A. 计算机主要技术指标
(1)字长:指计算机运算机中寄存器的位数。字长帆贺越长,表示数的范围越大,即有效数字的位数越多,计算精度越高。
(2)运算嫌睁速度:表示电子计算机运算快慢程度的指标,用每秒钟所能执行的指令条数表示,单位为“次/秒”。
(3)存贮容量:指存贮器所能寄存的数字或指令的数量,即存贮器能够存贮二进制信息的能力。
(4)存取周期:指存贮器进行一次完整的存取操作所需要的时间,存取周期在很大程度上决定着计算机的计算速度,它越短越好。
(1)计算机网络的性能指示扩展阅读
计算机主要技术指标性能评价技术研究使性能成为数量化的、能进行度量和评比的客观指标,以及从系统本身或从系统模型获取有关性能信息的方法。前者即测量技术,后者包括模拟技术和分析技术。
性能评价通常是与成本分析综合进行的,借以获得各种系统性能和性能价格比的定量值,从而指导新型计算机系统的设计和改进,以及指导计算机应用系统的设计和改进,包括选择计算机类型、型号和确定系统配置等。
参考态者派资料来源:网络-电子计算机技术指标
B. 计算机网络体系结构的ISO/OSI网络体系结构
国际标准化组织ISO(International Standards Organization)在80年代提出的开放系统互联参考模型OSI(Open System Interconnection),这个模型将计算机网络通信协议分为七层。这个模型是一个定义异构计算机连接标准的框架结构,其具有如下特点:
①网络中异构的每个节点均有相同的层次,相同层次具有相同的功能。
②同一节点内相邻层次之间通过接口通信。
③相邻层次间接口定义原语操作,由低层向高层提供服务。
④不同节点的相同层次之间的通信由该层次的协议管理,
⑤每层次完成对该层所定义的功能,修改本层次功能不影响其它层、
⑥仅在最低层进行直接数据传送。
⑦定义的是抽象结构,并非具体实现的描述。
在OSI网络体系结构中、除了物理层之外,网络中数据的实际传输方向是垂直的。数据由用户发送进程发送给应用层,向下经表示层、会话层等到达物理层,再经传输媒体传到接收端,由接收端物理层接收,向上经数据链路层等到达应用层,再由用户获取。数据在由发送进程交给应用层时,由应用层加上该层有关控制和识别信息,再向下传送,这一过程一直重复到物理层。在接收端信息向上传递时,各层的有关控制和识别信息被逐层剥去,最后数据送到接收进程。
现在一般在制定网络协议和标准时,都把ISO/OSI参考模型作为参照基准,并说明与该参照基准的对应关系。例如,在IEEE802局域网LAN标准中,只定义了物理层和数据链路层,并且增强了数据链路层的功能。在广域网WAN协议中,CCITT的X.25建议包含了物理层、数据链路层和网络层等三层协议。一般来说,网络的低层协议决定了一个网络系统的传输特性,例如所采用的传输介质、拓扑结构及介质访问控制方法等,这些通常由硬件来实现;网络的高层协议则提供了与网络硬件结构无关的,更加完善的网络服务和应用环境,这些通常是由网络操作系统来实现的。 物理层建立在物理通信介质的基础上,作为系统和通信介质的接口,用来实现数据链路实体间透明的比特 (bit) 流传输。只有该层为真实物理通信,其它各层为虚拟通信。物理层实际上是设备之间的物理接口,物理层传输协议主要用于控制传输媒体。
(1)物理层的特性
物理层提供与通信介质的连接,提供为建立、维护和释放物理链路所需的机械的、电气的、功能的和规程的特性,提供在物理链路上传输非结构的位流以及故障检测指示。物理层向上层提供位 (bit) 信息的正确传送。
其中机械特性主要规定接口连接器的尺寸、芯数和芯的位置的安排、连线的根数等。电气特性主要规定了每种信号的电平、信号的脉冲宽度、允许的数据传输速率和最大传输距离。功能特性规定了接口电路引脚的功能和作用。规程特性规定了接口电路信号发出的时序、应答关系和操作过程,例如,怎样建立和拆除物理层连接,是全双工还是半双工等。
(2)物理层功能
为了实现数据链路实体之间比特流的透明传输,物理层应具有下述功能:
①物理连接的建立与拆除
当数据链路层请求在两个数据链路实体之间建立物理连接时,物理层能够立即为它们建立相应的物理连接。若两个数据链路实体之间要经过若干中继数据链路实体时,物理层还能够对这些中继数据链路实体进行互联,以建立起一条有效的物理连接。当物理连接不再需要时,由物理层立即拆除。
②物理服务数据单元传输
物理层既可以采取同步传输方式,也可以采取异步传输方式来传输物理服务数据单元。
③物理层管理
对物理层收发进行管理,如功能的激活 (何时发送和接收、异常情况处理等)、差错控制 (传输中出现的奇偶错和格式错)等。 数据链路层为网络层相邻实体间提供传送数据的功能和过程;提供数据流链路控制;检测和校正物理链路的差错。物理层不考虑位流传输的结构,而数据链路层主要职责是控制相邻系统之间的物理链路,传送数据以帧为单位,规定字符编码、信息格式,约定接收和发送过程,在一帧数据开头和结尾附加特殊二进制编码作为帧界识别符,以及发送端处理接收端送回的确认帧,保证数据帧传输和接收的正确性,以及发送和接收速度的匹配,流量控制等。
(1)数据链路层的目的
提供建立、维持和释放数据链路连接以及传输数据链路服务数据单元所需的功能和过程的手段。数据链路连接是建立在物理连接基础上的,在物理连接建立以后,进行数据链路连接的建立和数据链路连接的拆除。具体说,每次通信前后,双方相互联系以确认一次通信的开始和结束,在一次物理连接上可以进行多次通信。数据链路层检测和校正在物理层出现的错误。
(2)数据链路层的功能和服务
数据链路层的主要功能是为网络层提供连接服务,并在数据链路连接上传送数据链路协议数据单元L-PDU,一般将L-PDU称为帧。数据链路层服务可分为以下三种:
①无应答、无连接服务。发送前不必建立数据链路连接,接收方也不做应答,出错和数据丢失时也不做处理。这种服务质量低,适用于线路误码率很低以及传送实时性要求高的 (例如语音类的)信息等。
②有应答、无连接服务。当发送主机的数据链路层要发送数据时,直接发送数据帧。目标主机接收数据链路的数据帧,并经校验结果正确后,向源主机数据链路层返回应答帧;否则返回否定帧,发送端可以重发原数据帧。这种方式发送的第一个数据帧除传送数据外,也起数据链路连接的作用。这种服务适用于一个节点的物理链路多或通信量小的情况,其实现和控制都较为简单。
③面向连接的服务。该服务一次数据传送分为三个阶段:数据链路建立,数据帧传送和数据链路的拆除。数据链路建立阶段要求双方的数据链路层作好传送的准备;数据传送阶段是将网络层递交的数据传送到对方;数据链路拆除阶段是当数据传送结束时,拆除数据链路连接。这种服务的质量好,是ISO/OSI参考模型推荐的主要服务方式。
(3)数据链路数据单元
数据链路层与网络层交换数据格式为服务数据单元。数据链路服务数据单元,配上数据链路协议控制信息,形成数据链路协议数据单元。
数据链路层能够从物理连接上传输的比特流中,识别出数据链路服务数据单元的开始和结束,以及识别出其中的每个字段,实现正确的接收和控制。能按发送的顺序传输到相邻结点。
(4)数据链路层协议
数据链路层协议可分为面向字符的通信规程和面向比特的通信规程。
面向字符的通信规程是利用控制字符控制报文的传输。报文由报头和正文两部分组成。报头用于传输控制,包括报文名称、源地址、目标地址、发送日期以及标识报文开始和结束的控制字符。正文则为报文的具体内容。目标节点对收到的源节点发来的报文,进行检查,若正确,则向源节点发送确认的字符信息;否则发送接收错误的字符信息。
面向比特的通信规程典型是以帧为传送信息的单位,帧分为控制帧和信息帧。在信息帧的数据字段 (即正文)中,数据为比特流。比特流用帧标志来划分帧边界,帧标志也可用作同步字符。 广域网络一般都划分为通信子网和资源子网,物理层、数据链路层和网络层组成通信子网,网络层是通信子网的最高层,完成对通信子网的运行控制。网络层和传输层的界面,既是层间的接口,又是通信子网和用户主机组成的资源子网的界限,网络层利用本层和数据链路层、物理层两层的功能向传输层提供服务。
数据链路层的任务是在相邻两个节点间实现透明的无差错的帧级信息的传送,而网络层则要在通信子网内把报文分组从源节点传送到目标节点。在网络层的支持下,两个终端系统的传输实体之间要进行通信,只需把要交换的数据交给它们的网络层便可实现。至于网络层如何利用数据链路层的资源来提供网络连接,对传输层是透明的。
网络层控制分组传送操作,即路由选择,拥塞控制、网络互连等功能,根据传输层的要求来选择服务质量,向传输层报告未恢复的差错。网络层传输的信息以报文分组为单位,它将来自源的报文转换成包文,并经路径选择算法确定路径送往目的地。网络层协议用于实现这种传送中涉及的中继节点路由选择、子网内的信息流量控制以及差错处理等。
(1)网络层功能
网络层的主要功能是支持网络层的连接。网络层的具体功能如下:
①建立和拆除网络连接
在数据链路层提供的数据链路连接的基础上,建立传输实体间或者若干个通信子网的网络连接。互连的子网可采用不同的子网协议。
②路径选择、中继和多路复用
网际的路径和中继不同与网内的路径和和中继,网络层可以在传输实体的两个网络地址之间选择一条适当的路径,或者在互连的子网之间选择一条适当的路径和中继。并提供网络连接多路复用的数据链路连接,以提高数据链路连接的利用率。
③分组、组块和流量控制
数据分组是指将较长的数据单元分割为一些相对较小的数据单元;数据组块是指将一些相对较小的数据单元组成块后一起传输。用以实现网络服务数据单元的有序传输,以及对网络连接上传输的网络服务数据单元进行有效的流量控制,以免发生信息堵塞现象。
④差错的检测与恢复
利用数据链路层的差错报告,以及其他的差错检测能力来检测经网络连接所传输的数据单元,检测是否出现异常情况。并可以从出错状态中解脱出来。
(2)数据报和虚电路
网络层中提供两种类型的网络服务,即无连接服务和面向连接的服务。它们又被称为数据报服务和虚电路服务。
①数据报 (Datagram)服务
在数据报方式,网络层从传输层接受报文,拆分为报文分组,并且独立地传送,因此数据报格式中包含有源和目标节点的完整网络地址、服务要求和标识符。发送时,由于数据报每经过一个中继节点时,都要根据当时情况按照一定的算法为其选择一条最佳的传输路径,因此,数据报服务不能保证这些数据报按序到达目标节点,需要在接收节点根据标识符重新排序。
数据报方式对故障的适应性强,若某条链路发生故障,则数据报服务可以绕过这些故障路径而另选择其他路径,把数据报传送至目标节点。数据报方式易于平衡网络流量,因为中继节点可为数据报选择一条流量较少的路由,从而避开流量较高的路由。数据报传输不需建立连接,目标节点在收到数据报后,也不需发送确认,因而是一种开销较小的通信方式。但是发方不能确切地知道对方是否准备好接收、是否正在忙碌,故数据报服务的可靠性不是很高。而且数据报发送每次都附加源和目标主机的全网名称降低了信道利用率。
②虚电路 (Virtue Circuit) 服务
在虚电路传输方式下,在源主机与目标主机通信之前,必须为分组传输建立一条逻辑通道,称为虚电路。为此,源节点先发送请求分组Call-Request,Call-Request包含了源和目标主机的完整网络地址。Call-Request途径每一个通信网络节点时,都要记下为该分组分配的虚电路号,并且路由器为它选择一条最佳传输路由发往下一个通信网络节点。当请求分组到达目标主机后,若它同意与源主机通信,沿着该虚电路的相反方向发送请求分组Call-Request给源节点,当在网络层为双方建立起一条虚电路后,每个分组中不必再填上源和目标主机的全网地址,而只需标上虚电路号,即可以沿着固定的路由传输数据。当通信结束时,将该虚电路拆除。
虚电路服务能保证主机所发出的报文分组按序到达。由于在通信前双方已进行过联系,每发送完一定数量的分组后,对方也都给予了确认,故可靠性较高。
③路由选择
网络层的主要功能是将分组从源节点经过选定的路由送到目标节点,分组途经多个通信网络节点造成多次转发,存在路由选择问题。路由选择或称路径控制,是指网络中的节点根据通信网络的情况 (可用的数据链路、各条链路中的信息流量),按照一定的策略 (传输时间最短、传输路径最短等)选择一条可用的传输路由,把信息发往目标节点。
网络路由选择算法是网络层软件的一部分,负责确定所收到的分组应传送的路由。当网络内部采用无连接的数据报方式时,每传送一个分组都要选择一次路由。当网络层采用虚电路方式时,在建立呼叫连接时,选择一次路径,后继的数据分组就沿着建立的虚电路路径传送,路径选择的频度较低。
路由选择算法可分为静态算法和动态算法。静态路由算法是指总是按照某种固定的规则来选择路由,例如,扩散法、固定路由选择法、随机路由选择法和流量控制选择法。动态路由算法是指根据拓扑结构以及通信量的变化来改变路由,例如,孤立路由选择法、集中路由选择法、分布路由选择法、层次路由选择法等 从传输层向上的会话层、表示层、应用层都属于端一端的主机协议层。传输层是网络体系结构中最核心的一层,传输层将实际使用的通信子网与高层应用分开。从这层开始,各层通信全部是在源与目标主机上的各进程间进行的,通信双方可能经过多个中间节点。传输层为源主机和目标主机之间提供性能可靠、价格合理的数据传输。具体实现上是在网络层的基础上再增添一层软件,使之能屏蔽掉各类通信子网的差异,向用户提供一个通用接口,使用户进程通过该接口,方便地使用网络资源并进行通信。
(1) 传输层功能
传输层独立于所使用的物理网络,提供传输服务的建立、维护和连接拆除的功能;选择网络层提供的最适合的服务。传输层接收会话层的数据,分成较小的信息单位,再送到网络层,实现两传输层间数据的无差错透明传送。
传输层可以使源与目标主机之间以点对点的方式简单地连接起来。真正实现端一端间可靠通信。传输层服务是通过服务原语提供给传输层用户(可以是应用进程或者会话层协议),传输层用户使用传输层服务是通过传送服务端口TSAP实现的。当一个传输层用户希望与远端用户建立连接时,通常定义传输服务访问点TSAP。提供服务的进程在本机TSAP端口等待传输连接请求,当某一节点机的应用程序请求该服务时,向提供服务的节点机的TSAP端口发出传输连接请求,并表明自己的端口和网络地址。如果提供服务的进程同意,就向请求服务的节点机发确认连接,并对请求该服务的应用程序传递消息,应用程序收到消息后,释放传输连接。
传输层提供面向连接和无连接两种类型的服务。这两种类型的服务和网络层的服务非常相似。传输层提供这两种类型服务的原因是因为,用户不能对通信子网加以控制,无法通过使用通信处理机来改善服务质量。传输层提供比网络层更可靠的端一端间数据传输,更完善的查错纠错功能。传输层之上的会话层、表示层、应用层都不包含任何数据传送的功能。
(2)传输层协议类型
传输层协议和网络层提供的服务有关。网络层提供的服务于越完善,传输层协议就越简单,网络层提供的服务越简单,传输层协议就越复杂。传输层服务可分成五类:
0类:提供最简单形式的传送连接,提供数据流控制。
1类:提供最小开销的基本传输连接,提供误差恢复。
2类:提供多路复用,允许几个传输连接多路复用一条链路。
3类:具有0类和1类的功能,提供重新同步和重建传输连接的功能。
4类:用于不可靠传输层连接,提供误差检测和恢复。
基本协议机制包括建立连接、数据传送和拆除连接。传输连接涉及四种不同类型的标识:
用户标识:即服务访问点SAP,允许实体多路数据传输到多个用户。
网络地址:标识传输层实体所在的站。
协议标识:当有多个不同类型的传输协议的实体,对网络服务标识出不同类型的协议。
连接标识:标识传送实体,允许传输连接多路复用。 会话是指两个用户进程之间的一次完整通信。会话层提供不同系统间两个进程建立、维护和结束会话连接的功能;提供交叉会话的管理功能,有一路交叉、两路交叉和两路同时会话的3种数据流方向控制模式。会话层是用户连接到网络的接口。
(1)会话层的主要功能
会话层的目的是提供一个面向应用的连接服务。建立连接时,将会话地址映射为传输地址。会话连接和传输连接有三种对应关系,一个会话连接对应一个传输连接;多个会话连接建立在一个传输连接上;一个会话连接对应多个传输连接。
数据传送时,可以进行会话的常规数据、加速数据、特权数据和能力数据的传送。
会话释放时,允许正常情况下的有序释放;异常情况下由用户发起的异常释放和服务提供者发起的异常释放。
(2)会话活动
会话服务用户之间的交互对话可以划分为不同的逻辑单元,每个逻辑单元称为活动。每个活动完全独立于它前后的其他活动,且每个逻辑单元的所有通信不允许分隔开。
会话活动由会话令牌来控制,保证会话有序进行。会话令牌分为四种,数据令牌、释放令牌、次同步令牌和主同步令牌。令牌是互斥使用会话服务的手段。
会话用户进程间的数据通信一般采用交互式的半双工通信方式。由会话层给会话服务用户提供数据令牌来控制常规数据的传送,有数据令牌的会话服务用户才可发送数据,另一方只能接收数据。当数据发完之后,就将数据令牌转让给对方,对方也可请求令牌。
(3)会话同步
在会话服务用户组织的一个活动中,有时要传送大量的信息,如将一个文件连续发送给对方,为了提高数据发送的效率,会话服务提供者允许会话用户在传送的数据中设置同步点。一个主同步点表示前一个对话单元的结束及下一个对话单元的开始。在一个对话单元内部或者说两个主同步点之间可以设置次同步点,用于会话单元数据的结构化。当会话用户持有数据令牌、次同步令牌和主同步令牌时就可在发送数据流中用相应的服务原语设置次同步点和主同步点。
一旦出现高层软件错误或不符合协议的事件则发生会话中断,这时会话实体可以从中断处返回到一个已知的同步点继续传送,而不必从文件的开头恢复会话。会话层定义了重传功能,重传是指在已正确应答对方后,在后期处理中发现出错而请求的重传,又称为再同步。为了使发送端用户能够重传,必须保存数据缓冲区中已发送的信息数据,将重新同步的范围限制在一个对话单元之内,一般返回到前一个次同步点,最多返回到最近一个主同步点。 应用层作为用户访问网络的接口层,给应用进程提供了访问OSI环境的手段。
应用进程借助于应用实体 (AE)、实用协议和表示服务来交换信息,应用层的作用是在实现应用进程相互通信的同时,完成一系列业务处理所需的服务功能。当然这些服务功能与所处理的业务有关。
应用进程使用OSI定义和通信功能,这些通信功能是通过OSI参考模型各层实体来实现的。应用实体是应用进程利用OSI通信功能的唯一窗口。它按照应用实体间约定的通信协议 (应用协议),传送应用进程的要求,并按照应用实体的要求在系统间传送应用协议控制信息,有些功能可由表示层和表示层以下各层实现。
应用实体由一个用户元素和一组应用服务元素组成。用户元素是应用进程在应用实体内部,为完成其通信目的,需要使用的那些应用服务元素的处理单元。实际上,用户元素向应用进程提供多种形式的应用服务调用,而每个用户元素实现一种特定的应用服务使用方式。用户元素屏蔽应用的多样性和应用服务使用方式的多样性,简化了应用服务的实现。应用进程完全独立于OSI环境,它通过用户元素使用OSI服务。
应用服务元素可分为两类,公共应用服务元素 (CASE)和特定应用服务元素 (SASE)。公共应用服务元素是用户元素和特定应用服务元素公共使用的部分,提供通用的最基本的服务,它使不同系统的进程相互联系并有效通信。它包括联系控制元素、可靠传输服务元素、远程操作服务元素等;特定应用服务元素提供满足特定应用的服务。包括虚拟终端、文件传输和管理、远程数据库访问、作业传送等。对于应用进程和公共应用服务元素来说,用户元素具有发送和接收能力。对特定服务元素来说,用户元素是请求的发送者,也是响应的最终接收者。
C. 计算机网络之RDMA技术(七)Queue Pair
姓名:周肇星;学号:22011110028;学院:通信工程学院
部分素材取自 https://zhuanlan.hu.com/p/195757767
【嵌牛导读】RDMA技术全称远程直接数据存取,就是为了解决网络传输中服务器端数据处理的延迟而产生的。RDMA通过网络把资料直接传入计算机的存储区,将数据从一个系统快速移动到远程系统存储器中,而不对操作系统造成任何影响,这样就不需要用到多少计算机的处理功能。它消除了外部存储器复制和上下文切换的开销,因而能解放内存带宽和CPU周期用于改进应用系统性能。本专题将针对RDMA技术进行介绍!
【嵌牛鼻子】计算机网络,高性能网络,RDMA
【嵌牛提问】读完本文,对RDMA技术的QP概念有所认识了吗?
【嵌牛正文】
InfiniBand specification R1.3, Chapter3, 3.2.1, Page 98【QP与相关元素的概念】
InfiniBand specification R1.3, Chapter3, 3.5.1, Page 108【QP与相关元素的概念】
InfiniBand specification R1.3, Chapter3, 3.5.10, Page 117【QPN、QP0、QP1的概述】
InfiniBand specification R1.3, Chapter3, 3.7.5.1, Page 137【SMI使用QP0】
InfiniBand specification R1.3, Chapter3, 3.7.5.2, Page 138【GSI使用QP1】
InfiniBand specification R1.3, Chapter3, 3.8, Page 139【QP包含SQ与RQ】
InfiniBand specification R1.3, Chapter3, 3.8, Page 139【通道适配器对WQE的处理与数据的收发】
InfiniBand specification R1.3, Chapter3, 3.9, Page 143【GSI模型具体描述】
InfiniBand specification R1.3, Chapter3, 3.9.4, Page 145【QP0限定为无连接的数据报服务类型】
InfiniBand specification R1.3, Chapter3, 3.9.5, Page 147【QP1限定为无连接的数据报服务类型】
InfiniBand specification R1.3, Chapter3, 3.9.5.1, Page 147【允许QP1重定向的原因与机制】
根据IB协议中的描述,QP是硬件和软件之间的一个虚拟接口。QP由一个发送队列SQ与接收队列RQ组成,SQ与RQ均是队列结构,按顺序存储着软件给硬件下发的任务(WQE),WQE中包含从哪里取出多长的数据,并且发送给哪个目的地等等信息
通道适配器硬件接收到WQE后,读取WQE、并解析其中的命令,验证WQE的虚拟地址,将其转换为物理地址,并访问对应的数据。数据可通过一个或切分成多个数据包被传输出去,通道适配器为每个数据包添加一个传输头,如果目标位于其它子网上,则再添加上网络头部,随后添加本地路由头、并计算效验和
当数据到达目的节点时,验证校验和后,传输头指出了目标QP,通道适配器通过该QP的QP Context检查数据包是否来自正确的源端。对于SEND操作,QP从其接收队列中取出WQE,从中检索接收缓存区的虚拟地址、并转换成接收物理地址,将数据写入相应的位置,如果这不是消息的最后一个包,QP则在其QP Context中保存当前写的位置,并等待下一个包,然后继续写入缓存区,直至接收到最后一个包,然后该接收WQE退役,并向源端发送ACK确认
当发起者收到确认时,它会在CQ上创建一个CQE,并将WQE从发送队列中退出。一个QP可以在任何时候有多个未完成的消息,但接收端总是按照发送的顺序进行确认,因此WQE会按发送的顺序退役
对于可靠的服务类型,如果QP检测到一个或多个丢失的数据包,它会向发送者发送一条NAK消息指示其下一个预期的序列号。然后发起者可以从预期的数据包开始重新发送
每个QP间都是独立的,彼此通过PD隔离,因此一个QP可以被视为某个用户独占的一种资源,一个用户也可以同时使用多个QP
QP有很多种服务类型,包括RC、UD、RD和UC等,所有的源QP和目的QP必须为同一种类型才能进行数据交互
虽然IB协议将QP称为“虚拟接口”,但是它是有实体的:
QP Number简称为QPN,就是每个QP的编号。IB协议中规定用24个bit来表示QPN,即每个节点最大可以同时使用2^24个QP,每个节点都各自维护着QPN的集合,由通道适配器分配,相互之间是独立的,即QPN编号在各节点内唯一、不同的节点上可以存在编号相同的QP
编号为0的QP用于子网管理接口SMI(Subnet Management Interface),用于管理子网中的全部节点
子网管理器使用通过QP0发送、接收被称为子网管理报文SMP(Subnet Management Packet)的特殊类型的MAD(Management Datagram)报文(并仅发送接收SMP,其余数据无效)
并且QP0被永久配置为不可靠的数据报的服务类型
编号为1的QP用于通用服务接口GSI(General Service Interface)
GSI使用QP1进行初始通信,但允许对特定类的流量重定向到特权QP上,这是因为所有管理类数据包都进入同一队列,将导致瓶颈问题、线头阻塞现象,因此设计了重定向到其它QP的机制。当通道适配器接收到QP1上的GMP报文时,它可能会响应为一个指示新端口和QP的重定向响应,然后发起者将请求重新发送到新地址,并将该地址用于同一管理类的所有后续请求
并且QP1被永久配置为不可靠的数据报的服务类型,QP1上仅能收发MAD数据包
通用服务代理GSA(General Service Agents)是由许多管理服务代理组合而成,通用服务GA(General Service)使用称为通用管理报文GMP(General Service Packet)的报文,该报文是一种特殊的MAD报文
GSA中最出名的就是CM(Communication Management),是一种在通信双方节点正式建立连接之前用来交换必须信息的一种方式
QPC全称是Queue Pair Context,用于存储QP相关属性
QP在硬件上的实体只是一段存储空间而已,硬件除了知道这段空间的起始地址和大小之外一无所知,甚至连这个QP服务类型都不知道。还有很多其他的重要信息,比如某个QP中包含了若干个WQE,硬件怎么知道有多少个,当前应该处理第几个呢?
所以就需要软件通过操作系统提前申请好一大片连续的空间,即QPC来承载这些信息给硬件看。网卡及其配套的驱动程序提前约定好了QPC中都有哪些内容,这些内容分别占据多少空间,按照什么顺序存放。这样驱动和硬件就可以通过通过QPC这段空间来读写QP的状态等等信息
如上图所示,硬件其实只需要知道QPC的地址0x12350000就可以了,因为它可以解析QPC的内容,从而得知QP的位置,QP序号,QP大小等等信息。进而就能找到QP,知道应该取第几个WQE去处理。不同的厂商可能实现有些差异,但是大致的原理就是这样
四种操作都有配套的Verbs接口,类似于ibv_create_qp()这种形式,编写APP时直接调用就可以了
创建一个QP的软硬件资源,包含QP本身以及QPC。用户创建时会写传入一系列的初始化属性,包含该QP的服务类型,可以储存的WQE数量等信息
释放一个QP的全部软硬件资源,包含QP本身及QPC。销毁QP后,用户将无法通过QPN索引到这个QP
修改一个QP的某些属性,比如QP的状态,路径的MTU等等。这个修改过程既包括软件数据结构的修改,也包括对QPC的修改
查询一个QP当前的状态和一些属性,查询到的数据来源于驱动以及QPC的内容
在行为上都是软件向QP中填写一个WQE(对应用层来说叫WR),请求硬件执行一个动作。所以这两种行为都叫做“Post XXX Request”的形式,即下发XXX请求
Post Send本身不是指这个WQE的操作类型是Send,而是表示这个WQE属于通信发起方。这个流程中填写到QP中的WQE/WR可以是Send操作,RDMA Write操作以及RDMA Read操作等
用户需要提前准备好数据缓冲区、目的地址等信息,然后调用接口将WR传给驱动,驱动再把WQE填写到QP中
Post Recv的使用场景就相对比较少了,一般只在Send-Recv操作的接收端执行,接收端需要提前准备好接收数据的缓冲区,并将缓冲区地址等信息以WQE的形式告知硬件
D. 介绍一下网络系统基础知识~谢谢哈
最热门的话题是INTERNET与异步传输模式ATM技术。
信息技术与网络的应用已经成为衡量21世界国力与企业竞争力的重要标准。
国家信息基础设施建设计划,NII被称为信息高速公路。
Internet,Intranet与Extranet和电子商务已经成为企业网研究与应用的热点。
计算机网络建立的主要目标是实现计算机资源的共享。计算机资源主要是计算机硬件,软件与数据。
我们判断计算机是或互连成计算机网络,主要是看它们是不是独立的“自治计算机”。
分布式操作系统是以全局方式管理系统资源,它能自动为用户任务调度网络资源。
分布式系统与计算机网络的主要是区别不在他们的物理结构,而是在高层软件上。
按传输技术分为:1。广播式网络。2。点--点式网络。
采用分组存储转发与路由选择是点-点式网络与广播网络的重要区别之一。
按规模分类:局域网,城域网与广域网。
广域网(远程网)以下特点:
1 适应大容量与突发性通信的要求。
2 适应综合业务服务的要求。
3 开放的设备接口与规范化的协议。
4 完善的通信服务与网络管理。
X.25网是一种典型的公用分组交换网,也是早期广域网中广泛使用的一种通信子网。
变化主要是以下3个方面:
1 传输介质由原来的电缆走向光纤。
2 多个局域网之间告诉互连的要求越来越强烈。
3 用户设备大大提高。
在数据传输率高,误码率低的光纤上,使用简单的协议,以减少网络的延迟,而必要的差错控制功能将由用户设备来完成。这就是帧中续FR,Frame Relay技术产生的背景。
决定局域网特性的主要技术要素为网络拓扑,传输介质与介质访问控制方法。
从局域网介质控制方法的角度,局域网分为共享式局域网与交换式局域网。
城域网MAN介于广域网与局域网之间的一种高速网络。
FDDI是一种以光纤作为传输介质的高速主干网,它可以用来互连局域网与计算机。
各种城域网建设方案有几个相同点:传输介质采用光纤,交换接点采用基于IP交换的高速路由交换机或ATM交换机,在体系结构上采用核心交换层,业务汇聚层与接入层三层模式。
计算机网络的拓扑主要是通信子网的拓扑构型。
网络拓扑可以根据通信子网中通信信道类型分为:
4 点-点线路通信子网的拓扑。星型,环型,树型,网状型。
5 广播式通信子网的拓扑。总线型,树型,环型,无线通信与卫星通信型。
传输介质是网络中连接收发双方的物理通路,也是通信中实际传送信息的载体。
常用的传输介质为:双绞线,同轴电缆,光纤电缆和无线通信与卫星通信信道。
双绞线由按规则螺旋结构排列的两根,四根或八根绝缘导线组成。
屏蔽双绞线STP和非屏蔽双绞线UTP。
屏蔽双绞线由外部保护层,屏蔽层与多对双绞线组成。
非屏蔽双绞线由外部保护层,多对双绞线组成。
三类线,四类线,五类线。
双绞线用做远程中续线,最大距离可达15公里;用于100Mbps局域网时,与集线器最大距离为100米。
同轴电缆由内导体,外屏蔽层,绝缘层,外部保护层。
分为:基带同轴电缆和宽带同轴电缆。
单信道宽带:宽带同轴电缆也可以只用于一条通信信道的高速数字通信。
光纤电缆简称为光缆。
由光纤芯,光层与外部保护层组成。
在光纤发射端,主要是采用两种光源:发光二极管LED与注入型激光二极管ILD。
光纤传输分为单模和多模。区别在与光钎轴成的角度是或分单与多光线传播。
单模光纤优与多模光纤。
电磁波的传播有两种方式:1。是在空间自由传播,既通过无线方式。
2。在有限的空间,既有线方式传播。
移动通信:移动与固定,移动与移动物体之间的通信。
移动通信手段:
1 无线通信系统。
2 微波通信系统。
频率在100MHz-10GHz的信号叫做微波信号,它们对应的信号波长为3m-3cm。
3 蜂窝移动通信系统。
多址接入方法主要是有:频分多址接入FDMA,时分多址接入TDMA与码分多址接入CDMA。
4 卫星移动通信系统。
商用通信卫星一般是被发射在赤道上方35900km的同步轨道上
描述数据通信的基本技术参数有两个:数据传输率与误码率。
数据传输率是描述数据传输系统的重要指标之一。S=1/T。
对于二进制信号的最大数据传输率Rmax与通信信道带宽B(B=f,单位是Hz)的关系可以写为: Rmax=2*f(bps)
在有随机热噪声的信道上传输数据信号时,数据传输率Rmax与信道带宽B,信噪比S/N关系为: Rmax=B*LOG⒉(1+S/N)
误码率是二进制码元在数据传输系统中被传错的概率,它在数值上近似等于:
Pe=Ne/N(传错的除以总的)
对于实际数据传输系统,如果传输的不是二进制码元,要折合为二进制码元来计算。
这些为网络数据传递交换而指定的规则,约定与标准被称为网络协议。
协议分为三部分:语法。语义。时序。
将计算机网络层次模型和各层协议的集合定义为计算机网络体系结构。
计算机网络中采用层次结构,可以有以下好处:
1 各层之间相互独立。
2 灵活性好。
3 各层都可以采用最合适的技术来实现,各层实现技术的改变不影响其他各层。
4 易于实现和维护。
5 有利于促进标准化。
该体系结构标准定义了网络互连的七层框架,既ISO开放系统互连参考模型。在这一框架中进一步详细规定了每一层的功能,以实现开放系统环境中的互连性,互操作性与应用的可移植性。
OSI 标准制定过程中采用的方法是将整个庞大而复杂的问题划分为若干个容易处理的小问题,这就是分层的体系结构办法。在OSI中,采用了三级抽象,既体系结构,服务定义,协议规格说明。
OSI七层:
2 物理层:主要是利用物理传输介质为数据链路层提供物理连接,以便透明的传递比特流。
3 数据链路层。在通信实体之间建立数据链路连接,传送以帧为单位的数据,采用差错控制,流量控制方法。
4 网络层:通过路由算法,为分组通过通信子网选择最适当的路径。
5 传输层:是向用户提供可靠的端到端服务,透明的传送报文。
6 会话层:组织两个会话进程之间的通信,并管理数据的交换。
7 表示层:处理在两个通信系统中交换信息的表示方式。
8 应用层:应用层是OSI参考模型中的最高层。确定进程之间通信的性质,以满足用户的需要。
TCP/IP参考模型可以分为:应用层,传输层,互连层,主机-网络层。
互连层主要是负责将源主机的报文分组发送到目的主机,源主机与目的主机可以在一个网上,也可以不在一个网上。
传输层主要功能是负责应用进程之间的端到端的通信。
TCP/IP参考模型的传输层定义了两种协议,既传输控制协议TCP和用户数据报协议UDP。
TCP协议是面向连接的可靠的协议。UDP协议是无连接的不可靠协议。
主机-网络层负责通过网络发送和接受IP数据报。
按照层次结构思想,对计算机网络模块化的研究结果是形成了一组从上到下单向依赖关系的协议栈,也叫协议族。
应用层协议分为:
1。一类依赖于面向连接的TCP。
2.一类是依赖于面向连接的UDP协议。
10 另一类既依赖于TCP协议,也可以依赖于UDP协议。
NSFNET采用的是一种层次结构,可以分为主干网,地区网与校园网。
作为信息高速公路主要技术基础的数据通信网具有以下特点:
1 适应大容量与突发性通信的要求。
2 适应综合业务服务的要求。
3 开放的设备接口与规范化的协议。
4 完善的通信服务与网络管理。
人们将采用X。25建议所规定的DTE与DCE接口标准的公用分组交换网叫做X。25网。
帧中继是一种减少接点处理时间的技术。
综合业务数字网ISDN:
B-ISDN与N-ISDN的区别主要在:
2 N是以目前正在使用的公用电话交换网为基础,而B是以光纤作为干线和用户环路传输介质。
3 N采用同步时分多路复用技术,B采用异步传输模式ATM技术。
4 N各通路速率是预定的,B使用通路概念,速率不预定。
异步传输模式ATM是新一代的数据传输与分组交换技术,是当前网络技术研究与应用的热点问题。
ATM技术的主要特点是:
3 ATM是一种面向连接的技术,采用小的,固定长度的数据传输单元。
4 各类信息均采用信元为单位进行传送,ATM能够支持多媒体通信。
5 ATM以统计时分多路复用方式动态的分配网络,网络传输延迟小,适应实时通信的要求。
6 ATM没有链路对链路的纠错与流量控制,协议简单,数据交换率高。
7 ATM的数据传输率在155Mbps-2。4Gbps。
促进ATM发展的要素:
2 人们对网络带宽要求的不断增长。
3 用户对宽带智能使用灵活性的要求。
4 用户对实时应用的需求。
5 网络的设计与组建进一步走向标准化的需求。
一个国家的信息高速路分为:国家宽带主干网,地区宽带主干网与连接最终用户的接入网。
解决接入问题的技术叫做接入技术。
可以作为用户接入网三类:邮电通信网,计算机网络(最有前途),广播电视网。
网络管理包括五个功能:配置管理,故障管理,性能管理,计费管理和安全管理。
代理位于被管理的设备内部,它把来自管理者的命令或信息请求转换为本设备特有的指令,完成管理者的指示,或返回它所在设备的信息。
管理者和代理之间的信息交换可以分为两种:从管理者到代理的管理操作;从代理到管理者的事件通知。
配置管理的目标是掌握和控制网络和系统的配置信息以及网络各设备的状态和连接管理。现代网络设备由硬件和设备驱动组成。
配置管理最主要的作用是可以增强网络管理者对网络配置的控制,它是通过对设备的配置数据提供快速的访问来实现的。
故障就是出现大量或严重错误需要修复的异常情况。故障管理是对计算机网络中的问题或故障进行定位的过程。
故障管理最主要的作用是通过提供网络管理者快速的检查问题并启动恢复过程的工具,使网络的可靠性得到增强。故障标签就是一个监视网络问题的前端进程。
性能管理的目标是衡量和呈现网络特性的各个方面,使网络的性能维持在一个可以接受的水平上。
性能管理包括监视和调整两大功能。
记费管理的目标是跟踪个人和团体用户对网络资源的使用情况,对其收取合理的费用。
记费管理的主要作用是网络管理者能测量和报告基于个人或团体用户的记费信息,分配资源并计算用户通过网络传输数据的费用,然后给用户开出帐单。
安全管理的目标是按照一定的方法控制对网络的访问,以保证网络不被侵害,并保证重要的信息不被未授权用户访问。
安全管理是对网络资源以及重要信息访问进行约束和控制。
在网络管理模型中,网络管理者和代理之间需要交换大量的管理信息,这一过程必须遵循统一的通信规范,我们把这个通信规范称为网络管理协议。
网络管理协议是高层网络应用协议,它建立在具体物理网络及其基础通信协议基础上,为网络管理平台服务。
目前使用的标准网络管理协议包括:简单网络管理协议SNMP,公共管理信息服务/协议CMIS/CMIP,和局域网个人管理协议LMMP等。
SNMP采用轮循监控方式。代理/管理站模式。
管理节点一般是面向工程应用的工作站级计算机,拥有很强的处理能力。代理节点可以是网络上任何类型的节点。SNMP是一个应用层协议 ,在TCP/IP网络中,它应用传输层和网络层的服务向其对等层传输信息。
CMIP的优点是安全性高,功能强大,不仅可用于传输管理数据,还可以执行一定的任务。
信息安全包括5个基本要素:机密性,完整性,可用性,可控性与可审查性。
3 D1级。D1级计算机系统标准规定对用户没有验证。例如DOS。WINDOS3。X及WINDOW 95(不在工作组方式中)。Apple的System7。X。
4 C1级提供自主式安全保护,它通过将用户和数据分离,满足自主需求。
C1级又称为选择安全保护系统,它描述了一种典型的用在Unix系统上的安全级别。
C1级要求硬件有一定的安全级别,用户在使用前必须登陆到系统。
C1级的防护的不足之处在与用户直接访问操作系统的根。
9 C2级提供比C1级系统更细微的自主式访问控制。为处理敏感信息所需要的最底安全级别。C2级别还包含有受控访问环境,该环境具有进一步限制用户执行一些命令或访问某些文件的权限,而且还加入了身份验证级别。例如UNIX系统。XENIX。Novell 3。0或更高版本。WINDOWS NT。
10 B1级称为标记安全防护,B1级支持多级安全。标记是指网上的一个对象在安全保护计划中是可识别且受保护的。B1级是第一种需要大量访问控制支持的级别。安全级别存在保密,绝密级别。
11 B2又称为结构化保护,他要求计算机系统中的所有对象都要加上标签,而且给设备分配安全级别。B2级系统的关键安全硬件/软件部件必须建立在一个形式的安全方法模式上。
12 B3级又叫安全域,要求用户工作站或终端通过可信任途径连接到网络系统。而且这一级采用硬件来保护安全系统的存储区。
B3级系统的关键安全部件必须理解所有客体到主体的访问,必须是防窜扰的,而且必须足够小以便分析与测试。
30 A1 最高安全级别,表明系统提供了最全面的安全,又叫做验证设计。所有来自构成系统的部件来源必须有安全保证,以此保证系统的完善和安全,安全措施还必须担保在销售过程中,系统部件不受伤害。
网络安全从本质上讲就是网络上的信息安全。凡是涉及到网络信息的保密性,完整性,可用性,真实性和可控性的相关技术和理论都是网络安全的研究领域。
安全策约是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。安全策约模型包括了建立安全环境的三个重要组成部分:威严的法律,先进的技术和严格的管理。
网络安全是网络系统的硬件,软件以及系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏,更改,泄露,系统能连续,可靠和正常的运行,网络服务不中断。
保证安全性的所有机制包括以下两部分:
1 对被传送的信息进行与安全相关的转换。
2 两个主体共享不希望对手得知的保密信息。
安全威胁是某个人,物,事或概念对某个资源的机密性,完整性,可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。
安全威胁分为故意的和偶然的两类。故意威胁又可以分为被动和主动两类。
中断是系统资源遭到破坏或变的不能使用。这是对可用性的攻击。
截取是未授权的实体得到了资源的访问权。这是对保密性的攻击。
修改是未授权的实体不仅得到了访问权,而且还篡改了资源。这是对完整性的攻击。
捏造是未授权的实体向系统中插入伪造的对象。这是对真实性的攻击。
被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有:泄露信息内容和通信量分析等。
主动攻击涉及修改数据流或创建错误的数据流,它包括假冒,重放,修改信息和拒绝服务等。
假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。 重放涉及被动捕获数据单元以及后来的重新发送,以产生未经授权的效果。
修改消息意味着改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。
拒绝服务的禁止对通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断,这可以通过使网络失效而实现,或通过消息过载使网络性能降低。
防止主动攻击的做法是对攻击进行检测,并从它引起的中断或延迟中恢复过来。
从网络高层协议角度看,攻击方法可以概括为:服务攻击与非服务攻击。
服务攻击是针对某种特定网络服务的攻击。
非服务攻击不针对某项具体应用服务,而是基于网络层等低层协议进行的。
非服务攻击利用协议或操作系统实现协议时的漏洞来达到攻击的目的,是一种更有效的攻击手段。
网络安全的基本目标是实现信息的机密性,完整性,可用性和合法性。
主要的可实现威胁:
3 渗入威胁:假冒,旁路控制,授权侵犯。
4 植入威胁:特洛伊木马,陷门。
病毒是能够通过修改其他程序而感染它们的一种程序,修改后的程序里面包含了病毒程序的一个副本,这样它们就能继续感染其他程序。
网络反病毒技术包括预防病毒,检测病毒和消毒三种技术。
1 预防病毒技术。
它通过自身长驻系统内存,优先获得系统的控制权,监视和判断系统中是或有病毒存在,进而阻止计算机病毒进入计算机系统对系统进行破坏。这类技术有:加密可执行程序,引导区保护,系统监控与读写控制。
2.检测病毒技术。
通过对计算机病毒的特征来进行判断的技术。如自身效验,关键字,文件长度的变化等。
3.消毒技术。
通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原元件的软件。
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和检测,在工作站上用防病毒芯片和对网络目录以及文件设置访问权限等。
网络信息系统安全管理三个原则:
1 多人负责原则。
2 任期有限原则。
3 职责分离原则。
保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析学。
需要隐藏的消息叫做明文。明文被变换成另一种隐藏形式被称为密文。这种变换叫做加密。加密的逆过程叫组解密。对明文进行加密所采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常是在一组密钥控制下进行的,加密算法所采用的密钥成为加密密钥,解密算法所使用的密钥叫做解密密钥。
密码系统通常从3个独立的方面进行分类:
1 按将明文转化为密文的操作类型分为:置换密码和易位密码。
所有加密算法都是建立在两个通用原则之上:置换和易位。
2 按明文的处理方法可分为:分组密码(块密码)和序列密码(流密码)。
3 按密钥的使用个数分为:对称密码体制和非对称密码体制。
如果发送方使用的加密密钥和接受方使用的解密密钥相同,或从其中一个密钥易于的出另一个密钥,这样的系统叫做对称的,但密钥或常规加密系统。如果发送放使用的加密密钥和接受方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统就叫做不对称的,双密钥或公钥加密系统。
分组密码的加密方式是首先将明文序列以固定长度进行分组,每一组明文用相同的密钥和加密函数进行运算。
分组密码设计的核心上构造既具有可逆性又有很强的线性的算法。
序列密码的加密过程是将报文,话音,图象,数据等原始信息转化成明文数据序列,然后将它同密钥序列进行异或运算。生成密文序列发送给接受者。
数据加密技术可以分为3类:对称型加密,不对称型加密和不可逆加密。
对称加密使用单个密钥对数据进行加密或解密。
不对称加密算法也称为公开加密算法,其特点是有两个密钥,只有两者搭配使用才能完成加密和解密的全过程。
不对称加密的另一用法称为“数字签名”,既数据源使用其私有密钥对数据的效验和或其他与数据内容有关的变量进行加密,而数据接受方则用相应的公用密钥解读“数字签名”,并将解读结果用于对数据完整性的检验。
不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。
加密技术应用于网络安全通常有两种形式,既面向网络和面向应用程序服务。
面向网络服务的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送,认证网络路由及其其他网络协议所需的信息,从而保证网络的连通性和可用性不受侵害。
面向网络应用程序服务的加密技术使用则是目前较为流行的加密技术的使用方法。
从通信网络的传输方面,数据加密技术可以分为3类:链路加密方式,节点到节点方式和端到端方式。
链路加密方式是一般网络通信安全主要采用的方式。
节点到节点加密方式是为了解决在节点中数据是明文的缺点,在中间节点里装有加,解密的保护装置,由这个装置来完成一个密钥向另一个密钥的变换。
在端到端机密方式中,由发送方加密的数据在没有到达最终目的节点之前是不被解密的。
试图发现明文或密钥的过程叫做密码分析。
算法实际进行的置换和转换由保密密钥决定。
密文由保密密钥和明文决定。
对称加密有两个安全要求:
1 需要强大的加密算法。
2 发送方和接受方必须用安全的方式来获得保密密钥的副本。
常规机密的安全性取决于密钥的保密性,而不是算法的保密性。
IDEA算法被认为是当今最好最安全的分组密码算法。
公开密钥加密又叫做非对称加密。
公钥密码体制有两个基本的模型,一种是加密模型,一种是认证模型。
通常公钥加密时候使用一个密钥,在解密时使用不同但相关的密钥。
常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥。
RSA体制被认为是现在理论上最为成熟完善的一种公钥密码体制。
密钥的生存周期是指授权使用该密钥的周期。
在实际中,存储密钥最安全的方法就是将其放在物理上安全的地方。
密钥登记包括将产生的密钥与特定的应用绑定在一起。
密钥管理的重要内容就是解决密钥的分发问题。
密钥销毁包括清除一个密钥的所有踪迹。
密钥分发技术是将密钥发送到数据交换的两方,而其他人无法看到的地方。
数字证书是一条数字签名的消息,它通常用与证明某个实体的公钥的有效性。数字证书是一个数字结构,具有一种公共的格式,它将某一个成员的识别符和一个公钥值绑定在一起。人们采用数字证书来分发公钥。
序列号:由证书颁发者分配的本证书的唯一标示符。
认证是防止主动攻击的重要技术,它对于开放环境中的各种信息系统的安全有重要作用。
认证是验证一个最终用户或设备的声明身份的过程。
主要目的为:
4 验证信息的发送者是真正的,而不是冒充的,这称为信源识别。
5 验证信息的完整性,保证信息在传送过程中未被窜改,重放或延迟等。
认证过程通常涉及加密和密钥交换。
帐户名和口令认证方式是最常用的一种认证方式。
授权是把访问权授予某一个用户,用户组或指定系统的过程。
访问控制是限制系统中的信息只能流到网络中的授权个人或系统。
有关认证使用的技术主要有:消息认证,身份认证和数字签名。
消息认证的内容包括为:
1 证实消息的信源和信宿。
2 消息内容是或曾受到偶然或有意的篡改。
3 消息的序号和时间性。
消息认证的一般方法为:产生一个附件。
身份认证大致分为3类:
1 个人知道的某种事物。
2 个人持证
3 个人特征。
口令或个人识别码机制是被广泛研究和使用的一种身份验证方法,也是最实用的认证系统所依赖的一种机制。
为了使口令更加安全,可以通过加密口令或修改加密方法来提供更强健的方法,这就是一次性口令方案,常见的有S/KEY和令牌口令认证方案。
持证为个人持有物。
数字签名的两种格式:
2 经过密码变换的被签名信息整体。
3 附加在被签消息之后或某个特定位置上的一段签名图样。
对与一个连接来说,维持认证的唯一办法是同时使用连接完整性服务。
防火墙总体上分为包过滤,应用级网关和代理服务等几大类型。
数据包过滤技术是在网络层对数据包进行选择。
应用级网关是在网络应用层上建立协议过滤和转发功能。
代理服务也称链路级网关或TCP通道,也有人将它归于应用级网关一类。
防火墙是设置在不同网络或网络安全域之间的一系列不见的组合。它可以通过检测,限制,更改跨越防火墙的数据流,尽可能的对外部屏蔽网络内部的消息,结构和运行情况,以此来实现网络的安全保护。
防火墙的设计目标是:
1 进出内部网的通信量必须通过防火墙。
2 只有那些在内部网安全策约中定义了的合法的通信量才能进出防火墙。
3 防火墙自身应该防止渗透。
防火墙能有效的防止外来的入侵,它在网络系统中的作用是:
1 控制进出网络的信息流向和信息包。
2 提供使用和流量的日志和审记。
3 隐藏内部IP以及网络结构细节。
4 提供虚拟专用网功能。
通常有两种设计策约:允许所有服务除非被明确禁止;禁止所有服务除非被明确允许。
防火墙实现站点安全策约的技术:
3 服务控制。确定在围墙外面和里面可以访问的INTERNET服务类型。
4 方向控制。启动特定的服务请求并允许它通过防火墙,这些操作具有方向性。
5 用户控制。根据请求访问的用户来确定是或提供该服务。
6 行为控制。控制如何使用某种特定的服务。
影响防火墙系统设计,安装和使用的网络策约可以分为两级:
高级的网络策约定义允许和禁止的服务以及如何使用服务。
低级的网络策约描述了防火墙如何限制和过滤在高级策约中定义的服务。