保定師范專科學(xué)校涿州分校 孟文娜

一、關(guān)于應(yīng)用業(yè)務(wù)終端連接方式

用戶連接系統(tǒng)，可以采取多種終端的連接部署形式。常見(jiàn)的終端線路部署形式分為獨(dú)立終端線路連接和共享終端線路連接。

獨(dú)立終端線路連接是指使用單獨(dú)的終端線路連接特定的用戶和系統(tǒng)。使用獨(dú)立的終端線路連接系統(tǒng)。性能好，安全性高。但是成本也較高?，F(xiàn)在一般只在特殊業(yè)務(wù)中使用。

共享終端線路的連接是指多個(gè)用戶共享統(tǒng)一終端線路或共享統(tǒng)一主干線路的連接形式。目前大多的用戶連接，都采用共享方式的終端線路。共享終端線路可以提高線路利用率，降低部署成本。在大多情況下應(yīng)用業(yè)務(wù)中被廣泛使用。由于此類終端線路，需要多用戶共享使用。設(shè)計(jì)時(shí)應(yīng)注意考慮解決共享沖突的發(fā)生，提高線路利用率以及如何保障安全等多種問(wèn)題。此類技術(shù)經(jīng)過(guò)多年來(lái)的不斷發(fā)展已經(jīng)比較成熟，在實(shí)際案例中廣泛應(yīng)用。

二、應(yīng)用業(yè)務(wù)連接的工作模式

1.廣播模式

在傳統(tǒng)網(wǎng)絡(luò)中，用戶連接常使用廣播模式，比較典型的如基于以太網(wǎng)的連接實(shí)現(xiàn)。終端在網(wǎng)絡(luò)中廣播消息，發(fā)現(xiàn)系統(tǒng)并連接。采用廣播模式，使其連接的實(shí)現(xiàn)較為簡(jiǎn)單。服務(wù)端維持連接的資源開(kāi)銷相對(duì)較小。安全方面的存在一定挑戰(zhàn)。例如arp下身份冒用等。且其難以在廣域網(wǎng)中實(shí)現(xiàn)。

2.單純的點(diǎn)對(duì)點(diǎn)模式

單純的點(diǎn)對(duì)點(diǎn)連接模式是指單純通過(guò)點(diǎn)對(duì)點(diǎn)協(xié)議直接連接至系統(tǒng)的接入方式。在一定安全機(jī)制的輔助下，連接的安全性有所提高。適合于廣域網(wǎng)的連接。服務(wù)提供方負(fù)荷也相對(duì)較小。

3.隧道模式

隧道(Tunnelling)模式是指的利用網(wǎng)絡(luò)隧道協(xié)議來(lái)實(shí)現(xiàn)終端的連接。隧道技術(shù)主要涉及了三種協(xié)議，即隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。

常見(jiàn)隧道協(xié)議有兩種類型，一種是二層隧道協(xié)議三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議。二層協(xié)議主要有L2F、PPTP、L2TP三層協(xié)議主要有VTP、IPSec等。

雖然隧道連接技術(shù)對(duì)系統(tǒng)的開(kāi)銷相對(duì)較大。但其優(yōu)異的安全性和可靠性以及靈活控制策略越來(lái)越成為當(dāng)前系統(tǒng)連接模式的首選。

三、連接的設(shè)計(jì)與管理

A.認(rèn)證機(jī)制

用戶連接應(yīng)以科學(xué)，完善用戶認(rèn)證機(jī)制為前提保障。這些機(jī)制包括合理，高效，安全的用戶數(shù)據(jù)庫(kù)管理。用戶鑒別的反欺騙，反侵入策略等?？茖W(xué)的用戶管理是業(yè)務(wù)使用權(quán)限和工作視圖的依據(jù)。也是系統(tǒng)提供連接質(zhì)量分類的依據(jù)。

B.連接質(zhì)量

根據(jù)用戶規(guī)劃提供給用戶不同的連接服務(wù)。例如按用戶等級(jí)提供不同的連接速率，不同級(jí)別提供分級(jí)的安全保障，連接沖突時(shí)采取的服務(wù)優(yōu)先等級(jí)等。連接服務(wù)的行為控制策略對(duì)連接的行為控制是非常重要的。

C.連接的安全性

（1）物理安全

終端線路的物理安全，對(duì)連接的安全性，可靠性非常重要。終端線路的部署應(yīng)做到防雷，防震，安全可靠。應(yīng)采用科學(xué)的綜合布線方法。統(tǒng)一規(guī)劃，嚴(yán)格施工。規(guī)劃施工中做到，清晰準(zhǔn)確，因地制宜。避免隨意草率的線路布置。建設(shè)合理適應(yīng)的線路環(huán)境，防止環(huán)境因素對(duì)線路穩(wěn)定性的影響。關(guān)鍵領(lǐng)域可考慮屏蔽設(shè)施，阻止電磁泄露，造成安全上的隱患。

（2）信息安全

安全的內(nèi)容：

保證數(shù)據(jù)的機(jī)密性，防止信息竊取。加密措施不力，數(shù)據(jù)信傳送過(guò)程中，竊聽(tīng)者截獲傳送的數(shù)據(jù)信息，造成網(wǎng)上傳輸信息泄露。防止身份的假冒，因?yàn)檎J(rèn)證機(jī)制的漏洞，造成攻擊方假冒身份與連接方連接。使得數(shù)據(jù)遭到泄露和破壞。防止信息的篡改，當(dāng)入侵者截獲傳送的數(shù)據(jù)信息以后。篡改數(shù)據(jù)并采用重放的手段。把篡改后的數(shù)據(jù)發(fā)送出去。造成數(shù)據(jù)安全的破壞。防止連接惡意破壞活動(dòng)，入侵者惡意破壞正常的通信。造成拒絕連接，服務(wù)超限等網(wǎng)絡(luò)故障。

幾種常見(jiàn)的安全協(xié)議：

關(guān)于Ssl：

SsL(Secure Sockets Layer安全套接層下一代傳輸層安全設(shè)計(jì)“傳輸層安全”（Transport Layer Security，TLS）)是為網(wǎng)絡(luò)通信傳輸提供數(shù)據(jù)安全以及數(shù)據(jù)完整性保護(hù)的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。

SSL協(xié)議設(shè)計(jì)在TCP/IP協(xié)議（傳輸層/網(wǎng)絡(luò)層）與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)信息通訊提供著安全支持保障。SSL協(xié)議被設(shè)計(jì)為為兩層：

SSL Record Protocol（SSL記錄協(xié)議）：是建立在可靠的傳輸協(xié)議（如TCP協(xié)議）之上，為高層協(xié)議提供了數(shù)據(jù)壓縮、封裝、加密等各種功能的支持。

SSL Handshake Protocol（SSL握手協(xié)議）：它建立在SSL Record Protocol之上，作為實(shí)際的數(shù)據(jù)傳輸開(kāi)始前的準(zhǔn)備工作。如通訊雙方的身份認(rèn)證、加密算法協(xié)商、加密密鑰交換等等。

Secure Sockets Layer協(xié)議提供的服務(wù)主要包括：

a.對(duì)通訊數(shù)據(jù)加密以防止數(shù)據(jù)被監(jiān)聽(tīng)或竊取。

b.保障通訊數(shù)據(jù)的完整性，確保數(shù)通訊據(jù)在傳輸過(guò)程中不被篡改。

c.對(duì)通訊雙方認(rèn)證。識(shí)別通訊雙方的身份。

關(guān)于Ipsec：

IPSec基于第三層的端對(duì)端安全模式，在雙方ip地址之間建立信任，保證通信的安全。

IPSec給出了應(yīng)用于第三層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，其中主要包括Authentication Header（AH網(wǎng)絡(luò)認(rèn)證協(xié)議）、Encapsulating Security Payload（ESP封裝安全載荷協(xié)議）、Internet Key Exchange（IKE密鑰管理協(xié)議）和網(wǎng)絡(luò)認(rèn)證及加解密所需要的一些算法等。

IPSec向上提供了訪問(wèn)控制，數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。它規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議。并確定安全算法和密鑰交換。

（3）應(yīng)用業(yè)務(wù)的連接網(wǎng)關(guān)

連接網(wǎng)關(guān)是指連接服務(wù)的獨(dú)立部署。一般是由一個(gè)獨(dú)立的，專門的連接服務(wù)器實(shí)現(xiàn)，提供網(wǎng)絡(luò)各層的連接服務(wù)。每個(gè)終端統(tǒng)一連接到連接網(wǎng)關(guān)。由連接網(wǎng)關(guān)完成所有連接服務(wù)的控制和管理。連接網(wǎng)關(guān)隔離應(yīng)用系統(tǒng)和終端的直接聯(lián)絡(luò)。這樣的部署方式，可能會(huì)造成應(yīng)用系統(tǒng)的系統(tǒng)開(kāi)銷增大。但這樣部署大大的提高了連接的安全性。將非法侵入和攻擊的連接屏蔽在系統(tǒng)服務(wù)之外。而且還可以靈活的管理終端連接的各種請(qǐng)求和行為。

四、應(yīng)用業(yè)務(wù)用戶連接的部署

1.應(yīng)用業(yè)務(wù)終端連接的部署

在依據(jù)終端部署各種相關(guān)標(biāo)準(zhǔn)的同時(shí)，終端的部署應(yīng)注意幾個(gè)原則。

第一是標(biāo)準(zhǔn)化與個(gè)性化相協(xié)調(diào)的原則。標(biāo)準(zhǔn)化的終端可以提供給用戶熟悉的人機(jī)對(duì)話環(huán)境。提高用戶的工作效率。而個(gè)性化的終端設(shè)計(jì)能提供給用戶良好的使用體驗(yàn)。激發(fā)用戶的使用興趣。所以在部署時(shí)應(yīng)注意兩者的相互結(jié)合。既要使得采用標(biāo)準(zhǔn)化使得用戶們?nèi)菀咨鲜郑植扇€(gè)性化要給用戶以多種的使用選擇。

第二應(yīng)注意終端支持的廣泛化的原則。目前桌面級(jí)終端產(chǎn)品日益增加。其發(fā)展也呈現(xiàn)多樣化的趨勢(shì)。例如，我們常見(jiàn)到的終端既有pc機(jī)又有蘋果機(jī)。甚至現(xiàn)在流行的平板電腦。手機(jī)等等各種移動(dòng)設(shè)備。終端市場(chǎng)越來(lái)越細(xì)化。我們?cè)诮K端設(shè)計(jì)時(shí)應(yīng)充分考慮其對(duì)市場(chǎng)的廣泛支持。終端的跨平臺(tái)設(shè)計(jì)對(duì)系統(tǒng)的架構(gòu)來(lái)講已經(jīng)變得越來(lái)越重要。

2.應(yīng)用系統(tǒng)中連接服務(wù)器的部署

獨(dú)立的專門的連接服務(wù)器設(shè)計(jì)在某些系統(tǒng)中是非常必要的。隨著集群技術(shù)，虛擬化技術(shù)應(yīng)用的日益廣泛。連接服務(wù)器的部署實(shí)現(xiàn)也表現(xiàn)的越來(lái)越靈活。特別云計(jì)算的出現(xiàn)后，業(yè)務(wù)使用可以在集群中彈性的分配。這種形式下采用獨(dú)立部署連接服務(wù)，實(shí)現(xiàn)連接與應(yīng)用業(yè)務(wù)的高度解耦勢(shì)在必行。

連接服務(wù)器部署時(shí)，需要注意接入和業(yè)務(wù)充分隔離。這樣才能充分保證終端連接的安全性。連接服務(wù)器部署也可采取集群模式。這樣可以保證其軟硬件科學(xué)部署與擴(kuò)展，也大大的削弱了連接服務(wù)的瓶頸依賴。維持連接需要消耗大量的資源，在部署連接服務(wù)器時(shí)應(yīng)予充分考慮。分配足夠的計(jì)算能力和主存容量。

3.連接安全性的設(shè)計(jì)與部署

連接的安全部署，應(yīng)遵循信息系統(tǒng)安全標(biāo)準(zhǔn)嚴(yán)格實(shí)施。安全技術(shù)的選擇上IPSec是一個(gè)標(biāo)準(zhǔn)的第三層安全協(xié)議，它是在隧道外面再封裝，保證了在傳輸過(guò)程中的安全。IPSec的主要特征在于它可以對(duì)所有IP級(jí)的通信進(jìn)行加密。Ssl的安全機(jī)制是位于網(wǎng)絡(luò)傳輸層和應(yīng)用層之間。一般作為資源訪問(wèn)的安全控制。使用時(shí)應(yīng)附加在其他連接機(jī)制上。保證連接的安全。兩種安全技術(shù)各有特點(diǎn)。從目前看IPSec對(duì)VPN而言仍是重要的隧道和加密技術(shù)。但ssl技術(shù)發(fā)展的迅速。特別是降低部署成本、減小對(duì)日常性支持和管理等特性。對(duì)用戶有著很大吸引力。應(yīng)根據(jù)具體的系統(tǒng)要求選擇部署相適應(yīng)的技術(shù)。

五、應(yīng)用業(yè)務(wù)連接質(zhì)量的評(píng)價(jià)

對(duì)于連接質(zhì)量的評(píng)價(jià)首先要科學(xué)的選擇或設(shè)計(jì)出合理的評(píng)價(jià)模型。在選擇和設(shè)計(jì)評(píng)價(jià)模型時(shí)應(yīng)對(duì)系統(tǒng)接入的需求和質(zhì)量屬性有明確的認(rèn)識(shí)和研究。這是評(píng)價(jià)模型客觀，科學(xué)的前提。在評(píng)價(jià)模型選擇或設(shè)計(jì)過(guò)程中要做到集思廣益，反復(fù)推敲。召集領(lǐng)域?qū)＜曳磸?fù)論證，全面衡量。明確出識(shí)別系統(tǒng)質(zhì)量的風(fēng)險(xiǎn)點(diǎn)。準(zhǔn)確找出敏感點(diǎn)位置。設(shè)計(jì)出評(píng)價(jià)方案后應(yīng)依據(jù)方案合理的組織評(píng)價(jià)工作的開(kāi)展。對(duì)評(píng)價(jià)方案文檔管理應(yīng)由專人負(fù)責(zé)，清晰管理。

評(píng)價(jià)用例要求，用例數(shù)據(jù)覆蓋全面。特別注意便捷用例的設(shè)計(jì)，避免發(fā)生遺漏。要保證用力的設(shè)計(jì)符合實(shí)際工作的情況。確認(rèn)其客觀有效。并注意評(píng)價(jià)用例的歸檔，分類，管理。應(yīng)注意用例評(píng)價(jià)結(jié)果的記錄準(zhǔn)確和詳細(xì)。

組織專家對(duì)評(píng)價(jià)結(jié)果，認(rèn)真分析，識(shí)別問(wèn)題所在。深刻的剖析內(nèi)在的規(guī)律。根據(jù)分析的結(jié)果，提出行之有效的解決方案。

六、結(jié)束語(yǔ)

應(yīng)用業(yè)務(wù)連接的規(guī)劃與部署，目前已有多種成熟的解決方案。各類方案都有獨(dú)到的特色。然用戶的接入環(huán)境千變?nèi)f化，用戶需求莫衷一是。所以實(shí)際案例中設(shè)計(jì)者應(yīng)做到因地制宜。根據(jù)科學(xué)的理論，自己豐富經(jīng)驗(yàn)。結(jié)合實(shí)際情況，設(shè)計(jì)應(yīng)對(duì)不同用戶的需求和環(huán)境。已達(dá)到系統(tǒng)部署質(zhì)量的優(yōu)化。

[1]易建勛譯著.計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)[M].人民郵電出版社,2011,5.

[2]何文生譯著.企業(yè)網(wǎng)搭建及應(yīng)用[M].電子工業(yè)出版社,2010,1.

[3]湯小丹譯著.計(jì)算機(jī)操作系統(tǒng)[M].西安電子科技大學(xué)出版社,2011,2.