【正文】 的容量和仲裁的開銷決定）TP0:實現(xiàn)分段和重組，TP1:執(zhí)行數(shù)據(jù)分段，重組和差錯恢復功能TP2:實現(xiàn)數(shù)據(jù)的分段和重組，以及單一虛擬電路上的數(shù)據(jù)流多路復用技術和解除復用技術。TP3：提供差錯恢復，分段和重組，以及單一虛擬電路上的數(shù)據(jù)流多路復用技術和解除復用技術。TP4：處TP3外，還也支持協(xié)議數(shù)據(jù)單元排序操作。TP4和TCP區(qū)別：TP4使用10個不同的傳輸協(xié)議數(shù)據(jù)單元類型，TCP只使用一個TPDU，（相對簡單）。每個tcp協(xié)議頭必須具有所有可能字段，至少為20字節(jié)，但tp4協(xié)議頭大小只有5字節(jié)。呼叫沖突反應方式不同，TP4在TSAP打開倆個雙向連接，TCP為一個。傳輸層服務功能：1. 標識端點2. 連接管理 amp。 amp。3. 重復連接的解決方法 amp。 amp。網(wǎng)絡安全技術網(wǎng)絡管理包括5個功能：配置管理，故障管理，性能管理，計費管理和安全管理。配置管理的的目標是掌握與控制網(wǎng)絡和系統(tǒng)的配置信息以及網(wǎng)絡各設備的狀態(tài)和連接管理?，F(xiàn)代網(wǎng)絡設備由硬件和設備驅動組成，配置管理最主要的作用是可以增強網(wǎng)絡管理者對網(wǎng)絡配置的控制，它是通過對設備的配置數(shù)據(jù)提供快速的訪問來實現(xiàn)的。故障管理是對計算機網(wǎng)絡的問題或故障進行定位的過程，故障管理最主要的作用是通過網(wǎng)絡管理者快速的檢查問題并啟動恢復過程的工具，使網(wǎng)絡的可靠性得到增強。性能管理的目標是衡量和呈現(xiàn)網(wǎng)絡特性的各個方面，使網(wǎng)絡的性能維持在一個可以接收的水平上，性能管理包括監(jiān)視和調(diào)整兩大功能。計費管理的目標是跟蹤個人和團體用戶對網(wǎng)絡資源的使用情況，對其收取合理的費用，計費管理的主要作用好似網(wǎng)絡管理者能測量和報告基于個人或團體用戶的計費信息，分配資源并計算用戶通過網(wǎng)絡傳輸數(shù)據(jù)的費用，然后給用戶開出賬單。安全管理的目標是按照一定的方法控制對網(wǎng)絡的訪問，以保證網(wǎng)絡不被侵害，并保證重要的信息不被未授權用戶訪問，安全管理是對網(wǎng)絡資源以及重要信息訪問進行約束和控制，網(wǎng)絡管理系統(tǒng)的邏輯模型通常一個網(wǎng)絡管理在邏輯上有被管對象，管理進程和管理協(xié)議這三部分組成。代理位于被管理對象內(nèi)部，它把來自管理者的命令或信息請求轉換為本對象設備特有的指令，完成管理者的指示，或返回它所在設備的信息，管理者和代理之間的信息交換可以分為兩種：從管理者到代理的管理操作；從代理到管理者的事件通知。在網(wǎng)絡管理模型中，網(wǎng)絡管理者和代理之間需要交換大量的管理信息，這一過程必須遵循統(tǒng)一的通信規(guī)范，我們把這個通信規(guī)范稱為網(wǎng)絡管理協(xié)議。網(wǎng)絡管理協(xié)議是高層網(wǎng)絡應用協(xié)議，它建立在具體物理網(wǎng)絡及其基礎通信協(xié)議基礎上，為網(wǎng)絡管理平臺服務，目前使用的標準網(wǎng)絡管理協(xié)議包括：簡單網(wǎng)絡管理協(xié)議SNMP，公共管理信息服務/協(xié)議CMIS/CMIP和局域網(wǎng)個人管理協(xié)議LMMP等。SNMP采用代理/管理站模式，管理節(jié)點一般是面向工程應用的工作站級計算機，擁有很強的處理能力，代理節(jié)點可以是網(wǎng)絡上任何類型的節(jié)點，SNMP是一個應用層協(xié)議，在TCP/IP網(wǎng)絡中，它應用傳輸層和網(wǎng)絡層的服務向其對等層傳輸信息。CMIP的優(yōu)點是安全性高，功能強大，不僅可用于傳輸管理數(shù)據(jù)，還可以執(zhí)行一定的任務。信息安全包括5個基本要素：機密性，完整性，可用性，可控性和可審查性。計算機系統(tǒng)的安全等級：D級計算機系統(tǒng)標準規(guī)定對用戶沒有驗證，C1級提供自主式安全保護，它通過將用戶和數(shù)據(jù)分離，滿足自主需求。C1級又稱為選擇安全保護系統(tǒng)，它描述了一種典型的用在UNIX系統(tǒng)上的安全級別，C1級要求硬件有一定的安全級別，用戶在使用前必須登錄到系統(tǒng)，C1級的防護的不足之處在于用戶直接訪問操作系統(tǒng)的根。C2級提供比C1級系統(tǒng)更細微的自主式訪問控制。B1級稱為標記安全防護，B1級支持多級安全。B1級是第一種需要大量訪問控制支持的級別，安全級別存在保密，要求計算機系統(tǒng)中的所有對象都要加上標簽，而且給設備分配安全級別，B3級又叫安全域，要求用戶工作站或終端通過可信任途徑連接到網(wǎng)絡系統(tǒng)，而且這一級別采用硬件來保護安全系統(tǒng)的存儲區(qū)，B3級系統(tǒng)的關鍵安全部件必須理解所有客體到主體的訪問，必須是防竄擾的，而且必須足夠小以便分析和測試。A級別是最高安全級別，表明系統(tǒng)提供了最全面的安全。網(wǎng)絡安全從本質(zhì)上講就是網(wǎng)絡上的信息安全。凡是涉及到網(wǎng)絡信息的保密性，完整性，可用性，真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全是網(wǎng)絡系統(tǒng)的硬件，軟件以及系統(tǒng)中的數(shù)據(jù)受到保護，不會由于偶然或惡意的原因而遭到破壞，更復，泄露，系統(tǒng)能連續(xù)，可靠和正常的運行，網(wǎng)絡服務不中斷。安全威脅是某個人，物，事或概念對某個資源的機密性，完整性，可用性或合法性所造成的危害。安全威脅有故意的和偶然的兩類。故意威脅又可以分為被動和主動兩類。被動攻擊的特點是偷聽或監(jiān)視傳送，其目的是獲得正在傳送的信息。被動攻擊有：泄露信息內(nèi)容和通信量分析等。主動攻擊涉及修改數(shù)據(jù)流或創(chuàng)建錯誤的數(shù)據(jù)流，它包括假冒，重放，修改信息和拒絕服務。安全策略是在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必需遵守的規(guī)則。安全策約模型包括建立安全環(huán)境的三個重要組成部分：威嚴的法律，先進的技術和嚴格的管理。網(wǎng)絡安全的基本目標是實現(xiàn)信息的機密性，完整性，可用性和合法性。需要隱藏的信息叫做明文，明文被變換成另一種隱藏形式被稱為密文。這種變換叫做加密，加密的逆過程為解密。對明文進行加密所采用的一組規(guī)則稱為機密算法。對密文解密時采用的一組規(guī)則稱為解密算法。加密算法和解密算法通常在一組密鑰控制下進行的，加密算法采用的密鑰成為加密密鑰，解密算法所使用的密鑰叫做解密密鑰。密碼系統(tǒng)通常從3個獨立的方面進行分類。將明文轉化為密文的操作類型分為：置換密碼和易位密碼；按明文處理方法了分為：分組密碼（塊密碼）和序列密碼（流密碼）；按密鑰的使用個數(shù)分為。對稱密碼體制和非對稱密碼體制。發(fā)送方使用的加密密鑰和接收方使用的解密密鑰相同，這樣的系統(tǒng)叫做對稱的，或者單密鑰加密系統(tǒng)。發(fā)送方使用的加密密鑰和接受方使用的解密密鑰不相同，從其中一個密鑰難以推出另一個密鑰，這樣的系統(tǒng)就叫做不對稱的，雙密鑰或公鑰加密體制。數(shù)據(jù)加密技術可以分為三類：對稱型加密，不對稱型加密和不可逆加密。不可逆加密技術在文中沒有介紹，可以簡單的了解為加密過程不需要密鑰，并且經(jīng)過加密的數(shù)據(jù)無法被解密，只有同樣輸入的輸入數(shù)據(jù)經(jīng)過同樣的不可逆算法才能得到同樣的加密數(shù)據(jù)。不對稱加密的另一用法稱為數(shù)字簽名，即數(shù)據(jù)源使用其私有密鑰對數(shù)據(jù)的效驗和或其他與數(shù)據(jù)內(nèi)容相關等待變量進行加密，而數(shù)據(jù)接受方則用相應的公用密鑰解讀數(shù)字簽名，并將解讀結果用于對數(shù)據(jù)完整性的檢驗。從通信網(wǎng)絡的傳輸?shù)姆矫?，?shù)據(jù)加密技術可以分為三類：鏈路加密方式，節(jié)點到節(jié)點方式和端到端方式。對稱加密有兩個安全要求：需要強大的加密算法，發(fā)送方和接受方必須用安全的方式來獲得保密密鑰的副本，對稱加密的安全性取決于密鑰的保密性，而不是算法的保密性。IDEA算法被認為是當今最好最安全的分組密碼算法。公鑰密碼體制有兩個基本的模型，一種是加密模型，一種是認證模型。RSA體制被認為是現(xiàn)在理論上最為成熟完善的一種公鑰密碼體制。密鑰的生存周期是指授權使用該密鑰的周期，在實際中，存儲密鑰最安全的方法就是將其放在物理上安全的地方。密鑰登記包括將產(chǎn)生的密鑰與特定的應用綁在一起。密鑰管理的重要內(nèi)容就是解決密鑰的分發(fā)問題。密鑰銷毀包括清除一個密鑰的所有蹤跡。密鑰分發(fā)技術是將密鑰發(fā)送到數(shù)據(jù)交換的兩方，而其他人無法看到的地方。認證是防止主動攻擊的重要技術，它對于開放環(huán)境中的各種信息系統(tǒng)安全有重要的作用。主要的目的為：驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信源識別；驗證信息的完整性，保證信息在傳送過程中未被竄改，重放或延遲等。有關認證使用的技術主要有：消息認證，身份認證和數(shù)字簽名。消息認證的內(nèi)容包括:證實消息的信源和信宿；消息的內(nèi)容是否受到偶然或有意的篡改；消息的序號和時間性。根據(jù)被認證方賴以證明身份的秘密的不同，身份認證可以分為兩大類：基于秘密信息的身份認證方法和基于物理安全性的身份認證方法。當發(fā)收雙方有厲害沖突時，單是消息認證技術就無法解決他們之間的糾紛，此時就必須采用數(shù)字簽名了。數(shù)字簽名的兩種格式：經(jīng)過密碼變換的被簽名信息整體；附加在被簽消息之后或某個特定位置上的一段簽名圖樣。現(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法，這些方法大致可以歸為兩種：直接方式的數(shù)字簽名和具有仲裁方式的數(shù)字簽字。防火墻總體分為包過濾，堡壘主機和網(wǎng)關，另外一種劃分是包過濾，應用級網(wǎng)關和代理服務等幾大類型。數(shù)據(jù)包過濾技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇；應用級網(wǎng)關是在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能；代理服務也稱為鏈路級網(wǎng)關或TCP通道。也有人將它歸于應用級網(wǎng)關一類。防火墻最主要的體系結構是包過濾，雙宿網(wǎng)關，屏蔽主機，屏蔽子網(wǎng)，合并外部路由器和堡壘主機結構，合并內(nèi)部路由器和堡壘主機結構，合并外部路由器和內(nèi)部路由器結構，兩個堡壘主機和兩個非軍事區(qū)結構，犧牲主機結構，使用多臺外部路由器結構等。防火墻是設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列不見的組合，它可以通過檢測，限制，更改跨越防火墻的數(shù)據(jù)流，盡可能的對外部屏蔽網(wǎng)絡內(nèi)部的消息，結構和運行情況，以此來實現(xiàn)網(wǎng)絡的安全保護。防火墻的設計目標是：進出內(nèi)部網(wǎng)的通信量必須通過防火墻；只有那些在內(nèi)部網(wǎng)安全策約中定義了合法的通信量才能進出防火墻；防火墻自身應該防止?jié)B透。設計防火墻，網(wǎng)管必須考慮防火墻的姿態(tài)，系統(tǒng)的整個安全策略，防火墻的經(jīng)濟費用，防火墻所使用的組件。防火墻可以選擇兩種極端的姿態(tài)：一是對任何數(shù)據(jù)包不給以任何的允許。二是對任何數(shù)據(jù)包不加任何拒絕。1. 常見的網(wǎng)絡協(xié)議有SNMP,LMMP,和CMIS/CMIP.2. SNMP分為manager和agent。其中agent負責提供各類被管理設備的信息，manager代表管理站點，網(wǎng)絡管理工作站輪詢在被管理設備中的代理來收集數(shù)據(jù)，并且在控制臺上用數(shù)字或圖形的表示方式來顯示這些數(shù)據(jù)。比如說在Windows NT上裝了SNMP agent，那它就可以成為可被管理的實體（agent）.3. 安全攻擊分為主動攻擊和被動攻擊。主動攻擊涉及修改數(shù)據(jù)流或者創(chuàng)建錯誤的數(shù)據(jù)流，包括假冒，重放，修改信息，篡改和拒絕服務等等。被動攻擊是指偷聽或者監(jiān)視傳送，有泄露信息和通信量分析等。4. 網(wǎng)絡信息系統(tǒng)的安全管理主要是基于多人負責，任期有限和職責分離這三個原則。5. 分組密碼和流密碼是按照明文的處理方法來劃分密碼系統(tǒng)的，是按照一個個塊來處理還是按照對輸入元素進行連續(xù)的處理。單鑰體制加密密鑰和解密密鑰是同一個，6. 目前網(wǎng)絡存在的威脅有兩類:滲入威脅（假冒，旁路控制，授權侵犯），植入威脅：特洛伊木馬，陷門。7. 網(wǎng)絡反病毒技術包括預防病毒，檢測病毒和消毒三種技術。8. 防火墻實現(xiàn)站點安全策約的技術有服務控制，方向控制，用戶控制和行為控制。服務控制是確定在防火墻外面和里面可以訪問的Internet服務類型；方向控制是啟動特定的服務請求并允許它通過防火墻，用戶控制是根據(jù)請求訪問的用戶來確定是或提供該服務，行為控制是控制如何使用某種特定的服務。9. 網(wǎng)絡管理系統(tǒng)的配置管理最主要的功能是增強網(wǎng)絡管理者對網(wǎng)絡配置的控制。10. 網(wǎng)絡加密方式有節(jié)點對節(jié)點，端對端，鏈路加密（主要）。安全套接字層協(xié)議SSL，托管加密標準協(xié)議EES。42 /