保定師范?？茖W(xué)校涿州分校 孟文娜

一、關(guān)于應(yīng)用業(yè)務(wù)終端連接方式

用戶連接系統(tǒng)，可以采取多種終端的連接部署形式。常見的終端線路部署形式分為獨立終端線路連接和共享終端線路連接。

獨立終端線路連接是指使用單獨的終端線路連接特定的用戶和系統(tǒng)。使用獨立的終端線路連接系統(tǒng)。性能好，安全性高。但是成本也較高?，F(xiàn)在一般只在特殊業(yè)務(wù)中使用。

共享終端線路的連接是指多個用戶共享統(tǒng)一終端線路或共享統(tǒng)一主干線路的連接形式。目前大多的用戶連接，都采用共享方式的終端線路。共享終端線路可以提高線路利用率，降低部署成本。在大多情況下應(yīng)用業(yè)務(wù)中被廣泛使用。由于此類終端線路，需要多用戶共享使用。設(shè)計時應(yīng)注意考慮解決共享沖突的發(fā)生，提高線路利用率以及如何保障安全等多種問題。此類技術(shù)經(jīng)過多年來的不斷發(fā)展已經(jīng)比較成熟，在實際案例中廣泛應(yīng)用。

二、應(yīng)用業(yè)務(wù)連接的工作模式

1.廣播模式

在傳統(tǒng)網(wǎng)絡(luò)中，用戶連接常使用廣播模式，比較典型的如基于以太網(wǎng)的連接實現(xiàn)。終端在網(wǎng)絡(luò)中廣播消息，發(fā)現(xiàn)系統(tǒng)并連接。采用廣播模式，使其連接的實現(xiàn)較為簡單。服務(wù)端維持連接的資源開銷相對較小。安全方面的存在一定挑戰(zhàn)。例如arp下身份冒用等。且其難以在廣域網(wǎng)中實現(xiàn)。

2.單純的點對點模式

單純的點對點連接模式是指單純通過點對點協(xié)議直接連接至系統(tǒng)的接入方式。在一定安全機制的輔助下，連接的安全性有所提高。適合于廣域網(wǎng)的連接。服務(wù)提供方負荷也相對較小。

3.隧道模式

隧道(Tunnelling)模式是指的利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)終端的連接。隧道技術(shù)主要涉及了三種協(xié)議，即隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。

常見隧道協(xié)議有兩種類型，一種是二層隧道協(xié)議三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議。二層協(xié)議主要有L2F、PPTP、L2TP三層協(xié)議主要有VTP、IPSec等。

雖然隧道連接技術(shù)對系統(tǒng)的開銷相對較大。但其優(yōu)異的安全性和可靠性以及靈活控制策略越來越成為當前系統(tǒng)連接模式的首選。

三、連接的設(shè)計與管理

A.認證機制

用戶連接應(yīng)以科學(xué)，完善用戶認證機制為前提保障。這些機制包括合理，高效，安全的用戶數(shù)據(jù)庫管理。用戶鑒別的反欺騙，反侵入策略等?？茖W(xué)的用戶管理是業(yè)務(wù)使用權(quán)限和工作視圖的依據(jù)。也是系統(tǒng)提供連接質(zhì)量分類的依據(jù)。

B.連接質(zhì)量

根據(jù)用戶規(guī)劃提供給用戶不同的連接服務(wù)。例如按用戶等級提供不同的連接速率，不同級別提供分級的安全保障，連接沖突時采取的服務(wù)優(yōu)先等級等。連接服務(wù)的行為控制策略對連接的行為控制是非常重要的。

C.連接的安全性

（1）物理安全

終端線路的物理安全，對連接的安全性，可靠性非常重要。終端線路的部署應(yīng)做到防雷，防震，安全可靠。應(yīng)采用科學(xué)的綜合布線方法。統(tǒng)一規(guī)劃，嚴格施工。規(guī)劃施工中做到，清晰準確，因地制宜。避免隨意草率的線路布置。建設(shè)合理適應(yīng)的線路環(huán)境，防止環(huán)境因素對線路穩(wěn)定性的影響。關(guān)鍵領(lǐng)域可考慮屏蔽設(shè)施，阻止電磁泄露，造成安全上的隱患。

（2）信息安全

安全的內(nèi)容：

保證數(shù)據(jù)的機密性，防止信息竊取。加密措施不力，數(shù)據(jù)信傳送過程中，竊聽者截獲傳送的數(shù)據(jù)信息，造成網(wǎng)上傳輸信息泄露。防止身份的假冒，因為認證機制的漏洞，造成攻擊方假冒身份與連接方連接。使得數(shù)據(jù)遭到泄露和破壞。防止信息的篡改，當入侵者截獲傳送的數(shù)據(jù)信息以后。篡改數(shù)據(jù)并采用重放的手段。把篡改后的數(shù)據(jù)發(fā)送出去。造成數(shù)據(jù)安全的破壞。防止連接惡意破壞活動，入侵者惡意破壞正常的通信。造成拒絕連接，服務(wù)超限等網(wǎng)絡(luò)故障。

幾種常見的安全協(xié)議：

關(guān)于Ssl：

SsL(Secure Sockets Layer安全套接層下一代傳輸層安全設(shè)計“傳輸層安全”（Transport Layer Security，TLS）)是為網(wǎng)絡(luò)通信傳輸提供數(shù)據(jù)安全以及數(shù)據(jù)完整性保護的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進行加密。

SSL協(xié)議設(shè)計在TCP/IP協(xié)議（傳輸層/網(wǎng)絡(luò)層）與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)信息通訊提供著安全支持保障。SSL協(xié)議被設(shè)計為為兩層：

SSL Record Protocol（SSL記錄協(xié)議）：是建立在可靠的傳輸協(xié)議（如TCP協(xié)議）之上，為高層協(xié)議提供了數(shù)據(jù)壓縮、封裝、加密等各種功能的支持。

SSL Handshake Protocol（SSL握手協(xié)議）：它建立在SSL Record Protocol之上，作為實際的數(shù)據(jù)傳輸開始前的準備工作。如通訊雙方的身份認證、加密算法協(xié)商、加密密鑰交換等等。

Secure Sockets Layer協(xié)議提供的服務(wù)主要包括：

a.對通訊數(shù)據(jù)加密以防止數(shù)據(jù)被監(jiān)聽或竊取。

b.保障通訊數(shù)據(jù)的完整性，確保數(shù)通訊據(jù)在傳輸過程中不被篡改。

c.對通訊雙方認證。識別通訊雙方的身份。

關(guān)于Ipsec：

IPSec基于第三層的端對端安全模式，在雙方ip地址之間建立信任，保證通信的安全。

IPSec給出了應(yīng)用于第三層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，其中主要包括Authentication Header（AH網(wǎng)絡(luò)認證協(xié)議）、Encapsulating Security Payload（ESP封裝安全載荷協(xié)議）、Internet Key Exchange（IKE密鑰管理協(xié)議）和網(wǎng)絡(luò)認證及加解密所需要的一些算法等。

IPSec向上提供了訪問控制，數(shù)據(jù)源認證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。它規(guī)定了如何在對等層之間選擇安全協(xié)議。并確定安全算法和密鑰交換。

（3）應(yīng)用業(yè)務(wù)的連接網(wǎng)關(guān)

連接網(wǎng)關(guān)是指連接服務(wù)的獨立部署。一般是由一個獨立的，專門的連接服務(wù)器實現(xiàn)，提供網(wǎng)絡(luò)各層的連接服務(wù)。每個終端統(tǒng)一連接到連接網(wǎng)關(guān)。由連接網(wǎng)關(guān)完成所有連接服務(wù)的控制和管理。連接網(wǎng)關(guān)隔離應(yīng)用系統(tǒng)和終端的直接聯(lián)絡(luò)。這樣的部署方式，可能會造成應(yīng)用系統(tǒng)的系統(tǒng)開銷增大。但這樣部署大大的提高了連接的安全性。將非法侵入和攻擊的連接屏蔽在系統(tǒng)服務(wù)之外。而且還可以靈活的管理終端連接的各種請求和行為。

四、應(yīng)用業(yè)務(wù)用戶連接的部署

1.應(yīng)用業(yè)務(wù)終端連接的部署

在依據(jù)終端部署各種相關(guān)標準的同時，終端的部署應(yīng)注意幾個原則。

第一是標準化與個性化相協(xié)調(diào)的原則。標準化的終端可以提供給用戶熟悉的人機對話環(huán)境。提高用戶的工作效率。而個性化的終端設(shè)計能提供給用戶良好的使用體驗。激發(fā)用戶的使用興趣。所以在部署時應(yīng)注意兩者的相互結(jié)合。既要使得采用標準化使得用戶們?nèi)菀咨鲜?，又采取個性化要給用戶以多種的使用選擇。

第二應(yīng)注意終端支持的廣泛化的原則。目前桌面級終端產(chǎn)品日益增加。其發(fā)展也呈現(xiàn)多樣化的趨勢。例如，我們常見到的終端既有pc機又有蘋果機。甚至現(xiàn)在流行的平板電腦。手機等等各種移動設(shè)備。終端市場越來越細化。我們在終端設(shè)計時應(yīng)充分考慮其對市場的廣泛支持。終端的跨平臺設(shè)計對系統(tǒng)的架構(gòu)來講已經(jīng)變得越來越重要。

2.應(yīng)用系統(tǒng)中連接服務(wù)器的部署

獨立的專門的連接服務(wù)器設(shè)計在某些系統(tǒng)中是非常必要的。隨著集群技術(shù)，虛擬化技術(shù)應(yīng)用的日益廣泛。連接服務(wù)器的部署實現(xiàn)也表現(xiàn)的越來越靈活。特別云計算的出現(xiàn)后，業(yè)務(wù)使用可以在集群中彈性的分配。這種形式下采用獨立部署連接服務(wù)，實現(xiàn)連接與應(yīng)用業(yè)務(wù)的高度解耦勢在必行。

連接服務(wù)器部署時，需要注意接入和業(yè)務(wù)充分隔離。這樣才能充分保證終端連接的安全性。連接服務(wù)器部署也可采取集群模式。這樣可以保證其軟硬件科學(xué)部署與擴展，也大大的削弱了連接服務(wù)的瓶頸依賴。維持連接需要消耗大量的資源，在部署連接服務(wù)器時應(yīng)予充分考慮。分配足夠的計算能力和主存容量。

3.連接安全性的設(shè)計與部署

連接的安全部署，應(yīng)遵循信息系統(tǒng)安全標準嚴格實施。安全技術(shù)的選擇上IPSec是一個標準的第三層安全協(xié)議，它是在隧道外面再封裝，保證了在傳輸過程中的安全。IPSec的主要特征在于它可以對所有IP級的通信進行加密。Ssl的安全機制是位于網(wǎng)絡(luò)傳輸層和應(yīng)用層之間。一般作為資源訪問的安全控制。使用時應(yīng)附加在其他連接機制上。保證連接的安全。兩種安全技術(shù)各有特點。從目前看IPSec對VPN而言仍是重要的隧道和加密技術(shù)。但ssl技術(shù)發(fā)展的迅速。特別是降低部署成本、減小對日常性支持和管理等特性。對用戶有著很大吸引力。應(yīng)根據(jù)具體的系統(tǒng)要求選擇部署相適應(yīng)的技術(shù)。

五、應(yīng)用業(yè)務(wù)連接質(zhì)量的評價

對于連接質(zhì)量的評價首先要科學(xué)的選擇或設(shè)計出合理的評價模型。在選擇和設(shè)計評價模型時應(yīng)對系統(tǒng)接入的需求和質(zhì)量屬性有明確的認識和研究。這是評價模型客觀，科學(xué)的前提。在評價模型選擇或設(shè)計過程中要做到集思廣益，反復(fù)推敲。召集領(lǐng)域?qū)＜曳磸?fù)論證，全面衡量。明確出識別系統(tǒng)質(zhì)量的風(fēng)險點。準確找出敏感點位置。設(shè)計出評價方案后應(yīng)依據(jù)方案合理的組織評價工作的開展。對評價方案文檔管理應(yīng)由專人負責(zé)，清晰管理。

評價用例要求，用例數(shù)據(jù)覆蓋全面。特別注意便捷用例的設(shè)計，避免發(fā)生遺漏。要保證用力的設(shè)計符合實際工作的情況。確認其客觀有效。并注意評價用例的歸檔，分類，管理。應(yīng)注意用例評價結(jié)果的記錄準確和詳細。

組織專家對評價結(jié)果，認真分析，識別問題所在。深刻的剖析內(nèi)在的規(guī)律。根據(jù)分析的結(jié)果，提出行之有效的解決方案。

六、結(jié)束語

應(yīng)用業(yè)務(wù)連接的規(guī)劃與部署，目前已有多種成熟的解決方案。各類方案都有獨到的特色。然用戶的接入環(huán)境千變?nèi)f化，用戶需求莫衷一是。所以實際案例中設(shè)計者應(yīng)做到因地制宜。根據(jù)科學(xué)的理論，自己豐富經(jīng)驗。結(jié)合實際情況，設(shè)計應(yīng)對不同用戶的需求和環(huán)境。已達到系統(tǒng)部署質(zhì)量的優(yōu)化。

[1]易建勛譯著.計算機網(wǎng)絡(luò)設(shè)計[M].人民郵電出版社,2011,5.

[2]何文生譯著.企業(yè)網(wǎng)搭建及應(yīng)用[M].電子工業(yè)出版社,2010,1.

[3]湯小丹譯著.計算機操作系統(tǒng)[M].西安電子科技大學(xué)出版社,2011,2.