第4章(176)
第4章 多源制造信息感知技术
● B2MML包含的七个与生产信息相关的信息模型:
①设备;
②物料; ③人员; ④加工片段;
⑤产品定义; ⑥生产能力; ⑦生产绩效
— 3)ISA-95标准提供模块和术语,使企业系统和生产控制系统使用的信息变 得标准化。
3.多源制造信息的主动获取技术与传输方法
基于B2MML的多源制造信息标准化
设备类别信息
多源制 造资源 全程质 量追溯
相关生产工艺信息 追溯
基于设备工况历史 的信息追溯
基于制造记录的生 产资源优化配置
多制造资源 模型
基于XML的生产异常 信息报告
追溯信息表达模板 与可视化视图
基于制造BOM的相 关工序质量信息
追溯
生产过 程实时 监控与
诊断
知识库
动态工序 能力评价
基于数据库挖掘、知识的诊断模型
2.制造系统多源信息主动感知模型
2.制造系统多源信息主动感知模型
制造系统多源信息主动感知
制造系统多源信息主动感知是指通过在生产现场配置各种信息采集装 置,采集制造系统多源信息,并对之进行有效的分析处理,使上层管理者 了解实时、精确、全面的生产现场状态。
需求分析
— 1)生产现场传感器优化配置 — 2)传感器管理 — 3)多源制造数据的采集与传输
1.制造系统多源信息源分析
与物料/人员相关的信息源
— 1)物料当前位置、数量、状态信息对于库存的及时补充、保持各种物 料在安全库存范围内、在制品数量的管理与控制具有重要意义。
— 2)在制品的管理工作,要求对在制品的投入、出产、领用、发出、保 管、周转做到有数、有据、有手续、有制度、有秩序。
— 3)人员信息包括操作人员与生产相关的信息,例如工龄、擅长工种以 及在生产过程中产生的加工信息、加工记录、完成任务历史记录。 ●合适的调配调度; ●应对生产排产变更; ●为实现“智能工厂”提供实时现场多源数据支撑。
红星照耀中国第四章读书笔记(锦集4篇)
红星照耀中国第四章读书笔记(锦集4篇)红星照耀中国第四章读书笔记篇1 这几天我怀着好奇的心情读完了《红星照耀中国》,这是一本纪实性很强的报道性文学作品。
作者埃德加·斯诺,他是一位美国新闻工作者,来到动乱的中国在报社工作,常年跟随红军共同生活,以一个公正客观的角度描述当时人民百姓的生活和心理状态。
身处其中所经历的,触发了他写作的欲望。
他真实记录了自1936年6月至10月在我国西北革命根据地(以延安为中心的陕甘宁边区)进行实地采访的所见所闻,向我们真实报道了中国和中国工农红军以及许多红军领袖、红军将领的情况,让我感触颇多、受益匪浅。
这本书共12章节,语言平实,他没有添加过多的修饰性的词汇或者一些美化的文笔,即使朴实无华,但他笔下的人物却有血有肉,带着鲜明的特点。
其开头一章开始就用反问句强调着红色中国。
此后他记录了一些革命领导者的事迹,如、周恩来等,对主要的历史事件也进行了叙述,如苏区教育(比如红军大学)、人民抗日剧社、长征、西安事变等。
但在这么多的章节中,其中第4章节给我的印象最深刻——一个共产党员的来历。
主要讲述共产党领导人的人生经历,思想改变以及成为红军领导人的过程。
他诞生于一个普通的农民家庭,在其童年就倍受母亲的疼爱,与之恰成对比的是,父亲对他则格外严厉。
自幼受父母双方的影响,铸就了特殊的个人秉性。
父母不仅给了的生命,而且对他的一生影响深远。
所以其年少时就产生了让所有的中国人都吃上饭的朴素愿望,立志为大多数中国穷苦人民谋得幸福。
为了实现这一目标,决定改造中国,打倒剥削和压迫人民的帝国主义和封建主义。
就算在那些压迫的环境下,他还是笔直前行,秉持着他内心的初衷,去实现内心抱负。
他用着火一般的热情与铁一般的意志,百折不挠,自信乐观地坚持着自己心中那最崇高的革命理想。
其实我觉得换一个角度来看,他牢牢地抓住了别人放弃了的梦想。
人生大幸不是你拥有了什么,而是明白自己想要什么。
每天忙碌的我们,很少有机会去倾听自己内心的声音,但当你去想一想时,一个想法在你的脑海里闪过的时候,你可能会就觉得自己怎么会有这么奇怪的念头。
第4章种群和群落第1节种群的特征
单选Ⅱ
【例 2】(2010 年广东学业水平)下列实验中,最适合用标志 重捕法的是( )
A.调查农田中田鼠的种群密度 B.调查农田中田螺的种群密度 C.调查土壤中蚯蚓的种群密度
D.调查土壤中大肠杆菌的种群密度
[名师点拨]标志重捕法用于调查活动能力强、活动范围大的 动物的种群密度。 [答案]A
调查种群密度的方法
1.样方法 (1)内容:在被调查种群的分布范围内, 随机 选取若干个样 方,计算出所有样方种群密度的 平均值 作为该种群的种群密度估 计值。 (2)取样方法: 五点 取样法、 等距 取样法。 2.标志重捕法
(1)内容:在被调查种群的活动范围内,捕获一部分个体,做
上 标记 后再放回原来的环境,经过一段时间后进行 重捕 ,根据
重捕到的动物中 标记个体数 占总个体数的比例,来估计种群密度。 (2)适用范围: 活动能力强 、活动范围大的动物。
【达标训练 1】一片牧场有 8 户居民,其中 6 户养了绵羊, 2 户养了山羊,共构成了多少个种群?( A.1 个种群 B.2 个种群 )
C.8 个种群
D.6 个种群
[解析]绵羊和山羊属于不同的物种,构成 2 个种群。
第4章
种群和群落
内容 1.种群的特征 2.种群的数量变化 3.群落的结构特征 4.群落的演替
能力要求
Ⅰ
Ⅱ Ⅰ Ⅰ
实验:探究培养液中酵母菌数量的动态变化 实验:土壤中动物类群丰富度的研究
第1节
种群的特征
种群的概念及其特征 1.种群的概念 在一定的 自然区域 内,同种生物的全部个体形成种群。 2.种群的特征 (1)种群密度
(4)年龄组成 ①概念:一个种群中各 年龄期 的个体数目的比例。
②类型:三种,分别是增长型、 稳定型 、衰退型。
七上科学第四章知识要点(全)
七上科学第四章知识要点(全)第一节地球的自转第四章1.地球的自转:地球绕地轴不停地旋转的运动。
2.地球自转的方向:自西向东。
(1)从北极上空俯视,地球作逆时针方向旋转。
(2)从南极上空俯视,地球作顺时针方向旋转。
3.地球自转的周期:约1天(约24小时)。
4.地球自转产生的现象。
(1)东升西落 (2)昼夜交替5.昼夜现象:由于地球是一个不发光、不透明的球体。
昼夜交替现象:地球不停地自转。
6.晨昏线(圈):昼夜半球的分界线,它由晨线和昏线构成。
(1)昏线:随着地球的自转,逐渐由昼变成夜的界线。
(2)晨线:随着地球的自转,逐渐由夜变成昼的界线。
第二节北京的时间和“北京时间"1.地方时:因经度不同而不同的时刻,称为地方时,东边的地方时总是比西边的来得早。
2.时区:把全球划分成24个150经度宽的地区,每个地区就叫做一个时区。
区时:以中央经线的地方时作为全区统一使用的标准时间。
区时计算原则:东正西负,东加西减3.北京的时间和“北京时间”。
(1)北京的时间:北京的地方时,即东经1160经线的地方时(2)北京时间:东八区的区时,即东经1200经线的地方时。
4.日界线:以1800经线为基线,称为国际日期变更线,简称日界线。
它是曲折。
(1)东十二区和西十二区的时刻相同,但日期相差一天。
(2)从西十二区越过日界线进入东十二区,日期要增加一天,反之就要减去一天。
(3)西十二区在日界线东侧(昨天),东十二区在日界线西侧(今天)。
(4)自东向西越过日界线,日期要增加一天,反之就要减去一天。
(5)日界线的西侧是地球上新的一天的起点。
第三节地球的绕日运动1.地球的公转:地球自西向东绕太阳不停地旋转,周期为365.2422天2.太阳高度:太阳光与地面的交角,叫做太阳高度角,简称太阳高度。
(1)一天中太阳高度正午最大,杆影最短。
(由于地球自转)(2)一年中,正午太阳高度夏季最大,杆影最短,冬季正午太阳高度最小, 杆影最长。
第4章 汇编语言程序设计习题解答
习题4.10 习题
• 下面程序段是实现从键盘输入十个一位 进制数后 下面程序段是实现从键盘输入十个一位10进制数后 累加,最后累加和以非压缩BCD码形式存放在 码形式存放在AH 累加,最后累加和以非压缩 码形式存放在 高位) 低位) (高位)和AL (低位)中。试把程序段中所空缺 的指令填上。 的指令填上。 XOR BX ,BX ;BX清零 清零 MOV CX,10 ; 传送数据长度 LOP:MOV AH,01H;中断 中断INT 21H的01H号调用 中断 的 号调用 INT 21H ;中断调用 中断调用P172, 键入值送入 中 键入值送入AL中 中断调用 MOV AH,BH ;将BH的内容传 的内容传AH 将 的内容传 ADD AL,BL ;BL与AL的值相加 结果在 中 的值相加,结果在 与 的值相加 结果在AL中 AAA ;非压缩 非压缩BCD码加法调整 非压缩 码加法调整 MOV BX,AX ;累加结果送 累加结果送BX 累加结果送 LOOP LOP ;CX-1→CX,判断 判断CX≠0,下列要求在数据段中依次书写各数据定义语句: 试按下列要求在数据段中依次书写各数据定义语句: 为首字节的连续存储单元中存放20H个重 (1)以DA1为首字节的连续存储单元中存放 ) 为首字节的连续存储单元中存放 个重 复的数据序列: , , 个 ,一个7。 复的数据序列:2,3,10个4,一个 。 为字符串变量, (2)DA2为字符串变量,用字变量(DW)设置一字 ) 为字符串变量 用字变量( ) 符串; 符串;‘STUDENTS’(按次顺序存放在各单元中)。 (按次顺序存放在各单元中)。 赋值以DA1为首地址 (3)用等值语句给符号 )用等值语句给符号COUNT赋值以 赋值以 为首地址 的数据区共占有的字节数, 的数据区共占有的字节数,此等值语句必须放在最 后一语句。 后一语句。 解答: 解答: ),7) (1)DA1 DB 20H DUP(2,3,10 DUP(4), ) ) ( , , ( ), (2)DA2 DW ‘TS’, ‘DU’,‘NE’,’ST’, ) , , , , (3) COUNT EQU DA2- DA1 )
第4章 火灾烟气
–物体的能见度(S)定义为距对比度减小至-0.02这点的 距离。而许多情况下,火灾环境中能见度的测量常以 物体 不可辩清的最小距离为标准。并不用光度计去实 际测量对比度。
–单位平均射线行程长度上的光学密度:DL
DL D K K M 1 m s, L 2.3 2.3 m ( 4 7)
比光学密度(Ds )常用于标准烟箱法测量 发烟的光学密度:
DLVc Ds Av
–式中:Vc为烟箱体积,Av为发烟试件的面积; – Ds大,烟气浓度大。表4-2
烟气的质量光学密度(Dm):
DLVc Dm mf
–式中mf—发烟材料的质量损失。
2、 烟气浓度 由于烟对光的吸收和散射作用,使得仅有部分 光能够穿过烟气,从而降低了火灾环境的能见 度。 当一束波长为λ的光通过烟气时 根据Lambert_beer定律,有:
I I o exp( KL) (4 3)
式中:Iλ0—入射光强;Iλ—透过烟气的光强;
Vc 6 6 25
– 由式,K=2.3DL=2.3*0.49=1.12m-1 – 由式,S=3/K=3/1.12=窒息性
化学窒息性 CO(10-6) HCN(10-6)
O2(%)
CO2(%)
因 对 机 体 组 织 吸 气 中 O2 的 分 压 阻 碍 血 液 的 输 细 胞 呼 吸 停 止 , 供氧量降低而 力降低,引起缺 氧 能 力 , 头 痛 ,头 晕 , 虚 脱 , 造 成 精 神 、 肌 氧 症 , 呼 吸 困 难 , 肌 肉 调 节 障 碍 , 意识不清。 肉 活 动 能 力 降 弱刺激,窒息。 虚脱,意识不 清 低,呼吸因难, 窒息。 5000 6% 4% 4% 1.1%~1.7% 3%~4% 5%~6.7% 100 400~500 1500~2000 4000 13000 20 45~54 110~135 135 270 50 10
第四章 汽车零件机械加工工艺规程的制定1-5节
在划分了加工阶段以及各表面加工先后顺序后, 就可以把这些内容组成为各个工序。在组成工序时, 应根据生产类型、现有生产条件、企业能力、工件 结构特点和技术要求等进行综合分析,择优选用工 序集中或工序分散。
4.4 加工路线及工艺装备的选择
5 设备及工艺装备的选择
(1)设备的选择
4.1 概
2. 工艺规程制订的原则
述
工艺规程制定的原则是优质、高产、低成 本,即在保证产品质量稳定的前提下,争取最 优的经济效益;在制订工艺规程时还应注意下 列问题:
① 技术的先进性 ② 合理的经济性 ③ 良好的适用性
4.1 概
3. 制订工艺规程的原始资料
述
① 产品图样及技术条件。如产品的装配图及零件图; ② 产品的相关资料。如产品验收质量标准、毛坯资料等; ③ 车间分工明细表。用来了解产品及企业的管理情况; ④ 产品的生产纲领(年产量)。用来确定生产类型和工序 安排; ⑤ 企业的生产条件。如工人的技术水平,企业现有设备、 工艺装备及其制造能力等; ⑥ 相关的工艺标准。如各种工艺手册和图表,本企业标准、 国家标准和行业标准; ⑦ 国内外同类产品的有关工艺资料等。
向被加工表面,所以工序尺寸具有方向性。
4.3 基 准
4.3 基 准
多数情况下,工序基准应当尽量与设计 基准相重合;当考虑定位或加工测量方便时, 工序基准也可以与定位基准或测量基准相重 合。
4.3 基 准
(2)定位基准 在加工中确定工件在机床上或机床夹具中占有正确 位置的基准,称为定位基准。 定位基准(基面)分为粗基准、精基准和辅助基准 。 用未经加工过的毛坯表面作为定位基准(基面) 的,称为粗基准;用加工过的表面作为定位基准(基面) 的,称为精基准;为方便加工,纯粹为要机加工需要而 专门设计的定位基准,称为辅助基准,如轴类零件端面 上的中心孔等。 一般情况下,定位基准应与设计基准和工序基准 重合,否则将产生基准不重合误差。
《高等代数课后答案》(邱著)
《高等代数课后答案》(邱著)高等代数之后的答案(秋微写的)《高等代数》的内容由浅入深,循序渐进,符合当前两位学生的教学实践。
可作为高校数学与应用数学、信息与计算科学专业的教材,也可作为相关专业的教师、学生和自学者的参考。
以下是阳光网编著的《高等代数》答案(邱著)阅读地址。
希望你喜欢!点击进入:高等代数课后答案地址(邱执笔)高等代数(秋微著)目录前言(一)第一章决定因素(1)1.1一些预备知识(1)1.2二阶和三阶行列式(3)1.3n n阶行列式(7)1.4行列式的计算(18)1.5克莱姆法则(28)1.6行列式的一些应用(31)练习1(A)(35)练习1(B)(38)第二章矩阵(41)2.1矩阵的概念(41)2.2矩阵运算(44)2.3初等变换和初等矩阵(54)2.4可逆矩阵(67)2.5矩阵的秩(76)2.6分块矩阵及其应用(79)练习2(A)(90)练习2(B)(93)第三章线性空间(95)3.1矢量(96)3.2向量的线性相关性(98)3.3向量组的秩(103)3.4矩阵的行秩和列秩(106)3.5线性空间(111)3.6基础、尺寸和坐标(114)3.7基变换和转移矩阵(118)3.8子空间(122)3.9同构(131)3.10线性方程(135)练习3(A)(147)练习3(B)(150)第四章线性变换(152)4.1线性变换及其运算(152)4.2线性变换矩阵(156)4.3线性变换的范围和核心(165)4.4不变子空间(169)练习4(A)(173)练习4(B)(175)第五章多项式(176)5.1一元多项式(176)5.2多项式可整除(178)5.3倍大公因数(181)5.4因式分解定理(186)5.5重因子(189)5.6多项式函数(191)5.7复系数和实系数多项式的因式分解(195) 5.8有理系数多项式(198)5.9多元多项式(202)5.10对称多项式(206)练习5(A)(211)练习5(B)(213)第六章特征值(216)6.1特征值和特征向量(216)6.2特征多项式(221)6.3对角化(225)练习6(A)(231)练习6(B)(232)第七章-矩阵(234)7.1-矩阵及其初等变换(234)7.2-矩阵的标准型(238)7.3不变因子(242)7.4矩阵相似性的确定(245)7.5基本因素(247)7.6乔丹范式(251)7.7x小多项式(256)练习7(A)(259)第八章二次型(261)8.1二次型及其矩阵表示(261)8.2将二次型转化为标准型(264)8.3惯性定理(271)8.4正定二次型(274)练习8(A)(279)练习8(B)(280)第九章欧几里得空间(282)9.1欧氏空间的定义和基本性质(282) 9.2标准正交基(285)9.3正交子空间(291)9.4正交变换和对称变换(293)9.5实对称方阵的正交相似性(297)练习9(A)(303)练习9(B)(306)练习答案(308)参考文献312。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第4章 网络安全服务
4.1 安全服务的基本概念 4.2 认证 4.3 访问控制 4.4 机密性 4.5 完整性 4.6 不可否认性 4.7 小结 习题
第4章 网络安全服务
4.1 安全服务的基本概念
安全服务的概念主要由一系列安全框架和安全标准进 行定义,这些安全框架是安全服务、安全机制、安全策略 以及安全协议的基础,是通信网络安全的理论基础。这些 标准定义了进程之间交换信息时所涉及的安全体系结构、 安全术语、安全过程以及安全区域。
第4章 网络安全服务
安全策略通常是一些概要形式的规则,而不是具体 的规定,它只指明相应的安全保护重点,而不具体说明 如何达到所希望的安全保护。因此,安全策略属于安全 技术规范的最高一级。由于安全策略具有抽象性和普遍 性,因此,在实现安全策略时,要与具体的应用紧密结 合。其具体实现与结合是一个不断细化的过程,这个过 程首先是让此安全策略经受一个不断精确化的改进过程, 在改进的过程中要在每个阶段增加更多的细节,这些细 节是根据实际应用的具体实施而不断提出的。然后,需 要在总安全策略的指导下对相应的应用领域进行细致的 考查和研究。最后,基于精确化过程,可以得到从应用 中抽取来的总安全策略,这是采用确切语言重新表述的, 总安全策略的建立可以使具体的执行细节更容易确定。
第4章 网络安全服务
基于规则的安全策略是指建立在特定的、个体化属 性之上的授权准则,授权通常依赖于敏感性。在一个安 全系统中,数据或资源应该标注安全标记,而且用户活 动进程可以得到与其原发者相应的安全标记。
在通信网络安全的整个领域中,安全策略应该把注 意力集中到安全问题非常敏感的那些方面,它应该表明 在安全区域内哪些是允许的,哪些是不允许的。
可被认证的主体可以是用户、进程、实时开放系统、 OSI层实体、组织机构(如企业)等。
第4章 网络安全服务
4.2.1 认证对抗的安全威胁 认证对抗的主要安全威胁是“冒充”攻击和“重放”
攻击。认证的基本目的是防止其它实体占用被认证实体的 身份。 冒充是指某一实体伪称为另一个实体。冒充通常与其它攻 击方式(如修改)一起使用,可以用认证服务来对抗“冒 充”。 重放是指重复某信息的全部或部分内容,以产生未经许可 的效果。重放一般与其它攻击(如数据修改)结合使用,可
以作为中介、担保或者仲裁者。有些安全服务,必须依赖 于可信第三方的参与。可信第三方在通信双方发生争执时 进行调解,做出决策,有些情况下,可信第三方直接参与 通信双方的通信过程,起到中继的作用,而这时通信双方 可能不会直接进行会话,而由可信第三方传递。可信第三 方一般能提供以下几种功能:
第4章 网络安全服务
第4章 网络安全服务
同一个安全机制可以提供多种安全服务。例如,密码 机制就是通过加密/解密的方法提供安全服务,它既可以 提供机密性服务,也可以提供访问控制服务,还可以提供 认证服务。而同一种安全服务当中可以包含多种安全机制。
第4章 网络安全服务
4.1.5 可信第三方 所谓可信第三方,就是通信双方都信赖的一方,他可
第4章 网络安全服务
基于身份的安全策略通常是一组针对一般属性或敏感 实体的规则,它的基本思想是过滤对数据或资源的访问。 有两种执行基于身份策略的基本方法,一种方法是访问权 为访问者所有,典型的做法为特权标识或特殊授权,即仅 为用户及相应活动进程进行授权。另一种方法是对访问数 据采用访问控制列表进行控制。这两种情况中,数据项的 大小可以有很大的变化,从完整的文档到数据元素,这些 数据项可以按权限命名。
在给定的安全区域中,要求可辨别标识符必须是唯 一的,不能含糊不清。可辨别标识符在同一安全区域内 将一个主体与其它主体通过两种方式区别开来。一种方 式是在粗粒度等级上,从认证目的来看,实体组中的成 员被认为是等效的。这种情况下,整个组被视为一个主 体,拥有一个可辨别标识符。另一种方式是在细粒度等 级上,识别某个唯一的实体。在不同的安全区域之间进 行认证时,由于不同的安全区域权威机构可能使用同一 个可辨别标识符,因此可辨别标识符并不足以明确地识 别实体。这种情况下,可辨别标识符须与安全区域标识 符连接使用(如结合目录名、网络地址、对象标识符、人 名和身份证件等),达到为实体提供明确标识符的目的。
第4章 网络安全服务
2.身份 在通信网络系统中,实体的身份是用标识符来描述的。 比如,表示用户身份的个人识别码就是一串数字,表示用 户身份的指纹也是一串特征字。标识符与某一主体联系起 来,与其它主体相区别。在某些情况下,一个主体可以拥 有一个或多个将自身与其它主体区别开来的辨别标识符。
第4章 网络安全服务
(5) 传递代理:可信第三方充当发起者和接收者之间的 媒介,确保发起者已经或者将要传递一个特定的数据项给 接收者。
(6) 仲裁:可信第三方充当一个独立的裁决争执的仲裁 者。
第4章 网络安全服务
对可信第三方的基本要求是:第一,他要保持中立, 不偏袒任何一方;第二,他是可信赖的、诚实的;第三, 他的角色要被通信双方所接受。通常情况下,要成为可信 第三方,需要在合作或契约中协定,或者在规则或法律上 使其具体化。
同一个实体,可以既充当申请者,又充当验证者, 主要根据它在认证过程中的作用而定。比如在双向认证 过程中,通信双方任何一个实体都同时充当申请者和验 证者的角色。
在认证过程中,有时需要可信第三方的参与。可信 第三方用于描述安全权威机构或它的代理。在安全相关 的活动中,它被其它实体所信任。在认证操作过程中, 可信第三方受到申请者和验证者的信任。
第4章 网络安全服务
4.1.6 安全业务 安全业务是指实现安全服务所需要的与利用、组合安全 机制有关的操作和管理事务。安全框架阐明了信息系统环境 中安全业务的应用,对系统内部及系统间的操作行为和信息 管理提供安全保护方法。 对数据元素和操作程序进行描述,形成特定的安全业务。 这些安全业务不仅可以用于系统间的数据交换以及系统的数 据管理,还可以用于系统的通信实体。
第4章 网络安全服务
4.2.2 认证的基本原理 1.申请者与验证者 认证提供了实体声称其身份的保证。认证涉及两类实
体和一个操作过程。一类实体代表被认证者,称为“申请 者”。另一类实体代表认证者,称为“验证者”。认证操 作过程包括通信、比较、计算、鉴别等一系列过程。
第4章 网络安全服务
申请者用于描述被认证的主体。它包括代表主体参 与认证交换所必需的功能。验证者用于描述代表要求认 证身份的实体。验证者包括参与认证交换所必需的功能。 两类实体可以统属于一个通信系统,也可能分属于不同 的通信系统。
第4章 网络安全服务
4.1.2 安全粒度 对某一个对象的安全保护细节,称为安全粒度。比如,
我们要对一台计算机上的文件进行安全保护,根据需要, 可以保护整体文件,也可以保护文件中的记录,还可以保 护记录中的数据字段,这些不同的保护细节就形成从粗到 细的安全保护粒度。
安全粒度直接影响安全系统的费用。安全粒度越粗, 费用越低;安全粒度越细,费用越高。比如,如果我们只 保护计算机系统中的某一个用户,则可以采取口令机制, 费用很低;如果还要保护用户的数据文件,则可能就要采 取数据加密的保护机制,相对费用较高。因此,在设计实 际的安全系统时,充分考虑安全粒度这个因素,对降低费 用是非常有效的。
第4章 网络安全服务
比如,我们通过口令机制和访问控制机制来保护校 园内的某一个局域网,这时的安全区域就是所保护的这 个局域网。如果这个网络要与另外一个具有相同安全保 护机制的局域网络互联,我们除了增加必要的网络互联 设备外,还要增加安全防护设备(比如防火墙),提供两个 பைடு நூலகம்域网络之间的安全保护,这时的安全区域就扩大了, 囊括了这两个局域网络。
第4章 网络安全服务
安全业务之间以及安全业务内部各部分是相互联系的, 它们之间相互依赖,相互依存。我们不能孤立地看待某一 个安全业务,要想把其中的一部分与其它部分独立地分离 开是很困难的。每个安全框架分离出一个不同的安全业务, 每一部分的描述用来提供该安全业务的机制范围。因此, 一个安全业务对另一个安全业务的依赖关系是安全框架描 述的主要内容。
第4章 网络安全服务
安全策略的一个基本组成部分是授权。授权是指赋予 主体(用户、终端、程序)对客体(数据、设备、程序)的支配 权力,它规定了谁可以对什么做些什么。它可以明确说明 “未经适当授权的实体,信息不可以给予、不被访问、不 允许引用、任何资源也不得为其所用”。基于身份和基于 规则的安全策略都建立在授权行为这一概念之上,这是因 为所有的安全威胁都与授权行为或非授权行为有关。
(1) 密钥证明:可信第三方通过发出公钥证书来证明特 定公钥是否符合只有某特定方知道的私钥。可信第三方还 必须负责在有危险的情况下撤销证书。
(2) 身份证明:可信第三方通过代表发起者签署的数据 项来担保该数据项发起者的身份。
(3) 时间戳:可信第三方证明数据项的签名是否带有一 个特定时间。
(4) 证据储存:可信第三方承担安全储存证据的责任, 用于解决纠纷。
第4章 网络安全服务
安全保护、安全措施、安全服务等概念,都是针对一定 的安全区域而言的,不能抛开安全区域而谈安全保护和措施。 从理论上讲,我们可以高度抽象和高度概括安全服务等概念, 但是,在具体实施的时候,一定要与某一个安全区域相联系, 要对具体安全区域采取针对性的措施,提供与安全区域相适 应的安全服务。某些安全服务对一个特定的安全区域可能很 有效,而对另外一个安全区域可能效果很差。因此我们说, 没有绝对的安全,只有相对的安全。
第4章 网络安全服务
4.1.1 安全区域 属于某个组织的处于一定范围的资源处理和通信的
集合叫做一个安全区域。该定义涉及两部分内容,第一 个内容是它限制了一个特定的范围,该范围可以是空间 上的(比如大学校园),也可以是时间上的(比如从2004年 到2006年的有效期)。第二个内容是它包含了信息资源以 及这些资源的处理或者交换过程,它实际上是安全所保 护的对象。安全区域的定义具有相对性,它会随着保护 措施的变化而变化。