计算机网络基础（理论知识全）

第一章、计算机网络概述

一、计算机网络的基本概述

1、计算机网络定义

计算机网络是互连的、自治的计算机的集合

2、协议的定义

定义：协议是网络通信实体之间在数据交换过程中需要遵循的规则或约定，是计算机网络有序运行的重要保证。
 
 （数据交换中的规则）

协议的3个基本要素：
​
语法：定义实体之间交换信息的格式与结构。（如：报文：数据单元）
​
语义：定义实体之间交换的信息中需要发送哪些控制信息， 这些信息的具体含义，以及针 对不同含义的控制信息，接收信息端应如何响应。 
​
时序：也称为同步，定义实体之间交换信息的顺序以及如何匹配或适应彼此的速度。 
​
（语义表示要做什么，语法表示要怎么做，时序表示做的顺序。）

3、、计算机网络的功能

（1）硬件资源共享，如云计算、云存储。
（2）软件资源共享，如 SaaS。
（3）信息资源 共享，如信息交换。 

4、计算机的分类

1、范围分类：个域网（PAN）、局域网（LAN）、城域网（MAN）、广域网（WAN）
​
这些范围无非就是交换机和路由器的作用
​
​
2、按拓扑结构分类（结合下图分析）
​
星形拓扑结构：易于监控和管理、隔离故障。但中间一断，网络就瘫痪
​
总线型拓扑结构：结构简单、电缆数量少，易于扩展。但通信范围受限，故障诊断与隔离较困难，容易产生冲突
​
环形拓扑结构：主要优点是所需电缆长度短，可以使用光纤，易于避免冲突；主 要缺点是某结点的故障容易引起全网瘫痪，新结点的加入或撤出 过程比较麻烦，存在等待时间问题
​
​
网状拓扑 结构：主要优点是网络可靠性高，一条或多条链路故障时，网络仍然可 联通；主要缺点是网络结构复杂，造价成本高，选路协议复杂。
​
树形拓扑 结构：主要优点是易于扩展，故障隔离容易；主要缺点是对根结点的可 靠性要求高，一旦根结点故障，则可能导致网络大范围无法通信
​
混合拓扑 结构：主要优点是易于扩展，可以构建不同规模网络，并可根据需要优 选网络结构；主要缺点是网络结构复杂，管理与维护复杂。
​

3、按交换方式 分类
​
电路交换 网络
优点是实时性高，时延和时延抖动都较小；缺点是对于突发性数 据传输，信道利用率低，且传输速率单一。
​
报文交换 网络（通过报文交换机，存储、转发）
优点是报文交换线路利用率高，缺点是报文经过网络的延迟时间 长且不固定。
​
分组交换 网络 （数据之间通信时不断进行组装和拆解，按照分成若干个组的方式）
优点是交换设备存储容量要求低、交换速度快、可靠传输效率高、 更加公平。

4、按网络用户属性分类
​
公有网（外网）
公用网是指由国家或企业出资建设，面向公众提供收费或免费服 务的网络。
​
私有网（内网）
私有网是指由某个组织（如政府部门或企业等）出资建设，专门 面向该组织内部业务提供网络传输服务，不向公众开放的网络。
​

二、计算机网络结构

1、网络边缘

连接到网络上的计算机、服务器、智能手机、智能传感器、智 能家电等称为主机或端系统。
​
连接到网络上的所有端系统构成了网络边缘。

2、接入网络

常见的接入网络技术包括：
电话拨号技术、非对称数字用户线 路ADSL、混合光纤同轴电缆HFC 接入网络、局域网、移动接 入网络

3、网络核心

网络核心是由通信链路互连的分组交换设备构成的网络

作用 是实现网络边缘中主机之间的数据中继与转发。

比较典型的分 组交换设备是路由器和交换机等。

三、数据交换技术

1、数据交换的概念

数据交换是实现在大规模网络核心上进行数据传输的技术基础。

常见的数据交换技术包括电 路交换、报文交换和分组交换。

2、电路交换

电路交换是最早出现的一种交换方式，电话网络则是最早、最大的电路交换网络。 

利用电路交换进行通信包括建立电路、传输数据和拆除电路 3个阶段。

优：实时性高
缺：对于突发性数据传输，信道利用率低

3、报文交换

报文交换也称为消息交换，其工作过程为：发送方把要发送的信息附加上发送/接收主机的 地址及其他控制消息，构成一个完整地报文。然后以报文为单位在交换网络的各结点之间以 存储-转发的方式传送，直至送达目的主机。

不需要建立连接
只有当报文被转发时才占用相应的信道
交换结点需要缓冲存储，报文排队，增加了延时

4、分组交换

分组交换是目前计算机网络广泛采用的技术。
 
 分组交换需要将待传输数据（即报文）分割成 较小的数据块，每个数据块附加上地址、序号等控制信息构成数据分组，每个分组独立传输 到目的地，目的地将收到的分组重新组装，还原为报文。 
 
 分组交换优点：（1）交换设备存储容量要求低（2）交换速度快（3）可靠传输效率高（4） 更加公平。
 
 分组长度的确定：分组长度与延迟时间：在其他条件相同的情况下，分组长度越长，延迟时 间越长。
 
 分组长度与误码率：最佳分组长度 Lopt= h Pe 。最高信道利用率可以表示为ηmax=（ 1- hPe）2

四、计算机网络性能

1、图片概述

传播时延：就是发送数据（第一到最后）所用的时间
传播时延：数据传输过程中所用的时间

五、计算机网络体系结构

1、OSI参考模型

2、OSI参考模型有关术语

3、TCP/IP参考模型、五层参考模型

六、计算机网络与因特网发展简史

ARPAnet 是第一个分组交换计算机网络。
 
 ARP （地址解析协议）是根据IP地址获取物理地址的一个TCP、IP协议。

第二章、 网络应用

一、 计算机网络应用体系结构

1、概述

三种类型：

1、客户/服务器（C/S）结构
客户请求服务器进行通信，客户与客户之间不能进行直接通信
（应用为www 应用、文件传输 FTP、电子邮件）

2、P2P（peer to per）结构
每个对等端都同时具备C/S应用的客户与服务器的特征，是服务器和客户的结合体，对等端之间直接通信
（应用为Gnutella、BitTorent）

3、混合结构
既有中心服务器的存在，又有对等端（客户）间的直接通信，
（IPTV）

二、网络应用通信基本原理

C/S通信基本原理：客户进程主动发起通信请求服务进程来提供服务，应用进程间遵循应用层协议交换应用层报文

p2p：可以改变通信关系，客户端和服务端的关系，是相互对等的

典型的网络应用编程接口是套接字，标识套接字的编号叫端口号，IP 地址用于唯一标识一
个主机或路由器接口。

Internet 传输层能提供的服务只有两类：面向连接的可靠字节流传输服务 TCP 和无连接的
不可靠数据报传输服务 UDP。

三、域名系统（DNS）

1、概述

域名解析：讲域名映射为ip地址的过程

域名服务器：建立分布式数据库，存储网络中域名与ip地址的映射关系数据，这些数据库存储在域名服务器上，而域名服务器根据用户请求提供域名解析服务

2、层次树状结构的命名方法

1、国家顶级域名nTLD
2、通用顶级域名gTLD
3、基础结构域名

3、域名服务器的分类

1、根域名服务器
根域名服务器（最重要的域名服务器，知道所有的顶级域名服务器的域名和 IP。在因特网上共有 13 个不同 IP 地址的根域名服务器，它们的名字是用一个英文字母命名，从 a 一直到 m （前 13 个字母），如 a.rootservers.net。）

2、顶级域名服务器
3、权威域名服务器
4、本地域名服务器

4、域名解析过程

递归查询：代替查询主机或其他域名服务器，进行一步一步的去查找域名，并将解析结果发送给查询主机或服务器

迭代查询：只是将下一步要查询的服务器告知查询主机或服务器

四、万维网应用结构

1、概述

Web 应用主要包括 Web 服务器、浏览器与超文本传输协议（HTTP）等部分。

工作原理：客户端通过浏览器发起请求报文（包括HTTP请求格式、信息等），web服务器进行响应其网页资源，然后网页资源通过浏览器解析到客户端页面

HTTP概述：HTML 基本 Web 页也是通过 URL 地址引用页面中的其他对象。每个 URL 地址主要由两部分组成：存放对象的服务器主机域名（或 IP 地址）和对象的路径名。

2、HTTP连接

1、非持久连接：每次请求一个对象都需要新建立一个 TCP 连接。（是串行方式）
概述：服务器响应给客户端HTML页面后便会断开连接，当HTML页面中有其他资源链接地址（图片、音频等），便会重新去和服务器请求连接，再让服务器做出响应，这样一次一次的过程，便是串行方式。（这样效率比较低）

2、并行连接：建立多条并行 TCP 连接，并行发送 HTTP 请求和并行接收 HTTP 响
应。
概述：这个和非持久连接不同的是，当获得的页面有多张图片连接时，会直接建立多条tcp连接，而不是一个一个去连接（和非持久连接一样，请求一个对象便会断开连接，只不过是并行连接在非持久连接上做了升级）


3、持久连接：
（1）非流水方式持久连接：收到前对象响应后再发出下一个请求报文
概述：当获取到HTML页面后，不会进行断开连接，而是一条一条的去请求链接对象，最后获取完毕再断开

（2）流水方式持久连接：收到前一个响应前，依次发送后续对象请求
概述：这个和非流水最大的区别是，当进行请求连接对象时同时进行发送请求，而不是等待上一条请求（和非流水方式一样都是持久连接，在请求所有对象没有获取完毕之前不会断开连接）
（当然流水方式比非流水方式效率要高）

3、HTTP报文

请求报文：从客户端向服务器发送请求报文

响应报文：从服务器响应客户端的报文

由下图可看成请求报文的组成结构

由上图来进行简单讲解：

请求方法：
1、GET
请求读取由URL所标识的信息

2、POST
给服务器添加信息，且相对于get更加安全，数据长度也是没有限制（例如：注释）

3、PUT
在指明的URL下存储一个文档

4、OPTION
请求一些选项的信息

5、HEAD
请求读取由URL所标识的信息的首部，无须在响应报文中包含对象

由上图来进行简单讲解


起始行<协议版本><状态码><短语>

状态码
100~199：信息提示；    （通知信息，可能还需要进一步交互）
200~299：成功；		  （成功完成客户请求的操作，并进行响应）
300~399：重定向；	  （表示资源已移走，需要向新的URL发请求）
400~499 客户端错误；	 （由于客户端请求错误，无法成功响应）
500~599：服务器错误。	（由于服务端错误，无法成功响应）

4、Cookie

Cookie 中文名称为小型文本文件，Cookie 是由服务器端生成。Cookie 是实现服务器对客
户状态的跟踪的典型技术。

主要包括 4 部分：HTTP 响应报文中的 Cookie 头行，用户浏览器在本地存储、维护和管理
的 Cookie 文件，HTTP 请求报文中的 Cookie 头行，网站在后台数据库中存储、维护 Cookie
信息。

工作原理简述：
当客户端访问服务端时，服务端去识别客户端是否有相对应的cookie，如若没有那么就会认定其是第一次访问，便会在服务器对应的数据库创建一个cookie，并将其发送给客户端的浏览器，浏览器再将cookie保存到某个本地文本文件内。那么再下一次的请求同一个网站时，便会将上次得到的cookie发送给服务器。服务器再根据cookie值去检索用户历史行为数据，并对用户进行响应，提供针对性的服务。（cookie会使用户的隐私得不到安全的保障）

5、电子邮件

电子邮件系统主要包括：邮件服务器、简单邮件传输协议（SMTP）、用户代理和邮件读取协议等。

邮件服务器：功能是发送和接收邮件，向发信人报告邮件传送情况，是电子邮件体系结构的核心。


由下图电子邮件系统的工作原理

由上图简单讲解：
用户代理：例如QQ邮箱，网易邮箱，是为了方便更加用户更人性化操作
发送时通遵循STMP协议
读取邮件时，遵循读取协议

SMTP：是Internet电子邮件中核心应用层协议，实现邮件服务器之间或用户代理到邮件服务器之间的邮件传输。
SMTP属于传输层TCP实现可靠数据传输（端口号25）

STMP通过三个传输阶段来完成应用层交互：
1、握手阶段
2、邮件传输阶段
3、关闭阶段

基本交互方式：
SMTP客户端发送命令（携带参数），SMTP服务器对命令进行应答

1、电子邮件格式：包括首部、空白行、主体
（关键词：TO，subject，Cc，from，Date，Rep—To）

2、MIME（多用途互联网邮件扩展）
将非7位ASCII码文本内容转换为7位ASCII码文本内容，然后利用SMTP进行传输。
说明主体内容原本的数据类型以及采用的编码标准。

3、传送的邮件内容中不能包含“CRLF.CRLF”。
4、SMTP 是“推动”协议。
5、SMTP 使用 TCP 连接是持久的。

邮件读取协议：

1、第三版的邮局协议（Post Office Protocol-Version 3， POP3）
使用传输层 TCP。POP3 协议交互过程可以分为 3 个阶段：授权、事务处理和更新。

2、互联网邮件访问协议（Internet Mail Access Protocol IMAP）
IMAP 服务器维护了 IMAP 会话的用户状态信息，允许用户代理只读邮件的部分内容

3、HTTP
HTTP 是 Web 邮件系统的邮件读取协议。

6、FTP

1、概述：
在互联网的两个主机间实现文件互传的网络应用，其应用层协议也称为FTP。（采用C/S模式）
控制连接（21端口），数据连接（20端口）
FTP 使用的默认端口号是 21。

2、特点：
FTP 应用使用两个“并行”的 TCP 连接：控制连接和数据连接。
FTP 服务器必须在整个会话期间保留用户的状态，即 FTP 是有状态的。
FTP 会话形式是客户向服务器发送命令，服务器发送状态码和短语作为应
答。

7、P2P应用

应用优势：充分聚集利用了端系统（对等方主机）的计算能力以及网络传输带宽，对服务器的依赖很小

就如云盘一样，用户可以和用户进行下载，也可以去服务器上下载

8、Socket

利用 Socket 编程技术可以开发客户/服务器网络应用程序。
网络应用进程可以创建3种类型的Socket：数据报类型套接字SOCK_DGRAM（面向UDP）、
流式套接字 SOCK_STREAM（面向 TCP）和原始套接字 SOCK_RAM。

第三章、传输层

一、传输层的基本服务

1、传输层功能

传输层（类似于快递公司）的核心任务是：为应用进程之间提供端到端的逻辑通信服务。

功能：
传输层寻址；（类似于找那个的小区驿站代收点）
对应用层报文进行分段和重组；（多个快递分开运输，最后小区代收驿站整理好）
对报文进行差错检测；（检查快递是否丢失）
实现进程间端到 端可靠数据传输控制；（确认收货人是否收到快递）
面向应用层实现复用与分解；（驿站收到寄送人的快递，进行分地方发送）
实现端到端的流量控制；（驿站容量不够大，就要进行控制流通，用户就要等待）
拥塞控制等（运输过程中堵塞）

通信的真正端点不是主机，而是主机中运行的应用进程

传输层负责进程之间通信
网络层负责主机到主机的通信

2、传输寻址与端口

1、用统一的寻址方法对应用进程进行标识————端口号

2、在全网范围内利用“IP地址+端口号” 唯一标识一个通信端点

3、传输层端口号为16位整数，包含三类端口：
	（1）熟知端口号 0～1023 
	（2）登记端口号 1024～49151 为没有熟知端口号的应用程序使用的。使用这个范围的端口号必须在IANA登记，以防止重复。
	（3）客户端使用的端口号或暂时端口号 49152～65535  留给客户进程选择暂时使用

3、无连接服务与面向连接服务

Internet 网络提供无连接服务的传输层协议是 UDP（不用进行握手，传输数据） 


提供面向连接服务的传输层协议是 TCP（建立逻辑连接，然后传输数据，结束后还需要拆除连接）

二、传输层的复用与分解

1、定义

支持众多应用进程共用同一个传输层协议，并能够将接收 到的数据准确交付给不同的应用进程。

多路复用与多路分解（类似于外卖小哥）：
支持多个应用进程共用一个传输层协议，并能够接收到的数据准确交付给不同的应用进程

实现复用与分解的关键：传输层协议能够唯一标识一个套接字

2、无连接的多路复用与多路分解

UDP套接字：<目的 IP 地址，目的端口号>

UDP套接字的端口号是UDP实现复用与分解的主要依据

3、面向连接的多路复用与多路分解

TCP 套接字（标识一条TCP连接）

< 源 IP 地址，目的 IP 地址，源端口号，目的端口号 >

当一个TCP 报文段从网络层到达一台主机时，该主机根据这4个值来将报文段分解到相应的套接字

三、停-等协议与滑动窗口协议

1、可靠数据传输基本原理

（1）、不可靠传输信道在数据传输中可能发生：
1、比特差错； 2、乱序； 3、数据丢失 

（2）、实现可靠数据传输的措施：
1、差错检测：利用差错编码实现数据包传输过程中的比特差错检测
2、确认：接收方向发送方反馈接受状态
3、重传：发送方重新发送接受方么有正确接受的数据
4、序号：确保数据按序提交
5、计时器：解决数据丢失问题

2、停等协议概念

主要特点是：每发送一个报文段后就停下来等待接收方的确认。

基本工作过程：
1、发送方发送经过差错编码和编号的报文段，等待接收方的确认（发送并等待确认）
2、接收方如果正确接收报文段,即差错检测无误且序号正确，则接收报文段,并向发送方发送ACK，否则丢弃报文段，并向发送方发送NAK; (接收并确认否认)
3.发送方如果收到ACK，则继续发送后续报文段，否则重发刚刚发送的报文段。(继续发送/重发)

 主要性能问题：停止-等待机制降低了信道利用率
解决方法：流水线协议或管理协议————允许发送发在没有收到确认前连续发送多个分组。（先发送好几组再管道中）
流水线协议的改进：增加分组序号范围；发送方和（或）接收方必须缓存多个分组
典型的流水线协议：滑动窗口协议


 停等协议信道利用率：U Sender= tSeg/tSeg+RTT+tACK

3、滑动窗口协议

由上图可看出：
发送当有个发送窗口，假设可以容纳7个分组的容量，那么发送数据时，便会在发送窗口中留下缓存，以便确认分组序号是否成功发送，但又因只能容纳7个容量，所以结合上图可看出只有5~11可以容纳，那么12号以后便不再发送，而是等待发送窗口确认一个序号，依次的去移动。上图可以看出发送窗口只确定了8号分组，但之前的并没有确认，所以滑动窗口并没有移动，当5号确认以后那么滑动窗口会向右移动（依次的等待滑动窗口中的分组号进行确认后，在进行窗口的移动）
接受窗口也是如此，假设接受窗口的容量只有5个，那么接受方便会依次确认序号分组，当6号分组接受成功，便会向发送窗口回应确认消息，并移动接受窗口。

这正是用了流水协议（增加分组序号范围；发送方和（或）接收方必须缓存多个分组）的特点和结合了停等协议

俩种最具有代表性的滑动窗口协议：

1.回退N步( GO-Back-N , GBN )协议（发送窗口≥1，接收窗口=1）:
发送端窗大小较大,可以在未得到确认前连续发送多个分组;
但接收窗口大小仅为1 ,只能接收1个按序到达的分组,未按序到达的分组或者某个分组差错,就会引起发送方重发该分组及其之后的所有分组。
（通俗说：就是发送方给接受方发送时，因接受窗口的大小限制，会导致每次只能按照顺序接受，当发送窗口发送1~5个分组序号，但接受窗口只能确认收到了1号，那么其后收到的别的序号便会丢弃，并通知发送窗口从确收到的序号后重新发送）

2.选择重传( Selective Repeat，SR )协议（发送窗口和接收窗口都大于=1）:
增加接收方缓存能力(接收窗口>1)，缓存正确到达但失序的分组,仅要求发送方重传末被接收方确认的分组，等缺失分组到达后一并向上层按序提交。
（选择重传便是回退N步的改进）

产生俩种协议原因：滑动窗口大小和确认和重传方式有关

滑动窗口协议信道利用率：U Sender= Ws×tSeg/tSeg+RTT+tACK

四、用户数据报协议（UDP）

1、概述

用户数据报协议 UDP 是 Internet 传输层协议，提供无连接、不可靠、数据报尽力传输服务。

2、UDP数据报结构

上图可分析到：
1.源和目的端口号:用于UDP实现复用与分解。
2.长度字段:在UDP报文段中的字节数(首部和数据的
总和)。
3.校验和:接收方用来检测该报文段是否出现了差错。

3、UDP校验和

1、提供了差错检测功能
2、计算内容包括：UDP 伪首部、UDP 首部和应用层数据
3、计算规则：
（1）参与运算的内容按 16 位对齐求和。
（2）求和过程中遇到任何溢出（即进位）都被回卷（即进位与和的最低为再加），最后得到的和取反码。

五、传输控制协议（TCP）

1、TCP报文结构

URG:紧急指针位（1有效，0无效）
SYN：同步请求，和接受方协商初始序号
ACK：确认信息位

窗口：告知对方窗口大小等信息

2、TCP连接管理

连接建立————三次握手：
1、SYN连接请求（客服端：同步请求，协商初始序号）
2、SYNACK确认 （服务端：同步请求和确认请求）
3、ACK确认	（客服端：确认请求）

第一次握手 主机 A 向主机 B 収送连接请求段。
第二次握手 主机 B 收到 TCP 连接请求段后，如同意，则发回确认报文段。
第三次握手 （可携带数据）主机 A 对主机 B 的同意连接报文段进行确认。

拆除连接————四次挥手

第一次挥手 主机 A 向主机 B 发送释放连接报文段
第二次挥手 主机 B 向主机 A 发送确认段（A便断开给B的传输，但B还能给A传输）
第三次挥手 主机 B 向主机 A 发送释放连接报文段
第四次挥手 主机 A 向主机 B 发送确认段（此刻A和B都断开传输）

TCP 的序号是对每个应用层数据的每个字节进行编号。
确认序号是期望从对方接收数据的字节序号，将已连续接收到的应用层数据的最后一个字节的序号加 1，作为确认序号。

3、TCP 可靠数据传输

1、TCP 的可靠数据传输实现机制
包括差错编码、确认、序号、重传、计时器等。


2、TCP的可靠数据传输是基于滑动窗口协议，但是发送窗口大小动态变化

TCP 可靠数据传输的工作机制：
1、数据分割（封装TCP报文段）  
2、启动计时器（发出一个报文段后启动一个计时器）     
3、校验和检测数据差错
4、重新排序（通过序号排序，丢弃重复的报文段）  
5、丢弃重复报文段  
6、提供流量控制

发送方的 3 个与发送和重传有关的主要事件：从上层应用程序接收的数据大小、定时器的超时、收到的ACK。

4、TCP 流量控制

1. TCP协议利用窗口机制实现流量控制,但不是简单的滑动窗协议（窗口是动态变化的）

2. TCP连接建立时，双方都为之分配了固定大小的缓冲空间; 
TCP的接收端只允许另一端发送其缓冲区所能接纳的数据。

(1)接收端在给发送端发送确认段时，通告接收窗口大小;
(2)发送端在接下来发送数据段时，确保未确认段的应用层数据总量不超过接收端通告的接收窗口大小,从而确保
接收端不会发生缓存溢出。


流量控制（flow control）的目的是协调协议发送方与接收方的数据发送与接收速度，避免因发送方发送数据太快，超出接收方的数据接收和处理能力，导致接收方被数据“淹没”，即数据到达速度超出接收方的接收、缓存或处理能力，致使数据在接收方被丢弃。

5、TCP 拥塞控制

拥塞控制就是通过合理调度、规范、调整向网络中发送数据的主机数量、发送速率或数据量，以避免拥塞或尽快消除已发生的拥塞。

1.窗口机制:通过调节窗的大小实现对发送数据速率的调整。

2.窗口调整的基本策略: AIMD (Additive Increase, Multiplicative Decrease)加性增加，乘性减小;
网络未发生拥塞时，逐渐“加性”（慢慢增加）增大窗口大小，当网络拥塞时"乘性”快速减小（乘倍数快速减少）窗口大小。

3. TCP的拥塞控制算法:包括了慢启动、拥塞避免、 快速重传和快速恢复4部分。（CongWin 初值为 1，Threshold 的初值为 16MSS。）

慢启动：收到一个确认，CongWin 值就加倍，即指数增长的时间段。
拥塞避免：每经过一个 RTT，拥塞窗口 CongWin 的值增加 1MSS，即线性增长的时间段。
快速重传：基本思想是接收端收到 3 次重复确认时，则推断被重复确认的报文段已经丢失，于是立即发送被重复确认的报文段。
快速恢复：是配合快速重传使用的算法，不再重新从慢启动阶段开始，而是从新的阈值开始，

直接进入拥塞避免阶段。具体做法是：当发送端连续收到 3 次重复确认时，将阈值 Threshold减半，并且将拥塞窗口 CongWin 的值置为减半后的 Threshold，然后开始执行拥塞避免算法，使 CongWin 缓慢地加性增长。

第四章、网络层

一、网络层服务

网络层的主要作用是将网络层数据报从源主机送达目的主机。

主要功能包括: 
1.转发:分组从输入接口转移到输出接口;
当通过一条输入链路接收到一个分组后，路由器需要决策通过哪条输出链路将分组发送出去，并将分组从输入接口转移到输出接口。


2.路由选择:决定分组经过的路由或路径。
当分组从源主机流向目的主机时，必须通过某种方式决定分组经过的路由或路径，计算分组所经过的路径的算法被称为路由选择算法，或称为路由算法。

二、数据报网络和虚电路网络

1、数据报网络

按照目的主机地址进行路由选择的网络称为数据报网络。

特点
1.无连接;

2.每个分组作为一个独立的数据报进行传送,路径也可能不同;

3.分组可能出现乱序和丢失。

2、虚电路网络

虚电路网络在网络层提供面向连接的分组交换服务。

虚电路是在源主机到目的主机的一条路径上建立的一条网络层逻辑连接，称之为虚电路。

特点:
1.建立一条网络层逻辑连接;
2.不需要为每条虚电路分配独享资源(区别于电路交换) ;
3.根据虚电路号沿虚电路路径按序发送分组。
4、该路径上每台分组交换机的转发表中记录虚电路标识的接续关系

虚电路分组交换有永久型和交换型两种。
虚电路交换与数据报交换主要差别表现为：是将顺序控制、差错控制和流量控制等功能
交给网络来完成（虚电路），还是由端系统来完成（数据报）。

三、网络互连与网络互连设备

1、异构网络互连

异构网络:两个网络的通信技术和运行的协下不同。

异构网络互连的基本策略:
1.协议转换;
2.构建虚拟互联网络。（都支持某种协议而建立的虚拟互连）

在网络层实现网络互连的设备是路由器。集线器和中继器都是物理层设备。交换机和网桥是
数据链路层设备，交换机就是多端口的网桥，是目前应用最广泛的数据链路层设备。

2、路由器

路由器是最典型的网络层设备

输入端口： 线路端接 数据链路处理（协议、拆封） 查找、转发、排队
交换结构： 基于内存交换、基于总线交换、基于网络交换
输出端口： 排队、缓存管理 数据链路处理（协议、拆封） 线路端接
路由处理器： 转发与路由选择是路由器两项最重要的基本功能。

四、网络层拥塞控制

1、概念

拥塞:一种持续过载的网络状态,此时用户对网络资源(包括链路带宽、存储空间和处理器处理能力等)的总需求超过了网络固有的容量。

原因:
1.缓冲区容量有限;
2.传输线路的带宽有限;
3.网络结点的处理能力有限;
4.网络中某些部分发生了故障

2、流量感知路由

流量感知路由;

根据网络负载动态调整将网络流量引导到不同的链路上，均衡网络负载,从而延缓或避免拥塞发生。

解决网络负载的震荡现象:
1.多路径路由;
2.缓慢转移流量至另一链路。

3、准入控制

是一种广泛应用于虚电路网络的拥塞预防技术。

基本思想:
对新建虚电路进行审核，如果新建立的虚电路会导络变得拥塞,那么网络拒绝建立该新虚电路。

拥塞状况的量化:基于平均流量和瞬时流量。

4、流量调节

1.感知拥塞

2.处理拥塞:将拥塞信息通知到其上游结点。

处理方法:

( 1 )抑制分组:给拥塞数据报的源主机返回一个抑制分组。
( 2 )背压:让抑制分组在从拥塞结点到源结点的路径上的每一跳,都发挥抑制作用。

5、负载脱落

负载脱落:路由器主动丢弃某些数据报。
如何选择要丢弃的数据报:

1.丢弃新分组:如GBN
2.丢弃老分组:如实时视频流

五、Internet网络层

1、IPv4协议

IP数据报分片

标识:判断这些分片是否属于同一个IP数据报
标志:判断是否为最后一个分片（是最后一个便开始组装）
片偏移:判断各分片的先后顺序

2.1、IPv4编址

IPv4地址长度：32位二进制

1、IPv4 地址有 3 种常用的标记法：二进制标记法、点分十进制标记法、十六进制标记法。
2、IP 地址划分为两部分：前缀（网络部分）和后缀（主机部分）。定长前缀为分类地址，
无类地址中网络地址前缀长度可变。

2.2、子网划分

将一个较大的子网划分为多个较小子网的过程。
较大子网具有较短的网络前缀,较小子网具有稍长的前缀。

超网:将具有较长前缀的相对较小的子网合并为一个具
有稍短前缀的相对较大的子网。

子网掩码:用来定义一个子网的网络前缀长度。

如上图：子网地址求法

通过子网掩码和ip地址作与运算

二进制0和任意一个结果都为0，1和1还是1

2.3、路由聚合

路由表实质：也是先进行查找，然后再跳，最后将跳过的地址记录在路由表中，方便下次直接用


路由聚合就是将网络位减少，而使主机位变多，那么网络的范围就变的大了，容纳的个数变多了

最长前缀匹配原则，便是最佳路由

3、动态主机配置协议

动态主机配置协议一DHCP

为网络内的主机提供动态IP地址分配服务。

1. DHCP服务器发现

2. DHCP服务器提供

3. DHCP服务器请求

4. DHCP确认

4、网络地址转换

NAT（路由器） 工作原理：

对于从内网出去，进入公共互联网的 IP 数据报，将其源 IP 地址替换为 NAT
服务器拥有的合法的公共 IP 地址， 同时替换源端口号，并将替换关系记录到 NAT 转换表
中；

对于从公共互联网返回的 IP 数据报，依据其目的 IP 地址与目的端口号检索 NAT 转换
表，并利用检索到的内部私有 IP 地址与对应的端口号替换目的 IP 地址和目的端口号，然后
将 IP 数据报转发到内部网络。

5、ICMP

ICMP 包括 3 个字段：类型、代码和校验和。

ICMP 差错报告报文有 5 种：
终点不可达、 源点抑制、 时间超时、 参数问题、 路由重定向。

ICMP 询问报文： 回声（echo） 请求/应答、 时间戳请求/应答。

6、IPV6

1.解决IPv4地址耗尽的问题。
2. IPv6报文首部长度固定40字节。
3. IPv6地址长度128位。
4. 解决IPv4到IPv6的迁移：双协议栈（俩个协议都有）、隧道（结合俩个协议）

六、路由算法与路由协议

第五章、数据链路层与局域网

一、 数据链路层服务

链路：通信链路连接的相邻结点的通信信道。
​
链路层数据单元:帧
​
主要功能包括:
1.组帧
2.链路接入:点对点链路（俩端节点直接连接）、广播链路（一条链路上有多个节点）
3.可靠交付(可靠传输方法多用于高出错率链路)
4.差错控制
​

二、差错控制

1、概述

差错控制：就是通过差错编码技术，实现对信息传输差错的检测，并基于某种机制进行差错纠正和处理，是计算机网络中实现可靠传输的重要技术手段，并在许多数据链路层协议中应用

2、基本方式

1.检错重发
​
2.前向纠错
接收端进行差错纠正。
 
3.反馈校验
接收端将收到的数据原封不动发回发送端。
​
4.检错丢弃
​

3、噪声

随机噪声 引起随机差错或独立差错。
​
冲击噪声 指突然发生的噪声。冲击噪声引起的差错称为突发差错。
差错通常集中发生在某段信息。突发错误发生的第一位错误与最后一位错误之间的长度称为突发长度。

4、差错编码的基本原理

输入端进行发送数据之前，会有个检测的函数，然后检测出来的结果（R）去绑定数据（D）
当接受端，接受数据后进行相同的函数检测，把检测出来的结果再去和之前数据上带来的结果（R）作对比

5.1、差错编码检测与纠错能力

1、对于检错编码，如果编码集的汉明距离 ds=r+1，则该差错编码可以检测 r 位的差错。
2、对于纠错编码，如果编码集的汉明距离 ds=2r+1，则该差错编码可以检测 r 位的差错。

5.2、典型的差错编码

1.奇偶校验码（适用检错，不能纠错）:
奇校验:编码后的码字中“1" 的个数为奇数
偶校验:编码后的码字中“1”的个数为偶数
​
2.汉明码:
可以实现单个比特差错纠正。
​
3.循环冗余码CRC :
检错能力强,编码效率高，实现简单。
​

1*（X**4）+0*（X**3）+0*（X**2）+1*（X+1）+1*（X**0）=10011

计算时编码位串10111001后添加0000 ，这4个0 是题中的（X**4）

计算时因要除5位，所以每次要补全5位（最上面的数字是，当不够5位上面用0，当刚好够5位最后一个用1补齐）

下面的计算不是减法，而是加（0+1=1,0+0=0,1+1=0）

三、多路访问控制协议

1、信道划分MAC协议

多路访问控制MAC :
广播信道上用于协调各个结点的数据发送。

信道划分MAC协议:
1.频分多路复用:在频域内将信道带宽划分为多个子信道。（一条公路上划分多条道）FDM
2.时分多路复用:将通信信道的传输信号在时域内划分为多个等长的时隙。（按照时间，划分时间段） TDM
3.波分多路复用:在一根光纤中，传输多路不同波长的光信号（光纤，按照波长划分） WDM
4.码分多路复用:从编码域进行划分,使得编码后的信号在同-信道中混合传输。（编码域划分） CDM

2、随机访问MAC协议

1. ALOHA协议
纯ALOHA:直接发送-信道侦听（侦听，如果发送成功，接受端便响应，没有成功，不会响应，便会采用冲突重发）→冲突重发

时隙ALOHA :时隙开始时发送→信道侦听-冲突则下时隙以概率P重发（等下个时间段，按照概率发）

2.载波监听多路访问协议CSMA（对上面ALOHA协议改进，不按概率发）发送前监听信道是否空闲
( 1 )非坚持CSMA :忙则等待随机时间后再侦听
( 2 ) 1-坚持CSMA :忙则持续侦听，直到空闲
( 3 ) P-坚持CSMA :闲则概率P在最近时隙发送，以防止多个同时发送

3.带冲突检测的载波监听多路访问协议 CSMA/CD监听空后发送
发送时检测碰撞,碰撞后等待重发。

3、受控制接入MAC协议

类似于管理站，轮流的发送，避免冲突

1.集中式控制
由一个主机负责调度其他通信站接入信道,从而避免冲突。
主要方法:轮询技术，又分为轮叫轮询和传递轮询。

2.分散式控制
典型方法:令牌技术,如令牌环网。（谁拿到令牌谁去传输）

四、局域网

1、概述

1. MAC地址
两块网络适配器具有不同的 MAC 地址，用来标识局域网的结点或网络接口。MAC
地址具有唯一性
每个接口对应一个MAC地址,且全球唯长度6字节，48位，采用十六进制表示。（其中前24位是厂商，后24位是标识号）

2.地址解析协议（APR协议）
根据本网内目的主机或默认网关的IP地址获取其MAC地址;
查询/响应的方式。

（1）作用：用于根据本网内目的主机或默认网关的 IP 地址获取其 MAC 地址。
（2）基本思想：在每一台主机中设置专用内存区域，称为 ARP 高速缓存（也称为 ARP 表），
存储该主机所在局域网中其他主机和路由器的 IP 地址与 MAC 地址的映射关系，并且这个
映射表要经常更新。ARP 通过广播 ARP 查询报文，来询问某目的 IP 地址对应的 MAC 地
址，即知道本网内某主机的 IP 地址， 可以查询得到其 MAC 地址。
（3）注意：ARP 查询分组是通过一个广播帧发送的，而 ARP 响应分组是通过一个标准的
单播帧发送的。

MAC地址不会变化，但IP 地址会随时变化（例：NAT路由转换）

2、以太网（局域网技术）

1. IEEE802.3标准
2.采用CSMA/CD（带碰撞避免的CSMA）访问控制方法
3.以太网技术
( 1 ) 10（数据传输率10M）Base（基带传输）-5（最大传输距离500m）使用的同轴电缆 , 10 Base-T（双绞线）
( 2 )快速以太网100Base-TX , 100Base-T4 100Base-FX （光纤） 
( 3 )千兆以太网
( 4 )万兆以太网

3、交换机

1.转发与过滤
可以依据接收到的链路层帧的目的MAC地址,选择性地转发到相应的端口。
以目的MAC地址为主键, 查找交换表。

2.自学习
交换机通过自学习构建交换表。

3.优点
(1)消除冲突,提高性能;（不像之前的集线器广播形式会产生冲突，而是选择性的转发相应的端口）
(2)支持异质链路;
(3)易于进行网络管理。

4、虚拟局域网 （VLAN）

虚拟局域网是一个种基于交换机的逻辑分割广播域的局域网应用形式。

交换机网络管理，划分多个虚拟局域网（同组可通信，不同不可通信）

划分虚拟局域网的方法主要有三种：基于交换机端口划分、基于 MAC 地址划分、基于上层
协议类型或地址划分。

1.一种基于交换机(支持VLAN功能)的逻辑分割广播
域的局域网应用形式。
2.不受物理位置的限制,以软件的方式划分和管理局域
以太网网中的工作组。

3.能够抑制广播风暴（多个交换机而产生的多个广播）。

4.划分方法:
基于交换机端口（把多个端口建立起不同的VLAN）
基于MAC地址
基于上层协议类型或地址

五、点对点协议

1、PPP协议

点对点协议PPP :
能够处理差错检测、支持多种上层协议、允许连接时协商P地址、允许身份认证。
典型应用:拨号上网

功能:
1.成帧
2.链路控制协议LCP（拨号）
3.网络控制协议NCP（获取IP地址）

2、HDLC协议

高级数据链路控制-HDLC协议:

可应用于点对点链路和点对多点链路。

区别若干数据帧：
帧定界:帧的定界符是01111110（开始和结尾加上，便是开始和结束）

位填充（保证数据中不会有定界符）:
发送端:只要发现数据字段5个连续的1 ,就立即插入一个0 ,保证数据字段不会出现连续的6个1 ;
接收端:发现数据流中5个连续的1 ,就删除其后的0还原成原来的信息。

第六章、物理层

一、数据通信基础

1、概述

1.消息;人类能够感知的描述称为消息。

2.信息：信息是对事物状态或存在方式的不确定性表述,信息是可以度量的。

3.通信:本质就是在- -点精确或近似地再生另一点的信息。

4.通信系统:能够实现通信功能的各种技术、设备和方法的总体。

5.信号:通信系统中，在传输通道中传播的信息的载体。

6.数据:对客观事物的性质状态以及相互关系等进行记载的符号及其组合。

7.信道:信道是以传输介质为基础的信号通道。


传输过程中，信息通过信号这个载体来传输，而数据实时用来标识的符号

2、数据通信系统模型

2.1、通信系统的构成

信源、发送设备、信道、接收设备、信宿和噪声源等部分。

噪声源可能会在信道中产生影响

2.2、模拟通信

模拟信号的因变量是连续的（有中间值）

2.3、数字通信

数字因变量是离散的（会产生突变，没有中间值）

2.4、数据通信方式

( 1 )单向通信（单工）、双向交替通信（半双工）和双向同时通信（全双工）;
( 2 )并行通信和串行通信;
( 3 )异步通信和同步通信。

2.5、数据通信系统的功能

(1)信道利用;
(2)接口及信号产生;
(3)同步;
(4)差错检测与纠正;
(5)寻址与路由;
(6)网络管理;
(7)安全保证。

二、物理介质

1、引导型传输介质（有线的）

1.1、架空明线

架空明线是指平行且相互分离或绝缘的架空裸线线路,
通常采用铜线或铝线等金属导线。

1.2、双绞线（电话、网线多用）

两根相互绝缘的铜线并排绞合在一起,减少对相邻导线的电磁干扰。

分为：屏蔽双绞线（STP）、非屏蔽双绞线（UTP）成本低，传输率高，抗干扰差

1.3.同轴电缆

抗电磁干扰性能好。
现在主要用于频带传输,如有线电视。

线粗，传输慢

1.4.光纤

基本原理是利用光的全反射。
通信容量大、距离远、抗电磁干扰性能好、保密性好。
多模光纤（性能差）和单模光纤（性能好）。

缺点：易碎，技术操作难

2、非导引型传输介质（无线）

2.1.地波传播

低频信号,沿地球表面传播。

2.2.天波传播

较高频信号,利用电离层的反射传播。

2.3.视线传播

高频信号，点对点直线传播,中继传输。

基站直线传播

三、信道与信道容量

1、信道分类与模型

狭义信道:信号传输介质。

广义信道:信号传输介质和通信系统的一些变换装置。

1.调制信道:信号从调制器的输出端传输到解调器的输入端经过的部分。

2.编码信道:数字信号由编码器输出端传输到译码器输入端经过的部分。

2、信道传输特性

1.恒参信道:各种有线信道和部分无线信道，传输特性变化小、缓慢，如微波视线传播链路和卫星链路等。
( 1 )对信号幅值产生固定的衰减;
( 2 )对信号输出产生固定的时延。

2.随参信道:传输特性随时间随机快速变化。
( 1 )信号的传输衰减随时间随机变化;
(2)信号的传输时延随时间随机变化;
( 3 )存在多径传播现象。

3、信道容量

信道容量是指信道无差错传输信息的最大平均信息速率。

1.连续信道容量
理想无噪声信道的信道容量，奈奎斯特公式: 
C= 2B（带宽，信号通过的范围）log2 M（码元，进制）
有噪声连续信道的信道容量,香农公式:
C= Blog2 (1+S/N)  

S/N（信噪比）

四、基带传输

1、概述

模拟基带信号:模拟信源发出的原始电信号。

数字基带信号:数字信源发出的基带信号。

模拟基带信号可以通过信源编码转换为数字基带信号。


基带传输:直接在信道中传送基带信号。
数字基带传输系统:

2、数字基带传输编码

差分码：遇见1 就跳变

3、基带传输码型

1. AMI码
信号交替反转码
零电平编码二进制信息0 ,二进制信息1 (传号)则交
替用正电平和负电平（0不变，1变）表示。

2.双相码一曼彻斯特码
正(高)电平跳到负(低)电平表示1，负电平跳到正电平表示0。

3.米勒码
4. CMI码
5. nBmB码
6. nBmT码

五、频带传输

1、概述

1.数字调制

利用数字基带信号控制载波信号的某些特征参量,使载
波信号的这些参量的变化反映数字基带信号的信息,进
而将数字基带信号变换为数字通带信号的过程。

2.键控法
利用两种不同的幅值、频率或相位来分别表示0或1。

2、三种调制方式

1.二进制数字调制
( 1 )二进制幅移键控：载波信号幅值随基带信号变化

( 2 )二进制频移键控：随基带信号变化而选择不同频率载波信号

( 3 )二进制相移键控：载波信号相位随基带信号变化

( 4)二进制差分相移键控 :基带信号控制相邻码元载波相对相位是否变化，1:相对相位改变0:相对相位不变

2.多进制数字调制

3.正交幅值调制QAM

六、物理层接口规程

1、概述

物理层接的四大特性,分别为机械特性、电气特性、功能特性以及规程特性。

物理层接口规范定义DTE和DCE之间的接口特性。
DTE :数据终端设备（通信设备）
DCE :数据电路端接设备（数据转换信号）

2、物理接口层

1.机械特性
通信实体间硬件连接接口的机械特点。

2.电气特性
在物理连接上,导线的电气连接及有关电路的特性。

3.功能特性
物理接口各条信号线的用途。

4.规程特性
通信协议,指明利用接口传输比特流的全过程，以及各项用于传输的事件发生的合法顺序。

第七章、无线与移动网络

一、无线网络

1、基本结构

1.无线主机
2.无线链路
3.基站
4.网络基础设施
无线主机通过无线链路接入基站，基站连接到网络基础设施（有线的，由基站、路由器等通信设备组成）

5.自组织网络（Ad Hoc网络）
（不需要接入网络基础设施，也就不需要基站）
通过无线主机之间相互转发接受，组成网络

2、无线链路与无线网络特性

无线链路与有线链路的主要区别:

1.信号强度的衰减
2.干扰
3.多径传播
4.隐藏终端（会引起信号冲突，因为本身不知道信号道外的终端也发送信号）

二、移动网络

1、概述

1.不同的移动性需求

2.网络层地址保持不变的重要性

3.有线基础设施的支持

2、寻址

永久地址（属于归属网络，自动分配永久地址，方便通信着去建立连接）

转交地址：
当发生位置改变时，会获得新的ip地址
（也就是转交地址，当然也就属于被仿网络，但这样可能会使通信者找不到，这时便由归属代理转交给外部代理，然后信息给被仿网络）

被仿网络可以直接访问通信者，而不需要通过归属代理

3、移动结点的路由选择

1、间接路由选择：由归属代理转发数据给外部代理
2、直接路由选择：通信代理通过归属代理获得转交地址，直接发送到外部代理。

三、无线局域网IEEE 802.11

1、概念

基站AP

基本服务集BSS（由基站和范围内多个无线主机构成）

每个BSS之间通过集线器、交换机或路由器作为中介，进行转换

AP发现：1、主动扫描探测帧 （2）被动扫描信标帧


IEE 802.11a标准的频率范围为5GHz，其他都是2.4GHz

2、IEEE802.11 的MAC协议

CSMA/CA-带碰撞避免的CSMA :

CSMA/CA通过RTS（请求）和CTS（同意）帧的交换,可以实现信道的预约占用,避免数据帧传输过程中的冲突。

过程：
源站向目的站发送RTS，让目的站空闲便向源站发送CTS同时向其他信道发送，通知其他站，现在有人和我通信了，大概多长时间等，其他站便会推迟接入，所以说不要打扰我们俩，哈哈~

IEEE802.11 标准的共同特征：
（1）都使用相同的介质访问控制协议 CSMA/CA。
（2）链路层帧使用相同的帧格式。
（3）都具有降低传输速率以传输更远距离的能力。
（4）都支持“基础设施模式”和“自组织模式”两种模式。

IEEE 802.11 帧共有 3 种类型：控制帧、数据帧和管理帧。IEEE 802.11 数据帧结构：MAC
首部（30 字节）、帧主体、尾部（FCS）。

四、蜂窝网络

1、概述

基站系统BSS （蜂窝网络）:基站控制器、收发基站
移动交换中心MSC
网关MSC

BSS连接MSC，MSC在通过网关连接到其他通话网络


采用间接路由选择方法

2、移动网络

2G FDMA/TDMA 移动电话系统的开端，分为承载业务、电信业务、附加业务。
3G CDMA/TDMA 全球统一频谱、标准，无缝覆盖，更高频谱效率和系统容量，服务
质量优、保密强，适应多种环境。
4G LTE 系统 高速率传输、智能化、业务多样化、无缝接入、后向兼容、经济。
5G 超高容量、超可靠性、随时随地可接入性。

五、移动IP网络

1、代理发现

1.代理通告
外部代理或归属代理使用一种现有路由器发现协议的打展协议来通告其服务。
周期性地在所有连接的链路上广播一个类型字段为9 (路由器发现)的ICMP报文。

2.代理请求
移动结点广播一个代理请求报文,该报文是一个类型值为10的ICMP报文。
收到该请求的代理将直接向该移动结点单播一个代理通告。

2、向归属代理注册

移动结点和/或外部代理向一个移动结点的归属代理注册或注销COA所使用的协议。

1.移动结点向外部代理发送一个移动IP注册报文 ;
2.外部代理记录移动结点的永久IP地址，并发送注册请求给归属代理;
3.归属代理接收注册请求并发送注册应答;
4.外部代理接收注册应答,然后将其转发给移动结点。

六、其他典型无线网络简介

1. WiMax
IEEE 802.16 ,城域网技术,传输距离更远,接入带宽更高。

2.蓝牙
IEEE 802.15.1 ,小范围,低功率,低成本,自组织。

3. ZigBee
IEEE 802.15.4 ,低功率，低数据速率,低工作周期。

第八章、网络安全基础

一、网络安全概述

1、基本概念

网络安全通信所需要的基本属性:
1.机密性;
2.消息完整性;
3.可访问与可用性;
4.身份认证。

2、网络安全威胁

1.窃听;
2.插入;
3.假冒;
4.劫持;
5.拒绝服务DoS和分布式拒绝服务DDoS ;（攻击者发出的长信息攻击对方，使对方宕机）
6.映射;（扫描应用端口，找出漏洞）
7.嗅探;（改造自己为混杂模式，信息广播时，便会接受到）
8. IP欺骗。

二、数据加密

1、概述

明文:未加密的消息。
密文:被加密的消息。
加密:伪装消息以隐藏消息的过程,即明文转变为密文的过程。
解密:密文转变为明文的过程。

2、传统加密方式

1.替代密码
用密文字母代替明文字母。

2.换位密码
根据一 定的规则重新排列明文。

3、对称密钥加密

现代密码分类:

对称密钥密码:加密密钥和解密密钥相同密钥保密

非对称密钥密码:加密密钥和解密密钥不同。（需要俩个配合的使用，例：公钥和私钥配合）

对称密钥密码分类:
分组密码: DES , AES、IDEA等。
流密码。

1. DES : 56位密钥, 64位分组。
2.三重DES :使用两个密钥(共112位) , 执行三次 DES算法。 （加密解密再加密）
3. AES :分组128位,密钥128/192/256位。
4. IDEA :分组64位,密钥128位。

位数越多越安全，但是容易耗费加密时间

3、非对称/公开密钥加密

密钥成对使用,其中一个用于加密,另-个用于解密且加密密钥可以公开,也称公开密钥加密。

典型的公钥算法:
Diffie- Hellman算法
RSA算法

三、消息完整性与数字签名

1、 消息完整性检测方法

密码散列函数

1.特性:
定长输出;
单向性(无法根据散列值逆推报文) ;
抗碰撞性(无法找到具有相同散列值的两个报文)。

2.典型散列函数
MD5 : 128位散列值
SHA-1 : 160位散列值

2、报文认证

报文认证是使消息的接收者能够检验收到的消息是否是
真实的认证方法。来源真实、未被篡改。
1.报文摘要(数字指纹)
2.报文认证方法
简单报文验证:仅使用报文摘要,无法验证来源真实性。
报文认证码:使用共享认证密钥,但无法防止接收方篡改。

3、数字签名

身份认证、数据完整性、不可否认性，
1.简单数字签名:直接对报文签名
2.签名报文摘要

四、身份认证

1、口令

口令:会被窃听
加密令;可能遭受回放(重放)攻击
加密次性随机数:可能遭受中间人攻击

五、密钥的分发中心与证书认证机构

1、概述

基于KDC的密钥生成和分发

KDC类似中间人

2、证书认证机构

认证中心CA :将公钥与特定的实体绑定
1.证实一个实体的真实身份;
2.为实体颁发数字证书(实体身份和公钥绑定)。

六、防火墙入侵检测系统

1、概念

防火墙:能够隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其他分组进入或离开内部网络的软件、硬件或者软件硬件结合的一种设施。

前提:从外部到内部和从内部到外部的所有流量都经过防火墙。内部网络

2、分类

1.无状态分组过滤器
基于特定的规则对分组是通过还是丢弃进行决策。使用访问控制列表( ACL )实现防火墙规则。

2.有状态分组过滤器
跟踪每个TCP连接建立、拆除,根据状态确定是否允许分组通过。

3.应用网关
鉴别用户身份或针对授权用户开放特定服务。

3、入侵检测系统IDS

入侵检测系统( IDS )是当观察到潜在的恶意流量时,
能够产生警告的设备或系统。

七、网络安全协议

1、安全电子邮件

1.电子邮件安全需求
(1)机密性;
(2)完整性;
(3)身份认证性;
(4)抗抵赖性。

2.安全电子邮件标准
PGP

2、安全套接字层SSL

1. SSL是介于应用层和传输层之间的安全协议。
  
  2. SSL协议栈
      SSL握手协议
      SSL更改密码协议
      SSL警告协议
      SSL记录协议
      TCP
      IP
   
   3. SSL握手过程
      协商密码组，生成密钥,服务器/客户认证与鉴别。

3、虚拟专用网VPN和IP安全协议IPSec

VPN
建立在公共网络上的安全通道,实现远程用户、分支机构、业务伙伴等与机构总部网络的安全连接，从而构建针对特定组织机构的专用网络。

关键技术:隧道技术，如IPSec。

典型的网络层安全协议一IPSec
提供机密性、身份鉴别、数据完整性验证和防重放攻击服务。
体系结构:认证头AH协议、封装安全载荷ESP协议。
运行模式:传输模式( AH传输模式、ESP传输模式 )、
隧道模式( AH隧道模式、ESP隧道模式)。