四級網(wǎng)絡(luò)工程師筆記

• 前言：
• 系列博文
• 第五章 新型網(wǎng)絡(luò)應(yīng)用
• • 1. 即時通信（ IM） 系統(tǒng)
  • 2. 即時通信協(xié)議
  • 3. SIP(會話初始化協(xié)議)
  • 4. SIP 系統(tǒng)
  • 5. SIP 消息
  • 6. SIMPLE 協(xié)議
  • 7. XMPP 系統(tǒng)
  • 8. XMPP 系統(tǒng)特點(diǎn)
  • 9. XMPP 協(xié)議
  • 10. 即時通信實(shí)例
  • 11. QQ 用戶登錄過程
  • 12. P2P 文件共享
  • 13. 文件共享實(shí)現(xiàn)方式
  • 14. Maze 系統(tǒng)
  • 15. 互聯(lián)網(wǎng)協(xié)議電視（IPTV）
  • 16. 視頻點(diǎn)播（Video on Demand，VOD）
  • 17. VOD 的服務(wù)類型
  • 18. 媒體內(nèi)容分發(fā)技術(shù)
  • 19. VOIP 可以實(shí)現(xiàn)的通信方式
  • 20. VoIP 系統(tǒng)組成
  • 21. RTCP 報文
  • 22. Skype
  • 23. Skype 的特點(diǎn)
  • 24. 搜索引擎組成
  • 25. LAMP 網(wǎng)站架構(gòu)
  • 26. IPSec
• 第六章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全
• • 1. 網(wǎng)絡(luò)管理
  • 2. 網(wǎng)絡(luò)管理資源分類
  • 3. 網(wǎng)絡(luò)安全管理作用
  • 4. 網(wǎng)絡(luò)故障管理
  • 5. 網(wǎng)絡(luò)管理的目標(biāo)
  • 6. 網(wǎng)管模型
  • 7. 網(wǎng)管功能域
  • 8. 網(wǎng)絡(luò)管理系統(tǒng)（NMS）
  • 9. SNMP 協(xié)議
  • 10. CMIP 協(xié)議
  • 11. 網(wǎng)絡(luò)安全服務(wù)基本功能
  • 12. 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TESEC）
  • 13. 信息傳輸安全
  • 14. 網(wǎng)絡(luò)攻擊的分類
  • 15. DDoS 攻擊的特征
  • 16. 對稱加密與非對稱加密
  • 17. 典型的對稱加密算法
  • 18. 公鑰密碼基本特征
  • 19. 公鑰密碼的應(yīng)用領(lǐng)域
  • 20. 典型的非對稱加密算法
  • 21. 公鑰基礎(chǔ)設(shè)施（ PKI）
  • 22. 數(shù)字簽名
  • 23. TCP/IP 協(xié)議安全機(jī)制
  • 24. IPSec
  • 25. 安全套接層（SSL）協(xié)議
  • 26. SSL 協(xié)議特點(diǎn)
  • 27. PGP 協(xié)議
  • 28. 電子支付安全（SET）協(xié)議
  • 29. 防火墻主要功能
  • 30. 網(wǎng)絡(luò)防火墻構(gòu)成
  • 31. 入侵檢測系統(tǒng)的基本功能
  • 32. 網(wǎng)絡(luò)蠕蟲
  • 33. 蠕蟲和病毒的區(qū)別
  • 34. 認(rèn)證中心（Certification Authority，CA）
  • 35. 信息存儲安全措施
  • 36. Caesar 密碼加密
  • 37. 密文攻擊
  • 38. 背包加密算法
  • 39. Blowfish 算法
  • 40. RC5 算法
  • 41. X.509 公共密鑰證書
  • 42. 42.數(shù)字版權(quán)管理

前言：

作者在CSDN博客上開通了[網(wǎng)絡(luò)工程師]專欄，目的在于激勵自己堅持學(xué)習(xí)。由于是初次進(jìn)行博客創(chuàng)作、經(jīng)驗(yàn)不足、可能比較粗糙，如有錯漏之處希望大家能夠指正、也歡迎大家一起交流學(xué)習(xí)。

如需查看完整學(xué)習(xí)博文（筆記）請點(diǎn)擊 [網(wǎng)絡(luò)工程師] 進(jìn)行查看

系列博文

1、四級網(wǎng)絡(luò)工程師和四級信息安全工程師考試須知與學(xué)習(xí)方法

2、四級網(wǎng)絡(luò)工程師筆記-操作系統(tǒng)（上）

3、四級網(wǎng)絡(luò)工程師筆記-操作系統(tǒng)（中）

4、四級網(wǎng)絡(luò)工程師筆記-操作系統(tǒng)（下）

5、四級網(wǎng)絡(luò)工程師筆記-計算機(jī)網(wǎng)絡(luò)（上）

6、四級網(wǎng)絡(luò)工程師筆記-計算機(jī)網(wǎng)絡(luò)（中）

7、四級網(wǎng)絡(luò)工程師筆記-計算機(jī)網(wǎng)絡(luò)（下）

第五章 新型網(wǎng)絡(luò)應(yīng)用

1. 即時通信（ IM） 系統(tǒng)

? 1996 年 11 月，以色列 Mirabils 公司推出了世界上第一款即時通信軟件 ICQ（I Seek You,網(wǎng)絡(luò)尋呼機(jī)）， 宣告了“即時通信（Instant Messaging， IM）”這一概念的誕生。

? 即時通信系統(tǒng)是一種基于 Internet 的通信服務(wù)， 可提供近實(shí)時的信息交換和用戶狀態(tài)跟蹤。

? 2000 年，IMPP 工作小組提交的關(guān)于即時通信系統(tǒng)的 RFC 草案， 獲得了 IETF 的批準(zhǔn)， 成為正式的RFC 文件。

? IETF 批準(zhǔn)的 RFC2778 給出了一個抽象的呈現(xiàn)與即時消息系統(tǒng)模型，描述了即時通信系統(tǒng)的功能， 勾勒出了即時通信系統(tǒng)的模型框架。

? 一個即時通信系統(tǒng)通常包括兩種服務(wù)

① 一種是呈現(xiàn)服務(wù)（Pesence srvice）， 用戶之間相互訂閱并獲取彼此的狀態(tài)變更信息；

② 另一種是即時消息服務(wù)（ istant message srvice）， 用于用戶之間相互收發(fā)短消息。

? 即時通信系統(tǒng)一般釆用兩種通信模式

① 用戶/服務(wù)器模式，在用戶/服務(wù)器模式中，消息的發(fā)送和接收需要通過服務(wù)器中轉(zhuǎn)，主流的即時通信軟件的文本消息大多使用用戶/服務(wù)器模式。

② 用戶/用戶模式。消息的發(fā)送和接收采用直接的點(diǎn)對點(diǎn)的通信方式，文件傳送等大數(shù)據(jù)量業(yè)務(wù)通常使用用戶/用戶模式。

2. 即時通信協(xié)議

l 微軟 MSN釆用 MSNP協(xié)議；

? AOL 采用 OSCAR 協(xié)議；

? QQ 采用自己設(shè)計的私有協(xié)議

? 由于各廠商自己定義的協(xié)議互不開放，因此造成彼此間互不兼容，無法互聯(lián)互通。

? 即時通信開放的協(xié)議主要代表有兩個

① 一個是基于 SIP 協(xié)議框架的 SIMPLE 協(xié)議簇

② 一個是基于 JABBER 協(xié)議框架的 XMPP 協(xié)議簇。

③ SIMPLE 協(xié)議是對 SIP 協(xié)議的擴(kuò)展， 以使其更好地支持即時消息服務(wù)。

④ XMPP 協(xié)議簇是基于 XML 語言定義的即時消息協(xié)議。

3. SIP(會話初始化協(xié)議)

? SIP 是 IETF 于 1999 年提出的一個信令控制協(xié)議， 主要內(nèi)容在 RFC3261 中進(jìn)行定義；

? SIP 協(xié)議位于應(yīng)用層， 目標(biāo)是方便地創(chuàng)建、管理和終止用戶之間的會話。

? SIP 協(xié)議主要是為 IP 網(wǎng)絡(luò)設(shè)計的，可以運(yùn)行于 TCP、UDP、SCTP 等各種傳輸層協(xié)議之上。但是，SIP 協(xié)議本身并不關(guān)心承載網(wǎng)絡(luò)，因此 SIP 協(xié)議也可工作在 ATM、幀中繼等承載網(wǎng)中。

4. SIP 系統(tǒng)

SIP 用戶的地址以“SIP”開始， 后面類似于 E-mail 地址。

例如可以使用 sip：miyname@my-company.com 表示一個 SIP 用戶， 該用戶處于 mycompany.com 域中， 在 mycompany.com 域中的名字為 myname。

SIP 地址是一個全局性的地址， SIP 系統(tǒng)通過這種統(tǒng)一名字標(biāo)識符定位和查詢 SIP 用戶。

按邏輯功能區(qū)分，SIP 系統(tǒng)由 4 種元素組成，它們是用戶代理（user agent，UA）、代理服務(wù)（proxy server）、重定向服務(wù)器（redirect server）和注冊服務(wù)器（ registrar）。

? 用戶代理：

① 用戶代理由兩個部分組成：一部分是用戶代理客戶機(jī)（User Agent Client，UAC），另一部分是用戶代理服務(wù)器（ User Agent Server UAS）。

② UAC 負(fù)責(zé)發(fā)起呼叫， UAS 負(fù)責(zé)接收呼叫并作出響應(yīng)。

③ UAC 和 UAS 共同組成 UA，存在于用戶終端之中。

④ 用戶通過 SIP 用戶代與 SIP 系統(tǒng)交互，其存在的形式多種多樣，如計算機(jī)上的即時通信軟件、專用的軟電話（ phone）等。

? 代理服務(wù)器:

① 代理服務(wù)器負(fù)責(zé)接收用戶代理發(fā)來的請求，根據(jù)網(wǎng)絡(luò)策略將請求發(fā)給相的服務(wù)器，并根據(jù)收到的應(yīng)答對用戶作出響應(yīng)。

② 代理服務(wù)器是一個中間元素， 既有客戶機(jī)的性質(zhì)又有服務(wù)器的性質(zhì)， 同時還具有名字解析能力。

③ 代理服務(wù)器分為有狀態(tài)代理服務(wù)器和無狀態(tài)代理服務(wù)器。

④ 有狀態(tài)代理服務(wù)器需要存儲接收到的請求、回送的響應(yīng)和它轉(zhuǎn)發(fā)的請求，而無狀態(tài)代理服務(wù)器一旦轉(zhuǎn)發(fā)請求和響應(yīng)后就忘記所有的信息。

? 重定向服務(wù)器：重定向服務(wù)器是一個規(guī)劃 SIP 呼叫路徑的服務(wù)器。

? 注冊服務(wù)器:用于接收和處理用戶端的注冊請求， 完成用戶地址的注冊。

5. SIP 消息

SIP 消息組成

l 由一個起始行（start-line）、消息頭（message-header）、一個標(biāo)志消息頭結(jié)束的空行 CRLF）和可選的消息體（messagebody）組成。

? 其中，消息頭由一個或多個宇段組成。

SIP 消息包括兩種類型：

? 從客戶機(jī)到服務(wù)器的請求消息（ request）

① 在請求消息中，起始行為請求行。

② 請求行中一般包括請求方法、請求的 SIP 用戶地址和 SIP 的協(xié)議版本。

③ 在 SIP 協(xié)議中有 6 種請求方法， 它們是 INVITE、ACK、OPTIONS、BYE、CANCEL 和 REGISTER。

請求方法功能

INVITE	邀請用戶或服務(wù)器參加一個會話
ACK	UA 向服務(wù)器證實(shí)它已經(jīng)收到了對 INVITE 請求的最終響應(yīng)。ACK 只和 INVITE 一起使用
OPTIONS	請求關(guān)于服務(wù)器能力的信息。如果服務(wù)器認(rèn)為它能與用戶聯(lián)系，則可用一個能力集晌應(yīng)
BYE	用戶終止一次會話，既可由主叫 UA 發(fā)送，也可由被叫 UA 發(fā)送
CANCEL	取消一個掛起的呼叫
REGISTER	向定位服務(wù)器注冊 UA 的相關(guān)信息

? 從服務(wù)器到客戶機(jī)的響應(yīng)消息（ response）

① 響應(yīng)消息中，起始行為狀態(tài)行。

② 狀態(tài)行中一般包括 SIP 的版本號、狀態(tài)碼和一句對該狀態(tài)的文本描述信息。

6. SIMPLE 協(xié)議

? SIMPLE 協(xié)議是一組能夠提供即時消息服務(wù)的通信協(xié)議。

? 它由 IETF 的 SIMPLE 工作組制定， 基本上與 RFC2778 定義的即時消息系統(tǒng)模型保持一致。

? SIMPLE 協(xié)議通過對 SIP 協(xié)議進(jìn)行擴(kuò)展，使其支持即時消息服務(wù)。

? SIMPLE 增加了 NOTIFY、SUBSCRIBE 和 MESSAGE 方法支持即時通信。

① MESSAGE：用來發(fā)送一次性的短消息， 即尋呼機(jī)模式的即時消息。

② SUBSCRIBE：用于觀察者（ watcher）向服務(wù)器訂閱其他用戶的呈現(xiàn)信息。

③ NOTIFY：在用戶的呈現(xiàn)信息發(fā)生改變時，服務(wù)器使用 NOTIFY 方法向該用戶的訂閱用戶發(fā)送呈現(xiàn)信息。

7. XMPP 系統(tǒng)

? XMPP 協(xié)議是一種基于 XML 的即時通信協(xié)議；

? XMPP 協(xié)議的系統(tǒng)架構(gòu)沿襲了 E-mail 系統(tǒng)的架構(gòu)；

? XMPP 系統(tǒng)架構(gòu)主要由 3 種實(shí)體組成： XMPP 客戶、XMPP 服務(wù)器和 XMPP 網(wǎng)關(guān)：

① XMPP 服務(wù)器間相互通信， 形成一個由 XMPP 服務(wù)器組成的分布式網(wǎng)絡(luò)；

② XMPP 網(wǎng)關(guān)負(fù)責(zé) XMPP 與非 XMPP 系統(tǒng)之間的互聯(lián)， 可以使 XMPP 客戶和非 XMPP 客戶進(jìn)行通信；

③ XMPP 客戶通過 Internet 接入 XMPP 系統(tǒng)， 可以通過 XMPP 系統(tǒng)與其他客戶進(jìn)行通信（ 如果存在

XMPP 網(wǎng)關(guān)， XMPP 客戶也可以和非 XMPP 客戶進(jìn)行通信）。

8. XMPP 系統(tǒng)特點(diǎn)

① 用戶/服務(wù)器中轉(zhuǎn)模式:XMPP 使用用戶/服務(wù)器通信模式， 而不是有些即時消息系統(tǒng)采用的用戶/ 用戶模式。從一個用戶客戶機(jī)端發(fā)給另一個用戶客戶機(jī)端的 XMPP 即時消息都必須通過服務(wù)器中轉(zhuǎn)。

② 分布式網(wǎng)絡(luò)系統(tǒng):XMPP 的網(wǎng)絡(luò)體系結(jié)構(gòu)與 E-mail 系統(tǒng)類似， XMPP 客戶和服務(wù)器組成一個分布式的網(wǎng)絡(luò)處理系統(tǒng)，即時消息和呈現(xiàn)信息在這些 XMPP 客戶和服務(wù)器之間傳輸。XMPP 地址和 E-mail 地址形式一樣（如 stpeter?jabber,org）， 因此，從一個用戶地址即可得知該用戶所屬的 XMPP 服務(wù)器。

③ 簡單客戶機(jī)端:XMPP 的目標(biāo)之一是必須支持簡單客戶機(jī)端，將復(fù)雜性從用戶端轉(zhuǎn)移到服務(wù)器端。

XMPP 系統(tǒng)架構(gòu)要求用戶端必須支持的功能：通過 TCP 套接字與 XMPP 服務(wù)器進(jìn)行通信、解析組織好的

XML 信息包、理解消息數(shù)據(jù)類型。(目前 Google 的 Google Talk 和 Jive Message 都采用 XMPP 協(xié)議)。

④ XML 數(shù)據(jù)格式:XML 是 XMPP 系統(tǒng)的核心， 幾乎能表述任何一種結(jié)構(gòu)化數(shù)據(jù)。

9. XMPP 協(xié)議

? 尋址方案

① XMPP 通信系統(tǒng)具有統(tǒng)一的尋址方案， XMPP 用戶地址的格式必須符合 RFC2396 統(tǒng)一資源標(biāo)識符的語法規(guī)定。

② 由于歷史原因， XMPP 地址也被稱為 JID（JabberID7Jab-ber 標(biāo)識）。

③ JID 用于標(biāo)識即時消息用戶和用戶連接的資源，它由域標(biāo)識符、結(jié)點(diǎn)標(biāo)識符、資源標(biāo)識 3 部分組成，形如 node@domaia/resource。其中，域標(biāo)識符是唯一必需的，通常表不 XMPP 服務(wù)器或 XMPP 網(wǎng)關(guān)，必須是一個合法的 DNS 域名； 結(jié)點(diǎn)標(biāo)識符是一個可選項(xiàng)， 以“@” 符號分割放在域標(biāo)識符之前。結(jié)點(diǎn)標(biāo)識符通常是一個使用 XMPP 服務(wù)的一個用戶； 資源標(biāo)識符也是一個可選的標(biāo)識符， 表示具體的資源。資源標(biāo)識符放在域標(biāo)識符之后，并以“/”分隔。

? XML 流與 XML 節(jié)（Stanza）

① XMPP 是一套基于 XML 流的協(xié)議；

② XMPP 流中的“節(jié)”有 3 種類型，它們是消息（message）、呈現(xiàn)（presence）和查詢（ 1/Q，Info/Query）。

③ 消息節(jié)表示傳輸?shù)南?#xff0c;其中消息的接收方、發(fā)送方可以使用 to、from 等關(guān)鍵字表明；

④ 呈現(xiàn)節(jié)用來表明用戶的狀態(tài)（如在線、離線等）。當(dāng)用戶的狀態(tài)改變時，用戶端就會在用戶到服務(wù)器的流中插入一個呈現(xiàn)節(jié)，用于表明自身的狀態(tài)；

⑤ 查詢節(jié)是一種請求/響應(yīng)機(jī)制。一個實(shí)體發(fā)送請求， 另外一個實(shí)體接收請求并進(jìn)行響應(yīng)。

10. 即時通信實(shí)例

? 騰訊 QQ、網(wǎng)易泡泡、新浪 UC、微軟 MSN 和雅虎 Messenger 等都曾經(jīng)是非常流行的即吋通信軟件。

? 除了實(shí)時消息交換和狀態(tài)跟蹤之外，即時消息系統(tǒng)一般還提供一些附加功能，如音頻/視頻聊天、應(yīng)用共享、文件傳輸、文件共享、游戲邀請、遠(yuǎn)程助理、白板等。

11. QQ 用戶登錄過程

① 客戶端每次登陸時會訪問記錄上次登陸服務(wù)器的地址的記錄文件，如果成功則不會重發(fā) DNS 請求。

② 在 QQ 通信中，用戶必須先登錄后才可以進(jìn)行互相發(fā)送信息等操作。

③ QQ 聊天通信信息是加密的，每次登陸時 QQ 客戶機(jī)會向服務(wù)器獲取一個會話密鑰。

④ 客戶端會從服務(wù)器端獲得好友列表，以建立點(diǎn)對點(diǎn)的聯(lián)系。

⑤ QQ 采用的通信協(xié)議以 UDP 為主，輔以 TCP 協(xié)議。

12. P2P 文件共享

? 文件共享是指用戶主動地在網(wǎng)絡(luò)上分享自己主機(jī)中的文件或者目錄。

? P2P 文件共享起源于 1999 年的音樂分享網(wǎng)站 Napster。Napster 釆用的是集中式的對等網(wǎng)絡(luò)結(jié)構(gòu)。

? eDonkey2000 繼承了前者共享文件系統(tǒng)的優(yōu)點(diǎn)，并為文件增加了哈希（ Hash）信息。

? 最初的 BT 系統(tǒng)需要中心服務(wù)器存放用戶的信息， 該服務(wù)器被稱為 Tracker 服務(wù)器。

? BT 系統(tǒng)要求文件的發(fā)布者制作一個被稱為“種子” 文件的.torrent 文件，該文件包含了 Tracker

服務(wù)器的相關(guān)信息和發(fā)布者共享文件的信息。

? 下載者通過發(fā)布者提供的種子文件連接到 Tracker 服務(wù)器， 并通過 Tracker 服務(wù)器獲取其他下載者（包括發(fā)布者）的 IP 地址和端口號。

l 下載的人越多， BT 系統(tǒng)提供的帶寬越大，下載速度也就越快。在后續(xù)的版本中，BT系統(tǒng)加入了 DHT的支持，以實(shí)現(xiàn)無 Tracker服務(wù)器的文件傳輸。

? 在 20 世紀(jì) 60 年代， 美國著名社會心理學(xué)家米爾格倫（ Stanley Milgram）提出了“六度分隔（Six Degrees of Separation）”理論。這就是著名的“小世界假設(shè)” 。六度分隔理論為 P2P 文件共享系統(tǒng)中的結(jié)點(diǎn)的快速發(fā)現(xiàn)和資源快速發(fā)現(xiàn)提供了理論基礎(chǔ)。

13. 文件共享實(shí)現(xiàn)方式

? 如 FTP 文件共享、NFS 網(wǎng)絡(luò)文件系統(tǒng)共享、Windows 共享文件夾以及正在流行的 P2P 文件共享等。

? 在 FTP 文件共享中， 用戶將需要共享的文件傳送到 FTP 服務(wù)器，其他用戶使用該文件時需要通過

FTP 服務(wù)器進(jìn)行下載;

? 在 NFS 網(wǎng)絡(luò)文件系統(tǒng)中， 用戶可以將自己主機(jī)上的文件或目錄共享出來， 其他用戶需要使用時， 只需將該文件或目錄掛接在自己的文件系統(tǒng)下，像使用本地文件一樣使用遠(yuǎn)程主機(jī)上的文件；

? Windows 共享文件夾是微軟針對 Windows 系統(tǒng)開發(fā)的文件共享機(jī)制，它通常使用 NetBIOS 和 NetBEUI

協(xié)議將文件夾共享給其他用戶使用。

? NetBIOS 是由微軟公司開發(fā)，工作于網(wǎng)絡(luò)層驅(qū)動接口和傳輸層驅(qū)動接口之間，支持 254 個并發(fā)通信話路， 名字服務(wù)可以采用 UDP 協(xié)議。

14. Maze 系統(tǒng)

? Maze 系統(tǒng)是一個功能非常強(qiáng)大的 P2P 文件共享系統(tǒng)， 屬于混合式的 P2P 網(wǎng)絡(luò)系統(tǒng)。

? Maze 系統(tǒng)參考了 Kerberos 協(xié)議， 采用了分布式認(rèn)證機(jī)制。

l 為了促使用戶更多地共享資源， Maze系統(tǒng)采用了 Maze 積點(diǎn)和 Maze星級技術(shù)。

? 該系統(tǒng)采用了以六度分隔理論為基礎(chǔ)的網(wǎng)絡(luò)鏈接關(guān)系， 能夠支持在線資源搜索和文件目錄視圖， 可以進(jìn)行多點(diǎn)下載和斷點(diǎn)續(xù)傳，支持跨防火墻的文件共享與下載。

? Maze 系統(tǒng)中的用戶被稱為 Peer,每個 Peer 相當(dāng)于一個傳統(tǒng) FTP 服務(wù)器與一個 FTP 客戶端的結(jié)合體。整個系統(tǒng)除了多個 Peer 外，還包括集中式的用戶管理服務(wù)器、文件目錄服務(wù)器、索引和檢索服務(wù)器、心跳服務(wù)器。

① 用戶管理服務(wù)器實(shí)現(xiàn)用戶注冊與身份認(rèn)證；

② 文件目錄服務(wù)器負(fù)責(zé)收集每個 Peer 共享的目錄列表并將它們存入集中式的目錄數(shù)據(jù)庫；

③ 索引和檢索服務(wù)器讀取目錄數(shù)據(jù)庫中的數(shù)據(jù)，為所有共享文件目錄建立索引并提供 XML 方式的檢索接口；

④ 心跳服務(wù)器負(fù)責(zé)維護(hù)在線用戶的列表。

15. 互聯(lián)網(wǎng)協(xié)議電視（IPTV）

? 用戶可以采用兩種方式使用 IPTV 服務(wù)，一種是計算機(jī)方式，另一種是網(wǎng)絡(luò)機(jī)頂盒加普通電視機(jī)方式。

? 電視類服務(wù)是與電視業(yè)務(wù)相關(guān)的服務(wù)，如視頻點(diǎn)播、直播電視和時移電視等；

? 通信類服務(wù)是指基于 IP 的語音服務(wù)、即時通信服務(wù)和電視短信服務(wù)等；

? 增值服務(wù)是指電視購物、互動廣告和在線游戲等增值類服務(wù)。

16. 視頻點(diǎn)播（Video on Demand，VOD）

? 視頻點(diǎn)播（Video on Demand， VOD）也被稱為交互式電視點(diǎn)播系統(tǒng)。

? 本質(zhì)上講，VOD 是一種基于 IP 網(wǎng)絡(luò)的利用機(jī)頂盒作為接收終端，電視機(jī)作為顯示設(shè)備的視頻點(diǎn)播系統(tǒng)。

17. VOD 的服務(wù)類型

VOD 的服務(wù)類型分為 3種：

就近式點(diǎn)播電視 NVOD:在支持就近式點(diǎn)播電視系統(tǒng)中，每個視頻流間隔一定的時間就發(fā)送同樣的內(nèi)容，用戶選擇距最近的某個時間起點(diǎn)進(jìn)行收看。

真實(shí)點(diǎn)播電視 TV0D:真實(shí)點(diǎn)播電視支持即點(diǎn)即放,每個視頻流只為一個特定的用戶服務(wù)。

交互式點(diǎn)播電視 IVOD:交互式點(diǎn)播電視不僅可以支持即點(diǎn)即放，而且還可以讓用戶對視頻流進(jìn)行交互式的控制。

18. 媒體內(nèi)容分發(fā)技術(shù)

? 媒體內(nèi)容分發(fā)網(wǎng)絡(luò)（Media Content Delivery Network，MCDN）技術(shù)是 IPTV 大規(guī)模應(yīng)用的重要技術(shù)保障。

? MCDN 關(guān)鍵技術(shù)包含以下幾個方面。

① 內(nèi)容發(fā)布:借助于索引、緩存、流分裂和組播等技術(shù)，將內(nèi)容發(fā)布或投遞到距離用戶最近的遠(yuǎn)程服務(wù)點(diǎn)處。

② 內(nèi)容路由：是整體性的網(wǎng)絡(luò)負(fù)載均衡技術(shù)。內(nèi)容路由技術(shù)通過內(nèi)容路由器中的重定向以及媒體位置注冊機(jī)制，在多個遠(yuǎn)程服務(wù)點(diǎn)上均衡用戶的請求，保證用戶請求得到最近內(nèi)容源的響應(yīng)。

③ 內(nèi)容交換:根據(jù)內(nèi)容的可用性、服務(wù)器的可用性以及用戶的背景，利用應(yīng)用層交換、流分裂、重定向及寬帶媒體分發(fā)策略等技術(shù)，智能地平衡負(fù)載流量。

④ 性能管理:通過內(nèi)部和外部監(jiān)控系統(tǒng)，獲取網(wǎng)絡(luò)部件的狀態(tài)信息。同時，性能管理還測量內(nèi)容發(fā)布的端到端性能（如包丟失率、延時時間、平均帶寬、啟動時間和幀速率等），保證網(wǎng)絡(luò)處于最佳的運(yùn)行狀態(tài)。

⑤ IP 承載網(wǎng)：MCDN 充分利用高速交換、匯聚層路由轉(zhuǎn)發(fā)、接入層帶寬保障、組播路由及服務(wù)質(zhì)量等

IP 網(wǎng)絡(luò)技術(shù)，為 IPTV 應(yīng)用提供可靠 IP 網(wǎng)絡(luò)平臺。

19. VOIP 可以實(shí)現(xiàn)的通信方式

? VoIP（VoiceoverIP）也稱為 IP電話，是利用 IP網(wǎng)絡(luò)實(shí)現(xiàn)語音通信的一種通信手段，是基于IP網(wǎng)絡(luò)的語音傳輸技術(shù)。

? VoIP 系統(tǒng)可以將源用戶的電話語音數(shù)字化，通過壓縮、打包后利用 IP 網(wǎng)絡(luò)傳輸給目的用戶。

? 目的用戶收到數(shù)據(jù)包后，將數(shù)據(jù)解壓并還原成聲音。

? 利用VOIP可以實(shí)現(xiàn)的通信方式包括：PC-to-PC,PC-to-Phone,Phone-to-Phone,PC-to-Pad,Pad-to-Phone，

PC到IP網(wǎng)關(guān)，IP網(wǎng)關(guān)到 IP網(wǎng)關(guān)。

20. VoIP 系統(tǒng)組成

VoIP 系統(tǒng)有 4 個基本組件，它們是終端設(shè)備（Terminal）、IP 電話網(wǎng)關(guān)（Gateway）、網(wǎng)守（Gatekeeper）和多點(diǎn)控制單元（MultipointControlUnit,MCU）

1) 終端設(shè)備

? 終端設(shè)備是直接和用戶接觸的設(shè)備。VoIP 中的終端設(shè)備有多種類型，其中包括傳統(tǒng)的語音電話終端、ISDN 終端、多媒體 PC 等。

2) IP 電話網(wǎng)關(guān)

? IP 電話網(wǎng)關(guān)是 VoIP 系統(tǒng)的關(guān)鍵設(shè)備， 是 IP 網(wǎng)絡(luò)和電話網(wǎng)絡(luò)之間的橋粱。

IP 電話網(wǎng)關(guān)的基本功能如下：

① 號碼查詢

② 建立通信連接

③ 信號調(diào)制

④ 信號壓縮和解壓

⑤ 路由尋址

3) 網(wǎng)守

? 網(wǎng)守是一個中央控制實(shí)體，在 VoIP 系統(tǒng)中起管理作用。

? 網(wǎng)守是 VoIP 系統(tǒng)中的消息控制中心，可以進(jìn)行呼叫控制、地址解析、呼叫授權(quán)、身份驗(yàn)證、集中賬務(wù)和計費(fèi)管理、存留呼叫詳細(xì)記錄等操作。

l 同時，網(wǎng)守還可以像實(shí)時網(wǎng)管一樣監(jiān)控網(wǎng)絡(luò)、平衡負(fù)載、管理帶寬以及提供與現(xiàn)有系統(tǒng)的接口。

4) 多點(diǎn)控制單元

? 多點(diǎn)控制單元 MCU 的功能在于利用 IP 網(wǎng)絡(luò)實(shí)現(xiàn)多點(diǎn)通信， 使得 VoIP 系統(tǒng)能夠支持 3 個或 3 個以上端點(diǎn)參與的多點(diǎn)會議。

? MCU 通常由兩部分組成，分別是多點(diǎn)控制器（ Multipoint Controller,MC）和多點(diǎn)處理器（Multipoint Processor，MP）。

? MC 主要負(fù)責(zé)呼叫信令的處理和會議的控制；

? MP 則提供多點(diǎn)會議中媒體流的集中處理， 主要負(fù)責(zé)混音、交換等處理工作。

21. RTCP 報文

根據(jù)所攜帶的控制信息不同， RTCP 報文分為 5 種類型，分別是 SR、RR、SEDS、BYE 和 APP。

? SR（sender report，發(fā)送者報告）： 該類型報文中含有活動端的發(fā)送和接收統(tǒng)計信息。

? RR（receiver report， 接收者報告）： 該類型報文中含有非活動端的接收統(tǒng)計信息。

? SDES（ source description items,源描述項(xiàng)）：該類型報文中含有對數(shù)據(jù)源的描述信息。例如，數(shù)據(jù)源的 CNAME 和 SSRC 的映射關(guān)系等。

? BYE（goodbye,離開報告）： 參與者結(jié)束通信時使用該類型報文通知其他參與者。

? APP（ application-specificfunctions， 特定應(yīng)用）： 用于特定應(yīng)用功能的一類 RTCP 報文。

22. Skype

? Skype 融合了當(dāng)前熱門的兩大技術(shù)——VoIP 技術(shù)和 P2P 技術(shù)，主要提供 IP 網(wǎng)絡(luò)電話、即時消息、文件傳輸、用戶搜尋等功能。

? Skype 還能有效地突破防火墻的限制。

① SkypeClient： SkypeClient 是 Skype 系統(tǒng)的客戶機(jī)端， 簡稱為 SC。

② SuperNode:SkypeNode 是 Skype 系統(tǒng)中的超級結(jié)點(diǎn)， 簡稱為 SN。在 Skype 系統(tǒng)中，Super-Nodc 是動態(tài)生成的，其作用就像 Internet 中的核心路由器。

③ LoginServer:LoginServer 是 Skype 系統(tǒng)中的登錄服務(wù)器，簡稱為 LSQLS 登錄服務(wù)器存儲著用戶的用戶名和密碼，負(fù)責(zé)用戶登錄時的合法性認(rèn)證。同時，它還要負(fù)責(zé)用戶名的全局唯一性管理。

④ HostCache 簡稱為 HC， 是一個 SN 的 IP 地址和端口對的列表。它由 SC 建立， 并會經(jīng)常更新。

⑤ BaddyList:BaddyList 是一個用戶的好友列表。

⑥ Encryption:加密處理。Skype 釆用了 256 位的 AES 加密算法。同時， Skype 采用 1536?2048 位的 RSA 算法對 AES 使用的對稱密鑰進(jìn)行協(xié)商。

⑦ Codecs:編碼方式。Skype 米用了 GloballPSounci 公司的寬帶編碼技術(shù) iLBC 和 iSAC。這兩種編碼技術(shù)允許頻率在 50~8000Hz 的語音通過。

⑧ Port:Skype 系統(tǒng)采用的端口。SC 可以使用 TCP 和 UDP 進(jìn)行端口監(jiān)聽，這些端口值在 SC 的連接對話框設(shè)置。在安裝客戶機(jī)端軟件時， SC 會隨機(jī)選擇一個端口號。除此之外， SC 也可以在 HTTP 的 80 端口和HTTPS 的 443 端口進(jìn)行監(jiān)聽。

⑨ NAT/FirewalhSC 釆用各種 STUN 和 TURN 技術(shù)來判定它在哪種類型的 NAT 和防火墻之后， 以便進(jìn)行

NAT 或防火墻穿越。

23. Skype 的特點(diǎn)

高清晰音質(zhì):從理論上說， 使用 Skype 可以聽到人類可以聽到的所有聲音頻率，而普通電話只能聽到 300~3000Hz 以內(nèi)的聲音。較寬的頻率范圍保證了高保真度的聲音品質(zhì)。

高度保密性:Skype 終端之間傳送的聲音和消息都是經(jīng)過加密處理的。Skype 采用 AES 加密算法， 密鑰長度為 256 位，是 AES 可選密鑰長度里最長的（因此也是最安全）。AES 的會話密鑰利用 2048 位的RSA 算法生成， 可以確保密鑰的安全性。同時， 用戶登錄時， 系統(tǒng)會利用用戶的私鑰進(jìn)行身份驗(yàn)證。

免費(fèi)多方通話:Skype 支持最多 5 人的多方會議呼叫，而且所有的通話都釆用端到端加密。因此，

Skype 比較適宜于商務(wù)會談和其他會談。

跨平臺： Skype 提供不同操作系統(tǒng)下的發(fā)行版本， 包括 Windows、Linux 以及 MacOS 等。

24. 搜索引擎組成

搜索引擎構(gòu)成一般都由 4 個部分組成，即搜索器、索引器、檢索器和用戶接口。

l 搜索器

搜索器通過逐個訪問 Internet中的 Web站點(diǎn)來采集 Web網(wǎng)頁信息，并建立該站點(diǎn)的關(guān)鍵字列表。人們常把搜索器建立關(guān)鍵字列表的過程稱為網(wǎng)絡(luò)爬行。

? 索引器

索引器的功能是理解搜索器所搜索的信息，從中抽取出索引項(xiàng)，用于表示文檔以及生成文檔庫的索引表。

? 檢索器

檢索器的功能是根據(jù)用戶的查詢要求在索引庫中快速檢出文檔，進(jìn)行文檔與査詢的相關(guān)度評價，對將要輸出的結(jié)果進(jìn)行排序。同時，檢索器還應(yīng)具有某種用戶相關(guān)性反饋機(jī)制。

? 用戶接口

① 用戶接口的作用是輸入用戶查詢、顯示查詢結(jié)果、提供用戶相關(guān)性反饋機(jī)制。

② 用戶輸入接口可以分為簡單接口和復(fù)雜接口兩種：

③ 簡單接口只提供用戶輸入查詢詞的文本框;

④ 復(fù)雜接口可讓用戶對查詢進(jìn)行限制，如邏輯運(yùn)算（與、或、非等）、相近關(guān)系（相鄰、NEAR等域名范圍（ .edu.com等）、出現(xiàn)位置（標(biāo)題、內(nèi)容等）、信息時間、長度等。

25. LAMP 網(wǎng)站架構(gòu)

? LAMP 網(wǎng)站架構(gòu)是目前國際流行的 Web 框架，該框架包括：Linux 操作系統(tǒng)，Apache 網(wǎng)絡(luò)服務(wù)器，MySQL 數(shù)據(jù)庫，Perl、PHP 或者 Python 編程語言，所有組成產(chǎn)品均是開源軟件，是國際上成熟的架構(gòu)框架。

? 該架構(gòu)起源于Linux 平臺，由于是開源軟件，建設(shè)成本很低。

26. IPSec

? IPSec 是為網(wǎng)絡(luò)層提供安全的一組協(xié)議。

? 在 IPSec 協(xié)議族中有兩個主要的協(xié)議：身份認(rèn)證頭（AH）協(xié)議和封裝安全負(fù)載（ESP）協(xié)議。

? SA（安全協(xié)定）定義的邏輯連接是一個單工連接，也就是說，連接是單向的。SA 是由一個 3 元組確定的。

? ESP 頭部采用 32 位順序號字段組成。

第六章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

1. 網(wǎng)絡(luò)管理

? 在網(wǎng)絡(luò)管理中，一般采用網(wǎng)絡(luò)管理者-網(wǎng)管代理模型。管理者實(shí)質(zhì)上是運(yùn)行在計算機(jī)操作系統(tǒng)之上的一組應(yīng)用程序，代理位于被管理的設(shè)備內(nèi)部。

? 一個管理者可以和多個代理之間進(jìn)行信息交換。

? 網(wǎng)絡(luò)管理一般采用集中式網(wǎng)絡(luò)管理或者分布式網(wǎng)絡(luò)管理。

? 集中式網(wǎng)絡(luò)管理模式和分布式網(wǎng)絡(luò)管理模式是網(wǎng)絡(luò)系統(tǒng)在發(fā)展過程中自然形成的兩種管理模式，它們各有特點(diǎn)，適用于不同的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和不同的應(yīng)用程序。

2. 網(wǎng)絡(luò)管理資源分類

分為硬件資源和軟件資源。

? 硬件資源是指物理介質(zhì)、計算機(jī)設(shè)備和網(wǎng)絡(luò)互聯(lián)資源。物理介質(zhì)通常是物理層設(shè)備、如網(wǎng)卡、雙絞線等； 計算機(jī)設(shè)備包括打印機(jī)和存儲設(shè)備及其他計算機(jī)外圍設(shè)備。常用的網(wǎng)絡(luò)互聯(lián)設(shè)備有中繼器、網(wǎng)橋、路由器、網(wǎng)關(guān)等；

? 軟件資源主要包括操作系統(tǒng)、應(yīng)用軟件和通信軟件。

3. 網(wǎng)絡(luò)安全管理作用

采用多層防衛(wèi)手段，將受到侵?jǐn)_和破壞的概率降到最低、提供迅速檢測非法使用和非法入侵初始點(diǎn)的手段，核查跟蹤入侵者的活動、提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失和提供查獲入侵者的手段。

4. 網(wǎng)絡(luò)故障管理

網(wǎng)絡(luò)故障管理包括檢測故障、隔離故障和糾正故障 3 個方面，應(yīng)包括典型的功能有維護(hù)并檢測錯誤日志、接收錯誤檢測報告并作出響應(yīng)、跟蹤與辨認(rèn)錯誤、執(zhí)行診斷測試、糾正錯誤。

5. 網(wǎng)絡(luò)管理的目標(biāo)

? 網(wǎng)絡(luò)管理目標(biāo)是通過合理的網(wǎng)絡(luò)配置與安全策略，保證網(wǎng)絡(luò)安全、可靠、連續(xù)與正常運(yùn)行，當(dāng)網(wǎng)絡(luò)出現(xiàn)異常時及時響應(yīng)并排除故障；通過網(wǎng)絡(luò)狀態(tài)監(jiān)控、資源統(tǒng)計與性能分析，對網(wǎng)絡(luò)做出及時調(diào)整與擴(kuò)充，以便優(yōu)化網(wǎng) 絡(luò)性能 。

6. 網(wǎng)管模型

國際標(biāo)準(zhǔn)化組織（ ISO）定義的網(wǎng)管模型包括 4 個部分：組織模型、信息模型、通信模型與功能模型。

? 組織模型描述網(wǎng)管系統(tǒng)的組成部分與結(jié)構(gòu);

? 信息模型描述網(wǎng)管系統(tǒng)的對象命名與結(jié)構(gòu);

? 通信模型描述網(wǎng)管系統(tǒng)使用的網(wǎng)管協(xié)議;

? 功能模型描述網(wǎng)管系統(tǒng)的主要功能。

7. 網(wǎng)管功能域

? 網(wǎng)絡(luò)管理功能模型就是常說的網(wǎng)管功能域。

? 網(wǎng)管功能域定義的是主要的網(wǎng)管功能，并將這些功能劃分為 5 個部分：

① 配置管理（Configuration Management）

② 故障管理（Fault Management）

③ 性能管理（Performance Management）

④ 安全管理（Security Management）

⑤ 記賬管理（Accounting Management）

1) 配置管理

? 配置管理用于實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的配置與管理，主要是網(wǎng)絡(luò)設(shè)備參數(shù)與設(shè)備之間的連接關(guān)系。

? 配置管理的主要內(nèi)容包括:標(biāo)識網(wǎng)絡(luò)中的被管對象（ 表示網(wǎng)絡(luò)設(shè)備），識別網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（ 生成拓?fù)鋱D），修改設(shè)備配置（工作參數(shù)、連接關(guān)系）。

2) 故障管理

? 故障管理用于發(fā)現(xiàn)與解決網(wǎng)絡(luò)中的故障，目的是保證網(wǎng)絡(luò)連續(xù)、可靠地運(yùn)行并提供服務(wù)。

? 故障管理的主要內(nèi)容包括：故障檢測（通過輪詢機(jī)制或告警信息）， 故障記錄（ 生成故障事件、告警信息或日志），故障診斷（通過診斷測試或故障跟蹤），故障恢復(fù)（通過設(shè)備更換、維修或啟用冗余設(shè)備）。

3) 性能管理

? 性能管理用于測試網(wǎng)絡(luò)運(yùn)行中的性能指標(biāo)；

? 目的是檢驗(yàn)網(wǎng)絡(luò)服務(wù)是否達(dá)到預(yù)定水平，找出已發(fā)生的問題或潛在的瓶頸，通過數(shù)據(jù)分析與統(tǒng)計來建立性能分析模型，以便預(yù)先報告網(wǎng)絡(luò)性能的變化趨勢，并為網(wǎng)管決策提供必要的依據(jù)。

? 性能參數(shù)包括網(wǎng)絡(luò)的吞吐率、利用率、響應(yīng)時間、傳輸延時等。

? 性能管理可分為兩個部分:性能監(jiān)控與網(wǎng)絡(luò)控制。其中，性能監(jiān)控是指收集網(wǎng)絡(luò)狀態(tài)信息，網(wǎng)絡(luò)控

制是指為改善性能采取的措施。

4) 安全管理

? 安全管理用于保護(hù)網(wǎng)絡(luò)中的資源的安全，以及網(wǎng)管系統(tǒng)自身的安全性。

? 安全管理的主要內(nèi)容包括:控制與維護(hù)對網(wǎng)絡(luò)資源的網(wǎng)管訪問權(quán)限，安全服務(wù)設(shè)施的建立、控制與刪除，與安全措施有關(guān)的信息分發(fā)，與安全有關(guān)的事件通知，與安全有關(guān)的網(wǎng)絡(luò)操作的記錄、維護(hù)與查閱等，以及網(wǎng)絡(luò)防病毒等。

5) 記賬管理

? 記賬管理用于監(jiān)視與記錄用戶對網(wǎng)絡(luò)資源的使用，以及計算網(wǎng)絡(luò)運(yùn)行成本與用戶應(yīng)交費(fèi)用

? 記賬管理的主要內(nèi)容包括：統(tǒng)計網(wǎng)絡(luò)資源使用情況（通信量、利用率等），確定計費(fèi)方法（采用包月、計時、按流量等），計算用戶賬單（ 根據(jù)資源、時段、費(fèi)率等），分析網(wǎng)絡(luò)運(yùn)營成本與資費(fèi)變更影響等。

8. 網(wǎng)絡(luò)管理系統(tǒng)（NMS）

? 網(wǎng)絡(luò)管理系統(tǒng)通常簡稱網(wǎng)管系統(tǒng)，它是用來實(shí)現(xiàn)網(wǎng)管功能的軟件或硬件系統(tǒng)。

? 從邏輯結(jié)構(gòu)上來看，網(wǎng)管系統(tǒng)通常包括 3 個部分:管理對象、管理進(jìn)程與管理協(xié)議

① 管理對象（Managed Object） 是經(jīng)過抽象的網(wǎng)絡(luò)元素， 對應(yīng)于網(wǎng)絡(luò)中具體可以操作的數(shù)據(jù)；

② 管理進(jìn)程（Management Process）是負(fù)責(zé)對網(wǎng)絡(luò)設(shè)備進(jìn)行管理與監(jiān)控的軟件，它安裝在網(wǎng)絡(luò)中的網(wǎng)管工作站與各種網(wǎng)絡(luò)設(shè)備中。

③ 管理協(xié)議（Management Protocol）負(fù)責(zé)在網(wǎng)管工作站與網(wǎng)絡(luò)設(shè)備的管理進(jìn)程之間通信，傳輸信息包括發(fā)送的操作命令與返回的操作結(jié)果。

9. SNMP 協(xié)議

? 1987 年，IETF 制定了簡單網(wǎng)關(guān)監(jiān)控協(xié)議（ Simple Gateway Monitoring Protocol，SGMP）。SGMP 是一種監(jiān)控網(wǎng)關(guān)或路由器的協(xié)議， SNMP 協(xié)議在 SGMP 的基礎(chǔ)上發(fā)展起來。

① I989 年， IETF 制定 SNMP 第一個版本（ snmpv1）， 它是一種設(shè)計簡單、易于實(shí)現(xiàn)的協(xié)議，但沒有考慮安全問題；

② 1993 年，IETF 制定 SNMP 第二個版本（ snmpv2），增加了操作類型與支持多種傳輸層協(xié)議，在提高安全性和更有效性地傳遞管理信息方面加以改進(jìn)，具體包括提供驗(yàn)證、加密和時間同步機(jī)制；

③ 1998 年，IETF 制定 SNMP 第 3 個版本（ snmpv3），提供了安全性與改進(jìn)的框架結(jié)構(gòu)。

? SNMP 是一種應(yīng)用層的網(wǎng)絡(luò)協(xié)議， 面向 Internet 的網(wǎng)管協(xié)議。

? SNMP 在傳輸層采用支持無連接服務(wù)的 UDP 協(xié)議， 在傳輸管理信息之前不需要建立連接。

? SNMP 協(xié)議采用輪詢監(jiān)控方式，管理器定時向代理請求獲得管理信息，并根據(jù)返回信息判斷是否發(fā)生異常。

? SNMP 是 TCP/IP 協(xié)議族中的重要協(xié)議， 它的成功與 TCP/IP 協(xié)議是分不開的。

10. CMIP 協(xié)議

? ISO 制定的是通用管理信息服務(wù)（Common Management Information Service， CMIS）與通用管理信息協(xié)議（Common Management Information Protocol,CMIP）。

? CMIP 是基于 OSI 模型的網(wǎng)絡(luò)管理協(xié)議， 致力于解決異構(gòu)互聯(lián)網(wǎng)絡(luò)中的網(wǎng)絡(luò)管理問題。

l CMIS/CMIP建立在 OSI模型的基礎(chǔ)上，兩者共同提供通用的網(wǎng)管服務(wù)。

l CMIP協(xié)議負(fù)責(zé)實(shí)現(xiàn)具體的網(wǎng)管操作，這些操作需使用 CMIS定義的各種服務(wù)原語。

l CMIP是一種應(yīng)用層的網(wǎng)絡(luò)協(xié)議。

l CMIP系統(tǒng)包括兩個組成部分:CMIP客戶機(jī)與服務(wù)器。

l CMIP協(xié)議釆用委托監(jiān)控的方式，管理者只需向代理發(fā)送監(jiān)控請求，代理將會自動監(jiān)視指定的管理對象，并在異常事件發(fā)生時向管理者告警。這種監(jiān)控方式的特點(diǎn)是開銷小、反應(yīng)快。

11. 網(wǎng)絡(luò)安全服務(wù)基本功能

網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下基本保障。

1) 可用性

可用性是指，盡管存在可能的突發(fā)事件（例如停電、自然災(zāi)害、事故或攻擊等）情況下，網(wǎng)絡(luò)仍然可處于正常運(yùn)轉(zhuǎn)狀態(tài)，用戶可使用各種網(wǎng)絡(luò)服務(wù)。

2) 機(jī)密性

機(jī)密性是指，保證網(wǎng)絡(luò)中的數(shù)據(jù)不被非法截獲或被非授權(quán)訪問，保護(hù)敏感數(shù)據(jù)和涉及個入隱私信息的安全。

3) 完整性

完整性是指，保證數(shù)據(jù)在網(wǎng)絡(luò)中傳輸、存儲的完整，數(shù)據(jù)沒有被修改、插入或刪除。

4) 不可否認(rèn)性

不可否認(rèn)性是指，確認(rèn)通信參與者的身份真實(shí)性，防止對已發(fā)送或已接收的信息否認(rèn)現(xiàn)象的出現(xiàn)。

5) 可控性

可控性是指，能夠控制與限定網(wǎng)絡(luò)用戶對主機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)與網(wǎng)絡(luò)信息資源的訪問和使用，防止非授權(quán)用戶讀取、寫入、刪除數(shù)據(jù)。

12. 可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TESEC）

? 美國國防部公布了《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》TCSEC，將計算機(jī)系統(tǒng)的安全可信度從低到高分為 D、C、B、A 四類共七個級別：D 級，C1 級，C2 級，B1 級，B2 級，B3 級，A1 級。

? （最小保護(hù)）D 級：該級的計算機(jī)系統(tǒng)除了物理上的安全設(shè)施外沒有任何安全措施，任何入只要啟動系統(tǒng)就可以訪問系統(tǒng)的資源和數(shù)據(jù)，如 DOS，Windows 的低版本和 DBASE 均是這一類（指不符合安全要求的系統(tǒng)，不能在多用戶環(huán)境中處理敏感信息）。

? （自主保護(hù)類）C1 級：具有自主訪問控制機(jī)制、用戶登錄時需要進(jìn)行身份鑒別。

? （自主保護(hù)類）C2 級：具有審計和驗(yàn)證機(jī)制（（對 TCB）可信計算機(jī)基進(jìn)行建立和維護(hù)操作，防止外部入員修改）。如多用戶的 UNIX 和 ORACLE 等系統(tǒng)大多具有 C 類的安全設(shè)施。

? （強(qiáng)制安全保護(hù)類）B1 級：引入強(qiáng)制訪問控制機(jī)制，能夠?qū)χ黧w和客體的安全標(biāo)記進(jìn)行管理。

? B2 級：具有形式化的安全模型，著重強(qiáng)凋?qū)嶋H評價的手段，能夠?qū)﹄[通道進(jìn)行限制。（主要是對存儲隱通道）

? B3 級：具有硬件支持的安全域分離措施，從而保證安全域中軟件和硬件的完整性，提供可信通道。對時間隱通道的限制。

? A1 級：要求對安全模型作形式化的證明，對隱通道作形式化的分析，有可靠的發(fā)行安裝過程。（其安全功能，依次后面包含前面的）

13. 信息傳輸安全

信息傳輸安全是指保證信息在網(wǎng)絡(luò)傳輸過程中不被泄露、篡改與偽造。

? 截獲信息。信息從源結(jié)點(diǎn)開始傳輸，中途被攻擊者非法截獲，目的結(jié)點(diǎn)沒有接收到該信息，因而造成信息在傳輸途中丟失。

? 竊聽信息。信息從源結(jié)點(diǎn)傳輸?shù)侥康慕Y(jié)點(diǎn)，但是中途被攻擊者非法竊聽。

? 篡改信息。信息從源結(jié)點(diǎn)傳輸?shù)侥康慕Y(jié)點(diǎn)的途中被攻擊者非法截獲，攻擊者修改信息或插入欺騙性的信息， 并將篡改后的信息發(fā)送給目的結(jié)點(diǎn)。

? 偽造信息。在這種情況下，源結(jié)點(diǎn)并沒有信息要傳送到目的結(jié)點(diǎn)。攻擊者冒充源結(jié)點(diǎn)用戶，將偽造的信息發(fā)送給目的結(jié)點(diǎn)。

14. 網(wǎng)絡(luò)攻擊的分類

網(wǎng)絡(luò)攻擊可以有兩種分類方法：主動攻擊與被動攻擊、服務(wù)攻擊與非服務(wù)攻擊。

1) 主動攻擊與被動攻擊

? 被動攻擊主要以收集信息為目的，信息的合法用戶難以察覺這種活動，例如嗔探、漏洞掃描、信息收集等。

? 主動攻擊不但進(jìn)入對方系統(tǒng)搜集信息，同時要進(jìn)行破壞活動，例如拒絕服務(wù)、信息算改、竊取信息、欺騙攻擊等。

? 無論是主動攻擊還是被動攻擊，后果的嚴(yán)重程度有所區(qū)別，但是都是屬于非法入侵的行為。

服務(wù)攻擊與非服務(wù)攻擊

? 服務(wù)攻擊是指攻擊者對 E-mail、FTP、Web 或 DNS 服務(wù)器發(fā)起攻擊，造成服務(wù)器工作不正常，甚至造成服務(wù)器癱瘓。

? 非服務(wù)攻擊不針對某項(xiàng)具體應(yīng)用服務(wù)，而是針對網(wǎng)絡(luò)設(shè)備或通信線路。攻擊者可能使用各種方法對網(wǎng)絡(luò)設(shè)備（例如路由器、交換機(jī)、網(wǎng)關(guān)、防火墻等）與通信線路發(fā)起攻擊，使得網(wǎng)絡(luò)設(shè)備出現(xiàn)嚴(yán)重阻塞甚至癱瘓，或者造成線路阻塞，最終使網(wǎng)絡(luò)通信中斷。

15. DDoS 攻擊的特征

**1.**主要有以下幾點(diǎn)：

? 被攻擊主機(jī)上可能有大量等待應(yīng)答的 TCP 連接。

? 網(wǎng)絡(luò)中充斥著大量的無用數(shù)據(jù)包，并且數(shù)據(jù)包的源地址是偽造的。

? 大量無用數(shù)據(jù)包造成網(wǎng)絡(luò)擁塞，使得網(wǎng)絡(luò)工作不正常，甚至癱瘓。

? 被攻擊主機(jī)可能在攻擊發(fā)起之后的短短幾秒鐘后就處于癱瘓狀態(tài)。

? 攻擊服務(wù)器與傀儡機(jī)都是在不知情的情況下參與攻擊行動，而真正的攻擊者早已消失。

16. 對稱加密與非對稱加密

? 常用的加密技術(shù)可以分為兩類： 對稱加密（Symmetric Cryptography） 與非對稱加密（Asymmetric Cryptography）。

? 在傳統(tǒng)的對稱密碼系統(tǒng)中，加密用的密鑰與解密用的密鑰相同，密鑰在通信中需要嚴(yán)格保密。

? 在非對稱加密系統(tǒng)中，加密用的公鑰與解密用的私鑰不同，加密用的公鑰可以向大家公開，而解密用的私鑰需要保密。

17. 典型的對稱加密算法

數(shù)據(jù)加密標(biāo)準(zhǔn)

數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）是最典型的對稱加密算法，它是由 IBM 公同提出、經(jīng) ISO認(rèn)定的國際標(biāo)準(zhǔn)。

DES

DES 是一種典型的分組密碼，它將數(shù)據(jù)分解成固定大小的分組，以分組為單位進(jìn)行加密或解密。DES 每次處理一個 64 位的明文分組，并且每次生成一個 64 位的密文分組。DES 算法采用 64 位密鑰長度，其中 8 位用于奇偶校驗(yàn)，用戶可使用其余的 56 位。

3 重 DES

3 重 DES（triple DES，3DES）是針對 DES 安全問題的改進(jìn)方案。

高級加密標(biāo)準(zhǔn)

? 高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）是后來出現(xiàn)的一種對稱加密算法。

? AES 將數(shù)據(jù)分解成固定大小的分組，以分組為單位進(jìn)行加密或解密。

? AES 的主要參數(shù)是：分組長度、密鑰長度與計算輪數(shù)。分組長度與密鑰長度可以是 32 位的整數(shù)倍，范圍是128?256位。AES規(guī)定分組長度為 128位，密鑰長度可以為128、192或256位，根據(jù)密鑰長度分別稱為：AES-128、AES-192或AES-256。

其他對稱加密算法主要包括 IDEA、Blowfish、RC2、RC4、RC5、CAST 等。

18. 公鑰密碼基本特征

? 公鑰密碼的基本特征是加密密鑰與解密密鑰不同，并且無法由加密密鑰推導(dǎo)出解密密鑰。

? 公鑰密碼技術(shù)提供了兩個密鑰：公鑰與私鑰。其中，公鑰是可以公開的密鑰；私鑰是需要嚴(yán)格保密的密鑰。

? 公鑰密碼技術(shù)使用的加密與解密算法公開。公鑰密碼的加密與解密算法是基于數(shù)學(xué)函數(shù)，而不是像對稱密碼那樣地基于位模式的簡單操作。

? 公鑰密碼的出現(xiàn)對保密性、密鑰分發(fā)與認(rèn)證等都有深遠(yuǎn)的影響。

19. 公鑰密碼的應(yīng)用領(lǐng)域

公鑰密碼技術(shù)主要應(yīng)用領(lǐng)域

RSA	數(shù)據(jù)加密、數(shù)字簽名與密鑰交換
EGG	數(shù)據(jù)加密、數(shù)字簽名與密鑰交換
DSS	數(shù)字簽名
ElGamal	數(shù)字簽名
Diffie-Heilman	密鑰交換

20. 典型的非對稱加密算法

RSA

? 1977年，Ron Rivest、Adi Shamir與Leonard Adleman 設(shè)計了一種加密算法，并用3 人的姓氏首字母命名該算法。

? RSA 的理論基礎(chǔ)是尋找大素數(shù)相對容易，而分解兩個大素數(shù)的積在計算上不可行。

? RSA 算法的安全性建立在大素數(shù)分解極其困難的基礎(chǔ)上。

橢圓曲線密碼（ECC）

? 1985 年，橢圓曲線密碼由 Neal Koblitz 和 Victor Miller 分別提出；

? 其安全性建立在求解橢圓曲線離散對數(shù)的困難性上。

? 在同等密鑰長度的情況下，ECC 算法的安全性要遠(yuǎn)高于RSA 算法等。

其他非對稱加密算法主要包括 DSS、ElGamal 與 Diffie-Hellman 等。

21. 公鑰基礎(chǔ)設(shè)施（ PKI）

? PKI 是利用公鑰加密和數(shù)字簽名技術(shù)建立的安全服務(wù)基礎(chǔ)設(shè)施，以保證網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的秘密性、完整性與不可抵賴性。

? PKI 是一種針對電子商務(wù)、電子政務(wù)應(yīng)用，利用非對稱加密體系，提供安全服務(wù)的通用性網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。

? PKI 系統(tǒng)對用戶是透明的，用戶獲得加密和數(shù)字簽名服務(wù)時，無須知道 PKI 是如何管理證書與密鑰。

? PKI 建立的安全通信信任平臺與密鑰管理體系，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密與數(shù)字簽名服務(wù)，實(shí)現(xiàn) PKI

系統(tǒng)的關(guān)鍵是密鑰的管理。

? PKI 的主要任務(wù)是確定用戶可信任的合法身份。這個信任關(guān)系是通過公鑰證書來實(shí)現(xiàn)。公鑰證書就是用戶身份與所持有公鑰的結(jié)合，這是由可信任的第 3 方權(quán)威機(jī)構(gòu)（認(rèn)證中心）來確認(rèn)。

22. 數(shù)字簽名

? 在網(wǎng)絡(luò)環(huán)境中，通常使用數(shù)字簽名來模擬日常生活中的親筆簽名。

l 數(shù)字簽名將信息發(fā)送人的身份與信息傳送相結(jié)合，以保證信息在傳輸過程中的完整性，并提供信息發(fā)送者的身份認(rèn)證，防止信息發(fā)送人抵賴行為的發(fā)生。

? 利用非對稱加密（例如 RSA 算法） 進(jìn)行數(shù)字簽名是最常用的方法。

? 非對稱加密算法（例如 RSA 算法）效率比較低，并對加密的信息塊長度有一定的限制。在使用非對稱加密算法進(jìn)行數(shù)字簽名前，通常先使用單向散列函數(shù)或哈希函數(shù)（Hashing Function 簽名信息進(jìn)行計算，生成信息摘要，并對信息摘要進(jìn)行簽名。

? 目前，廣泛應(yīng)用的數(shù)字簽名算法是消息摘要（Message Digest5,MD5）。它是 Rivest 于 1994 年發(fā)表的一種單向散列算法，可對任意長度的數(shù)據(jù)生成 128 位的散列值，也叫作不可逆指紋。

? MD5 算法沒有對數(shù)據(jù)進(jìn)行加密或修改，只是生成一個用于判斷數(shù)據(jù)完整性與真實(shí)性的散列值。

? 因此，利用數(shù)字簽名可驗(yàn)證數(shù)據(jù)在傳輸過程中是否被篡改，同時確認(rèn)發(fā)送放的身份，防止信息交互中的抵賴現(xiàn)象發(fā)生。

23. TCP/IP 協(xié)議安全機(jī)制

? 在主機(jī)-網(wǎng)絡(luò)層（數(shù)據(jù)鏈路層對應(yīng)它的一部分）中，主要的安全協(xié)議包括 PPTP、L2TP 與 UF 等。

? 在互聯(lián)層（或網(wǎng)絡(luò)層）中，最主要的安全機(jī)制是 IPSec 的兩個組成協(xié)議，即認(rèn)證頭部（AH）與封裝安全有效載荷（ESP）。

? 在傳輸層中，主要的安全協(xié)議包括 SSL、SSH 與 SOCKS 等。

? 在應(yīng)用層中，針對不同網(wǎng)絡(luò)服務(wù)或應(yīng)用的安全機(jī)制比較多，例如用于增強(qiáng) Web 安全的 S-HTTP、用于保障郵件安全的 S/MIME、用于電子商務(wù)安全交易的 SET 等。

? S/MIME 主要支持功能有：加密的數(shù)據(jù)、簽名的數(shù)據(jù)、透明簽名的數(shù)據(jù)、簽名并加密的數(shù)據(jù)。

24. IPSec

? IPSec 主要包括 3 個組成部分：認(rèn)證頭（Authentication Header,AH）、封裝安全負(fù)載（Encapsulating Security Payload，ESP）與密鑰管理協(xié)議。

? 其中，AH 協(xié)議可提供數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性認(rèn)證，以及可選的抗重放數(shù)據(jù)包功能；

? ESP 協(xié)議可提供 AH 協(xié)議的所有功能與數(shù)據(jù)加密服務(wù)；

? 密鑰管理協(xié)議用于通信雙方之間協(xié)商安全參數(shù)，例如工作模式、認(rèn)證或加密算法、密鑰與生存期等。

? 實(shí)際上，AH 與 ESP 協(xié)議都是網(wǎng)絡(luò)層的安全協(xié)議，而密鑰管理協(xié)議是應(yīng)用層的安全協(xié)議。

25. 安全套接層（SSL）協(xié)議

? SSL 協(xié)議使用非對稱加密體制和數(shù)字證書技術(shù)，可保護(hù)信息傳輸?shù)拿孛苄院屯暾浴SL 是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議。

? 同期， Microsoft 公司開發(fā)了類似的 PCT 協(xié)議。鑒于 SSL 與 PCT 不兼容的現(xiàn)狀， IETF 發(fā)布了傳輸層協(xié)議（ Transport Layer Security， TLS），希望推動傳輸層安全協(xié)議的標(biāo)準(zhǔn)化。

26. SSL 協(xié)議特點(diǎn)

? SSL 可用于 HTTP、FTP、TELNET 等， 但是目前主要應(yīng)用于 HTTP 協(xié)議， 為基于 Web 服務(wù)的各種網(wǎng)絡(luò)應(yīng)用中的客戶機(jī)與服務(wù)器之間的用戶身份認(rèn)證與安全數(shù)據(jù)傳輸提供服務(wù)。

? SSL 處于端系統(tǒng)的應(yīng)用層與傳輸層之間， 在 TCP 之上建立一個加密的安全通道，為 TCP 協(xié)議的數(shù)據(jù)傳輸提供安全保障。

? 當(dāng) HTTP 協(xié)議使用 SSL 時， HTTP 請求、應(yīng)答報文格式與處理方法不變。不同之處在于： 應(yīng)用進(jìn)程產(chǎn)生的報文通過 SSL 加密后， 再通過 TCP 連接傳輸； 在接收方的 TCP 軟件將加密的報文傳送給 SSL 解密后，再發(fā)送給應(yīng)用層的 HTTP 協(xié)議。

? 當(dāng) Web 系統(tǒng)釆用 SSL 時， Web 服務(wù)器的默認(rèn)端口號從 80 變換為 443，Web 瀏覽器使用https 代替常用的http。

l SSL 主要包含兩個協(xié)議：SSL 握手協(xié)議（ SSL Handshake Protocol）與 SSL 記錄協(xié)議（ SSL Record Protocol），SSL 握手協(xié)議實(shí)現(xiàn)雙方的加密算法協(xié)商與密鑰傳遞； SSL 記錄協(xié)議定義 SSL 數(shù)據(jù)傳輸格式， 實(shí)現(xiàn)對數(shù)據(jù)的加密與解密操作。

27. PGP 協(xié)議

? PGP 協(xié)議于 1995 年開發(fā)， 包括電子郵件的加密、身份認(rèn)證、數(shù)字簽名等安全功能。

? PGP 用來保證數(shù)據(jù)在傳輸過程中的安全， 它的設(shè)計思想與數(shù)字信封是一致的。

? PGP 數(shù)字簽名能夠保證郵件的完整性、身份認(rèn)證與不可抵賴性， 數(shù)據(jù)加密可以保證郵件內(nèi)容的機(jī)密性。

? 它主要由 5 種服務(wù)組成：鑒別、機(jī)密性、壓縮、電子郵件的兼容性和分段，支持多語種安裝平臺。

? 數(shù)字簽名使用 DSS/SHA 或 RSA/SHA 算法，報文加密采用 CAST 或 IDEA，或使用 Diffie-Hellman 的 3DES 或 RSA 算法。

? PGP 也提供了公共密鑰認(rèn)證機(jī)制，但是這個機(jī)制完全不同于通用的認(rèn)證中心（CA）。PGP 公共密鑰通過委托網(wǎng)站進(jìn)行認(rèn)證，它也可以通過互聯(lián)網(wǎng)上的 PGP 公共密鑰服務(wù)器發(fā)布。

28. 電子支付安全（SET）協(xié)議

? 電子商務(wù)是以 Internet 環(huán)境為基礎(chǔ)，在計算機(jī)系統(tǒng)支持下進(jìn)行的商務(wù)活動。

? 電子商務(wù)是基于瀏覽器/Web 服務(wù)器工作模式， 實(shí)現(xiàn)網(wǎng)上購物和在線支付的一種新型商業(yè)運(yùn)營模式。

? SET 使用了對稱加密與非對稱加密體系， 以及數(shù)字信封、數(shù)字簽名、信息摘要技術(shù)與雙重簽名技術(shù)，以保證信息在 Web 環(huán)境中傳輸和處理的安全性。

29. 防火墻主要功能

? 檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。

? 檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。

? 執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過。

? 具有防攻擊能力，保證自身安全性的能力。

30. 網(wǎng)絡(luò)防火墻構(gòu)成

常用防火墻有 3 種：包過濾路由器、應(yīng)用級網(wǎng)關(guān)和電路級網(wǎng)關(guān)。

包過濾路由器

? 包過濾路由器依據(jù)一套規(guī)則對收到的 IP 包進(jìn)行處理，決定是轉(zhuǎn)發(fā)還是丟棄。

? 包過濾路由器也稱為屏蔽路由器（ Screening Router）， 它是被保護(hù)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道防線。

? 包過濾規(guī)則通常基于部分或全部報頭內(nèi)容。

? 路由器按照設(shè)置的分組過濾規(guī)則（ 即訪問控制表），檢查每個分組的源地址、目的地址，決定該分組是否應(yīng)該轉(zhuǎn)發(fā)。例如，對于 TCP 報頭信息，可以是源地址、目的地址、協(xié)議類型、IP 選項(xiàng)、源端口號、目的端口號、TCPACK 標(biāo)識等。

? 包過濾路由器只工作于傳輸層也可以工作于應(yīng)用層。

? 應(yīng)用級網(wǎng)關(guān)也叫代理服務(wù)器，它在應(yīng)用級的通信中扮演著一個消息傳遞者的角色。應(yīng)用級網(wǎng)關(guān)不足之處在于它在每次連接中有多余的處理開銷，處理數(shù)據(jù)時開銷較大。

? 電路級網(wǎng)關(guān)不允許一個端到端的直接 TCP 連接。

31. 入侵檢測系統(tǒng)的基本功能

① 監(jiān)控、分析用戶和系統(tǒng)的行為；

② 檢查系統(tǒng)的配置和漏洞；

③ 評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；

④ 對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡(luò)管理入員報警；

⑤ 對操作系統(tǒng)進(jìn)行審計、跟蹤管理，識別違反授權(quán)的用戶活動；

32. 網(wǎng)絡(luò)蠕蟲

? 網(wǎng)絡(luò)蠕蟲的權(quán)威定義是:一種無須用戶干預(yù)、依靠自身復(fù)制能力、自動通過網(wǎng)絡(luò)進(jìn)行傳播的惡意代碼。

? 具有以下幾個特點(diǎn)：沖擊力度大，已導(dǎo)致很多部門的網(wǎng)絡(luò)遭到嚴(yán)重破壞；大量通過垃圾郵件群發(fā)， 利用系統(tǒng)漏洞快速傳播。

33. 蠕蟲和病毒的區(qū)別

主要表現(xiàn)在以下幾個方面：

? 蠕蟲是獨(dú)立的程序，而病毒是寄生到其他程序中的一段程序。

? 蠕蟲是通過漏洞進(jìn)行傳播，而病毒是通過復(fù)制自身到宿主文件來實(shí)現(xiàn)傳播。

? 蠕蟲感染計算機(jī)，而病毒感染的是文件系統(tǒng)。

? 蠕蟲會造成網(wǎng)絡(luò)擁塞甚至癱瘓，而病毒破壞計算機(jī)的文件系統(tǒng)。

? 防范蠕蟲可通過及時修復(fù)漏洞的方法，而防治病毒需要依靠殺毒軟件來查殺。

34. 認(rèn)證中心（Certification Authority，CA）

? 為了解決公共密鑰可能會遭受第 3方的主動攻擊，在實(shí)際當(dāng)中引入了一個可信媒介 認(rèn)證中心。

? 認(rèn)證中心（Certification Authority，CA）驗(yàn)證一個公共密鑰是否屬于一個特殊實(shí)體。

? 認(rèn)證中心負(fù)責(zé)將公共密鑰和特定實(shí)體進(jìn)行綁定，它的工作是證明身份的真實(shí)性和發(fā)放證書，

? 國際電信聯(lián)盟（ITU）和 IETF 制定了認(rèn)證中心的標(biāo)準(zhǔn)。

? CA 具有以下作用：

① CA 驗(yàn)證實(shí)體（個入、路由器等）的身份。

② 一旦 CA 驗(yàn)證了實(shí)體的身份，CA 就可以產(chǎn)生一個證書，將這個公共密鑰和身份進(jìn)行綁定。

35. 信息存儲安全措施

信息存儲安全措施至少要包括 3 類：

① 社會的法律政策、企業(yè)的規(guī)章制度及網(wǎng)絡(luò)安全教育；

② 技術(shù)方面的措施，如防火墻技術(shù)、防病毒、信息加密、身份確認(rèn)以及授權(quán)即設(shè)置訪問權(quán)限等；

③ 審計與管理措施，包括技術(shù)與社會措施。主要有實(shí)時監(jiān)控、提供安全策略改變的能力以及對安全系統(tǒng)實(shí)施漏洞檢查等。

36. Caesar 密碼加密

? Caesar 密碼加密方法為，對每一個字母用它之后的第 3 個字母來代換，明文空間和密文空間都是 26 個英文字母的集合。

? Caesar 密鑰取值范圍為 1-25，最大的可能取值是 25。

37. 密文攻擊

? 唯密文攻擊指的是在僅知已加密文字的情況下進(jìn)行窮舉攻擊。

? 已知明文攻擊指攻擊者掌握了某段明文和對應(yīng)密文，推斷加密方式，從而破解后段密文的攻擊方式。

? 選擇明文攻擊是指攻擊者不僅已知加密算法和密文，而且還能夠通過某種方式讓發(fā)送者在發(fā)送的信息中插入一段由他選擇的信息。

? 選擇密文攻擊的密碼分析者事先任意搜集一定數(shù)量的密文，讓這些密文透過被攻擊的加密算法解密，透過未知的密鑰獲得解密后的明文。

38. 背包加密算法

背包加密算法是一種公鑰加密算法，該算法中背包的物品總重量是公開的，所有可能的物品也是公開的，但是背包中的物品卻是保密的，它是一個 NP 難度問題。目前大多數(shù)一次背包體制均被破譯了，一次背包已不安全了。

39. Blowfish 算法

? Blowfish 算法是由 Bruce Schneier 設(shè)計的一種對稱分組密碼；

? Blowfish 是一個可變密鑰長度的分組密碼算法，分組長度為 64 位；

? Blowfish 算法所有的運(yùn)算都是 32 位字的加法和異或，僅有的另一個運(yùn)算是每輪的四個查表。

40. RC5 算法

? RC5 算法是 Ron Rivest 設(shè)計的一種堆成加密算法，它是參數(shù)可變的分組密碼算法；

? 3 個可變的參數(shù)是：分組大小、密鑰大小和加密輪數(shù)。

? 在此算法中使用了 3 種運(yùn)算：異或、加和循環(huán)。

41. X.509 公共密鑰證書

? 在 X.509 公共密鑰證書中，主題名是實(shí)體的身份，其公鑰與證書相關(guān)，以 DN 格式表示；

? 版本字段是 X.509 說明書的版本號；

? 合法時期表示證書有效期的起止時間；

? 發(fā)行者名是簽發(fā)證書CA身份，以 DN格式[RFC-2253]表示。

42. 42.數(shù)字版權(quán)管理

數(shù)字版權(quán)管理主要采用的技術(shù)為數(shù)字水印、版權(quán)保護(hù)、數(shù)字簽名和數(shù)據(jù)加密。

總結(jié)

以上是生活随笔為你收集整理的四级网络工程师笔记-计算机网络（下）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。