網(wǎng)絡(luò)工程師知識點：網(wǎng)絡(luò)應(yīng)用模式和網(wǎng)絡(luò)安全

網(wǎng)絡(luò)工程師知識點：網(wǎng)絡(luò)應(yīng)用模式和網(wǎng)絡(luò)安全網(wǎng)絡(luò)應(yīng)用模式和網(wǎng)絡(luò)安全本章介紹網(wǎng)絡(luò)應(yīng)用模式，網(wǎng)絡(luò)應(yīng)用支撐環(huán)境、網(wǎng)絡(luò)安全機(jī)制等問題。本章的網(wǎng)絡(luò)應(yīng)用模式考核要求為“綜合應(yīng)用“層次。1、網(wǎng)絡(luò)應(yīng)用模式網(wǎng)絡(luò)應(yīng)用模式的發(fā)展經(jīng)過三個階段：第一階段是以大型機(jī)為中心的集中式應(yīng)用模式，特點是一切處理均依賴于主機(jī)，集中的數(shù)據(jù)、集中的應(yīng)用軟件、集中的管理。第二階段是以服務(wù)器為中心的計算模式，將PC機(jī)聯(lián)網(wǎng)，使用專用服務(wù)器或高檔PC充當(dāng)文件服務(wù)器及打印服務(wù)器，個PC機(jī)可獨(dú)立運(yùn)行，在需要的時候可以從服務(wù)器共享資源。文件服務(wù)器既用作共享數(shù)據(jù)中樞，也作為共享外部設(shè)備的中樞。缺點：文件服務(wù)器模型不提供多用戶要求的數(shù)據(jù)并發(fā)性；當(dāng)許多工作站請求和傳送很多文件時，網(wǎng)絡(luò)很快就達(dá)到信息飽和狀態(tài)并造成瓶頸。第三階段是客戶機(jī)/服務(wù)器應(yīng)用模式，基于網(wǎng)絡(luò)的分布式應(yīng)用，網(wǎng)絡(luò)的主要作用是通信和資源共享，并且在分布式應(yīng)用中用來支持應(yīng)用進(jìn)程的協(xié)同工作，完成共同的應(yīng)用任務(wù)?？蛻魴C(jī)/服務(wù)器應(yīng)用模式：由客戶機(jī)(client)、服務(wù)器(server)、中間件三部分組成?？蛻魴C(jī)的主要功能是執(zhí)行用戶一方的應(yīng)用程序，提供GUI或OOUI，供用戶與數(shù)據(jù)進(jìn)行交互。服務(wù)器的功能主要是執(zhí)行共享資源的管理應(yīng)用程序，主要承擔(dān)連接和管理功能。中間件是支持客戶機(jī)/服務(wù)器進(jìn)行對話、實施分布式應(yīng)用的各種軟件的總稱。它是Client/Server實施中難度最大也是最重要的環(huán)節(jié)，其作用是透明地連接客戶機(jī)和服務(wù)器?；赪eb的客戶機(jī)/服務(wù)器應(yīng)用模式：基本思想：把目前常駐在PC機(jī)上的許多功能轉(zhuǎn)移到網(wǎng)上，對用戶而言可減輕負(fù)擔(dān)，大大降低維護(hù)和升級等方面的費(fèi)用。實現(xiàn)：基于Web的客戶機(jī)/服務(wù)器模型可提供“多層次連接”的新的應(yīng)用模式，即客戶機(jī)可與相互配合的多個服務(wù)器組相連以支持各種應(yīng)用服務(wù)，而不必關(guān)心這些服務(wù)器的物理位置在何處。本質(zhì)：可將整個全球網(wǎng)絡(luò)提供的應(yīng)用服務(wù)連接到一起，讓用戶所需的所有應(yīng)用服務(wù)都集成在一個客戶/網(wǎng)絡(luò)環(huán)境之中。把Internet技術(shù)運(yùn)用到企業(yè)組織內(nèi)部即成為Intranet，其服務(wù)對象原則上以企業(yè)內(nèi)部員工為主，以聯(lián)系公司內(nèi)部各部門、促進(jìn)公司內(nèi)部溝通、提高工作效率、增加企業(yè)競爭力為目的?？蛻魴C(jī)/服務(wù)器應(yīng)用模式涉及到三項新技術(shù)：WEB信息服務(wù)、Java語言、NC(用來訪問網(wǎng)絡(luò)資源的設(shè)備)。2、網(wǎng)絡(luò)應(yīng)用支撐環(huán)境網(wǎng)絡(luò)應(yīng)用支撐環(huán)境立足于開放性，以支持網(wǎng)絡(luò)分布式應(yīng)用模式(客戶/服務(wù)器模式，客戶/網(wǎng)絡(luò)模式)。網(wǎng)絡(luò)應(yīng)用支撐環(huán)境的結(jié)構(gòu)體系從功能上可分為運(yùn)行環(huán)境和開發(fā)環(huán)境。運(yùn)行環(huán)境是為應(yīng)用即用戶提供運(yùn)行的工作平臺，目的是使他們易于掌握軟、硬件的控制手段，有效地完成應(yīng)用的運(yùn)行和管理。開發(fā)環(huán)境是為應(yīng)用開發(fā)和維護(hù)人員提供的工作平臺，目的是支持應(yīng)用軟件的開發(fā)、檢測、修改和擴(kuò)充，并提高軟件開發(fā)生產(chǎn)率和質(zhì)量。運(yùn)行環(huán)境和開發(fā)環(huán)境可分為三部分：硬件層、系統(tǒng)層、應(yīng)用層。3、網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全應(yīng)包括兩方面：一、網(wǎng)絡(luò)用戶資源的不被濫用和破壞；二、網(wǎng)絡(luò)自身的安全和可靠性。網(wǎng)絡(luò)安全主要解決數(shù)據(jù)保密和認(rèn)證的問題。數(shù)據(jù)保密就是采取復(fù)雜多樣的措施對數(shù)據(jù)加以保護(hù)，防止數(shù)據(jù)被有意或無意地泄露給無關(guān)人員。認(rèn)證分為信息認(rèn)證和用戶認(rèn)證兩方面。信息認(rèn)證是指信息從發(fā)送到接收整個通路中沒有被第三者修改和偽造。用戶認(rèn)證是指用戶雙方都能證實對方是這次通信的合法用戶。通常在一個完備的保密系統(tǒng)中既要求信息認(rèn)證，也要求用戶認(rèn)證。加密后的數(shù)據(jù)稱為密文。未經(jīng)加密數(shù)據(jù)稱為明文。密碼學(xué)的基本原則是，必須假定破譯者知道通用的加密方法，也就是加密算法是公開的。而密匙是保密的。傳統(tǒng)加密技術(shù)：替代密碼和換位密碼。它們的弱點是解密密匙必須和加密密匙相同。在替代密碼中，用一組密文字母來代替一組明文字母以隱藏明文，但保持明文字母的位置不變。例如，將字母a，b，c，d，…，w，x，y，z的自然順序保持不變，但使之與D，E，F(xiàn)，G，…，Z，A，B，C分別對應(yīng)(即相差3個字符)。若明文為student則對應(yīng)的密文為VWXGHQW(此時密鑰為3)。破譯的訣竅在于猜測密匙的長度。由于英文字母中各字母出現(xiàn)的頻度早已有人進(jìn)行過統(tǒng)計，所以根據(jù)字母頻度表可以很容易對這種代替密碼進(jìn)行破譯。換位密碼：不對明文字母進(jìn)行變換，只是將明文字母的次序進(jìn)行重新排列，它的密匙必須是一個不含重復(fù)字母的單詞或短語。破譯換位密碼的第一步是判斷密碼類型，檢查密文中常用字母的出現(xiàn)頻率，如果符合自然語言特征，則密文是用換位密碼寫的。第二步是根據(jù)消息的上下文猜測密匙的長度，即列數(shù)。第三步是確定各列的順序。公開密鑰算法：最主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰--公開密鑰PK和秘密密鑰SK，因此，這種體制又稱為雙鑰或非對稱密鑰密碼體制。在這種體制中，PK是公開信息，用作加密密鑰，而SK需要由用戶自己保密，用作解密密鑰。加密算法E和解密算法D也都是公開的。雖然SK與PK是成對出現(xiàn)，但卻不能根據(jù)PK計算出SK。公開密鑰算法的特點如下：用加密密鑰PK對明文X加密后，再用解密密鑰SK解密，即可恢復(fù)出明文，或?qū)憺椋篋SK(EPK(X))=X，加密密鑰不能用來解密，即DPK(EPK(X))≠X在計算機(jī)上可以容易地產(chǎn)生成對的PK和SK。從已知的PK實際上不可能推導(dǎo)出SK。在公開密鑰密碼體制中，最有名的一種是RSA算法。RSA算法的原理：*用戶選擇2個足夠大的秘密的素數(shù)p和q；*計算n=p*q和z=(p-1)*(q-1)；*選擇一個與z互質(zhì)的數(shù)，令其為d；*找到一個e使?jié)M足e*d=1(modz)；若將明文劃分成一個個長度為P的數(shù)據(jù)塊，且0<=p<=n，用P、C分別表示明文、密文，則以下2式可用于加密和解密：加密：C=Pe(modn)解密：P=Cd(modn)對這種體制，只有(e，n)是出現(xiàn)在公開手冊上的公開密匙(即PK)。(d，n)則是需要用戶保密的私人密匙(即SK)。RSA算法的保密性在于對大數(shù)的因數(shù)分解很花時間。因此，當(dāng)n足夠大時，在目前情況下，對n進(jìn)行因數(shù)分解實際上是無法實現(xiàn)的。用戶認(rèn)證：通信雙方在進(jìn)行重要的數(shù)據(jù)交換前，需要驗證對方的身份。同時在雙方間建立一個秘密的會話密匙，該會話密匙用于對其后的會話進(jìn)行加密。每次連接都使用一個新的隨機(jī)選擇的會話密匙。數(shù)字簽名：以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實性的。但在計算機(jī)網(wǎng)絡(luò)中傳送的報文又如何蓋章呢？這就是數(shù)字簽名所要解決的問題。數(shù)字簽名必須保證以下3點：1.接收者能夠核實發(fā)送者對文件的簽名；2.發(fā)送者事后不能抵賴對文件的簽名；3.接收者不能偽造對文件的簽名。使用秘密密匙算法的數(shù)字簽名：是通過密鑰分配中心CA來管理和分配公開密鑰。每個用戶事先選擇好一個與CA共享的秘密密鑰，并保證只有用戶和CA知道這個密匙，另外，CA還有一個對所有用戶都保密的秘密密鑰KCA。A想向B發(fā)送一個簽名的報文P時，首先，A向CA發(fā)出KA(B，RA，t，P)；CA解密后，重新組成新的密文KB(A，RA，t，P，KCA(A，t，P)；B再用密匙KB解開密文，其中KCA(A，t，P)是B無法偽造的，即表示是由A發(fā)來的。時間戳t的作用是防止重復(fù)攻擊。RA為報文的隨機(jī)編號。使用公開密匙算法的數(shù)字簽名：現(xiàn)在已有多種實現(xiàn)各種數(shù)字簽名的方法，但采用公開密鑰算法要比常規(guī)算法更容易實現(xiàn)。實現(xiàn)方法：發(fā)送者A用其秘密解密密鑰SKA對報文X進(jìn)行運(yùn)算，將結(jié)果DSKA(X)傳送給接收者B。B用已知的A的公開加密密鑰得出EPKA(DSKA(X))=X。因為除A外沒有別人能具有A的解密密