软考之软件设计师——计算机网络及知识产权

计算机网络

1）计算机网络的功能：数据通信、资源共享、负载均衡、高可靠性。

2）计算机网络按照数据通信和数据处理分为两层：内存通信子网、外层资源子网。通信子网对应OSI中的低三层（物理层、数据链路层、网络层），而资源子网对应OSI中的高三层（会话层、表示层、应用层）。

3）计算机网络的分类：

按通信距离：局域网（拓扑结构简单，采用总线、星型、环型等）、城域网（城域网规范有IEEE802.6协议定义）、广域网（数据传输速率低、拓扑结构复杂，一般采用“分布式网络”）

4）网络拓扑结构

总线型结构：只有一条双向通路、无须中央处理器、不过由于电器信号通路多，干扰较大，因此对信号的质量要求高。
星型结构：使用中央交换单元以放射状连接到网中的各个结点。通常用双绞线将结点与中央交换单元连接。共享能力差，线路利用率低，中央交换单元负荷重。
环型结构：传输线路构成一个封闭的环型，各结点通过中继器连入网内，首尾相接，单向沿环路逐点传送。出现故障，系统会自动旁路。结点过多，传输效率会低；扩充较难。
树型结构：总线型结构的扩充。传输介质采用不封闭的分支电缆。
分布式结构：无严格的布点规定和形状，各结点之间有多条线路连接。

5）ISO/OSI参考模型
七层模型：

物理层：提供为建立、维护、拆除物理链路所需的机械、电气、功能和规程的特性，如使用电缆、电压等。在这一层数据没有被组织，仅作为原始的位流或电气电压处理，单位是二进制（位）。
数据链路层：负责在两个相邻结点间的线路上无差错地传送以帧为单位的数据，并进行流量控制。
网络层：使传输层摆脱路由选择、交换方式等网络传输细节、选择合适的网间路由和交换结点、确保数据即时传送。网络层将数据链路层提供的帧组成数据包（包括网络层包头，其中含有源站点和目的站点）
传输层：根据通信子网的特性最佳的利用网络资源，为两个端系统（源站和目的站）的会话层之间提供建立、维护和取消传输连接的功能，并以可靠和经济的方式传输数据。信息传送单位报文。
会话层：不参与具体的传输，提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录表现层：为应用层进程提供能解释和交换信息含义的一组服务，提供格式化的表示和转换数据服务。数据的压缩、解压缩、加密解密等工作由表示层负责。
应用层：提供OSI用户服务。即确定进程之间通信的性质，以及网络与用户应用软件之间的接口服务。如事务处理程序、电子邮件。

6）网络互连硬件

物理层的互连设备：

中继器：它在物理层上实现局域网网段互连的，用于扩展局域网网段的长度。仅用于连接相同的局域段。
集线器：一种特殊的多路中继器，也具有信号放大功能。使用双绞线的以太网多用Hub扩大网络，便于网络维护。优点使某线路或结点故障时不会影响网上其他结点工作。

数据链路层的互连设备

网桥：用于连接两个局域网网段，MAC子层以上协议相同，则可以用网桥连接。
交换机：按每一个包中的MAC地址相对简单地决策信息转发。工作过程：从某一结点接到一个以太网帧，将立即在其内存地地址表（端口号-MAC地址）查找，以确认目的MAC的网卡连接到哪一个结点，然后将该帧转发至该结点。如果没找到，就将数据包广播到所有结点。拥有该MAC地址的网卡接收该广播帧后立即做出应答，从而使交换机将其结点的MAC地址添加到表中。交换机的3中交换技术：端口交换、帧交换和信元交换。

网络层互连设备

路由器：连接多个逻辑上分开的网络，将数据从一个子网传输到另一个子网。最主要功能使路径选择，路由器中有个路径表记录着各个网络的逻辑地址。通常把网络层地址信息称为网络逻辑地址。数据链路层地址称为物理地址。

应用层互连设备

网关：连接不同类型且协议差别大的网络，可以进行协议转换，将数据重新分组。

7）组建网络：基本组成部件：服务器（局域网核心）、客户端、网络设备（网卡是必不可少的网络设备）、通信介质、网络软件（主要包括底层协议软件，实现实体间或网络间能通信、网络操作系统，管理整个网络的资源及运行）

8）LAN模型：数据链路层和物理层，同时把数据链路层分为逻辑链路控制层（LLC）、介质访问控制层（MAC）。

9）局域网协议：IEEE 802.3(CSMA/CD，以太网)、IEEE 802.4(Token Bus,令牌总线)、IEEE 802.5(Token Ring,令牌环)、IEEE 802.7（FDDI）

IEEE 802.3：采用的“存取方法”是带冲突检查的载波监听多路访问协议（CSMA/CD）技术
IEEE 802.5：令牌环是环型网中最普遍采用的介质访问控制方法。编码方式：差分曼彻斯特编码
FDDI：Fiber Distributed Data Interface，光纤分布式数据接口。编码方式：4B/5B编码。类似令牌环网协议，采用双环体系结构。
无线局域网(CSMA/CA，802.11)：采用带冲突避免的载波侦听多路访问方法。

10）广域网协议

点对点协议（PPP）：主要用于拨号上网这种广域连接模式。PPP的衍生：一个是PPPoE：在以太网上运行PPP来进行用户认证接入即保护了用户的以太网资源，又完成了ADSL的接入要求。另一个是PPPoA，在ATM网络上运行PPP来管理用户认证。
数字用户线（xDSL）：如非对称数据用户线（ADSL）
数据专线（DDN）
帧中继FR
异步传输模式（ATM）：是B-ISDN的关键核心技术。
X.25公用数据网

11)TCP/IP协议族
TCP/IP包含很多特性，主要表示在五个方面：逻辑编制、路由选择、域名解析、错误检测、流量控制。

应用层：应用程序负责发送和接收数据，选择所需要的传输服务类型。
传输层：提供应用程序之间的通信服务
网际层：又称IP层，主要处理机器之间的通信问题。该层功能：把分组封装到IP数据包，使用路由算法发送到目标机或把数据报发送给路由器，然后再把数据报交给网络接口层中对应的接口；处理接收的数据包，检验其正确性；适时发出ICMP的差错和控制报文，并处理收到的ICMP报文。
网络接口层：又称数据链路层，负责接收IP数据报，并把数据报通过选定网络发送出去。

网络接口层协议：局域网协议，如IEEE 802.3，FDDI，IEEE 802.5令牌环、ARCnet令牌总线或者是广域网协议如PPP/SLIP、xDSL

网际层协议——IP

IP协议：只无连接的，不可靠的服务。主要功能是将上层数据或同层其它数据如ICMP数据封装到IP数据报中，并传送到最终目的地。
ARP(Addess Resolution Protocol)：地址解析协议。将IP地址转换为物理地址。不用计算机通信时，先查看ARP高速缓存中是否又这个IP地址，有的话直接将数据报发送给所需的物理网卡。没有的话就在局域网上以广播形式发送一个ARP请求包。
RARP：反地址解析协议，将物理地址转换为IP地址，主要用于无盘工作站，网卡上有自己的物理地址，但没有IP地址。网络上需要有一个RARP服务器。
ICMP(Internet Control Message Protocol)：Internet控制信息协议，由于IP是一种尽力传送的通信协议，可能造成数据报丢失重复等，所以需要一种避免差错且能发送差错的机制。ICMP就是一种专门用于发送差错报文的协议。ICMP定义了5中差错报文（源抑制、超时、目的不可达、重定向和要求分段）和4中信息报文（回应请求、回应应答、地址屏蔽码请求和地址屏蔽码应答），PING命令来自该协议。
IGMP：组播协议

传输层协议

TCP：为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。主要采用了重发技术。在源主机和目的主机之间建立和关闭连接时，均需要通过三次握手来确认建立和关闭是否成功。SYN：同步序号，请求建立连接。ACK：确认号。SEQ：序列号，用来标记数据段的顺序。大写一般为标志位如ACK、SYN，小写为序列号如ack。
第一次握手：建立连接时，客户端发送SYN标志位为1的TCP数据包到服务器，并发送一个同步序列号seq，进入SYN_SENT状态，等待服务器确认；
第二次握手：服务器收到数据包，结束LISTEN阶段，必须响应一个确认ACK=1，同时自己也发送一个SYN标志位为1的TCP数据包，以及序列号seq，同时将客户端的序列号seq+1作为自己的确认号，此时服务器进入SYN_RECV状态；
第三次握手：客户端收到服务器的数据包，确认检查后，向服务器发送最后一个数据包，包括ACK=1，将服务器的确认号ack作为自己的序列号seq=x+1，将服务器的序列号seq+1作为自己的确认号ack，此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手。
UDP：用户数据包协议，是一种不可靠、无连接‘’'y的协议，错误检测功能弱不过有助于提高传输的高速率性。

应用层协议

下面internet概述中的协议。

Internet概述

12）Internet地址格式有两种书写方式：域名格式和IP地址格式。
13）IP地址分类：A类地址（网络号8位，0开始，主机号2^24-2，0~127），B类地址（网络号16位，10开始，主机号2 ^16-2，128~191），C类地址（网络号24位，110开始，主机号2 ^8-2，192~223），D类地址（组播地址，1110开始,224 ~239），E类地址（保留地址，11110开始）。
14)NAT技术：因特网面临IP地址短缺，长期的解决方案采用地址空间为2^128位的IPv6，短期解决方案就是采用网络地址翻译NAT技术。NAT技术的实现形式：动态地址翻译（引入存根域）、m：1翻译（也称为伪装）。
15）常见协议功能和端口号：

POP3：TCP 110端口，用于接收邮件，不能提供部分传输。
SMTP：TCP 25端口，简单邮件传输协议，邮件发送。
FTP：TCP 20数据端口/21控制端口，文件传输协议。存在匿名公共用户账号 anonymous，密码为guestTelnet：
远程登录服务，端口号一般为TCP 23
HTTP：TCP 80端口，www中的超文本传输协议，网页传输
TFTP：简单文件传输协议，用于客户端服务器。用的是UDP端口69
DHCP：UDP 67端口，动态主机配置协议，IP地址自动分配
SNMP：UDP 161端口，简单网络管理协议
DNS：UDP端口53端口，域名解析协议，记录域名与IP的映射关系

网络安全

层次化设计：

核心层为网络提供骨干组件或高速交换组件，高效速度传输是核心层的目标
汇聚层是核心层和终端用户接入层的分界面，汇聚层完成网络访问的策略控制、广播域的定义、VLAN间的路由、数据包处理、过滤寻址及其他数据处理的任务
接入层向本地网段提供用户接入、主要提供网络分段、广播能力、多播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务。

网络规划的原则：实用性、开放性、先进性
信息安全包括5个基本要素：机密性、完整性、可用性、可控性、可审查性
我国信息系统安全保护等级

第一级：用户自主保护级（对应TCSEC的C1级）：隔离用户与数据，实施访问控制
第二级：系统审计保护级（对应TCSEC的C2级）：实施粒度更细的自主访问控制
第三级：安全标记保护级（对应TCSEC的B1级）：在c2基础上，对标记的主体和客体强制访问控制等。
第四级：结构化保护级（对应TCSEC的B2级）在第三级基础上，建立形式化安全策略模型，对系统内所有主体和客体实施强制存取控制。还考虑了隐蔽通道。
第五级：访问验证保护级（对应TCSEC的B3级）：满足访问监控器需求，提供系统恢复过程。

加密算法：

对称加密（又称为私人秘钥加密/共享秘钥加密）：加密与解密使用同一秘钥。
特点： 1、加密强度不高，但效率高； 2、密钥分发困难。（大量明文为了保证加密效率一般使用对称加密）
常见对称密钥加密算法：DES（数据加密标准 Digital Encryption Standard）、 3DES(三重DES)、 RC-5、IDEA（国际数据加密算法128位密钥 International Data Encryption Adleman）、AES算法（高级加密标准，Advanced Encryption Standard）。
非对称加密（又称为公开密钥加密）：密钥必须成对使用（公钥加密，相应的私钥解密）。
特点：加密速度慢，但强度高。适用于对少量数据进行加密，不适合对文件加密。常见非对称密钥加密算法： RSA、ECC 。RSA:典型的非对称加密算法，主要具有数字签名和验签的功能。

认证技术：解决网络通信过程中通信双方的身份认证。通常认证方一般有账户名/口令认证、使用摘要算法认证、基于PKI的认证。PKI是一种遵循既定标准的密钥管理平台。完整的KPI包括权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API)
Hash函数：单向Hash函数用于生成信息摘要。主要解决两个问题：在某一特定时间内，无法找到经Hash操作后生成特定Hash值的原报文。也无法查找经Hash操作后生成系统Hash值的不同报文。
信息摘要：用于创建数字签名。常见的摘要算法：MD5(128位，特点：压缩性、容易计算、抗修改性、强抗碰撞)，SHA(160位)
数字签名（数字时间戳技术是数字签名技术的变种应用）
数字签名主要经过以下几个过程

信息发送者使用一个单向散列函数（Hash函数）对信息生成信息摘要
信息发送者使用自己的私钥签名信息摘要
信息发送者把信息本身和已签名的信息摘要一起发送出去
信息接收者通过使用与信息发送者使用的同一个单向散列函数（Hash函数）对接收的信息本身生成新的信息摘要，再使用信息发送者的公钥对信息摘要进行验证，以确认信息发送者的身份和信息是否被修改过

数字加密

当信息发送者需要发送信息时，首先生成一个对称密钥，用该对称密钥加密要发送的报文
信息发送者用信息接收者的公钥加密上述对称密钥
信息发送者将1、2步骤的结果结合在一起传给信息接收者，称为数字信封
信息接收者使用自己的私钥解密被加密的对称密钥，在用此对称密钥解密被发送方加密的密文，得到真正的原文

数字签名只采用了非对称密钥加密算法，而数字加密采用了对称密钥加密算法和非对称密钥加密算法相结合。

网络安全协议分层

SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
PGP协议是邮件安全协议。
SET协议是电子商务安全协议，涉及电子交易安全。
HTTPS协议是HTTP协议与SSL协议的结合，默认端口号443。HTTPS经由HTTP进行通信，但利用SSL/TLS来加密数据包。
SSL(Secure Socket Layer):安全套接层。TLS是SSL的升级版
SSL三方面服务:用户和服务器的合法性认证。加密数据以隐藏被传送的数据。保护数据完整性。采用的加密技术既有对称也有非对称密钥技术.
S/MIME :多用途网际邮件扩充协议
Kerberos 是一种网络认证协议
PPTP：点对点隧道协议,PPTP只能在两端点间建立单一隧道
L2TP:一种工业标准的Internet隧道协议,支持在两端建立多隧道

网络安全威胁：非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。
网络攻击分类：
常见的攻击行为
（1）拒绝服务：攻击者利用众多傀儡主机向服务器发送服务请求，导致服务器资源被耗尽，无法提供正常的服务，向其他访问者发送拒绝服务应答。
（2）重放攻击：攻击者抓取向服务器发送的有效数据包，并利用此数据包不断地向服务器发送，导致服务器一直应答此数据包，从而崩溃。
（3）业务流分析：通过长期监听被攻击者的数据流，从而分析出相关业务流，可以依此了解被攻击者的一些倾向，常见的广告推送就是建立在业务流分析基础上的。
常见的防御手段（可以结合使用）
（1）防火墙技术：主要了解它的机制是防外不防内，对于DMZ非军事区主要放置应用服务器（如邮件服务器，WEB服务器）。
（2）漏洞扫描：入侵者可以利用系统漏洞侵入系统，系统管理员可以通过漏洞扫描技术，及时了解系统存在的安全问题，并采取相应措施来提高系统的安全性。
（3）入侵检测IDS：防火墙之后的第二道安全屏障，弥补了防火墙系统对网络上的入侵行为无法识别和检测不足。基于数据源的分类-审计功能、记录安全性日志。基于检测方法-异常行为检测。
（4）入侵赋予系统IPS：在IDS基础上发展，不仅能够检测到网络的攻击行为，也能做出响应，对攻击进行防御。
IDS与IPS的区别：IPS作为一种网络设备串接在网络中，IDS一般是采用旁路挂接的方式连接在网络中。入侵响应能力不同，IDS采用将入侵行为进入日志，不会主动的采取对应措施。而IPS会对攻击行为主动防御。
防火墙技术：防火墙是建立在内外网络边界上的过滤封锁机制。防火墙技术经过了包过滤（不能识别数据包中的应用层协议）、应用代理网关（难以配置，处理速度慢）和状态检测技术三个阶段。典型防火墙的体系结构包括包过滤路由器、双宿主主机、屏蔽主机网和被屏蔽子网等。
常见的病毒、木马命名：

系统病毒（前缀：Win32、PE、W32，如：KCOM——Win32.KCOM）
蠕虫病毒（如：恶鹰——Worm.BBeagle）
木马病毒、黑客病毒（如：QQ消息尾巴木马——Trojan.QQ3344）
脚本病毒（如：红色代码——Script.Redlof）
宏病毒（如：美丽莎——Macro.Melissa）
后门病毒（如：灰鸽子——Backdoor.Win32.Huigezi）
病毒种植程序病毒（冰河播种者——Dropper.BingHe2.2C）
破坏性程序病毒（杀手命令——Harm.Command.Killer）
玩笑病毒（如：女鬼——Jioke.Grl ghost）
捆绑机病毒（如：捆绑QQ——Binder.QQPass.QQBin）

常见的病毒分类：
（1）文件型计算机病毒：感染可执行文件（包括EXE和COM文件）。
（2）引导型计算机病毒：影响软盘或硬盘的引导扇区。
（3）目录型计算机病毒：能够修改硬盘上存储的所有文件的地址。
（4）宏病毒：感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件。
病毒的特性：计算机病毒的特性包括隐蔽性、传染性、潜伏性、触发性和破坏性等
安全防范体系：物理环境安全性、操作系统安全性、网络安全性、应用安全性、管理安全性。

标准化和知识产权

1、标准化

国际标准：ISO、IEC等国际标准化组织
国家标准：GB—中国、ANSI—美国、BS—英国、JIS—日本
区域标准：又称为地区标准，如PASC—太平洋地区标准会议、CEN—欧洲标准委员会、ASAC—亚洲标准咨询委员会、ARSO—非洲地区标准化组织
行业标准：GJB—中国军用标准、MIT-S—美国军用标准、IEEE—美国电气电子工程师协会。（行业标准的辨认一般是排除其他标准分类）
地方标准：国家的地方一级行政机构制订的标准
企业标准
项目规范

2、标准代号和编号

国际、国外标准代号：格式 ISO+标准号+【杠+分标准号】+冒号+发布年号，如ISO 9000-1：1994
我国国家标准代号：强制性标准代号为GB、推荐性标准代号为GB/T、指导性标准代号为GB/Z、实物标准代号GSB。
行业标准代号：由汉语拼音大写字母组成（如电子行业为SJ，QJ为航天、JB为机械、JR为金融）（行业标准的辨认一般是排除其他标准分类）。
地方标准代号：由DB加上省级行政区代码的前两位。
企业标准代号：由Q加上企业代号组成。

3、知识产权基本知识

知识产权分为工业产权（如专利、商标、商业秘密、微生物技术）和著作权（包括人身权，如发表权、署名权和财产权，如使用权、获得报酬钱）
知识产权特点：无形性、双重性、确认性、独占性、地域性、时间性
计算机软件著作权的主体是指享有著作权的人。客体是计算机程序、计算机软件的文档。
计算机软件受著作权保护的条件：独立创作、可被感知、逻辑合理

中国公民、法人或者其他组织的作品，不论是否发表，都享有著作权。
开发软件所用的思想、处理过程、操作方法或者数学概念不受保护。
著作权法不适用于下列情形：
（1）法律、法规，国家机关的决议、决定、命令和其他具有立法、行政、司法性质的文件，及其官方正式译文；
（2）时事新闻；
（3）历法、通用数表、通用表格和公式。