1 数据通信基础
1.1 基础概念
通信中产生和发送信息的 端叫作信源,接收信息的端叫作 信宿,信源和信宿之间的通信线路称为信道。信息在进入信道时要变换为适合信道传输的形式, 在进入信宿时又要变换为适合信宿接收的形式。 <br /> 作为一般的通信系统,信源产生的信息可能是模拟数据,也可能是数字数据。模拟数据取连续值,而数字数据取离散值。 <br /> 信源产生的是模拟数据并以模拟信道传输,则叫作模拟通信;如果信源发出的是模拟 数据且以数字信号的形式传输,那么这种通信方式叫数字通信。模拟通信和数字通信统称为数据通信。
1.2 信道特征
1.2.1 信道带宽
模拟信道带宽计算:W = f2 -f1
数字信道带宽计算:
- 码元速率,即波特率,单位时间内通过信道传输的码元个数。若带宽为W,则最大码元速率为:
B = 2W
- 码元携带的信息量由码元取的离散值的个数决定。一个码元携带的信息 n (位)与码元的种类数N有如下关系:
n=log2N (N=2n)
- 单位时间内在信道上传送的信息量(位数)称为数据速率(R,单位是每秒位 (bps b/s)),在一定的波特率下提高速率的途径是用一个码元表示更多的位数。数据速率计算公式如下:
R=Bn =Blog2N=2Wlog2N (bps)
实际信道会受到各种噪声的干扰, 因而远远达不到按奈奎斯特定理计算出的数据传送速率。有噪声信道的极限数据速率可由下面的香农公式计算:
C = W*log2(1+S/N)
W为信道带宽, S为信号的平均功率, N为噪声平均功率,S/N叫作信噪比。由于在实际使用中S/N的比值太大,故常取其分贝数 (dB) 。分贝与信噪比的关系为:
dB=10*log10 S/N
1.2.2 误码率
在有噪声的信道中,数据速率的增加意味着传输中出现差错的概率增加。用误码率来表示 传输二进制位时出现差错的概率。误码率可用下式表示:
P = N(出错的位数)/N( 传送的总位数)
在计算机通信网络中,误码率一般要求低千 10∧-6,即平均每传送1兆位才允许错1位。在误码率低于一定的数值时,可以用差错控制的办法进行检查和纠正。
1.2.3 信道延迟
信号在信道中传播,从源端到达宿端需要一定的时间。这个时间与源端和宿端的距离有关, 也与具体信道中的信号传播速度有关。
1.3 传输介质
双绞线
双绞线由粗约 1mm 的互相绝缘的一对铜导线绞扭在一起组成,对称均匀地绞扭可以减少 线对之间的电磁干扰。这种双绞线大量使用在传统的电话系统中,适用千短距离传输,若超过 几千米,就要加入中继器。
双绞线分为屏蔽双绞线和无屏蔽双绞线。 屏蔽双绞线电缆的外层由铝箱包裹着,价格相对高一些,并且需要支持屏蔽功能的特殊连接器和适当的安装技术,但是传输速率比相应的无屏蔽双绞线高。
同轴电缆
同轴电缆的芯线为铜质导线,外包加一层绝缘材料,再外面是由细铜丝组成的网状外导体, 最外面加一层绝缘塑料保护层,芯线与网状导体同轴,故名同轴电缆。同轴电缆的这种结构,使它具有高带宽和极好的噪抑制特性。
光缆
无线信道
无线信道,即通过空间传播信号的信道。无线信道包括微波、红外和短波信道等。
1.4 数据编码
1.7 通信方式
数据通信方式
- 单工: 信息只能在1个方向传送,发送方不能接收,接收方也不能发送 。如无线电广播、电视广播。
- 半双工: 通信的双方可交替发送和接收信息,但不能同时发送和接收 。如对讲机。
- 全双工: 可同时进行双向信息传送的通信方式 。如现代电话通信。
同步方式
1. 异步传输:
即把各个字符分开传输,字符之间插入同步信息。这种方式也叫起止式, 即在字符的前后分别插入起始位(“0 “)和停止位(“ 1 “)’。起始位对接收方的时钟起置位作用;停止位告诉接收方该字符传送结束,然后接收方就可以检测后续字符的起始位了。 当没有字符传送时,连续传送停止位。异步传输的优点是简单,但是由于起止位和检验位的加入会引入 20%~30% 的开销,传输的速率也不会很高。
同步传输:
发送方在发送数据之前先发送一串同步字符 SYNC, 接收方只要检测到连续两个以上 SYNC 字符就确认已进入同步状态,准备接收信息。随后的传送过程中双方以同一频率工作(信号编码的定时作用也表现在这里),直到传送完指示数据结束的控制字符。这种同步方式仅在数据块的前后加入控制字符 SYNC. 所以效率更高。 在短距离高速数据传输中,多采用同步传输方式。
交换方式
5 网络互联与互联网
5.1 网络线路互联
网络互联设备
网络互连设备的作用是连接不同的网络。
网络互连设备可以根据它们工作的协议层进行分类:
中继器-物理层;
网桥 、交换机-数据链路层;
路由器 -网络层;
网关 -网络层以上的协议层;
中继器
由于传输线路噪音的影响,承载信息的数字信号或模拟信号只能传输有限的距离。在这种情况下,用中继器连接两个网段可以延长信号的传输距离。中继器的功能是对接收信号进行再生和发送,只是起到扩展传输距离的作用。中继器不解释也不改变接收到的数字信息,它只是从接收信号中分离出数字数据,存储起来,然后重新构造它并转发出去。再生的信号与接收信号完全相同并可以沿着另外的网段传输到远端。
中继器也能把不同传介质的网络连在一起。集线器的工作原理基本上与中继器相同, 集线器就是多端口中继器 ,它把1个端口上收到的数据广播发送到其他所有端口。
网桥
类似于中继器,网桥用于连接两个局域网段,但它工作于数据链路层,网桥要分析帧地址字段,以决定是否把收到的帧转发到另1个网段上 。
包过滤作用
网桥检查帧的源地址和目标地址,如果目标地址和源地址不在同一个网段上,就把帧转发到另一个网段上;若两个地址在同1个网段上,则不转发。
网桥的使用
交换机是一种多端口网桥,每一个端口都可以连接一个局域网。
路由器
路由器根据网络逻辑地址在互连的子网之间传递分组。一个子网可能对应于一个物理网段,也可能对应千几个物理网段,路由器适合于连接复杂的大型网络,它工作于网络层。
5.2 IP协议
ip协议是网络层协议。
OSI模型
5.2.1 IP地址
- IP网络地址采用“网络·主机”的形式。
- IP 地址分为5类,A、B、C类是常用地址。
- IP 地址的编码规定全0表示本地地址,即本地网络或本地主机;全1表示广播地址,任何网站都能接收。
5.2.2 IP协议的操作
- 数据报生存周期
- 分片和重装配
- 差错控制和流控
5.2.3 IP协议数据单元
IP协议格式:
- 版本号:协议的版本号,如IPv4、IPv6。
- IHL: IP 头长度,以 32 位字计数,最小为 5, 20 个字节。
- 服务类型 :用于区分不同的可靠性、优先级、延迟和吞吐率的参数。
- 总长度:包含 IP 头在内的数据单元的总长度(字节数)。
- 标识符:唯一标识数据报的标识符。
- 标志:包括3个标志。
- 一个是M标志,用于分段和重装配;
- 另一个是禁止分段标志,如果认为目标站不具备重装配能力,则可使这个标志置位,这样如果数据报要经过一个最大分组长度较小的网络,就会被丢弃,因而最好使用源路由以避免这种灾难发生;
- 第3个标志当前没有启用。
- 段偏置值:指明该段处于原来数据报中的位置。
- 生存期:用经过的路由器个数表示。
- 协议:上层协议 (如,TCP、UDP)。
- 头校检和:IP 头的校验序列。在数据报传输过程中 IP 头中的某些字段可能改变(例如生存期,以及与分段有关的字段),所以校检和要在每一个经过的路由器中进行校验和重新计算。校检和是对IP头中的所有16位字进行 的补码相加得到的,计时时假定校检和字段本身为0。
- 源地址:给网络和主机地址分别分配若干位, 例如7和24、14和16、21和8 等。
- 目标地址:同上。
- 任选数据:可变长,包含发送者想要发送的任何数据。
- 补丁:补齐 32 位的边界。
- 用户数据:以字节为单位的用户数据,和IP头加在一起的长度不超过 65535字节。
5.3 ICMP协议
ICMP协议与IP协议同属于网络层协议, ICMP报文封装在IP数据报中传送,因而不保可靠的提交。
- 类型:表示 ICMP 报文的类型;
- 代码:表示报文的少量参数,当参数较多时写入 32 位的参数字段;
- 信息(可变):ICMP报文携带的信息包含在可变长的信息字段中;
- 校验和:是关于整个ICMP报文的校验;
ICMP报文有11种之多,以下为部分ICMP报文简介:
- 目标不可到达(类型3) :如果路由器判断出不能把IP数据报送达目标主机,则向源主机返回这种报文。另一种情况是目标主机找不到有关的用户协议或上层服务访问点,也会返回这种报文,出现这种情况的原因可能是IP头中的字段不正确;或者是数据报中说明的源路由无效;也可能是路由器必须把数据报分片,但IP头中的D标志已置位。
- 超时(类型11): 路由器发现IP数据报的生存期已超时,或者目标主机在一定时间内无法完成重装配,则向源端返回这种报文。
- 源抑制(类型4):这种报文提供了一种流 控制的初等方式 如果路由器或目标主 机缓冲资源耗尽而必须丢弃数据报,则每丢弃一个数据报就向源主机发回一个源抑制 报文,这时源主机必须减小发送速度。另外一种情况是系统的缓冲区已用完,并预感 到行将发生拥塞,则发出源抑制报文。但是与前一种情况不同,涉及的数据报尚能提 交给目标主机
5.4 TCP和UDP协议
TCP/IP协议簇中有两个传输协议,即传输控制协议 (Transmission Control Protocol, TCP) 和用户数据报协议 (User Datagram Protocol, UDP) 。TCP 是面向连接的,而 UDP 是无连接的。
5.4.1 TCP协议
TCP只有一种类型的 PDU, 叫作 TCP段,端头格式如下:
- 源端口(16位):说明源服务访问点。
- 目标端口(16位):表示目标服务访问点。
- 发送顺序号(32位):本段中第一个数据字节的顺序号。
- 接收顺序号(32位) :捎带接收的顺序号,指明接收方期望接收的下一个数据字节的顺序号。
- 偏置值(4位):传输头中 32 位字的个数。因为传输头有任选部分,长度不固定,所以需要偏置值。
- 保留(6位):未用,所有实现必须把这个字段置全0。
- 标志(6位):表示各种控制信息,其中
- URG: 紧急指针有效。
- ACK: 接收顺序号有效。
- PSH: 推进功能有效。
- RST: 连接复位为初始状态,通常用于连接故障后的恢复。
- SYN: 对顺序号同步,用千连接的建立。
- FIN: 数据发送完,连接可以释放。
- 窗口 (16位):为流控分配的信息量。
- 校验和(16位):段中所有16位字按模 i16-1 相加的和,然后取1的补码。
- 紧急指针(16位):从发送顺序号开始的偏置值,指向字节流中的一个位置,此位置之前的数据是紧急数据。
- 任选项(长度可变): 目前只有一个任选项,即建立连接时指定的最大段长。
- 补丁:补齐 32 位字边界。
UDP协议
UDP报头格式:
- UDP报头包含源端口号和目标端口号;
- 段长指整个UDP 段的长度,包括头部和数据部分。
- 校验和与 TCP相同,但是任选的, 如果不使用校验和,则这个字段置 。
- 由于IP的校验和只作用于IP头,并不包括数据部分,所以当 UDP的校验和字段为0时,实际上对用户数据不进行校验。
5.5 域名和地址
Internet 地址分为3级,可表示为“网络地址·主机地址 端口地址”的形式。
- 网络和主机地址即IP地址;
- 端口地址就是 TCP或UDP 地址,用于表示上层进程的服务访问点。
- TC /IP 网络中的大多数公共应用进程都有专用的端口号,这些端口号其值小于1024, 而用户进程的端口号一般大于1024。
5.5.1 域名系统DNS
DNS逻辑结构是一个分层的域名树。
- 根域:Internet 网络信息中心管理着域名树的根,称为根域。
- 根域没有名称,用句号”.”表示,这是域名空间的最高级别。
- 根域位于域名末尾,可省略。
- 顶级域TLD:位于根域名下面, 分为国家顶级域和通用顶级域 。
- 国家顶级域名:包含243个国家和地区代码,例如
cn
代表中国,uk
代表英国等 。 - 最初的通用顶级域有7个,如图所示:
- 国家顶级域名:包含243个国家和地区代码,例如
这些顶级域名原来主要供美国使用,随着Internet 的发展,com、org、net 成为全世界通用的顶级域名,就是所谓的“国际域名”,而 edu gov 和mil 限于美国使用
- 2001年开始使用新的国际顶级域名,共有7个,如下:
1. biz (商 业机构)
2. info (网络公司)
3. name (个人网站)
4. pro (医生和律师等职业人员)
5. aero (航空运 输业专用)
6. coop (商业合作社专用)
7. museum (博物馆专用)
其中,前4个是非限制性域 名,后3个限于专门的行业使用,受有关行业组织的管理。
- 二级域:顶级域下面是二级域,这是正式注册给组织和个人的唯一名称,例如 www microsoft.com 中的 microsoft 就是微软注册的域名。
- 子域:在二级域之下,组织机构还可以划分子域,使其各个分支部门都获得一个专用的名称标识。例如www.sales.microsoft.com 中的 sales 是微软销售部门的子域名称。
- 划分子域的工作可以一直 延续下去,直到满足组织机构的管理需要为止。
- 但是标准规定,一个域名的长度通常不超过 63 个字 ,最多不能超过 255 个字符。
DNS命名规则
- 域名中只能使用 ASCII 字符集的有限子集,包括 26 个英文字母(不 区分大小写)和 10 个数字,以及连字符“-”,并且“-”字符不能作为子域名的第一个和最后一个字符,后来的标准对字符集有所扩大。
DNS服务器
- 域名到IP地址的变换由DNS服务器实现。
- 一般子网中都有一个域名服务器,该服务器管理本地子网所连接的主机,也为外来的访问提供DNS服务。
- 这种服务采用客户端/服务器访问方式:客户端程序把主机域名发送给服务器,服务器返回对应的IP地址。
5.5.2 地址解析协议ARP
实现逻辑地址(IP地址)到物理地址(MAC地址)映像。
ARP格式:
- 硬件类型:网络接口硬件的类型,对以太网此值为1。
- 协议类型:发送方使用的协议,0800H 表示 IP 协议。
- 硬件地址长度: 对以太网,地址长度为6字节。
- 协议地址长度:对IP协议,地址长度为4字节。
- 操作:
- 1 - ARP请求
- 2 - ARP响应
- 3 - RARP请求
- 4 - RARP响应
- 发送节点硬件地址:源MAC
- 发送节点协议地址:源IP
- 接收节点硬件地址:目的MAC
- 接收节点协议地址:目的IP
5.6 网关协议
自制系统
自治系统是由同构型的网关连接的因特网,这样的系统往往是由一个网络管理中心控制 的。自治系统内部的网关之间执行内部网关协议 (IGP), 互相交换路由信息。
不同的自治系统可能采用不同的路由表、不同的路由选择算法。在不同自治系统之间用外部网关协议 (EGP) ,交换路由信息。
外部网关协议
早期外部网关协议叫 EGP, 最新的外部网关协议叫作 BGP 。
内部网关协议
常用内部路由协议包括路由信息协议 (RIP) 、开放最短路径优先协议 (OSPF) 、中间系统到中间系统的协议(IS-IS) 、内部网关路由协议 ( IGRP) 、增强的 IGRP 协议 (EIGRP) 等,最后两种是思科公司的专利协议
- 路由信息协议RIP
RIP 适用千小型网络,因为它允许的跳步数不超过1;RIP分为2个版本。
- RIPv1
- 是早期的路由协议,现在仍然广泛使用。
- 使用本地广播地址 255.255 255.255 发布路由信息;
- 默认的路由更新周期为 30s, 持有时间180s;
- 也就是说, RIP 路由器每 30s 向所有邻居发送一次路由更新报文,如果在180s 之内没有从某个邻居接收到路由更新报文,则认为该邻居已经不存在了。这时如果从其他邻居收到了有关同一目标的路由更新报文 ,则用新的路由信息替换已失效的路由表项,否则,对应的路由表项被删除。
- 以跳数来度量路由费用,选择跳数最少的路由作为最佳路由转发,15跳是最大跳数,16跳是不可到达网络,会被路由器丢弃;
- 是有类别的协议 , 这意味着配置RIPv1时必须使用 IP 地址和子网掩码,例如不能把子网掩码 255.255.255.0 用用于B类网络 172.16.0.0 ;
- 对于同一目标,RIP路由表项中最多可以有6条等费用的通路,默认是4条。RIP可以实现等费用通路的负载均衡,这种机制提供了链路冗余功能, 以对付可能出现的连接失败,但是RIP不支持不等费用通路的负载均衡;
- RIPv2
- 是增强了的RIP, RIPv2 基本上还是一个距离矢量路由协议 ;
- 组播而不是广播来传播路由、更新报文;
- 采用了触发更新机制来加速路由收敛,即出现路由变化时,立即向邻居发送路由更新报文,而不必等待更新周期是否到达。
- RIPv2是一个无类别的协议,可以使用可变长子网掩码 (VLSM), 也支持无类别域间路由 CIDR ),
- RIPv2支持认证,使用经过散列的口令字
- 路由收敛和水平分隔
- 解决路由环路问题可以采用水平分割法:路由器必须有选择地将路由表中的信息发送给邻居,而不是发送整个路由表,即一条路由信息不会被发送给该信息的来源。
RIP报文格式
- RIPv2 报文封装在 UDP 数据报中发送,占用端口号 520;
- 报文包含4个字节的报头,然后是若干个路由记录;
- RIP报文最多可携带25个路由记录,每个路由记录 20个字节;
- 命令: 用于区分请求和响应报文;
- 版本:RIPv1或RIPv2,两种版本报文格式相同;
- 地址族标识符:对于IP协议,该字段为2;
- 路由标记:区别内部或外部路由,用16位的AS编号来区分从其他自治系统学习到的路由。
- 网络地址:表示目标IP地址。
- 子网掩码:对于RIPv2, 该字段是对应网络地址的子网掩码;对于RIPv1, 该字段是0, 因为 RIPv1 默认使用A、B、C类地址掩码。
- 下一跳路由器地址:表示下一跳的地址。
- 距离:表示到达目标的跳步数。
- OSPF协议
核心网关协议
Internet中有一个主干网,所有的自治系统都连接到主干网上。Internet的总体结构分为主干网和外围部分,后者包含所有的自治系统。
主干网中的网关叫核心网关,核心网关之间交换路由信息时使用核心网关协议GGP。
网关交换的路由信息与EGP协议类似,指明网关连接哪些网络,距离是多少,距离也是以中间网关个数计数。 GGP协议的报文格式与EGP类似。报文分为以下4类。
- 路由更新报文:发送路由信息
- 应答报文:对路由更新报文的应答,分肯定、否定两种。
- 测试报文:测试相邻网关是否存在。
- 网络接口状态报文:测试本地网络连接的状态。
5.7 路由器技术
因特网存在IP地址短缺问题,解决该问题有2种方案,长期的解决方案即使用具有更大地址空间的IPv6协议,短期的解决方案有网络地址翻译(NAT)、无类别的域间路由技术(GIDR),这些技术都是在现有的 IPv4 路由器中实现的。
NAT技术
最初提出的建议是在子网内部使用局部地址,而在子网外部使用少量的全局地址,通过路由器进行内部和外部地址的转换。这种想法的基础是假定在任何时候子网中只有少数计算机需要与外部通信,可以让这些计算机共享少量的全局IP地址。NAT技术的应用有如下2种场景:
- 动态地址翻译m:n
- 存根域: 就是内部网络的抽象。这样的网络只处理源和目标都在子网内部的通信。
- 任何时候存根域内只有一部分主机要与外界通信,甚至还有许多主机可能从不与外界通信,所以整个存根域只需共享少量的全局IP地址。存根域有一个边界路由器,由它来处理域内主机与外部网络的通信。
- m:需要翻译的内部地址数。
- n: 可用的全局地址数 (NAT 地址)。
- m:n 翻译满足条件m>1,m>n时,可以把一个大的地址空间m映像到一个小的地址空间n。所有 NAT 地址放在一个缓冲区中,并在存根域的边界路由器中建立一个局部地址和全局地址的动态映像表。
- NAT地址重用有以下特点:
- 只要缓冲区中存在尚未使用的全局IP地址,任何从内向外的连接请求都可以得到响应, 并且在边界路由器的动态NAT表为之建立一个映像表项;
- 如果内部主机的映像存在,可以利用它建立连接;
- 从外部访问内部主机是有条件的,即动态 NAT 表中必须存在该主机的映像。
- 存根域: 就是内部网络的抽象。这样的网络只处理源和目标都在子网内部的通信。
- 伪装 m:1
- 网络地址和端口翻译 (NAPT):因为用1个路由器的IP地址可以把子网中所有主机的IP地址都隐藏起来,如果子网中有多个主机同时都要通信,那么还要对端口号进行翻译。很多NAPT实现中专门保留一部分端口号给伪装使用叫作伪装端口号。
- 该应用具有以下特点:
- 出口分组的源地址被路由器的外部IP地址所代替,出口分组的源端口号被一个未使用的伪装端口号所代替;
- 如果进来的分组目标地址是本地路由器的IP地址,而目标端口号是路由器的伪装端口号,则NAT路由器就检查该分组是否为当前的一个伪装会话,并试圈通过伪装表IP地址和端口号进行翻译。
CIDR技术
第三层交换技术
5.8 IP组播技术
由一个源向一组主机发送信息的传输方式称为组播。 <br /> 每一个组播组被指定了一个D类地址作为组标识符。组播源利用组地址作为目标地址来发送数据包,组播成员向网络发出通知,声明它期望加入的组播组地址。 <br /> IGMP协议用于支待接收者加入或离开组播组。一旦有接收者加入了一个组,就要为这个组在网络中构建一个组播分布树。用于生成和维护组播树的协议有许多种,例如独立组播协议 PIM等。
- 组播成员可以来自不同的物理网络;
- 利用组播技术可以提高网络传输的效率,减少主干网拥塞的可能性;
- 组播源在把一个组播数据报提交给所有组播成员时,只有与该组有关的中间节点可以复制数据报,在通往各个组成员的网络链路上只传送数据报的一个副本。
- 实现IP组播的前提是组播源和组成员之间的下层网络必须支持组播,包括下面的支持功能:
- 主机的 TCP/IP 实现支持IP组播;
- 主机的网络接口支待组播;
- 需要一个组管理协议,使得主机能够自由地加入或离开组播组;
- IP地址分配策略能够将第三层组播地址映射到第二层MAC地址;
- 主机中的应用软件应支持IP组播功能;
- 所有介于组播源和组成员之间的中间节点都支持组播路由协议;
组播地址
- ip组播地址分类
IPv4的D类地址是组播地址,组播地址可分为3类:
- 224.0.0.0~224.0.0.255: 保留地址,用于路由协议或其他下层拓扑发现协议以及维护、管理协议等。例如:
- 224.0.0.1 代表本地子网中的所有主机;
- 224.0.0.2 代表本地子网中的所有路由器;
- 224 0.0.5 代表所有OSPF路由器;
- 224.0.0.5 代表所有RIPv2路由器;
- 224.0.0.12 代表DHCP服务器或中继代理;
- 224.0 13 表所有支持PIM路由器等;
- 224.0.1.0~238.255.255.255: 用于全球范围的组播地址分配,可以把这个范围的地址动态地分配给一个组播组,当一个组播会话停止时,其地址被收回 ,以后还可以分配给新出现的组播;
- 239.0.0.0~239.255:255.255: 在管理权限范围内使用的组播地址,限制了组播的范围, 可以在本地子网中作为组播地址使用;
7 网络安全
7.1 网络安全基本概念
7.1.1网络安全威胁类型
- 窃听
- 假冒
- 重放
- 流量分析
- 数据完整性破坏
- 拒绝服务
- 资源的非授权使用
- 陷门和特洛伊木马
- 病毒
- 诽谤
7.1.2 网络安全漏洞
7.1.3 网络攻击
攻击是指任何的非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到完全破坏、控制服务器。
分类:
- 被动攻击
- 主动攻击
- 物理临近攻击
- 内部人员攻击
- 分发攻击
7.1.4 安全措施的目标
安全措施的目标如下
- 访问控制。确保会话对方(人或计算机)有权做它所声称的事情。
- 认证。确保会话对方的资源(人或计算机)与它声称的相一致。
- 完整性。确保接收到的信息与发送的一致。
- 审计。确保任何发生的交易在事后可以被证实,发信者和收信者都认为交换发生过, 即所谓的不可抵赖性。
- 保密 。确保敏感信息不被窃听。
7.1.5 基本安全技术
网络安全措施分类:
- 数据加密
- 数字签名
- 身份认证
- 防火墙。防火墙是位千两个网络之间的屏障,一边是内部网络(可信赖的网络),另 一边是外部网络(不可信赖的网络)。按照系统管理员预先定义好的规则控制数据包的进出。
- 内容检查。即使有了防火墙、身份认证和加密,人们仍担心遭到病毒的攻击。