自考《計(jì)算機(jī)網(wǎng)絡(luò)與通信》筆記(11)

字號(hào):

第十一章 網(wǎng)絡(luò)應(yīng)用模式和網(wǎng)絡(luò)安全
    本章介紹網(wǎng)絡(luò)應(yīng)用模式,網(wǎng)絡(luò)應(yīng)用支撐環(huán)境、網(wǎng)絡(luò)安全機(jī)制等問題。
    1、網(wǎng)絡(luò)應(yīng)用模式(綜合應(yīng)用)
    網(wǎng)絡(luò)應(yīng)用模式的發(fā)展經(jīng)過三個(gè)階段:
    第一階段是以大型機(jī)為中心的集中式應(yīng)用模式,特點(diǎn)是一切處理均依賴于主機(jī),集中的數(shù)據(jù)、集中的應(yīng)用軟件、集中的管理。
    第二階段是以服務(wù)器為中心的計(jì)算模式,將PC機(jī)聯(lián)網(wǎng),使用專用服務(wù)器或高檔PC充當(dāng)文件服務(wù)器及打印服務(wù)器,個(gè)PC機(jī)可獨(dú)立運(yùn)行,在需要的時(shí)候可以從服務(wù)器共享資源。文件服務(wù)器既用作共享數(shù)據(jù)中樞,也作為共享外部設(shè)備的中樞。缺點(diǎn):文件服務(wù)器模型不提供多用戶要求的數(shù)據(jù)并發(fā)性;當(dāng)許多工作站請(qǐng)求和傳送很多文件時(shí),網(wǎng)絡(luò)很快就達(dá)到信息飽和狀態(tài)并造成瓶頸。
    第三階段是客戶機(jī)/服務(wù)器應(yīng)用模式,基于網(wǎng)絡(luò)的分布式應(yīng)用,網(wǎng)絡(luò)的主要作用是通信和資源共享,并且在分布式應(yīng)用中用來支持應(yīng)用進(jìn)程的協(xié)同工作,完成共同的應(yīng)用任務(wù)。
    c/s應(yīng)用模式:由客戶機(jī)(client,執(zhí)行用戶程序,提供GUI或OOUI,供用戶與數(shù)據(jù)進(jìn)行交互)、服務(wù)器(server,執(zhí)行共享資源的管理應(yīng)用程序,主要承擔(dān)連接和管理功能,有SQL、TP、群件、分布對(duì)象四種模式)、中間件(透明連接c、s,承擔(dān)連接功能和管理功能)三部分組成。
    促使c/s使用和發(fā)展的基本技術(shù):用戶應(yīng)用處理、操作系統(tǒng)、數(shù)據(jù)庫。
    選擇c/s的困難:如何選擇產(chǎn)品和如何動(dòng)態(tài)適應(yīng)業(yè)務(wù)需求?
    基于Web的c/s應(yīng)用模式。把目前常駐在PC機(jī)上的許多功能轉(zhuǎn)移到網(wǎng)上,對(duì)用戶而言可減輕負(fù)擔(dān),大大降低維護(hù)和升級(jí)等方面的費(fèi)用?;赪eb的c/s模型可提供“多層次連接”的新的應(yīng)用模式,即客戶機(jī)可與相互配合的多個(gè)服務(wù)器組相連以支持各種應(yīng)用服務(wù),而不必關(guān)心這些服務(wù)器的物理位置在何處。可將整個(gè)全球網(wǎng)絡(luò)提供的應(yīng)用服務(wù)連接到一起,讓用戶所需的所有應(yīng)用服務(wù)都集成在一個(gè)客戶/網(wǎng)絡(luò)環(huán)境之中。Web包含Web瀏覽器、服務(wù)器、HTML頁及相關(guān)硬件。 (教材上這里對(duì)于Web的介紹對(duì)于上過網(wǎng)的人來說,是太簡(jiǎn)單了。)把Internet技術(shù)運(yùn)用到企業(yè)組織內(nèi)部即成為Intranet,其服務(wù)對(duì)象原則上以企業(yè)內(nèi)部員工為主,以聯(lián)系公司內(nèi)部各部門、促進(jìn)公司內(nèi)部溝通、提高工作效率、增加企業(yè)競(jìng)爭(zhēng)力為目的。組成:Web服務(wù)器、應(yīng)用軟件服務(wù)器、專用服務(wù)器、客戶機(jī)、網(wǎng)絡(luò)。
    涉及到的三項(xiàng)技術(shù):WEB信息服務(wù)、Java語言(教材上寫了9個(gè)特點(diǎn),最重要的是允許應(yīng)用分布到客戶機(jī)上和多個(gè)服務(wù)器上、通用的可移植代碼使它成為一種虛擬機(jī))、NC(用來訪問網(wǎng)絡(luò)資源的設(shè)備,厚客戶機(jī)離線能獨(dú)立工作,薄客戶機(jī)能力依賴網(wǎng)絡(luò),JAVA虛擬機(jī)技術(shù)嵌入芯片應(yīng)用的范圍更廣)。
    “連通性”是Internet的優(yōu)勢(shì),可減少許多“一致性,互操作性”所需的成本。
    2、網(wǎng)絡(luò)應(yīng)用支撐環(huán)境(領(lǐng)會(huì))
    網(wǎng)絡(luò)應(yīng)用支撐環(huán)境立足于開放性,以支持網(wǎng)絡(luò)分布式應(yīng)用模式(客戶/服務(wù)器模式,客戶/網(wǎng)絡(luò)模式)。網(wǎng)絡(luò)應(yīng)用支撐環(huán)境的結(jié)構(gòu)體系從功能上可分為運(yùn)行環(huán)境和開發(fā)環(huán)境。運(yùn)行環(huán)境是為應(yīng)用即用戶提供運(yùn)行的工作平臺(tái),目的是使他們易于掌握軟、硬件的控制手段,有效地完成應(yīng)用的運(yùn)行和管理。開發(fā)環(huán)境是為應(yīng)用開發(fā)和維護(hù)人員提供的工作平臺(tái),目的是支持應(yīng)用軟件的開發(fā)、檢測(cè)、修改和擴(kuò)充,并提高軟件開發(fā)生產(chǎn)率和質(zhì)量。
    運(yùn)行環(huán)境和開發(fā)環(huán)境可分為三部分:硬件層(PC,網(wǎng)絡(luò)硬件及低層軟件)、系統(tǒng)層(os子層、數(shù)據(jù)庫子層、管理信息子層、配置系統(tǒng)子層)、應(yīng)用層(運(yùn)行控制和調(diào)度子層、開發(fā)工具子層、用戶界面子層)。
    幾個(gè)關(guān)鍵問題:對(duì)象管理機(jī)制(要實(shí)施網(wǎng)上資源的統(tǒng)一管理);網(wǎng)絡(luò)應(yīng)用開發(fā)及工具集(過程分為需求規(guī)范和設(shè)計(jì)、系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)三個(gè)階段);分布對(duì)象執(zhí)行的運(yùn)行控制(依賴于面向?qū)ο罂梢暬枋稣Z言O(shè)OSDL)。
    3、網(wǎng)絡(luò)安全技術(shù)(領(lǐng)會(huì))
    網(wǎng)絡(luò)安全應(yīng)包括兩方面:一、網(wǎng)絡(luò)用戶資源的不被濫用和破壞;二、網(wǎng)絡(luò)自身的安全和可靠性。網(wǎng)絡(luò)安全主要解決數(shù)據(jù)保密和認(rèn)證的問題。數(shù)據(jù)保密就是采取復(fù)雜多樣的措施對(duì)數(shù)據(jù)加以保護(hù),防止數(shù)據(jù)被有意或無意地泄露給無關(guān)人員。認(rèn)證分為信息認(rèn)證和用戶認(rèn)證兩方面。信息認(rèn)證是指信息從發(fā)送到接收整個(gè)通路中沒有被第三者修改和偽造。用戶認(rèn)證是指用戶雙方都能證實(shí)對(duì)方是這次通信的合法用戶。通常在一個(gè)完備的保密系統(tǒng)中既要求信息認(rèn)證,也要求用戶認(rèn)證。
    每一層都可采取措施保障數(shù)據(jù)安全。如物理層可在電纜的密封套中充入高壓氖氣(光纜就不需要這么麻煩,距離長(zhǎng)點(diǎn)的話,還是用光纜好);鏈路層采用鏈路加密;網(wǎng)絡(luò)層采用防火墻;傳輸層加密整個(gè)連接。這些措施只對(duì)數(shù)據(jù)保密有幫助,不能解決認(rèn)證問題。
    明文P、密文C、加密算法E、解密算法D、加密密鑰k、解密密鑰k、消極入侵者(只竊聽不破壞)、積極入侵者(偽造數(shù)據(jù)送回網(wǎng)中)、密碼分析、密碼學(xué)。必須假定破譯者知道通用的加密方法;加密算法公開后仍經(jīng)得起攻擊才算強(qiáng)壯的算法?!爸挥忻魑摹薄耙阎魑摹薄斑x擇明文”問題,破譯者能夠加密任意數(shù)量的明文,也無法破譯密文,才識(shí)安全的密碼系統(tǒng)。
    傳統(tǒng)加密技術(shù):替代密碼(愷撒密碼最多25種、單字母替換有26!種可能但有頻率特征、多張密碼字母表消除頻率特征但可破譯密鑰長(zhǎng)度)和換位密碼(破譯時(shí)先判斷密碼類型,猜測(cè)密鑰長(zhǎng)度,確定各列順序)?,F(xiàn)代密碼學(xué)使用復(fù)雜的加密算法,即使破譯者能對(duì)任意數(shù)量的選擇明文進(jìn)行加密,也無法找出破譯密文的方法。秘密密鑰的弱點(diǎn)是解密密鑰必須和加密密鑰相同。
    公開密鑰算法:加密和解密使用不同的密鑰,必須滿足三個(gè)條件D(F(P))=P、從E導(dǎo)出D非常困難、使用選擇明文攻擊不能攻破E.較好的算法是RSA算法。原理:
    1、用戶選擇2個(gè)足夠大的秘密的素?cái)?shù)p和q;
    2、計(jì)算n=p*q和z=(p-1)*(q-1);
    3、選擇一個(gè)與z互質(zhì)的數(shù),令其為d;
    4、找到一個(gè)e使?jié)M足e*d=1(modz) ;
    公開密鑰為(e,n),私人密鑰為(d,n)。RSA算法安全方便,但運(yùn)行速度太慢,通常只用來進(jìn)行用戶認(rèn)證、數(shù)字簽名或發(fā)送一次性的秘密密鑰。
    用戶認(rèn)證:通信雙方在進(jìn)行重要的數(shù)據(jù)交換前,需要驗(yàn)證對(duì)方的身份。同時(shí)在雙方間建立一個(gè)秘密的會(huì)話密匙用于對(duì)其后的會(huì)話進(jìn)行加密。每次連接都使用一個(gè)新的隨機(jī)選擇的會(huì)話密匙?;诠蚕砻孛苊荑€的用戶認(rèn)證,雙方都用共享密鑰KAB加密對(duì)方發(fā)來的隨機(jī)大數(shù),一確定身份。使用密鑰分發(fā)中心的用戶認(rèn)證協(xié)議,需要一個(gè)可信賴的密鑰分發(fā)中心KDC中轉(zhuǎn),需要注意重復(fù)攻擊的問題,解決的辦法是丟棄重復(fù)編號(hào)的報(bào)文和過期的報(bào)文。使用公開密鑰算法的用戶認(rèn)證協(xié)議,雙方都有公開的加密密鑰和秘密的解密密鑰。
    數(shù)字簽名必須保證以下3點(diǎn):1.接收者能夠核實(shí)發(fā)送者對(duì)文件的簽名;2.發(fā)送者事后不能抵賴對(duì)文件的簽名;3.接收者不能偽造對(duì)文件的簽名。
    使用秘密密匙算法的數(shù)字簽名:需要一個(gè)可信賴的中央權(quán)威機(jī)構(gòu)CA來管理和分配公開密鑰。過程與用戶認(rèn)證相似,只不過那里是隨機(jī)大數(shù),這里是報(bào)文P.
    使用公開密匙算法的數(shù)字簽名:需要滿足D(E(P))=P和E(D(P))=P,實(shí)際應(yīng)用中,還需要集中控制機(jī)制記錄所有密鑰的變化情況及變化日期。
    報(bào)文摘要:將任意長(zhǎng)明文用單向哈希函數(shù)轉(zhuǎn)換成固定長(zhǎng)度的比特串,僅對(duì)該比特串進(jìn)行加密。這個(gè)哈希函數(shù)稱報(bào)文摘要MD,必須滿足給定P,很容易計(jì)算MD (P);給出MD(P)很難計(jì)算P;任何人不可能產(chǎn)生出具有相同報(bào)文摘要的兩個(gè)不同的報(bào)文。MD(P)至少要達(dá)到128位。用秘密密鑰和公開密鑰算法均可實(shí)現(xiàn),只不過傳送的是MD(P),而不是P.