计算机网络_第七、八、九章知识总结

网 络 安 全

网络安全问题概述

若从互联网上的成百上千的网站集中攻击一个网站，则称为分布式拒绝服务 DDoS (Distributed Denial of Service)。
对付被动攻击可采用各种数据加密技术。对付主动攻击则需将加密技术与适当的鉴别技术相结合。
一个安全的计算机网络应达到四个目标：保密性；端点鉴别；信息的完整性；运行的安全性。

数据加密模型：

两类密码体制

对称密钥密码体制 ：

DES 的保密性仅取决于对密钥的保密，其算法是公开的。

公钥密码体制：

在公钥密码体制中，加密密钥 PK（public key，即公钥）是向公众公开的，而解密密钥 SK（secret key，即私钥或秘钥）则是需要保密的。加密算法 E 和解密算法 D 也都是公开的。

对称密钥是一对一的双向保密通信，每一方既可用此密钥加密明文，并发送给对方，也可接收密文，用同一密钥对密文解密。在使用公开密钥时，在通信信道上可以是多对一的单向保密通信。
如果某一信息用公开密钥加密，则必须用私有密钥解密，这就是实现保密的方法。如果某一信息用私有密钥加密，那么，它必须用公开密钥解密。这就是实现数字签名的方法

数字签名

数字签名必须保证以下三点：
报文鉴别——接收者能够核实发送者对报文的签名；
报文的完整性——发送者事后不能抵赖对报文的签名；
不可否认——接收者不能伪造对报文的签名。

鉴别

在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用鉴别 。
鉴别细分为两种：
报文鉴别：即鉴别所收到的报文的确是报文的发送者所发送的，而不是其他人伪造的或篡改的。这就包含了端点鉴别和报文完整性的鉴别。数字签名就能够实现对报文的鉴别。密码散列函数是一种相对简单的对报文进行鉴别的方法。
实体鉴别：仅仅鉴别发送报文的实体。实体可以是一个人，也可以是一个进程（客户或服务器）。可以使用共享的对称密钥实现实体鉴别。也可以使用不重数进行鉴别。

密钥分配

对称密钥的分配：

公钥的分配：
需要有一个值得信赖的机构——即认证中心 CA (Certification Authority)，来将公钥与其对应的实体（人或机器）进行绑定 (binding)。
每个实体都有 CA 发来的证书 (certificate)，里面有公钥及其拥有者的标识信息。
此证书被 CA 进行了数字签名，是不可伪造的，可以信任。

互联网使用的安全协议

网络层安全协议：
IPsec 协议：IP 安全数据报格式的两个协议(鉴别首部 AH (Authentication Header) 协议、封装安全有效载荷 ESP (Encapsulation Security Payload) 协议）、有关加密算法的三个协议（在此不讨论）、互联网密钥交换 IKE (Internet Key Exchange) 协议。
运输层安全协议：安全套接字层 SSL 、 运输层安全 TLS。

应用层使用 SSL 最多的就是 HTTP，但 SSL 并非仅用于 HTTP，而是可用于任何应用层的协议。
应用程序 HTTP 调用 SSL 对整个网页进行加密时，网页上会提示用户，在网址栏原来显示 http 的地方，现在变成了 https。在 http 后面加上的 s 代表 security，表明现在使用的是提供安全服务的 HTTP 协议（TCP 的 HTTPS 端口号是 443，而不是平时使用的端口号 80）。
应用层安全协议：PGP (Pretty Good Privacy) 是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。

系统安全：防火墙与入侵检测

防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施访问控制策略。
防火墙内的网络称为“可信的网络”(trusted network)，而将外部的互联网称为“不可信的网络”(untrusted network)。
防火墙可用来解决内联网和外联网的安全问题。

防火墙技术一般分为两类 ：
分组过滤路由器。是一种具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组执行转发或者丢弃（即过滤）。
应用网关也称为代理服务器：所有进出网络的应用程序报文都必须通过应用网关。

入侵检测系统 ：入侵检测系统 IDS (Intrusion Detection System) 能够在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。
两种入侵检测方法：基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库；基于异常的 IDS 通过观察正常运行的网络流量，学习正常流量的统计特性和规律。当检测到网络中流量某种统计规律不符合正常情况时，则认为可能发生了入侵行为。

互联网上的音频和视频服务

传统的互联网本身是非等时的。因此经过互联网的分组变成了非恒定速率的分组。

要解决非等时问题，接收端需设置适当大小的缓存。当缓存中的分组数达到一定的数量后再以恒定速率按顺序把分组读出进行还原播放。

以非恒定速率到达的分组，经过缓存后再以恒定速率读出，就能够在一定程度上消除了时延的抖动。但我们付出的代价是增加了时延。分组还原和播放时又应当是按序的，因此在发送多媒体分组时还应当给每一个分组加上序号。

目前互联网提供的音频/视频服务大体上可分为三种类型：
流式 (streaming) 存储音频/视频 ——边下载边播放。
流式实况音频/视频 ——边录制边发送 。
交互式音频/视频 ——实时交互式通信。

流式存储音频/视频

元文件就是一种非常小的文件，它描述或指明其他文件的一些重要信息。这里的元文件保存了有关这个音频/视频文件的信息。

现在对流式存储音频/视频的播放，如 YouTube 和 Netflix，都是采用 TCP 来传送。
如果是观看实况转播，那么最好应当首先考虑使用 UDP 来传送。如果使用 TCP 传送，则当出现网络严重拥塞而产生播放的暂停时，就会使人难于接受。使用 UDP 传送时，即使因网络拥塞丢失了一些分组，对观看的感觉也会比突然出现暂停要好些。

RTSP 是有状态的协议。它记录客户机所处于的状态（初始化状态、播放状态或暂停状态）。

交互式音频/视频

狭义的 IP 电话就是指在 IP 网络上打电话。广义的 IP 电话则不仅仅是电话通信，而且还可以是在 IP 网络上进行交互式多媒体实时通信（包括话音、视像等），甚至还包括即时传信 IM 。


IP 电话所需要的几种应用协议 ：

RTP 看成是在 UDP 之上的一个运输层的子层。
实时运输控制协议 RTCP：RTCP 分组也使用 UDP 传送，但 RTCP 并不对声音或视像分组进行封装。可将多个 RTCP 分组封装在一个 UDP 用户数据报中。RTCP 分组周期性地在网上传送，它带有发送端和接收端对服务质量的统计信息报告。

一个简单的 SIP 会话：

无线网络和移动网络

无线局域网 WLAN

无线局域网 WLAN (Wireless Local Area Network) 指采用无线通信技术的局域网。
IEEE 802.11 是一个有固定基础设施的无线局域网的国际标准。它使用星形拓扑，其中心叫做接入点 AP (Access Point)；在MAC层使用 CSMA/CA 协议。

CSMA/CA 协议：无线局域网不能使用 CSMA/CD，而只能使用改进的 CSMA 协议。改进的办法是把 CSMA 增加一个碰撞避免 CA (Collision Avoidance)功能。802.11 就使用 CSMA/CA 协议。在使用 CSMA/CA 的同时，还增加使用停止等待协议。

无线个人区域网WPAN

无线个人区域网 WPAN (Wireless Personal Area Network) 就是在个人工作地方把属于个人使用的电子设备用无线技术连接起来自组网络，不需要使用接入点 AP。整个网络的范围大约在 10 m 左右。WPAN 可以是一个人使用，也可以是若干人共同使用。
无线个人区域网 WPAN 和个人区域网 PAN (Personal Area Network) 并不完全等同，因为 PAN 不一定都是使用无线连接的。

WPAN 的 IEEE 标准由 IEEE 的 802.15 工作组制定，这个标准也是包括MAC层和物理层这两层的标准。
WPAN 都工作在 2.4 GHz 的 ISM 频段。

无线城域网 WMAN

2002 年 4 月通过了 IEEE 802.16 无线城域网(Wireless Metropolitan Area Network) 的标准（又称为IEEE无线城域网空中接口标准） 。
WMAN 可提供“最后一英里”的宽带无线接入（固定的、移动的和便携的）。

蜂窝移动通信网

目前蜂窝移动网络的运营商的上网收费都是按照用户所消耗的数据流量来计算的。
我国的宽带入网一般都是根据用户使用的带宽多少，按使用的时间（按月或按年）付费的，因此，使用家庭的无线路由器上网，并不需要再增加任何额外上网的费用。