自考《計算機網(wǎng)絡(luò)與通信》筆記（11）

第十一章 網(wǎng)絡(luò)應(yīng)用模式和網(wǎng)絡(luò)安全
    本章介紹網(wǎng)絡(luò)應(yīng)用模式，網(wǎng)絡(luò)應(yīng)用支撐環(huán)境、網(wǎng)絡(luò)安全機制等問題。
    1、網(wǎng)絡(luò)應(yīng)用模式（綜合應(yīng)用）
    網(wǎng)絡(luò)應(yīng)用模式的發(fā)展經(jīng)過三個階段：
    第一階段是以大型機為中心的集中式應(yīng)用模式，特點是一切處理均依賴于主機，集中的數(shù)據(jù)、集中的應(yīng)用軟件、集中的管理。
    第二階段是以服務(wù)器為中心的計算模式，將PC機聯(lián)網(wǎng)，使用專用服務(wù)器或高檔PC充當(dāng)文件服務(wù)器及打印服務(wù)器，個PC機可獨立運行，在需要的時候可以從服務(wù)器共享資源。文件服務(wù)器既用作共享數(shù)據(jù)中樞，也作為共享外部設(shè)備的中樞。缺點：文件服務(wù)器模型不提供多用戶要求的數(shù)據(jù)并發(fā)性；當(dāng)許多工作站請求和傳送很多文件時，網(wǎng)絡(luò)很快就達到信息飽和狀態(tài)并造成瓶頸。
    第三階段是客戶機/服務(wù)器應(yīng)用模式，基于網(wǎng)絡(luò)的分布式應(yīng)用，網(wǎng)絡(luò)的主要作用是通信和資源共享，并且在分布式應(yīng)用中用來支持應(yīng)用進程的協(xié)同工作，完成共同的應(yīng)用任務(wù)。
    c/s應(yīng)用模式：由客戶機（client，執(zhí)行用戶程序，提供GUI或OOUI，供用戶與數(shù)據(jù)進行交互）、服務(wù)器（server，執(zhí)行共享資源的管理應(yīng)用程序，主要承擔(dān)連接和管理功能，有SQL、TP、群件、分布對象四種模式）、中間件（透明連接c、s，承擔(dān)連接功能和管理功能）三部分組成。
    促使c/s使用和發(fā)展的基本技術(shù)：用戶應(yīng)用處理、操作系統(tǒng)、數(shù)據(jù)庫。
    選擇c/s的困難：如何選擇產(chǎn)品和如何動態(tài)適應(yīng)業(yè)務(wù)需求？
    基于Web的c/s應(yīng)用模式。把目前常駐在PC機上的許多功能轉(zhuǎn)移到網(wǎng)上，對用戶而言可減輕負擔(dān)，大大降低維護和升級等方面的費用。基于Web的c/s模型可提供“多層次連接”的新的應(yīng)用模式，即客戶機可與相互配合的多個服務(wù)器組相連以支持各種應(yīng)用服務(wù)，而不必關(guān)心這些服務(wù)器的物理位置在何處?？蓪⒄麄€全球網(wǎng)絡(luò)提供的應(yīng)用服務(wù)連接到一起，讓用戶所需的所有應(yīng)用服務(wù)都集成在一個客戶/網(wǎng)絡(luò)環(huán)境之中。Web包含Web瀏覽器、服務(wù)器、HTML頁及相關(guān)硬件。 （教材上這里對于Web的介紹對于上過網(wǎng)的人來說，是太簡單了。）把Internet技術(shù)運用到企業(yè)組織內(nèi)部即成為Intranet，其服務(wù)對象原則上以企業(yè)內(nèi)部員工為主，以聯(lián)系公司內(nèi)部各部門、促進公司內(nèi)部溝通、提高工作效率、增加企業(yè)競爭力為目的。組成：Web服務(wù)器、應(yīng)用軟件服務(wù)器、專用服務(wù)器、客戶機、網(wǎng)絡(luò)。
    涉及到的三項技術(shù)：WEB信息服務(wù)、Java語言（教材上寫了9個特點，最重要的是允許應(yīng)用分布到客戶機上和多個服務(wù)器上、通用的可移植代碼使它成為一種虛擬機）、NC（用來訪問網(wǎng)絡(luò)資源的設(shè)備，厚客戶機離線能獨立工作，薄客戶機能力依賴網(wǎng)絡(luò)，JAVA虛擬機技術(shù)嵌入芯片應(yīng)用的范圍更廣）。
    “連通性”是Internet的優(yōu)勢，可減少許多“一致性，互操作性”所需的成本。
    2、網(wǎng)絡(luò)應(yīng)用支撐環(huán)境（領(lǐng)會）
    網(wǎng)絡(luò)應(yīng)用支撐環(huán)境立足于開放性，以支持網(wǎng)絡(luò)分布式應(yīng)用模式（客戶/服務(wù)器模式，客戶/網(wǎng)絡(luò)模式）。網(wǎng)絡(luò)應(yīng)用支撐環(huán)境的結(jié)構(gòu)體系從功能上可分為運行環(huán)境和開發(fā)環(huán)境。運行環(huán)境是為應(yīng)用即用戶提供運行的工作平臺，目的是使他們易于掌握軟、硬件的控制手段，有效地完成應(yīng)用的運行和管理。開發(fā)環(huán)境是為應(yīng)用開發(fā)和維護人員提供的工作平臺，目的是支持應(yīng)用軟件的開發(fā)、檢測、修改和擴充，并提高軟件開發(fā)生產(chǎn)率和質(zhì)量。
    運行環(huán)境和開發(fā)環(huán)境可分為三部分：硬件層（PC，網(wǎng)絡(luò)硬件及低層軟件）、系統(tǒng)層（os子層、數(shù)據(jù)庫子層、管理信息子層、配置系統(tǒng)子層）、應(yīng)用層（運行控制和調(diào)度子層、開發(fā)工具子層、用戶界面子層）。
    幾個關(guān)鍵問題：對象管理機制（要實施網(wǎng)上資源的統(tǒng)一管理）；網(wǎng)絡(luò)應(yīng)用開發(fā)及工具集（過程分為需求規(guī)范和設(shè)計、系統(tǒng)設(shè)計和實現(xiàn)三個階段）；分布對象執(zhí)行的運行控制（依賴于面向?qū)ο罂梢暬枋稣Z言O(shè)OSDL）。
    3、網(wǎng)絡(luò)安全技術(shù)（領(lǐng)會）
    網(wǎng)絡(luò)安全應(yīng)包括兩方面：一、網(wǎng)絡(luò)用戶資源的不被濫用和破壞；二、網(wǎng)絡(luò)自身的安全和可靠性。網(wǎng)絡(luò)安全主要解決數(shù)據(jù)保密和認證的問題。數(shù)據(jù)保密就是采取復(fù)雜多樣的措施對數(shù)據(jù)加以保護，防止數(shù)據(jù)被有意或無意地泄露給無關(guān)人員。認證分為信息認證和用戶認證兩方面。信息認證是指信息從發(fā)送到接收整個通路中沒有被第三者修改和偽造。用戶認證是指用戶雙方都能證實對方是這次通信的合法用戶。通常在一個完備的保密系統(tǒng)中既要求信息認證，也要求用戶認證。
    每一層都可采取措施保障數(shù)據(jù)安全。如物理層可在電纜的密封套中充入高壓氖氣（光纜就不需要這么麻煩，距離長點的話，還是用光纜好）；鏈路層采用鏈路加密；網(wǎng)絡(luò)層采用防火墻；傳輸層加密整個連接。這些措施只對數(shù)據(jù)保密有幫助，不能解決認證問題。
    明文P、密文C、加密算法E、解密算法D、加密密鑰k、解密密鑰k、消極入侵者（只竊聽不破壞）、積極入侵者（偽造數(shù)據(jù)送回網(wǎng)中）、密碼分析、密碼學(xué)。必須假定破譯者知道通用的加密方法；加密算法公開后仍經(jīng)得起攻擊才算強壯的算法?！爸挥忻魑摹薄耙阎魑摹薄斑x擇明文”問題，破譯者能夠加密任意數(shù)量的明文，也無法破譯密文，才識安全的密碼系統(tǒng)。
    傳統(tǒng)加密技術(shù)：替代密碼（愷撒密碼最多25種、單字母替換有26！種可能但有頻率特征、多張密碼字母表消除頻率特征但可破譯密鑰長度）和換位密碼（破譯時先判斷密碼類型，猜測密鑰長度，確定各列順序）?，F(xiàn)代密碼學(xué)使用復(fù)雜的加密算法，即使破譯者能對任意數(shù)量的選擇明文進行加密，也無法找出破譯密文的方法。秘密密鑰的弱點是解密密鑰必須和加密密鑰相同。
    公開密鑰算法：加密和解密使用不同的密鑰，必須滿足三個條件D（F（P））=P、從E導(dǎo)出D非常困難、使用選擇明文攻擊不能攻破E.較好的算法是RSA算法。原理：
    1、用戶選擇2個足夠大的秘密的素數(shù)p和q；
    2、計算n=p*q和z=（p-1）*（q-1）；
    3、選擇一個與z互質(zhì)的數(shù)，令其為d；
    4、找到一個e使?jié)M足e*d=1（modz） ；
    公開密鑰為（e，n），私人密鑰為（d，n）。RSA算法安全方便，但運行速度太慢，通常只用來進行用戶認證、數(shù)字簽名或發(fā)送一次性的秘密密鑰。
    用戶認證：通信雙方在進行重要的數(shù)據(jù)交換前，需要驗證對方的身份。同時在雙方間建立一個秘密的會話密匙用于對其后的會話進行加密。每次連接都使用一個新的隨機選擇的會話密匙?；诠蚕砻孛苊荑€的用戶認證，雙方都用共享密鑰KAB加密對方發(fā)來的隨機大數(shù)，一確定身份。使用密鑰分發(fā)中心的用戶認證協(xié)議，需要一個可信賴的密鑰分發(fā)中心KDC中轉(zhuǎn)，需要注意重復(fù)攻擊的問題，解決的辦法是丟棄重復(fù)編號的報文和過期的報文。使用公開密鑰算法的用戶認證協(xié)議，雙方都有公開的加密密鑰和秘密的解密密鑰。
    數(shù)字簽名必須保證以下3點：1.接收者能夠核實發(fā)送者對文件的簽名；2.發(fā)送者事后不能抵賴對文件的簽名；3.接收者不能偽造對文件的簽名。
    使用秘密密匙算法的數(shù)字簽名：需要一個可信賴的中央權(quán)威機構(gòu)CA來管理和分配公開密鑰。過程與用戶認證相似，只不過那里是隨機大數(shù)，這里是報文P.
    使用公開密匙算法的數(shù)字簽名：需要滿足D（E（P））=P和E（D（P））=P，實際應(yīng)用中，還需要集中控制機制記錄所有密鑰的變化情況及變化日期。
    報文摘要：將任意長明文用單向哈希函數(shù)轉(zhuǎn)換成固定長度的比特串，僅對該比特串進行加密。這個哈希函數(shù)稱報文摘要MD，必須滿足給定P，很容易計算MD （P）；給出MD（P）很難計算P；任何人不可能產(chǎn)生出具有相同報文摘要的兩個不同的報文。MD（P）至少要達到128位。用秘密密鑰和公開密鑰算法均可實現(xiàn)，只不過傳送的是MD（P），而不是P.