一、计算机组成与体系——软考软件设计师
第一章 计算机组成与体系
文章目录
-
-
- 1.1 计算机系统基础知识
-
- 1.1 计算机系统硬件基本组成
- 1.2 中央处理单元
- 1.3 数据表示
- 1.4 校验码
- 1.2 计算机体系结构
-
- 2.1 流水线
- 2.2 存储结构和缓存器Cache
- 2.3 输入/输出技术
- 2.4 总线结构
- 1.3 安全性、可靠性与系统性能测评
- 1.4 真题知识点
-
- 1,网络攻击
- 2,防火墙
- 3,数字证书
- 3.5,密钥加密
- 4,各种协议
- 5,计算机病毒
- 6,其他
-
1.1 计算机系统基础知识
计算机硬件:运算器,控制器,存储器,输入设备,输出设备。
1.1 计算机系统硬件基本组成
1.2 中央处理单元
CPU功能:程序控制、操作控制、时间控制、数据处理。
多核CPU系统的最大优点(也是开发的最主要的目的)是可满足用户同时进行多任务处理的要求。
计算机硬件:运算器,控制器,存储器,输入设备,输出设备。
【运算器和控制器的需要记忆,背下来】很重要!!
-
运算器:
- 算术逻辑单元 ALU:数据的算术运算和逻辑运算
累加寄存器AC:通用寄存器,为ALU提供一个工作区,用在暂存数据,可参与运算,保存运算结果
数据缓冲寄存器DR:写内存,暂存指令或者数据
状态条件寄存器PSW:存状态标志与控制,存放计算结果的标志信息,如进位标志,溢出标志
- 算术逻辑单元 ALU:数据的算术运算和逻辑运算
-
控制器:用于控制整个CPU的工作,它决定了计算机运行过程的自动化,它不仅要保证程序的正确执行,而且要能够处理异常事件。
- 程序计数器PC:存储下一条要执行指令的地址
指令寄存器IR :存储当前正在执行的指令,对用户是完全透明的。其位数取决于指令字长
指令译码器IR:对指令中的操作码字段进行分析解释
时序部件:提供时序控制信号
地址寄存器AR:保存着当前CPU所访问的内存单元的地址。
- 程序计数器PC:存储下一条要执行指令的地址
1.3 数据表示
主要知识点:进制转换,十进制转为二进制等等
正数的话,原码、反码、补码都是相同的
对负数来说:
原码:有八位,第一位表示符号,如果是0表示是整数,是1就表示负数
反码:符号位不变,其他的数反过来
补码:反码+1
移码:在补码的基础上,符号位取反
| 数值:1 | 数值:-1 | 1-1(这是个算式) | |
|---|---|---|---|
| 原码 | 0000 0001 | 1000 0001 | 1000 0010 |
| 反码 | 0000 0001 | 1111 1110 | 1111 1111 |
| 补码 | 0000 0001 | 1111 1111 | 0000 0000 |
| 移码 | 1000 0001 | 0111 1111 | 1000 0000 |
在计算机中,使用补码参与加减乘除的计算。
使用补码表示数据时,可以将符号位和其他位统一处理,减法也可以按加法来处理,从而简化运算部件的设计。
数值表示范围
| 码值 | 定点整数 | 定点小数 |
|---|---|---|
| 原码 | − ( 2 n − 1 − 1 ) -(2^{n-1}-1) −(2n−1−1) ~ + ( 2 n − 1 − 1 ) +(2^{n-1}-1) +(2n−1−1) | − ( 1 − 2 n − 1 ) -(1-2^{n-1}) −(1−2n−1) ~ ( 1 − 2 n − 1 ) (1-2^{n-1}) (1−2n−1) |
| 反码 | − ( 2 n − 1 − 1 ) -(2^{n-1}-1) −(2n−1−1) ~ + ( 2 n − 1 − 1 ) +(2^{n-1}-1) +(2n−1−1) | − ( 1 − 2 n − 1 ) -(1-2^{n-1}) −(1−2n−1) ~ ( 1 − 2 n − 1 ) (1-2^{n-1}) (1−2n−1) |
| 补码 | − 2 n − 1 -2^{n-1} −2n−1 ~ + 2 n − 1 +2^{n-1} +2n−1 | − 1 -1 −1 ~ + ( 1 − 2 n − 1 ) +(1-2^{n-1}) +(1−2n−1) |
| 移码 | − 2 n − 1 -2^{n-1} −2n−1 ~ + 2 n − 1 +2^{n-1} +2n−1 | $-1 $ ~ + ( 1 − 2 n − 1 ) +(1-2^{n-1}) +(1−2n−1) |
"+"表示的是正数
浮点的运算
-
浮点数的表示:
- N = 尾 数 ∗ 基 数 指 数 N = 尾数*基数^{指数} N=尾数∗基数指数
- 3.14 ∗ 1 0 3 3.14* 10^3 3.14∗103 科学计数法
-
运算过程:
- 对阶 > 尾数计算 > 结果格式化
-
特点
- 一般位数用补码,阶码用移码(阶码就是指数)
- 阶码的位数 决定数的 表示范围,位数越多范围越大
- 尾数的位数 决定数的 有效精度,位数越多精度越大
- 对阶时,小数向大数看齐
- 对阶是通过较小数的尾数右移实现的
1.4 校验码
码距:任何一种编码都由许多码字构成,任意两个码字之间最少变化的二进制位数就称为数据校验码的码距。
例如,用4位二进制表示16种状态,则有16个不同的码字,此时码距为1,如0000与0001。
奇偶校验码的编码方法是:由若干位有效信息(如一个字节) , 再加上一个二进制位(校验位)组成校验码。
奇校验:整个校验码(有效信息位和校验位)中"1”出现的个数是不是奇数。
偶校验:整个校验码(有效信息位和校验位)中"1"出现的个数是不是偶数。
奇偶校验,可检查1位的错误,不可纠错。
循环校验码CRC
CRC校验。可检错,不可纠错。
CRC的编码方法是:在k位信息码之后拼接r位校验码。应用CRC码的关键是如何从k位信息位简便地得到r位校验位(编码) , 以及如何从k+ r位信息码判断是否出错。
循环冗余校验码编码规律如下:
- 把待编码的N位有效信息表示为多项式M() ;
- 把M(X)左移K位,得到M(QX)xXK ,这样空出了K位,以便拼装K位余数(即校验位) ;
- 选取一个K+ 1位的产生多项式G(X,对M(X)xXK做模2除;
- 把左移K位以后的有效信息与余数R(X)做模2加减,拼接为CRC码,此时的CRC码共有N+K位。
把接收到的CRC码用约定的生成多项式G(X去除,如果正确,则余数为0;如果某位出错,则余数不为0。不同的位数出错其余数不同,余数和出错位序号之间有惟的对应关系。
模2除法
什么是模2除法,它和普通的除法有何区别?
模2除法是指在做除法运算的过程中不计其进位的除法。
例如, 10111对110进行模2除法为:
例题:
海明码校验
可检错,也可纠错。
海明校验码的原理是:在有效信息位中加入几个校验位形成海明码,使码距比较均匀地拉大,并把海明码的每个二进制位分配到几个奇偶校验组中。当某一位出错后,就会引起有关的几个校验位的值发生变化,这不但可以发现错误,还能指出错误的位置,为自动纠错提供了依据
2 k − 1 ≥ n + k 2^k-1\geq n+k 2k−1≥n+k
K:校验位的个数
注意:海明码的编码过程有严格要求,对于信息位与校验位的放置是有约定的,不能随机设定。
CRC码的校验位都是置于编码的最后部分。
1.2 计算机体系结构
Flynn分类:
- 单指令流单数据流(SISD)
- 单指令流多数据流(SIMD):列阵处理器
- 多指令流单数据流(MISD)
- 多指令流多数据流(MIMID)
计算机采用分级存储体系的主要目的是为了解决存储容量,成本和速度之间的矛盾
2.1 流水线
需要掌握:流水线执行时间计算、流水线吞吐率、流水线加速比、流水线效率
流水行是指在程序执行时多条指令重叠进行操作的一种准并行处理实现技术。
流水线的计算:
-
流水线周期为执行时间最长的一段。
-
流水线计算公式为:1条指令执行时间 + (指令条数-1)* 流水线周期。
理论公式: ( t 1 + t 2 + . . + t k ) + ( n − 1 ) ∗ Δ t (t1+t2+..+tk)+(n-1)*\Delta t (t1+t2+..+tk)+(n−1)∗Δt
实践公式: k ∗ Δ t + ( n − 1 ) ∗ Δ t k*\Delta t+(n-1)*\Delta t k∗Δt+(n−1)∗Δt
例题:一条指令的执行过程可以分解为取指、分析和执行三步,在取指时间 t 取指为 3 Δ t 3\Delta t 3Δt、分析时间 t 分析 2 Δ t 2\Delta t 2Δt、执行时间 t 执行 4 Δ t 4\Delta t 4Δt的情况下,若按串行方式执行,则10条指令全部执行完需要 ( 90 ) Δ t \Delta t Δt;若按流水线的方式执行,流水线周期为 ( 4 ) Δ t \Delta t Δt;则10条指令全部执行完需要( 45 ) Δ t \Delta t Δt。 9 Δ t \Delta t Δt+(10-1)*4 Δ t \Delta t Δt
超标量流水线计算
就相当于再引入n条流水线,同时执行指令。这个n呢就是"度"
流水线吞吐率计算
流水线的吞吐率(Though Put rate,TP)是指在单位时间内流水线所完成的任务数量或输出的结果数量。
T P = 指 令 条 数 流 水 线 执 行 时 间 TP=\frac {指令条数}{流水线执行时间} TP=流水线执行时间指令条数,流水线最大吞吐率: T P m a x = L i m n → ∞ n ( k + n − 1 ) Δ t = 1 Δ t TP_{max}=Lim_{n\to \infty} \frac{n}{(k+n-1)\Delta t}= \frac{1}{\Delta t} TPmax=Limn→∞(k+n−1)Δtn=Δt1
2.2 存储结构和缓存器Cache
层次化存储结构
局部性原理是层次化存储结构的支撑
- CPU:寄存器,最快,但容量小,成本高。
- Cache:按内容存取
- 内存:分两类:随机存储器(RAM)、只读存储器(ROM)
- 外存:硬盘、光盘。U盘
- 按寻址方式分类:随机存储器、顺序、直接。
在计算机的存储系统体系中,Cache是访问速度最快的层次(若有寄存器,则寄存器最快)。 使用Cache改善系统性能的依据是程序的局部性原理。 如果以h代表对Cache的访问命中率,表示Cache的周期时间,表示主存储器周期时间,以读操作为例,使用“Cache+主存储器”的系统的平均周期为,则: 其中,( 1-h)又称为失效率(未命中率)。
Cache的映像
直接相联映像∶硬件电路较简单,但冲突率很高。
全相联映像: 电路难于设计和实现,只适用于小容量的cache,冲突率较低。
组相联映像 :直接相联与全相联的折中。
主存地址转换成Cache存储器的地址,这种地址称为地址映像
地址映像是将主存与Cache的存储空间划分为若干大小相同的页(平称为块)。 例如,某机的主存容量为1GB,划分为2048页,每页512KBCache容量为8MB,划分为16页,每页512KB。
为了提高系统的处理速度才将主存部分存储空间中的内容复制到工作速度更快的Cache中,同样是为了提高速度的的原因,Cache系统都是由硬件实现的。
CPU内外的高速缓存是用来解决CPU与内存之间速度、容量不匹配的问题,与外存无关,可以提高CPU访问主存的数据或指令的效率。
虚拟存储器
虚拟存储技术使辅助存储器和主存储器密切配合,与用户来说,好像计算机基友一个容量比实际大的主存可供使用,因此称为虚拟存储器。虚拟存储器的地址称为虚地址和逻辑地址。
常用的虚拟存储器由主存-辅存两级存储器构成。
存储单元
- 按字编址:存储体的存储单元是字存储单元,即最小寻址单位是一个字
- 按字节编址:存储体的存储单元是字节存储单元,即最小寻址单位是一个字节。
根据存储器所要求的容量和选定的存储芯片的容量,就可以芯片的总数,即: 总片数总容量每片的容量
例题:若内存地址区间为4000H ~43FFH,每个存储单元可存储16位二进制数,该内存区域用4片存储器芯片构成,则构成该内存所用的存储器芯片的容量是多少?
解:芯片地址是从0开始计算,所以 总容量 =
结果: 芯片容量=总容量×总片数
寻址方式
- 立即寻址方式:操作数包含在指令中的寻址方式。特点:指令执行时间很短,不需要访问内存取数字
- 直接寻址方式:在指令格式的地址字段中,直接指出操作数在内存的地址D
- 间接寻址方式:指令地址字段中的形式地址D不是操作数的真正地址,而是操作数地址的指示器,D单元的内容才是操作数的有效地址。
- 寄存器寻址方式:操作数在寄存器中的寻址方式
- 寄存器相对寻址方式:操作数的地址在寄存器中的寻址方式
- 相对寻址方式:程序计数器PC的内容加上指令格式中的形式地址D,而形成操作数的有效地址。程序计数器的内容就是当前指令的地址。
串联系统和并联系统 ------R表示可靠性
2.3 输入/输出技术
重要
直接内存存取(DMA)是指数据在主存与I/O设备间(主存与外设之间)的直接成块传送,即在内存与I/O设备间传送一个数据块的过程中,不需要CPU的任何干涉,实际操作由DMA硬件直接完成。CPU是在一个总线周期结束时响应DMA的请求的。
2.4 总线结构
一条总线同一时刻仅允许一个设备发送 ,但允许多个设备接收。
总线的分类:
- 数据总线( Data Bus) : 在CPU与RAM之间来回传送需要处理或是需要储存的数据。
- 数据总线的宽度与字节一致
- 地址总线( Address Bus) : 用来指定在RAM ( Random Access Memory )之中储存的数据的地址。
- 地址总线的多少可以确定内存容量的大小,如32位的地址总线可以允许 2 32 = 4 G 2^{32}=4G 232=4G的内存容量
- 地址总线的宽度与字节一致
- 控制总线( Control Bus) ; 将微处理器控制单元( Control Unit )的信号,传送到周边设备,一般常见的USB Bus和1394 Bus。
总线复用方式可以减少总线中信号线的数量
1.3 安全性、可靠性与系统性能测评
1,可靠性计算
串联系统: R = R 1 + R 2 + R 3 … + R n R=R_1+R_2+R_3…+R_n R=R1+R2+R3…+Rn
并联系统: R = 1 − ( 1 − R 1 ) ∗ ( 1 − R 2 ) ∗ . . . ∗ ( 1 − R n ) R=1-(1-R_1)*(1-R_2)*...*(1-R_n) R=1−(1−R1)∗(1−R2)∗...∗(1−Rn)
模冗余系统
冗余技术包括时间冗余,信息冗余,结构冗余和冗余附加技术。结构冗余按照工作方法可以分为静态,动态和混合冗余。
冗余是指对于实现系统规定功能是多余的那部分资源,包括硬件、软件、信息和时间。通常冗余技术分为4类:
- 结构冗余,按其工作方法可以分为静态、动态和混合冗余;
- 信息冗余,指的是为了检测或纠正信息在运算或传输中的错误另外加的一部分信息;
- 时间冗余,是指以重复执行指令或程序来消除瞬时错误带来的影响;
- 冗余附件技术,是指为实现上述冗余技术所需的资源和技术。
1.4 真题知识点
入侵检测技术包括专家系统、模型检测、简单匹配;
漏洞扫描系统是一种自动检测目标主机安全弱点的程序,漏洞扫描系统的原理是根据系统漏洞库对系统可能存在的漏洞进行一一验证。黑客利用漏洞扫描系统可以发现目标主机的安全漏洞从而有针对性的对系统发起攻击;系统管理员利用漏洞扫描系统可以查找系统中存在的漏洞并进行修补从而提高系统的可靠性。漏洞扫描系统不能用于发现网络入侵者,用于检测网络入侵者的系统称为入侵检测系统。
漏洞扫描技术是检测远程或本地系统安全脆弱性的一种安全技术。通过与目标主机TCP/IP端口建立连接并请求某些服务(如TELNET、FTP等),记录目标主机的应答, 搜集目标主机相关信息(如匿名用户是否可以登录等),从而发现目标主机某些内在的安全弱点。
1,网络攻击
网络攻击的主要手段包括口令入侵、放置特洛伊木马程序、拒绝服务(DoS)攻击、端口扫描、网络监听、欺骗攻击和电子邮件攻击等。
- 口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。
- 特洛伊木马(Trojans)程序常被伪装成工具程序或游戏,一旦用户打开了带有特洛伊木马程序的邮件附件或从网上直接下载,或执行了这些程序之后,当用户连接到互联网上时,这个程序就会向黑客通知用户的IP地址及被预先设定的端口。特洛伊木马是附着在应用程序中或者单独存在的一些恶意程序,它可以利用网络远程控制网络另一端的安装有服务端程序的主机,实现对被植入了木马程序的计算机的控制,或者窃取被植入了木马程序的计算机上的机密资料。计算机感染特洛伊木马后的典型现象是有未知程序试图建立网络连接
- 木马(Trojan),是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后;会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
- Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。Sniffer不是木马程序。
- 拒绝服务(DoS)攻击通过网络的内外部用户来发动攻击。内部用户可以通过长时间占用系统的内存、CPU处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击;外部黑客也可以通过占用网络连接使其他用户得不到网络服务。
最常见的拒绝服务攻击有网络带宽攻击和连通性攻击。- 带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。
- 连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
- 拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
- SYN Flooding攻击以多个随机的源主机地址向目的路由器发送SYN包,在收到目的路由器的SYN ACK后并不回应,于是目的路由器就为这些源主机建立大量的连接队列,由于没有收到ACK—直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务,甚至导致路由器崩溃。服务器要等待超时才能断开己分配的资源,所以SYN Flooding攻击是一种DoS攻击。
- 端口扫描就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。
- 网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息。使用网络监听工具可轻而易举地截取包括口令和账号在内的信息资料。
- 欺骗攻击是攻击者创造一个易于误解的上下文环境,以诱使受攻击者进入并且做出缺乏安全考虑的决策。IP欺骗是欺骗攻击的一种,-
- IP欺骗实现的过程是:使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。
- 端口欺骗攻击是采用端口扫描找到系统漏洞从而实施攻击。 IP欺骗攻击是产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。
DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
终端设备与远程站点之间建立安全连接的协议是SSH。SSH为Secure Shell的缩写, 是由IETF制定的建立在应用层和传输层基础上的安全协议。SSH是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX上的程序,后来又迅速扩展到其他操作平台。
网络攻击有主动攻击和被动攻击两类。
- 主动攻击:是指通过一系列的方法,主动向被攻击对象实施破坏的一种攻击方式
- 重放攻击
- 重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。Kerberos系统采用的是时间戳方案来防止重放攻击,这种方案中,发送的数据包是带时间戳的,服务器可以根据时间戳来判断是否为重放包,以此防止重放攻击。
- IP地址欺骗
- 拒绝服务攻击(DoS)
- 分布式拒绝服务(DDoS)、信息篡改、资源使用、欺骗、伪装
- 重放攻击
- 被动攻击
- 嗅探、信息收集
- 流量分析攻击是通过持续检测现有网络中的流量变化或者变化趋势
2,防火墙
防火墙功能特性:不正确的是提供漏洞扫描功能。防火墙是一种放置在网络边界上,用于保护内部网络安全的网络设备。它通过对流经数据流进行分析和检查,可实现对数据包的过滤、保存用户访问网络的记录和服务器代理功能。防火墙不具备检査病毒的功能。
防火墙的性能及特点主要由以下两方面所决定。 ①工作层次。 这是决定防火墙效率及安全的主要因素。一般来说, **工作层次越低,则工作效率越高, 但安全性就低了;**反之, 工作层次越高,工作效率越低, 则安全性越高。 ②防火墙采用的机制。 如果采用代理机制, 则防火墙具有内部信息隐藏的特点, 相对而言, 安全性高, 效率低;如果采用过滤机制, 则效率高, 安全性却降低了。
包过滤防火墙对数据包的过滤依据包括源IP地址、源端口号、目标IP地址和目标端口号。
通过防火墙我们可以将网络划分为三个区域:安全级别最高的LAN Area (内网), 安全级别中等的DMZ区域和安全级别最低的Internet区域(外网)。三个区域因担负不同的任务而拥有不同的访问策略。通常的规则如下:
- 内网可以访问外网:内网的用户需要自由地访问外网。在这一策略中,防火墙需要执行NAT。
- 内网可以访问DMZ:此策略使内网用户可以使用或者管理DMZ中的服务器。
- 外网不能访问内网:这是防火墙的基本策略,内网中存放的是公司内部数据,显然这些数据是不允许外网的用户进行访问的。如果要访问,就要通过VPN方式来进行。
- 外网可以访问DMZ: DMZ中的服务器需要为外界提供服务,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
- DMZ不能访问内网:如不执行此策略,则当入侵者攻陷DMZ时,内部网络将不会受保护。
- DMZ不能访问外网:此条策略也有例外,可以根据需要设定某个特定的服务器可以访问外网,以保证该服务器可以正常工作。
- 综上所述,防火墙区域按照受保护程度从高到低正确的排列次序应为内网、DMZ和外网。
包过滤技术是一种基于网络层、传输层的安全技术。
- 优点是简单实用,实现成本较低同时,包过滤操作对于应用层来说是透明的,它不要求客户与服务器程序做任何修改。
- 但包过滤技术无法识别基于应用层的恶意入侵,如恶意的Java小程序以及电子邮件中附带的病毒。代理服务技术基于应用层,需要检查数据包的内容,能够对基于高层协议的攻击进行拦截,安全性较包过滤技术要好。
- 缺点是处理速度比较慢,不适用于高速网之间的应用。另外,代理使用一个客户程序与特定的中间节点连接,然后中间节点与代理服务器进行实际连接。因此,使用这类防火墙时外部网络与内部网络之间不存在直接连接,即使防火墙发生了问题,外部网络也无法与被保护的网络连接。
3,数字证书
数字证书是由权威机构 CA证书授权(CertificateAuthority)中心发行的,能提供在Internet上进行身份验证的一种权威性电子文档,人们可以在互联网交往中用它来 证明自己的身份和识别对方的身份。 数字证书包含版本、序列号、签名算法标识符、签发人姓名、有效期、主体名、主体公钥信息等并附有CA的签名,用户A获取用户B的数字证书后通过验证 CA的签名 来确认数字证书的有效性。验证CA的签名时使用的是CA的公钥。
数字证书用CA私钥做数字签名,从用户的数字证书中可以获得用户的公钥。
数字签名(Digital Signature)技术是不对称加密算法的典型应用:数据源发送方使用自己的私钥对数据校验和(或)其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名“,并将解读结果用于对数据完整性的检验,以确认签名的合法性。
- 数字签名主要的功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
- 数字签名用于通信的A.、B双方,使得A向B发送签名的消息P,提供以下服务: ①B可以验证消息P确实是来源于A; ②A不能否认发送过消息P; ③B不能编造或改变消息P。 数字签名首先需要生成消息摘要,使用非对称加密算法以及私钥对摘要进行加密。接收方使用发送放的公钥对消息摘要进行验证。
用户B收到用户A带数字签名的消息M,为了验证M的真实性,首先需要从CA 获取用户A的数字证书,验证证书的真伪需要用CA的公钥验证CA的签名,验证M的真实性需要用用户A的公钥验证用户A的签名。
公钥体系即非对称加密体系,其密钥分为公钥与私钥。
- 公钥用于加密,认证;
- 私钥用于签名,解密。
3.5,密钥加密
共享密钥加密指对称加密。常见的对称加密算法有:DES,三重DES、RC-5、IDEA、AES。
- DES是典型的私钥加密体制,属于对称加密,不属于公开秘钥加密。
- MD5是一种使用最为广泛的报文摘要算法;经过一系列处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。
- RC5是一种用于对明文进行加密的算法,在加密速度和强度上,均较为合适,适用于大量明文进行加密并传输。
公开密钥加密(public-key cryptography),也称为非对称加密(asymmetric cryptography),一种密码学算法类型,在这种密码学方法中,需要一对密钥,一个是私人密钥,另一个则是公开密钥。
- 常见的公钥加密算法有: RSA、ElGamal、背包算法、Rabin(RSA的特例)、迪菲-赫尔曼密钥交换协议中的公钥加密算法、椭圆曲线加密算法(Elliptic Curve Cryptography, ECC) ;DSA数字签名(又称公钥数字签名),将摘要信息用发送者的私钥加密,接收者只有用发送者的公钥才能解密被加密的摘要信息,也是属于公开密钥加密算法。
- RSA是一种非对称加密算法,由于加密和解密的密钥不同,因此便于密钥管理和分发,同时在用户或者机构之间进行身份认证方面有较好的应用;
SHA-1是一种安全散列算法,常用宁对接收到的明文输入产生固定长度的输出,来确保明文在传输过程中不会被篡改;
4,各种协议
- TLS是安全传输层协议的简称,用于在两个通信应用程序之间提供保密性和数据完整性。
- SSL是安全套接层协议的简称,它也是一种为网络通信提供安全和数据完整性的协议,它与TLS非常接近,它们都是在传输层对网络连接进行加密。
- PGP是一个基于RSA公匙加密体系的邮件加密软件,用它可以对邮件保密以防止非授权者阅读。
- HTTPS即安全版的HTTP (超文本传输协议)的,它是在HTTP下加入SSL层,HTTPS的安全基础就是SSL。IPSec是网络层的安全协议,它通过使用加密的安全服务来确保在网络上进行保密而安全的通讯。
- MIME它是一个互联网标准,扩展了电子邮件标准,使其能够支持,与安全无关。与安全电子邮件相关的是S/MIME安全多用途互联网邮件扩展协议。SSL和HTTPS涉及到邮件传输过程的安全,PGP(全称:Pretty Good Privacy,优良保密协议),是一套用于信息加密、验证的应用程序,可用于加密电子邮件内容。
应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,起到防火墙的作用,成为应用级网关。
用户组默认权限由高到低的顺序是administrators—power users —users—everyone
5,计算机病毒
计算机病毒的分类方法有许多种,按照最通用的区分方式,即根据其感染的途径以及采用的技术区分,
计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特定。因此自毁性不属于计算机病毒的特征。
病毒文件名称一般分为三部分,第一部分表示病毒的类型,如Worm表示蠕虫病毒,Trojan表示特洛伊木马,Backdoor表示后门病毒,Macro表示宏病毒等。 宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件。
- 计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录型计算机病毒。
- 文件型计算机病毒感染可执行文件(包括EXE和COM文件)。
- 引导型计算机病毒影响软盘或硬盘的引导扇区。
- 目录型计算机病毒能够修改硬盘上存储的所有文件的地址。
- 宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件,从文件名可以看出Macro.Melissa是一种宏病毒。
- 蠕虫病毒的传播过程一般表现为:蠕虫程序驻于一台或多台机器中,它会扫描其他机器是否有感染同种计算机蠕虫,如果没有,就会通过其内建的传播手段进行感染,以达到使计算机瘫痪的目的。
- “蠕虫”(Worm)是一个程序或程序序列。它利用网络进行复制和传播,传染途径是通过网络、移动存储设备和电子邮件。最初的蠕虫病毒定义是在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形,蠕虫病毒因此而得名。
- 常见的蠕虫病毒有红色代码、爱虫病毒、熊猫烧香、Nimda病毒、爱丽兹病毒、欢乐时光
- 震网(Stuxnet),指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。
- 冰河是木马软件,主要用于远程监控,冰河木马后经其他人多次改写形成多种变种,并被用于入侵其他用户的计算机的木马程序。
- CIH则为系统病毒,这3者均以感染台式机或服务器为主,且产生较早;
- X卧底则是新近产生的、通过木马形式传播、目标为智能手机的病毒。
6,其他
CPU是在一个总线周期结束时响应DMA的请求的。
VLIW(Very Long Instructin Word)超长指令字。
CISC(复杂指令集计算机)
RISC(Reduced Instruction Set Computer,精简指令集计算机)的主要特点是重叠寄存器窗口技术;优化编译技术。RISC使用了大量的寄存器,如何合理分配寄存器、提高寄存器的使用效率及减少访存次数等,都应通过编译技术的优化来实现;超流水及超标量技术。为了进一步提高流水线速度而采用的技术;硬布线逻辑与微程序相结合在微程序技术中。
采用模二除法运算的只有循环冗余检验CRC。
在单总线结构中,CPU与主存之间、CPU与I/O设备之间、I/O设备与主存之间、各种设备之间都通过系统总线交换信息。
单总线结构的优点是控制简单方便,扩充方便。但由于所有设备部件均挂在单一总线上,使这种结构只能分时工作,即同一时刻只能在两个设备之间传送数据,这就使系统总体数据传输的效率和速度受到限制,这是单总线结构的主要缺点
报文摘要是用来保证数据完整性的。传输的数据一旦被修改,摘要就不同了。只要对比两次摘要就可确定数据是否被修改过。
物理安全:机房安全,设备防雷击,
网络安全:入侵检测,流量控制
系统安全:漏洞发现与补丁管理
应用安全:数据库安全
Windows IIS服务支持的身份认证方式有.NET Passport身份验证、集成Windows身份验证、摘要式身份验证和基本身份验证。
- 集成Windows身份验证:以Kerberos票证的形式通过网络向用户发送身份验证信息,并提供较高的安全级别。Windows集成身份验证使用Kerberos版本5NTLM身份验证。
- 摘要式身份验证:将用户凭据作为MD5哈希或消息摘要在网络中进行传输,这样就无法根据哈希对原始用户名和密码进行解码。
- NET Passport身份验证:对IIS的请求必须在査询字符串或Cookie中包含有效的.NET Passport凭据,提供了单一登录安全性,为用户提供对Internet上各种服务的访问权限。
- 基本身份验证:用户凭据以明文形式在网络中发送。这种形式提供的安全级别很低,因为几乎所有协议分析程序都能读取密码。
I/O设备管理软件一般分为4层:中断处理程序、设备驱动程序、与设备无关的系统软件和用户级软件。至于一些具体分层时细节上的处理,是依赖于系统的,没有严格的划分,只要有利于设备独立这一目标,可以为了提高效率而设计不同的层次结构。I/O软件的所有层次及每一层的主要功能如下图所示。
图中的箭头给出了I/O部分的控制流。当用户通过键盘或鼠标进入某应用系统时,通常最先获得键盘或鼠标输入信息的程序是中断处理程序。
软件可靠性指的是一个系统对于给定的时间间隔内、在给定条件下无失效运作的概率。根据定义,软件可靠性与软件的潜在错误的数量、位置有关,与软件产品的使用方式有关,而软件产品的开发方式不决定软件产品的可靠性。可以用MTTF/(1+MTTF)来度量,其中MTTF为平均无故障时间。
软件可用性使之在给定的时间点上,一个软件系统能够按照规格说明正确运行的概率。可以用MTBF/(1+MTBF)来度量,其中MTBF为平均失效间隔时间。
软件可维护性是在给定的使用条件下,在规定的时间间隔内,使用规定的过程和资源完成维护活动的概率。 可以用1/(1+MTTR)来度量,其中MTTR为平均修复时间。
可靠性、可用性和可维护性是软件的质量属性,软件工程中,用0-1之间的数来度量。