系统架构设计师学习笔记.pdf

系统架构设计第一章 1.1.1 系统架构师的概念 现代信息系统“架构”三要素：构件、模式、规划;规划是架构的基石，也是这三个贡献中最重要的。架构本质上存在两个层次：概念层，物理层。1.2.1 系统架构师的定义 负责 理解、管理 并最终确认和评估 非功能性系统需求，给出开发规范，搭建系统实现的核心架构，对整个软件架构、关键构建、接口 进行总体设计 并澄清关键技术细节。主要着眼于系统的“技术实现”，同时还要考虑系统的“组织协调”。要对所属的开发团队有足够的了解，能够评估该开发团队实现特定的 功能需求目标和资源代价。1.2.2 系统架构师技术素质 对软件工程标准规范有良好的把握。1.2.3 系统架构师管理素质 系统架构师是一个高效工作团队的创建者，必须尽可能使所有团队成员的想法一致，为一个项目订制 清晰的、强制性的、有元件的目标 作为整个团队的动力;必须提供特定的 方法和模型 作为理想的技术解决方案;必须避免 犹豫，必须具备及时解决技术问题的 紧迫感和自信心。1.2.4 系统架构师与其他团队角色的协调 系统分析师，需求分析，技术实现 系统架构师，系统设计，基于环境和资源的系统技术实现 项目管理师，资源组织，资源实现 由于 职位角度出发产生冲突制约，不可能很好地给出 开发规范，搭建系统实现的 核心架构，并澄清技术细节，扫清主要难点。所以 把架构师定位在 项目管理师与系统分析师 之间，为团队规划清晰的目标。对于大型企业或项目，如果一人承担多个角色，往往容易发生顾此失彼的现象。1.3 系统架构师知识结构 需要从大量互相冲突 的系统方法和工具中 区分出 哪些是有效的，那些是无效的。1.4 从开发人员到架构师 总结自己的架构模式，深入行业总结规律。几天的培训不太可能培养出合格的软件架构师，厂商的培训和认证，最终目的是培养自己的市场，培养一批忠诚的用户或产品代言人，而不是为中国培养软件架构师。2011 年软考系统架构设计第二章 计算机网络基础知识 计算机系统 由 硬件和软件组成，软件通常分为 系统软件和应用软件。系统软件支持应用软件的运行，为用户开发应用软件提供平台，用户可以使用它，但不能随意修改它。常用的系统软件有 操作系统、语言处理程序、连接程序、诊断程序、数据库 等。应用软件指 计算机用户利用 软硬件资源 为某一专门的应用目的而开发的软件。2.1 操作系统基础知识 操作系统 Operating System，是计算机系统的核心系统软件。2.1.1 操作系统的原理、类型、结构 1、操作系统定义 硬件资源包括 中央处理器、存储器、输入输出设备。软件资源是以 文件形式保存在存储器上的 程序和数据。操作系统既 有效组织和管理 系统中各种 软硬件资源，合理地组织计算机系统的工作流程，又控制程序的执行，为用户使用计算机 提供了一个 良好的环境和友好的接口。2、操作系统分类 按功能不同分：单用户操作系统、批处理操作系统;分时操作系统、实时操作系统;网络操作系统、分布式操作系统;嵌入式操作系统。3、操作系统的特征 并发性、共享性、虚拟性、不确定性。4、操作系统的功能 进程管理、文件管理、存储管理、设备管理、作业管理。2.1.2 处理机 与 进程管理 1、进程的定义及其分类 进程通常由 程序、数据、进程控制块 PCB 组成。2、进程的状态转换与控制 就绪、运行、阻塞。进程控制是通过 进程控制原语实 现的，进程控制原语主要有：创建原语、撤销原语、挂起原语、激活原语、阻塞原语、唤醒原语。注：原语不可分割，不允许中断。3、进程互斥与同步 以及 P/V 操作 同步是使在异步环境下的各进程按一定的 顺序和速度 执行。互斥 要保证临界资源 一次只能提供一个进程使用，称为 临界资源 CR。PV 操作是低级通信原语，在执行期间不可分割，P 表示申请一个资源，V 表示释放一个资源。P 操作定义：S:=S-1，若 S=0，则执行 P 操作的进程继续执行，否则若 S0，则执行 V 操作的进程继续执行，否则若 S”。8.1.8 格式正规的文档 元素和元素之间唯一的直接关系就是 父子关系;兄弟关系是通过数据结构推断出来的，既不直接也不可靠，因为元素可能被插入到 某个元素和它的一个或多个子元素之间。数据对象 如果满足下列条件 就是各市正规的文档。1、语法合乎 XML 规范。2、元素构成一个层次树，只有一个根节点。3、没有对外部实体的引用，除非提供了 DTD。任何 XML 解析器 发现 不是个是正规的结构，就报告一个“致命”错误，致命错误不一定导致解析器终止操作，但它不再会以正常的方式向应用程序传递字符数据 和/或 XML 结构。8.2 XML 命名空间 8.2.1 命名空间 XML 命名空间 是 解决多个 义性和名字冲突问题的方案。命名空间是一组具有结构的名称的集合。8.2.2 定义和声明命名空间 命名空间 推荐标准为我们提供了 xmlns 属性，属性值就是 URI。命名空间前缀经常被提及为前缀，而名称本身是基本名。默认的命名空间(没有声明别名的，形式为 xmlns=“”)，在声明作用域里 所有没有经命名空间前缀修饰的 名称 被假定属于默认的命名空间。8.3 DTD 一个 XML 文档是有效的，则它必须满足：文档 和 文档类型 相关联。8.3.1 什么是 DTD DTD 文档类型定义。主要 用来查看 XML 文档的格式，出现在 XML 文档的序言中，DTD 声明不是必须出现的。DTD 中 主要定义以下几个方面的内容：1、元素声明。2、实体声明。3、属性的种类。8.3.2 为什么引入 DTD 提供一种验证的手段，对 XML 来说是一大贡献，确保 XML 文件确实地遵守了 指定的格式，而这个格式可能是 一个 标准，或者是数据交换双方 所共同定制 的 协议。实现了 文件格式 的统一化，提高了文件的重用性。使用 DTD 进行验证，增加了操作时间。8.3.3 实体的声明 实体(entity)是一些预先定义好的数据。存储部位，内部实体，外部实体;组成内容，可分解实体，不可分解实体。引用方式，一般型实体，参数型实体。不同类型的实体声明和使用方法略有不同。8.3.4 属性的声明 良构 XML 文档中，属性只要满足命名规则就可以了，但是在一个有效的 XML 文档中，属性要经过 DTD 的属性声明。DTD 声明中，属性的声明语法可以归纳为如下形式：元素名称指的是 属性所属的元素名称。8.4 XML Schema DTD 尽管进行了很大的简化，但还是一门 风格 和 XML 完全不同的语言，而 schema 文档是一种特殊的 XML 文档，容易学习和使用。DTD 的另一个缺点是 数据类型相当有限。DTD 中根本不提供 数值数据 类型。一个 XML 文档只能使用一个 DTD 文档，schema 则采用了 名域空间的机制，使得一个 XML 文档可以调用多种 schema 文档。8.5 可扩展样式表语言 (eXtensible Stylesheet Language，XSL)是描述 XML 文档样式信息的一种语言，W3C 制订。XML 的一个优点就是 形式与内容相分离，XSL 就是它的两种样式表单之一，另一种是 层叠样式表(CSS)，是一种静态的样式描述格式，其本身不遵从 XML 的语法规范。而 XSL 是一个 XML 文档。是 XML 的一种具体应用 它有两大部分组成：第一部分描述了 如何将 XML 文档进行 转换、转换为可浏览或可输出的格式;第二部分定义了 格式对象(Fomatted Object，FO)源树转换为可以显示的结果树，称为树转换，按照 FO 分析结果树，产生一个输出结果，这个过程称为 格式化。转换树 日趋成熟，已从 XSL 中分离出来，另取名为 XSLT(XSL Transformations)，现在一般所听说的 XSL 大多是指 XSLT。一同退出的还有 配套标准 Xpath(XML Path Language，XML 路径语言)在 XML 中 声明 XSL 样式单：XSL 在网络中的应用大体分为两种模式：1、服务器端转换模式 XML 文件下载到 浏览器前先转换成 HTML。1.动态方式，接到转换请求时再进行实时转换。2.批量方式。2、客户端转换模式 XML 和 XSL 文件都传送到客户端，浏览器必须支持 XML+XSL 的工作方式。8.6 其他相关规范 8.6.1 XPath 采用简洁的、非 XML 语法，基于 XML 文档的 逻辑结构，在该结构中进行导航。XPath 表达式 通常出现在 URL 和 XML 属性值里。XPath 将 XML 文档描绘为 树或节点 的模型，节点的类型有 根节点、元素节点、属性节点、文本节点、注释节点、名称空间节点、处理指令节点 7 种。XPath 规范定义了两个主要部分：一部分是表达式语法，另一部分是一组名为 XPath 核心库 的基本函数。指向某个 XML 文档中一个特定节点的路径 由三部分信息构成：一个轴类型、一个节点测试 和 谓词。轴类型 有多种，指定所选节点和环境之间的关系。节点测试 查找什么类型的节点，测试包括通配符“*”、text()、node()、comment()、processing-instruction()等。谓词以“”开始，以“”结束，谓词通过使用内部函数来 过滤不需要的节点。:8.6.2 XLink 和 XPointer XLink 指定一个文档如何连接到另一个文档，XPointer 指定文档内部的位置，都是基于 XPath 推荐标准。系统架构设计第九章 面向构件的软件设计 9.1 术语、概念 1、构件 构件的特征如下：独立部署单元。作为第三方的组装单元。没有(外部的)可见状态。独立可部署，意味着 必须能 跟他所在的环境 及 其他构件 完全分离。原子性，构件不但必须具备足够好的内聚性，还必须将自己的依赖条件和所提供的服务说明清楚。缓存具有这样的特征：当它被清空时，除了可能会降低性能以外，没有其它后果。构建本质上没有状态，同一操作系统进程中 装载多个构件的拷贝 是毫无意义的，至多会存在一个特定构件的拷贝。许多系统中，构建被实现为 大粒度的单元，工资管理服务程序就是一个构件，工资数据只是实例(对象)，将不易变的“模型”和易变的“实例”分离的做法避免了大量的维护问题。2、对象 对象的特征如下：一个实例单元，具有唯一的标志。可能具有状态，此状态外部可见。封装了自己的状态和行为。显式存在的实例化方案称为类，也有隐式的实例化方案，既通过克隆一个已存在的对象来实现，即原型对象。新生的对象都必须被设置一个初始状态，创建与初始化 对象 的代码可以是一个静态过程类的一部分，称为构造函数。如果这个对象是专门用来创建与初始化对象的，称为 工厂。对象中 专门用来返回其他 新创建的对象的方法 称为 工厂方法。3、构件与对象 构件通常包含了若干类 或 不可更改的 原型对象。还包括一系列对象。但构件并非一定要包含类元素，它甚至可以不包含类，可以拥有传统过程体，甚至全局变量。构件创建的对象更确切地说是对这些对象的 引用可以与该构件分离开来，并对构件的客户可见。构件的客户通常是指其他构件。一个构件可以包含多个类元素，但是一个类元素只能属于一个构建。将一个类拆分进行部署通常没有什么意义。4、模块 模块化方法成熟的标志是其对分离编译技术的支持，包括跨模块的正确的类型检查能力。模块没有实例化的概念，在任何情况下，模块都可以包含多个类。类之间的继承关系并不受模块界限的限制。模块本身就可以作为一个最简单的构件，这些库是功能性的，而不是面向对象的。资源可以参数化一个构件，重新配置该构件而无需更改构件代码，例如，本地化设置可以通过资源配置实现。某些情况下，模块并不适合作为构件，构件没有外部可见的状态，但是模块却可以显式地用全局变量来使其状态可见。5、白盒抽象、黑盒抽象 与 重用 白盒抽象中，可以通过继承对构件的实现细节进行修改，白盒方式中实现细节对外界是完全可见的。绝大多数系统中，(Application Programming Interface，API)相当于黑盒重用这些接口的实现。白盒重用不可以轻易地被另外的软件替换，因为 依赖于 细节。软件构件是一种组装单元，它具有规范的接口规约和显式的语境依赖，软件构件可以被独立地部署并由第三方任意地组装。6、接口 接口是一个已命名的一组操作集合。一个构件可以有多个接口，每个接口提供一种服务。尽量不要重复引入功能相近的接口。推行标准化，可能会由于笨拙官僚的“委员会设计”问题而不能达到最优;市场竞争，的 非技术本质 也可能导致结果不是最优。接口标准化 是对消息的 格式、模式、协议 的标准化，XML 提供了一种统一的数据格式 3、构件与对象 构件通常包含了若干类 或 不可更改的 原型对象。还包括一系列对象。但构件并非一定要包含类元素，它甚至可以不包含类，可以拥有传统过程体，甚至全局变量。构件创建的对象更确切地说是对这些对象的 引用可以与该构件分离开来，并对构件的客户可见。构件的客户通常是指其他构件。一个构件可以包含多个类元素，但是一个类元素只能属于一个构建。将一个类拆分进行部署通常没有什么意义。4、模块 模块化方法成熟的标志是其对分离编译技术的支持，包括跨模块的正确的类型检查能力。模块没有实例化的概念，在任何情况下，模块都可以包含多个类。类之间的继承关系并不受模块界限的限制。模块本身就可以作为一个最简单的构件，这些库是功能性的，而不是面向对象的。资源可以参数化一个构件，重新配置该构件而无需更改构件代码，例如，本地化设置可以通过资源配置实现。某些情况下，模块并不适合作为构件，构件没有外部可见的状态，但是模块却可以显式地用全局变量来使其状态可见。5、白盒抽象、黑盒抽象 与 重用 白盒抽象中，可以通过继承对构件的实现细节进行修改，白盒方式中实现细节对外界是完全可见的。绝大多数系统中，(Application Programming Interface，API)相当于黑盒重用这些接口的实现。白盒重用不可以轻易地被另外的软件替换，因为 依赖于 细节。软件构件是一种组装单元，它具有规范的接口规约和显式的语境依赖，软件构件可以被独立地部署并由第三方任意地组装。6、接口 接口是一个已命名的一组操作集合。一个构件可以有多个接口，每个接口提供一种服务。尽量不要重复引入功能相近的接口。推行标准化，可能会由于笨拙官僚的“委员会设计”问题而不能达到最优;市场竞争，的 非技术本质 也可能导致结果不是最优。接口标准化 是对消息的 格式、模式、协议 的标准化，XML 提供了一种统一的数据格式。6、构件与生成式编程 必须要精确控制实际的构件边界，包括提供接口和需求接口，必须能精确控制同其他构件间的静态依赖。9.3.2 语境相关组合构建框架 COM+增加了可租赁线程“套间”的概念，一次只允许一个线程入住，但是多个线程能顺序地入住该“套间”。相同事务域中的对象 共享一个单独的逻辑线程和一个单独共享事务资源集合，一旦线程从事务域中返回，事务要么提交要么终止。COM+中，如果两个构件共享一组兼容的语境属性集，则它们可以被看作是处于同一域中。9.3.3 构件开发 异步问题 事件分发机制负责接收这些事件对象，并把它们发送给对其感兴趣的其他构件实例。多线程 多线程主要关注于对程序执行进行更好的分配，获取性能最大化的手段却根本不依赖于多线程，而是尽量在第一时间内以最快的速度处理用户的请求。系统架构设计第十章 构建平台与典型架构 10.1 OMG 方式 对象管理组 OMG，通过规范化对象 开放市场的 所有层次上的互操作性。10.1.1 对象请求代理 CORBA 的主要目标就是使用不同语言、不同实现、不同平台 能进行交互。CORBA 三个基本部分：一套调用接口、对象请求代理 ORB、一套对象适配器。10.1.2 公共对象服务规范 两类服务：一类服务应用于企业计算系统。一类服务应用于细粒度的对象操作，但目前这些服务的实用价值较差。1、支持企业分布式计算的服务 1.命名服务、交易器服务 命名服务 允许 任意地给对象赋予一个名字，这个名字在其所属的命名语境中是唯一的。命名语境所形成的层次结构，使得所有的名字形成名字树。交易器服务 允许给对象 赋予一个复杂的描述，从而允许客户基于该描述来定位所需的对象。搜寻结果往往是 满足查询条件的 一组对象列表。2.事件服务、通告服务 事件服务 允许定义那些 从 时间生产者 被 发送到时间消费者 的事件对象。信息只能从生产者流向消费者，事件必须通过事件通道传播，事件可以具有类型，而通道可以根据类型过滤事件。事件通道支持“推”“拉”两种方式 的事件通告模型。通告服务为事件服务增加了几个重要的特征服务质量 QoS 规范和管理。3.对象事务服务 对象事务服务 OTS，是建立分布式应用最重要的服务之一。OTS 实现必须支持平坦事务，而嵌套事务是可选的。在基于构件的系统中，嵌套事务似乎不可避免。平坦事务在构件系统中的价值有限，实际上，现有的主流事务中间件也不支持嵌套事务。6.并发控制服务 支持对象资源进行 加锁、解锁。锁必须依赖于 事务的语境 或 其他语境才能获得。7读锁、写锁、升级锁。读锁允许多个客户同时执行读操作，写锁允许一个客户写操作，升级锁是可以升级为写锁的读锁 支持互斥读。每个受保护的资源都拥有一个锁集合。锁集合 不是事务型 就是非事务型，并可与其他锁集合建立关联。8.生命周期服务 支持 创建、复制、移动、删除 CORBA 对象，及其相关的对象组。包含关系支持嵌套复制。11.外部化服务 支持对象网 和 对象流 之间的双向映射。对象网外部化后 再内部化 意味着创建该对象网副本。外部化服务并不保证引用的完整性，仅保留同时外部化的对象之间的引用。对象必须实现 Streamable 接口才能被外部化。12.属性服务 允许将任意的属性与对象关联起来，被关联的对象必须实现 ProperySet 接口。13.对象查询服务 依靠属性定位对象。15.时间服务 拥有众多异步时钟的分布式系统 固有的误差问题。10.1.3 CORBA 构件模型 CORBA 对象适配器主要的作用 就是在一个 ORB 和 真正接收调用并且返回结果的 对象之间 进行交互。10.2 SUN 公司的方式 Java 构件技术的概述 Java 中，编译器会检查 Applet 代码的安全性，通过了编译器检查的 Applet 代码不会带来安全隐患。由于编译得到的字节码仍然可能被人修改，代码在装载时刻会被再次检查(称为“校验”)。运行环境(Runtime Environment，RE)、软件开发工具包(Software Development Kit，SDK)、参考实现。运行环境是 Java 虚拟机 和 必须具有的 J2SE API 的实现。10.3 Microsoft 的方式 微软选择的是最简单的路线，他没有提出一整套标准;相反，他不断对已有的应用和平台基础进行再工程，这就可以获益于以前的成功技术。语言无关性，作为 CLR 的一条主要原则。10.3.1 第一个基础关联模型COM COM 所定义的一个基础实体是接口。在二进制层面上，一个接口被表示为指向一个接口节点的指针。接口节点 唯一被指定的部分是 置于其内部第一个域的 另一个指针，这个指针指向一个过程变量表(或者说，函数指针表)。每个 COM 对象都有 IUnknown 接口，通常置于 COM 对象图的顶端。他的“真实”名字是他的 IID，即 00000000-0000-0000-C000-000000000046 为了方便，所有接口也有一个 可读名。根据习惯，可读接口名以字母 I 开头。与 IID 不同，可读接口名 并不保证是唯一的。因此，编程中的接口引用均使用 IID。IUnknown 接口的首要用途是在 最抽象的情况下 标志 COM 对象，此时 COM 对象 没有任何特殊功能。IUnknown 接口 只提供对任何 COM 接口都必须的三个强制性方法。QueryInterface、AddRef、Release，后两个强制性方法被用来控制对象的生命周期。类型 HRESULT 被大多数 COM 接口的方法用来表示调用成功或失败。QueryInterface表明查询的接口是否被支持。每个 COM 对象都会进行引用计数，引用计数变量被共享使用的情况下，COM 对象 不能释放接口节点。一般这样做没有问题，也是通常的做法。某些情况下占用很多资源，可以使用独立的引用计数变量，以便节点可以尽早释放。这种根据需要创建和删除接口节点的技术有时被称作“快速装卸接口(Tear-Off Interface)”10.3.2 COM 对象重用 COM 不支持任何形式的实现继承。COM 支持两种形式的对象组装：包含(Containment)和 聚集(Aggregation)。包含 是一个对象 拥有 指向另一个对象的唯一引用。外部对象 只是把请求转发给内部对象，所谓转发 就是调用内部对象的方法。包含能重用内含于其他构件的实现，是完全透明的。如果包含层次较深，或者被转发的方法本身相对简单，包含会存在性能上的问题。因此 COM 定义第二类重用形式，聚集。聚集直接把内部对象接口引用传给外部对象的客户，而不是再转发请求。保持透明性是很重要的，因为外部对象的客户无法辨别哪个特定接口是从内部对象聚集而来的。10.3.3 接口和多态 COM 接口可通过(单)接口继承 从其他 COM 接口中派生。COM 的接口继承与其支持的多态无关。接口和版本化，一旦公布，COM 接口和他的规范不允许以任何形式改变。既解决了语法问题，也解决了弱基类问题。IID 可用于标志接口中的版本，因为接口总是通过 IID 被请求。CORBA 讨论中所提及的传递性版本冲突问题 在 COM 中不会发生。构件可以选择实现接口的多个版本，处理方式就像处理 别的不同接口一样。基于 COM 的系统能并发支持旧接口和新接口。10.3.4 COM 对象的创建和 COM 库 创建 COM 类 的实例对象时，COM 需要把给定的 CLSID 映射为包含所请求的类的实际构件。COM 支持系统注册器，它类似 CORBA 存储器。进程内(inprocess)服务器、本地服务器、远程服务器。10.3.5 从 COM 到分布式 COM(DCOM)代理(Proxy)对象 和 服务器 桩(Stub)对象。为支持 跨进程 或 跨机器 的透明通信，COM 在客户端创建代理对象，在服务器端创建桩对象。跨进程传递的 接口引用需要被映射为 对象引用。DCOM 将数据整理成平台无关的网络数据表达(NDR)形式。10.3.6 复合文档和 OLE 对象 OLE 可被 概括为 一组预定义的 COM 接口。文档容器 和 文档服务器。文档服务器 是提供某种内容模型 和显示、操作内容的能力。文档容器没有自己的内容，但可以接受任意文档服务器提供的内容成分。许多文档容器也是文档服务器，即是说，他们支持外来的成分，同时也有自己的内容。10.3.7.NET 框架 没有原始类型。系统架构设计第十一章 信息安全技术 11.1 信息安全关键技术 11.1.1 加密和解密 有意的计算机犯罪和无意的数据破坏 被动攻击：非法地从传输信道上截取信息，或从存储载体上偷窃、复制信息。主动攻击：对传输或存储的数据进行恶意的删除、篡改 等。密码技术是防止数据攻击的一种有效而经济的方法。信源、信宿、明文、密文。传输消息的通道称为信道，参数称为密钥，解密算法是加密算法的逆运算。加密密钥与解密密钥相同，或者可以简单相互推导的密码体质称为对称密码体质。不能(在有效时间内)相互推导的，称为非对称密码体质。1、对称密钥密码体质及典型算法 对称算法(Symmetric Algorithm)，有时又称为 传统密码算法，也称单密钥算法。安全通信之前，商定一个密钥，安全性依赖于密钥，密钥的保密性对通信至关重要。优点：算法实现的 效率高、速度快。缺点：密钥的管理过于复杂。1.DES 算法简介 DES(Data Encryption Standard，数据加密标准)是 IBM 公司研制，美国国家标准局 1977年公布，作为非机要部门使用的数据加密标准。DES 是一个分组加密算法，以 64 位为分组对数据加密。密钥长度 56 位(因为每个第 8位都用作奇偶校验)。2.IDEA 算法简介 国际数据加密算法(International Data Encryption Algorithm，IDEA)前身是推荐加密标准(Proposed Encryption Standard，PES)。分组长度 64b，密钥长度 128b。运算非常简单，只是 异或，速度极快，穷举破解不现实。2、不对称密码加密算法 不对称密码体制又称 双密钥和公钥密码体质，1976 年 由 Diffie 和 Hellman 提出的。私钥秘密保存。不需要事先通过安全秘密管道交换密钥。RSA 的安全性依赖于大素数分解。公钥和私钥 都是两个大素数(大于 100 个十进制位的函数)。据猜测，从一个密钥和密文中，推断出明文的难度等同于分解两个大素数的积。具体操作时 考虑到 安全性 和 M 信息量 较大等因素，一般是先做 HASH 运算。速度慢一直是 RSA 的缺陷，因此一般来说，RSA 只用于少量数据加密。11.1.2 散列函数与数字签名 1、MD5 散列算法 散列函数是一种公开的数学函数。散列函数运算的输入信息叫做 报文，运算后所得的结果叫做散列码或消息摘要。特点：1.给定 M，要找到另一消息 M，使 H(M)=H(M)很难。2.散列函数都是单向的，反推 M 很难。3.对于任何一个报文，无法预知它的散列码。4.散列码具有固定的长度，不管原始报文长度如何。常见的散列函数有：MD5、SHA、HMAC 等。MD5(Message Digest 5)已成为国际标准，产生 128 位(16 字节)长度的散列值(或称 消息摘要)。通过以下 4 个步骤：1.附加填充位，填充后数据长度 MOD 512 后 余 448。如果数据长度正好 MOD 512 余 448，增加 512 个填充位，填充个数也就是 1512。填充位第一个为 1，其余全部是 0。2.补足长度。3.初始化 MD 缓存器。4 个 32 位寄存器，A、B、C、D，初始化为：A:01 23 45 67 B:89 AB CD EF C:FE DC BA 98 D:76 54 32 10 4.处理数据段。2、数字签名与数字水印 1.数字签名可以解决 否认、伪造、篡改、冒充 等问题。凡是需要对用户身份进行判断的情况 都可以使用数字签名。三个过程：系统的初始化过程、签名产生过程、签名验证过程。签名者必须注意保护好私有密钥，因为它是公开密钥体系安全的重要基础。如果密钥丢失，应该立即报告鉴定中心取消认证，鉴定中心必须能够迅速确定用户的身份及其密钥的关系。RSA、ElGamal、Fiat-Shamir、美国的数字签名标准/算法(DSS/DSA)、椭圆曲线 等多种 2.数字水印(Digital Watermarking)是实现版权保护的有效办法，也是信息隐藏技术研究领域的重要分支。通过在原始数据中嵌入秘密信息水印(Watermark)来证实该数据段所有权。水印可以是一段 文字、标识、序列号 等，通常是不可见或不可察的，与原始数据紧密结合并隐藏其中。数字水印技术必须具有较强的 鲁棒性、安全性、透明性。数字水印主要应用领域：版权保护，作品被盗版或出现版权纠纷时，所有者即可从盗版作品或水印版作品中 获取水印信号作为依据。加指纹，将不同用户端 ID 或序列号 作为不同的水印(指纹)嵌入作品的合法备份中，一旦发现未授权的备份，就可以确定它的来源。标题与注释。篡改提示，可将原始图像分成多个独立块，再将每个块加入不同的水印，来确定作品的完整性，这类水印必须是脆弱的，并且检测水印信号时，不需要原始数据。使用控制，防复制。空域算法、变换域算法、压缩域算法、NEC 算法、生理模型算法 等。11.1.3 密钥分配中心与公钥基础设施 现代密码系统中，算法本身的保密已经不重要了，只要密钥能够保密，即使加密算法公开，甚至加密设备丢失，也不会对加密系统的坚固性和正常使用产生多大影响。如何高效地分配密钥、安全地管理密钥 对保证数据安全来说至关重要。1、密钥分配中心 密钥自动分配 是 密钥分配中心(Key Distribution Center，KDC)技术。2、数字证书和公开密钥基础设施 数字证书的内容一般包括：唯一标识证书所有者的名称、唯一标识证书签发者的名称、证书所有者的公开密钥、证书签发者的数字签名、证书的有效期、证书的序列号等。PKI(Public Key Infrastructure，公钥基础设施)的结构模型有三类实体：管理实体、端实体、证书库。管理实体是 PKI 的核心，是服务的提供者，端实体是 PKI 的用户。CA 和 RA 是两种管理实体，CA 能够 发布和撤销 证书，维护证书的生命周期。RA 负责处理用户请求。证书库的存取对象为证书和 CRL，其完整性由数字签名来保证，因此不需要额外的安全机制。11.1.4 访问控制 自动、有效地防止对系统资源进行非法访问或者不当使用。它是建立在身份认证的基础之上的。1、身份认证技术 识别用户的身份有两种不同形式：身份认证、身份鉴定。认证的方法 归结为 3 大类：知道什么、拥有什么、是什么。是什么，是一种基于生物识别技术的认证。1.用户名和口令认证，三种简单的认证方式：明文传送、单向散列、单向散列函数和随机函数。2.使用令牌认证，密钥存储于令牌中。令牌是一个可以加密存储并运行相应加密算法的设备，完成对用户必须拥有某物的验证。令牌的实现分为：质询响应令牌、时间戳令牌，常用的是时间戳令牌。系统的安全强度大大增加：私钥采用令牌存储的方式解决了 私钥自身的安全问题，安全强度大大增加。而且令牌有 PIN 码 保护，对令牌的非法访问超过一定次数后，令牌会死锁。时间戳令牌利用时间代替随机数，需要重点考虑时间同步问题，目前在安全性较高的认证系统中，多是采用这种方案。3.生物识别与三因素认证 基于生物识别技术的认证，主要根据认证者的 图像、指纹、气味、声音等作为认证数据。2、访问控制技术 根据 控制手段 和 具体目的 的不同，通常将 访问控制技术 划分为几个方面：入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制等。入网访问控制，控制准许用户 入网的时间、准许的工作站等。由于用户口令验证方式容易被攻破，很多网络都开始采用 基于数字证书的验证方式。用户 和 用户组 被 赋予一定的权限。访问机制 两种实现方式：“受托者指派”和“继承权限屏蔽”“受托者指派”控制用户 和 用户组 如何使用网络服务器。“继承权限屏蔽”相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。特殊用户、一般用户、审计用户。对目录和文件的访问权限 一般有 8 种：系统管理员权限、读、写、创建、删除、修改、查找、访问控制。属性 能够控制以下几个方面的权限：写 数据、复制 文件、删除 目录或文件、察看 目录和文件、执行 文件、隐含 文件、共享、系统属性等。11.1.5 安全协议 1、IPSec 协议简述 因特网工程任务组(IETF)，IPSec 在 IP 层上 对数据包 进行高强度 的 安全处理 提供 数据源验证、无连接数据完整性、数据机密性、抗重播、有限通信流机密性等安全服务。1.IPSec 协议工作原理 通过使用两种信息安全协议 来为数据报提供高质量的安全性：认证头(AH)协议 和 封装安全载荷(ESP)协议，以及像 Internet 密钥交换(Internet Key Exchange，IKE)协议这样的密钥管理协过程和协议。IPSec 允许系统或网络用户 控制安全服务提供的粒度。由通信双方建立的安全关联(Security Association，SA)来提供。3.IPSec 协议 安全性分析 可以应用于所有跨越网络边界的通信。如果所有来自外部的通信必须使用 IP，且防火墙是 Internet 与 组织的唯一入口，则 IPSec 是不能被绕过的。IPSec 位于传输层(TCP、UDP)之下，因此对应用程序是透明的，实现时，没有必要在用户或服务器上更改软件。IPSec 对最终用户是透明的，没有必要 培训用户掌握安全机制。2、SSL 协议 SSL 协议(Secure Socket Layer)对计算机之间的 整个会话进行加密，位于 TCP 和 应用层 之间，可为应用层 提供 安全业务，主要是 Web 应用。基本目标是 在通信双方之间 建立安全的连接。SSL 协议工作原理 两个重要的概念：SSL 连接和 SSL 会话。连接 是 提供恰当类型服务的传输，对于 SSL，连接是点到点的关系。SSL 的会话是 客户和服务器之间的关联，会话通过握手协议来创建。会话定义了 加密安全 参数的一个集合。会话可以用来避免为每个连接进行 昂贵的新安全参数的协商。3、PGP 协议 1.PGP 协议的定义 PGP(Pretty Good Privacy)针对 电子邮件 在 Internet 上 通信的 安全问题而设计的一种混合加密系统。公钥密码和分组密码 是在同一个系统中，PGP 的用户拥有一张公钥表。PGP 应用程序具有很多优点：速度快、效率高、可移植性好。2.PGP 协议 的 加密过程 用 IDEA 算法对明文加密，接着用接收者的 RSA 公钥 对这个 IDEA 密钥进行加密。PGP 没有用 RSA 算法直接对明文加密，而是对 IDEA 密钥 进行加密。由于 IDEA 算法 速度很快，所以不会因为邮件的数量大而耽误时间，而 IDEA 的密钥位数较少，所以使用 RSA 算法在速度上也不会有很大影响。11.1.6 数据备份 1、备份的类型 备份数据常常被人们遗忘，造成的后果往往是毁灭性的。保证数据完整性以及准确性，一直都面临着极大的考验。1.完全备份，所需时间最长，但恢复时间最短，操作最方便可靠。2.差异备份，备份上一次的 完全备份后发生变化的所有文件。备份时间较长，占用空间较多，恢复时间较短。3.增量备份，上一次备份后，所有发生变化的文件。备份时间较短，占用空间较少，恢复时间较长。4.按需备份。有很好的选择性。2、异地备份 数据异地备份 是 容灾系统 的核心技术，确保一旦本地系统出现故障，远程的容灾中心能够迅速进行完整的业务托管。进行异地备份时，要注意以下几个问题：避免让备份带上病毒。保证磁片质量，定期对其进行质量检查。对于光盘，最大的缺点是 兼容性不好，最好是用哪台刻录机刻录 就用哪台刻录机读取(有时光头歪了也刻歪了，好光驱读不出来)。对于移动硬盘，要做磁盘检查，保证其性能良好。3、自动备份软件 具备 多个备份的文件 无论怎样重命名 都只备份一个。对员工正常工作无任何干扰，就好像这个软件不存在一样。11.1.7 计算机病毒免疫 1、计算机病毒定义 通过修改其他程序 使之含有该程序本身或它的一个变体，具有感染力，借助使用者的权限感染他们的程序。每个被感染的程序也像病毒一样可以感染其他程序。2、计算机病毒免疫的原理 传染模块一般包括传染条件判断和实施传染两部分。一般情况下，传染完一个对象后，都要给被传染对象加上传染标识，若不存在这种标识，则病毒就对该对象实施传染。不判断是否存标识，反复传染多次，雪球越滚越大。当某些尚不能被病毒检测软件检查出来的病毒感染了文件，该文件又被免疫外壳包在里面时，查毒软件查不到它。11.2 信息安全管理和评估 11.2.1 安全管理技术 安全管理技术就是 监督、组织、控制网络通信服务以及信息处理所必须的 各种技术手段和措施的总称。目标是确保计算机网络的持续正常运行，出现异常时能及时响应和排除故障。各种网络安全产品的作用 提现在网络中的不同方面，统一的网络安全管理平台 必然要求对网络中部署的安全设备进行协同管理。安全设备的管理、安全策略管理、安全风险控制、安全审计，几个方面。安全审计：安全设备、操作系统、应用系统的日志信息收集汇总，进一步分析，得出更深层次的分析结果。第十二章 系统安全架构设计 12.1 信息系统安全架构的简单描述 信息安全的特征是为了保证信息的机密性、完整