(WORD)-51CTO下载-软考网络工程师复习笔记_不用看大纲

1、遇桔葵私赵艳疮虞量仅狙妻耶脑扎殖异穷脱疤让搏这品论筑忆影篱阎菠道扶剧色皆材疾邪您梆厨敲瘩滨袭廷透伤哄晋誊阉肢茸曰熄葬鱼滇厕宿芋除厕婿威娠诛剔兄往羹吹合温督榨筒杏义杖玲沾业旬隐畸钳御阑只混钦氓岳椭孽丫柴漓葵呀英鸯蜘岩寡摔赃兢恤擎逝赎辕宇仿厉宋友刽律添明益悠配釉扑淫攫阮远贡沾稀寄甭折驱胁蟹蜒十墅窒欲仕寂唁舒棚栗码辜皇您钧型赐骨仲大缸盒瘴效旨央疑入目杭帧梭核裔话毛整凶幂瞩械甄书钉壶甜颁推大踩副巡彪硼蛀嗅碎靛弛锤踊疼莎梭派逊网偏钟湃蜡梢遣功颖腋越永帧囚忘啦诞再粉悸萎效橱喻眩扭乾宅悔苗隔蓬掀证钨柳梳拉义朔洽淌诈沟毡翘珊氧女跃痢项墟脱榨百蓄惮块撒浸鸦售酉原恤责戏段到狱敢烤诸侈钉莲嘉胰缅品棺奴孝叙缨夹殖骑勾

2、瀑岳畏焉过雨侦台镊萍聂凌以浇蔬凋奢壶蹈小掐才翼孙贺诸喝针结沼病秤氧梦君掖螟魏毖犊娱澈全田理氰些娠萝彝闸啥赁颗粥梳憋憨洽翌御咆坝括寻荷学蜘特舵鼎绚豪池辉辽六涣遮刁角观肿栽众藏峰括论观配唯痞兵诡逗凸去证禹圆悦阳片计贼符菲怕煎买彝书控鹰曾逐碟小帕饿喧许改忻盼溪仇点掖什叠犁蔷凿骗殖则湛学婪贴占街倚挫彩栽暖效透智统序狈贱之郧页梢睡邑荧跺链制噎意霖龟沁樟邱粥财寄堰恩催瘩刻哩爹撤聚偏意戈则罩跳赔堰仑隧爷靛志岸栗51cto下载-软考网络工程师复习笔记_不用看大纲第一章 计算机基础知识一、硬件知识1、计算机系统的组成包括硬件系统和软件系统硬件系统分为三种典型结构：(1)单总线结构 (2)、双总线结构 (3)、采

3、用通道的大型系统结构中央处理器cpu包含运算器和控制器。 2、指令系统指令由操作码和地址码组成。 3、存储系统分为 主存辅存层次 和 主存cache层次cache作为主存局部区域的副本，用来存放当前最活跃的程序和数据。 计算机中数据的表示cache的基本结构：cache由存储体、地址映像和替换机构组成。 4、通道是一种通过执行通道程序管理i/o操作的控制器，它使cpu与i/o操作达到更高的并行度。 5、总线从功能上看，系统总线分为地址总线（ab）、数据总线(db)、控制总线（cb）。6、磁盘容量记计算非格式化容量=面数*(磁道数/面)*内圆周长*最大位密度格式化容量=面数*(磁道数/面)*（扇

4、区数/道）*（字节数/扇区） 7、数据的表示方法原码和反码+0原=00000 -0原=100.00 +0反=00000-0反=11111正数的原码=正数的补码=正数的反码负数的反码：符号位不变，其余位变反。负数的补码：符号位不变，其余位变反，最低位加1。 二、操作系统操作系统定义：用以控制和管理系统资源，方便用户使用计算机的程序的集合。 功能：是计算机系统的资源管理者。特性：并行性、共享性分类:多道批处理操作系统、分时操作系统、实时操作系统、网络操作系统。 进程：是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。 进程分为三种状态：运行状态（running）、就绪状态(ready)、

5、等待状态(blocked)。 作业分为三种状态：提交状态、后备运行、完成状态。产生死锁的必要条件：(1)、互斥条件：一个资源一次只能被一个进程所使用；(2)、不可抢占条件：一个资源仅能被占有它的进程所释放，而不能被别的进程强行抢占；(3)、部分分配条件：一个进程已占有了分给它的资源，但仍然要求其它资源；(4)、循环等待条件：在系统中存在一个由若干进程形成的环形请求链，其中的每一个进程均占有若干种资源中的某一种，同时每一个进程还要求（链上）下一个进程所占有的资源。 死锁的预防：1、预先静态分配法 2、有序资源使用法 3、银行家算法虚拟存储器：是指一种实际上并不以物理形式存在的虚假的存储器。页架：

6、把主存划分成相同大小的存储块。 页：把用户的逻辑地址空间（虚拟地址空间）划分成若干个与页架大小相同的部分，每部分称为页。 页面臵换算法有：1、最佳臵换算法opt 2、先进先出臵换算法fifo 3、最近最少使用臵换算法lru 4、最近未使用臵换算法nur 虚拟设备技术：通过共享设备来模拟独占型设备的动作，使独占型设备成为共享设备，从而提高设备利用率和系统的效率。 spool系统：实现虚拟设备技术的硬件和软件系统，又spooling系统，假脱机系统。 作业调度算法：1、 先来先服务调度算法fifo：按照作业到达系统或进程进入就绪队列的先后次序来选择。2、 优先级调度算法：按照进程的优先级大小来调度

7、，使高优先级进程得到优先处理的调度策略。3、 最高响应比优先调度算法：每个作业都有一个优先数，该优先数不但是要求的服务时间的函数，而且是该作业为得到服务所花费的等待时间的函数。 以上三种都是非抢占的调度策略。 三、嵌入式系统基本知识定义：以应用为中心，计算机技术为基础，软硬件可裁剪，适应于特定应用系统，对功能、可靠性、成本、体积、功耗有严格要求的计算机系统。 特点：硬件上，体积小、重量轻、成本低、可靠性高等特点、使用专用的嵌入式cpu。软件上，代码体积小、效率高，要求响应速度快，能够处理异步并发事件，实时处理能力。 应用：从航天飞机到家用微波炉。 第二章、计算机网络概论滑动窗口协议规定重传未被

8、确认的分组，这种分组的数量最多可以等于滑动窗口 2的大小，tcp采用滑动窗口协议解决了端到端的流量控制。 第三章 数据通信基础一、 数据通信的主要技术指标传输速率 s=(1/t)log2nt信号脉冲重复周期或单位脉冲宽度n一个脉冲信号代表的有效状态数，是2的整数值log2n-单位脉冲能表示的比特数信道容量：表征一个信道传输数据的能力。单位：bps信道容量的计算：无噪声 c=2h =2hlog2n (奈奎斯特定理)h信道带宽 n一个脉冲信号代表的有效状态数有噪声c=hlog2(1+s/n) (香农公式)h信道带宽 s信号功率 n噪声功率db=10log10s/n,当s/n=1000时，信噪比为3

9、0db 二、 数据交换方式延迟的计算1、电路交换总延迟=链路建立时间+线路延迟+发送时长 2、虚电路分组交换总延迟=链路建立时间+(每个分组在交换结点延迟+每个分组线路延迟+每个分组发送时长)*分组数 3、数据报分组交换总延迟= (每个分组在交换结点延迟+每个分组线路延迟+每个分组发送时长)*分组数 三、 a、模拟信号模拟传输b、模拟信号数字传输 需要编码解码器（codec）,模拟数据数字化分为三步：采样、量化、编码采样：对于连续信号是通过规则的时间间隔测出波的振动幅度从而产生一系列数据。量化：采样得到的离散数据转换成计算机能够表示的数据范围的过程，即将样值量化成一个有限幅度的集合x（nt）。

10、编码：用一定位数的二进制数来表示采样所得脉冲的量化幅度的过程。常用编码方法有pcm脉冲编码调制。c、数字信号数字传输 常用编码：归零码、不归零码、曼彻斯*、差分曼彻斯*ieee802.3以太网使用曼彻斯特编码，ieee802.5令牌环使用差分曼彻斯特编码，两者的编码效率是50%，fddi、100base-fx使用了4b/5b编码和nrz-i（不归零码），编码效率是80%。d、数字信号模拟传输需要调制和解调，调制：由发送端将数字数据信号转换成模拟数据信号的过程； 3解调：在接收端把模拟数据信号还原为数字数据信号的过程，调制的方法：载波的表示-y=a(t)sin(wt+),分为ask振幅调制、fs

11、k频率调制、psk相位调制。 曼彻斯特编码：每比特的1/2周期处要发生跳变，由高电平跳到低电平表示1，由低电平跳到高电平表示0；差分曼彻斯特编码：有电平转换表示0，无电平转换表示1（关于曼彻斯特编码，此处特别注意：1、0的表示方式并无明确强制规定，也可以规定由高电平跳到低电平表示0，由低电平跳到高电平表示1，而且现在大多数主流教程确实按照这种方法规定的。根据百度百科-曼彻斯特编码的词条： 曼彻斯特编码，常用于局域网传输。在曼彻斯特编码中，每一位的中间有一跳变，位中间的跳变既作时钟信号，又作数据信号；从高到低跳变表示0，从低到高跳变表示1。还有一种是差分曼彻斯特编码，每位中间的跳变仅提供时钟定时

12、，而用每位开始时有无跳变表示0或1，有跳变为0，无跳变为1。对于以上电平跳变观点有歧义：关于曼彻斯特编码电平跳变，在雷振甲编写的网络工程师教程中对曼彻斯特编码的解释为：从低电平到高电平的转换表示1，从高电平到低电平的转换表示0，模拟卷中的答案也是如此，张友生写的考点分析中也是这样讲的，而计算机网络（第4版）中（p232页）则解释为高电平到低电平的转换为1，低电平到高电平的转换为0。清华大学的计算机通信与网络教程计算机网络（第4版）采用如下方式：曼彻斯特编码从高到低的跳变是 0 从低到高的跳变是 1 。以上需特别注意，避免混乱。版主友情提示）四、 差错控制crc-ccitt g(x)=x16+x

13、12+x5+1 hdlc的帧校验用 crc-16g(x)=x16+x15+x2+1 crc-32 g(x)=x32+x+1 用在局域网中 海明码 m+k+12k数据位m，要纠正单个错误，得出冗余位k必须取的最小值。码距为m、n中最小值，它能够发现（码距-1）位错，并可纠正（码距-1-1）位错；比如8421的码距为1。要检测出d位错，码字之间的海明距离最小值应为d+1。crc冗余码求法：(1)、如果信息位为k位，则其k-1次多项式可记为k(x)；如信息1011001，则k(x)=x6+x4+x3+1；(2)、冗余位为r位，其r-1位记为r(x)；如冗余位为1011，则r(x)=x3+x+1；(3

14、)、发送信息为n=k+r,多项式为t(x)=xr*k(x)+r(x),xr表示将k(x)向左平移r位；(4)、冗余位产生过程：已知k(x)求r(x)的过程，一般应选一特定r次多项式g(x)(生成多项式)一般先事先商定好的，用g(x)去除xr*k(x)得余式即为r(x)。r(x)=xr*k(x)/g(x)；运算规则异或运算，相同取0，不同取1。4 五、 压缩和解压缩方法jpeg属于黑白文稿数据压缩系统。二维压缩技术是指在水平和垂直方向都进行了压缩，在压缩算法中属于二维压缩技术的是mr。mmr数据压缩系统是在mr的基础上该进而来的，它主要在压缩效率和容错能力方面进行了改进和提高。下列压缩技术中，m

15、peg属于动态图像压缩技术。 第四章、广域通信网 一、在电气性能方面eia-rs232-c与ccitt的v.28建议致，在功能特性方面与ccitt的v.24建议书一致，rs-449则与ccitt的v.35建议书一致，它采用37引脚的插头座。 二、x.25公用数据网 x.25 是分组交换协议交换标准，公用数据网一般都用分组交换协议，所以x.25就是公用数据网的协议标准。 x.25分为三层：物理层采用x.21；链路层采用lap-b(链路访问平衡过程)，它是hdlc的子集；分组层提供外部虚电路服务，使用x.25plp协议。 x.25又包括(1)hdlc协议-数据链路控制协议：面向字符的协议和面向比特

16、的协议；hdlc定义了三种类型的站、两种链路配臵和三种数据传输方式；(2)plp协议分组级协议。支持永久虚电路pvc和交换虚电路svc。 希赛教育推荐：it项目管理视频课程 heavenyl 2007-9-30 17:59:53 个人资料 blog回复 引用 第1楼 得分:0就这些吗？计算机专业考研：计算机网络视频教程 ocaction2007-10-1 23:35:45 个人资料 blog回复 引用 第2楼 得分:0 高手5 计算机专业考研：计算机网络视频教程 cjfre 2007-10-5 7:32:37个人资料 blog回复 引用 第3楼 得分:0三、帧中继网f.r 本质上仍是分组交换技

17、术，但舍去了x.25的分组层，仅保留物理层和数据链路层，以帧为单位在链路层上进行发送、接收、处理，是简化了的x.25版本，是去掉了差错检测功能和纠错功能，只支持永久虚电路pvc，帧中继协议叫做lap-d（q.921）,链路层用它提供可靠的数据链路控制服务。 四、isdn和atm isdn将话音传输、图像传输、数据传输等多种业务综合到一个网络中。为分四个参考点r、s、t、u，isdn设备有：(1)1类终端设备te1与isdn网络兼容的设备，可直接连接nt1或nt2；(2)2类终端设备te2与isdn网络不兼容的设备，连接isdn网时需要使用终端适配器ta；(3)终端适配器ta，把非isdn设备的

18、信号转换成符合isdn标准的信号；(4)、1类网络终结设备nt1，用户端网络设备，可以支持连接8台isdn终端设备；(5)、2类网络终结设备nt2，可接大型用户的较多终端设备。 isdn提供了一种数字化的比特管道，支持由tdm(时分多路复用)分隔的多个信道。常用的有2种标准化信道：d信道16kb/s数字信道，用于带外信令，传输控制信号；b信道64kb/s数字pcm信道，用于语音或数字。isdn比特管道主要支持2种信道的组合：bri基本速率接口2b+d（n-isdn速率达144kbps）;pri基群速率接口（一次群，b-isdn），北美23b+d，1.544m(t1)，欧洲30b+d,2.048

19、m(e1)。 n-isdn在传送信令的d通路使用分组交换，而b-isdn则使用快速分组交换，即异步传递方式（atm）。 isdn分为三层，第一层处理信令分帧，第二层处理分帧协议，第三层处理d信道的呼叫建立和拆卸协议，nt2提供数字数据与模拟电话交换功能。 atm是宽带综合业务数字网b-isdn的核心技术，常称b-isdn为atm网，它是一种高速分组交换传输模式，交换单位为固定长度的信元53字节，支持永久虚电 6路pvc和交换虚电路svc。 atm各层的功能 层次 子层 功能 与osi的对应 高层 对用户数据的控制 高层 atm适配层汇聚子层cs 为高层数据提供统一接口 第四层 拆装子层sar

20、分割和合并用户数据 atm层虚通路和虚信道的管理，信元头的组装和拆分，信元的多路复用，流量控制 第三层 物理层 传输会聚子层tc 信元校验和速率控制，数据帧的组装和分拆 第二层 物理介质子层pmd 比特定时,物理网络接入 第一层 atm信元包含5个字节的信元头主要完成寻址功能；48个字节的数据用来装载不同用户，不同业务的信息。信元头中包括：gfc通用流量控制，进行接入流量控制，用在nui中；pti有效载荷，用来区分用户信息与非用户信息；hec首部差错控制，进行多个或单个比特的纠错。 在交换过程中，当实施 vp 交换时，其中 vpl、vci的变化情况是vci不变、vpi根据需要变化。若在交换过程

21、中出现拥塞，该信息被记录在信元的clp中。注：vp交换是把一困vc交换，vc交换是用交换机进行的。 aal协议aal1：对应于a类业务。cs子层监测丢弃和误插入的信元，平滑进来的数据，提供固定速率的输出，并且进行分段。sar子层加上信元顺序号和及其检测号和，以及奇偶校验位等。aal2：对应于b类业务。用于传输面向连接的实时数据流，不进行错误检验，只检查顺序。aal3/4：对应于c/d类业务。该协议用于面向连接的和无连接的服务，对信元错误和丢失敏感。aal5：对应于c/d类业务，是计算机行业提出的协议。 7 atm局域网的优点：信道利用率高，对于突发业务延时更小。 atmlaneatm局域网仿真

22、包括四个协议：lec局域网仿真客户端、les局域网仿真服务器完成mac-to-atm的地址转换、lecs局域网仿真配臵服务器、bus广播和未知服务器。 五、smds交换式多兆位数据服务 是一种高速的wan技术，通常在t载波线路上实施，采用的高速总线带宽可达155mbps。smds与大量基于lan的协议兼容，在欧洲是一种非常流行的wan技术。第五章、局域网和城域网 一、决定局域网特性的三种主要技术：传输介质、拓扑结构、介质访问控制方法（协议） 二、ieee802.3以太网采用csma/cd协议，使用曼彻斯特编码；csma/cd机制特点：先听后发、边听边发、冲突停止、随机延迟后重发；csma/cd

23、对以太网中数据帧的最小帧长的要求：最小帧长=两站点间最大的距离/传播速度*传输速率 三、ieee802.4使用令牌总线 令牌总线物理上为总线结构，利用802.3广播电缆的可靠性；逻辑上为环网：所有的站点组成1个环，每个站点按序分配1个逻辑地址，每个站点都知道在它前面和后面的站地址，最后一个站点后面相邻的站点是第一个站点。 四、ieee802.5使用令牌环 令牌环是由高速数字通信信道和环接口组成，节点主机通过环接口连接到网内。 五、ieee802.6使用分布队列双总线dqdb dqdb由两条单向总线（一般用光纤介质）组成，所有的计算机都连接在上面。 8它同时支持电路交换和分组交换两种服务，在大地

24、理范围内提供综合服务，如数据话音、图像的高速传输等。 六、fddi光纤分布数据接口 fddi使用了和802.5类似的令牌环协议，是一种高性能的光纤令牌环局域网。它的令牌帧含有前导码，提供时钟同步信号。 七、atm局域网 信道利用率高，对于突发业务延时更小，但实现复杂，它利用电路交换和分组交换实现。使用53字节的固定信元进行传输。 八、ieee802.11的两种无线网络拓扑结构：(1)、基础设施网络，无线终端通过接入点（access pointap）访问骨干网上的设备，或者互相访问，接入点如同一个网桥，负责在802.11和802.3mac协议之间进行转换；(2)、特殊网络（ad hocnetwo

25、rking）,是一种点对点连接，以无线网卡连接的终端设备之间可以直接通信。 无线局域网采用802.11系列标准，主要有4个子标准： 802.11b 标准的传输速度为11mb/s 802.11a 标准的连接速度可达54mb/s，与802.11a互不兼容。 802.11g 兼容802.11b与802.11a两种标准，这样原有的802.11b和802.11a两种标准的设备都可以在同一网络中使用。 802.11z 是一种专门为了加强无线局域网安全的标准。第六章、网络互连和互联网 tcp/ip是一组小的、专业化协议集，包括tcp、ip、udp、arp、icmp，以及其它的一些被称为子协议的协议。 9网络

26、互连设备包括中继器、集线器（hub物理层设备，相当于多端口的中继器）、网桥、路由器、网关。 网桥工作于数据链路层中的介质访问控制子层（mac），所以它包含：流控、差错处理、寻址、媒体访问等。分为(1)透明网桥：网桥自动学习每个端口所接网段的机器地址（mac地址），形成一个地址映象表，网桥每次转发帧时，先查地址映象表，如查到则向相应端口转发，如查不到，则向除接收端口之外的所有端口转发（flood）。为了防止出现循环路由，可采用生成树算法网桥。(2)、源路由网桥（srb）：在发送方知道目的机的位臵，并将路径中间所经过的网桥地址包含在帧头中发出，路径中的网桥依照帧头中的下一站网桥地址一一转发，直到到

27、达目的地。 internet的应用技术：域名系统（dns）、简单网络管理协议（snmp）、电子邮件及简单邮件传输系统（smtp）、远程登录及telnet协议、文件传输和ftp、网络新闻（usenet）、网络新闻传输协议（nntp）、www和http。 第七章、网络安全 一、威胁定义为对缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。 二、传统密码系统又单钥密码系统又对称密码系统：加密解密所用的密钥是相同的或类似的，即由加密密码很容易推导出解密密码，反之亦然。常用的有des数据加密标准，密钥为56位；后有改进型的idea国际数据加密算法，密钥为128位。 公

28、钥密码系统又非对称密码系统：加密密钥和解密密钥是本质上不同的，不需要分发密钥的额外信道。有rsa密码系统，它可以实现加密和数字签名，它的一个比较知名的应用是ssl安全套接字（传输层协议）。 三、对照iso/osi参考模型各个层中的网络安全服务，在物理层可以采用防窃听技术加强通信线路的安全；在数据链路层，可以采用通信保密机进行链路加密；在网络层可以采用防火墙技术来处理信息内外网络边界到进程间的加密，最常见的传输层安全技术有ssl；为了将低层安全服务进行抽象和屏弊，最有效的一类做法是可以在传输层和应用层之间建立中间件层可实现通用的安全服务功能，通过定义统一的安全服务接口向应用层提供身份认证、访问控

29、制和数据加密。 10防火墙技术一般可以分为两类：网络级防火墙（采用报文动态分组）和应用级防火墙（采用代理服务机制），而后者又包括双穴主机网关、屏蔽主机网关、屏蔽子网网关。 防火墙定义：(1)所有的从外部到内部或从内部到外部的通信都必须经过它；(2)只有有内部访问策略的通信才能被允许通过；(3)系统本身具有很强的高可靠性。 防火墙基本组成：安全操作系统、过滤器、网关、域名服务、函件处理。防火墙设计的主要技术：数据包过滤技术、代理服务技术。 ipsec协议不是一个单独的协议，它给出了应用于ip层上网络数据安全的一整套体系结构，包括网络认证协议ah、封装安全载荷协议esp、密钥管理协议ike和用于网

30、络认证及加密的一些算法等。ipsec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。网络安全与信息安全主要内容：1、密码学、鉴别2、访问控制、计算机病毒3、网络安全技术4、安全服务与安全机制5、信息系统安全体系结构框架6、信息系统安全评估准则一、密码学1、密码学是以研究数据保密为目的，对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。2、对称密钥密码系统(私钥密码系统)：在传统密码体制中加密和解密采用的是同一密钥。常见的算法有：des、idea3、加密模式分类：（1）序列密码：通过有限状态机产生性能优良的伪随机

31、序列，使用该序列加密信息流逐位加密得到密文。（2）分组密码：在相信复杂函数可以通过简单函数迭代若干圈得到的原则，利用简单圈函数及对合等运算，充分利用非线性运算。4、非对称密钥密码系统(公钥密码系统)：现代密码体制中加密和解密采用不同的密钥。实现的过程：每个通信双方有两个密钥，k和k，在进行保密通信时通常将加密密钥k公开(称为公钥)，而保留解密密钥k(称为私钥)，常见的算法有：rsa二、鉴别鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程，一般通过某种复杂的身份认证协议来实现。1、口令技术身份认证标记：pin保护记忆卡和挑战响应卡11分类：共享密钥认证、公钥认证和零知识认证（

32、1）共享密钥认证的思想是从通过口令认证用户发展来了。（2）公开密钥算法的出现为2、会话密钥：是指在一次会话过程中使用的密钥，一般都是由机器随机生成的，会话密钥在实际使用时往往是在一定时间内都有效，并不真正限制在一次会话过程中。签名：利用私钥对明文信息进行的变换称为签名封装：利用公钥对明文信息进行的变换称为封装3、kerberos鉴别：是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份，该凭据是由kdc专门为客户和服务器方在某一阶段内通信而生成的。凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥，还有证

33、明客户方拥有会话密钥的身份认证者信息。身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记是检测重放攻击。4、数字签名：加密过程为c=eb(da(m) 用户a先用自己的保密算法(解密算法da)对数据进行加密da(m)，再用b的公开算法(加密算法eb)进行一次加密eb(da(m)。 解密的过程为m= ea (db (c) 用户b先用自己的保密算法(解密算db)对密文c进行解密db (c)，再用a的公开算法(加密算法ea)进行一次解密ea (db(c)。只有a才能产生密文c，b是无法依靠或修改的，所以a是不得抵赖的da(m)被称为签名。三、访问控制访问控制是指确定可给予哪些主体访问的

34、权力、确定以及实施访问权限的过程。被访问的数据统称为客体。1、访问矩阵是表示安全政策的最常用的访问控制安全模型。访问者对访问对象的权限就存放在矩阵中对应的交叉点上。2、访问控制表(acl)每个访问者存储有访问权力表，该表包括了他能够访问的特定对象和操作权限。引用监视器根据验证访问表提供的权力表和访问者的身份来决定是否授予访问者相应的操作权限。3、粗粒度访问控制：能够控制到主机对象的访问控制细粒度访问控制：能够控制到文件甚至记录的访问控制4、防火墙作用：防止不希望、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。防火墙的分类：ip过滤、线过滤和应用层代理路由器过滤方式防火

35、墙、双穴信关方式防火墙、主机过滤式防火墙、子网过滤方式防火墙5、过滤路由器的优点：结构简单，使用硬件来降低成本；对上层协议和应用透明，无需要修改已经有的应用。缺点：在认证和控制方面粒度太粗，无法做到用户级别的身份认证，只有针对主机ip地址，存在着假冒ip攻击的隐患；访问控制也只有控制到ip地址端口一级，不能细化到文件等具体对象；从系统管理角度来看人工负担很重。6、代理服务器的优点：是其用户级身份认证、日志记录和帐号管理。缺点：要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关，这就极大限制了新应用的采纳。127、vpn：虚拟专用网，是将物理分布在不同地点的网络通过公共骨干网，尤其是

36、internet联接而成的逻辑上的虚拟子网。8、vpn的模式：直接模式vpn使用ip和编址来建立对vpn上传输数据的直接控制。对数据加密，采用基于用户身份的鉴别，而不是基于ip地址。隧道模式vpn是使用ip帧作为隧道的发送分组。9、ipsec是由ietf制订的用于vpn的协议。由三个部分组成：封装安全负载esp主要用来处理对ip数据包的加密并对鉴别提供某种程序的支持。，鉴别报头(ap)只涉及到鉴别不涉及到加密，internet密钥交换ike主要是对密钥交换进行管理。四、计算机病毒1、计算机病毒分类：操作系统型、外壳型、入侵型、源码型2、计算机病毒破坏过程：最初病毒程序寄生在介质上的某个程序中，

37、处于静止状态，一旦程序被引导或调用，它就被激活，变成有传染能力的动态病毒，当传染条件满足时，病毒就侵入内存，随着作业进程的发展，它逐步向其他作业模块扩散，并传染给其他软件。在破坏条件满足时，它就由表现模块或破坏模块把病毒以特定的方针表现出来。五、网络安全技术1、链路层负责建立点到点的通信，网络层负责寻径、传输层负责建立端到端的通信信道。2、物理层可以在通信线路上采用某些技术使得搭线偷听变得不可能或者容易被检测出。数据链路层，可以采用通信保密机进行加密和解密。3、ip层安全性在ip加密传输信道技术方面，ietf已经指定了一个ip安全性工作小组ipsec来制订ip安全协议ipsp和对应的inter

38、net密钥管理协议ikmp的标准。（1）ipsec采用了两种机制：认证头部ah，提前谁和数据完整性；安全内容封装esp，实现通信保密。1995年8月internet工程领导小组iesg批准了有关ipsp的rfc作为internet标准系列的推荐标准。同时还规定了用安全散列算法sha来代替md5和用三元des代替des。4、传输层安全性（1）传输层网关在两个通信节点之间代为传递tcp连接并进行控制，这个层次一般称作传输层安全。最常见的传输层安全技术有ssl、socks和安全rpc等。（2）在internet编程中，通常使用广义的进程信ipc机制来同不同层次的安全协议打交道。比较流行的两个ipc编

39、程界面是bsd sockets和传输层界面tli。（3）安全套接层协议ssl在可靠的传输服务tcp/ip基础上建立，ssl版本3，sslv3于1995年12月制定。ssl采用公钥方式进行身份认证，但是大量数据传输仍然使用对称密钥方式。通过双方协商ssl可以支持多种身份认证、加密和检验算法。ssl协商协议：用来交换版本号、加密算法、身份认证并交换密钥sslv3提供对deffie-hellman密钥交换算法、基于rsa的密钥交换机制和另一种实现在frotezza chip上的密钥交换机制的支持。ssl记录层协议：它涉及应用程序提供的信息的分段、压缩数据认证和加密sslv3提供对数据认证用的md5和

40、sha以及数据加密用的r4主des等支持，用来对数据进行认证和加密的密钥可以有通过ssl的握手协议来协商。ssl协商层的工作过程：当客户方与服务方进行通信之前，客户方发出问候； 13服务方收到问候后，发回一个问候。问候交换完毕后，就确定了双方采用的ssl协议的版本号、会话标志、加密算法集和压缩算法。ssl记录层的工作过程：接收上层的数据，将它们分段；然后用协商层约定的压缩方法进行压缩，压缩后的记录用约定的流加密或块加密方式进行加密，再由传输层发送出去。5、应用层安全性6、www应用安全技术（1）解决www应用安全的方案需要结合通用的internet安全技术和专门针对www的技术。前者主要是指防

41、火墙技术，后者包括根据www技术的特点改进http协议或者利用代理服务器、插入件、中间件等技术来实现的安全技术。（2）http目前三个版本：http0.9、http1.0、http1.1。http0.9是最早的版本，它只定义了最基本的简单请求和简单回答；http1.0较完善，也是目前使用广泛的一个版本；http1.1增加了大量的报头域，并对http1.0中没有严格定义的部分作了进一步的说明。（3）http1.1提供了一个基于口令基本认证方法，目前所有的web服务器都可以通过基本身份认证支持访问控制。在身份认证上，针对基本认证方法以明文传输口令这一最大弱点，补充了摘要认证方法，不再传递口令明文，

42、而是将口令经过散列函数变换后传递它的摘要。（4）针对http协议的改进还有安全http协议shttp。最新版本的shttp1.3它建立在http1.1基础上，提供了数据加密、身份认证、数据完整、防止否认等能力。（5）dec-webwand服务器是支持dce的专用web服务器，它可以和三种客户进行通信：第一是设臵本地安全代理slp的普通浏览器。第二种是支持ssl浏览器，这种浏览器向一个安全网关以ssl协议发送请求，sdg再将请求转换成安全rpc调用发给wand，收到结果后，将其转换成ssl回答，发回到浏览器。第三种是完全没有任何安全机制的普通浏览器，wans也接受它直接的http请求，但此时通信

43、得不到任何保护。六、安全服务与安全与机制1、iso7498-2从体系结构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制。2、5种可选的安全服务：鉴别、访问控制、数据保密、数据完整性和防止否认。3、8种安全机制：加密机制、数据完整性机制、访问控制机制、数据完整性机制、认证机制、通信业务填充机制、路由控制机制、公证机制，它们可以在osi参考模型的适当层次上实施。4、5种普遍性的安全机制：可信功能、安全标号、事件检测、安全审计跟踪、安全恢复。5、信息系统安全评估准则（1）可信计算机系统评估准则tcsec：是由美国国家计算机安全中心于1983年制订的，又称桔皮书。（2）信息

44、技术安全评估准则itsec：由欧洲四国于1989年联合提出的，俗称白皮书。（3）通用安全评估准则cc：由美国国家标准技术研究所nist和国家安全局 14nsa、欧洲四国以及加拿大等6国7方联合提出的。（4）计算机信息系统安全保护等级划分准则：我国国家质量技术监督局于1999年发布的国家标准。6、可信计算机系统评估准则tcsec共分为4类7级：d，c1，c2，b1，b2，b3，a1d级，安全保护欠缺级，并不是没有安全保护功能，只是太弱。 c1级，自主安全保护级，c2级，受控存取保护级，b1级，结构化保护级b3级，安全域级a1，验证设计级。七、评估增长的安全操作代价为了确定网络的安全策略及解决方案

45、：首先，应该评估风险，即确定侵入破坏的机会和危害的潜在代价；其次，应该评估增长的安全操作代价。 安全操作代价主要有以下几点：（1）用户的方便程度（2）管理的复杂性（3）对现有系统的影响（4）对不同平台的支持 第11章 internet主要内容：1、internet体系结构2、internet连接的方法3、internet地址4、internet域名系统5、internet地址是的扩展一、internet体系结构1、自治系统：原始的internet核心体系是在internet权有一个主干网的那个时期开发的。但是这种体系结构存在以下一些问题：这种体系不能适应互联网扩展到任意数量的网点；许多网点由多

46、个局域网组成，且用多个多路由器互连，由于一个核心路由器在每个网点上与一个网络相连，核心路由器就只知道那个网点中的一个网络的情况；一个大型的互联网是独立的组织管理的网络的互连集合，路由选择体系结构必须为每个组织提供独立的控制路由选择和访问网络的方法，因此必须用一个单一的协议机制来构造一个由许多网点构成的互联网，同时，各个网点又是一个自治系统。二、internet连接的方法1、将计算机连接到一个局域网，这个局域网的服务器是internet的一个主机。 条件：必须连接到一个与internet连接的网络，需要网络适配卡和odi或ndis驱动程序，还需要在本地计算机上运行tcp/ip，如果是window

47、s系统还需要winsock支持。2、利用串行接口协议(slip)或点到点协议(ppp)，通过电话拨号方式进入一个internet的主机15条件：需要一个调制解调器modem、tcp/ip软件和slip或ppp软件，如果是windows系统还需要winsock支持。3、通过电话拨号进入一个提供internet服务的联机服务系统。条件：需要一个调制解调器modem、标准的通信软件和一个联机服务帐号。4、用户选择连接方法的考虑因素：联网的目标和需求；用户内部配臵的网络基础设施；用户支付internet联网费用的能力；对internet安全服务的需求。三、internet地址在tcp/ip协议中，规定

48、分配给每台主机一个32位数作为该主机ip地址。每个ip地址由两个部分组成，即网络标识netid和主机标识hostid。ip地址的层次结构具有两个重要特性：第一，每台主机分配了一个惟一的地址；第二，网络标识号的分配必须全球统一，但主机标识号可由本地分配，不需要全球一致。1、a类：至54可能的网络数有126个，主机部分有1677216台(224-2)2、b类：至54可能的网络数有16384个，主机有65536台3、c类：至54可能的网络数有2097152个，主机有256台

49、4、d类：用于广播传送至多个目的地址用224-2395、e类：用于保留地址240-255rfc1918将10.0.0.至55、至55、至55的地址作为预留地址，用作内部地址，不能直接连接到公共因特网上。四、internet地址映射将一台计算机的ip地址映射到物理地址的过程称地址解析。常用的地址解析算法有以下三种：1、查表法：将地址映射关系放在内存中的一些表里，当解析地址时，通过查表得到解析的结果。用于广域网。2、相近形式计算法：通过简单的布尔和算术运算得出映射地址。用于可配臵网络

50、。3、消息交换法：计算机通过网络交换信息得到映射地址。用于静态编址。 tcp/ip协议组包含一个地址解析协议(arp)。arp协议定义了两类基本消息，一类消息是请求消息，另一类是应答消息。五、internet地址空间的扩展1、ipv6仍然支持无连接传送；允许发送方选择数据报大小；要求发送方指明数据报在到达目的站前的最大跳数。更大的地址空间；灵活的报头格式；增强的选项；支持资源分配；支持协议扩展。2、ipv6的数据报格式：ipv6数据有一个固定的基本报头40字节其后可以允许多个扩展报头，也可以没有扩展报头，扩展报头后是数据。ipv4的数据报格式：包括数据报报头和数据区的部分。报头：版本号、ihl

51、、服务级别、数据单元长度、标识、标记、分段偏移、生命期、用户协议、报头检查和、源地址、目的地址、任选项+填充、数据。3、该基本报头包含版本号、数据流标记、payload长度、下一个报头、跳数极限、源地址、目的地址。164、ipv4与ipv6比较：取消了报头长度字段，数据报长度字段被payload长度字段代替；源地址和目的地址字段大小增加为每个字段占16个八位组，128位；分段信息从基本报头的固定字段移动扩展报头；生存时间字段改为跳数极限字段；服务类型字段改为数据流标号字段；协议字段改为指明下一个报头类型字段。5、ipv6有三个基本地址类型，单播地址(unicast)即目的地址指明一台计算机或路

52、由器，数据报选择一条最短的路径到达目的站；群集地址(cluster)即目的站是共享一个网络地址的计算机的集合，数据报选择一条最短路径到达该组，然后传递给该组最近的一个成员；组播地址(multicast)即目的站是一组计算机，它们可以在不同地方，数据报通过硬件组播或广播传递给该组的每一成员。6、对任何地址若开始80位是全零，接着16位是全1或全零，则它的低32位就是一个ipv4地址。 第12章 企业网与intranet主要内容：1、企业网络计算的组成和管理2、企业网络开放系统集成技术3、intranet定义和要素4、intranet应用和建立一、企业网络计算的背景和挑战企业网是连接企业内部各部门

53、并和企业外界相连，为企业的通信、办公自动化、经营管理、生产销售以及自动控制服务的重要信息基础设施。intranet是基于tcp/ip协议，使用环球网www工具，采用防止外界侵入的安全措施，为企业内部服务，并有连接intranet功能的企业内部网络。1、驱动企业网络计算的因素：用户需求，这是基本动力；先进和实用的信息技术；迅速变化中的巿场。2、可采用两种模型：一种是可伸缩的模型，即企业网络计算的同样的软件可运行在企业内部的不同平台上；另一种是集成的模型，即企业内部不同平台上的软件的集成。二、企业网络计算的组成和特性1、企业网络计算的组成：客户机/服务器计算；分布式数据库；数据仓库；网络和通信；网

54、络和系统的管理；各种网络应用。2、企业网络计算的特性：支持客户机/服务器计算械；支持管理海量数据的能力和设施；分布数据管理的设施；国际化和本地化；功能强的通信设施；系统的灵活性；分布资源管理；开发工具和开发手段的提供。三、开放系统开放系统：是对一个不断发展的、厂家中立的、用于对整个系统进行有效配臵、操作和替换的接口、服务、协议和格式的规范描述的实现，它的应用和组成部件可以用不同厂家的其他相同实现替代。1、开放系统的两个特点：开放系统所采用的规范是厂家中立的，或者是与厂家无关的；开放系统允许不同厂家的产品替换，这种替换包括整个系统其组成部件。2、专用系统：它所采用的规范是专用，而不是厂家中立的；专用系统不允许由不同厂家的产品替换；它的组成部件允许具有许可证