自考《計算機網(wǎng)絡與通信》筆記（11）

第十一章 網(wǎng)絡應用模式和網(wǎng)絡安全
    本章介紹網(wǎng)絡應用模式，網(wǎng)絡應用支撐環(huán)境、網(wǎng)絡安全機制等問題。
    1、網(wǎng)絡應用模式（綜合應用）
    網(wǎng)絡應用模式的發(fā)展經(jīng)過三個階段：
    第一階段是以大型機為中心的集中式應用模式，特點是一切處理均依賴于主機，集中的數(shù)據(jù)、集中的應用軟件、集中的管理。
    第二階段是以服務器為中心的計算模式，將PC機聯(lián)網(wǎng)，使用專用服務器或高檔PC充當文件服務器及打印服務器，個PC機可獨立運行，在需要的時候可以從服務器共享資源。文件服務器既用作共享數(shù)據(jù)中樞，也作為共享外部設備的中樞。缺點：文件服務器模型不提供多用戶要求的數(shù)據(jù)并發(fā)性；當許多工作站請求和傳送很多文件時，網(wǎng)絡很快就達到信息飽和狀態(tài)并造成瓶頸。
    第三階段是客戶機/服務器應用模式，基于網(wǎng)絡的分布式應用，網(wǎng)絡的主要作用是通信和資源共享，并且在分布式應用中用來支持應用進程的協(xié)同工作，完成共同的應用任務。
    c/s應用模式：由客戶機（client，執(zhí)行用戶程序，提供GUI或OOUI，供用戶與數(shù)據(jù)進行交互）、服務器（server，執(zhí)行共享資源的管理應用程序，主要承擔連接和管理功能，有SQL、TP、群件、分布對象四種模式）、中間件（透明連接c、s，承擔連接功能和管理功能）三部分組成。
    促使c/s使用和發(fā)展的基本技術：用戶應用處理、操作系統(tǒng)、數(shù)據(jù)庫。
    選擇c/s的困難：如何選擇產(chǎn)品和如何動態(tài)適應業(yè)務需求？
    基于Web的c/s應用模式。把目前常駐在PC機上的許多功能轉移到網(wǎng)上，對用戶而言可減輕負擔，大大降低維護和升級等方面的費用?；赪eb的c/s模型可提供“多層次連接”的新的應用模式，即客戶機可與相互配合的多個服務器組相連以支持各種應用服務，而不必關心這些服務器的物理位置在何處?？蓪⒄麄€全球網(wǎng)絡提供的應用服務連接到一起，讓用戶所需的所有應用服務都集成在一個客戶/網(wǎng)絡環(huán)境之中。Web包含Web瀏覽器、服務器、HTML頁及相關硬件。 （教材上這里對于Web的介紹對于上過網(wǎng)的人來說，是太簡單了。）把Internet技術運用到企業(yè)組織內部即成為Intranet，其服務對象原則上以企業(yè)內部員工為主，以聯(lián)系公司內部各部門、促進公司內部溝通、提高工作效率、增加企業(yè)競爭力為目的。組成：Web服務器、應用軟件服務器、專用服務器、客戶機、網(wǎng)絡。
    涉及到的三項技術：WEB信息服務、Java語言（教材上寫了9個特點，最重要的是允許應用分布到客戶機上和多個服務器上、通用的可移植代碼使它成為一種虛擬機）、NC（用來訪問網(wǎng)絡資源的設備，厚客戶機離線能獨立工作，薄客戶機能力依賴網(wǎng)絡，JAVA虛擬機技術嵌入芯片應用的范圍更廣）。
    “連通性”是Internet的優(yōu)勢，可減少許多“一致性，互操作性”所需的成本。
    2、網(wǎng)絡應用支撐環(huán)境（領會）
    網(wǎng)絡應用支撐環(huán)境立足于開放性，以支持網(wǎng)絡分布式應用模式（客戶/服務器模式，客戶/網(wǎng)絡模式）。網(wǎng)絡應用支撐環(huán)境的結構體系從功能上可分為運行環(huán)境和開發(fā)環(huán)境。運行環(huán)境是為應用即用戶提供運行的工作平臺，目的是使他們易于掌握軟、硬件的控制手段，有效地完成應用的運行和管理。開發(fā)環(huán)境是為應用開發(fā)和維護人員提供的工作平臺，目的是支持應用軟件的開發(fā)、檢測、修改和擴充，并提高軟件開發(fā)生產(chǎn)率和質量。
    運行環(huán)境和開發(fā)環(huán)境可分為三部分：硬件層（PC，網(wǎng)絡硬件及低層軟件）、系統(tǒng)層（os子層、數(shù)據(jù)庫子層、管理信息子層、配置系統(tǒng)子層）、應用層（運行控制和調度子層、開發(fā)工具子層、用戶界面子層）。
    幾個關鍵問題：對象管理機制（要實施網(wǎng)上資源的統(tǒng)一管理）；網(wǎng)絡應用開發(fā)及工具集（過程分為需求規(guī)范和設計、系統(tǒng)設計和實現(xiàn)三個階段）；分布對象執(zhí)行的運行控制（依賴于面向對象可視化描述語言OOSDL）。
    3、網(wǎng)絡安全技術（領會）
    網(wǎng)絡安全應包括兩方面：一、網(wǎng)絡用戶資源的不被濫用和破壞；二、網(wǎng)絡自身的安全和可靠性。網(wǎng)絡安全主要解決數(shù)據(jù)保密和認證的問題。數(shù)據(jù)保密就是采取復雜多樣的措施對數(shù)據(jù)加以保護，防止數(shù)據(jù)被有意或無意地泄露給無關人員。認證分為信息認證和用戶認證兩方面。信息認證是指信息從發(fā)送到接收整個通路中沒有被第三者修改和偽造。用戶認證是指用戶雙方都能證實對方是這次通信的合法用戶。通常在一個完備的保密系統(tǒng)中既要求信息認證，也要求用戶認證。
    每一層都可采取措施保障數(shù)據(jù)安全。如物理層可在電纜的密封套中充入高壓氖氣（光纜就不需要這么麻煩，距離長點的話，還是用光纜好）；鏈路層采用鏈路加密；網(wǎng)絡層采用防火墻；傳輸層加密整個連接。這些措施只對數(shù)據(jù)保密有幫助，不能解決認證問題。
    明文P、密文C、加密算法E、解密算法D、加密密鑰k、解密密鑰k、消極入侵者（只竊聽不破壞）、積極入侵者（偽造數(shù)據(jù)送回網(wǎng)中）、密碼分析、密碼學。必須假定破譯者知道通用的加密方法；加密算法公開后仍經(jīng)得起攻擊才算強壯的算法?！爸挥忻魑摹薄耙阎魑摹薄斑x擇明文”問題，破譯者能夠加密任意數(shù)量的明文，也無法破譯密文，才識安全的密碼系統(tǒng)。
    傳統(tǒng)加密技術：替代密碼（愷撒密碼最多25種、單字母替換有26！種可能但有頻率特征、多張密碼字母表消除頻率特征但可破譯密鑰長度）和換位密碼（破譯時先判斷密碼類型，猜測密鑰長度，確定各列順序）?，F(xiàn)代密碼學使用復雜的加密算法，即使破譯者能對任意數(shù)量的選擇明文進行加密，也無法找出破譯密文的方法。秘密密鑰的弱點是解密密鑰必須和加密密鑰相同。
    公開密鑰算法：加密和解密使用不同的密鑰，必須滿足三個條件D（F（P））=P、從E導出D非常困難、使用選擇明文攻擊不能攻破E.較好的算法是RSA算法。原理：
    1、用戶選擇2個足夠大的秘密的素數(shù)p和q；
    2、計算n=p*q和z=（p-1）*（q-1）；
    3、選擇一個與z互質的數(shù)，令其為d；
    4、找到一個e使?jié)M足e*d=1（modz） ；
    公開密鑰為（e，n），私人密鑰為（d，n）。RSA算法安全方便，但運行速度太慢，通常只用來進行用戶認證、數(shù)字簽名或發(fā)送一次性的秘密密鑰。
    用戶認證：通信雙方在進行重要的數(shù)據(jù)交換前，需要驗證對方的身份。同時在雙方間建立一個秘密的會話密匙用于對其后的會話進行加密。每次連接都使用一個新的隨機選擇的會話密匙?；诠蚕砻孛苊荑€的用戶認證，雙方都用共享密鑰KAB加密對方發(fā)來的隨機大數(shù)，一確定身份。使用密鑰分發(fā)中心的用戶認證協(xié)議，需要一個可信賴的密鑰分發(fā)中心KDC中轉，需要注意重復攻擊的問題，解決的辦法是丟棄重復編號的報文和過期的報文。使用公開密鑰算法的用戶認證協(xié)議，雙方都有公開的加密密鑰和秘密的解密密鑰。
    數(shù)字簽名必須保證以下3點：1.接收者能夠核實發(fā)送者對文件的簽名；2.發(fā)送者事后不能抵賴對文件的簽名；3.接收者不能偽造對文件的簽名。
    使用秘密密匙算法的數(shù)字簽名：需要一個可信賴的中央權威機構CA來管理和分配公開密鑰。過程與用戶認證相似，只不過那里是隨機大數(shù)，這里是報文P.
    使用公開密匙算法的數(shù)字簽名：需要滿足D（E（P））=P和E（D（P））=P，實際應用中，還需要集中控制機制記錄所有密鑰的變化情況及變化日期。
    報文摘要：將任意長明文用單向哈希函數(shù)轉換成固定長度的比特串，僅對該比特串進行加密。這個哈希函數(shù)稱報文摘要MD，必須滿足給定P，很容易計算MD （P）；給出MD（P）很難計算P；任何人不可能產(chǎn)生出具有相同報文摘要的兩個不同的報文。MD（P）至少要達到128位。用秘密密鑰和公開密鑰算法均可實現(xiàn)，只不過傳送的是MD（P），而不是P.