A. 计算机网络技术主要课程!记得排序(先学什么、再学什么……)【按要求回答都给分】
第一章、基本知识
1、计算机系统组成
2、计算机软件的基础知识
3、多媒体的基本概念
4、计算机应用领域
第二章、操作系统
1、操作系统的基本概 念,主要功能和分类
2、进程、线程、进程 间通信的基本概念
3、存储管理、文件管理、设备管理 的主要技术
4、典型操作系统的使 用
第三章、计算机网络的基本概念
1、数据通讯技术的定 义与分类
2、数据通讯技术基础
3、网络体系结构与协议的基本概念
4、广域网、局域网与 城域网的分类、特点与典型系统
5、网络互连技术与互连设备
第四章、局域应用技术
1、局域网分类与基本 工作原理
2、高速局域网
3、局域网组网方法
4、网络操作系统
5、结构化布线技术
第五章、Internet基础
1、Internet的基本结 构与主要服务
2、Internet通讯协议 ——TCP/IP
3、Internet接入方法
4、超文书、超媒体与Web浏览器
第六章、网络安全技术
1、信息安全的基本概 念
2、网络管理的基本概念
3、网络安全策略
4、加密与认证技术
5、防火墙技术的基本 概念
第七章、网络应用:电子商务
1、电子商务基本概念与系统结构
2、电子商务应用中的 关键技术
3、浏览器、电子邮件及Web服务器的 安全特性
4、Web站点内容的策划和推广
5、使用Internet进行 网上购物
第八章、网络技术发展
1、网络应用技术的发展
2、宽带网络技术
B. 计算机网络自顶向下方法
计算机网络自顶向下方法如下:
自顶自下主要是一种算法的实现,在不知道结果的情况之下,使用一种方法进行贺数演算,得到一种正确的结果,也就可以命名用自顶向下的思想进行实现了。衫蚂
在方程式内,对于未知的结果也就是进行一种推算。可以使用算法,也可以使用方程式的方式。在中国最古老的方式,我们也都会知道,算法就是我国最为古老的算学方式。
实在不会的,也要记住演算的步骤,因为记忆或许就是算法的精要。我们在学习数学的时候,使用的方程并不要我们进行记忆,因为我们在进行计算的时候,都要写在作业本之上,所以相对于算法来说,简单实现一点,对于一种记忆来说,更为的困难了。不过笔记解决了这样的一种问题。
而古老的算法,这个X的过程,可能就在我们的内心吧。用笔画一画,或许我们也就明白了,不过真的要记忆这样一种完全的算法过程,也不是一件内容的事情。
C. 那位给发一下计算机网络(谢希仁,第四版)第六章,28题:简述RIP,OSPF,和BGP路由选择协议的特点
1、RIP现在基本不用,就算是小型网络,也可执行OSPF,如果网络太小,比如几台路由器,可用静态路由;
2、OSPF适合中大型网络,一般路由器在1000台以下的都行,只要规划合理;
3、BGP自治系统外部路由,目前唯一使用的EGP路由。
RIP协议工作在网络层,ospf也会也是工作在网络层,但是BGP就不是,工作在传输层,利用TCP的179端口,因为BGP主要用在运营商,概念和RIP,ospf完全不同,是距离矢量但又有链路状态的特性的混合协议。因为他是AS by AS的传递路由信息。比其他协议更稳定,而且安全的以后总协议。
(3)计算机网络自顶向下第六章扩展阅读:
RIP很早就被用在Internet上,主要传递路由信息,通过每隔30秒广播一次路由表,维护相邻路由器的位置关系,同时根据收到的路由表信息计算自己的路由表信息。
最大跳数为15跳,超过15跳的网络则认为目标网络不可达。此协议通常用在网络架构较为简单的小型网络环境。分为RIPv1和RIPv2两个版本,后者支持VLSM技术以及一系列技术上的改进。RIP的收敛速度较慢。
路由协议主要运行于路由器上,路由协议是用来确定到达路径的,它包括RIP,IGRP(Cisco私有协议),EIGRP(Cisco私有协议),OSPF,IS-IS,BGP。起到一个地图导航,负责找路的作用。它工作在网络层。路由选择协议主要是运行在路由器上的协议,主要用来进行路径选择。
D. 计算机网络这门课一共有多少章节
这门课一共有7个章节。包括:第一章概述,第二章物理层,第三章数据链路层,第四章介质访问控制子层,第五章网络层,第六章传输层,第七章应用层,。
E. 计算机网络
入门:《网络是怎么连接的》、《图解 TCP/IP 》、《图解 HTTP 》.
深入学习:
《 计算机网络:自顶向下 》
https://gaia.cs.umass.e/kurose_ross/wireshark.htm
https://media.pearsoncmg.com/ph/esm/ecs_kurose_compnetwork_8/cw/
《计算机网络》谢希仁的 ( 这个评价倒是还好,
《TCP/IP 详解 卷一:协议》
《 Computer Networks: A Systems Approach 》Larry L Peterson
《 Computer Networks 》 Andrew S.Tanenbaum ( 虽然是 AST 的, 但是好像不适合初学
《 Elements of Computer Networking: An Integrated Approach (Concepts, Problems and Interview Questions) 》 ( ? )
https://www.hu.com/question/19718686
https://www.hu.com/question/19774914
https://www.hu.com/question/22354846
我的东西主要是英文的 , 当然, 我也需要买中文, 但我的渠道英文电子书方便
" 其实觉得cs144的公开视频讲得挺一般的,但是cs144新的lab真的很棒 "
https://online.stanford.e/lagunita-learning-platform
https://www.hu.com/question/63658105
《图解 HTTP》
如果要入门 TCP/IP 网络模型,我推荐的是《图解 TCP/IP》
另外,你想了解网络是怎么传输,那我推荐《网络是怎样连接的》
入门:《网络是怎么连接的》、《图解 TCP/IP 》《图解 HTTP 》.
2.深入学习:《计算机网络:自顶向下》、《TCP/IP 卷一》
对于 TCP/IP 网络模型深入学习的话,推荐《计算机网络 - 自顶向下方法》,这本书是从我们最熟悉 HTTP 开始说起,一层一层的说到最后物理层的,有种挖地洞的感觉,这样的内容编排顺序相对是比较合理的。
但如果要深入 TCP,前面的这些书还远远不够,赋有计算机网络圣经的之说的《TCP/IP 详解 卷一:协议》这本书,
要说我看过最好的 TCP 资料,那必定是《The TCP/IP GUIDE》这本书了,目前只有英文版本的,而且有个专门的网址可以白嫖看这本书的内容,图片都是彩色,看起来很舒服很鲜明,小林之前写的 TCP 文章不少案例和图片都是参考这里的,这本书精华部分就是把 TCP 滑动窗口和流量控制说的超级明白,很可惜拥塞控制部分说的不多。
Wireshark
当然,计算机网络最牛逼的资料,那必定 RFC 文档,它可以称为计算机网络世界的“法规”,也是最新、最权威和最正确的地方了,困惑大家的 TCP 为什么三次握手和四次挥手,其实在 RFC 文档几句话就说明白了。
小白读 《网络是怎样链接的》,然后 《图解 HTTP 》 《图解 TCP/IP 》。如果想学术一点,《计算机网络:自顶向下方法 中文第六版》或者 (Computer Networking: A top-down Approach 7th)。再难点,T 大佬的 《计算机网络》(Computer Networks)
在计算机网络的学习中为大家推荐《计算机科学导论》。这本书用大量的篇幅介绍了计算机网络的内容,还详细地介绍了计算机科学目前发展的特点和现状,适合想要学习计算机网络的同学打基础使用。
https://book.douban.com/review/7443456/#comments
自顶向下方法有两本:Computer Networking: A Top-Down ApproachbyJames F. Kurose, Keith W. Ross 中文翻译: 计算机网络:自顶向下方法(楼主提到的是这个)
Computer Networks: A Top-Down ApproachbyBehrouz A. Forouzan, Firouz Mosharraf 中文翻译:计算机网络教程:自顶向下方法
思科实验模拟器EVE的安装与使用 https://zhuanlan.hu.com/p/166295824
思科CCNA命令大全 https://zhuanlan.hu.com/p/259820495
F. 计算机网络自顶向下方法--网络层
R1. 我们回顾一下本书中使用的某些术语。前面讲过,运输层的分组名称是报文段,数据链路层的分组名字是帧。网络层的分组名字是什么?前面讲过,路由器和链路层交换机都称为分组交换机。路由器和链路层交换机间的根本区别是什么?回想我们对数据报网络和虚电路网络都使用术语路由器。
R2. 在数据报网络中,网络层最重要的两个功能是什么?在虚电路网络中,网络层的3个最重要的功能是什么?
R3. 路由选择和转发的区别是什么?
R4. 在数据报网络和虚电路网络中,路由器都使用转发表吗?如果是,描述用于这两类网络的转发表。
R5. 描述某些网络层能为单个分组提供的某些假想的服务。对于分组流进行相同的描述。因特网的网络层为你提供了这些假想服务吗?ATM的CBR服务模型提供了该假想服务吗?ATM的ABR服务模型提供类该假想服务吗?
R6. 列出某些得益于ATM的CBR服务模型的应用。
R7. 讨论为什么在高速路由器的每个输入端口都存储转发表的影子副本。
R8. 4.3节中讨论了3类交换结构。列出并简要讨论每一类交换结构。哪一种(如果有的话)能够跨越交换结构并行发送多个分组?
R9. 描述在输入端口会出现分组丢失的原因。描述在输入端口如何消除分组丢失(不使用无限大缓存区)。
R10. 描述在输出端口出现分组丢失的原因。通过增加交换结构速率,能够防止这种丢失吗?
R11. 什么是HOL阻塞?它出现在输入端口还是输出端口?
R12. 路由器有IP地址吗?如果有,有多少个?
R13. IP地址223.1.3.27的32比特二进制等价形式是什么?
R14. 考察使用DHCP获得它的IP地址,网络掩码,默认路由器和其本地DNS服务器的IP地址的主机。列出这些值。
R15. 假设在一个源主机和一个目的主机之间有3台路由器。不考虑分片,一个从源主机发送给目的主机的IP报文将通过多少个端口?为了将数据报从源移动到目的地需要检索多少个转发表?
R16. 假设某应用每20ms生成一个40字节的数据块,每块封装在一个TCP报文中,TCP报文再封装在一个IP数据报中。每个数据报的开销有多大?应用数据所占的百分比是多少?
R17. 假设主机A向主机B发送封装在一个IP数据报中的TCP报文段。当主机B接收到该数据报时,主机B中的网络层应该如何知道它应当将该报文段(即数据报的有效载荷)交给TCP而不是UDP或某个其他东西呢?
R18. 假定你购买了一个无线路由器并将其与电缆调制解调器相连,并且你的ISP动态地为你连接的设备(即你的无线路由器)分配一个IP地址。还假定你家有5台PC,均使用802.11以无线方式与该无线路由器相连。怎样为这5台PC分配IP地址?该无线路由器使用NAT吗?为什么?
R19. 比较IPv4和IPv6首部字段。它们有某些字段是相同的吗?
R20. 有人说当IPv6通过IPv4路由器建隧道时。IPv6将IPv4隧道作为链路层协议。你同意这种说法吗?为什么?
R21. 比较和对照链路状态和距离向量路由选择算法?
R22. 讨论因特网的等级制组织是怎样使得其能够扩展为数以百万计用户的。
R23. 每个自治系统使用相同的AS内部路由选路算法是必要的吗?为什么?
R24. 考虑图4-37。从D中的初始表开始,假设D收到来自A的下面的通告:
D中的表会改变吗?如果是,怎样变化?
R25. 比较RIP和OSPF使用的通告。
R26. 填空:RIP通告通常宣称到各目的地的跳数。另一方面,BGP则是通告到各目的地的_____?
R27. 为什么在因特网中用到了不同类型的AS间与AS内部选路协议?
R28. 为什么策略考虑对于AS内部协议(如OSPF和RIP)与对于AS间路由选择协议(如BGP)一样重要呢?
R29. 定义和对比下列术语:子网,前缀和BGP路由。
R30. BGP是怎样使用NEXT-HOP属性的?它是怎样使用AS-PATH属性的?
R31. 描述一个较高层ISP的网络管理员在配置BGP时是如何实现策略的。
TODO----HERE
4.6.32 通过多个单播实现广播抽象与通过支持广播的单个网络(路由器)实现广播抽象之间有什么重要区别吗?
答:N次单播效率低,需要知道接收者的地址,消耗大。但是使用广播的话可以通过洪泛方法发送消息。
4.6.33 对于我们学习的3种一般的广播通信方法(无控制洪泛,受控洪泛和生成树广播),下列说法正确吗?可以假定分组不会因缓存溢出而丢失,所有分组以它们发送的顺序交付给链路。
a.一个节点可能接收到同一个分组的多个拷贝。
b.一个节点可能跨越相同的出链路转发多个分组的拷贝。
答:无控制洪泛:a对,b对。受控洪泛:a对,b错。生成树广播:a错,b错。
4.6.34 当一台主机加入一个多播组时,它必须将其IP地址改变为它所加入的多播组的地址吗?
答:对错误。
4.6.35 IGMP和广域多播选路协议所起的作用是什么?
答:IGMP运行在一台主机与其直接相连的路由器之间。IGMP允许主机指定路由器要加入的组播网。然后由组播路由器与运行组播路由协议的其他组播路由器一起工作。
4.6.36 在多播选路场合中,一棵组共享的树与一颗基于源的树之间有什么区别?
答:一个组共享的树来为组中所有发送方分发流量,一个是为每个独立的发送方构建一颗特定源的选路树。
G. 计算机网络自顶向下方法的图书目录
出版者的话
作译者简介
译者序
前言
第1章
计算机网络和因特网
1.1 什么是因特网
1.1.1 具体构成描述
1.1.2 服务描述
1.1.3 什么是协议
1.2 网络边缘
1.2.1客户机和服务器程序
1.2.2 接入网
1.2.3 物理媒体
1.3 网络核心
1.3.1 电路交换和分组交换
1.3.2 分组是怎样通过分组交换网形成其通路的
1.3.3 ISP和因特网主干
1.4 分组交换网中的时延、丢包和吞吐量
1.4.1 分组交换网中的时延概述
1.4.2 排队时延和丢包
1.4.3 端到端时延
1.4.4 计算机网络中的吞吐量
1.5 协议层次和它们的服务模型
1.5.1 分层的体系结构
1.5.2 报文、报文段、数据报和帧
1.6 攻击威胁下的网络
1.7 计算机网络和因特网的历史
1.7.1 分组交换的发展:1961~1972
1.7.2 专用网络和网络互联:1972~1980
1.7.3 网络的激增:1980~1990
1.7.4 因特网爆炸:20世纪90年代
1.7.5 最新发展
1.8 小结
本书路线图
课后习题和问题
复习题
习题
讨论题
Ethereal实验
人物专访
第2章
应用层
2.1 应用层协议原理
2.1.1 网络应用程序体系结构
2.1.2 进程通信
2.1.3 可供应用程序使用的运输服务
2.1.4 因特网提供的运输服务
2.1.5 应用层协议
2.1.6 本书涉及的网络应用
2.2 Web应用和HTTP协议
2.2.1 HTTP概况
2.2.2 非持久连接和持久连接
2.2.3 HTTP报文格式
2.2.4 用户与服务器的交互:cookie
2.2.5 Web缓存
2.2.6 条件GET方法
2.3 文件传输协议:FTP
2.4 因特网中的电子邮件
2.4.1 SMTP
2.4.2 与HTTP的对比
2.4.3 邮件报文格式和MIME
2.4.4 邮件访问协议
2.5 DNS:因特网的目录服务
2.5.1 DNS提供的服务
2.5.2 DNS工作机理概述
2.5.3 DNS记录和报文
2.6 P2P应用
2.6.1 P2P文件分发
2.6.2 在P2P区域中搜索信息
2.6.3 案例学习:Skype的P2P因特网电话
2.7 TCP套接字编程
2.7.1 TCP套接字编程
2.7.2 一个Java客户机 服务器应用程序例子
2.8 UDP套接字编程
2.9 小结
课后习题和问题
复习题
习题
讨论题
套接字编程作业
Ethereal实验
人物专访第3章 运输层第4章 网络层第5章 链路层和局域网第6章 无线网络和移动网络第7章 多媒体网络第8章 计算机网络中的安全第9章 网络管理参考文献
H. 三级网络笔记第六章网络安全技术
第六章 网络安全技术
网络管理包括五个功能:配置管理,故障管理,性能管理,计费管理和安全管理。
代理位于被管理的设备内部,它把来自管理者的命令或信息请求转换为本设备特有的指令,完成管理者的指示,或返回它所在设备的信息。
管理者和代理之间的信息交换可以分为两种:从管理者到代理的管理操作;从代理到管理者的事件通知。
配置管理的目标是掌握和控制网络和系统的配置信息以及网络各设备的状态和连接管理。现代网络设备由硬件和设备驱动组禅巧成。
配置管理最主要的作用是可以增强网络管理者对网络配置的控制,它是通过对设备的配置数据提供快速的访问来实现的。
故障就是出现大量或严重错误需要修复的异常情况。故障管理是对计算机网络中的问题或故障进行定位的过程。
故障管理最主要的作用是通过提供网络管理者快速的检查问题并启动恢复过程的工具,使网络的可靠性得到增强。故障标签就是一个监视网络贺信键问题的前端进程。
性能管理的目标是衡量和呈现网络特性的各个方面,使网络的性能维持在一个可以接受的水平上。
性能管理包括监视和调整两大功能。
记费管理的目标是跟踪个人和团体用户对网络资源的使用情况,对其收取合理的费用。
记费管理的主要作用是网络管理者能测量和报告基于个人或团体用户的记费信息,分配资源并计算用户通过网络传输数据的费用,然后给用户开出帐单。
安全管理的目标是按照一定的方法控制对网络的访问,以保证网络不被侵害,并保证重要的信息不被未授权用户访问。
安全管理是对网络资源以及重要信息访问进行约束和控制。
在网络管理模型中,网络管理者和代理之间需要交换大量的管理信息,这一过程必须遵循统一的通信规范,我们把这个通信规范称为网络管理协议。
网络管理协议是高层网络应用协议,它建立在具体物理网络及其基础通信协议基础上,为网络管理平台服务。
目前使用的标准网络管理协议包括:简单网络管理协议SNMP,公共管理信息服务/协议CMIS/CMIP,和局域网个人管理协议LMMP等。
SNMP采用轮循监控方式。代理/管理站模式。
管理节点一般是面向工程应用的工作站级计算机,拥有很强的处理能力。代理节点可以是网络上任何类型的节点。SNMP是一个应用层协议 ,在TCP/IP网络中,它应用传输层和网络层的服务向其对等层传输信息。
CMIP的优点是安全性高,功能强大,不仅可用于传输管理数据,还可以执行一定的任务。
信息安全包括5个基本要素:机密性,完整性,可用性,可控性与可审查性。
3 D1级。D1级计算机系统标准规定对用户没有验证。例如DOS。WINDOS3。X及WINDOW 95(不在工作组方式中)。Apple的System7。X。
4 C1级提供自主式安全保护,它通过将用户和数据分离,满足自主需求。
C1级又称为选择安全保护系统,它描述了一种典型的用在Unix系统上的安全级别。
C1级要求硬件有一定的安全级别,用户在使用前必须登陆到系统。
C1级的防护的不足之处在与用户直接访问操作系统的根。
9 C2级提供比C1级系统更细微的自主式访问控制。为处理敏感信息所需要的最底安全级别。C2级别还包含有受控访问环境,该环境具有进一步限制用户执行一些命令或访问某些文件的权限,而且还加入了身份验证级别。例如UNIX系统。XENIX。Novell 3。0或更高版本。WINDOWS NT。
10 B1级称为标记安全防护,B1级支持多级安全。标记是指网上的一个对象在安全保护计划中是可识别且受保护的。B1级是第一种需要大量访问控制支持的级别。安全级别存在保密,级别。
11 B2又称为坦铅结构化保护,他要求计算机系统中的所有对象都要加上标签,而且给设备分配安全级别。B2级系统的关键安全硬件/软件部件必须建立在一个形式的安全方法模式上。
12 B3级又叫安全域,要求用户工作站或终端通过可信任途径连接到网络系统。而且这一级采用硬件来保护安全系统的存储区。
B3级系统的关键安全部件必须理解所有客体到主体的访问,必须是防窜扰的,而且必须足够小以便分析与测试。
30 A1 安全级别,表明系统提供了面的安全,又叫做验证设计。所有来自构成系统的部件来源必须有安全保证,以此保证系统的完善和安全,安全措施还必须担保在销售过程中,系统部件不受伤害。
网络安全从本质上讲就是网络上的信息安全。凡是涉及到网络信息的保密性,完整性,可用性,真实性和可控性的相关技术和理论都是网络安全的研究领域。
安全策约是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。安全策约模型包括了建立安全环境的三个重要组成部分:威严的法律,先进的技术和严格的管理。
网络安全是网络系统的硬件,软件以及系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏,更改,泄露,系统能连续,可靠和正常的运行,网络服务不中断。
保证安全性的所有机制包括以下两部分:
1 对被传送的信息进行与安全相关的转换。
2 两个主体共享不希望对手得知的保密信息。
安全威胁是某个人,物,事或概念对某个资源的机密性,完整性,可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。
安全威胁分为故意的和偶然的两类。故意威胁又可以分为被动和主动两类。
中断是系统资源遭到破坏或变的不能使用。这是对可用性的攻击。
截取是未授权的实体得到了资源的访问权。这是对保密性的攻击。
修改是未授权的实体不仅得到了访问权,而且还篡改了资源。这是对完整性的攻击。
捏造是未授权的实体向系统中插入伪造的对象。这是对真实性的攻击。
被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有:泄露信息内容和通信量分析等。
主动攻击涉及修改数据流或创建错误的数据流,它包括假冒,重放,修改信息和拒绝服务等。
假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。 重放涉及被动捕获数据单元以及后来的重新发送,以产生未经授权的效果。
修改消息意味着改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。
拒绝服务的禁止对通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断,这可以通过使网络失效而实现,或通过消息过载使网络性能降低。
防止主动攻击的做法是对攻击进行检测,并从它引起的中断或延迟中恢复过来。
从网络高层协议角度看,攻击方法可以概括为:服务攻击与非服务攻击。
服务攻击是针对某种特定网络服务的攻击。
非服务攻击不针对某项具体应用服务,而是基于网络层等低层协议进行的。
非服务攻击利用协议或操作系统实现协议时的漏洞来达到攻击的目的,是一种更有效的攻击手段。
网络安全的基本目标是实现信息的机密性,完整性,可用性和合法性。
主要的可实现威胁:
3 渗入威胁:假冒,旁路控制,授权侵犯。
4 植入威胁:特洛伊木马,陷门。
病毒是能够通过修改其他程序而感染它们的一种程序,修改后的程序里面包含了病毒程序的一个副本,这样它们就能继续感染其他程序。
网络反病毒技术包括预防病毒,检测病毒和消毒三种技术。
1 预防病毒技术。
它通过自身长驻系统内存,优先获得系统的控制权,监视和判断系统中是或有病毒存在,进而阻止计算机病毒进入计算机系统对系统进行破坏。这类技术有:加密可执行程序,引导区保护,系统监控与读写控制。
2.检测病毒技术。
通过对计算机病毒的特征来进行判断的技术。如自身效验,关键字,文件长度的变化等。
3.消毒技术。
通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原元件的软件。
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和检测,在工作站上用防病毒芯片和对网络目录以及文件设置访问权限等。
网络信息系统安全管理三个原则:
1 多人负责原则。
2 任期有限原则。
3 职责分离原则。
保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析学。
需要隐藏的消息叫做明文。明文被变换成另一种隐藏形式被称为密文。这种变换叫做加密。加密的逆过程叫组解密。对明文进行加密所采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常是在一组密钥控制下进行的,加密算法所采用的密钥成为加密密钥,解密算法所使用的密钥叫做解密密钥。
密码系统通常从3个独立的方面进行分类:
1 按将明文转化为密文的操作类型分为:置换密码和易位密码。
所有加密算法都是建立在两个通用原则之上:置换和易位。
2 按明文的处理方法可分为:分组密码(块密码)和序列密码(流密码)。
3 按密钥的使用个数分为:对称密码体制和非对称密码体制。
如果发送方使用的加密密钥和接受方使用的解密密钥相同,或从其中一个密钥易于的出另一个密钥,这样的系统叫做对称的,但密钥或常规加密系统。如果发送放使用的加密密钥和接受方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统就叫做不对称的,双密钥或公钥加密系统。
分组密码的加密方式是首先将明文序列以固定长度进行分组,每一组明文用相同的密钥和加密函数进行运算。
分组密码设计的核心上构造既具有可逆性又有很强的线性的算法。
序列密码的加密过程是将报文,话音,图象,数据等原始信息转化成明文数据序列,然后将它同密钥序列进行异或运算。生成密文序列发送给接受者。
数据加密技术可以分为3类:对称型加密,不对称型加密和不可逆加密。
对称加密使用单个密钥对数据进行加密或解密。
不对称加密算法也称为公开加密算法,其特点是有两个密钥,只有两者搭配使用才能完成加密和解密的全过程。
不对称加密的另一用法称为“数字签名”,既数据源使用其私有密钥对数据的效验和或其他与数据内容有关的变量进行加密,而数据接受方则用相应的公用密钥解读“数字签名”,并将解读结果用于对数据完整性的检验。
不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。
加密技术应用于网络安全通常有两种形式,既面向网络和面向应用程序服务。
面向网络服务的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送,认证网络路由及其其他网络协议所需的信息,从而保证网络的连通性和可用性不受侵害。
面向网络应用程序服务的加密技术使用则是目前较为流行的加密技术的使用方法。
从通信网络的传输方面,数据加密技术可以分为3类:链路加密方式,节点到节点方式和端到端方式。
链路加密方式是一般网络通信安全主要采用的方式。
节点到节点加密方式是为了解决在节点中数据是明文的缺点,在中间节点里装有加,解密的保护装置,由这个装置来完成一个密钥向另一个密钥的变换。
在端到端机密方式中,由发送方加密的数据在没有到达最终目的节点之前是不被解密的。
试图发现明文或密钥的过程叫做密码分析。
算法实际进行的置换和转换由保密密钥决定。
密文由保密密钥和明文决定。
对称加密有两个安全要求:
1 需要强大的加密算法。
2 发送方和接受方必须用安全的方式来获得保密密钥的副本。
常规机密的安全性取决于密钥的保密性,而不是算法的保密性。
IDEA算法被认为是当今最安全的分组密码算法。
公开密钥加密又叫做非对称加密。
公钥密码体制有两个基本的模型,一种是加密模型,一种是认证模型。
通常公钥加密时候使用一个密钥,在解密时使用不同但相关的密钥。
常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥。
RSA体制被认为是现在理论上最为成熟完善的一种公钥密码体制。
密钥的生存周期是指授权使用该密钥的周期。
在实际中,存储密钥最安全的方法就是将其放在物理上安全的地方。
密钥登记包括将产生的密钥与特定的应用绑定在一起。
密钥管理的重要内容就是解决密钥的分发问题。
密钥销毁包括清除一个密钥的所有踪迹。
密钥分发技术是将密钥发送到数据交换的两方,而其他人无法看到的地方。
数字证书是一条数字签名的消息,它通常用与证明某个实体的公钥的有效性。数字证书是一个数字结构,具有一种公共的格式,它将某一个成员的识别符和一个公钥值绑定在一起。人们采用数字证书来分发公钥。
序列号:由证书颁发者分配的本证书的标示符。
认证是防止主动攻击的重要技术,它对于开放环境中的各种信息系统的安全有重要作用。
认证是验证一个最终用户或设备的声明身份的过程。
主要目的为:
4 验证信息的发送者是真正的,而不是冒充的,这称为信源识别。
5 验证信息的完整性,保证信息在传送过程中未被窜改,重放或延迟等。
认证过程通常涉及加密和密钥交换。
帐户名和口令认证方式是最常用的一种认证方式。
授权是把访问权授予某一个用户,用户组或指定系统的过程。
访问控制是限制系统中的信息只能流到网络中的授权个人或系统。
有关认证使用的技术主要有:消息认证,身份认证和数字签名。
消息认证的内容包括为:
1 证实消息的信源和信宿。
2 消息内容是或曾受到偶然或有意的篡改。
3 消息的序号和时间性。
消息认证的一般方法为:产生一个附件。
身份认证大致分为3类:
1 个人知道的某种事物。
2 个人持证
3 个人特征。
口令或个人识别码机制是被广泛研究和使用的一种身份验证方法,也是最实用的认证系统所依赖的一种机制。
为了使口令更加安全,可以通过加密口令或修改加密方法来提供更强健的方法,这就是一次性口令方案,常见的有S/KEY和令牌口令认证方案。
持证为个人持有物。
数字签名的两种格式:
2 经过密码变换的被签名信息整体。
3 附加在被签消息之后或某个特定位置上的一段签名图样。
对与一个连接来说,维持认证的办法是同时使用连接完整性服务。
防火墙总体上分为滤,应用级网关和代理服务等几大类型。
数据滤技术是在网络层对数据包进行选择。
应用级网关是在网络应用层上建立协议过滤和转发功能。
代理服务也称链路级网关或TCP通道,也有人将它归于应用级网关一类。
防火墙是设置在不同网络或网络安全域之间的一系列不见的组合。它可以通过检测,限制,更改跨越防火墙的数据流,尽可能的对外部屏蔽网络内部的消息,结构和运行情况,以此来实现网络的安全保护。
防火墙的设计目标是:
1 进出内部网的通信量必须通过防火墙。
2 只有那些在内部网安全策约中定义了的合法的通信量才能进出防火墙。
3 防火墙自身应该防止渗透。
防火墙能有效的防止外来的入侵,它在网络系统中的作用是:
1 控制进出网络的信息流向和信息包。
2 提供使用和流量的日志和审记。
3 隐藏内部IP以及网络结构细节。
4 提供虚拟专用网功能。
通常有两种设计策约:允许所有服务除非被明确禁止;禁止所有服务除非被明确允许。
防火墙实现站点安全策约的技术:
3 服务控制。确定在围墙外面和里面可以访问的INTERNET服务类型。
4 方向控制。启动特定的服务请求并允许它通过防火墙,这些操作具有方向性。
5 用户控制。根据请求访问的用户来确定是或提供该服务。
6 行为控制。控制如何使用某种特定的服务。
影响防火墙系统设计,安装和使用的网络策约可以分为两级:
高级的网络策约定义允许和禁止的服务以及如何使用服务。
低级的网络策约描述了防火墙如何限制和过滤在高级策约中定义的服务。