計算機網路_第七、八、九章知識總結

網 絡 安 全

網路安全問題概述

若從互聯網上的成百上千的網站集中攻擊一個網站，則稱為分布式拒絕服務 DDoS (Distributed Denial of Service)，
對付被動攻擊可采用各種資料加密技術，對付主動攻擊則需將加密技術與適當的鑒別技術相結合，
一個安全的計算機網路應達到四個目標：保密性；端點鑒別；資訊的完整性；運行的安全性，

資料加密模型：

兩類密碼體制

對稱密鑰密碼體制 ：

DES 的保密性僅取決于對密鑰的保密，其演算法是公開的，

公鑰密碼體制：

在公鑰密碼體制中，加密密鑰 PK（public key，即公鑰）是向公眾公開的，而解密密鑰 SK（secret key，即私鑰或秘鑰）則是需要保密的，加密演算法 E 和解密演算法 D 也都是公開的，

對稱密鑰是一對一的雙向保密通信，每一方既可用此密鑰加密明文，并發送給對方，也可接收密文，用同一密鑰對密文解密，在使用公開密鑰時，在通信信道上可以是多對一的單向保密通信，
如果某一資訊用公開密鑰加密，則必須用私有密鑰解密，這就是實作保密的方法，如果某一資訊用私有密鑰加密，那么，它必須用公開密鑰解密，這就是實作數字簽名的方法

數字簽名

數字簽名必須保證以下三點：
報文鑒別——接收者能夠核實發送者對報文的簽名；
報文的完整性——發送者事后不能抵賴對報文的簽名；
不可否認——接收者不能偽造對報文的簽名，

鑒別

在資訊的安全領域中，對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改和偽造則要用鑒別 ，
鑒別細分為兩種：
報文鑒別：即鑒別所收到的報文的確是報文的發送者所發送的，而不是其他人偽造的或篡改的，這就包含了端點鑒別和報文完整性的鑒別，數字簽名就能夠實作對報文的鑒別，密碼散列函式是一種相對簡單的對報文進行鑒別的方法，
物體鑒別：僅僅鑒別發送報文的物體，物體可以是一個人，也可以是一個行程（客戶或服務器），可以使用共享的對稱密鑰實作物體鑒別，也可以使用不重數進行鑒別，

密鑰分配

對稱密鑰的分配：

公鑰的分配：
需要有一個值得信賴的機構——即認證中心 CA (Certification Authority)，來將公鑰與其對應的物體（人或機器）進行系結 (binding)，
每個物體都有 CA 發來的證書 (certificate)，里面有公鑰及其擁有者的標識資訊，
此證書被 CA 進行了數字簽名，是不可偽造的，可以信任，

互聯網使用的安全協議

網路層安全協議：
IPsec 協議：IP 安全資料報格式的兩個協議(鑒別首部 AH (Authentication Header) 協議、封裝安全有效載荷 ESP (Encapsulation Security Payload) 協議）、有關加密演算法的三個協議（在此不討論）、互聯網密鑰交換 IKE (Internet Key Exchange) 協議，
運輸層安全協議：安全套接字層 SSL 、 運輸層安全 TLS，

應用層使用 SSL 最多的就是 HTTP，但 SSL 并非僅用于 HTTP，而是可用于任何應用層的協議，
應用程式 HTTP 呼叫 SSL 對整個網頁進行加密時，網頁上會提示用戶，在網址欄原來顯示 http 的地方，現在變成了 https，在 http 后面加上的 s 代表 security，表明現在使用的是提供安全服務的 HTTP 協議（TCP 的 HTTPS 埠號是 443，而不是平時使用的埠號 80），
應用層安全協議：PGP (Pretty Good Privacy) 是一個完整的電子郵件安全軟體包，包括加密、鑒別、電子簽名和壓縮等技術，

系統安全：防火墻與入侵檢測

防火墻是由軟體、硬體構成的系統，是一種特殊編程的路由器，用來在兩個網路之間實施訪問控制策略，
防火墻內的網路稱為“可信的網路”(trusted network)，而將外部的互聯網稱為“不可信的網路”(untrusted network)，
防火墻可用來解決行內網和外聯網的安全問題，

防火墻技術一般分為兩類 ：
分組過濾路由器，是一種具有分組過濾功能的路由器，它根據過濾規則對進出內部網路的分組執行轉發或者丟棄（即過濾），
應用網關也稱為代理服務器：所有進出網路的應用程式報文都必須通過應用網關，

入侵檢測系統 ：入侵檢測系統 IDS (Intrusion Detection System) 能夠在入侵已經開始，但還沒有造成危害或在造成更大危害前，及時檢測到入侵，以便盡快阻止入侵，把危害降低到最小，
兩種入侵檢測方法：基于特征的 IDS 維護一個所有已知攻擊標志性特征的資料庫；基于例外的 IDS 通過觀察正常運行的網路流量，學習正常流量的統計特性和規律，當檢測到網路中流量某種統計規律不符合正常情況時，則認為可能發生了入侵行為，

互聯網上的音頻和視頻服務

傳統的互聯網本身是非等時的，因此經過互聯網的分組變成了非恒定速率的分組，

要解決非等時問題，接收端需設定適當大小的快取，當快取中的分組數達到一定的數量后再以恒定速率按順序把分組讀出進行還原播放，

以非恒定速率到達的分組，經過快取后再以恒定速率讀出，就能夠在一定程度上消除了時延的抖動，但我們付出的代價是增加了時延，分組還原和播放時又應當是按序的，因此在發送多媒體分組時還應當給每一個分組加上序號，

目前互聯網提供的音頻/視頻服務大體上可分為三種型別：
流式 (streaming) 存盤音頻/視頻 ——邊下載邊播放，
流式實況音頻/視頻 ——邊錄制邊發送 ，
互動式音頻/視頻 ——實時互動式通信，

流式存盤音頻/視頻

元檔案就是一種非常小的檔案，它描述或指明其他檔案的一些重要資訊，這里的元檔案保存了有關這個音頻/視頻檔案的資訊，

現在對流式存盤音頻/視頻的播放，如 YouTube 和 Netflix，都是采用 TCP 來傳送，
如果是觀看實況轉播，那么最好應當首先考慮使用 UDP 來傳送，如果使用 TCP 傳送，則當出現網路嚴重擁塞而產生播放的暫停時，就會使人難于接受，使用 UDP 傳送時，即使因網路擁塞丟失了一些分組，對觀看的感覺也會比突然出現暫停要好些，

RTSP 是有狀態的協議，它記錄客戶機所處于的狀態（初始化狀態、播放狀態或暫停狀態），

互動式音頻/視頻

狹義的 IP 電話就是指在 IP 網路上打電話，廣義的 IP 電話則不僅僅是電話通信，而且還可以是在 IP 網路上進行互動式多媒體實時通信（包括話音、視像等），甚至還包括即時傳信 IM ，


IP 電話所需要的幾種應用協議 ：

RTP 看成是在 UDP 之上的一個運輸層的子層，
實時運輸控制協議 RTCP：RTCP 分組也使用 UDP 傳送，但 RTCP 并不對聲音或視像分組進行封裝，可將多個 RTCP 分組封裝在一個 UDP 用戶資料報中，RTCP 分組周期性地在網上傳送，它帶有發送端和接收端對服務質量的統計資訊報告，

一個簡單的 SIP 會話：

無線網路和移動網路

無線局域網 WLAN

無線局域網 WLAN (Wireless Local Area Network) 指采用無線通信技術的局域網，
IEEE 802.11 是一個有固定基礎設施的無線局域網的國際標準，它使用星形拓撲，其中心叫做接入點 AP (Access Point)；在MAC層使用 CSMA/CA 協議，

CSMA/CA 協議：無線局域網不能使用 CSMA/CD，而只能使用改進的 CSMA 協議，改進的辦法是把 CSMA 增加一個碰撞避免 CA (Collision Avoidance)功能，802.11 就使用 CSMA/CA 協議，在使用 CSMA/CA 的同時，還增加使用停止等待協議，

無線個人區域網WPAN

無線個人區域網 WPAN (Wireless Personal Area Network) 就是在個人作業地方把屬于個人使用的電子設備用無線技術連接起來自組網路，不需要使用接入點 AP，整個網路的范圍大約在 10 m 左右，WPAN 可以是一個人使用，也可以是若干人共同使用，
無線個人區域網 WPAN 和個人區域網 PAN (Personal Area Network) 并不完全等同，因為 PAN 不一定都是使用無線連接的，

WPAN 的 IEEE 標準由 IEEE 的 802.15 作業組制定，這個標準也是包括MAC層和物理層這兩層的標準，
WPAN 都作業在 2.4 GHz 的 ISM 頻段，

無線城域網 WMAN

2002 年 4 月通過了 IEEE 802.16 無線城域網(Wireless Metropolitan Area Network) 的標準（又稱為IEEE無線城域網空中介面標準） ，
WMAN 可提供“最后一英里”的寬帶無線接入（固定的、移動的和便攜的），

蜂窩移動通信網

目前蜂窩移動網路的運營商的上網收費都是按照用戶所消耗的資料流量來計算的，
我國的寬帶入網一般都是根據用戶使用的帶寬多少，按使用的時間（按月或按年）付費的，因此，使用家庭的無線路由器上網，并不需要再增加任何額外上網的費用，