高级计算机网络知识点

第三章网络互联3.1交换和桥接交换机实现数据转发的方法：数据报、虚链路、源路由数据报每个分组都携带有完整的目的地址，通过交换机的转发表查找下一跳特点：网络内的主机任何时候都可以发送分组；当一台主机发送分组时，主机无法确定目的主机是否可达；每个分组的转发都是独立于之前的分组的；当一台交换机出现故障时，可寻找另外的链路并更新转发表虚电路交换在发送数据之前首先在源主机和目的主机之间建立一条虚连接虚链路的建立方法：管理员配置；主机发送消息（信令）给网络以建立连接状态。异步传输方式ATMATM是采用虚链路连接的，ATM信元（即传送的最小数据单位）是股固定长度的。采用固定长度的优点：硬件实现简单；可并行实现。信元长度太长则每个信元的有效数据占比太少；若每个信元长度太短则每个数据的头部占比过大。源路由由源主机提供通过网络交换分组时所需的全部网络拓扑信息结构。分组的首部需要含有足够多的信息，使得路径上每个交换机能够确定把该分组放到交换机的哪个输出端口。源路由中处理首部的三种方法：旋转、删除、指针。由一个或者多个网桥连接的lan集合通常称为扩展局域网学习型网桥：每个网桥都会检查它所接收的帧的源地址，并进行记录，由此可得数据发送主机的地址可以通过输入端口路径传送。生成树算法：为了解决扩展局域网中存在环路的问题，目标是扩展局域网中没有环路并能到达所有的局域网。配置消息中应包含的信息：发送消息的网桥的标识符；发送网桥认定的根网桥的标识符；从发送网桥到根网桥的按调距离。广播和多播广播的实现：每个网桥将带有目标广播广播地址的帧转发到除了接受它的端口以外的所有端口。多播的实现：与广播相同，由主机确定是否接受该多播消息。网桥的局限性只能连接数量有限的相似的LAN，可扩展性、异构性差。虚拟LAN（VLAN）可以将一个扩展局域网分成几个看起来独立的LAN，给每个LAN赋予一个标识符，只有标识符相同时，分组才能从一个网段到达另外一个网段。能够改变网络的拓扑结构而不用移动任何线路或者更改任何地址。第二节互联网基础IP（网际协议）是一种尽力的、无连接的协议。IPV4数据报的首部：首部长度一般为20字节。数据长度最大为65535（2^16-1）字节。目的地址指明完整的目的地址。分片和重组每种网络都有一个最大传输单元（MTU），这是一帧中所能包含的最大的分组尺寸。当这个分组长度小于IP数据报的数据长度，便会产生分片和重组。全局地址全局唯一性是一个编址方案所应提供的首要特性。IP地址包含：网络部分、主机部分。IP地址应该被视为接口而不是主机。转发：是将从输入端口得到的一个分组通过适当的输出端口发送出去的过程；路由：建造一张路由表以确定分组的正确输出端口的过程。转发表中包含（网络号、下一跳）对，通常还有一台默认路由器。网桥、交换机、路由器网桥是链路层节点，在链路间转发帧以实现扩展的LAN；交换机是网络层节点，在链路间转发分组以实现分组交换网络；路由器是互联网层节点，在网络之间转发数据报以实现互联网。子网划分思想是只用一个网络号，把具有这个网络号的IP地址分配给多个物理网络，这些物理网络叫子网。要求子网应离得很近，因为一台路由器只能选择一个路由来到达任何子网。在子网聚合而成的网络中的路由器的路由表的格式为《子网号、子网掩码、下一跳》以及一个默认路由，在进行转发查询时，是将目的地址与子网掩码做与运算，与子网号进行比价，若相同，则从对应的下一跳进行转发。缺点是路由的路由表存储较为繁杂。超网（CIDR）192.6.24/18地址转换协议ARPIP数据报包含IP地址，但将数据报传送到的主机或者路由器上的物理硬件接口只理解特定网络的编址方案，这需要我们将IP地址转换为这个网络所能理解的链路层地址。ARP是使网络上的每台主机都建立一张IP地址与链路层地址之间的映射表。一般通过广播实现。动态主机配置协议（DHCP）DHCP服务器负责向主机提供配置信息，新连接的主机进入网络，发送一条广播消息，若网络中有DHCP服务器，则应答该消息，并进行IP地址的配置。若不存在，则依靠网络上的中继代理将该消息单播到DHCP服务器。网际控制报文协议（ICMP）定义了当一台路由器或者主机不能成功处理一个IP数据报时，向源主机发回的错误消息的集合（目标主机不可达、重组进程失败等等）。同时ICMP协议也定义了路由器可发回源主机的少量控制信息，如ICMP重定向，告知源主机有一条更好的达到目标的路由。虚拟专用网（VPN）用共享的传输线路代替那些不与任何其他公司共享的传输线路，使网络在逻辑上为独立的。IP隧道通过将隧道远端的IP地址提供给虚链路，就可以在隧道入口处的路由之间建立虚链路。当隧道入口处的路由器想通过这个隧道发送分组时，就可以把分组封装在IP数据报中。优点：安全；可支持多播路由；可传送非IP数据报通过IP网络。缺点：增加了分组长度；影响隧道两端的路由器性能；增加了管理实体的管理开销。第三节路由路由协议按照其范围分为域内路由协议（IGP），域间路由协议。两类主要的路由协议：距离向量、链路状态。距离向量算法（RIP）：每个节点构造一个包含到其他所有节点的距离（开销）的一维数组（向量），并将这个向量发送给他的邻接点，进而构造出路由表。路由表更新的方式：定期更新；触发更新（某个节点链路故障或者受到其他节点发来的更新）改进稳定路由时间的一种技术为水平分割。思想是当一个节点把路由的更新消息发给相邻节点时，他并不把从各个相邻节点处学到的路由再回送给该节点。路由信息协议RIP是基于距离向量协议的一个简单实现。链路状态路由是第二类主要的域内路由协议与距离向量思想十分接近。每个节点都知道怎样到达它的邻接点，确保这些信息能够完整的传送传播到每个节点，那么每个节点都有足够的信息来建立完整的网络映像。链路状态路由主要依靠两种机制：链路状态信息的可靠传播；根据所有积累的链路状态的总和进行路由计算。开放最短路径优先协议（OSPF）开放最短路径优先协议在链路状态路由算法的基础上增加了：路由消息的认证（避免错误消息的传播）、附加层次（将路由域划分为不同的层）、负载均衡（当有多条路径可达时，合理分配数据流量）第四节实现与性能路由器的基本结构组成：输入端口、输出端口、交换结构、控制处理器。端口的任务：处理复杂事务以便交换结构处理其中相对简单的工作；缓存。交换结构的实例、；共享总线、共享内存、纵横式，自选路由。

第四章高级网络互联1.促使互联网扩展为当前规模的域间路由协议为边界网关协议（BGP）。第一节全球互联网因为不同的服务提供商（ISP）对网络中所使用的最佳路由协议以及如何给网络中的链路指定度量标准有不同的看法，通常每个提供商网络就是一个自治系统（AS）互联网的扩展主要解决两个问题路由的可扩展性（减少路由协议中携带的和路由器路由表中携带的网络号数目）地址利用问题（IP地址不会被过快的消耗）路由区：区是从管理上配置成相互交换链路状态信息的路由器的集合。一台既是主干网区也是非主干网区成员的路由器是区边界路由器（ABR）区中的所有路由器彼此间发送链路状态通知，并由此发展出一个完整且一致的区映像图。域间路由：不同路由域之间的路由方法。域间路由最大的挑战是每个AS都要确定自己的路由策略。EGP外部网关协议（知道名称即可）域内路由关注于具有良好定义的路径开销优化问题；域间路由关注于一个寻找最好的策略兼容路径。域间路由需要解决可扩展性的问题，即必须能够你转发目标为因特网中任何地址的分组。域间路由只能通知可达性，选择一条最优路径是不可能的。（因为不同路由域中链路开销的算法是不同的）边界网关协议BGP边界路由器是一个简单的掌管在自治系统之间转发分组任务的IP路由器。BGP以AS美居列表的方式通知到达某个特定网络的完整路径，又被称为路径向量协议。为了防止建立带环路径，可在路由消息中携带完整的AS路径来避免。当链路发生故障时，可以使用撤销路由的负通知消息来完成。IPV6是为了解决IP地址耗尽的问题。IPV6具有的新特性：支持实时服务；安全性支持；自动配置（即主机自动的配置自己的IP地址和域名等信息的能力）；增强路由功能，包括支持移动主机；支持当前的IP版本的过度IPV6的地址空间分配：保留地址、回环、多播地址、链路局部地址、全局单播地址（包含兼容IPV4的IPV6地址和映射IPV4的IPV6地址）。IPV6全局单播地址的分配目标是提供路由信息的聚合以较少域内路由器的负担，使用地址前缀来聚合到大量网络甚至是大量AS的可达性信息。IPV6的分组格式IPV6中选项的处理效率较高，是提高路由性能的一个重要因素。如有选项，他们被携带在IP首部之后的一个或者多个特殊首部中，由Nextheader指明，若没有特殊首部，Nextheader指明运行在IP协议之上的高层协议的多路分解秘钥。IPV6的自动配置IPV6支持自动配置，即即插即用操作。是一种无状态的自动配置，不需要服务器。IPV6支持的高级路由功能IPV6的一个扩展首部是路由首部。路由首部包括一个IPV6地址表，描述分组到达目标途中经过的节点或拓扑结构。第二节多播多播地址IP地址将部分子空间保留给多播地址。多播路由路由器由专门的多播转发表指明了一套树结构：多播分发树。为了支持特定源多播，多播转发表必须根据多播地址和源IP地址的组合来确定哪些连接可用，并重新定义一个树集合。了解即可（没看懂）距离向量多播路由协议（DVMRP）：将多播消息分组转发到互联网上的所有网络，然后删除哪些没有足迹属于多播组的网络。（洪泛剪枝）协议无关多播PIM：路由器通过使用join的PIM协议消息加入多播分布树（共享树：所有发送方都可以使用；特定源树：只允许一个特定的发送主机使用）多播源发现协议（MSDP）：是一种域间广播协议。将PIM协议中的汇聚点（RP）连接，每个RP定期的使用MSDP来广播源消息给其他RP。特定源多播PIM-SSM第三节多标签协议交换技术MPLSMPLS的优点使不具备能按正常方式转发IP数据报能力的设备支持IP；按显式路由（预先计算的路由）转发IP数据报，而无需匹配IP路由协议选择的路由；支持特定类型的虚拟专用网服务。MPLS算法（基于目的的转发）：从目的端向之前的路由器给指定的网络附加一个标签，当发送数据报时，根据标签的匹配进行数据报的转发。是一种精确匹配算法。显式路由：目的是为了让数据报转发按照希望的路径进行分发，而不是按照默认路由给定的路径。在资源预留协议RSVP的协助下，数据报能够沿显示说明的路径发送一个RSVP消息，并据此建立这条路径的标签转发表。虚拟专用网和隧道IP隧道的构建：在隧道入口的路由器把将用隧道传送的数据封装在一个IP首部（隧道首部）内，它白哦是在隧道远端的路由器地址，然后像发送其他IP分组一样发送数据。MPLS隧道与IP隧道基本相同：只是在隧道首部中包含MPLS首部而不是IP首部。当信元到达源路由时，首先添加多路分解标签，然后添加隧道标签，使用隧道标签可到达目的路由，使用多路分解标签将数据报分解为最初发送的数据格式（如ATM信元）。第四节移动设备之间的路由移动网络中的问题设备从一个网络加入到另外一个网络，IP需要发生变化当IP发生变化时，源路由需要做出相应的调整网络中的路由位置发生变化路由到移动主机（移动IP）移动主机具有一个称为本地地址的永久IP地址，该IP地址具有与他的本地网络相同的网络前缀。在本地网络中存在一个移动节点的本地代理，在移动主机迁移后所在的网络存在一台增强功能的路由器作为外地代理，当主机关联到一个外部网络时，外地代理联系本地代理，提供转交地址（通常是外地代理的IP、地址）。数据分发的过程：主机发送分组给移动主机，首先分组到达本地代理，本地代理对数据进行封装，通过隧道传送给外部代理，若移动主机在外部代理进行注册，外部代理将数据转发给移动主机。可以通过本地代理向源主机发送“绑定更新”消息，使源主机建立一条从源主机到外地代理的隧道，进行直接的数据转发，该隧道具有寿命，需要更新。IPV6的移动性IPV6功能的主机在介入外部网络时可以获得一个地址，移动IPV6去除了外地代理使得每台主机具备扮演外部代理的能力。IPV6通过扩展首部实现与隧道相同的分组转发，使得带宽占用和处理更加经济。

第五章端到端协议1.端到端协议进程与进程之间的通信信道，网络传输层的任务，它支持在终端节点上的应用程序之间的通信，传输层协议也称为端到端协议。传输层协议希望具有的部分特性：确保消息成功传送、消息按序传输、最多传送一个消息的副本、支持任意大的消息、发送方接收方之间的同步、接收方对发送方进行流量控制、支持每台主机上的多个进程。本章主要内容为以下几种服务环境简单异步多路分解（用户数据报传输协议UDP为例）可靠字节流服务（传输控制协议TCP为例）请求/应答服务（远程过程调用RPC为例）实时应用的服务（实时传输协议RTP）简单多路分解UDPUDP是在IP的基础上增加了多路分解的功能，以使每台主机上的多个进程能够共享网络。端口：用来标识目的进程的地址形式，使进程之间能间接相互识别。源进程向端口发送消息，目的进程从源端口接收消息。UDP协议的首部包含发送方和接收方的端口，《主机、端口》对构成了UDP的多路分解秘钥。UDP使用校验和来确保消息的正确性。发送进程获取目的进程端口号的方法：使用知名端口（如DNS为53）；知名端口只有一个，使用端口映射返回相应的端口信息。可靠字节流（TCP）TCP协议的特点是一种可靠的、面向连接的服务；全双工协议，每个TCP连接支持一对字节流包含流量控制机制，允许接收方限定发送方给定时间内发送的数据量支持多路分解，允许主机上的多个进行与对等实体进行会话支持拥塞控制机制流量控制：防止发送方发出的数据超出接收方的接收能力；拥塞控制：防止过多的数据注入网络而造成交换机或链路超载。TCP协议在端到端传输上的特点：（了解）需要明确的连接建立阶段；往返时延差异很大；分组通过互联网络会重排序；要考虑流量控制问题；需要考虑链路上的拥塞控制TCP的报文段格式多路分解秘钥四元组《源端口、源IP、目的端口、目的IP》tCP是面向字节的协议，sequencenumber包含报文段携带数据的第一个字节的序号TCP连接建立与终止的过程三次握手的格式TCP规范要求连接的每一方随机的选择一个初始序号，防止同意连接的两个实例过快的重复使用同一个序号。滑动窗口目的：保证数据的可靠传输；确保数据的有序传递；增强发送方和接收方之间的流量控制。发送应用进程和接收应用进程分别填充和清除他们的本地缓冲区。具体实现：接收端依据接收端最大缓冲区MaxrecBuffer、LastByteRead、NextByteExpected获得一个甲乙窗口大小AdvertisedWindow，接收方将该窗口大小发送给发送方，发送发依据该窗口大小控制发送的数据。防止回绕：研究的是在一个分组的生存周期内，分组使用的字节序列号SequenceNumber不会被再次使用。保持满载：研究的事AdvertisedWindow必须足够大以使管道满载，即该窗口必须足够大，以使数量为延迟X带宽的全部数据能够被传输。触发传输应用程序将字节写到数据流中，触发传输研究何时将字节组成一个报文段进行传输。TCP触发传输的三种机制：当达到最大报文段长度MSS（由TCP决定）；发送进程明确指明某些字节组成报文；定时器激活。存在问题：傻瓜窗口症状，当发送方传输小报文段或接收方打开小窗口时，小报文段就会充斥整个网络；解决方法：最大报文长度与计时器组合对报文传送的触发进行控制。自适应重传为保证TCP的可靠传输，在一定时间内没有接收到ACK，发送方会重传报文。因网络的RTT变化很大，自使用重传即提供一种计算预估RTT的算法，超过改时间则报文重传。记录边界：是接收方将接收到的字节流区分成不同的报文的过程。实现：使用URG标志和UrgPtr字段；push操作。TCP扩展是指TCP的扩展首部所提供的一些功能有利于改进TCP的超时机制（将报文发送的时间值记录在扩展首部中）解决SequenceNumber回绕过快（在扩展首部中将其进行扩展）解决AdvertisedWindow过小（扩展首部提供扩展因子）扩充了累积确认功能远程过程调用RPC基础：本地过程调用语义应用程序调用一个过程，不管他是本地调用还是远程调用，阻塞知道程序返回结果。RPC机制包括协议：用于管理在客户端与服务器端进行消息处理并处理底层网络的潜再不合理性；（本节的主要研究内容）编程语言和编译程序：支持客户端把参数封装进报文，并在服务器端进行解封，返回消息类似。RPC协议实现的功能提供一个命名空间唯一标识被调用的过程。（扁平的or分层的）将每一个应答报文与发送报文进行匹配（使用报文ID进行匹配，为避免重启导致的ID重复，使用启动ID与报文ID构成唯一ID）克服网络的局限性提供可靠报文传输机制（确认、重传，为提高效率使用并发逻辑信道）通过分片和重组支持大报文的传输RPC为同步协议同步协议每个请求一个应答，未收到ACK就阻塞；异步协议可同时传输很多报文而不被等待应答。第四节实时应用程序传输（RTP）多媒体应用可以分为：交互式（网络视频）、流式（观看视频）；RTP协议应满足的需求提供编码方法；数据流接收方能判断已接收数据的时间关系；分组丢失的指标（预示拥塞）帧边界的界定识别发送方的方法。RTP标准包括：RTP（实时传输协议）：用于多媒体数据的交换；RTCP（实时传输控制协议）：用于周期性的发送与特定数据流相关联的控制信息。RTCP协议的主要功能关于应用和网络性能的反馈来自同一发送方的不同媒体流的关联与同步方法传输发送方身份以便显示在用户界面上的方法。

第六章拥塞控制和资源分配第一节资源分配问题资源分配：网络设备尽量满足应用对网络资源的竞争需求的过程，这里的资源主要是指链路带宽或交换机上的缓冲区空间。拥塞控制：网络节点为防止和响应过载状态所做的工作。流：在源和目的主机对之间发送的一系列分组，他们沿相同的路径经过网络。资源分配的分类方法（个人觉得了解即可）以路由器为中心、以主机为中心基于预定方式、基于反馈方式（基于预定方式都是以路由器为中心的）基于窗口方式、基于速率方式判断资源分配方式优劣的方法：有效性、公平性（了解）第二节排队规则排队规则：每台路由器确定如何缓存等待发送的分组的规则。两种经典的排队规则：先进先出算法（FIFO）、公平排队算法（FQ）先进先出算法（FIFO）思想为先到达路由器的分组首先被发送。丢弃策略经常采用队尾丢弃策略；变种为带优先级的先进先出算法（即有多条区分优先级的先进先出队列）公平排队算法思想为路由器上处理的每个流维护一个独立的队列，路由器以轮转的方式为这些流服务。第三节TCP的拥塞控制（特别重要）TCP拥塞控制的概念：为每个源确定网络中有多少可用能力，从而可以知道他可以安全完成传送的分组数。加性增、乘性减拥塞窗口（CongestionWindow）允许未确认的数据的最大字节数为当前拥塞窗口和通知窗口的最小值。拥塞窗口的产生：TCP源根据他所获得的网络中存在的拥塞级别来设定，当网络拥塞级别上升时，减小拥塞窗口，下降时，增大窗口。（加性增、乘性减）应用场景：应用于连接已经建立，开始稳定的传输时，使用加性增、乘性减。乘性减TCP以超时作为发生拥塞的标志，并据此降低传输的速率。每发生一次超时，源就将拥塞窗口CongestionWindow降低为原来的一半。加性增每当源成功的发送拥塞窗口CongestionWindow设定的分组数（即窗口内的每个分组都在最近的往返时间内得到确认），源就将一个分组长度的值加到拥塞窗口CongestionWindow上。慢启动应用场景：=1\*GB3①刚开始建立连接时；=2\*GB3②粗粒度超时：连接停止等待超时发生的时候（当源发送完通知窗口的所有分组，此时有分组丢失，此时源因等待不会到达的确认消息发生阻塞，接收方将发送一个要求打开整个通知窗口的一个累积ACK，此时使用慢启动重启数据流）思想：当连接刚建立时，从较小的值开始迅速增加拥塞窗口，以指数形式而不是线性方式增加拥塞窗口。快速重传常规TCP超时导致连接在等待一个计时器超时时，有很长一段时间连接无效。快速重传时一种启发式机制，有时它触发对丢失分组的重传比常规超时机制更快，是常规超时机制的一种增强功能。思想：每当数据分组到达接收方时，接收方会用ACK作为响应，即使该序号已经被确认过。当分组没有按照正常顺序到达时，或当TCP由于他前面的数据还没有到达而不能确认分组中的数据时，TCP会将上次确认的数据重新确认一遍。直到到达一定数目的重复确认则源重新发送丢失的分组。快速恢复思想：当快速重传机制发出拥塞信号时，不把拥塞窗口退回到一个分组并启动慢启动，而是可能利用还在管道中的ACK去同步ACK的发送，将拥塞窗口减半，并重新开始加性增的过程。拥塞避免机制拥塞避免：预测拥塞将在何时发生，然后在分组刚要被丢弃前降低主机发送数据的速率，从而避免拥塞。实现方法：从路由上附加少量功能实现；端节点实现。DECbit：路由器测量平均队列长度，当队列延迟为1时，对流经路由器的分组设置一个二进制拥塞位，目标主机将这一拥塞位复制到ACK中回传给源主机，源主机对发送速率进行调整。随机早期检测RED思想：每台路由器上编程监视自己的队列长度，当检测到拥塞即将发生时，就通知源调整拥塞窗口。与DECbit的不同点：=1\*GB3①RED是通过丢弃一个分组隐式的通知源发生拥塞。=2\*GB3②决定何时丢弃一个分组和丢弃哪个分组的细节上。基于源的避免拥塞（具体实现算法的细节没有看懂）基于RTT和窗口大小的不同算法实现服务质量QoS支持QoS的方法分类细粒度方法：他给单独的应用程序或流提供QoS粗粒度方法，他给多数数据或块通信量提供QoS两种有代表性的服务类有保证的服务：通过缓存处理早到的分组，保证任意分组所经历的最大延迟具有某一特定值，这样就可以设定播放点受控负载：满足容忍型、可适应性应用需求。实现服务类的一些机制描述=1\*GB3①流说明：提供给网络用于说明服务要求的网络信息的集合；（流：与单一应用相联系的并具备共同需求的分组集合）=2\*GB3②容许控制：网络判断能否提供服务所要求的性能。=3\*GB3③资源预定：服务的需求方与网络沟通的一种机制，用于传递流说明、容许控制消息。=4\*GB3④分组调度：当网络同意进行满足需求时，对分组排队等进行调度。流说明：可分为描述流的通信量部分（TSpec）和描述向网络要求的描述部分（RSpec）。容许控制：思想为当某个新的流想接收一个特殊级别的服务时，容许控制查看流的TSpec、RSpec部分，确定所要求的服务能够得到满足，在当前可利用的资源条件下，不会使任何前面被容许的流接收到比他所要求的更差的服务。资源预留协议RSVP未看懂特点：通过使用软状态，不损害当前无连接网络的健壮性；面向接收分组的分类与调度分类分组：将每个分组与适当的预定相关联以便正确的处理它分组调度：管理队列中的分组以便他们能够接收到所要求的服务区分服务给少数积累通信量分配资源，不同于综合服务体系中给单独的流分配资源。路由器处理遇到的标识过的分组的行为为每个路由器的行为PHB加速转发PHB：对延时有要求确保转发PHB：对数据完整性有要求

第八章网络安全1.相关术语机密性：通过加密消息来防止攻击者读取消息的内容流量机密性：隐藏通信的数量和目的地能够检测篡改的协议称为提供了数据完整性能够检测重放攻击的协议称为提供了原始性能够检测延时攻击的协议提供了时效性密码基础2.发送方将加密函数作用于原始报文，使其变为密文消息，发送到网上。接收方使用一个解密的解密函数（加密函数的逆函数）恢复处原始报文。由加密函数及相应的解密函数所表示的过程为密码。加密和解密函数以秘钥作为参数，函数可以公开，只有秘钥需要保密，更换秘钥相当于更换密码算法。加密算法的基本要求：他能用一种方法把明文转换为密文，只有指定的接受者（解密秘钥的持有者）才能把密文恢复为明文。分组密码算法：将固定长度的明文分组作为输入，典型值为64位或128位，用分组密码算法独立的加密每一个分组。（缺点为相同的输入分组由相同的密文分组）增强分组密码强度的方法称为操作模式（解决相同的明文分组对应相同的密文分组问题）密码分组链模式：后一分组先与前一分组做异或，作为加密函数的输入得到密文计数器模式：计数器的连续的值被结合到加密过程中。对称秘钥密码加密方和解密方使用一个秘密秘钥。若一个特定的秘钥加密了一条消息，也必须使用相同的秘钥来解密该消息，该秘钥只有通信的参与者才能知道，因此必须为秘密秘钥。（DES、3DES、AES）公钥密码公钥面使用一对相关的密码，公钥用于加密，私钥用于解密。密钥拥有者将公钥公开，发送方使用公钥加密明文消息，发送给私钥的拥有方，接收方使用私钥解密该消息。对称密码的密钥提供的是参与者之间的双向信道，每一个参与者都有相同的密钥，任何一方都能在任何一个方向上加密和解密消息。公钥/私钥对提供的是从公钥的每个人到私钥拥有者之间的多对一的单向信道。公钥密码的一个重要特性为私有解密密钥可以与加密算法一起使用来加密消息，而这些消息只能用公钥来进行解密，提供了认证功能，即告诉公钥拥有者发送消息者为私钥的拥有者公钥的主要用途为：提供认证；秘密的分发对称密钥。认证码：是一个包含在被传输消息中的值，可用于同时验证消息的真实性和数据的完整性。认证码包含一些证据来证明创建该认证码的人知道一个只有所生成消息的发送发才知道的秘密。密码散列函数是一种输出有关消息的足够冗余信息来发现任何篡改的函数。消息摘要：密码散列函数输出的值。一个散列函数产生的所有的消息摘要应该有相同的位数。因为输入消息空间比消息摘要空间大，会出现不同的消息输入对应形同的消息摘要的情况。（常用的消息摘要函数为MD5、SHA1）通过加密消息摘要可以创建认证码。散列函数具有单向性：攻击者找到与原始消息具有相同消息摘要的明文消息在计算上是不可行的。数字签名：通过公钥算法使用私钥加密的摘要称为数字签名。数字签名是一种认证码。其他认证码形式：MAC、HMAC第二节密钥预分发（解决参与者如何获得密钥的问题）会话密钥：用于维护持续时间较短的单个通信的安全，一对参与者之间的每一个不同会话使用一个新的会话密钥。会话密钥一般为对称密钥，通过会话密钥建立协议决定使用哪个会话密钥。会话密钥建立协议安全性以长期的预分发密钥为基础。区分会话密钥和预分发密钥的原因：限制密钥使用时间能够增强安全性对对称密钥进行分发存在问题公钥密码适合与认证和会话密钥分发，用于加密整个消息效率太低。2．1公钥预分发公钥基础设施PKI用于证明公钥与身份之间的绑定关系的完整方案。PKI首先验证身份，然后以带外方式将身份绑定到密钥上。（带外是指网络以及组成该网络的计算机以外的东西）公钥证书（证书）关于公钥绑定关系（将一个加密方与他的公钥进行对应）的带有签名的声明。认证机构和信任网络是两种形式化信任表示的方法认证机构CA：发送公钥证书的可信实体证书应该包括以下内容被证实的实体的身份被证明的实体的公钥签发者的签名数字签名算法标识符（使用了哪个密码散列函数和密码算法）过期时间（可选项）信任网络公钥证书包含一个信任级别来指明签发者对证书中公钥的信任程度，一个用户可能在信任一个密钥绑定前不得不获得多个证明该绑定的证书。撤销证书认证机构可以发行一张证书撤销列表CRL，该列表是一个经过数字签名的内容为被撤销的证书的列表。为防止该列表无限增大，通过设置证书的过期时间从而控制列表中的被撤销的证书列表，若一个想要的撤销的证书本身已经过期，则可以从CRL中删除。2.2对称秘钥预分发1.对称秘钥预分发特点：每对通信实体之间都需要有密钥的分发；秘密密钥必须要保密2.对称密钥分发的实现：使用密钥分发中心KDC，KDC与每个个体都共享一个秘密密钥，当两个个体需要建立加密消息传送时，通过两个个体与KDC分别交换消息生成两个个体间的秘密密钥。认证技术重放攻击：攻击者重新传送一条已经发送过的消息；原始性隐藏重放攻击：攻击者将发送者的消息延迟（通过劫持消息并在以后进行重放）时效性保持消息原始性和时效性的方法=1\*GB3①在消息中包含时间戳，时间戳必须放篡改，认证码必须涵盖它=2\*GB3②在消息中包含一个当前值，一个只使用一次的随机数，能解决重放攻击=3\*GB3③在挑战响应协议中使用时间戳和当前值。公钥认证协议P347对称秘钥认证协议P348系统实例（未详细看）良好隐私PGP：广泛应用于保护电子邮件的安全（应用层）安全外壳SSH：提供一种远程登录服务（应用层）传输层安全（TLS）SSL：基础安全套接字层HTTPS：安全的HTTPIP安全（IPSEC）无线安全防火墙防火墙：处在它所保护的站点与网络其他部分之间的某个点上的系统，基于防火墙的安全依赖于防火墙是从外部进入站点的唯一的连接点。防火墙将网络划分不同可信度的区域常见的一种网络布局：内网、DMZ、其他网络防火墙的优点只需要在某一点进行部署，部署较为简单在网络中的某个中心位置封装了安全性，将安全性从其他位置剥离防火墙的缺点防火墙不能为它分隔的网络内部提供安全性，容易从内部攻破；任何允许通过防火墙的实体可能成为安全缺陷蠕虫：完整的程序病毒：插入到另外的软件中或文件中的一段代码。

第九章应用第一节传统应用电子邮件（简单邮件传输协议SMTP；多功能因特网邮件扩展MIME；因特网消息访问协议IMAP；邮局协议POP）消息格式包括首部和主体；MIME定义包括：=1\*GB3①首部行的集合=2\*GB3②内容类型的定义（如图片、文本）=3\*GB3③各种类型的数据编码方式消息传输当用户编写、存档、检索邮件时，他们与邮件阅读器交互。邮件阅读器将他们想发送给其他用户的消息交给邮件后台处理程序，这个邮件后台处理程序能偶使用运行在TCP之上的SMTP传送消息到另外一台主机的邮件后台处理程序，邮件后台处理程序将收到的消息放入用户的邮箱中。邮件要从发送方到达接收方需要经过很多邮件网关。邮件阅读器万维网HTTP请求消息：应完成的操作；应完成操作对应的网页；HTTP版本响应消息：HTTP版本；三位代码指示请求是否成功，并用文本串给出说明统一资源标识符：URLTCP连接：1.1版本之后的持久连接明显降低了建立连接的开销；可以在一个TCP连接上传送多个请求消息web服务（没看懂）第二节多媒体应用（没看懂）第三节基础设施服务域名系统DNS网络管理SNMPSNMP本质上是哟中专用的请求-响应协议，支持两种请求消息：GET、SET。前者用于从某个节点上获取状态，后者用于把某个状态存储到节点上。系统管理员与显示网络信息的客户程序进行交互。当管理员需要查看某个节点的网络信息，则客户程序使用SNMP向被询问的那个节点请求所要的信息。运行在那个节点上的SNMP服务器接收请求，并对请求进行回应。第四节覆盖网络覆盖网络可视为在底层网络上实现的逻辑网络，能够