软件设计师考点详解:网络与信息安全技术

网络与信息安全是软件设计师考试的重要组成部分,约占上午题的10%。这部分内容涉及计算机网络的基础理论和信息安全的核心技术,对于理解现代软件系统的通信机制和安全防护至关重要。本文将系统梳理这一章节的核心知识点。

一、计算机网络基础

网络拓扑结构

常见拓扑类型

  • 总线型:所有节点连接到同一根总线上

    • 优点:结构简单,成本低
    • 缺点:故障诊断困难,性能随节点增加而下降

  • 星型:所有节点连接到中心节点

    • 优点:易于管理和维护,故障隔离好
    • 缺点:中心节点是单点故障

  • 环型:节点形成闭合环路

    • 优点:数据传输效率高
    • 缺点:扩展性差,故障影响大

  • 网状型:节点间有多条连接路径

    • 优点:可靠性高,容错能力强
    • 缺点:结构复杂,成本高

网络分类

按覆盖范围

  • 局域网(LAN):几米到几公里,如办公室网络
  • 城域网(MAN):几公里到几十公里,如城市网络
  • 广域网(WAN):几十公里以上,如互联网

按传输技术

  • 广播式网络:所有节点共享同一信道
  • 点对点网络:节点间有专用连接

二、OSI七层模型

各层功能详解

物理层(Physical Layer)

  • 功能:传输比特流,定义电气、机械、功能和规程特性
  • 设备:中继器、集线器
  • 协议示例:RS-232、V.35、Ethernet物理层

数据链路层(Data Link Layer)

  • 功能:提供可靠的数据传输,帧同步,差错控制,流量控制
  • 子层:LLC(逻辑链路控制)、MAC(介质访问控制)
  • 设备:网桥、交换机
  • 协议示例:PPP、HDLC、Ethernet MAC

网络层(Network Layer)

  • 功能:路由选择,拥塞控制,网络互连
  • 设备:路由器
  • 协议示例:IP、ICMP、ARP、RIP、OSPF

传输层(Transport Layer)

  • 功能:端到端通信,可靠传输,流量控制,差错恢复
  • 协议示例:TCP、UDP

会话层(Session Layer)

  • 功能:建立、管理和终止会话,同步对话
  • 协议示例:NetBIOS、RPC

表示层(Presentation Layer)

  • 功能:数据格式转换,加密解密,压缩解压
  • 协议示例:SSL/TLS(部分功能)、MIME

应用层(Application Layer)

  • 功能:为应用程序提供网络服务
  • 协议示例:HTTP、FTP、SMTP、DNS、SNMP

数据封装过程

发送端封装

1
2
应用层数据 → 表示层处理 → 会话层处理 → 传输层(TCP/UDP头) → 
网络层(IP头) → 数据链路层(帧头/帧尾) → 物理层(比特流)

接收端解封装

  • 逐层剥离头部信息,向上层传递数据

三、TCP/IP协议栈

四层模型对应关系

OSI模型 TCP/IP模型 主要协议
应用层 应用层 HTTP, FTP, SMTP, DNS
表示层
会话层
传输层 传输层 TCP, UDP
网络层 网际层 IP, ICMP, ARP
数据链路层 网络接口层 Ethernet, PPP
物理层

IP协议

IPv4地址

  • 格式:32位,点分十进制表示(如192.168.1.1)
  • 分类
    • A类:1.0.0.0 - 126.255.255.255(网络号8位)
    • B类:128.0.0.0 - 191.255.255.255(网络号16位)
    • C类:192.0.0.0 - 223.255.255.255(网络号24位)
    • D类:224.0.0.0 - 239.255.255.255(组播地址)
    • E类:240.0.0.0 - 255.255.255.255(保留地址)

特殊IP地址

  • 回环地址:127.0.0.1
  • 私有地址
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16
  • 广播地址:主机号全1
  • 网络地址:主机号全0

IPv6地址

  • 格式:128位,十六进制表示,冒号分隔
  • 简化规则:连续0可用::表示(只能使用一次)
  • 示例:2001:0db8:85a3:0000:0000:8a2e:0370:7334 → 2001:db8:85a3::8a2e:370:7334

TCP协议

特点

  • 面向连接,可靠传输
  • 流量控制(滑动窗口)
  • 拥塞控制
  • 全双工通信

三次握手

  1. 客户端 → 服务器:SYN=1, seq=x
  2. 服务器 → 客户端:SYN=1, ACK=1, seq=y, ack=x+1
  3. 客户端 → 服务器:ACK=1, seq=x+1, ack=y+1

四次挥手

  1. 主动关闭方 → 被动关闭方:FIN=1, seq=u
  2. 被动关闭方 → 主动关闭方:ACK=1, seq=v, ack=u+1
  3. 被动关闭方 → 主动关闭方:FIN=1, seq=w, ack=u+1
  4. 主动关闭方 → 被动关闭方:ACK=1, seq=u+1, ack=w+1

TCP头部字段

  • 源端口、目的端口(各16位)
  • 序列号、确认号(各32位)
  • 数据偏移(4位)
  • 控制位:URG, ACK, PSH, RST, SYN, FIN
  • 窗口大小(16位)
  • 校验和(16位)

UDP协议

特点

  • 无连接,不可靠传输
  • 传输效率高,开销小
  • 适用于实时应用

UDP头部字段

  • 源端口、目的端口(各16位)
  • 长度(16位)
  • 校验和(16位)

常用应用层协议

HTTP/HTTPS

  • 端口:80/443
  • 特点:无状态,基于请求-响应模型
  • 版本:HTTP/1.1, HTTP/2, HTTP/3

FTP

  • 端口:21(控制),20(数据)
  • 模式:主动模式、被动模式

SMTP/POP3/IMAP

  • SMTP:发送邮件,端口25
  • POP3:接收邮件,端口110
  • IMAP:邮件同步,端口143

DNS

  • 端口:53(UDP/TCP)
  • 查询类型:A记录、MX记录、CNAME记录等
  • 解析过程:递归查询、迭代查询

四、网络安全基础

安全威胁分类

被动攻击

  • 窃听:监听网络通信
  • 流量分析:分析通信模式
  • 特点:难以检测,重点在于预防

主动攻击

  • 伪装:冒充合法用户
  • 重放:重复发送有效数据
  • 篡改:修改传输数据
  • 拒绝服务:消耗资源使服务不可用
  • 特点:可以检测,重点在于恢复

安全服务与机制

安全服务

  • 认证:验证身份
  • 访问控制:限制资源访问
  • 数据保密性:防止信息泄露
  • 数据完整性:防止数据篡改
  • 不可否认性:防止事后否认

安全机制

  • 加密:对称加密、非对称加密
  • 数字签名:身份认证和完整性保护
  • 访问控制:权限管理
  • 数据完整性:校验码、哈希函数
  • 公证:第三方证明

五、加密技术

对称加密

特点

  • 加密解密使用相同密钥
  • 加密速度快,适合大数据量
  • 密钥分发困难

常用算法

  • DES:56位密钥,64位分组,已不安全
  • 3DES:DES的三次应用,112/168位密钥
  • AES:128/192/256位密钥,128位分组,当前主流
  • RC4:流密码,曾用于SSL/TLS

非对称加密

特点

  • 使用公钥加密,私钥解密
  • 解决密钥分发问题
  • 计算开销大,适合小数据量

常用算法

  • RSA:基于大数分解困难性
  • ECC:基于椭圆曲线离散对数
  • DSA:数字签名算法

密钥长度对比

  • RSA 1024位 ≈ ECC 160位
  • RSA 2048位 ≈ ECC 224位
  • ECC在相同安全强度下密钥更短

哈希函数

特点

  • 单向函数,不可逆
  • 固定长度输出
  • 雪崩效应:输入微小变化导致输出巨大变化

常用算法

  • MD5:128位输出,已发现碰撞,不推荐使用
  • SHA-1:160位输出,安全性受质疑
  • SHA-2:包括SHA-224、SHA-256、SHA-384、SHA-512
  • SHA-3:基于Keccak算法,最新标准

六、安全协议与技术

SSL/TLS协议

协议层次

  • 记录协议:数据分片、压缩、加密、传输
  • 握手协议:协商加密算法,交换密钥
  • 更改密码规范协议:通知加密参数变更
  • 报警协议:错误处理

握手过程

  1. 客户端Hello:支持的加密套件列表
  2. 服务器Hello:选择的加密套件,证书
  3. 客户端验证证书,生成预主密钥
  4. 双方使用预主密钥生成主密钥
  5. 切换到加密通信

数字签名

工作原理

  1. 发送方用哈希函数计算消息摘要
  2. 用私钥加密摘要得到数字签名
  3. 接收方用公钥解密签名得到摘要
  4. 接收方计算消息哈希并与解密结果比较

数字证书

  • 内容:公钥、身份信息、有效期、CA签名
  • 标准:X.509
  • 作用:绑定公钥与身份,防止公钥替换攻击

防火墙技术

包过滤防火墙

  • 工作层次:网络层、传输层
  • 过滤依据:IP地址、端口号、协议类型
  • 优点:效率高,透明性好
  • 缺点:无法识别应用层攻击

应用代理防火墙

  • 工作层次:应用层
  • 特点:完全隔离内外网,深度检查应用数据
  • 优点:安全性高,日志详细
  • 缺点:性能开销大,需要为每个应用开发代理

状态检测防火墙

  • 特点:结合包过滤和状态跟踪
  • 优势:既能高效过滤,又能识别非法连接

入侵检测系统(IDS)

基于主机的IDS(HIDS)

  • 监控单个主机的系统日志、文件完整性
  • 能检测内部攻击和恶意软件

基于网络的IDS(NIDS)

  • 监控网络流量,分析异常模式
  • 能检测网络扫描、DoS攻击等

检测方法

  • 误用检测:基于已知攻击特征
  • 异常检测:基于正常行为基线

七、常考题型与解题技巧

网络协议题

典型问题

  • 协议功能和层次归属
  • IP地址分类和子网划分
  • TCP/UDP特点对比

解题技巧

  • 熟记各层主要协议
  • 掌握IP地址分类规则
  • 理解TCP可靠传输机制

加密算法题

典型问题

  • 对称/非对称加密特点
  • 哈希函数特性
  • 数字签名原理

解题技巧

  • 区分各种加密技术的应用场景
  • 理解密钥管理的差异
  • 掌握数字签名的验证过程

安全机制题

典型问题

  • 防火墙类型和工作原理
  • SSL/TLS握手过程
  • 安全服务与机制对应关系

解题技巧

  • 理解各安全机制的工作层次
  • 掌握协议交互的基本流程
  • 注意安全服务的实现方式

八、学习建议

重点掌握内容

  1. OSI模型:各层功能和对应协议
  2. TCP/IP协议栈:IP、TCP、UDP的核心机制
  3. IP地址:分类、子网划分、特殊地址
  4. 加密技术:对称/非对称加密的特点和应用
  5. 安全协议:SSL/TLS、数字签名的工作原理
  6. 防护机制:防火墙、IDS的基本原理

学习方法

  • 对比记忆:TCP/UDP、对称/非对称加密等对比表格
  • 画图理解:协议交互过程、数据封装过程
  • 实际联系:结合日常使用的网络应用理解协议
  • 真题练习:通过历年真题熟悉考试重点

经验提醒:网络与安全这部分内容概念较多,建议通过实际网络工具(如Wireshark抓包分析)来加深理解。同时要注意区分相似概念,比如各种加密算法的适用场景和安全强度。

下一篇将讲解标准化与知识产权相关知识。