1、第四章第四章 信息传递信息传递1.通信网络2.信息安全4.14.1通信网络通信网络v 4.1.通信系统通信系统v 最直观的通信行为是发信者与收信者之间的直接通信,称为点对点通信。支持点对点通信的技术系统称为通信系统。通信网络则是由大量通信系统和联接它们的交换(转接)系统构成的。v 人类对通信技术的基本要求是:信息传递速度快,效率高,质量好,安全。整个通信技术的发展就是围绕这些基本要求展开的。v 为了实现高速传输,现代通信利用以光速传播的电磁波(包括电波和光波)来载荷信息(因此称为电气通信和光通信)。通信的原发信息(声音、文字、符号、数据、图形、图像等)需要通过各种设备转换成为电信号和光信号,才
2、能在相应的通信系统中传输。为了实现高效率和高质量传输,还需要通过各种编码技术对载荷信息的信号进行相应的处理。图4.1表示了通信系统的模型。信源消息噪声信宿译码器信道编码器信号信号加噪声消息4.14.1通信网络通信网络v 4.1.通信系统通信系统v 图中表明,典型通信系统包括如下基本组成部分。v 1.信源信源v 信源是信息的生成源,是通信系统的始端。根据输出信息形式的不同,可把信息源划分为模拟信源和离散信源。v 模拟信源输出时间连续的幅度信号,如话音、黑白或彩色图像信号等。离散信源输出时间离散的符号序列,如数据、电报等。模拟信号可以通过抽样和量化过程转换为离散信号(常常成为“码”)。随着计算机和
3、数字通信技术的发展,离散信号得到了越来越充分的发展和利用。v 信源种类不同,它所产生的信号速率也不相同。例如,电传打字机有26个英文字母和其它符号,总共产生32种离散符号,因此需要有5位二进制数字(5比特或5b)来表示。假设电传打字机产生符号的速率为10个符号/秒,则作为一个离散信源来说,它每秒能输出的二进制信息速率为50b/s(比特/秒)。4.14.1通信网络通信网络v 4.1.通信系统通信系统v 2.编码器编码器v 编码器介于信源与信道之间,它的功能是将信源输出转换成适合于信道传输的信号。编码器包括:信源编码器、信道编码器、安全编码器(这部分的内容将在本章第二部分讨论)。有时,人们把调制器
4、也看作是一种编码器,如图4.2所示。一般在模拟通信系统中的编码器仅包含调制器。当然,也可以把调制器(还有均衡器)看作是信道的一部分(这种不同的处理,只表现分析的不同手段,并不改变问题的实质)。消息调制器信道编码器信源编码器符号符号信号4.14.1通信网络通信网络v 4.1.通信系统通信系统v 2.编码器编码器v 信源编码器的功能是按照一定的规律将信源输出符号转换成编码输出符号,以提高通信系统的传输有效性。例如,电传打字机发出英文字母符号,若直接用二进制符号传送,每字母需5比特;而利用信源编码技术则可以压缩到平均每字母3比特(所以信源编码又称信源压缩编码),提高了每比特的信息含量效率。v 信道编
5、码器的作用是按照一定的规律给信源编码符号增加保护符号,以增加信号抵抗干扰的能力,使信道编码信号在接受端能够发现和纠正错误,提高通信系统的传输可靠性。v 调制器的功能主要有:v 将信道编码输出信号转换为便于传送的形式。如无线传输时必须将消息加载在高频上(频谱迁移)才能在自由空间发射出去。又如在数字电话中将连续信号变换为脉冲编码调制信号,以便于在数字信道中传输。v 选择适当的调制方式,提高抗干扰能力。v 选择适当的调制方式,有效利用频带资源。4.14.1通信网络通信网络v 4.1.通信系统通信系统v 3信道信道v 信道是信号的传输媒介,它把调制器输出信号传送到接收端。传输媒介可以是有线,也可以是无
6、线。有线和无线又可以分为许多种类,例如有线中有电缆、光纤等,无线有短波、微波、毫米波等。v 传输设备内部总是存在热噪声,设备外部也总会存在各种干扰和衰落,它们统称为信道噪声。信号在信道中传输时,不可避免地会受到信道噪声的影响。信道噪声在性质上主要有两种情形:与信号形成相加关系的加性噪声(如热噪声);v 与信号形成相乘关系得噪声(如衰落)。在实际情形中,最普遍存在的是加性高斯白噪声,与此相应的信道称为加性高斯白噪声信道)。v 为了获得最好的传输效果,应当针对不同的信道噪声选取不同的传输信号形式,如通过电导体传播的有线信道和通过自由空间传播的无线信道,所选取的信号形式是不同的。v 4译码器译码器v
7、 译码器的作用是从信道编码信号中恢复消息,实现与编码器相反的功能。不过,由于存在干扰的作用,译码器与编码器的具体实现并非简单的互逆关系,而是变得更为复杂。4.14.1通信网络通信网络v 4.1.通信系统通信系统v 5信宿信宿v 信宿与信源相对应,后者是通信信息的出发点,其功能是产生信息;前者是通信信息的归宿,其功能是接收信息。它们可以是人或设备。v 信源和信宿在工程技术上也称为通信终端,如电电话通信的电话机、移动通信的手机,电视传输的电视机、数据通信的数据设备、计算机通信的计算机等。v 以上所述是单向通信系统的情形,在大多数场合下,通信的双方需要随时进行信息的交流,因而需要双向通信。以电话为例
8、,通信双方都要同时具有发送设备和接收设备,双向都可独立进行发送和接收。为了使双向通信共享一条传输线路(称为双工),可采用频率或时间分割的方法来区分收发两个方向的信号,分别称频分双工(Frequency Division Deplexing,FDD)和时分双工(Time Division Deplexing,TDD)。4.14.1通信网络通信网络v 4.1.通信系统通信系统v 三、通信系统的分类三、通信系统的分类v 按照不同分类准则,通信系统可以有不同的分类结果,主要包括:v 1.按消息的物理特征分类按消息的物理特征分类v 根据消息的物理特征不同来划分,有电报系统、电话系统、数据通信系统、图像通
9、信系统等各种通信系统。v 2.按调制方式分类按调制方式分类v 根据是否采用调制来划分,可将通信系统分为基带传输系统和调制传输系统。基带传输是将未经调制的信号直接传送,如音频市内电话、数字信号基带传输等。调制传输是对各种信号进行调制以后再传输的总称。调制方式有很多种,在实际使用时常常采用复合的调制方式,即用不同调制方式进行多级调制。v 3.按传输信号的特征分类按传输信号的特征分类v 按照通信系统中所传输的是模拟信号还是数字信号,可以把通信系统分为即模拟通信系统和数字通信系统。在模拟通信系统中传输的是模拟信号,发送信号的编码器只包含调制器,接收信号的解码器只包含解调器。数字通信系统传输的是离散的数
10、字信号,发送信号的编码器包含信源编码器,信道编码器和调制器,对应的接收信号的解码器包含解调器,信道解码器和信源解码器。数字通信比模拟通信具有抗干扰能力强、便于进行快速数字信号处理、易于集成化、可方便地实现多路传输以及传输与交换的结合,易于多业务的综合等优点。4.14.1通信网络通信网络v 4.1.2 交换系统交换系统v 在点对点通信的场合,不需要交换系统。许多点对点通信系统(连同它们的终端设备)两两连接构成的通信网络称为全连接网。在这里,两用户之间双向传输需要两个通信系统,因此N个用户的全连接网需要N(N-1)个通信系统,在双向共享传输线路的情况时,需要铺设N(N-1)/2条线路。显然这很不经
11、济:投资大,信道利用率也低,因为当一用户与另外一个用户通信时,其它信道必然空闲。当用户数很多时,矛盾尤为突出。只有当各个用户都要与许多别的用户同时通信而且业务量都很大的场合,全连接才有必要。v 为了避免上述缺点,可以在通信节点之间设置转接设备(交换机)。这样形成的一种通信网如图4.3所示。星型接入网4.14.1通信网络通信网络v 4.1.2 交换系统交换系统v 现在普遍使用的交换技术有电路交换(CS:Circuit Switching,)和分组交换(PS:Packet Switching)两种。其中,电路交换主要用在电话网中(包括公众电话网和蜂窝移动网),用以传输话音和数据。电路交换在用户发起
12、通信请求时,就在它们之间立即建立起一条专用传输通路,并在通信过程中一直保持着,直到通信完毕后拆除链路。分组交换技术广泛用于数据通信网中,在这里,所传信息被分割成数据块(称为分组,也叫包),信息以包为单位由信源送往信宿。数据在分组交换网中的传送采用存储转发方式。v 表1归纳了这两种网络的特点。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 通信的最基本形式是在点与点之间建立通信系统,但有了许多这样的通信系统,而如果这些通信系统之间并不互相连通,还是不能称为通信网络。网络的基本概念是一组节点和连接这些节点的连线(在通信网场合也称为链路)所构成的连通集合。因此,只有将众多的通信系统按
13、一定拓扑结构组合在一起,实现某一区域范围内任意两个终端用户的相互连通,才构成了通信网络。v 通信网络是通信系统的系统,由各种终端设备、交换设备、传输设备(包括复用器、连接器以及各种设备之间的传输线路)组成。除了这些硬件设备之外,为了保证网络能正确合理的运行,使用户间的通信达到一定的性能要求,还必须有控制和管理网络运行的软件(如标准、信令、协议)。v 为了使通信网络既能灵活地支持当前的业务,又能适应未来业务发展的需要,必须建立一种恰当的网络体系结构或规则。在现代通信网络中,协议已成为必不可少的支撑条件。如同人与人之间相互交流是需要遵循一定的规矩一样,通信双方相互通信需要遵守一定的规则,包括网络中
14、传递、管理信息的规则,这就是网络协议。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 一、通信网络发展概况一、通信网络发展概况v 伴随着信息时代社会通信需求和信息技术的发展,现代通信呈现出如下的基本特征:v 信源多样化信源多样化:语音、传真、图像、电视、计算机数据以及各种多媒体信息出现在通信中,要求各种类型的消息能够融合在一个统一的通信网络中传输、交换和处理。v 传输手段多样化:由于通信业务的多样化、呈现方式的便捷性、移动性和智能化,要求充分利用多种传输手段以及各种传输手段的综合应用。v 计算机技术广泛应用计算机技术广泛应用:计算机技术的高度发展,使其应用遍及各个方面。在通信、
15、广播、信号处理、控制、管理等领域,计算机无处不在。信息的普遍数字化和传输速率的提高,能够进行存储、交换和处理,这些都要依靠计算机技术才能得以实现。v 通信业务量激增,通信质量要求愈来愈高通信业务量激增,通信质量要求愈来愈高:人们生活水平的提高导致了用户对通信的频次和质量要求的提高。同时由于人类已从传统的工业时代逐渐过渡到了信息时代,超过半数的劳动者在办公室或高度自动化的场所工作,随时涉及到信息的运用和处理,对通信的要求也与日俱增。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 目前具有一定规模的三大通信网络是公众电话网(PSTN,也称市话网)、有线电视网(CATV)、计算机网,
16、它们都各有优点和不足:v 1.公众电话网虽可高质量地支持话音业务,但网络的效率不高,不能很好地支持高速数据和多媒体业务,难以满足快速发展的市场需求。目前,电信运营商已经开始考虑从单一电信运营商向综合信息服务商转型。v 2.有线电视网虽然实时性和宽带能力较好,但是不支持双向通信,无统一的技术标准和网络管理体系。目前基于IP网络来传输电视(IPTV)成为电信运营商和广播电视部门普遍看好的新业务,通过广电网与公众电话网的结合实现IPTV业务已经成为一个新的研究热点。v 3.计算机网络能很好地支持数据业务,符合通信技术数字化的要求,但目前在支持话音和图象等通信业务方面,还需要进一步解决实时性、业务质量
17、,安全性和高效管理等问题。v 当前,这三种网都在逐步演进,使自己具备其它两网的优点,技术上取长补短,业务上也在相互渗透。从长远发展的角度看,各种网络在服务层次上融合形成智能信息网络是未来的发展方向。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 二、通信网分类二、通信网分类v 由于现代通信网络是一个在长期的历史过程中逐步发展起来的纷繁复杂的巨大体系,具有众多方面的技术特征,因此对于它的分类也可以从多个角度进行。v 1.按业务分类按业务分类 v 按照网络中传输的信息或者是网络承载的业务来划分,可以将通信网划分为电话网、电报网、数据网、传真网、计算机网、广播电视网、蜂窝移动电话网、
18、互联网(Internet)等。v 目前很多通信系统是为用户提供某种专门业务而存在的。未来的通信网络中,各种类型的消息应该能够融合在一个统一的通信网络中传输、交换和处理,为用户提供综合业务。v 2.按传输手段分类按传输手段分类v 从组成网络的信道来划分,可以分为电缆网、光纤网、短波通信网、微波中继网、卫星通信网和移动通信网等。v 3.按照传输信号的形式分类按照传输信号的形式分类v 可分为模拟通信网、数字通信网和模拟/数字混合通信网。现阶段纯模拟通信网已很少采用,较多采用的是模拟/数字混合通信网。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 二、通信网分类二、通信网分类v 4.按
19、使用范围分类按使用范围分类v 按照网络覆盖的物理范围来划分,通信网络可以分为本地网、国内网和国际网。本地网包括大城市本地网以及中等城市、小城市和区县本地网。国内网是负责本地网之间长途业务的网络。国际电话通信网由国际局、长话局、市话局以及各种类型的线路组成。每个国家都设有国际电话局。v 5.按运营模式分类按运营模式分类v 通信网按运营方式不同可划分为公用网和专用网。公用网即公众网,是向全社会开放的通信网。专用通信网是相对而言的,它是军事国防、或国民经济的某一专门部门,如铁道、石油、水利、电力等部门自建或向邮电部门租用电路,专供本部门内部业务使用的通信网。v 6.按网络功能分类按网络功能分类v 通
20、信网的功能层次由几部分完成:传送网(包括骨干传送网和接入网)、业务网、支撑网(包括信令网、同步网和网络管理网)等。电信骨干传送网是公共的数字传输平台或信息高速公路,实现模式可有SDH、ATM、光波分复用网络等。在电信传送网之上不同业务网共享网络资源。业务网为用户提供各种业务,支撑网保证业务网正常运行并为其提供支撑服务。电信支撑网的功能主要是保障网络正常运行,提高网络的服务质量,增强网络功能。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 三、通信网络的发展趋势三、通信网络的发展趋势v 随着通信技术的发展,特别是20世纪90年代中期以来,互联网快速发展,以互联网为代表的新技术革命
21、正在深刻地改变着传统的电信概念和体系。随之而来的是数据通信业务迅速增长,在不少国家甚至超过了话音业务量。在这种市场需求下,新业务层出不穷,传统的基于TDM的话音网络已远远不能满足日益膨胀的数据业务发展的需求,而基于IP的分组交换的数据网络在市场驱动下日益发展壮大。因此,为了满足市场多样化的需求,基于TDM的话音网和基于IP的分组网的融合将形成可以传递话音和数据等综合业务的新一代网络。于是,下一代网络(NGN)的概念应运而生。目前,国际标准组织对NGN标准化工作展开了广泛的研究,重点在NGN的体系架构和网络演进等方面。v 国际电信联盟(ITU)启动了NGN的标准研究。ITU提出了NGN的概念性描
22、述,认为 NGN是一个分组网络,提供包括电信业务在内的多种业务,能够利用多种带宽和满足业务质量(QoS)要求的传送技术,实现业务功能与底层传送技术的分离;提供用户对不同业务提供商网络的自由接入,并支持通用移动性,实现用户对业务使用的一致性和统一性。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 三、通信网络的发展趋势三、通信网络的发展趋势v NGN的基本特征如下:的基本特征如下:1)分组传送;2)控制功能从承载、呼叫/会话、应用/业务中分离出来;3)业务的提供与网络分离,提供开放接口;4)利用各基本的业务组成模块,提供广泛的业务和应用(包括实时、流、非实时和多媒体业务);5)具
23、有端到端QoS和透明的传输能力;6)通过开放接口与传统网络互通;7)具有通用移动性;8)允许用户自由地接入不同的业务提供商;9)支持多样标识体系,并能将其解析为IP地址以用于IP网络路由;10)同一业务具有统一的业务特性;11)融合固定与移动业务;12)业务功能独立于底层传送技术;13)适应所有管理要求,如应急通信、安全性和私密性等要求。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 图4.4为NGN的分层结构示意图,各层的功能描述如下:v 接入和传输层:将用户连接至网络,集中用户业务并将它们传递至目的地,包括各种接入手段。v 媒体层:将信息格式转换为能够在网上传递的格式。例如
24、将话音信号分割成ATM信元或IP包。此外,媒体层可以将信息路由至目的地。v 控制层:包括呼叫智能。此层根据收到的业务,控制底层网络元素对业务流的处理。v 业务/应用层:在呼叫建立的基础上提供额外的服务。下一代网络的分层结构4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 通信的容量、业务质量和安全仍是未来发展的基本技术指标,但是信息安全是目前发展中的薄弱环节与瓶颈,电脑病毒和黑客攻击威胁着网络安全,利用互联网传播有害信息的手段日益翻新。除普遍存在的利用论坛、留言板、电子邮件、手机短信、在线聊天工具、电子出版物传播有害信息外,也出现了利用声音及图像文件进行非法活动威胁人们的正常生活
25、。互联网带给人们自由开放的同时,也带来不可忽视的安全风险,因此网络信息安全方面的问题在未来通信网络的发展中应予以重点关注,下一节将讨论这个问题。v 概括起来,未来的通信网,数字化是基础,综合化、个人化是目标,宽带化、智能化是实现的主要手段。v 数字化数字化v 数字化就是在通信网中全面使用数字技术,包括数字传输、数字交换和数字终端等。在过去,由于话音、数据、图像的信号类型各不相同,无法在同一网络中传输,所以,分别形成了传话音的电信网、传数据的互联网,以及传图像的有线电视网。随着数字技术的发展,无论何种信号,均可用0和1表示,消除了信号类型的差别,未来的网络建设也必将向数字化演进。数字化是统一各种
26、通信系统的前提。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 综合化综合化v 综合化包括业务的综合、传输与交换的综合、业务网与支撑网的综合、硬件与软件的综合以及通信与计算机的综合。随着微电子技术、计算技术、数字信号处理技术、光纤技术等高科技领域的重大突破,未来的网络将是一种能够综合各种信息媒体功能的宽带综合业务数字网,可以连接各种传输方式的网络,如无线通信、卫星通信、微波通信、光纤通信等;可以容纳已知的各种信息服务,如模拟电视广播、模拟声音广播、数字电视广播、准自选影视NVOD(每个节目固定间隔时间,用几个通道同时滚动加密广播)、真自选影视TVOD(一个用户独享一个节目,用户
27、可以随心所欲地控制播放)、电子图书馆、电子报刊、可视电话、社区服务、连接各种信息家电等;可以实现信息收集、传递、处理和控制一体化,提供传输速度更快、容量更大、质量更好的信息通道。v 个人化个人化v 个人化也叫个人通信。个人通信是指人们能在任何时间、任何地点与任何地点的另一个人进行通信,不管通信双方处于静止状态还是移动状态,都能够利用分配给个人的号码完成各种通信。个人通信是21世纪通信发展的重要方向。4.14.1通信网络通信网络v 4.1.3 通信网络通信网络v 宽带化宽带化v 未来的接入网、交换网、传送网都将是宽带网。各种电视会议、可视电话、宽带可视图文、高清晰度电视、多媒体通信业务、高速数据
28、传输、高速文件传送都可以在一个宽带网络中传输。当前,为了开展上述数据业务,提高数据传输速率,各部门正在努力使自己的网络合理化。有线电视本身就是宽带网,电信网中骨干传送网部分的宽带化正在迅速展开,接入网的宽带化也正在逐渐进行,并将成为未来几年的重要任务。v 智能化智能化v 用户对通信的需求与日剧增,希望从终端能得到更多的业务和服务。随着各网络相互融合,其业务功能将更加强大和完善,智能新业务将进一步拓宽。比如,网络可以自行对流量进行分类,自动将语音流量划分在传输过程中最高的优先级,应用流量则有可能获得第二位的传输优先级,反之,对于不像前两种流量那样对时间敏感的电子邮件流量将在最后才通过网络。最终,
29、智能网将赋予商业用户更多的网络控制能力,实现网络经营者和业务提供者的自行编程,使网络经营公司、业务提供者和用户三者均可参与业务生成过程,从而更简单、更经济、更有效、更全面地为用户提供各种信息业务。4.24.2信息安全信息安全v 4.2.1 保密安全保密安全v 密码技术是实现保密安全的核心技术。密码技术的发展大致可以分为三个阶段:1949年之前是古典密码阶段,密码大多都比较简单,可用手工和机械操作来实现加解密。1949年,信息论创始人Shannon 发表了经典论文“保密通信的信息理论”,从信息的观点给出了密码学的理论框架,使密码学走上了科学的轨道。1976年,Diffie和Hellman发表了“
30、密码学的新方向”,提出了一种新的密码体制,冲破了长期以来一直沿用的单钥密码体制。新的双钥(公钥)密码体制可使通信双方无须事先交换密钥就可建立保密通信。自此,密码技术得到了迅速的发展。v 最初人们认为信息安全就是通信保密,采用的保障措施就是加密和基于计算机规则的访问控制,这被称为“通信保密(COMSEC)”时代,其标志就是Shannon的保密通信的信息理论。它的理论框架可以抽象成图4.5的模型。图4.5 通信保密系统模型4.24.2信息安全信息安全密码编码学密码编码学 密码编码学是对信息编码以隐蔽信息的理论 密码学包含的内容密码学包含的内容密码分析学密码分析学 密码分析学是研究分析破译密码的理论
31、 4.24.2信息安全信息安全v 4.2.1 保密安全保密安全v 通信系统的安全问题还包括针对物理环境和针对通信链路的威胁。v 1.物理安全威胁物理安全威胁v 物理安全威胁是指对系统所用设备的威胁,主要有自然灾害(地震、水灾、火灾等)造成的通信系统毁灭、电源故障造成的设备断电操作系统引导失败或数据库信息丢失、设备被盗被毁造成数据丢失或信息泄露,电磁辐射也可能造成数据信息被窃取或偷阅,等等。有时,也把它们称为通信的物理可靠性问题。v 2.通信链路安全威胁通信链路安全威胁v 网络入侵者可能在传输线路上安装窃听装置,窃取网上传输的信号,再通过一些技术手段读出数据信息,造成信息泄露;或对通信链路进行干
32、扰,破坏数据的完整性。v 与此相应,对于通信系统的安全防范主要包括保护通信设备等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击等方面。4.24.2信息安全信息安全v 4.2.2 网络安全网络安全v 随着计算机特别是计算机网络的发展,使大范围信息系统的安全保密成为信息安全的主要内容。与此相应的信息安全宗旨,是向合法的服务对象提供准确、正确、及时、可靠的信息服务;而对其他任何非授权人员和组织,不论信息处于静态、动态、还是在传输过程,都要保持最大限度的信息的不透明性、不可获取性、不可接触性、不可干扰性、不可破坏性,。v 从这个角度来说,信息安全可以分为两个层次。(1)消息层次消息层次,包括信息的
33、完整性(Integrity),保证消息的来源、去向、内容真实无误;保密性(Confidentiality),保证消息不会被非法泄露扩散;不可否认性(Non-repudiation),也称为不可抵赖性,即保证消息的发送和接受者无法否认自己所做过的操作行为等。(2)网络层次网络层次,包括可用性(Availability),即保证网络和信息系统随时可用,运行过程中不出现故障,尽量减少以外打击的损失并尽早恢复正常;可控性(Controllability),即对网络信息的传播及内容具有控制能力的特性。前者属于狭义信息安全范畴,后者属于网络安全范畴。4.24.2信息安全信息安全v 4.2.2 网络安全网络
34、安全v 1.网络安全威胁网络安全威胁v 下面是一些常见的安全威胁:v(1)泄露信息泄露信息:信息被泄露或透露给非授权的实体。v(2)破坏信息的完整性破坏信息的完整性:数据被非授权增删、修改或破坏。v(3)拒绝服务拒绝服务:对信息或其它资源的合法访问被无条件地阻止。v(4)非法使用(非授权访问)非法使用(非授权访问):资源被非授权人以非授权方式使用。v(5)窃听窃听:窃取系统中的信息资源和敏感信息:如搭线监听,利用电磁泄露截取有用信息等。v(6)业务流分析业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从而发现有价值的信息和规律。
35、v(7)假冒假冒:通过欺骗,非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户。黑客大多是采用假冒攻击。v(8)旁路控制旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种手段发现系统的某些“特性”,于是可以利用这些特性绕过防线守卫者侵入系统的内部。v(9)授权侵犯授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其它非授权的目的,也称作“内部攻击”。4.24.2信息安全信息安全v 4.2.2 网络安全网络安全v 1.网络安全威胁网络安全威胁v 下面是一些常见的安全威胁:v(10)特洛伊木马特洛伊木马:软件中含有一个察
36、觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。v(11)陷阱门陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。v(12)抵赖抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。v(13)重放重放:出于非法目的,将所截获的某些合法的通信数据进行拷贝而重新发送。v(14)计算机病毒计算机病毒:所谓计算机病毒,是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。一种病毒通常含有两个功能:一种功能是使其它程序产生“感染”;另外一种或者是引发损坏功能,或者是
37、一种植入攻击的能力。从2000年开始,计算机病毒与木马技术相结合成为病毒新时尚,使病毒的危害更大,防范的难度也更大。4.24.2信息安全信息安全v 4.2.2 网络安全网络安全v 1.网络安全威胁网络安全威胁v 下面是一些常见的安全威胁:v (15)人员不慎人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。v(16)媒体废弃媒体废弃:从废弃的磁盘或打印过的存储介质中获得信息。v(17)物理侵入物理侵入:侵入者绕过物理控制而获得对系统的访问。v(18)窃取窃取:重要的安全物品,如令牌或身份卡被盗。v(19)业务欺骗业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地
38、放弃敏感信息等等。v 要保证网络安全就必须想办法在一定程度上克服以上的种种威胁,加深对网络攻击技术发展趋势的了解,尽早采取相应的防护措施。需要指出的是无论采取何种防范措施都不能保证网络的绝对安全。安全是相对的,不安全才是绝对的。在具体实用过程中,时间因素和经济因素是判别安全性的重要指标。换句话说,过时的“成功”和“赔本”的攻击都被认为是无效的。4.24.2信息安全信息安全v 4.2.2 网络安全网络安全v 2.网络攻击网络攻击v 网络攻击是对网络安全威胁的具体体现。Internet目前已经成为全球信息基础设施的骨干网络,其本身所具有的开放性和共享性对信息的安全问题提出了严峻的挑战。由于系统脆弱
39、性的客观存在,操作系统、应用软件、硬件设备不可避免地存在一些安全漏洞,网络协议本身的设计也存在一些安全隐患,这些都为攻击者入侵系统提供了可乘之机。十几年前,网络攻击还仅限于破解口令和利用操作系统已知漏洞等有限的几种方法,然而目前网络攻击发展了越来越多的技术。网络攻击的过程和技术可分为以下阶段:v(1)攻击身份和位置隐藏攻击身份和位置隐藏;v 隐藏网络攻击者的身份及主机位置。可以通过利用被入侵的主机作跳板;利用电话转接技术;盗用他人帐号上网;通过免费网关代理;伪造IP地址;假冒用户帐号等技术实现。v(2)目标系统信息收集目标系统信息收集;v 确定攻击目标并收集目标系统的有关信息,包括:系统的一般
40、信息(软硬件平台、用户、服务、应用等);系统及服务的管理、配置情况;系统口令安全性;系统提供服务的安全性等信息。4.24.2信息安全信息安全v 4.2.2 网络安全网络安全v 2.网络攻击网络攻击v(3)弱点信息挖掘分析;弱点信息挖掘分析;v 从收集到的目标信息中提取可使用的漏洞信息,包括系统或应用服务软件漏洞、主机信任关系漏洞、目标网络使用者漏洞、通信协议漏洞、网络业务系统漏洞等。v(4)目标使用权限获取;目标使用权限获取;v 获取目标系统的普通或特权账户权限。获得系统管理员口令、利用系统管理上的漏洞获取控制权(如缓冲区溢出)、令系统运行特洛伊木马、窃听帐号口令输入等。v(5)攻击行为隐藏;
41、攻击行为隐藏;v 隐蔽在目标系统中的操作,防止攻击行为被发现。如连接隐藏,冒充其他用户、修改logname环境变量、修改utmp日志文件、IP SPOOF;隐藏进程,使用重定向技术ps给出的信息、利用木马代替ps程序;文件隐藏,利用字符串相似麻痹管理员;利用操作系统可加载模块特性,隐藏攻击时产生的信息等。v(6)攻击实施;攻击实施;v 实施攻击或者以目标系统为跳板向其他系统发起新的攻击。攻击其他网络和受信任的系统;修改或删除信息;窃听敏感数据;停止网络服务;下载敏感数据;删除用户帐号;修改数据记录。4.24.2信息安全信息安全v 4.2.2 网络安全网络安全v 2.网络攻击网络攻击v(7)开辟
42、后门;开辟后门;v 在目标系统中开辟后门,方便以后入侵。放宽文件许可权;重新开放不安全服务,如TFTP等;修改系统配置;替换系统共享库文件;修改系统源代码、安装木马;安装嗅探器;建立隐蔽通信信道等。v(8)攻击痕迹清除。攻击痕迹清除。v 清除攻击痕迹,逃避攻击取证。篡改日志文件和审计信息;改变系统时间,造成日志混乱;删除或停止审计服务;干扰入侵检测系统的运行;修改完整性检测标签等。v 近年来网络攻击技术和工具发展很快,使得一般的计算机爱好者要想成为一名准黑客非常容易,从而使得网络安全面临越来越大的风险。同时也应该看到:黑客技术是一把双刃剑,他们的存在促进了网络的自我完善,可以使厂商和用户们更清
43、醒的认识到这个网络还有许多的地方需要改善。v 网络战已经成为现代战争的一种潮流,很早就有人提出了“信息战”的概念,并将信息武器列为继原子武器、生物武器、化学武器之后的第四大武器。在未来的信息战中,“黑客技术”将成为主要手段。对黑客技术的研究对于国家安全具有重要的战略意义。4.24.2信息安全信息安全v 4.2.2 网络安全网络安全v 3.网络安全技术网络安全技术v 网络安全技术种类繁多而且还相互交叉。虽然没有完整统一的理论基础,但是在不同的场合下,为了不同的目的,许多网络安全技术确实能够发挥出色的功效。v(1)防火墙技术防火墙技术v 防火墙技术是一种允许接入外部网络,但同时又能够识别和抵抗非授
44、权访问的安全技术。防火墙扮演的是网络中“交通警察”角色,指挥网上信息合理有序地安全流动,同时也处理网上的各类“交通事故”。防火墙可分为外部防火墙和内部防火墙。前者在内部网络和外部网络之间建立起一个保护层,从而防止“黑客”的侵袭,其方法是监听和限制所有进出通信,挡住外来非法信息并控制敏感信息被泄露;后者将内部网络分隔成多个局域网,从而限制外部攻击造成的损失。v(2)入侵检测技术入侵检测技术v 入侵检测系统作为一种积极主动的安全防护手段,在保护计算机网络和信息安全方面发挥着重要的作用。入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。入侵检测系统工作在计算机网络系统中的关键节点上,通过实
45、时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和遭到袭击的迹象,进而达到防止攻击、预防攻击的目的。4.24.2信息安全信息安全v 4.2.2 网络安全网络安全v 3.网络安全技术网络安全技术v(3)内网安全技术内网安全技术v 商业间谍、黑客、不良员工对网络信息安全形成了巨大的威胁,而网络的普及和 USB 接口的大量使用在给各单位获取和交换信息带来巨大方便的同时,也给这些威胁大开方便之门。v (4)安全协议安全协议v 整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。安全协议的设计和改进有两种方式:一是对现有网络协议(如TCP/IP)进行修改和补充;二是在网络
46、应用层和传输层之间增加安全子层,如安全协议套接字层(SSL)、安全超文本传输协议(SHTTP)和专用通信协议(PCP)。安全协议实现身份鉴别、密钥分配、数据加密、防止信息重传和不可否认等安全机制。v (5)业务填充业务填充v 所谓的业务填充是指在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难。它是一种制造假的通信、产生欺骗性数据单元或在数据单元中填充假数据的安全机制。该机制可用于应对各种等级的保护,用来防止对业务进行分析,同时也增加了密码通讯的破译难度。发送的随机数据应具有良好的模拟性能,能够以假乱真。该机制只有在业务填充受到保密性服务时才有效。4.24.2信息安全信息安全v
47、 4.2.2 网络安全网络安全v 3.网络安全技术网络安全技术v(6)路由控制机制路由控制机制v 路由控制机制可使信息发送者选择特殊的路由,以保证连接、传输的安全。其基本功能为:v 路由选择路由选择v 路由可以动态选择,也可以预定义,选择物理上安全的子网、中继或链路进行连接和/或传输。v 路由连接路由连接v 在监测到持续的操作攻击时,端系统可能同意网络服务提供者另选路由,路由,建立连接。建立连接。v 安全策略安全策略v 携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或链路。v(7)公证机制公证机制v 公证机制是对两个或多个实体间进行通信的数据的性能,如完整性、来源、时间和目的地等,
48、由公证机构加以保证,这种保证由第三方公证者提供。公证者能够得到通信实体的信任并掌握必要的信息,用可以证实的方式提供所需要的保证。4.24.2信息安全信息安全v 4.2.3 信息内容安全信息内容安全 v 1.信息内容安全面临的威胁信息内容安全面临的威胁v 目前,信息内容安全主要包括:信息破坏、信息传输威胁、信息内容的泄露、系统安全威胁和信息干扰等。v (1)信息破坏信息破坏v 系统遭受病毒感染时,可能导致信息破坏和信息处理系统的异常。信息破坏的结果导致信息不可用、不能恢复或者因被篡改而被误用。v 导致信息内容遭到破坏的因素有很多,如病毒破坏、蠕虫攻击、木马控制、信息非法扩散、垃圾邮件侵害以及其它
49、具有黑客性质的入侵行为等。v(2)信息传输威胁信息传输威胁v 大量耗费网络带宽的恶意数据如病毒、网络蠕虫、DDOS攻击、垃圾邮件等往往会造成网络堵塞。入侵攻击事件可能从网络边界进入,然后通过网络进行扩散传播。因此,应该从网络边界和网络传输的不同层面分别进行控制。4.24.2信息安全信息安全v4.2.3 信息内容安全信息内容安全 v(3)系统安全威胁系统安全威胁v 操作系统、系统软件的安全是信息内容安全的基础。不幸的是,现在所使用的系统存在许多漏洞,往往形成拒绝服务攻击(DDoS),造成网络混乱。弥补系统漏洞最常用的方法就是及时打“补丁”。v(4)信息内容的泄密信息内容的泄密v 信息内容的泄密将
50、带来严重的后果,因此,对信息资产的安全等级评定、标记、监控技术提出了更高的要求。对大容量信息的实时监控、治理等都是必须解决的问题。v(5)信息干扰信息干扰v 无用信息对人们的工作和生活都会造成很大干扰。垃圾邮件的泛滥不但干扰人们的正常工作,还消耗网络和系统资源。此外,许多垃圾邮件还携带病毒,如果不加注意,很可能因此感染病毒。4.24.2信息安全信息安全v 4.2.3 信息内容安全信息内容安全 v 2.信息内容安全领域的主要技术信息内容安全领域的主要技术v 与信息内容安全相关的网络技术主要有:v(1)信息内容的获取技术信息内容的获取技术v 在大规模网络环境中快速获取各种协议的信息内容,主要分为主
