第11章 網絡應用模式和網絡安全

　　本章介紹網絡應用模式，網絡應用支撐環境、網絡安全機制等問題。本章的網絡應用模式考核要求為“綜合應用“層次。

　　1、網絡應用模式

　　網絡應用模式的發展經過三個階段：

　　第一階段是以大型機為中心的集中式應用模式，特點是一切處理均依賴于主機，集中的數據、集中的應用軟件、集中的管理。

　　第二階段是以服務器為中心的計算模式，將PC機聯網，使用專用服務器或高檔PC充當文件服務器及打印服務器，個PC機可獨立運行，在需要的時候可以從服務器共享資源。文件服務器既用作共享數據中樞，也作為共享外部設備的中樞。缺點：文件服務器模型不提供多用戶要求的數據并發性;當許多工作站請求和傳送很多文件時，網絡很快就達到信息飽和狀態并造成瓶頸。

　　第三階段是客戶機/服務器應用模式，基于網絡的分布式應用，網絡的主要作用是通信和資源共享，并且在分布式應用中用來支持應用進程的協同工作，完成共同的應用任務。

　　客戶機/服務器應用模式：由客戶機(client)、服務器(server)、中間件三部分組成。客戶機的主要功能是執行用戶一方的應用程序，提供GUI或OOUI，供用戶與數據進行交互。服務器的功能主要是執行共享資源的管理應用程序，主要承擔連接和管理功能。中間件是支持客戶機/服務器進行對話、實施分布式應用的各種軟件的總稱。它是Client/Server實施中難度最大也是最重要的環節，其作用是透明地連接客戶機和服務器。

　　基于Web的客戶機/服務器應用模式：基本思想：把目前常駐在PC機上的許多功能轉移到網上，對用戶而言可減輕負擔，大大降低維護和升級等方面的費用。實現：基于Web的客戶機/服務器模型可提供“多層次連接”的新的應用模式，即客戶機可與相互配合的多個服務器組相連以支持各種應用服務，而不必關心這些服務器的物理位置在何處。本質：可將整個全球網絡提供的應用服務連接到一起，讓用戶所需的所有應用服務都集成在一個客戶/網絡環境之中。

　　把Internet技術運用到企業組織內部即成為Intranet，其服務對象原則上以企業內部員工為主，以聯系公司內部各部門、促進公司內部溝通、提高工作效率、增加企業競爭力為目的。

　　客戶機/服務器應用模式涉及到三項新技術：WEB信息服務、Java語言、NC(用來訪問網絡資源的設備)。

　　2、網絡應用支撐環境

　　網絡應用支撐環境立足于開放性，以支持網絡分布式應用模式(客戶/服務器模式，客戶/網絡模式)。網絡應用支撐環境的結構體系從功能上可分為運行環境和開發環境。運行環境是為應用即用戶提供運行的工作平臺，目的是使他們易于掌握軟、硬件的控制手段，有效地完成應用的運行和管理。開發環境是為應用開發和維護人員提供的工作平臺，目的是支持應用軟件的開發、檢測、修改和擴充，并提高軟件開發生產率和質量。運行環境和開發環境可分為三部分：硬件層、系統層、應用層。

　　3、網絡安全技術

　　網絡安全應包括兩方面：一、網絡用戶資源的不被濫用和破壞;二、網絡自身的安全和可靠性。網絡安全主要解決數據保密和認證的問題。數據保密就是采取復雜多樣的措施對數據加以保護，防止數據被有意或無意地泄露給無關人員。認證分為信息認證和用戶認證兩方面。信息認證是指信息從發送到接收整個通路中沒有被第三者修改和偽造。用戶認證是指用戶雙方都能證實對方是這次通信的合法用戶。通常在一個完備的保密系統中既要求信息認證，也要求用戶認證。

　　加密后的數據稱為密文。未經加密數據稱為明文。密碼學的基本原則是，必須假定破譯者知道通用的加密方法，也就是加密算法是公開的。而密匙是保密的。

　　傳統加密技術：替代密碼和換位密碼。它們的弱點是解密密匙必須和加密密匙相同。

　　在替代密碼中，用一組密文字母來代替一組明文字母以隱藏明文，但保持明文字母的位置不變。例如，將字母a，b，c，d，…，w，x，y，z的自然順序保持不變，但使之與D，E，F，G，…，Z，A，B，C分別對應(即相差3個字符)。若明文為student則對應的密文為VWXGHQW(此時密鑰為3)。破譯的訣竅在于猜測密匙的長度。由于英文字母中各字母出現的頻度早已有人進行過統計，所以根據字母頻度表可以很容易對這種代替密碼進行破譯。

　　換位密碼：不對明文字母進行變換，只是將明文字母的次序進行重新排列，它的密匙必須是一個不含重復字母的單詞或短語。破譯換位密碼的第一步是判斷密碼類型，檢查密文中常用字母的出現頻率，如果符合自然語言特征，則密文是用換位密碼寫的。第二步是根據消息的上下文猜測密匙的長度，即列數。第三步是確定各列的順序。

　　公開密鑰算法：最主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰--公開密鑰PK和秘密密鑰SK，因此，這種體制又稱為雙鑰或非對稱密鑰密碼體制。在這種體制中，PK是公開信息，用作加密密鑰，而SK需要由用戶自己保密，用作解密密鑰。加密算法E和解密算法D也都是公開的。雖然SK與PK是成對出現，但卻不能根據PK計算出SK。公開密鑰算法的特點如下：用加密密鑰PK對明文X加密后，再用解密密鑰SK解密，即可恢復出明文，或寫為：DSK(EPK(X))=X ，加密密鑰不能用來解密，即 DPK(EPK(X))≠X在計算機上可以容易地產生成對的PK和SK。從已知的PK實際上不可能推導出SK。

　　在公開密鑰密碼體制中，最有名的一種是RSA算法。RSA算法的原理：

　　· 用戶選擇2個足夠大的秘密的素數 p和 q;

　　· 計算 n = p * q 和 z = ( p - 1 ) * ( q - 1 );

　　· 選擇一個與 z 互質的數，令其為 d;

　　· 找到一個 e使滿足 e * d = 1( mod z) ;

　　若將明文劃分成一個個長度為P的數據塊，且 0<=p<=n，用P、C分別表示明文、密文，則以下2式可用于加密和解密：加密：C=P e (mod n) 解密：P=C d (mod n)

　　對這種體制，只有(e，n)是出現在公開手冊上的公開密匙(即PK)。(d，n)則是需要用戶保密的私人密匙(即SK)。RSA算法的保密性在于對大數的因數分解很花時間。因此，當n足夠大時，在目前情況下，對n進行因數分解實際上是無法實現的。

　　用戶認證：通信雙方在進行重要的數據交換前，需要驗證對方的身份。同時在雙方間建立一個秘密的會話密匙，該會話密匙用于對其后的會話進行加密。每次連接都使用一個新的隨機選擇的會話密匙。

　　數字簽名：以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢?這就是數字簽名所要解決的問題。數字簽名必須保證以下3點：1.接收者能夠核實發送者對文件的簽名;2.發送者事后不能抵賴對文件的簽名;3.接收者不能偽造對文件的簽名。

　　使用秘密密匙算法的數字簽名：是通過密鑰分配中心CA來管理和分配公開密鑰。每個用戶事先選擇好一個與CA共享的秘密密鑰，并保證只有用戶和CA知道這個密匙，另外，CA還有一個對所有用戶都保密的秘密密鑰K CA 。A想向B發送一個簽名的報文P時，首先，A向CA發出K A (B，R A ，t，P);CA解密后，重新組成新的密文KB(A，R A ，t，P，K CA (A，t，P);B再用密匙K B 解開密文，其中K CA (A，t，P)是B無法偽造的，即表示是由A發來的。時間戳t的作用是防止重復攻擊。R A 為報文的隨機編號。

　　使用公開密匙算法的數字簽名：現在已有多種實現各種數字簽名的方法，但采用公開密鑰算法要比常規算法更容易實現。實現方法：發送者A用其秘密解密密鑰SKA對報文X進行運算，將結果DSKA(X)傳送給接收者B。B用已知的A的公開加密密鑰得出EPKA(DSKA(X))=X。因為除A外沒有別人能具有A的解密密鑰SKA，所以除A外沒有別人能產生密文DSKA(X)。這樣，報文X就被簽名了。假若A要抵賴曾發送報文給B。B可將X及DSKA(X)出示給第三者。第三者很容易用PKA去證實A確實發送消息X給B。反之，如果是B將X偽造成X'，則B不能在第三者面前出示DSKA(X')。這樣就證明B偽造了報文。可以看出，實現數字簽名也同時實現了對報文來源的鑒別。

　　2011軟考網絡工程師常用英文單詞和縮寫翻譯

　　2011年軟考網絡工程師考前必看復習題總結