時間:2022-07-26 10:58:11
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇計算機網絡教程,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞 計算機網絡 網絡可靠性 局域網絡 服務器機群 防火墻系統
中圖分類號:TP393 文獻標識碼:A
0 引言
計算機網絡能夠始終如一地可靠工作,不受干擾和破壞,可靠性日益成為計算機網絡不同使用層次用戶共同關心的核心問題,可靠性也成為計算機網絡的基本要求。探討高可靠計算機網絡的設計準則,解決計算機網絡的可靠性設計和建設問題,確保計算機網絡能夠可靠地正常運行,具有較高的理論和現實意義。
1計算機網絡概述
計算機網絡是計算機技術與通信技術緊密結合的產物,是通過數據通信系統把分布在不同地理區域,具有獨立功能的計算機,通過功能完善的網絡軟件實現數據通信、資源共享和協同工作的一種計算機系統。近年來,計算機網絡正在朝高可靠性和多綜合業務的方向發展。在計算機網絡發展的進程中,一個重要里程碑就是 20 世紀 80 年代出現的計算機局域網絡(local area network,LAN)它使得一個或幾個單位的個人計算機、工作站、數據和語音通信設備、控制設備和安全設備連接起來,互相共享資源和交換信息。1980 年 2 月美國電氣和電子工程師學會組織頒布的 IEEE 802 系列標準,對局域網的發展和普及起到了巨大的推動作用。本文對可靠性的論述主要針對計算機局域網展開。
2 計算機網絡的可靠性設計準則
英國電氣工程師學會曾指出:“在提供通信的英國天網系統的設計研制中,中心課題首先是可靠性”。計算機網絡是應用系統的基礎,實現了單位內部各部門間以及與外單位的信息聯系,網絡系統在任何時間、任何地點發生的一故障,都能直接給上述應用帶來災難性的損失,其可靠性直接關系到應用的好壞,解決好可靠性問題已成為計算機網絡正常運行的前提。計算機網絡的可靠性設計準則是對設計實施過程中的工程經驗進行充分總結,使之條理化、系統化、科學化,成為計算機網絡規范化設計和建設過程所必須遵循的要求和原則。
(1)提高計算機網絡的任務可靠性通常采用余度設計和容錯技術,具體表現為網絡中的各臺計算機可以通過網絡彼此互為后備機,一旦某臺計算機出現故障,故障機的任務便可由其它計算機代為處理,避免了單機無后備使用情況下,某臺計算機故障導致網絡系統癱瘓的現象,從而保證了計算機網絡的可靠性。
(2)提高計算機網絡可靠性要綜合考量新技術的采用。既要考慮主干網絡技術的發展,不至于在短時期內被淘汰,確保系統具有較長的生命周期,最大限度地滿足業務發展的需要;又要實施合理的繼承性,謹慎使用新技術,降低風險,使計算機網絡的設計具備良好的兼容和擴充能力,能夠實現高可靠網絡的平滑升級。
(3)提高計算機網絡的可靠性要求統籌考慮全壽命周期費用,盡可能地降低網絡系統的造價,使后期的運行、維護費用降至最少,力求使系統達到最佳的性價比。計算機網絡主要軟、硬件設備應采用廣泛應用且具有良好性能價格比的產品,充分考慮保護網絡的建設投資。
(4)提高計算機網絡的可靠性,應根據現有的實際條件,在設計中選擇質量優秀、有良好聲譽的網絡產品,并且所用的網絡產品都應滿足可靠性設計指標要求,嚴格遵守計算機網絡的相關規范,所有器件及子系統均需滿足最新、最高的國內外標準。
(5)提高計算機網絡的可靠性,還需要對運行中的網絡進行定期人工/自動的檢查維護。現代計算機網絡具有較大的規模和較高的異構程度,需要盡量避免由于網絡線路中斷以及設備故障等原因造成的網絡系統癱瘓。但是發生故障又在所難免,所以只有及時發現計算機網絡故障,具有方便的故障恢復措施、遠程監控、配置的能力,才可以保證計算機網絡時刻達到規定的可靠性指標,保證整個網絡系統具有強大的功能、優越的性能和工作任務可靠性,使計算機網絡真正具有較高的系統可靠性。
3結束語
計算機網絡是當今世界公認的主流技術;是國家實現現代化的基礎設施;是企業信息化的重要途徑。可靠性是規模大、異構程度高的現代計算機網絡的根本要求,從工程實踐中總結的可靠性設計準則,可以指導建設高可靠的計算機網絡,保證網絡運行中免受干擾,克服因為線路中斷以及局部故障導致整個計算機網絡癱瘓的缺陷,具備方便的故障恢復措施和全方位的監控配置能力。對計算機網絡可靠性進行的深入探討,有助于促進我國計算機網絡設計水平的提高。
關鍵詞: 校園網絡安全問題解決措施
一、前言
在2l世紀,隨著計算機網絡技術飛速發展和Internet的繼續普及,計算機網絡已經深入校園。這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡時卻時常忽略網絡安全問題,導致校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。在此,筆者結合自身的實踐,對校園網絡安全問題作了一些探討,供各位同仁參考。
二、校園網絡安全的主要問題
1.計算機病毒攻擊。
計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。在計算機網絡中存在著大量計算機病毒,并且不斷地變異。這些病毒利用郵件等各種方式廣泛傳播,經常造成網絡癱瘓、數據丟失等嚴重故障。
計算機病毒可以使計算機資源損失或破壞,造成資源和財富的巨大浪費,而且有可能造成整個數據系統的災難。隨著信息化社會的發展,計算機病毒的威脅日益嚴重,校園網絡反病毒的任務也更加艱巨了。
2.軟件漏洞。
隨著軟件技術,包括操作系統的迅猛發展,為了滿足更高更好的原則,軟件的開發都是異常復雜,代碼越來越多,但同時,軟件系統的弱點、漏洞也越來越多。這就給黑客攻擊者留有可攻擊的機會。
三、校園網絡安全問題的解決措施
由于校園網網絡將日益成為學校日常教學、教研和管理工作必不可缺的基礎設施,因此,認清網絡的脆弱性和潛在威脅,采取強有力的安全策略,對于加強網絡安全性,確保校園網的正常運行顯得十分重要。針對以上校園網絡安全問題,筆者提出如下解決方案。
1.了解計算機病毒,掌握應用防病毒技術。
若想防治計算機病毒入侵,首先要先了解什么是計算機病毒,它有什么特點。
計算機病毒的特點主要有寄生性、傳染性、潛伏性、隱蔽性、可觸發性與破壞性。防治的基本任務是發現、解剖和殺滅。針對計算機病毒的發展,我們主要需要防范蠕蟲病毒、木馬程序惡意代碼、腳本病毒及郵件病毒。我們要加強網絡安全意識,平時需要養成病毒庫經常性升級的習慣,對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網站,不要執行從Internet下載后未經殺毒處理的軟件等,這些必要的習慣會使計算機更安全。
2.常檢查系統軟件是否有漏洞,及時安裝補丁程序。
目前,有很多病毒是因為軟件系統存在安全漏洞而感染計算機的。因此,用戶應該定期到系統軟件官方網站去下載最新的安全補丁,以防患于未然。系統漏洞補丁必須及時安裝,否則很可能被黑客利用。功能性補丁就看我們選擇安裝與不安裝;每次打補丁之前,我們需要了解補丁的兼容性。由于軟件版本在不斷地更新,由補丁兼容性的問題而導致系統崩潰的情況常有發生。用戶在安裝補丁時要有安裝技巧,安裝補丁可以在一臺計算機上安裝,測試無誤后再全部安裝,最好要先用移動硬盤備份重要數據。
3.網絡防火墻。
防火墻是一種形象的說法,其實它是一種計算機硬件和軟件組合,使互聯網與內部網之間建立起一個安全網關,而保護內部網免受非法用戶的侵入。防火墻最基本的功能就是控制在計算機網絡中不同信任程度區域間傳送的數據流。
根據校園網安全目標,我們需要規劃設置正確的安全過濾規則,這些安全規則審核數據包的內容包括:協議、端口、源地址、目的地址、流向等,嚴格禁止來自公網對校園內部網非法的訪問;在配置防火墻配置時,需要過濾掉以內部網絡地址進入路由器的IP包,這樣就可以防范假冒源地址和假冒源路由類型的攻擊;在配置防火墻時,還需要過濾掉以非法IP地址離開內部網絡的數據包,防止內部網絡發起的對外攻擊;在防火墻上建立內網計算機的IP地址和MAC地址的一一對應表,IP地址和MAC不對應的一律禁止;建立定期查看防火墻訪問日志的規定,及時發現攻擊行為;我們還要允許通過配置網卡對防火墻設置,提高防火墻管理安全性。
4.有害信息過濾。
雖然計算機病毒很多,破壞性很強,但若要主動去預防,還是很簡單的。計算機網絡病毒多集中在一些有害網站或頁面上,只要我們不去點擊,就不會被感染,所以,在校園網絡中,有效地對有害網站和頁面等信息進行過濾,是阻止被病毒感染的重要措施。
5.設置訪問權限,建立加密制度。
訪問控制是計算機網絡安全防范和保護的主要措施。它的任務是保證網絡資源不被非法用戶使用和非常訪問,是計算機網絡安全最重要的核心策略之一。我們可以根據校園網絡的欄目和種類分別進行訪問權限設置,不同的欄目由不同的部門負責,做到細致入微、面面俱到。對于學生的使用,教師可以根據院、系甚至班級進行權限發配和管理,這樣可以有效遏制非法用戶的闖入,也就大大降低了網絡被病毒感染的幾率。
四、結語
以上只是筆者對防范外部入侵,維護網絡安全的一些看法。校園網的安全問題是一個較為復雜的系統工程,從嚴格的意義上來講,沒有絕對安全的網絡系統,提高校園網絡的安全系數是要以降低網絡效率和增加投入為代價的。在目前的情況下,我們應當全面考慮綜合運用防毒軟件、防火墻、加密技術等多項措施,互相配合,加強管理,從中尋找確保網絡安全與網絡效率的平衡點,綜合提高校園網絡的安全性,從而建立起一套真正適合學校計算機網絡的安全體系。
參考文獻:
[1]謝希仁.計算機網絡教程[M].人民郵電出版社,2002.
關鍵詞:網絡技術、IP over WDM、移動IP、物聯網
中圖分類號:TP368.1文獻標識碼:Bdoi: 10.3969/j.issn.1003-6970.2011.03.003
Overview of Modern Network Technology
GU Lin-zhu, WANG Kai, MI Lan
(School of Information and Electrical Engineering China University of Mining and Technology, Xuzhou 221008 ,China)
【Abstract】 With the development of computer technology, network technology has also been an unprecedented development in modern society has been a rapid development in the information age, a variety of new network technology is changing, has been widely used in all walks of life. This paper describes the course of development of network technology, and from the new generation of Internet, mobile IP technology, Content networking discusses the three aspects about the new modern network technology.
【Key words】 Network technology; IP over WDM; mobile IP; I Content networking
0引言
隨著計算機技術的發展,網絡技術也經歷了從無到有的發展過程。尤其是從“信息高速公路”概念的提出,網絡技術得到了空前的發展。各種新的網絡技術層出不窮,如IPv6、寬帶移動因特網、寬帶接入新技術、10吉比特以太網、寬帶智能網、網格計算、網絡存儲、無線自組織網絡、主動網絡、下一代網絡和軟交換等。這些技術的發展應用極大的推進了社會的發展,帶來了極大的社會效應。
1現代網絡技術的發展
計算機在19世紀40年代研制成功,但是直到80年代初期,計算機網絡仍然被認為是一個昂貴而奢侈的技術。近20年來,計算機網絡技術取得了長足的發展,在今天,計算機網絡技術已經和計算機技術本身一樣精彩紛呈,普及到人們的生活和商業活動中,對社會各個領域產生了如此廣泛而深遠的影響[7]。
1.1早期的計算機通訊
在PC計算機出現之前,計算機的體系架構是:一臺具有計算能力的計算機主機掛接多臺終端設備。終端設備沒有數據處理能力,只提供鍵盤和顯示器,用于將程序和數據輸入給計算機主機和從主機獲得計算結果。計算機主機分時、輪流地為各個終端執行計算任務。
這種計算機主機與終端之間的數據傳輸,就是最早的計算機通訊[6]。
1.2分組交換網絡
分組交換的概念是將整塊的待發送數據劃分為一個個更小的數據段,在每個數據段前面安裝上報頭,構成一個個的數據分組(Packets)。每個Packet的報頭中存放有目標計算機的地址和報文包的序號,網絡中的交換機根據數據這樣的地址決定數據向哪個方向轉發。在這樣概念下由傳輸線路、交換設備和通訊計算機建設起來的網絡,被稱為分組交換網絡。
分組交換網絡的概念是計算機通訊脫離電話通訊線路交換模式的里程碑。美國的分組交換網ARPANET于1969年12月投入運行,被公認是最早的分組交換網。法國的分組交換網CYCLADES開通于1973年,同年,英國的NPL也開通了英國第一個分組交換網。到今天,現代計算機網絡:以太網、幀中繼、Internet都是分組交換網絡[8]。
1.3以太網
以太網目前在全球的局域網技術中占有支配地位。以太網的研究起始與1970年早期的夏威夷大學,目的是要解決多臺計算機同時使用同一傳輸介質而相互之間不產生干擾的問題。夏威夷大學的研究結果奠定了以太網共享傳輸介質的技術基礎,形成了享有盛名的CSMA/CD方法。
以太網的CSMA/CD方法是在一臺計算機需要使用共享傳輸介質通訊時,先偵聽該共享傳輸介質是否已經被占用。當共享傳輸介質空閑的時候,計算機就可以搶用該介質進行通訊。所以又稱CSMA/CD方法為總線爭用方法。
1.4INTERNET
Internet是全球規模最大、應用最廣的計算機網絡。它是由院校、企業、政府的局域網自發地加入而發展壯大起來的超級網絡,連接有數千萬的計算機、服務器。通過在Internet上商業、學術、政府、企業的信息,以及新聞和娛樂的內容和節目,極大地改變了人們的工作和生活方式。
Internet目前已經成為世界上規模最大和增長速度最快的計算機網絡,沒有人能夠準確說出Internet具體有多大。到現在,我們的Internet的概念,已經不僅僅指所提供的計算機通訊鏈路,而且還指參與其中的服務器所提供的信息和服務資源。計算機通訊鏈路、信息和服務資源整體,這些概念一起組成了現代Internet的體系結構。
2現代網絡新技術
2.1新一代因特網(IP over WDM)
2.1.1IP over WDM概述
自19世紀,90年代以來,人類進入了一個前所未有的信息爆炸時代,以IP為主的數據業務是當今世界信息發展的主要推動力 據有關專家預測,每6~8個月,主要ISP的因特網骨干鏈路的帶寬需求就增長一倍,2005年以后 純語音和數據流量之比1:99[15]。因而在未來傳輸平臺趨于WDM化的過程中,IP over WDM必將成為新一代因特網的支柱[14]。
2.1.2IP over WDM工作原理
IP over WDM也稱光因特網。其基本原理和工作方式是:在發送端 將不同波長的光信號組合(復用)送入一根光纖中傳輸 在接收端 將組合光信號分開(解復用)并送入不同終端構成光因特網。
2.1.3IP over WDM的組成
光因特網的網元包括光纖、激光器、摻餌光纖放大器、光耦合器、電再生中繼器、轉發器、光分插復用器、交叉連接器與交換機。非零色散偏移光纖因其色度色散的非線性效應小而最適合波分復用系統。摻餌光纖放大器大都是寬帶的,能同時放大波分復用的所有波長;因系統對平坦增益的要求很高,在經過6個左右光放大器之后就需要進行一次電放大。光耦合器用來把光信號各個波長組合在一起和分解開來,起到復用和去復用的作用。
2.2移動IP技術
2.2.1移動IP技術的概念
所謂移動IP技術,就是移動用戶在跨網絡隨意移動和漫游中,使用基于TCP/IP協議的網絡時,不用修改計算機原來的IP地址,同時繼續享有原網絡中一切權限。移動IP技術是移動互聯時代最基礎、最關鍵的技術之一,也是實現任何時間、任何地方、與任何人通過任何方式進行任何業務通信的全球個人通信的關鍵技術之一。未來的移動網絡將實現全包交換!包括話音和數據都由IP包來承載,話音和數據的隔閡將消失,移動IP技術是實現全球個人通信的關鍵技術和移動互聯網的基石。
由于移動IP技術的應用有著廣闊前景,它的開發已成為業界研究的熱點,此前,一些相關規定也相繼出臺,許多商家已經出臺了應用技術方案和設備,移動IP的應用已經悄然開始。
2.2.2移動IP的基本原理
使用傳統IP技術的主機使用固定的IP地址和TCP端口號進行相互通信[1],在通信期間它們的IP地址和TCP端口號必須保持不變,否則IP主機之間的通信將無法繼續。而移動IP的基本問題是IP主機在通信期間可能需要在網路上移動,它的IP地址也許經常會發生變化。而IP地址的變化最終會導致通信的中斷[18]。
如何解決因節點移動(即IP地址的變化)而導致通信中斷的問題?蜂窩移動電話提供了一個非常好的解決問題的先例。因此,解決移動IP問題的基本思路與處理蜂窩移動電話呼叫相似,它將使用漫游、位置登記。隧道技術、鑒權等技術。從而使移動節點使用固定不變的IP地址,一次登錄即可實現在任意位置(包括移動節點從一個IP(子)網漫游到另一個IP(子)網時)上保持與IP主機的單一鏈路層連接,使通信持續進行。
2.2.3移動IP技術發展三部曲
第一步:IP業務與移動通信結,在電路交換的移動通信網絡中引入IP電話業務。IP電話是一種新的電話業務,是在IP網絡承載話音技術創新的產物。它把話音進行壓縮編碼,打包分組,路由分配,存儲交換,解包解壓縮等變換處理,在IP網絡上實現話音通信。第二步:在GSM網絡中引入IP分組數據業務。GPRS是一個從空中接口到地面接入網再到核心網絡部分都分組化的數據通信網絡。第三步:三代移動通信網絡的發展方向將是一個全IP的分組網絡。
2.3物聯網
2.3.1物聯網的概述
物聯網是新一代信息技術的重要組成部分。物聯網的英文名稱叫“The Internet of things”[3]。顧名思義,物聯網就是“物物相連的互聯網”。這有兩層意思:第一,物聯網的核心和基礎仍然是互聯網,是在互聯網基礎上的延伸和擴展的網絡;第二,其用戶端延伸和擴展到了任何物體與物體之間,進行信息交換和通信。因此,物聯網的定義是:通過射頻識別(RFID)、紅外感應器、全球定位系統、激光掃描器等信息傳感設備,按約定的協議,把任何物體與互聯網相連接,進行信息交換和通信,以實現對物體的智能化識別、定位、跟蹤、監控和管理的一種網絡。
2.3.2物聯網的關鍵技術
物聯網的關鍵技術有短距離無線通訊(zigbee、wifi、藍牙等)、低功耗無線網絡技術、無線傳感器網絡、無線定位、射頻識別(RFID)(高頻、超高頻)、遠程網絡、多網絡融合等。物聯網關鍵領域有:1. RFID;2.傳感網;3. M2M 4. 兩化融合[5]。
物聯網的發展,也是移動技術為代表的普適計算和泛在網絡發展的結果,帶動的不僅僅是技術進步,而是通過應用創新進一步帶動經濟社會形態、創新形態的變革,塑造了知識社會的流體特性,推動面向知識社會的下一代創新形態的形成。移動及無線技術、物聯網的發展,使得創新更加關注用戶體驗,用戶體驗成為下一代創新的核心。技術更加全面,體驗更加豐富成為新一代物聯網的發展目標。
3結束語
當今社會,已離不開網絡,網絡創造了一種新的文化,給我們的生活生產學習帶來了翻天覆地的變化。各種新的網絡技術不斷發展,解決各種難題,極大提高人們生活水平。但在網絡發展的同時,也面臨許多挑戰,比如網絡安全問題,網絡傳輸問題等,只要不斷創新,迎接新的挑戰,才能不斷解決各種新問題,使社會取得更大的進步。
參考文獻
[1] 溫維敏,張永波,李艷萍. 當前移動通信中的關鍵技術[J]. 中國新通信, 2010, (01) .
[2] 趙斌鋒,羅青松,王航. 自動交換光網絡(ASON)設備的設計與實現[J]. 光通信技術, 2010(06)
[3] 蘇志毅. 移動SNS系統設計[J].軟件,2010,31(10):40-43.
[4] 張輝,陳古典. 基于物聯網的城市消防遠程監控系統[J]信息化研究,2010, (10) .
[5] 儲忠圻.現代通信新技術[M].機械工業出版社.
[6] 張曉明.計算機網絡教程[M].北京:清華大學出版社,2010.
[7] 黃要武.計算機網絡教程[M].大連:大連理工大學出版社,2009.
[8] 張麗,張明國.網絡技術與網絡文化的互動關系研究[J].重慶大學學報(社會科學版),2003,9(3):146-148.
[9] 王力,王艷雙.網絡管理技術的研究與應用[J].中國科技論文在線,2010,7:32.
[10] 張宏科.IPv6網絡技術的現狀和未來[J].中國科技論文在線,2009.
[11] 沈蘇彬,范曲立,宗平,毛燕琴,黃維. 物聯網的體系結構與相關技術研究[J]南京郵電大學學報(自然科學版), 2009, (06) .
[12] 陳鵬. 三網融合背景下電視內容產業升級戰略[J]. 電視研究, 2011,(01)
[13] 楊忠寧. 論三網融合下電視媒介的生存之道[J]. 新聞知識, 2010,(12)
[14] 張寧. 新一代移動通信技術――4G[J]. 電力職業技術學刊, 2009,(01) .
[15] 張函清. 第四代移動通信技術研究[J]. 黑龍江科技信息, 2010, (15) .
[16] 齊星云. 高性能計算機無緩存光互連網絡技術研究[D].國防科學技術大學,2009
[17] 戰文杰,張引發,趙麗麗. 光網絡域間自動鄰居發現方法研究[J]. 光通信技術,2010,(01)
[18] 2010中國通信產業十大新聞[J]. 移動通信, 2010,(24)
[19] 李東衛. 三網融合發展視角下創新商業銀行零售業務的思考[J]. 貴州農村金融, 2010, (10)
[20] 李文耀. FTTH是實現三網融合的必備選擇[J]. 通信世界, 2011,(03)
[21] 張玲,鞏稼民,張亮. 光網絡的核心器件―光交叉連接器[J]. 西安郵電學院學報,2010,(01)
關鍵詞:廣域網;計算機;網絡設計;應用實施
Abstract: with the rapid development of computer technology, computer technology has been applied to every detail of daily life, computers have become indispensable tool in people's life, it also heralds the society already entered the information society today. And based on computer network also began with the rise of the network economy and rapid development. This article will detail now in under the influence of network economy, computer wide-area network design and implementation of related problems.
Key words: wide area network; The computer; Network design; Application implementation
中圖分類號: G623.58 文獻標識碼:A 文章編號:2095-2104(2013)
一、計算機廣域網的概念及其作用
廣域網也被稱為遠程網,又常用英語簡稱為WAN(Wide Area Network)。一般來說,廣域網可以跨界很大的物理范圍,覆蓋范圍多為幾十公里到幾千公里不等,其中包含了大量計算機的計算機網絡。廣域網能夠連接不同的地區、城市、國家,甚至可以橫跨幾個洲,提供遠距離通信,形成國際性的遠程網絡。自二十世紀七十年代中期至今,廣域網發展十分迅速,如今不僅可以遠距離傳送計算機數據和信息,還可以傳中各種多媒體信息,如聲音、音像和圖片等。世界上第一個廣域網是ARPANET網,這是美國國防部高級研究計劃管理局在1969年11月所建立的網絡,當時只有四個結點,分布在美國不同地方的思索大學里。ARPANET通關無線分組交換網和衛星通信網,利用電話交換網互聯四個借點的。ARPANET的建成和成功運行,證實了計算機網絡的優越性,同時也為世界各國的遠程大型網絡提供了實踐經驗,并最終產生了如今世界最大的廣域計算機網絡——Internet。
廣域網是由多個不同協議、不同結構的局域網連接而成,其中包括各種不同類型的計算機和運行在計算機上的各種不同業務,常采用分組點到點的通信方式連接數據收發雙方的地址。因此,廣域網往往具有不規則的結構,而且進行管理和控制時其復雜性也大大提高,安全性也較低。由于廣域網的結構復雜和難于控制,傳輸數據的時長較長,線路穩定性也相對較差,且其信息的傳輸速率也沒有局域網的高。在使用局域網時,廣域網可連接路由器,為局域網提供轉接服務。
盡管廣域網的數據傳輸速率比局域網慢,但由于它能夠適應大容量突發通信、綜合業務服務的要求,具有烤房設備接口和規范化的協議,一系列完善的通信服務和網絡管理等等著各方面的優點,廣域網還是被很多中小型企業所熱衷。
根據廣域網傳輸類型,廣域網主要可以分為以下三種類型:
公共傳輸網絡。
公共傳輸網絡大致又可以分為兩類:電路交換網絡和分組交換網絡。一般來說,公共傳輸網絡由政府的電信部門組建、管理和控制的,公共傳輸網絡里的傳輸和交換裝置可以任意租用或提供給每一個政府部門和工作單位使用。
(二)專用傳輸網絡
專用傳輸網絡大多是由自由組織或自由團體自己建立、使用、控制和維護的,是屬于私有的通信網絡,常用的網絡形式是數字數據網。
(三)無線傳輸網絡
無線傳輸網絡主要是移動無線網。GSM和GPRS技術就是典型的無線傳輸網。
對照OSI的參考模型,如今廣域網絡技術主要位于底層的三個層次:物理層、數據鏈路層和網絡層。日常使用的廣域網技術和OSI參考模式之間的對應關系多為:點與點鏈路、電路交換、包交換和虛擬電路。
二、計算機廣域網的設計及其實施效果
由于近數十年計算機廣域網的迅速發展,以計算機為核心在傳統經濟基礎上產生的網絡經濟也有了飛躍性的發展。
網絡經濟的發展對現代中、小企業都產生了重大的影響,性生產、經營到管理等各個環節都離不開計算機廣域網的身影。在網絡經濟的推動下,企業的生產組織、內部組織、經營和管理方式都發生了巨大的變化,不斷地改變,最終改變現代企業基本的商業模式。
在網絡經濟中,網絡安全是最不可忽視的問題,一旦企業的網絡資源和敏感信息被泄露了,那么后果將會是不堪設想。因此,構建一個成功的網絡安全問題是一個非常重要的問題,其中涉及到從單機到網絡的每個方面。在設計廣域網的時候,要確保網絡資源得到足夠的保護,能限制某些不明用戶的訪問,否者訪問者就能夠做授權用戶所能做的一切事情。其次,要注意敏感信息是否被泄露又或者是充當了別人的跳板。曾有某用戶的因特網連接被其他人用來在某個站點下載不適宜的內容,使該用戶面臨嚴重的法律問題。
因此,在設計廣域網前必須要先了解用戶的計算機情況,包括大約有多少臺運作的電腦主機、分為多少部門又或是Internet的接入點在哪里等等,這些都是必須要先了解到的情況,再根據實際情況進行相關配置要求的設備和適宜的設計技術等。其中路由的選擇的是不可忽視的。
分組交換網絡的由很多個節點經由通信鏈路所連接而成的任意的網絡形狀。當數據從一個主機傳輸到另外一個主機時,有多種不同的可能路徑選擇。在這些可能路徑選擇一條跳數最小、延時最小或最大可用帶寬時,路由的算法就可以輕松確定網絡上這兩個主機之間的最佳路徑。
在進行路由算法時,必須要隨時了解到下列網絡狀態的各種信息:
路由器必須知道哪一個外出接口是到達另一個主機的最佳路徑;
路由器必須確定路由是否激活了對這個網絡協議組的支持;
路由器必須要知道目的地的網絡的具置。
在確認了以上的信息之后,就可以根據實際得帶寬、延時、成本或跳數去確定路由選擇算法,不同的狀況有不同路由算法,如:距離矢量路由算法、鏈路狀態路由算法、擴散法、源路由算法和偏差路由算法,以及在目前被廣泛使用的Bellman-Ford算法和Dijkstra算法
廣域網設計的常用技術包括:VLAN技術、端口聚合、NAT技術和ACL技術等等。這幾種設計技術在搭建和維護廣域網的時候起到了重大作用。
在進行網絡設計時,不僅要根據使用主機及局域網的實際情況開展設計,還要注意一下五大特點,以確保廣域網的安全性能和已于擴充和升級。
1.重點突出技術先進性。廣域網絡在滿足基本的實用性時,還要突出技術的先進性。一個先進的技術成熟的廣域網絡,不僅可以確保產品具有優良的先進性和通用性,用戶也會得到較好的保障。
2.具備高安全性和可靠性。對于一個企業來說,數據和系統的安全性具有極重大的意義,因此,設計的網絡系統在數據的儲存、傳遞交換和使用的過程都應該要設置有相關的安全機制,確保數據的安全、可信度。
3.考慮經濟性和實用性。在設計一個采用成熟的設備、通信技術的網絡技術時,要同時兼顧到企業已有的設備,充分利用現有的信息資源,保護原來的已儲存的數據,在滿足各種應用需求和網絡連接的同時也要為未來可能出現的新要求做好支持的準備。
4.具備很強的開放性。為了使網絡更易于擴充和升級,可適當采用開放式的網絡體系,對外界不斷改變的環境可以有足夠的應變能力,同時可以因需求而不斷進行調整和升級。
5.支持多項服務功能。要確保在計算機廣域網絡上運行的視頻通訊和應用系統之間不受彼此運行影響,這對于企業來說也是十分重要的。
當真正實施所設計的計算機廣域網絡時,要確保該網絡可以一直保持穩定運行,各系統、平臺正常使用,這才是一個成功的計算機廣域網絡的設計。
三、結語
廣域網通常會跨接很大的物理范圍,以便連接多個城市或國家并為其提供遠距通信。廣域網多彩同點到點連接方法,可以提供一個比局域網更好更快的傳輸,因此多倍企業采用為連接更廣泛的獲取信息資源。
為企業設計計算機廣域網絡是,應全面考慮到企業的經濟承擔能力,通過分層的設計保證運作系統的穩定性、可靠性和高安全性,節約投資。而最重要的是注意網絡系統的實用性,使網絡系統盡快得到充分的發揮,便于掌握,當然,這些都少不了現今社會上先進技術的運用。
參考文獻:
[1]陳明,計算機廣域網絡教程[M],清華大學出版社,2008
[2]祝振宇,翟建立,劉芳,葉仕通,計算機基礎教程[M],清華大學出版社,2010
關鍵詞:網絡化數字資源綜合教學平臺;數據庫;虛擬技術
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)07-1522-02
1 網絡化數字資源綜合教學平臺概述
隨著多媒體網絡技術的飛速發展,信息技術不斷完善,豐富多樣的教學模式層出不窮,高校的信息化建設也在高速發展,為了滿足師生對信息化教學模式的渴望,網絡化數字資源綜合教學的建設勢在必行。結合實際情況,以及對未來投資建設的綜合規劃,將平臺的總體建設分為三期,預計在5年之內可以完成全部建設。
項目在一期全面完成后,可以滿足我校區的教學要求。日后的專家講座、精品課系列都可以通過遠程教育平臺實時向全校師生;
項目在二期通過“網絡化數字資源綜合教學平臺”可以滿足對其他兄弟院校,以及有接受教育需求的外校人員學習、交流的目的;與國內、國際大學的在線學術交流可在本項目的平臺搭建完成后成為現實。
項目在三期完成后依托學院校園網絡、廣域網、以及未來的無線網,按照學科專業建設的內涵,科學分類,有機組織,系統設計了信息資源服務平臺和教學科研支持環境。針對現有資源和即將收錄的資源,統籌規劃,統一標準,整合資源,共建共享,搭建學科建設信息平臺,以達到不斷提高學院網絡應用水平和建設效益的目的。
平臺建設成功后,不需要過多的資金再投入,只要再增添網絡教室就可以滿足教育部教學改革要求和網絡化考試、實時視音頻資源的以及以上的需求。這樣既節省了資金,又避免了重復建設。
2 網絡化數字資源綜合教學平臺的特點
1) 一體化建設,避免“信息孤島”:鑒于單獨構建網絡教學平臺或教學資源庫易于形成“信息孤島”,很多高校教訓深刻。針對學校教學教務信息化的特點,直接構建“課程資源管理平臺”。同時該平臺還能和校內其它相關系統進行整合,形成統一的數字校園應用平臺。
2) 適應教育部“二期質量工程”對高校教育教學信息化提出的要求:滿足教育部對“二期質量工程”提出的專業點建設、精品課程建設、高水平教學團隊建設、教學資源建設、多種模式教學過程和環節信息化支持等方面的要求。
3) 功能完整,有機整合,個性化構建:采用構件技術,進行模塊化的設計,能夠針對學校需求進行系統定制,構建個性化的課程教學資源管理平臺,平臺建設完成后可以提供如下系統和資源:
(1) 通用教學管理平臺
(2) 課程建設展示平臺
(3) 網絡互動自主學習中心
(4) 網絡化考試平臺
(5) 無線網絡學習平臺(含衛星)
(6) 網絡數字資源綜合管理平臺
(7) 精品課程直播錄制工作站
(8) 精品課程內容管理及信息
(9) 國家級及省級精品課程庫
(10) 全球開放網絡課程庫
(11) 教務管理系統的數據接口
4) 教師一次課程建設,多種需求滿足:相對獨立的課程教學、精品課程評審和課程公開展示,將需要教師進行大量的重復性課程建設工作,平臺建設后將幾個系統進行有機整合,使得教師擺脫繁重的重復性工作。
5) 主流技術,安全穩定:采用基于Unix或Linux操作系統和大型數據庫Oracle方案的自主知識產權教學應用系統,避免脆弱的Windows架構,保證大規模并發時的穩定性,從安全性和運行效率等多方面更適合大學應用,也是目前高校數字校園建設的主流技術架構。
6) 符合規范,接口開放,能夠可持續發展:符合國內高校數字校園建設規范,提供與教務管理系統的接口,實現無縫掛接,有機的構建優秀數字校園綜合應用系統,具有可持續提升功能和生命周期長的特點。網絡化數字資源綜合教學平臺功能說明
平臺以“課程教學”為核心,用戶劃分為教師、學生、管理員、教務員四種角色,支持課程的長期滾動建設以及教學資源的積累與共享,支持教學過程跟蹤統計分析,教學過程與評價展示相結合。
3 系統結構簡介
系統底層硬件采用云計算機技術構建。由所選服務器通過虛擬技術構成云計算節點,各類服務系統直接架構于云節點之上,提供高可靠性、高擴展性和高靈活性的服務
資源系統的服務端主要由點播服務器、直播服務器、采集服務器、管理服務器、數據庫服務器、存儲設備等組成。
1) 點播服務器 一方面為終端用戶提供視頻流傳輸控制服務,并對流量負載提供完善的處理機制,另一方面為核心應用提供強大的系統管理服務。
2) 直播錄制采集服務器 為用戶提供實時現場直播和文件廣播服務。在校園網內,要求網絡設備支持跨網段廣播,否則可能會導致用戶接收不到直播節目。
3) 采集服務器 把從模擬的視頻信號進行采集編碼成數字信號,用以計算機進行處理。Osprey 450e支持4路獨立采集,解決單路采集卡占用服務器過多插槽問題,最大化的利用采集服務器的資源。
4) 管理服務器和數據庫服務器安裝控制臺,對各服務器進行管理和運行數據庫服務程序。用于存儲管理節目信息,為用戶檢索查詢節目提供服務,存儲管理用戶信息,提供登錄、認證服務,存儲管理日志記錄,為查詢統計和維護提供服務。
5) 通用網絡教學管理平臺系統服務器運行教學管理系統。
考慮到較高的穩定和安全性能,我們建議將應用服務器和數據庫服務器分離部署,把存儲的文件放到磁盤陣列上,三者之間通過千兆以太網或光纖連接,增強了系統性能及安全性,存儲的共用還避免了文件的重復存儲,提高空間利用率。
4 結束語
多媒體網絡教學是我國高校在教育改革上勢在必行的趨勢,在信息化高速發展的今天,高校的信息化建設應該乘勢而上。搭建一個網絡化數字資源綜合教學平臺,不是單純的硬件和軟件的羅列,而是為了將數字資源有效的利用起來,不但能夠要利用好這些資源,更要有一個長遠的眼光,將龐大的資源有機結合起來,形成一套成熟的體系結構。
參考文獻:
[1] 陳少紅.計算機網絡基礎[M].北京:清華大學出版社,2006.
[2] 余青松.網絡實用技術[M].北京:清華大學出版社,2006.
[3] 馬秀麟.計算機應用基礎[M].北京:清華大學出版社,2005.
關鍵詞:指紋系統,安全防范,防御機制
一、概述
指紋信息系統作為一種公安工作的局域網,有其特定含義和應用范疇,它積累信息為偵察破案提供線索,概括起來有四個方面的典型應用:第一,指紋系統是為公安工作服務的,是一種刑事偵察的工具,它是各地、市之間指紋交流工具,也是指紋信息資源的提供者。第二,指紋系統是為偵察破案提供線索,為案件進展提供便利服務的。第三,指紋系統積累犯罪嫌疑人信息,如嫌疑人的指紋管理、前科管理、基本信息管理等,為串、并案件提供可靠依據。第四,指紋系統是溝通與其他公安工作的窗口,利用它既可以獲取各種信息,也可以向其他公安工作相關信息。
二、指紋信息系統安全的主要問題
隨著網絡在公安工作各個方面的延伸,進入指紋系統的手段也越來越多,因此,指紋信息安全是目前指紋工作中面臨的一個重要問題。
1、物理安全問題
指紋信息系統安全首先要保障系統上指紋數據的物理安全。物理安全是指在物理介質層次上對存貯和傳輸的指紋數據安全保護。目前常見的不安全因素(安全威脅或安全風險)包括兩大類:第一類是自然災害(如雷電、地震、火災、水災等),物理損壞(如硬盤損壞、設備使用壽命到期、外力破損等),設備故障(如停電、斷電、電磁干擾等),意外事故。第二類是操作失誤(如刪除文件、格式化硬盤、線路拆除等),意外疏漏(如系統掉電、“死機”等)。
2、指紋操作系統及應用服務的安全問題
現在應用的主流操作系統為Windows 操作系統,該系統存在很多安全隱患。操作系統不安全也是系統不安全的重要原因。
3、非法用戶的攻擊
幾乎每天都可能聽到在公安網上眾多的非法攻擊事件,這些事件一再提醒我們,必須高度重視系統的安全問題。非法用戶攻擊的主要方法有:口令攻擊、網絡監聽、緩沖區溢出、郵件攻擊和其他攻擊方法。
4、計算機病毒威脅
計算機病毒將導致指紋系統癱瘓,系統程序和指紋數據嚴重破壞,使系統的效率和作用大大降低,系統的許多功能無法使用或不敢使用。雖然,至今還沒過出現災難性的后果,但層出不窮的各種各樣的計算機病毒活躍在公安網的各個角落,令人堪憂。計算機病毒是指人為制造的干擾和破壞計算機系統的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點。通常,我們將計算機的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對計算機數據進行破壞,但會造成計算機工作異常、變慢等。 惡性病毒往往沒有直觀表現,但會對計算機數據進行破壞,有的甚至會破壞計算機的硬件,造成整個計算機癱瘓。前段時間流行的沖擊波、震蕩波、狙擊波病毒,它們根據 Windows漏洞進行攻擊,電腦中毒后1分鐘重起。在重新啟動之前,沖擊波和震蕩波允許用戶操作,而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時隨地在尋找入侵電腦的機會,因此,預防和清除計算機病毒是非常重要的,我們應提高對計算機病毒的防范意識,不給病毒以可乘之機。
三、指紋系統的安全防范措施
指紋信息系統是一個人機系統,需要多人參與工作,而系統操作人員是系統安全的責任主體,因此,要重視對各級系統操作人員進行系統安全的教育,做到專機專用,嚴禁操作人員進行工作以外的操作;下面就本人在實際工作中總結的一些經驗,談一 談對指紋信息系統的維護與病毒的預防。
1、 對指紋系統硬件設備和系統設施進行安全防護
(1)系統服務器安全:服務器是指紋系統的大腦和神經中樞,一旦服務器或硬盤有故障,輕者將導致系統的中斷,重者可能導致系統癱瘓或指紋數據丟失,因此在服務器端,可以采用雙機熱備份+異機備份方案。論文大全。在主服務器發生故障的情況下,備份服務器自動在 30 秒 內將所有服務接管過來,從而保證整個指紋系統不會因為服務器發生故障而影響到系統的正常運行,確保系統 24小時不間斷運行。在磁盤陣列柜,我們可安裝多塊服務器硬盤, 用其中一塊硬盤做備份,這樣可保證在其它硬盤發生故障時,直接用備份硬盤進行替換。
(2)異機數據備份:為防止單點故障(如磁盤陣列柜故障)的出現,可以另設一個備份服務器為,并給它的服務設置一個定時任務,在定置任務時,設定保存兩天的備份數據,這樣可保證當某天指紋數據備份過程中出現故障時也能進行指紋數據的安全恢復。通過異機備份,即使出現不可抗拒、意外事件或人為破壞等毀滅性災難時,也不會導致指紋信息的丟失,并可保證在1小時內將指紋數據恢復到最近狀態下,使損失降到最低。
(3)電路供應:中心機房電源盡量做到專線專供,同時采用UPS(不間斷電源),部分非窗口計算機采用300 W 延時20分鐘的 UPS進行備用,這樣可保證主服務器和各服務窗口工作站不會因電源故障而造成指紋信息的丟失或系統的癱瘓。
(4)避雷系統:由于通信設備尤其是裸露于墻體外的線路,易受雷擊等強電磁波影響而導致接口燒壞,為對整個系統進行防雷保護,分別對中心機房、主交換機、各分交換機和各工作站進行了分層次的防護。
(5)主機房的防盜、防火、防塵:主機房是系統中心,一旦遭到破壞將帶來不可估量的損失,可以安裝防盜門,或安排工作人員24小時值班。同時,由于服務器、交換機均屬于高精密儀器,對防塵要求很高,所以對主機房進行裝修時應鋪上防靜電地板,準備好(電火)滅火器,安裝上空調, 以保證機房的恒溫,并派專人對主機房的衛生、防塵等具體負責。論文大全。
(6)對移動存儲器,借出時要寫保護,借入時要先殺毒;
(7)不使用盜版或來歷不明的軟件,做到專機專用,在公安內網的機器不準聯到互聯網上使用;
2 、 全方位的系統防御機制
我們常說“病從口入”所以要做到防患于未然,必須切斷計算機病毒的傳播途徑,具體的預防措施如下:
(1)利用防病毒技術來阻止病毒的傳播與發作。
為了使系統免受病毒所造成的損失,采用多層的病毒防衛體系。在每臺PC機上安裝單機版反病毒軟件,在服務器上安裝基于服務器的反病毒軟件,并在網關上安裝基于網關的反病毒軟件。因為防止病毒的攻擊是每個工作人員的責任,人人都要做到自己使用的臺式機上不受病毒的感染,從而保證整個指紋系統不受病毒的感染。
(2)應用防火墻技術來控制訪問權限。
作為指紋系統內部網絡與外部公安網絡之間的第一道屏障,防火墻是最先受到重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著公安網絡安全技術的整體發展和公安工作中網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。 在系統出口處安裝防火墻后,系統內部與外部網絡進行了有效的隔離,所有來自外部的訪問請求都要通過防火墻的檢查,這樣系統的安全有了很大的提高。論文大全。防火墻可以通過源地址過濾,拒絕非法IP 地址,有效避免公安網上與指紋工作無關的主機的越權訪問;防火墻可以只保留有用的服務,將其他不需要的服務關閉,這樣做可以將系統受攻擊的可能性降低到最小限度,使非法用戶無機可乘;防火墻可以制定訪問策略,只有被授權的外部主機才可以訪問系統的有限IP地址,保證其它用戶只能訪問系統的必要資源,與指紋工作無關的操作將被拒絕;由于所有訪問都要經過防火墻,所以防火墻可以全面監視對系統的訪問活動,并進行詳細的記錄,通過分析可以發現可疑的攻擊行為;防火墻可以進行地址轉換工作,使外部用戶不能看到系統內部的結構,使攻擊失去目標。
(3)應用入侵檢測技術及時發現攻擊苗頭。
入侵檢測系統是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要是因為它能夠對付來自系統內外的攻擊,縮短入侵的時間。
(4)應用安全掃描技術主動探測系統安全漏洞,進行系統安全評估與安全加固。安全掃描技術與防火墻、入侵檢測系統互相配合,能夠有效提高指紋系統的安全性。通過對系統的掃描,系統管理員可以了解系統的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估系統風險等級。系統管理員也可以根據掃描的結果及時消除系統安全漏洞和更正系統中的錯誤配置,在非法用戶攻擊前進行防范。
(5)應用系統安全緊急響應體系,防范安全突發事件。
指紋系統安全作為一項動態工程,意味著它的安全程度會隨著時間的變化而發生改變。 在信息技術日新月異的今天,即使昔日固若金湯的系統安全策略,也難免會隨著時間和環境的變化,變得不堪一擊。因此,我們需要隨時間和系統環境的變化或技術的發展而不斷調整自身的安全策略,并及時組建系統安全緊急響應體系,專人負責,防范安全突發事件。
參考文獻:
[1] JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104
[2] J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284
[3] 張 敏,徐 震,馮登國.基于安全策略模型的安全功能測試用例生成方法,軟件學報(已投稿),2006
[4] 何永忠.DBMS安全策略模型的研究:[博士學位論文],北京市石景山區玉泉路19號(甲):中國科學院研究生院,2005
[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992
[6]蔣平.計算機犯罪問題研究[M].北京:電子工業出版社,2002.
[7]高銘喧.新編中國刑法學[M].北京:中國科學技術出版社,2000.
[8]朱廣艷. 信息技術與課程整合的發展與實踐[J]. 中國電化教育,2003(194):8- 10.
[9]黃叔武 劉建新 計算機網絡教程 清華大學出版社 2004年11 月
[10]戴紅 王海泉 黃堅 計算機網絡安全 電子工業出版社2004.9.8
[11]丁志芳, 徐夢春. 評說防火墻和入侵檢測[J]. 網絡安全技術與應用, 2004,(4):37- 41.
[12]周國民. 黑客蘇南與用戶防御[J].計算機安全, 2005,(7):72-74.
[13]周筱連. 計算機網絡安全防護[J].電腦知識與技術( 學術交流) ,2007,(1).
[14]阿星. 網絡安全不容忽視[J]. 電腦采購周刊, 2002,(32).
[15]網絡安全新概念[J].計算機與網絡, 2004,(7).
[16]王銳. 影響網絡安全的因素及需要考慮的問題[J]. 計算機教育, 2005,(1).
關鍵詞:企業網;三層交換機;VLAN技術
一、項目意義及背景
在以網絡為核心的信息時代,誰擁有“信息資源”,誰能有效使用“信息資源”,誰就能在各種競爭中占據主導地位。要實現信息化就必須依靠完善的網絡,因為網絡可以非常迅速地傳遞信息。這里所說的網絡是指電信網絡、有線電視網絡和計算機網絡。這三種網絡向用戶提供的服務不同。這三種網絡在信息化過程中都起到十分重要的作用,但在其中發展最快的并起到核心作用的是計算機網絡。它不僅為現代化發展、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺,而且能提供多種應用服務,使信息能及時、準確地在各個部門之間傳遞。
因此,有必要建設好中小型企業信息網絡,以最大限度的達到信息資源恭喜那個,并使用電子信息的傳遞取代紙面文件、材料的傳送,逐步實現:無紙辦公,改變傳統的工作模式,進一步提供工作效率。同時,利用各種業務信息的綜合分析,為各級領導提供決策支持,更好地組織生產和經營。
(一)上海企業網分析
上海企業公司,總部設立在上海,在蘇州設有分公司。總部信息點的數目非常多,加之出于業務對網絡的可用性要求非常高。故采用設備加鏈路全冗余的方案進行部署并且在冗余的核心交換機上部署了鏈路聚合技術增加帶寬以保障內網交換出現擁塞現象。總公司的交換區域部署方案上我們采用VLAN技術將單個局域網劃分成若干邏輯意義上的局域網來適配每個部門,保障各部門之間的數據通信的安全性、減少廣播風暴造成的帶寬浪費,并且使筆記本等移動終端設備能便捷的接入到自己部門的局域網中。
蘇州分公司相對總公司因其結構簡單和信息點數目少,所以在網絡規劃上要較總公司簡單許多。為了節約成本,分公司的交換區域將不采用冗余設計,以單臺多層交換機作為核心層,三臺二層交換機作為接入層的設備連接各個信息點。其余方面將同總公司采用相同的技術來進行部署,其特點在上面已經提及,就不再贅述。
二、企業業務需求分析
該企業要求總部與分部能實現全網連通,共享系統資源,總部與分部能訪問服務器上的業務資源。
(一)企業設計要求分析
1.靈活性原則
網絡設計具有較高的適應變化能力,能方便快捷的進行網絡的擴展。
2.可用性原則
可用性原則決定了所設計的網絡系統是否能滿足用戶應用和穩定運行的需求。網絡的“可用性”主要表現了網絡的“可靠性和穩定行“,要求網絡系統能長時間穩定運行而不經常出問題。
3.冗余性原則
網絡硬件設施也是有壽命的,由于使用方式、人為、自然災害、突況導致的線路,設備的癱瘓對網絡的打擊是致命的。所以增加網絡的冗余性是絕對不能少的。
4.安全性原則
網絡安全也設計許多方面,最明顯、最重要的就是外界入侵、攻擊的檢測與反復。我們應根據安全需求而部署相應的防護系統。網絡系統的安全性需求還體現在數據備份和容災處理方面。
5.無瓶頸原則
這是非常重要的,否則會造成高成本購買高檔次設備,卻得不到相應的高性能。網絡性能與網絡安全性能,追蹤取決于網絡通信鏈路中性能最低的那部分設備。在進行網絡系統設計時,一定要全局綜合考慮各部分的性能,不能只注重局部的性能配置,特別是交換機端口、網卡和服務器組件配置等方面。
(二)可行性分析
由于沒有真實設備的條件,我將采用GNS3模擬器去完成該企業的組網。其中所涉及的路由器和交換機的系統采用cisco公司的IOS,并采用Vmware模擬服務器。
三、企業網絡總體規劃實現
總體規劃是企業網建設的總體思路,是建設好該企業網的核心人物,對于這個企業網絡總體的設計,我首先與公司的相關人員進行交流,并進行必要的信息收集,得知公司對其所實現的企業網絡的總體需求,同時對于公司業務的劃分和公司發展的趨勢,在規劃時能全面的考慮未來的擴展性,同時結合公司結構的特點,采用相應的技術。以下是該公司網絡的規劃的詳細思路:
根據所獲得的企業需求,以及結構進行分析,采用接入層和核心層實現企業內網交換區的部署,并在交換區采用VLAN將各個部門的網絡從邏輯上分割開,保證每個部門的網絡的獨立性。在核心層的兩臺核心交換之間部署鏈路聚合技術,提高帶寬增加數據吞吐的能力,同時還做到冗余性。
在廣域網規劃上采用OSPF路由選擇協議,并且以多區域的形式部署在該企業網上,并且在總公司和分公司部署Totally stub區域減少LSDB數據的大小,減輕三層設備的負擔,優化網絡的性能。
(一) IP地址規劃
IP地址作為計算機或網絡節點在網絡上的唯一標識,能夠保證互聯網上千千萬萬的設備尋找到自己的目標。在互聯網上的設備不當要有屬于自己用于身份標識的IP地址,還必須遵循網絡中的IP協議。IP地址規劃是整個企業網絡設計中最基礎的部分。該企業網絡在IP規劃采用VLSM技術進行IP子網化。
四、VLAN網絡技術
VLAN(Virtual Local Area Network)的中文名為"虛擬局域網"。VLAN是一種將局域網設備從邏輯上劃分成一個個網段,從而實現虛擬工作組的新興數據交換技術。但又不是所有交換機都具有此功能,只有VLAN協議的第二層以上交換機才具有此功能。
交換技術的發展,也加快了新的交換技術(VLAN)的應用速度。通過將企業網絡劃分為虛擬網絡VLAN網段,可以強化網絡管理和網絡安全,控制不必要的數據廣播。在共享網絡中,一個物理的網段就是一個廣播域。而在交換網絡中,廣播域可以是有一組任意選定的第二層網絡地址(MAC地址)組成的虛擬網段。在同一個VLAN中的工作站,不論它們實際與哪個交換機連接,它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到,而不會傳輸到其他的VLAN中去,這樣可以很好的控制不必要的廣播風暴的產生。所以,用戶可以自由的在企業網絡中移動辦公,不論他在何處接入交換網絡,他都可以與VLAN內其他用戶自如通訊。
五、結語
對該企業網的構思、繪制拓撲、撰寫方案、實施組建等一系列流程進行論述。使我們對企業網建設工程有了一個比較深入的了解,企業網絡作為意向重要的系統工程,它所用到的各種技術是多方面的,即有網絡技術、工程施工技術,也有管理制度等各個方面的只是。網絡技術的發展是永無止境的,在前進的過程中必將有更多的知識需要我們去學習與研究,并能將其應用到實際的網絡工程建設之中。
【參考文獻】
[1]周昕,數據通信與網絡技術(第2版)[M].北京:清華大學出版社,2014
[2]陳網鳳,網絡設備配置與管理[M].北京:清華大學出版社,2014
1現代遠程教育的概念
現代遠程教育是隨著現代信息技術的發展而產生的一種新型遠程教學形式,它以計算機通信技術和網絡技術為依托,采用遠程實時多點雙向交互多媒體現代化教學手段,實現跨越時間和空間的教育傳遞過程[1]。現代遠程教育屬于遠程教育形式的一種,是教育事業發展中區別于傳統教學的一種創新性、革命性的教育模式,其最具有象征性的特征表現為教師和學生在空間和地理上永久性分離,通過網絡技術實現自主學習。“遠程教育”這一概念從提出到發展已經歷三代:第一代是函授教育;第二代是廣播電視教育;第三代為計算機及計算機網絡,基本特征是利用計算機網絡和多媒體技術進行教學活動,被稱為“現代遠程教育”。在我們的日常生活中,接觸最多的如BBS、聊天室、E- mail 進行討論和交流的方式都屬于現代遠程教育的應用領域。
2現代遠程教育的特點
2.1開放性
指對教育對象、資源、教育方式、教育場合、教育時間的開放。任何年齡階段的學習者都可參與其中,沖破了傳統教育對學習者年齡、戶籍、經費等因素的限制,滿足了社會大眾對知識技能的需求,弱化了傳統教育形式的概念,為學習者的學習提供了更為有利、自主的學習平臺,真正實現了資源公平化和教育公平化。
2.2多樣性
現代遠程教育的多樣性體現在學習者類型特征上,在傳統教學活動中,學習者特征體現在個性與共性方面,即相同學習階段的學習者,在年齡、性格、心理、認知能力等多方面都有著相同或相似的特征。在通過遠程教育學習的學習者中,年齡層次不齊,認知能力存在很大的差異性。學習者種類的多樣性,是現代遠程教育順利實施和開展面臨的比較嚴峻的挑戰。
2.3教學形式由以教為主變為以學為主
在中國幾千年的教與學中,以教為主的教育形式在人們的思想觀念中有著根深蒂固的影響。信息技術的普及,并被逐漸的引入教學領域,使教育形式注入了新的活力,由原來的“以教為主”向“以學為主”的形式轉變,更加凸顯了個性化的教學模式。現代遠程教育是“以學為主”最具有代表性的一種教育形式,依靠學習者的學習動機和自主性完成整個教學活動,最大程度的發揮了學習者自主學習的能動性。
2.4知識共享
信息技術教育包括的內容有:信息知識、信息觀念、信息能力和信息道德等方面的內容[2],現代遠程教育是基于信息技術的教育。傳統教育中,教材是學習者最直接的學習資料,在學習內容的選擇上,總處于被動地位,即教材怎樣選,學生怎樣學。而在現代遠程教育中,學習者可通過網絡獲取有用的學習資源,如觀看一些名師專家的講座,或是學習網絡教程等,在學習內容的選擇上有很大的自主性。其次,各大高校在校園網站上都會開發精品課程,教師或學生都可通過網絡實現知識和資源共享。
3現代遠程教育在教學中的作用
3.1現代遠程教育有利于個性化學習
以學生為中心的個性化教與學是教育發展的必然趨勢,現代遠程教育的形式符合學習者自主學習的條件,在時間、地點、空間和內容選擇上給學習者提供了很大的自主性,學習者完全可以根據自身的情況和對知識的認知能力進行意義構建,極大地培養了學習者的自主學習能力。
3.2現代遠程教育有利于終身學習意識的構建
知識的快速更新,給社會中各個領域的人們提出了更高的要求,即建立一種終身學習的意識和觀念。學校教育只是一個人學習中的一個階段,在進入工作崗位后,在已有知識經驗基礎上需要不斷地擴充新的知識,才會適應信息時代社會的飛速發展。現代遠程教育為各類學習者的終身學習提供了學習的機會,是適應不同學習需要層次的一種新的教育模式。
3.3現代遠程教育對傳統教學具有輔助作用
新時代下的今天,現代遠程教育模式是在傳統教學基礎上適應時代的發展應運而生的,雖然現代遠程教育模式有諸多優于傳統教育模式的特點,但從系統方法論的角度來看,兩者之間并不是取代的關系,而是相互影響、結合,在教學中發揮更大的作用,且現代遠程教育對傳統教學具有輔助作用。
3.4現代遠程教育有助于教師專業化發展
遠程教育以課程資源的形式呈現給學習者,知識的傳播者仍然是教師,對于學習者來說,課程資源質量的高低直接影響學習者知識構建的效果,所以,這就對教師的教學能力和研究能力有了更高的要求。和傳統教學不同,遠程教育的學習者特征更加復雜,新形勢下的教育教學對教師的專業化發展提出更高的要求,教師的專業化發展,是每個教師自發的進行自我提高的過程。鼓勵教師開發遠程教育課程,對教師的內在的專業知識和技能的提高有很大的促進作用。
4運用現代遠程教育輔助學習,應注意的幾個問題
4.1課程高質量的保證
在遠程學習中,學習過程和自身情況充滿了很多的未知因素,課程資料是學習者通過遠程的方式學習和情感交流的唯一依據,課程質量的高低直接影響學習者學習的情緒和效果。如在學習網上教程時,由于視頻的不清晰或者其他原因,會降低學習者的學習興趣。所以,在上傳于征集遠程課程資料時,一定要經過嚴格的篩選,盡量給學習者提供高質量的課程,使遠程教育成為可能。
4.2教師難以適應現代信息技術
在遠程教育教學中,對教師的綜合素質能力提出更高的要求,需要掌握大量軟件技能以及相關理論知識。由于遠程教育對象復雜,決定了教師教學的特殊性。在我國的教師培訓中,注重的是教師的專業知識能力的培養,對其他專業特別是信息技術只是簡單的應用層次要求這就必然影響遠程教育質量的提高。所以,提高遠程教師素質,是現代遠程教育發展中不可或缺的一個重要環節。
4.3正確看待現代遠程教育
我國現代遠程教育還處于發展階段,內容、設施和評價機制等都還不成熟,有待進一步的發展和完善。但現代遠程教育給社會所有學習者帶來的知識信息化是不容忽視的,學習者在通過遠程教育進行學習時,一定要有正確的認識,在充分了解的基礎上選擇遠程學習,優化教與學的過程效果。
關鍵詞:組網;路由器;網卡;連接
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2009)26-7358-02
近年來,隨著計算機及其配件價格的不斷下降及網絡的日益普及,家庭組網已經成為一個非常實際的時尚話題。通過家庭組網,不僅可以節約開支,使很多硬件設備實現多機共享,充分利用已有的資源,使每臺計算機不再單獨工作,而成為一個整體存在。
1 選擇家庭網絡的類型
在組建家庭網絡時,用戶需要考慮選擇合適的操作系統及符合實際的組網結構。在選擇操作系統時,應考慮到現有操作系統與所選操作系統之間的接入是否方便及所選操作系統是否穩定、是否便于網絡連接、便于管理等問題。就目前較為常見的Windows 操作系統來說,用戶在機器硬件配置允許的情況下,可盡量選擇較高版本的操作系統。因為一般來說高版本的操作系統比低版本的操作系統更加穩定、網絡功能更加強大、管理和維護也更加方便。
在選擇組網結構時,用戶需要考慮所選的組網結構是否可以發揮網絡中計算機的最大功效,及是否便于連接、是否便于維護等問題。更重要的要經濟實惠。下面就幾種家庭常用的組網方案進行介紹。
方案1:兩臺計算機通過雙網卡共享連接
一個家庭只有兩臺電腦,則通常采用電纜直連方法。電纜又分好幾種,一種是雙絞線電纜;另一種是并行電纜;還有就是串行電纜。現在大多數都是使用雙絞線。一臺計算機需要安裝兩塊以太網卡,當然最好是現在主流的10/100Mbps快速以太網卡;一臺做為主機的計算機使用雙網卡,利用Internet共享上網。優點實施方便、省錢。具體實現方法如圖1所示。
1)需要三塊網卡、并且一臺電腦(A)的操作系統是WINXP否則需要軟件。
2)A電腦插上兩個網卡,B電腦一個網卡。
3)從寬帶貓出來的網線插入A電腦上的一塊網卡1上,另一塊網卡2用交叉線(雙絞線一頭的線序是白橙,橙,白綠,藍,白藍,綠,白棕,棕;而另一頭的線序是白綠,綠,白橙,藍,白藍,橙,白棕,棕。)與B電腦網卡相連。
4)設置兩臺電腦相連網卡的IP為同一網段,比如A:192.168.1.1、B:192.168. 1.2但不能與A電腦網卡1的IP在一個網段。
5)A電腦建立寬帶連接,并設為設為自動連接,最后進入網上鄰居,創建網絡連接,選擇家庭共享網絡就可以共享上網了,其實就是A相當于一臺服務器,電腦B通過A進行上網,因為xp系統自帶網絡橋功能,所以設置上很簡單。
6)這樣兩臺電腦可以同時上網,但只有A必須開機B電腦才能上網。
方案2:多臺計算機通過雙網卡+交換機共享連接
方案2和方案1非常相似,接線如圖2所示,主機A相當于服務器,設置方法和方案1一樣。利用Internet共享上網,別的計算機通過交換機來實現共享主機A同時上網,但主機A一旦關機的話所有的計算機就不能上網了。
方案3:多臺計算機通過路由器連接
首先要有一個以太網口的ADSL貓,將貓打開并將其用網線接入路由器的up端口(一般就是最左邊的那個,我還沒見過在右邊的),將電腦的網卡用網線接入路由器其他的端口。接線方法如圖3所示。
第一步:設置你的電腦的ip是192.168.1.2,另一臺設置為192.168.1.3這樣你就可以在網絡鄰居里找到他們了 前三位要和你的路由器的IP一致,后一位不是1就可以了,掩碼設置為255.255.255.0
第二步:設置路由器。在默認的情況下,路由器的IP地址為192.168.1.1,或(192.168.0.1)你可以翻閱路由器的使用說明書。打開IE瀏覽器在地址欄輸入192.168.1.1回車,一般的設置網面是需要使用用戶名和密碼的。默認用戶名是admin,默認密碼也是小寫字母admin。注意此用戶名和密碼不是在電信、網通公司的用戶名和密碼,而是路由器的用戶名和密碼。輸入正確后,才能進入路由器的設置頁面。找到連接類型選項,選擇PPPoE的單選項,此時頁面下部會展開PPPoE的設置。在PPPoE設置中設置好用戶名和口令,這里的用戶名和口令才是你在電信(或其它ISP商)的帳號和密碼,設置在這里是供ADSL在開機時自動撥號用的。設置自動分配IP地址功能即DHCP功能(可以不做,如果已經設置好的話) 在網絡上的每一臺電腦都有一個單獨的IP地址,在同一個網絡中,每臺電腦的IP地址是唯一的。通常我們上網時,電腦中設置的是自動獲取IP地址,也就是說,在該臺電腦接通網絡時,服務器就會自動分配一個唯一的IP地址給這臺電腦,但在一些局域網中,為了方便軟件通訊,采用固定IP地址的方式,也就是每臺電腦都有一個固定的IP地址,在同一網絡中不會出現完全相同的IP地址。如果你的網絡是采用前一種IP地址分配方式,就需要打開ADSL的自動分配IP地址服務功能,也就是設置DHCP。在DHCP頁面,選擇DHCP Server單選項就可以了。設置DNS 選擇DNS頁面,將電信公司(或其他ISP商)提供的DNS設置在ADSL中,一般情況下可設置成為202.101.224.68。保存設置 以上設置需要保存才能生效,選擇“保存”頁面,將設置的內容保存。然后關閉瀏覽器,同時關閉ADSL的電源。下次打開電源時,原先的設置就生效了。
第三步:修改電腦的設置 如果你選擇了DCHP功能,你就需要將剛才為了設置ADSL時修改的IP地址修改回來。將電腦的IP地址選擇為自動獲取IP地址,將ADSL的IP地址即192.168.1.1添加到網關中。
第四步:重啟電腦并打開ADSL和路由器的電源,你就可以隨意地上網瀏覽了。
安全提示:打開路由功能后,電信公司(或其他ISP商)為你提供的帳號和密碼均保存在路由器中,這樣就很容易被別人竊取。因此,最好在第二步保存設置之前,修改路由器的默認口令,以免被他人輕而易舉地進入你的路由器設置界面。
方案4:組建家庭無線網
組建一個家庭無線網絡需要兩個主要設備,第一個是無線路由器,另外一個則是連接在筆記本或臺式機上的無線網卡了。一般來說我們應該選擇54M的無線路由器, 另外無線網卡的接口也是根據自己筆記本和臺式機的需求決定的,一般臺式機選擇PCI接口的或者USB接口的無線網卡,而筆記本則采用PCMCIA接口或USB接口的產品。接線方法如圖4所示。
按照圖4所示的接線方法接好線后,安裝好無線網卡及驅動程序。就要配置無線路由器和設置無線網卡了,其實有線路由和無線路由的設置方法是一樣的,仿照方案3的設置步驟。不同的是在無線路由設置中必須開啟無線路由器的無線功能,設置頻道等,無線網卡也要設置和無線路由器一樣的頻段,這樣才能接收到信號。不過現在好多USB的無線網卡都是自動連接的,不需要設置頻段的,只要裝上驅動程序后設置IP地址就可以自動搜索無線連接。
2 幾種組網方案的比較
就以上介紹的四種家庭常用組網方案來說,方案1是最經濟的一種家庭組網方案,方案2適用于利用閑置的設備(交換機、集線器等,因為目前小型的路由器價格和交換機的價格相當)。方案1、2的缺點就是必須有服務器,當服務器關閉是其余的計算機無法上網的。家庭組網中比較常見的為方案3、4,因為它組成的是對等網,使用對等網不需要設置專門的服務器,即可實現與其他計算機共享應用程序、光驅、打印機、掃描儀等資源,而且對等網具有使用簡單、組建和維護較為容易的優點。但與方案1、2相比組網價格方面稍貴,設置起來比較麻煩。
參考文獻:
[1] 陳明.實用網絡教程[M].北京:清華大學出版社, 2006.
關鍵詞:稅收信息化;信息狀態安全;信息轉移安全;信息安全技術
中圖分類號:F810.42文獻標志碼:A文章編號:1673-291X(2008)13-0022-02
從三個方面來考慮:首先是信息狀態安全,即稅務系統安全,要防止稅務系統中心的數據被攻擊者破壞。稅務系統要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數據中心開放,這對稅務系統本身帶來了很大的風險。其次是信息轉移安全,即服務安全,如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保證稅務人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術進行研究。
一、信息狀態安全技術
信息狀態安全主要包括系統主機服務器安全、操作系統安全和數據庫安全三個方面。
(一)系統主機服務器安全(Server Security)
服務器是存儲數據、處理請求的核心,因此服務器的安全性尤為重要。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護,對非法接觸服務器配件具有一定的保護措施,比如加鎖或密碼開關設置等;同時,服務器需要支持大數據量及多線程存儲矩陣以滿足大數據量訪問的實時性和穩定性,不會因為大量的訪問導致服務器崩潰;服務器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統、數據備份功能,使得安裝在服務器上的操作系統和數據庫能夠在災難后得到備份恢復,保證服務器的不間斷運行;服務器設備配件的高質量及運行可靠性也是服務器安全的非常重要的一個方面,這直接關系到服務器不間斷運行的時間和網絡數據訪問的效率。
(二)操作系統安全(Operating System Security)
設置操作系統就像為構筑安全防范體系打好“地基”。
1.自主訪問控制(Discretionary Access Control,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實現完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統中。訪問控制矩陣中的每行表示一個主體,每列表示一個受保護的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細表,根據表中信息的不同可分為三種形式:(1)權力表(Capabilities List),它決定是否可對客體進行訪問以及可進行何種模式的訪問。(2)前綴表(Prefix List),它包括受保護客體名以及主體對客體的訪問權。(3)口令(Password),主體對客體進行訪問前,必須向稅務操作系統提供該客體的口令。對于口令的使用,建議實行相互制約式的雙人共管系統口令。
2.強制訪問控制(Mandatory Access Control,MAC)。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊,這就需要利用強制訪問控制來采取更強有力的訪問控制手段。在強制訪問控制中,稅務系統對主體和客體都分配一個特殊的一般不能更改的安全屬性,系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務系統一般可采取兩種強制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權系統的功能調用,該功能依據用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅。(2)限制編程。鑒于稅務系統僅需要進行事務處理,不需要任何編程的能力,可將用于應用開發的計算機系統分離出去,完全消除用戶的編程能力。
3.安全核技術(Security Kernel Technology)。安全核是構造高度安全的操作系統最常用的技術。該技術的理論基礎是:將與安全有關的軟件隔離在操作系統的一個可信核內,而操作系統的大部分軟件無須負責系統安全。稅務系統安全核技術要滿足三個原則:(1)完備性(Completeness),要求使主體必須通過引進監控器才能對客體進行訪問操作,并使硬件支持基于安全核的系統。(2)隔離性(Isolation),要求將安全核與外部系統很好的隔離起來,以防止進程對安全核的非法修改。(3)可驗證性(Verifiability),要求無論采用什么方法構造安全核,都必須保證對它的正確性可以進行某種驗證。
其他常見措施還有:信息加密、數字簽名、審計等,這些技術方法在數據庫安全等方面也可廣泛應用,我們將在下面介紹。
(三)數據庫安全(Database Security)
數據庫是信息化及很多應用系統的核心,其安全在整個信息系統中是最為關鍵的一環,所有的安全措施都是為了最終的數據庫上的數據的安全性。另外,根據稅務網絡信息系統中各種不同應用系統對各種機密、非機密信息訪問權限的要求,數據庫需要提供安全性控制的層次結構和有效的安全性控制策略。
數據庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設置的,真正做到了層層設防。第一層應該是注冊和用戶許可,保護對服務器的基本存取;第二層是存取控制,對不同用戶設定不同的權限,使數據庫得到最大限度的保護;第三層是增加限制數據存取的視圖和存儲過程,在數據庫與用戶之間建立一道屏障。基于上述數據庫層次結構的安全體系,稅務網絡信息系統需要設置對機密和非機密數據的訪問控制:(1)驗證(Authentication),保證只有授權的合法用戶才能注冊和訪問;(2)授權(Authorization),對不同的用戶訪問數據庫授予不同的權限;(3)審計(Auditing),對涉及數據庫安全的操作做一個完整的記錄,以備有違反數據庫安全規則的事件發生后能夠有效追查,再結合以報警(Alert)功能,將達到更好的效果。還可以使用數據庫本身提供的視圖和存儲過程對數據庫中的其他對象進行權限設定,這樣用戶只能取得對視圖和存儲過程的授權,而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數據列的種類。
二、信息轉移安全技術
信息轉移安全即網絡安全。為了達到保證網絡系統安全性的目的,安全系統應具有身份認證(Identification and Authentication);訪問控制(Access Control);可記賬性(Accountability);對象重用(Object Reuse);精確性(Accuracy);服務可用性(Availability of Services)等功能。
1.防火墻技術(Firewall Technology)
為保證信息安全,防止稅務系統數據受到破壞,常用防火墻來阻擋外界對稅務局數據中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護的企業內聯網與對公眾開放的網絡(如Internet)之間設立一道屏障,對所有要進入內聯網的信息進行分析或對訪問用戶進行認證,防止有害信息和來自外部的非法入侵進入受保護網,并且阻止內聯網本身某個節點上發生的非法操作以及有害數據向外部擴散,從而保護內部系統的安全。防火墻的實質是實施過濾技術的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可,常常將兩種防火墻結合使用,以互相補充,確保網絡的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時為用戶查殺病毒,保護系統。
2.信息加密技術(Information Encryption Technology)
信息加密包括密碼設計、密碼分析、密鑰管理、驗證等內容。利用加密技術可以把某些重要信息或數據從明文形式轉換成密文形式,經過線路傳送,到達目的端用戶再把密文還原成明文。對數據進行加密是防止信息泄露的有效手段。適當的增加密鑰的長度和更先進的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-key Cryptography),即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進行分組,然后逐組加密。而序列密碼把明文符號立即轉換為密文符號,運算速度更快,安全性更高。(2)公鑰加密體制(Public-key Cryptography),其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。
在傳輸過程中,只有稅務系統和認證中心(Authentication Center,AC)才有稅務系統的公開密鑰,只有納稅人和認證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經過加密后雙方的私有密鑰,也因為無法進行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。
3.信息認證技術(Information Authentication Technology)
數字簽名技術(Digital Signature Technology)。數字簽名可以證實信息發送者的身份以及信息的真實性,它具備不可偽造性、真實性、不可更改性和不可重復性四大特征。數字簽名是通過密碼算法對數據進行加密、解密交換實現的,其主要方式是:信息發送方首先通過運行散列函數,生成一個欲發送報文的信息摘要,然后用所持有的私鑰對這個信息的摘要進行加密以形成發送方的數字簽名,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。接收方在接收到信息后,首先運行和發送方相同的散列函數生成接收報文的信息摘要,然后再用發送方的公開密鑰對報文所附的數字簽名進行解密,產生原始報文的信息摘要,通過比較兩個信息摘要是否相同就可以確認發送方和報文的正確性。
完整性認證(Integrity Authentication)。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是:信息發送者在信息中加入一個認證碼,經加密后發送給接收者檢驗,接收者利用約定的算法對解密后的信息進行運算,將得到的認證碼與收到的認證碼進行比較,若兩者相等,則接收,否則拒絕接收。
4.防病毒技術(Anti-virus Technology)
病毒防范是計算機安全中最常見也是最容易被忽視的一環。我們建議采用由單機防毒和網絡防毒同時使用的這種防病毒措施,來最大限度地加強網絡端到端的防病毒架構,再加上防病毒制度與措施,就構成了一套完整的防病毒體系。
參考文獻:
[1] 楊懷則.稅收信息化建設存在的問題及建議[J].草原稅務,2002,(12):31-32.
[2] Andrew S. Tanenbaum,“Modern Operating Systems”,Prentice Hall,1992.
[3] 滕至陽.現代操作系統教程[M].北京:高等教育出版社,2000.
[4] 陸楠.現代網絡技術[M].西安:西安電子科技大學出版社,2003.
關鍵字:遠程教育,教學資源管理應用系統
DesignofTeachingResourcesManagementApplicationSystem
ShuaiFeishao
Huashi-hongdaInformationIndustryLimited.,Guangdong(future@)
Abstract:Withthegrowthoftechnologyinnetworkandeducation,tele-educationbasedonInternetisdevelopingrapidly.Itissosignificanttomanageandutilizetheteachingresourcesefficientlysinceconstructionofteachingresourcesisthecoreoftele-education.ThisarticleprovidesarudimentarydesignprojectofManagementofTeachingResourcesApplicationSystem.
Keywords:Tele-education,TeachingResourcesManagementApplicationSystem
(一)教學資源管理應用系統的重要性
計算機網絡的發展促使知識經濟迅速發展,打破了人類活動的時空障礙,使信息領域變得更為廣泛,空間與時間的阻隔在國際互聯網消失了。克服了時空障礙以后,遠程教育打開了新的一頁。遠程教育以現代化的信息技術為手段,以適合遠程傳輸和交互學習的教育軟件為教材,建立起一個現代化教育的新模式。
遠程教育的核心是教學資源建設。教學資源建設可以分為四個層次:(1)素材類教學資源建設,包括題庫,素材庫,課件庫和案例庫;(2)網絡課程庫建設;(3)教育資源管理系統的開發;(4)通用遠程教學系統支持平臺的開發。
適于遠程教育的教學資源有
(1)媒體素材:包括文本素材,圖象素材,音頻素材,視頻素材,動畫素材;
(2)題庫:按一定學科的知識結構組織起來的試題的集合和相應的統計分析工具;
(3)網絡課件庫:按一定知識點組織起來的自成體系又能獨立使用,有利與輔助教師教學,學生學習和擴展學生興趣的參考資料或適于網絡運行的課件;
(4)網絡課程庫:按學科課程的知識結構組織起來的,涵蓋學科課程內容領域的,能自成體系的教學軟件。
這些教學資源都要能在標準的瀏覽器運行,才能符合利用網絡的遠程教育的需求。
教學資源和相關系統在教學中的地位和關系如下圖:
教學資源建設是教育信息化的基礎,需要長期的建設和維護。由于教學資源的內容豐富多彩,形式多種多樣,使人們對它的理解各不相同,會出現大量不同層次、不同屬性的教學資源,所以一個高效的教學資源管理應用系統,是現代遠程教育系統中一個重要的,必不可少的基礎系統。
遠程教育中的教學資源管理應用系統要能夠將多種形式的教學資源有層次,有組織,科學地組織起來,并提供一個易用,快捷的應用平臺,才能發揮教學資源的長處,讓教學資源成為更有效地為教學服務。
(二)教學資源管理應用系統的設計原則
1.可靠性
教學資源的高可用性對遠程教育來說是至關重要的,加上教學資源的龐大數量,系統必須采用性能優越的,大型商業數據庫系統。這樣有利于提高大批量數據的吞吐時間,使整個系統管理規范化;而且隨著數據庫的增大和操作擴展到一天24小時、一周7天,能夠執行備份操作而不影響系統的正常運轉。此外,在災難性故障發生后能夠還原數據庫,能在最短時間內還原它,使數據的完整性、安全性得到保障。
2.靈活性
素材的管理在數據管理方面應具備較大的伸縮性,它可以集中管理遠程教育工程中的所有素材,也可以將素材按類型或學科劃分開來,單獨進行管理。系統還應提供接口,可以把多種渠道收集的教學資源納入系統的管理之中
3.開放性
遠程教學所涉及的行業范圍大,學習者的數量多,教學內容的形態需求復雜,這就要求系統具有完全的開放性,能夠容納各種形態的網上教學內容,不能僅僅限于支持某些專用工具開發的教學內容,不能只是支持某些文件格式。系統要支持開放的文件存儲格式,能管理所有能夠在網上運行(包括需要插件的文件)的課程內容與文件格式,不對教學資源作限定要求。
系統軟件體系結構采用瀏覽器/服務器的網絡模式,系統服務器采用可擴展的分布式多服務器計算模式,采用分模塊層次結構,多模塊分立,允許系統分布式并行處理提高系統的工作效率。各功能模塊是普通的網絡程序,建立在開放的網絡標準之上,遵循HTTP,FTP,XML等普通網絡協議和數據格式進行消息處理和數據交換。
4.安全性
由于遠程教育的應用系統是運行在互聯網上的,是遠程的,開放的,所以安全性顯得尤為重要。無論是遠程訪問會話中傳輸的信息、分支網絡連接中傳輸的信息,還是內部網絡中傳輸的信息;保護用戶信息不被泄漏和限制不同權限用戶對各種層次的信息的訪問等;提供高效的安全解決方案都是必須的。安全性包括保密、完整性保護、身份驗證、授權和預防重播。可以使用網絡加密保護,用來幫助盡可能地減少在公用網絡和專用網絡上傳輸敏感信息所帶有的風險;和權限限制等。
(三)教學資源管理應用系統的功能設計
遠程教育的教學資源管理系統要實現以下功能:
1.教學資源的搜索
遠程教育在互聯網上的資源的數量是驚人的,系統必須提供高效的搜索策略和協議,讓教師和學生能在茫茫的信息海洋中方便快捷地搜索到自己想要的資源。系統要提供功能強大的搜索引擎,課件目錄樹的生成與動態修改機制,網絡課件軟件庫,教學資源元件庫的查詢,并且能自動搜尋相關的教育研究站點,擴充搜索數據庫;能支持全文檢索和多種文檔類型的檢索。
2.教學資源的編著
學生是學習的主體,教師是教學活動的主導。要發揮這兩個主體的能動性,學生或教師必須能對互聯網上下載豐富多樣的教學資源進行編著和組織,把任何對教學有幫助的資源收為己用。系統必須能把任何教學資源方便地錄入,修改;提供對包括各種文本素材,圖象素材,音頻素材,視頻素材,動畫素材等教學元件和題庫,網絡課程庫等的編輯,剪輯,制作,預覽等功能。還可以從系統已整理的教學資源中檢索出有用的素材,根據需求進行完善提高后,再追加為更新的教學資源。
3.教學資源的管理
由于互聯網克服了時空障礙,因此遠程教育中可以利用的教學資源是無窮無盡的,如果沒有一種科學的管理方法,人們就會很快被海量的信息淹沒。在接收到大量信息的時候,必須要用合適的方法對得到的各種信息進行過濾、分析、處理,保留有用的,去除無用的。因此,系統必須提供能有效管理大量教學資源管理工具。各種遠程的或本地的媒體素材,題庫和網絡教程等必須按科學的,專業的方法分門別類,統一管理。
4.教學資源的組織運用
有效運用收集到的教學資源也是教學資源管理應用系統的關鍵。教師將教學資源運用到教學中,學生將教學資源運用到學習中。教師可以根據教學需要,在備課時在教學資源應用系統中選擇出各種形式的教學資源,靈活組織和編排,形成具有教學個性的課件,可以讓教師在授課時充分發揮自己的教學特點。學生也可以根據學習的需要,選出自己需要的教學資源,輔助學習,發揮主動學習的能動性。
(四)教學資源管理應用系統模塊設計
系統的功能模塊結構圖
(1)資源檢索
系統提供一個檢索工具,可以檢索系統數據庫內的資源,可以從多種角度,用多種形式查詢,提供模糊查詢和精確查詢的手段,檢索出來的資源可以編輯和添加到應用序列中。并提供一個接口,當用戶要在互聯網上尋找資源的時候,可以使用互聯網上的搜索引擎,本根據需要,將搜索結果擴充到系統的數據庫中。
(2)資源管理
資源的屬性有:資源的名稱,編號,類型,學科,專業,適用對象,來源,簡介,關鍵字和存放位置。系統會將資源的這些相關屬性記錄在系統數據庫中,并會在使用時按要求動態生成樹形目錄索引,方便使用。
系統提供了3種方法管理資源:按資源的類型,按資源內容所屬的學科,按使用者自定義的主題管理。使用者可以選擇一種或使用多種方法來管理收集到的教學資源。
系統提供了與其他編輯軟件的接口,對不同類型的資源調用相關的外部編輯程序,使用者也可以自己選擇編輯程序來對資源進行剪輯、制作和修改。
(4)資源組織
使用者可以按需要將各種的資源組成一定的播放序列,將這個播放序列保存起來,以便需要的時候可以隨時播放這些教學資源。
(5)資源播放
在瀏覽器中播放已經編輯組織好的教學資源序列,可以設置播放的次數和播放的形式:連續播放,手動播放等。還可以使用"小黑板"播放方式,方便課堂教學。
(6)系統管理
對系統相關用戶信息的管理。系統提供用戶認證功能,用戶通過輸入相應的口令來驗證自己的身份。通過認證的用戶才能使用上面的各項功能;不同等級的用戶對不同類型的教學資料具有相應的瀏覽、添加、修改和刪除功能。
(五)小結
基于以上的設計方案,我們開發了一個這樣的系統:
系統建立在HTTP和XML等開放的網絡標準之上的,適于運行在互聯網Internet或內部網Intranet上的,易于使用的網絡應用程序。采用瀏覽器/服務器(B/S)模式,使開發出來的系統可以遠程使用。在硬件環境和系統軟件方面,用戶運行環境為支持中文的netscape4.0版本或以上,或IE4.0版本或以上。服務器端采用微軟系列平臺:microsoftbackofficeserver,使用microsoftsiteserver開發工具。
系統的表示層用WEB方式實現,遵循開放的網絡標準協議;事務邏輯層用COM實現,以提高系統的性能,安全性和開發效率;數據要用商業數據庫系統:SQLSERVER,以提高數據可用的效率和數據的完整性。
關鍵詞:RSA;數字簽名
中圖分類號:TP309文獻標識碼:A文章編號:1009-3044(2008)15-21048-02
Discussed Shallowly how to Carry on Digital Signature Using the RSA Algorithm
LI Chun-mei
(Anhui Xinhua University,Hefei 230088,China)
Abstract:The article introduced the RSA algorithm's basic principle, proposed in the RSA algorithm the data piecemeal's essential method, has analyzed the RSA digital signature algorithm basic idea, gave has carried on digital signature using the RSA algorithm the step as well as carries on confirmation the step.
Key words:RSA;Digital signature
1 引言
數字簽名是目前電子商務、電子政務中應用最普遍、技術最成熟的、可操作性最強的一種電子簽名方法。它采用了規范化的程序和科學化的方法,用于鑒定簽名人的身份以及對一項電子數據內容的認可。它通過將原始信息進行散列函數(哈希函數,Hash Function)運算,并將得到的結果使用密鑰進行加密,從而得到數字簽名值。其依據是在使用安全的哈希函數(單向哈希函數)的情形下,要想從已知的哈希函數結果中推導出原信息來,實際上是不可能的,因此,數字簽名可以在更少且可預見的數據量上進行運算,生成數字簽名,卻保持與原信息內容之間的高度相關,有效的保證了其完整性、真實性和不可抵賴性的特點。
基于公鑰密碼體制和私鑰密碼體制都可以獲得數字簽名,目前主要是基于公鑰密碼體制的數字簽名,包括普通數字簽名和特殊數字簽名。普通數字簽名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir數字簽名算法、Des/DSA,橢圓曲線數字簽名算法和有限自動機數字簽名算法等。特殊數字簽名有盲簽名、簽名、群簽名、不可否認簽名、公平盲簽名、門限簽名、具有消息恢復功能的簽名等,它與具體應用環境密切相關。其中RSA算法是一種公認十分安全的算法,而且是目前網絡上進行保密通信和數字簽名的最有效的安全算法。
2 RSA簽名算法的確定
RSA算法所根據的原理是:根據數論,尋求兩個大素數比較簡單,而將它們的乘積分解開則及其困難。在這一體制中,密鑰分為兩種:加密密鑰PK={e,n}和解密密鑰SK={d,n}。
其中的加密密鑰PK是公開的,使得其他人可以使用,而對解密密鑰中的d則保密。這里,n為兩個大素數p和q的乘積(素數p和q一般為100位以上的十進制數),e和d滿足一定的關系,在已知e和n的情況下不能求出d。
下面是密鑰產生的過程:
(1)計算n。秘密選擇兩個大素數p和q,計算出n=p*q。n成為RSA算法的模。
(2)計算Φ(n)。再計算出n的歐拉函數Φ(n)=(p-1)(q-1),Φ(n)定義為不超過n并于n互素的數的個數。
(3)選擇e。從[0,Φ(n)-1]中選擇一個與Φ(n)互素的數e作為公開的加密指數。
(4)計算d。計算出滿足下式的d:e*d=1 mod Φ(n),d作為解密指數。
(5)得出所需要的公開密鑰和秘密密鑰:
公開密鑰(即加密密鑰)PK={e,n}
秘密密鑰(即解密密鑰)SK={d,n}
RSA的加解密算法是一樣的,公式如下:Y=Xa mod n (公式一)
當進行加密操作時,令a=e,則Y是X加密后的密文。當進行解密操作時,令a=d,則Y是將X解密后的原文。則該算法也可標識為:
Y=PowerMod(X,a,n) (公式二)
其中:X待操作的對象,a為運算指數,n為模,Y為操作結果,PowerMod則為Xa mod n。
由此,可得到RSA加密和解密的算法如下:
加密算法 EPK(X)=PowerMod(X,e,n) PK={e,n} (公式三)
解密算法 DSK(X)=PowerMod(X,d,n) SK={d,n} (公式四)
其中: DSK(EPK(X))=X (公式五)
這里的X只是表示不大于n的整數。當X大于n時,就要將X分塊,使得每塊的長度一致且其值均不大于n,對于整數,顯然是無法分塊的,這就需要先對X進行編碼。編碼的基本要求是將X分塊,每塊是一個8位字節串EB,由塊標記BT,填充塊PS和數據D組成。
EB = 00 || BT || PS || 00 || D(等式一)
塊標記BT是一個標記字節,表示加密塊的結構。它有00,01,或02值。私鑰操作為00,或01;公鑰操作為02。填充串PS為k-3-||D||(D的字節長度)長的8位字節字符串。對于00型,填充串為00;對于01型,填充串為ff;對于02型,填充串為假散列生成的非0值。這使得加密塊EB的長度為k(模n的長度)。其中開始的00值字節保證了轉化成整數后的分塊小于模數n。
其中需要注意的地方如下:
對于00型(BT=00)來說,數據D必須以一個非0字節開始,或是必須知道長度,以便塊能被清楚的解析(EB中粗體部分)。對于01和02型來說,塊能被清楚的解析,這是因為填充塊PS不包含00值字節,它可以被一個00值字節從數據D分開。
01型被推薦為私鑰操作標志。
對于02類型來說,建議為每一個加密過程都獨立生成假散列字節,特別是如果相同的數據被輸入多于一個的加密過程。
對于01和02類型來說,填充串至少是8個字節長,為了防止攻擊者通過測試所有可能的加密塊來恢復數據。
上面的加密和解密算法適用的環境是他人通過PK將信息進行加密傳送給擁有SK者,擁有SK者在用SK進行解密,得到原始信息,這樣可防止其他人竊取信息。但是在數字簽名中卻不適用,因為數字簽名的過程正好相反,要求是擁有SK者先將信息進行加密,其他人在通過PK進行簽名驗證,那么該如何處理呢?
考慮這樣一個公式: EPK(DSK(X))=X(公式六)
這個公式看起來和上面的加密公式(公式五)很相似,只不過把加密和解密的過程換了個順序,但是滿足了數字簽名的要求,為什么呢?從公式二、公式三和公式四可知,E(加密)和D(解密)算法沒什么區別,只是參數不同而已,如果把參數互換一下,則可得到下面的公式:
加密算法 ESK(X) =PowerMod(X,d,n) SK={d,n}(公式七)
解密算法 DPK(X)=PowerMod(X,e,n) PK={e,n} (公式八)
其中: DPK(ESK(X))=X(公式九)
很顯然,公式九就是需要的數字簽名的算法。
3 數字簽名的流程
對于給定的原始數據,有時有可能比較大,而且RSA處理又是很慢,如果直接加密的話很是浪費時間,所以為了節省處理時間,在數字簽名時一般不通過直接加密原始數據而得到簽名值,而是先對原始數據進行散列化(單向散列),然后對散列的結果進行加密。這樣便得到了數字簽名的4個基本步驟:
3.1 第一步:消息散列
對于有效的散列算法,一般選擇MD2,MD4,MD5,SHA(SHA1)等算法,其中MD系列散列算法產生32字節的摘要信息,SHA系列算法產生40字節的摘要信息(散列的結果越長,越不容易被偽造)。可以任意選擇一種算法對消息M進行處理,進而得到M的散列信息MD,即消息散列。
3.2 第二步:數據編碼
如果直接對第一步得到的MD進行加密不就生成數字簽名信息了嗎?為什么還要有數據編碼的步驟呢?這個問題在第一步中就可以得到答案。
在第一步中提到有很多種散列算法都可以生成有效的摘要信息,這些算法生成的摘要信息均不包含散列算法信息,這就給接收者進行數字簽名驗證帶來了很大的麻煩,會因為無法得知發送方的散列方法而無法對接收到的數字簽名信息進行驗證,這時,就要求發送方在生成數據摘要時提供所使用的散列算法,以滿足接收者進行簽名驗證的需要。所以把散列算法和散列結果組合在一起,作為一個數據摘要完整的整體,這就是數據編碼過程所要完成的工作。
一般情況下,把消息散列MD和消息散列算法標識符組成下面所描述的ASN.1類型DigestInfo的值,此類型將通過BER編碼來生成一個8位字節串D,即原始數據。
DigestInfo ::= SEQUENCE {
digestAlgorithm DigestAlgorithmIdentifier,/* 散列函數標識編碼 */
digest Digest/*消息散列MD */
}
DigestAlgorithmIdentifier ::= AlgorithmIdentifier
Digest ::= OCTET STRING
類型DigestInfo的域有下列含義:
digestAlgorithm表示用于散列的算法(以及相關參數)。它標識了所選的散列算法:MD2、MD4、MD5或SHA等。作為參考,以下是部分相關的對象標識符:
md2 OBJECT IDENTIFIER ::={ iso(1) member-body(2) US(840) rsadsi(113549)digestAlgorithm(2) 2 }
md4 OBJECT IDENTIFIER ::={ iso(1) member-body(2) US(840) rsadsi(113549)digestAlgorithm(2) 4 }
md5 OBJECT IDENTIFIER ::={ iso(1) member-body(2) US(840) rsadsi(113549)digestAlgorithm(2) 5 }
sha-1 OBJECT IDENTIFIER ::= {iso(1) identified-organization(3) oiw(14) secsig(3) algorithm(2) 26}
對這些對象標識符來說,散列算法的參數域是空(散列函數除消息M外無其他參數)。
digest是消息散列過程的結果,例如消息散列MD。
具體編碼方法可參考ASN.1相關標準。
3.3 第三步:RSA私鑰加密
為了安全起見,數字簽名所使用的RSA的密鑰長度(n的長度)最少選擇1024位(轉換成二進制為128個字節),長度遠遠大于MD編碼后的字符串D。D被簽名者采用公式七進行加密,生成一個8位字節串ED,其塊標記為01(見1節)。
3.4 第四步:字節串到位串的轉換
第三步中加密的結果ED是一個8位字節串,而簽名值是個位串,簽名驗證時是一位一位進行驗證的,所以要將ED轉換成一個位串S,即簽名值 。具體來說,ED的第一個字節的第一位成為S的第一個數據位,以此類推,直到ED的最后一個字節的最后一位,它將變成S的最后一個數據位。實際上就是取ED的二進制編碼。
注意:簽名S的位長度是8的倍數(是字節串的二進制表示)。
4 數字簽名的驗證
驗證過程同樣包括四個步驟:位串到字節串的轉換,RSA公鑰解密,BER數據解碼得到解密后的散列值,最后與原始數據散列值進行比較,若每一位都相同則驗證通過,否則驗證失敗。
4.1 位串到字節串的轉換
簽名S被轉換成字節串ED,即被加密的數據。具體來說,假設S的位長度是8的倍數,S的第一位將變成字節串的第一個字節的第一位,以此類推,直到簽名的最后一位變成字節串的最后一個字節的最后一位。如果簽名的位長度不是8的倍數,則是錯誤。
4.2 RSA解密
采用公式八使用簽名者的公鑰對被加密數據ED進行解密,得到字節串EB,然后根據等式一進行解析,得出塊標記BT,填充塊PS和原始數據D。如果有下列情況發生,則為錯誤:
BT標記不是01(私鑰加密,BT應該為01)。
填充塊PS少于8字節,或是和塊標記BT不匹配。
4.3 數據解碼
將原始數據D是DigestInfo 類型的ASN.1編碼結構,將D進行BER解碼,得到分成消息散列MD和消息散列算法標識符。消息散列算法標識符決定了下一步所選的消息散列算法。如果消息散列算法標識符不是MD2,MD4,MD5或SHA(SHA1)消息散列算法,則為錯誤。
4.4 消息散列和比較
使用所選的消息散列算法對收到的消息M進行散列,得到字節串MD’。如果MD`和MD完全相同,則表示驗證成功,否則為失敗。
5 結束語
在實際應用中,進行數字簽名的RSA中的模n一般都要求1024位或2048位,這在常用的編程軟件中都是很難處理的。因為在常用的編程軟件中整數最大只支持到64位,也就是說n≤2^64,遠遠滿足不了要。但是,如果把大數換算成其他x進制的數(比如2^16進制、2^30進制等),用長度為x的無符號長整型數組來存儲每一“位”x進制的數,這樣每一“位”x進制的數就可以表示0~2^x之間的整數,保證2個x進制的數進行任何運算都不會出現溢出,處理好這個x進制數的相關運算(加、減、乘、除、冪等)后就可以自己編寫滿足數字簽名要求的RSA算法了。
參考文獻:
[1] 謝希仁.計算機網絡教程[M].北京:人民郵電出版社,2004.
[2] RFC2313-1998 PKCS #1:RSA Encryption Version 1.5[S].
