網(wǎng)絡(luò)工程與應(yīng)用新技術(shù)

第一代互聯(lián)網(wǎng)中存在那些問題？提示：地址資源枯竭、瓶頸與帶寬直接影響用戶使用、Qos保障、Internet 的安全保證、記費問題二、下一代互聯(lián)網(wǎng)的發(fā)展現(xiàn)狀與特點？提示：以美國和我國的情況說明現(xiàn)狀和從更大、更快、更安全方面說明NGI的特點三、TGP/IP協(xié)議脆弱性以及解決辦法？提示：從網(wǎng)絡(luò)接口層/網(wǎng)絡(luò)層/傳輸層/應(yīng)用層說明。答：（1）網(wǎng)絡(luò)層接口層協(xié)議的脆弱性鏈路層上的以太網(wǎng)技術(shù)發(fā)展比較快，主要有SLIP和PPP，存在一些問題有；1.通信雙方必須預(yù)先知道對方的IP地址，在建立過程中地址不能自動設(shè)定，目前IP地址緊缺，不可能給每一個用戶分配一個IP地址；2.數(shù)據(jù)幀中沒有類型字段，如果一條串行線路使用SLIP，則它不能使用其他協(xié)議；3.SLIP不能進行任何錯誤檢查何糾錯工作，因而要到上層才能檢測和恢復(fù)丟失幀÷?lián)p壞幀或緊急幀；4.因為串行線路通常是交互式的，所以在SLIP線路上有許多小的TCP分組進行交換，因此信道利用率很低；5.PPP解決了以上問題，處理錯誤檢測、支持多種協(xié)議、允許身份驗證，PPP將逐步代替SLIP。（2）網(wǎng)絡(luò)層協(xié)議的脆弱性IP是核心，因此，IP的安全性影響著整個網(wǎng)絡(luò)層協(xié)議的安全性。其缺陷如下：1.IP地址資源日益匱乏。2.IP地址的欺騙性。沒有一種機智檢驗數(shù)據(jù)是否真正來自首部源IP地址對應(yīng)的主機系統(tǒng)。網(wǎng)卡的MAC地址是唯一的，因此通?？梢岳脙蓚€地址的對應(yīng)來確定真實性。但是數(shù)據(jù)鏈路層沒有提供這樣的機制來檢驗MAC與IP地址的一致性，而到了IP層，由于IP包中不包含MAC地址字段，所以很難檢測一致性。3.IP源路徑選項的弱點。IP源路徑選項允許IP數(shù)據(jù)包自己選擇一條通往主機的路徑。從表面上看，沒有什么漏洞，一旦與防火墻結(jié)合起來，其漏洞顯而易見。防火墻允許一種調(diào)測包從外部網(wǎng)進入內(nèi)部網(wǎng)，這種調(diào)測包就是IP協(xié)議的原路徑選項的功能。當(dāng)用戶A想進入一個設(shè)有防火墻的內(nèi)部網(wǎng)，與其中儀態(tài)主機B通信時，如果它沒有授權(quán)，當(dāng)然無法進入。但是如果用戶A在發(fā)送請求報文中設(shè)置了IP源路徑選項，是報文有一個目的地址指向防火墻，而最終目的的地址是防火墻后面的主機B，當(dāng)報文到達防火墻時被允許通過，因為當(dāng)數(shù)據(jù)包到達防火墻的IP層時，防火墻發(fā)現(xiàn)數(shù)據(jù)包的最終目的是主機B，所以它將數(shù)據(jù)包重新發(fā)送到內(nèi)部網(wǎng)中。IP源路徑先期還可能導(dǎo)致目標(biāo)系統(tǒng)被IP欺騙。3.傳輸層協(xié)議的脆弱性傳輸層的脆弱性已經(jīng)成為網(wǎng)絡(luò)協(xié)議攻擊的主要突破口之一，其漏洞如下：1.TCP連接的建立與中止。TCP連接的建立于斷開機制保證了傳輸?shù)目煽啃耘c速度，但是隨之而來的，在連接建立過程完成之后，服務(wù)器端不再難連接的另一方是不是合法的用戶這種脆弱性的直接后果是連接可能被竊取。2.TCP連接請求對對壘的處理方法看起來很適用于連接的世界情況，但是很容易產(chǎn)生以下情況：如果某一用戶不斷地向服務(wù)器某一端口發(fā)送申請TCP連接的SYN包，但不對服務(wù)器的SYN包發(fā)回ACK確認信息，則無法完成連接。當(dāng)未完成的連接填滿傳輸層的隊列時，它不再接受任何連接請求，包括合法的連接請求，這樣就可能使服務(wù)器端口服務(wù)掛起。3.TCP連接的堅持。當(dāng)TCP連接上已經(jīng)已經(jīng)很長時間內(nèi)未傳送數(shù)據(jù)，當(dāng)TCP連接仍舊能保持的特性會造成TCP連接資源的浪費。畢竟服務(wù)器某個端口可以存在的最大連接數(shù)有限，保持著大量不傳輸數(shù)據(jù)的連接將極大降低服務(wù)器性能，而且在服務(wù)器的兩次探測之間，可能竊取TCP連接，之前先使得原來與服務(wù)器連接的機器死機或重啟4.應(yīng)用層的脆弱性應(yīng)用層的缺陷主要集中在R系列命令中（rcp、rsh、rlogin等），這些命令使基于可信任主機之間的關(guān)系而設(shè)置的方便用戶登陸的一種方法，可信任主機不需要口令也可以通過R系列命令登陸進入目標(biāo)系統(tǒng)。我們可以利用Telnet應(yīng)用程序登陸目標(biāo)系統(tǒng)，然后利用目標(biāo)系統(tǒng)本身的漏洞（包括硬件與操作系統(tǒng)的漏洞）運行一些程序，而獲得超級用戶的權(quán)限。而利用SNMP構(gòu)造數(shù)據(jù)包發(fā)給目標(biāo)系統(tǒng)，根據(jù)目標(biāo)系統(tǒng)的回應(yīng)數(shù)據(jù)包可以活卻目標(biāo)系統(tǒng)的一些基本信息，如操作系統(tǒng)版本號、IP地址以及一些服務(wù)的版本號、開放了那些服務(wù)斷口，為進入系統(tǒng)作準(zhǔn)備。四、請比較3G、MLAN、藍牙之間的不同提示：從頻帶（費用）、使用范圍、帶寬、業(yè)務(wù)能力、系統(tǒng)費用、渠道、產(chǎn)品價格、移動性、頻率技術(shù)、設(shè)備方面比較3G是英文3rdGeneration的縮寫，指第三代移動通信技術(shù)。相對第一代模擬制式手機(1G)和第二代GSM、TDMA等數(shù)字手機(2G)，第三代手機一般地講，是指將無線通信與國際互聯(lián)網(wǎng)等多媒體通信結(jié)合的新一代移動通信系統(tǒng)。它能夠處理圖像、音樂、視頻流等多種媒體形式，提供包括網(wǎng)頁瀏覽、電話會議、電子商務(wù)等多種信息服務(wù)。為了提供這種服務(wù)，無線網(wǎng)絡(luò)必須能夠支持不同的數(shù)據(jù)傳輸速度，也就是說在室內(nèi)、室外和行車的環(huán)境中能夠分別支持至少2Mbps(兆字節(jié)／每秒)、384kbps(千字節(jié)／每秒)以及144kbps的傳輸速度。3G的技術(shù)標(biāo)準(zhǔn)國際電信聯(lián)盟(ITU)在2000年5月確定W-CDMA、CDMA2000和TDS-CDMA三大主流無線接口標(biāo)準(zhǔn)，寫入3G技術(shù)指導(dǎo)性文件《2000年國際移動通訊計劃》(簡稱IMT-2000)。W-CDMA即WidebandCDMA，也稱為CDMADirectSpread，意為寬頻分碼多重存取，其支持者主要是以GSM系統(tǒng)為主的歐洲廠商，日本公司也或多或少參與其中，包括歐美的愛立信、阿爾卡特、諾基亞、朗訊、北電，以及日本的NTT、富士通、夏普等廠商。這套系統(tǒng)能夠架設(shè)在現(xiàn)有的GSM網(wǎng)絡(luò)上，對于系統(tǒng)提供商而言可以較輕易地過渡，而GSM系統(tǒng)相當(dāng)普及的亞洲對這套新技術(shù)的接受度預(yù)料會相當(dāng)高。因此W-CDMA具有先天的市場優(yōu)勢。CDMA2000CDMA2000也稱為CDMAMulti-Carrier，由美國高通北美公司為主導(dǎo)提出，摩托羅拉、Lucent和后來加入的韓國三星都有參與，韓國現(xiàn)在成為該標(biāo)準(zhǔn)的主導(dǎo)者。這套系統(tǒng)是從窄頻CDMAOne數(shù)字標(biāo)準(zhǔn)衍生出來的，可以從原有的CDMAOne結(jié)構(gòu)直接升級到3G，建設(shè)成本低廉。但目前使用CDMA的地區(qū)只有日、韓和北美，所以CDMA2000的支持者不如W-CDMA多。不過CDMA2000的研發(fā)技術(shù)卻是目前各標(biāo)準(zhǔn)中進度最快的，許多3G手機已經(jīng)率先面世。TD-SCDMA該標(biāo)準(zhǔn)是由中國大陸?yīng)氉灾贫ǖ?G標(biāo)準(zhǔn)，1999年6月29日，中國原郵電部電信科學(xué)技術(shù)研究院(大唐電信)向ITU提出。該標(biāo)準(zhǔn)將智能無線、同步CDMA和軟件無線電等當(dāng)今國際領(lǐng)先技術(shù)融于其中，在頻譜利用率、對業(yè)么亂序收到,要么丟失。在Java環(huán)境中為了有利于分布式事件,Jini提供一個簡單的JavaAPI以保證分布式事件的正確接收。

3)事務(wù)的兩階段提交接口：Jini為了完成這種風(fēng)格的分布式計算,提供一個簡單的JavaAPI。當(dāng)事務(wù)開始提交時，它使得最先發(fā)起該事務(wù)的對象啟動一個事務(wù)管理器,以管理整個事務(wù),每一個參與該事務(wù)的對象都必須向該管理器注冊；當(dāng)事務(wù)發(fā)生時,若參與事務(wù)的某一對象發(fā)現(xiàn)該事務(wù)中的某一事件不能發(fā)生,那么該消息必須通知事務(wù)管理器,管理器再告訴所有的參與對象回退到事務(wù)開始時的狀態(tài)。若所有對象完成了事務(wù)中的各自任務(wù),那么整個事務(wù)則提交。

＊服務(wù)（Services）

Jini基礎(chǔ)設(shè)施和編程模式使得服務(wù)在網(wǎng)絡(luò)聯(lián)合中能被提供、發(fā)現(xiàn)和向用戶宣布自己的存在。服務(wù)以Java編程語言寫的對象形式體現(xiàn)，定義操作的接口，這些操作能被其它服務(wù)訪問。

有些服務(wù)被程序使用，有些被接收者運行；因此服務(wù)可和其它用戶交互。服務(wù)的類型決定組成該服務(wù)的接口,并定義能訪問該服務(wù)的方法,目前已有的Jini服務(wù)包括:1)Javaspace:能被用來進行簡單的通信和存儲Java對象。2)兩階段提交管理器：允許對象組參與到由編程模式所定義的二階段提交協(xié)議。

三、服務(wù)結(jié)構(gòu)與設(shè)備的即插即用

無論從編程還是從用戶使用的角度來說,Jini中的各種服務(wù)是Jini系統(tǒng)的基礎(chǔ)。設(shè)備加上一些必要的軟件就是Jini系統(tǒng)中的一個服務(wù)。因此,了解Jini的服務(wù)結(jié)構(gòu)是了解其網(wǎng)絡(luò)設(shè)置的即插即用的關(guān)鍵。

＊基礎(chǔ)協(xié)議

jini的服務(wù)體系結(jié)構(gòu)是基于發(fā)現(xiàn)協(xié)議（Discoveryprotocol）和檢查協(xié)議（Lookupprotocol）的，它們在不同的時間發(fā)揮作用。"發(fā)現(xiàn)(Discovery)"發(fā)生在一個服務(wù)加入到Jini系統(tǒng)之時;"檢查(Lookup)"發(fā)生在一個使用者或計算終端需要定位和使用一個服務(wù)之時。

Discovery是將一個服務(wù)增加到Jini系統(tǒng)的過程。服務(wù)提供者是該服務(wù)的創(chuàng)始者,如一個設(shè)備或軟件。具體過程如下：

首先，服務(wù)提供者通過廣播一個存在宣言定位一個Lookup服務(wù)；

然后，該服務(wù)的代理裝入到Lookup服務(wù)中，代理包含該服務(wù)的接口和其它描述屬性?？蛻敉ㄟ^服務(wù)類型定位一個合適的服務(wù),即通過它們的Java接口,以及在用戶接口中用來作為Lookup服務(wù)的描述屬性。

最后一階段是激活服務(wù)，代理的拷貝遷移到客戶端。這個代理可以使用一個私有的協(xié)議,與服務(wù)提供者通信,同一服務(wù)接口的不同實現(xiàn)可以使用完全不同的交互協(xié)議。

從以上不難看出,服務(wù)提供者可以把程序代碼(也就是Java字節(jié)碼)移到檢查服務(wù),并移到客戶方,這使得服務(wù)提供者在與檢查服務(wù)和客戶方通信時有很大的自由。這種代碼的移動也保證了客戶方中的代理程序和其所代理的服務(wù)之間的同步,因為代理程序本身就提供服務(wù)。Jini中客戶方與服務(wù)方這種通過服務(wù)代理的通信方法與我們以前所了解的通信方法(如通過統(tǒng)一的協(xié)議)相比有一個顯著的優(yōu)點:服務(wù)提供的服務(wù)細節(jié)可以完整的傳達到客戶方,因為由它本身提供的代理程序了解服務(wù)的一切細節(jié)。

＊服務(wù)實施（Implementation）

實現(xiàn)一個服務(wù)的對象可能被設(shè)計成和其它幫助對象運行在一個單一的地址空間,特別是當(dāng)存在特定的位置或某種安全的需求。這些對象構(gòu)造對象組,一個對象組保證組內(nèi)對象寄居在單一的地址空間/虛機(當(dāng)這些對象在運行時)。不同對象組中的對象在地址空間/虛機上彼此隔離,服務(wù)實施則通過運行在不同虛機或地址空間內(nèi)的對象。

服務(wù)可被特定硬件直接或間接實現(xiàn),這些和該服務(wù)的接口連在一起的設(shè)備通過代碼連在一起。從服務(wù)客戶的角度來看,服務(wù)實施由不同機器上的對象完成相應(yīng)服務(wù)。因而下載到本地地址空間的服務(wù)和在硬件上實施的服務(wù)是沒明顯區(qū)別的,所有以Java對象的形式出現(xiàn)的服務(wù)在網(wǎng)上都可獲得,并且在客戶不知道變化的情況下，一種方式的實施可被另一種方式的實施替換。

四、結(jié)束語--jini技術(shù)的前景展望

Jini代表著計算技術(shù)的深刻變化，在聯(lián)合用戶組和對分布式資源的高效處理的基礎(chǔ)上,將網(wǎng)絡(luò)變成一個靈活的、易管理的工具,通過它用戶或任何可計算實體均能發(fā)現(xiàn)對其有用的資源，從而完成各種分布式計算。資源可以是硬件設(shè)備、軟件或兩者的結(jié)合。同時系統(tǒng)使得網(wǎng)絡(luò)是一個動態(tài)的實體,該實體具有靈活地增加和刪除服務(wù)的能力，很好地反映了工作組的動態(tài)特性。具體來說，Jini系統(tǒng)能在分布式網(wǎng)絡(luò)環(huán)境下:1)允許用戶在網(wǎng)絡(luò)上共享服務(wù)和資源。2)當(dāng)允許用戶的網(wǎng)絡(luò)位置改變的情況下,提供用戶容易訪問網(wǎng)絡(luò)中任何地方的資源。3)為編程者提供工具和編程模式,用于開發(fā)健壯和安全的分布式系統(tǒng)。4)簡化建造、維護和改變由設(shè)備、軟件和用戶組成的網(wǎng)絡(luò)的能力。3Jini與藍牙技術(shù)的結(jié)合應(yīng)用方案3.1Jini與藍牙技術(shù)的比較Jini與藍牙技術(shù)是兩種互補性很強的技術(shù)。藍牙技術(shù)主要實現(xiàn)鄰近的電子設(shè)備無線連接，是硬件設(shè)備的無線互連協(xié)議；Jini則是實現(xiàn)分布式軟件服務(wù)（包括無線設(shè)備）的軟件技術(shù)。藍牙技術(shù)是對固定的一組協(xié)議間互操作的靜態(tài)說明；而Jini的“移動代碼”代理服務(wù)對象可以動態(tài)地互操作。兩者在ISO/OSI的體系結(jié)構(gòu)中的位置如圖2的慰。Jini主要位于表示層和會話層，而藍牙的協(xié)議棧貫空了整個體系結(jié)構(gòu)。Jini的發(fā)現(xiàn)協(xié)議和分布式安全模型加強了藍牙技術(shù)的發(fā)展進程和完全管理模塊。3.2應(yīng)用方案Jini的注冊和注銷服務(wù)與藍牙設(shè)備在網(wǎng)絡(luò)中的加入和退出非常類似。Jini控制網(wǎng)絡(luò)服務(wù)的租借，始終使查找服務(wù)保持最新狀態(tài)。在下一節(jié)中將詳細描述應(yīng)用實例，本節(jié)進行方案設(shè)計。通常有三種形式來實現(xiàn)其Jini網(wǎng)絡(luò)功能：基于完整虛機的設(shè)備實現(xiàn)，基于嵌入式虛機的設(shè)備實現(xiàn)和基于共享虛機的設(shè)備實現(xiàn)。基于完整虛機設(shè)備實現(xiàn)中的設(shè)備指一般的通用設(shè)備，具有網(wǎng)絡(luò)連接、較強的計算存儲功能，能夠運行完整的Java虛機環(huán)境。在這種設(shè)備上能夠?qū)崿F(xiàn)Jini系統(tǒng)的所有功能，如各種協(xié)議功能、RMI、租借更新功能、動態(tài)代碼移動功能、分布式安全機制等。Jini是位于操作系統(tǒng)和虛擬機之上的功能層，多個設(shè)備隨機聯(lián)網(wǎng)形成一分布式資源共享系統(tǒng)，網(wǎng)絡(luò)傳輸協(xié)議一般由操作系統(tǒng)分別采用TCP/IP協(xié)議有線方式和基于藍牙協(xié)議的無線連接方式兩種。本設(shè)計方案就是基于協(xié)議的無線連接方式實現(xiàn)。圖3描述了一種應(yīng)用方案。服務(wù)客戶、設(shè)備和網(wǎng)絡(luò)代理通過藍牙網(wǎng)絡(luò)進行連接