小等等信息。進而就能找到QP,知道應該取第幾個WQE去處理。不同的廠商可能實現有些差異,但是大致的原理就是這樣
四種操作都有配套的Verbs介面,類似於ibv_create_qp()這種形式,編寫APP時直接調用就可以了
創建一個QP的軟硬體資源,包含QP本身以及QPC。用戶創建時會寫傳入一系列的初始化屬性,包含該QP的服務類型,可以儲存的WQE數量等信息
釋放一個QP的全部軟硬體資源,包含QP本身及QPC。銷毀QP後,用戶將無法通過QPN索引到這個QP
修改一個QP的某些屬性,比如QP的狀態,路徑的MTU等等。這個修改過程既包括軟體數據結構的修改,也包括對QPC的修改
查詢一個QP當前的狀態和一些屬性,查詢到的數據來源於驅動以及QPC的內容
在行為上都是軟體向QP中填寫一個WQE(對應用層來說叫WR),請求硬體執行一個動作。所以這兩種行為都叫做「Post XXX Request」的形式,即下發XXX請求
Post Send本身不是指這個WQE的操作類型是Send,而是表示這個WQE屬於通信發起方。這個流程中填寫到QP中的WQE/WR可以是Send操作,RDMA Write操作以及RDMA Read操作等
用戶需要提前准備好數據緩沖區、目的地址等信息,然後調用介面將WR傳給驅動,驅動再把WQE填寫到QP中
Post Recv的使用場景就相對比較少了,一般只在Send-Recv操作的接收端執行,接收端需要提前准備好接收數據的緩沖區,並將緩沖區地址等信息以WQE的形式告知硬體
D. 介紹一下網路系統基礎知識~謝謝哈
最熱門的話題是INTERNET與非同步傳輸模式ATM技術。
信息技術與網路的應用已經成為衡量21世界國力與企業競爭力的重要標准。
國家信息基礎設施建設計劃,NII被稱為信息高速公路。
Internet,Intranet與Extranet和電子商務已經成為企業網研究與應用的熱點。
計算機網路建立的主要目標是實現計算機資源的共享。計算機資源主要是計算機硬體,軟體與數據。
我們判斷計算機是或互連成計算機網路,主要是看它們是不是獨立的「自治計算機」。
分布式操作系統是以全局方式管理系統資源,它能自動為用戶任務調度網路資源。
分布式系統與計算機網路的主要是區別不在他們的物理結構,而是在高層軟體上。
按傳輸技術分為:1。廣播式網路。2。點--點式網路。
採用分組存儲轉發與路由選擇是點-點式網路與廣播網路的重要區別之一。
按規模分類:區域網,城域網與廣域網。
廣域網(遠程網)以下特點:
1 適應大容量與突發性通信的要求。
2 適應綜合業務服務的要求。
3 開放的設備介面與規范化的協議。
4 完善的通信服務與網路管理。
X.25網是一種典型的公用分組交換網,也是早期廣域網中廣泛使用的一種通信子網。
變化主要是以下3個方面:
1 傳輸介質由原來的電纜走向光纖。
2 多個區域網之間告訴互連的要求越來越強烈。
3 用戶設備大大提高。
在數據傳輸率高,誤碼率低的光纖上,使用簡單的協議,以減少網路的延遲,而必要的差錯控制功能將由用戶設備來完成。這就是幀中續FR,Frame Relay技術產生的背景。
決定區域網特性的主要技術要素為網路拓撲,傳輸介質與介質訪問控制方法。
從區域網介質控制方法的角度,區域網分為共享式區域網與交換式區域網。
城域網MAN介於廣域網與區域網之間的一種高速網路。
FDDI是一種以光纖作為傳輸介質的高速主幹網,它可以用來互連區域網與計算機。
各種城域網建設方案有幾個相同點:傳輸介質採用光纖,交換接點採用基於IP交換的高速路由交換機或ATM交換機,在體系結構上採用核心交換層,業務匯聚層與接入層三層模式。
計算機網路的拓撲主要是通信子網的拓撲構型。
網路拓撲可以根據通信子網中通信信道類型分為:
4 點-點線路通信子網的拓撲。星型,環型,樹型,網狀型。
5 廣播式通信子網的拓撲。匯流排型,樹型,環型,無線通信與衛星通信型。
傳輸介質是網路中連接收發雙方的物理通路,也是通信中實際傳送信息的載體。
常用的傳輸介質為:雙絞線,同軸電纜,光纖電纜和無線通信與衛星通信信道。
雙絞線由按規則螺旋結構排列的兩根,四根或八根絕緣導線組成。
屏蔽雙絞線STP和非屏蔽雙絞線UTP。
屏蔽雙絞線由外部保護層,屏蔽層與多對雙絞線組成。
非屏蔽雙絞線由外部保護層,多對雙絞線組成。
三類線,四類線,五類線。
雙絞線用做遠程中續線,最大距離可達15公里;用於100Mbps區域網時,與集線器最大距離為100米。
同軸電纜由內導體,外屏蔽層,絕緣層,外部保護層。
分為:基帶同軸電纜和寬頻同軸電纜。
單信道寬頻:寬頻同軸電纜也可以只用於一條通信信道的高速數字通信。
光纖電纜簡稱為光纜。
由光纖芯,光層與外部保護層組成。
在光纖發射端,主要是採用兩種光源:發光二極體LED與注入型激光二極體ILD。
光纖傳輸分為單模和多模。區別在與光釺軸成的角度是或分單與多光線傳播。
單模光纖優與多模光纖。
電磁波的傳播有兩種方式:1。是在空間自由傳播,既通過無線方式。
2。在有限的空間,既有線方式傳播。
移動通信:移動與固定,移動與移動物體之間的通信。
移動通信手段:
1 無線通信系統。
2 微波通信系統。
頻率在100MHz-10GHz的信號叫做微波信號,它們對應的信號波長為3m-3cm。
3 蜂窩移動通信系統。
多址接入方法主要是有:頻分多址接入FDMA,時分多址接入TDMA與碼分多址接入CDMA。
4 衛星移動通信系統。
商用通信衛星一般是被發射在赤道上方35900km的同步軌道上
描述數據通信的基本技術參數有兩個:數據傳輸率與誤碼率。
數據傳輸率是描述數據傳輸系統的重要指標之一。S=1/T。
對於二進制信號的最大數據傳輸率Rmax與通信信道帶寬B(B=f,單位是Hz)的關系可以寫為: Rmax=2*f(bps)
在有隨機熱雜訊的信道上傳輸數據信號時,數據傳輸率Rmax與信道帶寬B,信噪比S/N關系為: Rmax=B*LOG⒉(1+S/N)
誤碼率是二進制碼元在數據傳輸系統中被傳錯的概率,它在數值上近似等於:
Pe=Ne/N(傳錯的除以總的)
對於實際數據傳輸系統,如果傳輸的不是二進制碼元,要摺合為二進制碼元來計算。
這些為網路數據傳遞交換而指定的規則,約定與標准被稱為網路協議。
協議分為三部分:語法。語義。時序。
將計算機網路層次模型和各層協議的集合定義為計算機網路體系結構。
計算機網路中採用層次結構,可以有以下好處:
1 各層之間相互獨立。
2 靈活性好。
3 各層都可以採用最合適的技術來實現,各層實現技術的改變不影響其他各層。
4 易於實現和維護。
5 有利於促進標准化。
該體系結構標準定義了網路互連的七層框架,既ISO開放系統互連參考模型。在這一框架中進一步詳細規定了每一層的功能,以實現開放系統環境中的互連性,互操作性與應用的可移植性。
OSI 標准制定過程中採用的方法是將整個龐大而復雜的問題劃分為若干個容易處理的小問題,這就是分層的體系結構辦法。在OSI中,採用了三級抽象,既體系結構,服務定義,協議規格說明。
OSI七層:
2 物理層:主要是利用物理傳輸介質為數據鏈路層提供物理連接,以便透明的傳遞比特流。
3 數據鏈路層。在通信實體之間建立數據鏈路連接,傳送以幀為單位的數據,採用差錯控制,流量控制方法。
4 網路層:通過路由演算法,為分組通過通信子網選擇最適當的路徑。
5 傳輸層:是向用戶提供可靠的端到端服務,透明的傳送報文。
6 會話層:組織兩個會話進程之間的通信,並管理數據的交換。
7 表示層:處理在兩個通信系統中交換信息的表示方式。
8 應用層:應用層是OSI參考模型中的最高層。確定進程之間通信的性質,以滿足用戶的需要。
TCP/IP參考模型可以分為:應用層,傳輸層,互連層,主機-網路層。
互連層主要是負責將源主機的報文分組發送到目的主機,源主機與目的主機可以在一個網上,也可以不在一個網上。
傳輸層主要功能是負責應用進程之間的端到端的通信。
TCP/IP參考模型的傳輸層定義了兩種協議,既傳輸控制協議TCP和用戶數據報協議UDP。
TCP協議是面向連接的可靠的協議。UDP協議是無連接的不可靠協議。
主機-網路層負責通過網路發送和接受IP數據報。
按照層次結構思想,對計算機網路模塊化的研究結果是形成了一組從上到下單向依賴關系的協議棧,也叫協議族。
應用層協議分為:
1。一類依賴於面向連接的TCP。
2.一類是依賴於面向連接的UDP協議。
10 另一類既依賴於TCP協議,也可以依賴於UDP協議。
NSFNET採用的是一種層次結構,可以分為主幹網,地區網與校園網。
作為信息高速公路主要技術基礎的數據通信網具有以下特點:
1 適應大容量與突發性通信的要求。
2 適應綜合業務服務的要求。
3 開放的設備介面與規范化的協議。
4 完善的通信服務與網路管理。
人們將採用X。25建議所規定的DTE與DCE介面標準的公用分組交換網叫做X。25網。
幀中繼是一種減少接點處理時間的技術。
綜合業務數字網ISDN:
B-ISDN與N-ISDN的區別主要在:
2 N是以目前正在使用的公用電話交換網為基礎,而B是以光纖作為干線和用戶環路傳輸介質。
3 N採用同步時分多路復用技術,B採用非同步傳輸模式ATM技術。
4 N各通路速率是預定的,B使用通路概念,速率不預定。
非同步傳輸模式ATM是新一代的數據傳輸與分組交換技術,是當前網路技術研究與應用的熱點問題。
ATM技術的主要特點是:
3 ATM是一種面向連接的技術,採用小的,固定長度的數據傳輸單元。
4 各類信息均採用信元為單位進行傳送,ATM能夠支持多媒體通信。
5 ATM以統計時分多路復用方式動態的分配網路,網路傳輸延遲小,適應實時通信的要求。
6 ATM沒有鏈路對鏈路的糾錯與流量控制,協議簡單,數據交換率高。
7 ATM的數據傳輸率在155Mbps-2。4Gbps。
促進ATM發展的要素:
2 人們對網路帶寬要求的不斷增長。
3 用戶對寬頻智能使用靈活性的要求。
4 用戶對實時應用的需求。
5 網路的設計與組建進一步走向標准化的需求。
一個國家的信息高速路分為:國家寬頻主幹網,地區寬頻主幹網與連接最終用戶的接入網。
解決接入問題的技術叫做接入技術。
可以作為用戶接入網三類:郵電通信網,計算機網路(最有前途),廣播電視網。
網路管理包括五個功能:配置管理,故障管理,性能管理,計費管理和安全管理。
代理位於被管理的設備內部,它把來自管理者的命令或信息請求轉換為本設備特有的指令,完成管理者的指示,或返回它所在設備的信息。
管理者和代理之間的信息交換可以分為兩種:從管理者到代理的管理操作;從代理到管理者的事件通知。
配置管理的目標是掌握和控制網路和系統的配置信息以及網路各設備的狀態和連接管理。現代網路設備由硬體和設備驅動組成。
配置管理最主要的作用是可以增強網路管理者對網路配置的控制,它是通過對設備的配置數據提供快速的訪問來實現的。
故障就是出現大量或嚴重錯誤需要修復的異常情況。故障管理是對計算機網路中的問題或故障進行定位的過程。
故障管理最主要的作用是通過提供網路管理者快速的檢查問題並啟動恢復過程的工具,使網路的可靠性得到增強。故障標簽就是一個監視網路問題的前端進程。
性能管理的目標是衡量和呈現網路特性的各個方面,使網路的性能維持在一個可以接受的水平上。
性能管理包括監視和調整兩大功能。
記費管理的目標是跟蹤個人和團體用戶對網路資源的使用情況,對其收取合理的費用。
記費管理的主要作用是網路管理者能測量和報告基於個人或團體用戶的記費信息,分配資源並計算用戶通過網路傳輸數據的費用,然後給用戶開出帳單。
安全管理的目標是按照一定的方法控制對網路的訪問,以保證網路不被侵害,並保證重要的信息不被未授權用戶訪問。
安全管理是對網路資源以及重要信息訪問進行約束和控制。
在網路管理模型中,網路管理者和代理之間需要交換大量的管理信息,這一過程必須遵循統一的通信規范,我們把這個通信規范稱為網路管理協議。
網路管理協議是高層網路應用協議,它建立在具體物理網路及其基礎通信協議基礎上,為網路管理平台服務。
目前使用的標准網路管理協議包括:簡單網路管理協議SNMP,公共管理信息服務/協議CMIS/CMIP,和區域網個人管理協議LMMP等。
SNMP採用輪循監控方式。代理/管理站模式。
管理節點一般是面向工程應用的工作站級計算機,擁有很強的處理能力。代理節點可以是網路上任何類型的節點。SNMP是一個應用層協議 ,在TCP/IP網路中,它應用傳輸層和網路層的服務向其對等層傳輸信息。
CMIP的優點是安全性高,功能強大,不僅可用於傳輸管理數據,還可以執行一定的任務。
信息安全包括5個基本要素:機密性,完整性,可用性,可控性與可審查性。
3 D1級。D1級計算機系統標准規定對用戶沒有驗證。例如DOS。WINDOS3。X及WINDOW 95(不在工作組方式中)。Apple的System7。X。
4 C1級提供自主式安全保護,它通過將用戶和數據分離,滿足自主需求。
C1級又稱為選擇安全保護系統,它描述了一種典型的用在Unix系統上的安全級別。
C1級要求硬體有一定的安全級別,用戶在使用前必須登陸到系統。
C1級的防護的不足之處在與用戶直接訪問操作系統的根。
9 C2級提供比C1級系統更細微的自主式訪問控制。為處理敏感信息所需要的最底安全級別。C2級別還包含有受控訪問環境,該環境具有進一步限制用戶執行一些命令或訪問某些文件的許可權,而且還加入了身份驗證級別。例如UNIX系統。XENIX。Novell 3。0或更高版本。WINDOWS NT。
10 B1級稱為標記安全防護,B1級支持多級安全。標記是指網上的一個對象在安全保護計劃中是可識別且受保護的。B1級是第一種需要大量訪問控制支持的級別。安全級別存在保密,絕密級別。
11 B2又稱為結構化保護,他要求計算機系統中的所有對象都要加上標簽,而且給設備分配安全級別。B2級系統的關鍵安全硬體/軟體部件必須建立在一個形式的安全方法模式上。
12 B3級又叫安全域,要求用戶工作站或終端通過可信任途徑連接到網路系統。而且這一級採用硬體來保護安全系統的存儲區。
B3級系統的關鍵安全部件必須理解所有客體到主體的訪問,必須是防竄擾的,而且必須足夠小以便分析與測試。
30 A1 最高安全級別,表明系統提供了最全面的安全,又叫做驗證設計。所有來自構成系統的部件來源必須有安全保證,以此保證系統的完善和安全,安全措施還必須擔保在銷售過程中,系統部件不受傷害。
網路安全從本質上講就是網路上的信息安全。凡是涉及到網路信息的保密性,完整性,可用性,真實性和可控性的相關技術和理論都是網路安全的研究領域。
安全策約是在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。安全策約模型包括了建立安全環境的三個重要組成部分:威嚴的法律,先進的技術和嚴格的管理。
網路安全是網路系統的硬體,軟體以及系統中的數據受到保護,不會由於偶然或惡意的原因而遭到破壞,更改,泄露,系統能連續,可靠和正常的運行,網路服務不中斷。
保證安全性的所有機制包括以下兩部分:
1 對被傳送的信息進行與安全相關的轉換。
2 兩個主體共享不希望對手得知的保密信息。
安全威脅是某個人,物,事或概念對某個資源的機密性,完整性,可用性或合法性所造成的危害。某種攻擊就是某種威脅的具體實現。
安全威脅分為故意的和偶然的兩類。故意威脅又可以分為被動和主動兩類。
中斷是系統資源遭到破壞或變的不能使用。這是對可用性的攻擊。
截取是未授權的實體得到了資源的訪問權。這是對保密性的攻擊。
修改是未授權的實體不僅得到了訪問權,而且還篡改了資源。這是對完整性的攻擊。
捏造是未授權的實體向系統中插入偽造的對象。這是對真實性的攻擊。
被動攻擊的特點是偷聽或監視傳送。其目的是獲得正在傳送的信息。被動攻擊有:泄露信息內容和通信量分析等。
主動攻擊涉及修改數據流或創建錯誤的數據流,它包括假冒,重放,修改信息和拒絕服務等。
假冒是一個實體假裝成另一個實體。假冒攻擊通常包括一種其他形式的主動攻擊。 重放涉及被動捕獲數據單元以及後來的重新發送,以產生未經授權的效果。
修改消息意味著改變了真實消息的部分內容,或將消息延遲或重新排序,導致未授權的操作。
拒絕服務的禁止對通信工具的正常使用或管理。這種攻擊擁有特定的目標。另一種拒絕服務的形式是整個網路的中斷,這可以通過使網路失效而實現,或通過消息過載使網路性能降低。
防止主動攻擊的做法是對攻擊進行檢測,並從它引起的中斷或延遲中恢復過來。
從網路高層協議角度看,攻擊方法可以概括為:服務攻擊與非服務攻擊。
服務攻擊是針對某種特定網路服務的攻擊。
非服務攻擊不針對某項具體應用服務,而是基於網路層等低層協議進行的。
非服務攻擊利用協議或操作系統實現協議時的漏洞來達到攻擊的目的,是一種更有效的攻擊手段。
網路安全的基本目標是實現信息的機密性,完整性,可用性和合法性。
主要的可實現威脅:
3 滲入威脅:假冒,旁路控制,授權侵犯。
4 植入威脅:特洛伊木馬,陷門。
病毒是能夠通過修改其他程序而感染它們的一種程序,修改後的程序裡麵包含了病毒程序的一個副本,這樣它們就能繼續感染其他程序。
網路反病毒技術包括預防病毒,檢測病毒和消毒三種技術。
1 預防病毒技術。
它通過自身長駐系統內存,優先獲得系統的控制權,監視和判斷系統中是或有病毒存在,進而阻止計算機病毒進入計算機系統對系統進行破壞。這類技術有:加密可執行程序,引導區保護,系統監控與讀寫控制。
2.檢測病毒技術。
通過對計算機病毒的特徵來進行判斷的技術。如自身效驗,關鍵字,文件長度的變化等。
3.消毒技術。
通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原元件的軟體。
網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和檢測,在工作站上用防病毒晶元和對網路目錄以及文件設置訪問許可權等。
網路信息系統安全管理三個原則:
1 多人負責原則。
2 任期有限原則。
3 職責分離原則。
保密學是研究密碼系統或通信安全的科學,它包含兩個分支:密碼學和密碼分析學。
需要隱藏的消息叫做明文。明文被變換成另一種隱藏形式被稱為密文。這種變換叫做加密。加密的逆過程叫組解密。對明文進行加密所採用的一組規則稱為加密演算法。對密文解密時採用的一組規則稱為解密演算法。加密演算法和解密演算法通常是在一組密鑰控制下進行的,加密演算法所採用的密鑰成為加密密鑰,解密演算法所使用的密鑰叫做解密密鑰。
密碼系統通常從3個獨立的方面進行分類:
1 按將明文轉化為密文的操作類型分為:置換密碼和易位密碼。
所有加密演算法都是建立在兩個通用原則之上:置換和易位。
2 按明文的處理方法可分為:分組密碼(塊密碼)和序列密碼(流密碼)。
3 按密鑰的使用個數分為:對稱密碼體制和非對稱密碼體制。
如果發送方使用的加密密鑰和接受方使用的解密密鑰相同,或從其中一個密鑰易於的出另一個密鑰,這樣的系統叫做對稱的,但密鑰或常規加密系統。如果發送放使用的加密密鑰和接受方使用的解密密鑰不相同,從其中一個密鑰難以推出另一個密鑰,這樣的系統就叫做不對稱的,雙密鑰或公鑰加密系統。
分組密碼的加密方式是首先將明文序列以固定長度進行分組,每一組明文用相同的密鑰和加密函數進行運算。
分組密碼設計的核心上構造既具有可逆性又有很強的線性的演算法。
序列密碼的加密過程是將報文,話音,圖象,數據等原始信息轉化成明文數據序列,然後將它同密鑰序列進行異或運算。生成密文序列發送給接受者。
數據加密技術可以分為3類:對稱型加密,不對稱型加密和不可逆加密。
對稱加密使用單個密鑰對數據進行加密或解密。
不對稱加密演算法也稱為公開加密演算法,其特點是有兩個密鑰,只有兩者搭配使用才能完成加密和解密的全過程。
不對稱加密的另一用法稱為「數字簽名」,既數據源使用其私有密鑰對數據的效驗和或其他與數據內容有關的變數進行加密,而數據接受方則用相應的公用密鑰解讀「數字簽名」,並將解讀結果用於對數據完整性的檢驗。
不可逆加密演算法的特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有同樣輸入的輸入數據經過同樣的不可逆演算法才能得到同樣的加密數據。
加密技術應用於網路安全通常有兩種形式,既面向網路和面向應用程序服務。
面向網路服務的加密技術通常工作在網路層或傳輸層,使用經過加密的數據包傳送,認證網路路由及其其他網路協議所需的信息,從而保證網路的連通性和可用性不受侵害。
面向網路應用程序服務的加密技術使用則是目前較為流行的加密技術的使用方法。
從通信網路的傳輸方面,數據加密技術可以分為3類:鏈路加密方式,節點到節點方式和端到端方式。
鏈路加密方式是一般網路通信安全主要採用的方式。
節點到節點加密方式是為了解決在節點中數據是明文的缺點,在中間節點里裝有加,解密的保護裝置,由這個裝置來完成一個密鑰向另一個密鑰的變換。
在端到端機密方式中,由發送方加密的數據在沒有到達最終目的節點之前是不被解密的。
試圖發現明文或密鑰的過程叫做密碼分析。
演算法實際進行的置換和轉換由保密密鑰決定。
密文由保密密鑰和明文決定。
對稱加密有兩個安全要求:
1 需要強大的加密演算法。
2 發送方和接受方必須用安全的方式來獲得保密密鑰的副本。
常規機密的安全性取決於密鑰的保密性,而不是演算法的保密性。
IDEA演算法被認為是當今最好最安全的分組密碼演算法。
公開密鑰加密又叫做非對稱加密。
公鑰密碼體制有兩個基本的模型,一種是加密模型,一種是認證模型。
通常公鑰加密時候使用一個密鑰,在解密時使用不同但相關的密鑰。
常規加密使用的密鑰叫做保密密鑰。公鑰加密使用的密鑰對叫做公鑰或私鑰。
RSA體制被認為是現在理論上最為成熟完善的一種公鑰密碼體制。
密鑰的生存周期是指授權使用該密鑰的周期。
在實際中,存儲密鑰最安全的方法就是將其放在物理上安全的地方。
密鑰登記包括將產生的密鑰與特定的應用綁定在一起。
密鑰管理的重要內容就是解決密鑰的分發問題。
密鑰銷毀包括清除一個密鑰的所有蹤跡。
密鑰分發技術是將密鑰發送到數據交換的兩方,而其他人無法看到的地方。
數字證書是一條數字簽名的消息,它通常用與證明某個實體的公鑰的有效性。數字證書是一個數字結構,具有一種公共的格式,它將某一個成員的識別符和一個公鑰值綁定在一起。人們採用數字證書來分發公鑰。
序列號:由證書頒發者分配的本證書的唯一標示符。
認證是防止主動攻擊的重要技術,它對於開放環境中的各種信息系統的安全有重要作用。
認證是驗證一個最終用戶或設備的聲明身份的過程。
主要目的為:
4 驗證信息的發送者是真正的,而不是冒充的,這稱為信源識別。
5 驗證信息的完整性,保證信息在傳送過程中未被竄改,重放或延遲等。
認證過程通常涉及加密和密鑰交換。
帳戶名和口令認證方式是最常用的一種認證方式。
授權是把訪問權授予某一個用戶,用戶組或指定系統的過程。
訪問控制是限制系統中的信息只能流到網路中的授權個人或系統。
有關認證使用的技術主要有:消息認證,身份認證和數字簽名。
消息認證的內容包括為:
1 證實消息的信源和信宿。
2 消息內容是或曾受到偶然或有意的篡改。
3 消息的序號和時間性。
消息認證的一般方法為:產生一個附件。
身份認證大致分為3類:
1 個人知道的某種事物。
2 個人持證
3 個人特徵。
口令或個人識別碼機制是被廣泛研究和使用的一種身份驗證方法,也是最實用的認證系統所依賴的一種機制。
為了使口令更加安全,可以通過加密口令或修改加密方法來提供更強健的方法,這就是一次性口令方案,常見的有S/KEY和令牌口令認證方案。
持證為個人持有物。
數字簽名的兩種格式:
2 經過密碼變換的被簽名信息整體。
3 附加在被簽消息之後或某個特定位置上的一段簽名圖樣。
對與一個連接來說,維持認證的唯一辦法是同時使用連接完整性服務。
防火牆總體上分為包過濾,應用級網關和代理服務等幾大類型。
數據包過濾技術是在網路層對數據包進行選擇。
應用級網關是在網路應用層上建立協議過濾和轉發功能。
代理服務也稱鏈路級網關或TCP通道,也有人將它歸於應用級網關一類。
防火牆是設置在不同網路或網路安全域之間的一系列不見的組合。它可以通過檢測,限制,更改跨越防火牆的數據流,盡可能的對外部屏蔽網路內部的消息,結構和運行情況,以此來實現網路的安全保護。
防火牆的設計目標是:
1 進出內部網的通信量必須通過防火牆。
2 只有那些在內部網安全策約中定義了的合法的通信量才能進出防火牆。
3 防火牆自身應該防止滲透。
防火牆能有效的防止外來的入侵,它在網路系統中的作用是:
1 控制進出網路的信息流向和信息包。
2 提供使用和流量的日誌和審記。
3 隱藏內部IP以及網路結構細節。
4 提供虛擬專用網功能。
通常有兩種設計策約:允許所有服務除非被明確禁止;禁止所有服務除非被明確允許。
防火牆實現站點安全策約的技術:
3 服務控制。確定在圍牆外面和裡面可以訪問的INTERNET服務類型。
4 方向控制。啟動特定的服務請求並允許它通過防火牆,這些操作具有方向性。
5 用戶控制。根據請求訪問的用戶來確定是或提供該服務。
6 行為控制。控制如何使用某種特定的服務。
影響防火牆系統設計,安裝和使用的網路策約可以分為兩級:
高級的網路策約定義允許和禁止的服務以及如何使用服務。
低級的網路策約描述了防火牆如何限制和過濾在高級策約中定義的服務。