计算机科学与技术毕业设计（论文）外文翻译-信息安全.doc

中英文翻译资料(2005届)学 号： 200104060317姓 名： 指导教师： 辅导教师： 专业名称： 计算机科学与技术 河北理工大学计算机与自动控制学院2005年 6 月 15 日信息安全一、概述 21世纪全世界的计算机都将通过internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。 网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。 2.防火墙 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。? 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 自从1986年美国digital公司在internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的ip是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换nat、代理型和监测型。 2.1.包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、tcp/udp源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造ip地址,骗过包过滤型防火墙。 2.2.网络地址转化nat 网络地址转换是一种用于把ip地址转换成临时的、外部的、注册的ip地址标准。它允许具有私有ip地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的ip地址。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的ip地址和端口来请求访问。olm防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 2.3.代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 2.4.监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品 遂然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉ftp连接中的put命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。二、基于iis的信息安全策略isapi是微软提供的基于windows nt（包括windows nt4.0,windows 2000 server系列,windows server2003）的internet编程接口，利用isapi编制的应用程序以动态链接库的形式封装，直接运行在iis进程中。isapi实现的应用程序包括扩展和过滤器两种形式，isapi扩展可以响应客户的请求，执行特殊的功能，而过滤器可以实现数据压缩、重定向、加密和身份验证等功能过滤器的作用机制isapi过滤器运行在iis的前端，可以处理iis提供的每一步服务。isapi过滤器的作用机制如图1所示。过滤器在iis进程启动时装载，并运行getfiltervison函数，getfiltervison函数的目的是设置过滤器的优先级并将事件通知的关注点注册到过滤器。当系统中存在多个过滤器时需要通过设置优先级确定过滤器的执行顺序，而事件通知的关注点是过滤器可以处理的服务。当客户请求服务时，iis首先启动过滤器程序，然后根据过滤器注册的关注点调用过滤器实现的事件处理函数。isapi过滤器实现信息存储安全通过isapi过滤器可以对客户的身份进行验证，控制访问的客户，从而实现系统存储的信息安全。在isapi过滤器中，验证客户身份需要注册的事件关注点是sf_authentication事件，相应的事件处理函数是onauthentication。客户在提交访问后，iis启动新的线程为客户提供服务，在iis线程验证客户的身份前会首先查看过滤器中有无sf_authentication事件关注点，若有，则执行过滤器的onauthentication函数。所以可以通过onauthentication函数在iis线程前对客户的身份进行验证。iis以http的挑战/响应机制结合windows nt（包括windows nt4.0,windows 2000 server系列,windows server2003）的用户数据库验证客户的身份，而windows nt（包括windows nt4.0,windows 2000 server系列,windows server2003）的用户数目是有限的， 并且直接以nt用户访问存在着不安全的因素，所以在过滤器中引入专用的用户访问数据库客户匿名访问时，过滤器直接返回，保证客户可以访问非保密的资源。当客户非匿名访问时，过滤器查找用户数据库，找到对应的系统密码和用户名，并替代客户的密码和用户名，然后在iis中用替换的系统密码和用户名对客户的身份进行验证。采用这种方法使得客户输入的密码和用户名并不是系统真正的密码和用户名，既保证了客户的数量又保护了系统的安全。isapi身份验证过滤器运行在多线程的iis进程中，每一个线程都将调用过滤器程序，而与数据库的连接很占系统的资源，当访问的客户超过一定的数量时，可能会导致系统的崩溃。在实现时可以通过一段缓存解决这个问题，具体方法是过滤器装载时在内存中开辟一段空间，用以保存近来访问服务器的客户的密码和用户名以及对应的系统密码和用户名。在客户访问时，过滤器先查找缓存中有无客户的密码和用户名，若没有再查找数据库，并将查找到的内容写入缓存中，由于查找缓存的时间及占用的资源远远小于对数据库的查找，所以可以大大提高过滤器的执行效率。isapi过滤器实现的过程中应注意的问题主要是内存泄漏和多线程。避免的方法在于选择支持多线程的数据库，并且保证缓存的单线程访问以及释放占用的内存。ssl实现信息传输安全在internet传输的所有数据都暴露于任何网络客户面前，任何对通信进行监测的人都可以对通信的数据进行截取和修改。保证数据传输的保密性、完整性和安全性的关键在于防止网络的监听和篡改。ssl技术为应用层间数据通信提供安全的途径，它位于可靠的传输层之上，为高层的应用提供透明的服务，保证传输信息的隐私性、可靠性和用户的非否认性。ssl通信分两个阶段：连接阶段和数据传输阶段。在连接阶段，建立安全连接，一旦算法达成协议，就交换密钥，接着验证身份，然后开始数据传输。在数据传输阶段，信息传输到ssl时通过加密或解密后向下或向上传输。ssl要求在客户端与服务器端建立通信渠道，通信渠道的建立通过客户与服务器的握手来完成。客户和服务器之间通过相互询问确定最终的加密算法。询问信息提供了建立安全渠道的重要信息。服务器端通过证书确定客户的身份，然后发出确认和结束信息结束握手阶段，开始正常的数据传输。数据在传输过程中被分解为许多信息，同时用会话密钥加密并使用数字签名。接收端在试图解密数据之前首先要验证数字签名。在iis中可以方便的通过ssl建立数据传输的安全性。服务器建立ssl链接之前必须安装证书。证书可以使用microsoft certificate server生成。新密钥的创建通过iis密钥管理器完成，它会根据向导自动请求服务器上安装的certificate server生成证书。在密钥建成后需要通过iis的控制台配置ssl，可以配置的选项包括密钥设置、是否要求客户端证书以及客户端证书映射等。在这些设置完成后就可以实现信息传输的安全性。三、个人计算机网络安全防线windows提供了许许多多的服务，其实有许多我们是根本也用不上的。或许你还不知道，有些服务正为居心叵测的人开启后门。telnet就是一个非常典型的例子！让我们先看看在windows2000的服务中是怎么解释的：“允许远程用户登录到系统并且使用命令行运行控制台程序。”你说，这样的服务，你需要吗？我个人建议禁止该服务。还有一个值得一提的就是netbios。对于他的功能，本文就不做过多地介绍了。从前，我从没有注意到该服务，直到我在学习网络监听和隐藏时才发现该项服务存在极大的安全隐患！因此，我个人建议禁止该服务。windows还有许多服务，在此不做过多地介绍。大家可以根据自己实际情况禁止某些服务（windows 9x的用户，可以用新版的优化大师禁用服务）。网络安全第二线：打补丁microsofe公司时不时就会在网上免费提供一些补丁，有时间可以去打打补丁。除了可以增强兼容性外，更重要的是堵上已发现的安全漏洞。本人不赞成将所有补丁都打上。因为，这样无形中就增加了windows的负担。特别是用户根本不用的服务的相关补丁，根本没有打的必要！因此，我建议有能力的朋友可以根据自己的实际情况根据情况打适合自己补丁。网络安全第三线：反病毒监控我有深刻的体会：我的反病毒监控一个月至少能在我上网时截获3个或更多的病毒。可见，网上病毒实在太多了。一不小心，就会被感染。我认为最好还是选择国产反病毒软件。有的人喜欢追求国际权威，当然我不是否认国际权威反病毒软件的防毒能力。但是，不知道大家有没有听过“远水不能救近火”这句话呢？当然，国际权威对付国际上流行的病毒是绝对没问题的，但是对付本国土生土长的病毒呢？恐怕就不一定行了。况且，国际权威往往还会存在这样的两个问题：第一，全世界的黑客都以攻破国际权威反病毒软件的防线为荣；第二，国际权威防病毒软件会不会为未来战争留下后门呢？反病毒软件不是拿来听的，也不是拿来看的！用反病毒软件的根本目的是防病毒！所以，上述所讲的内容请大家三思。另外，安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。网络安全第四线：网络防火墙对于怎样选择网络防火墙方面，我个人认为除了上面讲的选择国产品牌外，我还补充一点：选择功能强大而不起眼的产品。为什么要这样呢？主要原因还是为了安全。正所谓树大好招风，那些被所有人都认可产品固然功能强大，但是却树敌太多。每一位听说过它的黑客都想攻破它。你说，这样的安全性还能高吗？因此，我建议选择功能强大而不起眼的产品。或许，你会问，为什么我在介绍选择反病毒软件时没提到选择功能强大而不起眼的产品呢？其实，原因很简单，制作好的反病毒软件技术要比制作好的网络防火墙要难得多！大家可以想想，现在让人放心的反病毒软件所有品牌都是经过千锤百炼出来的。国际上有norton、pc-cillin等，国内有瑞星、杀毒王，他们这品牌创立的多久？经历了多少风风雨雨？反病毒技术不是说一朝一夕就能成熟的，因此我在介绍选择反病毒软件时没提到选择功能强大而不起眼的产品。网络安全第五线：数据备份数据备份我就不想多说了，不过我建议用ghost进行备份。有条件的朋友可以将备份刻录到光盘中。这样就可以在必要时毫不费力的恢复自己的数据。三、防火墙技术发展的三个发展趋势 防火墙可说是信息安全领域最成熟的产品之一，但是成熟并不意味着发展的停滞，恰恰相反，日益提高的安全需求对信息安全产品提出了越来越高的要求，防火墙也不例外，下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。模式转变传统的防火墙通常都设置在网络的边界位置，不论是内网与外网的边界，还是内网中的不同子网的边界，以数据流进行分隔，形成安全管理区域。但这种设计的最大问题是，恶意攻击的发起不仅仅来自于外网，内网环境同样存在着很多安全隐患，而对于这种问题，边界式防火墙处理起来是比较困难的，所以现在越来越多的防火墙产品也开始体现出一种分布式结构，以分布式为体系进行设计的防火墙产品以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大提升安全防护强度，这不仅仅是单纯的产品形式的变化，而是象征着防火墙产品防御理念的升华。防火墙的几种基本类型可以说各有优点，所以很多厂商将这些方式结合起来，以弥补单纯一种方式带来的漏洞和不足，例如比较简单的方式就是既针对传输层面的数据包特性进行过滤，同时也针对应用层的规则进行过滤，这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力，可以说是在自身基础之上进行再发展的最有效途径之一，目前较为先进的一种过滤方式是带有状态检测功能的数据包过滤，其实这已经成为现有防火墙产品的一种主流检测模式了，可以预见，未来的防火墙检测模式将继续整合进更多的范畴，而这些范畴的配合也同时获得大幅的提高。就目前的现状来看，防火墙的信息记录功能日益完善，通过防火墙的日志系统，可以方便地追踪过去网络中发生的事件，还可以完成与审计系统的联动，具备足够的验证能力，以保证在调查取证过程中采集的证据符合法律要求。相信这一方面的功能在未来会有很大幅度的增强，同时这也是众多安全系统中一个需要共同面对的问题。功能扩展现在的防火墙产品已经呈现出一种集成多种功能的设计趋势，包括vpn、aaa、pki 、ipsec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中了，很多时候我们已经无法分辨这样的产品到底是以防火墙为主，还是以某个功能为主了，即其已经逐渐向我们普遍称之为ips（入侵防御系统）的产品转化了。有些防火墙集成了防病毒功能，这样的设计会对管理性能带来不少提升，但同时也对防火墙产品的另外两个重要因素产生了影响，即性能和自身的安全问题，所以我们的意见是应该根据具体的应用环境来做综合的权衡，毕竟这个世界暂时还不存在什么完美的解决方案。防火墙的管理功能一直在迅猛发展，并且不断地提供一些方便好用的功能给管理员，这种趋势仍将继续，更多新颖实效的管理功能会不断地涌现出来，例如短信功能，至少在大型环境里会成为标准配置，当防火墙的规则被变更或类似的被预先定义的管理事件发生之后，报警行为会以多种途径被发送至管理员处，包括即时的短信或移动电话拨叫功能，以确保安全响应行为在第一时间被启动，而且在将来，通过类似手机、pda这类移动处理设备也可以方便地对防火墙进行管理，当然，这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。性能提高未来的防火墙产品由于在功能性上的扩展，以及应用日益丰富、流量日益复杂所提出的更多性能要求，会呈现出更强的处理性能要求，而寄希望于硬件性能的水涨船高肯定会出现瓶颈，所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上；相对来说，单纯的流量过滤性能是比较容易处理的问题，而与应用层涉及越密，性能提高所需要面对的情况就会越复杂；在大型应用环境中，防火墙的规则库至少有上万条记录，而随着过滤的应用种类的提高，规则数往往会以趋进几何级数的程度上升，这是对防火墙的负荷是很大的考验，使用不同的处理器完成不同的功能可能是解决办法之一，例如利用集成专有算法的协处理器来专门处理规则判断，在防火墙的某方面性能出现较大瓶颈时，我们可以单纯地升级某个部分的硬件来解决，这种设计有些已经应用到现有的产品中了，也许未来的防火墙产品会呈现出非常复杂的结构，当然，从某种角度来说，我们祈祷这种状况最好还是不要发生。另外根据经验，除了硬件因素之外，规则处理的方式及算法也会对防火墙性能造成很明显的影响，所以在防火墙的软件部分也应该会融入更多先进的设计技术，并衍生出更多的专用平台技术，以期缓解防火墙的性能要求。综上所述，不论从功能还是从性能来讲，防火墙产品的演进并不会放慢速度，反而产品的丰富程度和推出速度会不断的加快，这也反映了安全需求不断上升的一种趋势，而相对于产品本身某个方面的演进，更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布，这些变化不仅仅关系到某个环境的某个产品的应用情况，更关系到信息安全领域的未来。四、网络协议tcp/ip、ipx/spx、netbeui 详细介绍 网络协议tcp/ip、ipx/spx、netbeui 网络中不同的工作站，服务器之间能传输数据，源于协议的存在。随着网络的发展，不同的开发商开发了不同的通信方式。为了使通信成功可靠，网络中的所有主机都必须使用同一语言，不能带有方言。因而必须开发严格的标准定义主机之间的每个包中每个字中的每一位。这些标准来自于多个组织的努力，约定好通用的通信方式，即协议。这些都使通信更容易。已经开发了许多协议，但是只有少数被保留了下来。那些协议的淘汰有多中原因-设计不好、实现不好或缺乏支持。而那些保留下来的协议经历了时间的考验并成为有效的通信方法。当今局域网中最常见的三个协议是microsoft的netbeui、novell的ipx/spx和交叉平台tcp/ip。netbeuinetbeui是为ibm开发的非路由协议，用于携带netbios通信。netbeui缺乏路由和网络层寻址功能，既是其最大的优点，也是其最大的缺点。因为它不需要附加的网络地址和网络层头尾，所以很快并很有效且适用于只有单个网络或整个环境都桥接起来的小工作组环境。因为不支持路由，所以netbeui永远不会成为企业网络的主要协议。netbeui帧中唯一的地址是数据链路层媒体访问控制（mac）地址，该地址标识了网卡但没有标识网络。路由器靠网络地址将帧转发到最终目的地，而netbeui帧完全缺乏该信息。网桥负责按照数据链路层地址在网络之间转发通信，但是有很多缺点。因为所有的广播通信都必须转发到每个网络中，所以网桥的扩展性不好。netbeui特别包括了广播通信的记数并依赖它解决命名冲突。一般而言，桥接netbeui网络很少超过100台主机。近年来依赖于第二层交换器的网络变得更为普遍。完全的转换环境降低了网络的利用率，尽管广播仍然转发到网络中的每台主机。事实上，联合使用100-base-t ethernet,允许转换netbios网络扩展到350台主机，才能避免广播通信成为严重的问题。ipx/spxipx是novell用于netware客户端/服务器的协议群组，避免了netbeui的弱点。但是，带来了新的不同弱点。ipx具有完全的路由能力，可用于大型企业网。它包括32位网络地址，在单个环境中允许有许多路由网络。ipx的可扩展性受到其高层广播通信和高开销的限制。服务广告协议（service advertising protocol,sap)将路由网络中的主机数限制为几千。尽管sap的局限性已经被智能路由器和服务器配置所克服，但是，大规模ipx网络的管理员仍是非常困难的工作。tcp/ip每种网络协议都有自己的优点，但是只有tcp/ip允许与internet完全的连接。tcp/ip是在60年代由麻省理工学院和一些商业组织为美国国防部开发的，即便遭到核攻击而破坏了大部分网络，tcp/ip仍然能够维持有效的通信。arpanet就是由基于协议开发的，并发展成为作为科学家和工程师交流媒体的internet。tcp/ip同时具备了可扩展性和可靠性的需求。不幸的是牺牲了速度和效率（可是：tcp/ip的开发受到了政府的资助）。internet公用化以后，人们开始发现全球网的强大功能。internet的普遍性是tcp/ip至今仍然使用的原因。常常在没有意识到的情况下，用户就在自己的pc上安装了tcp/ip栈，从而使该网络协议在全球应用最广。 tcp/ip的32位寻址功能方案不足以支持即将加入internet的主机和网络数。因而可能代替当前实现的标准是ipv6。最后介绍一些关于计算机网络安全方面的知识第1章 设计语音应用程序包含了通过电话提交的数据表达、呼叫流程的建立以及提示和语法的实施。voicexml提供一个公共的规则集，作为灵活性的基础，但是建立恰当的语音系统的流程和个性取决于设计者。 正如html的内容由浏览器解释并在web网站上用可视的方式表达出来一样，voicexml也必须能由语音或声音浏览器理解或解释，以通过电话表达。语音浏览器起到了在呼叫和因特网连接之间的网关的作用。它解释voicexml的代码和管理呼叫者与某个网站上voicexml内容之间的对话。 语音浏览器软件也维护呼叫，表达相当于url的语音提示和为音频交互下载网页。 利用语音浏览器，基于voicexml的应用程序提供了灵活性，有利于呼叫者和内容提供商双方。呼叫者可以老式的转盘拨号电话机或者最新的无线电话机，获得同样的服务。内容提供商可以选择将语音浏览器放在自己的设备上，或者外包给应用服务供应商（asp）、电信运营商或服务公司。对于目前的可视web模型，必须在易于实施、灵活性、成本和其他因素之间进行折衷考虑。 今天，不少公司正在将业务建立在基于语音的网站内容上，提供电话访问和提供以交互的音频格式的数据表达。这些业务包括了语音应用程序后，提供了更大的伸缩性、更便于维护和支持，同时让内容提供商专心做其核心业务。 很多显而易见的细微因素组合在一起，使voicexml网站模型浮出水面。很多人将业界对voicexml的广泛支持当做它最明显的优势。其他一些因素，如最近文本向语音转换的质量提高，意味着信息能马上以音频格式表达，没有了录音的开销和时间。回顾一下网站的发展，很清楚，正是采用了通用的内容表达方式html，促进了网站的发展。voicexml标准有望为语音提供同样的前景。第2章可扩展版式语言（ xsl）自 1969年就有了标记语言。它是超文本标记语言（html）和扩展标记语言（xml）的始祖，html成就了互联网，而xml是在文档、格式和数据库等多方面定义、储存和格式化数据的基本手段。 这些语言的核心是一个叫 “标记”的系统，其中文本或数据被用尖括号括起来的指示符做标记。总是以“(标记)”开始，常常以“”结束。 html页面使用标准化的、预定义的标记。例如，“(p)”表示段落，“(h1)”表示标题，而“(b)”后跟“(/b)”表示括起来的文本要大写。web浏览器解释这些标记，在屏幕上显示文本时根据标记对文本格式化。 然而在使用 xml时，程序员可以创造标记，而浏览器没有内在预定好的方法，知道这些标记是什么意思或者对它们做些什么。更为复杂的是，我们能用标记来表述数据本身（内容）或者给出格式化的指令（如何显示或安排内容）。 例如， “(table)”可以指在html页面上像矩阵那样安排内容，或者强调它只是一片空白。这种灵活性使xml功能强大，但也混淆了内容与格式之间的界限。 为了有效地显示 xml文档，我们需要一种机制，它能识别和描述格式标记的意义，以及说明这些标记如何影响文档的其他部分。过去的机制包括文档风格语义和规范语言以及级联版式。现在，万维网联盟（w3c）在2001年推荐的标准可扩展版式语言将这些机制扩展进来或替代了。 可扩展模版语言（ xsl）是一组语言和规范，设计来以与最终输出介质和设备相适应的指定格式编排和展现xml文档。 xsl为用xml语法编写版式提供了一个综合的模型和词汇表。它用来定义如何把xml文件转换成浏览器能够识别和理解的格式。 xsl 能给输出文件增加成分或者去掉或忽略已有的成分。它也能重新安排和筛选成分，测试和决定哪些成分显示等等。第3章 xml现在，xml出现在越来越多的应用当中。因为有公共的格式，xml可以在应用程序中描述和传输数据。在大多数应用中数据存储成某种格式，关系数据库是最常见的一个。数据库存储，xml描述，两者之间形成了联系。webspherestudioapplicationdeveloper有支持这个联系的工具比如数据库设计工具，xml编辑工具。也有创建和编辑数据库结构的工具，还有编辑特定xml的工具。第4章 面向服务架构定义：soa（面向服务架构）是一种计算结构，在此结构中，应用软件只包含与其任务直接相关的程序逻辑，并使用网络上的一套服务来完成更一般化的任务。 今天说到面向服务架构的术语时，让我们明确几个重要的概念：soa不是新东西，就其本身而言它不是一种技术，它不只是使用xml和web services，它是一件远远超过开发方法学的好东西。 soa是非常简单的设想: 将那些被很多应用程序广泛使用的一般性功能，标准化成可从网络上获得的、能重复使用的部件（服务），只对应用本身更特定的逻辑需求进行编码。事实上，如果不从名字看，每一种操作系统就是soa实际工作的最好例子。 it机构早在xml和web services出现之前就成功地编制和部署了soa应用程序。不过他们用模块化、可重复用部件、面向对象编程或应用编程接口等术语来谈论这个过程。虽然它们中没有一个是与soa完全相同的，但它们都包含了soa的一些方面。 soa只是设计、开发、部署和管理网络中计算机程序逻辑（读作“服务”）具体模块的方法的最新速记。它是构成应用程序、组织it基础设施和业务功能标准化的一种方法。虽然soa常常与xml和web services连在一起，但后者只是soa原则的最新实现。 soa要求开发人员将应用程序设计成服务的集合，即使这样做在眼下没有明显的好处。soa需要开发人员超脱目前的应用程序进行思考，考虑重复使用已有的服务，以及调查其他的开发人员将如何使用他们生成的服务。soa鼓励开发人员使用其他可选择的技术和方法，如消息，以及通过链接服务来编制应用程序，而不是编写新的程序代码。此类应用程序结构允许公司对变化的市场进行快速反应，来替代不得不开发新程序的做法，他们只是简单地修改消息。 soa关注业务流程和使用标准接口，有助于掩盖it环境底层的技术复杂性。分析soa中服务之间的相互关系就能让公司了解具体的业务逻辑何时和为何执行，这就使业务过程的优化更容易些第5章内 核 技 术 -应用程序使计算机用于实际的商业应用，但是，在此表层的下面，是操作系统的心脏-内核，它提供了魔力般的技术,来处理多个程序、连接到网络和储存数据传统内核提供应用程序所需的所有功能。内核管理存储器和文件，把应用程序与输入输出设备相连以及划分处理器时间等。内核也支持安全和容错功能，容错是指当部分系统出故障时自动恢复的能力。 - 不管它是单个程序还是可执行文件的集合，内核所有部件都是以”内核方式”运行,访问系统数据和硬件。与此相反，应用程序以用户方式运行，此方式允许应用程序访问属于它们自己的那部分存储器。应用程序通过应用程序编程接口(api)使用内核的功能，api是一组由程序使用的标准例行程序。每种内核都有自己的api，这就是为什么windows软件不能在unix下运行，macintosh软件不能在as400上运行，即使它们的处理是相同的。系统供应商继续将更多的功能塞进内核。例如，微软公司正在把数据库和uixapi做进windows nt的内核。把这些支持放进内核,通常会使这些功能更快、 更强。但是，当把越来越多的功能硬塞进内核时，就更难生产出能维护、能升级和能按时提交给客户的操作系统。它也使内核成为巨大而复杂的软件，这就很难做到不增加错误而得到升级。- 这就是为什么几家主要供应商(包括sun、dec和apple公司)正在试图用一种新的操作系统设计方法-微内核。在微内核中，只有为数不多的关键功能以内核方式运行，如在几个应用程序中如何分配存储器和处理器时间，以及软件进程之间的通信等。所有其他的部分(包括文件系统、联网和设备驱动程序)都以应用程序方式运行。这就使内核小而简单，使它维护更容易。微内核适合于大规模并行系统，这意味着系统使用很多处理器来运行一个应用程序。但是性能要受影响因为文件系统和设备驱动程序不能直接访问应用程序所需的所有系统数据。通向小内核的道路是不易的。ibm试验了workplace os，但失败了，而微软坚定不移地拒绝缩小windows nt的内核但若微内核真正像支持者所说的那样灵活和可维护，那末微内核的体系结构对及时推出没有什么错误的新操作系统可能大有帮助。第5章：计算机网络介绍：在过去三世纪被一种单一技术支配。 18世纪是产业革命的机械的系统时代。19 世纪是蒸气时代。在20 世纪期间，主要技术是数据聚集,处理, 和分配。在其他的发展之中，我们见到全世界电话的安装网络，收音机和电视的发明和计算机业的空前发展。虽然计算机业与其他的工业 (举例来说,汽车和空气运输) 相比较是新兴的，但计算机在短时间内已经表现显示出进步。在他们刚刚存在的20年里计算机系统高度集中, 通常在一个大的房间里面。计算机和通讯的结合影响了一个计算机系统的组织。服务所有组织计算的单一计算机的老模型已经在被新模式所代替，但是两种模式互相连接计算机工作。这些系统叫做计算机网络。计算机网络对于公司和个人都能被用来做很多的服务。对于公司，个人计算机网络常常被用来共享服务器数据。典型的是客户端-服务器端的模型。对于个人，网络提供了多种数据和娱乐资源的共享。个人常常通过一个调制解调器的网络服务来访问英特网，虽然越来越多的人在家有一个固定的连接。像是移动电话的电子邮件通路和无线网路-商业。简单说来，网络能利用它的特性，技术和速度进入局域网，城域网，广域网和 英特网。局域网能以很快的速度传拨遍整个建筑。城域网能够覆盖一个城市，举例来说包括一个城市有线电视系统,现在被许多人用访问英特网。广域网包括一个国家或大陆。局域网，城域网不被转换;(也就是,没有路由器) 广域网被转换。无线网路正在变成极端流行又尤其无线的区域网络。 网络能被互相连接形成英特网。网络软件有协议, 是程序通信的规则。协议是无连接的或连接定向的。大多数网络协议是分层的，每一层提供服务给在它上面的层，而对于低于它的层协议的详细内容是不可见的。协议的堆栈典型地被建立在 osi 模型或tcp/ip 模型上。 两者都有网络层，传送层和应用层。但是两者并不相同。网络提供服务给用户。这些服务可能是连接定向的可能是无连接的。在一些网络中，无连接的服务被提供在一个层中，而且连接定向的服务被提供在多于1个的层中。众所周知的网络包括英特网，自动柜员机网络，乙太网络 , 和 ieee 802.11 无线的区域网络。英特网从 arpanet 发展,其他的网络被增加形成 internetwork。现在的英特网实际上是一个数千网络的收集, 并非一个单一网络。整个网络使用tcp/ip协议是其一个特点。自动柜员机为了数据的传输被广泛用于电话系统。乙太网络在大多数的大公司和大学中是最流行的区域网络。 最后，无线的区域网络以令人惊讶地高速 (达到 54个百万位元秒) 正在开始广泛地被展开。为了让彼此的计算机通讯，在硬件和软件方面都需要很多的标准化，这样的组织有itu-t ，国际标准组织， ieee 和 iab ，他们处理协议的不同部分。电磁的光谱当电子移动的时候, 他们产生能繁殖过空间的电磁波。 (甚至在真空中) 这些波在 1865 年被英国物理学者詹姆士店员马预测了而且在 1887 年被德国物理学者 heinrich 赫首先观察. 一个波的一秒振动的数字叫做它的频率， f, 而且在赫兹中被测量。 (为了纪念 heinrich 赫) 在二个连续的极大值 ( 或极小值) 之间的距离叫做波长网络层网络层关心从来源得到数据包所有的路径。到达目的地可能需要在中间的路由器进行多次跳转。这个功能杂数据链路层显得更恩鲜明。网络层是处理end to end传输的最低层。为了达到这有目的，网络层必须知道传播子网络的拓扑结构（也就是所有路由器的设置）从而选择路由。它必须小心的选择路由以避免传播线路的过载和其不能工作的时候。最后，当来源和目的地是在不同的网络中的时候,新的问题就会发生。传输层传输层不仅只是一个单独的层，它是整个协议的核心。它的任务是把数据可靠而且有效率的从来源机器传送到目的地机器，在应用时不依赖于普通网络或者物理网络。没有传输层，整个分层协议就没有任何意义。ip电话软件交换自电话发明以来，电信设备都是基于电路技术，两个通信端点之间需要专用的通道。传统上使用的设备都是专用的，价格也昂贵，并需要专用硬件。因特网技术与传统电脑碰撞的结果之一就是ip电话交换机:一种纯软件交换,利用包技术完成与接到商品化平台上传统电路网络相似的功能。设计ip电话软件交换机是用来替代和增强那些基于电路技术的电信设备。这样的交换机是利用p交换技术代替专用的电路交换硬件.一台用英特尔奔腾处理器运行微软windows nt 4.0和使用ip电话交换的服务器足以同时处理成百上千个电话呼叫。在电话通信中有两大技术领域：第一个是传输，即与连接端点的电信通道相 关的设备与设施第二是交换，即让通道建立起来的设备，也即建立路由和重新建立路由。交换设备使提交诸如通话保持三方通话等通话控制功能成为可能，同时也提供对外设和服务( 如 声 邮)的访问-电路交换由明显区别的三层组成：交换矩阵，在物理上或逻辑上连接输入与输出。通话处理逻辑负责管理通话的建立、进行和结束以及具体资源的分配和使用，如单声发送器和接收器。软件，如在公司通信环境中用的专用交换机(pbx)应用程序,电话局环境中用的自动通话分配，以及控制通话路由和数据集成的计算机电话集成(cti)。-最终用户的通信基础设施是用电路交换技术建立起来的。世界上的数据通信基础设施已发展成具有强大生命力的、价廉且高效的数据通信协议并支持基于ip的基础设施。ip通信发展到按需求以包的形式进行信息传输，与电路(交换)中固定通道不一样，在一次交易中信息包经过的路由是可以并一定是改变的。支持的传输技术取包交换的形式，即通话路由器在一个包一个包的基础上决 定数据和声音走哪条路由.利用包通信的价格优势如此巨大,以至整个业界已经组织起来，把基于电路的语音转变成包语音，再把转换过的语音在包网络上通过路由传输，然后再转换成基于电路的语音。在包和电路形式之间来回变换语音的装置叫因特网电话网关。该网关技术允许先前在电路域中传输的数据在包域中传输。第6章外特网因特网最初的作用是把分别属于美国海、陆、空军的网络联成网。而后，它又被用作传输和访问科研信息的通道。当因特网向一般公众开放时，商界开始把它用作推销自己的除传统印刷品、无线电和电视传播媒体之外的又一个媒体。此后，各企业认识到因特网可以起到既便宜又方便地取代公司已建的广域网的作用。内特网就应运而生。它使公司在远地的用户通过因特网链路合法访问存储在总公司服务器中有即限制的公司信息。这种内特网的功能现在又提升到新高度，此时一家公司的职员被赋予特权，访问另一家公司的信息库。这就是外特网。但外特网不只是把线路和联网外设连在一起。由于它必须是机构之间安全的网络，所以安且是头等重要的。必须对访问站点的人员的身份实施某种控制，以确保他是你合作伙伴机构内授权的雇员。（外特网）认证过程保证了这点，因而数据的机密性和完整性能得到维护。为了用户或系统认证自身，因特网工程任务组（）正在形成中的安全协议（ec）将为安全的包交换指定几种技术和不同形式的加密。作为一种附加的措施，访问控制过程规定了谁能访问外特网、获得哪能些信息和服务种类。这就挡住了未经授权人员的入网。但在着手采用外特网之前，各单位必须问问自己，他们已有的正在用的做生意模型是否会因外特网而大大便利了。他们也应确定外特网是否能与现有的生意过程合为一体，或者它是否需要修改生意过程，以支持新的生意模型。外特网应该允许生意上的合作伙伴快速、有效地获得正确的信息服务。如果外特网方法造成使用时要比以前花更多的精力，那么它的使用会快速下滑。由于外特网涉及二个以上的企业，必须预先考虑到公司之间要结合在一起的有关方面。企业和合作伙伴之间的系统和数据格式可能存在着极大的差异。使用一个公共外特网的所有单位都必须确保他们做生意的系统和过程能做到天衣无缝般的结合。外特网和内特网在有很多共同之处的同时，两者间的一个主要差别是，在外特网中有些使用系统的单位不受企业的控制。这就增加了管理和集成的复杂度。information safety一、 summary the computers in whole world will all unite together through internet in the 21st century, the intension of the information safety changes basically too. it has not merely turned from general defence into a kind of very ordinary strick precaution, and has also become ubiquitous from a kind of special field. when the mankind steps into