前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡協(xié)議規(guī)范主題范文,僅供參考,歡迎閱讀并收藏。
20世紀90年代計算機網絡飛速發(fā)展,Internet也成為世界上最大的、開放的、有眾多網絡互聯(lián)形成的計算機網絡。網絡標準也隨著計算機網絡的發(fā)展建立起來,為了使計算機網絡標準化結構、計算機網絡應用服務和數(shù)據(jù)交換等得以統(tǒng)一規(guī)范實現(xiàn)。國際上非常多網絡規(guī)范化組織都對計算機網絡標準技術展開了研究,比如TCP/IP協(xié)議在ARPANET上成為分組交換單個網絡上的標準協(xié)議。國際標準化組織ISO技術委員會專門負責制定計算機信息網絡中相關信息處理的標準,電氣與電子工程師協(xié)會IEEE主要研究計算機網絡物理層和數(shù)據(jù)鏈路層的相關標準及局域網數(shù)據(jù)傳輸?shù)南嚓P標準,國際電信聯(lián)盟電信標準化局ITUT主要研究計算機網絡通信的相關標準,Internet協(xié)會研究有關Internet的發(fā)展和可用性技術。目前計算機網絡標準中常用的有OSI標準,開放系統(tǒng)互聯(lián)基本參考模型,表達了開放系統(tǒng)互聯(lián)體系結構,安全服務,安全機制,命名和尋址以及管理框架等;TCP/IP協(xié)議族,是傳輸控制協(xié)議和互聯(lián)網協(xié)議的集合,同時也是Internet最基本的協(xié)議。目前互聯(lián)網應用使用的是IPv4協(xié)議,下一代網際協(xié)議IPv6也將彌補IPv4協(xié)議下IP地址不足的問題??梢娪嬎銠C信息網絡系統(tǒng)的標準化對計算機網絡提供網絡服務非常重要,計算機網絡的發(fā)展也向著更加規(guī)范化的方向發(fā)展。
2計算機信息網絡系統(tǒng)安全協(xié)議規(guī)范化研究
目前計算機信息網絡系統(tǒng)最受關注的問題就是網絡安全,而網絡安全協(xié)議是網絡安全的關鍵保障,規(guī)范化計算機信息網絡系統(tǒng)的安全協(xié)議將有利于提高網絡安全性。為了保障計算機信息網絡系統(tǒng)能夠提供安全的信息服務,許多網絡安全協(xié)議應運而生,但是這些安全協(xié)議各有各的標準,也都基于各自的工作原理有不同的處理方法,使得安全隱患和安全缺陷更不容易發(fā)現(xiàn)。為了更好的消除網絡安全協(xié)議中的缺陷,使用科學的方法對網絡安全協(xié)議進行規(guī)范化,統(tǒng)一化網絡安全推理結構模式和方法,使用更加細致的結構證明辦法,制定更加符合網絡安全的規(guī)范化安全協(xié)議,這樣不僅可以簡化網絡安全協(xié)議的工作復雜程度,也更容易實現(xiàn)對網絡的管理。計算機信息網絡系統(tǒng)安全協(xié)議的規(guī)范化可以通過將網絡協(xié)議向規(guī)范化范式轉化實現(xiàn),規(guī)范化過程一般采取協(xié)議效益增加參數(shù)的辦法實現(xiàn),由低級向高級轉換的過程消除不同協(xié)議中可能的缺陷,簡單來說安全協(xié)議的規(guī)范會就是對現(xiàn)有的協(xié)議進行逐步的改造。安全范式的轉化包括對安全協(xié)議攻擊和信息到達界別的檢查,這些檢查通過規(guī)范化協(xié)議中的參數(shù)快來快速判斷,有助于更準確的判定安全級別。協(xié)議規(guī)范化的實質是對傳輸消息中狀態(tài)參數(shù)的補正和完善,相比較于其他多樣化的協(xié)議具有明顯的優(yōu)勢。
(1)規(guī)范化的協(xié)議可以向用戶進行顯示的說明,讓網絡協(xié)議的參與者可以直接了解規(guī)范化協(xié)議的內容和狀態(tài)。
(2)規(guī)范化的協(xié)議由于綁定了消息塊,區(qū)分更加明顯,在避免網絡攻擊時減少了同步和重放攻擊方式。
(3)規(guī)范化協(xié)議由于綁定了參數(shù),使得網絡協(xié)議修改報文中沒有加保護的內容的主動攻擊方式無法實現(xiàn),協(xié)議參與者通過消息塊和報文狀態(tài)參數(shù)可以直接的看出報文是否被非法修改,更容易判斷和處理攻擊。
3計算機信息系統(tǒng)網絡管理規(guī)范化研究
1.1智能電網通信技術現(xiàn)狀
目前,網絡通信技術在智能電網領域應用廣泛,在發(fā)、輸、變、配、用等環(huán)節(jié)都有相應的通信標準和應用。比如,變電站與控制中心之間采用IEC61970或IEC61968標準;變電站自動化系統(tǒng)內部使用IEC61850標準通信。當前電網通信技術及標準種類多且兼容性不足,通信技術不能滿足不斷發(fā)展的用戶端新的要求,比如電動汽車、智能家居和智能電表等。
1.2智能電網用戶端通信技術
智能電網用戶端涉及的領域較廣,在不同的應用領域有不同的通信技術存在,這是由于各種通信技術在不同時間階段不同行業(yè)發(fā)展有各自不同特點所形成。隨著新技術的發(fā)展,多元化的通信技術在智能電網用戶端系統(tǒng)中得到廣泛的應用。
(1)InternetIP使用IP基礎網絡的優(yōu)勢在于與互聯(lián)網的有效銜接。用戶端通信采用基于TCP/IP的網絡,可以非常便捷地與現(xiàn)有網絡互聯(lián)互通。其好處還在于大量IP成熟標準、有效工具能直接應用到用戶端的應用軟件。此外,IP基礎網絡支持帶寬共享和動態(tài)路由能力,在智能電網用戶端中對最小存取延遲,最大丟包率或最小帶寬現(xiàn)狀等有特殊要求的應用,一些IP如多協(xié)議標簽交換(MPLS)技術可滿足此特殊要求。
(2)光纖以太網通信它采用光纖介質運行以太網LAN數(shù)據(jù)包。物理層和數(shù)據(jù)鏈路層以任何標準的以太網速度運行,也可以實現(xiàn)交換機的速率限制功能,以非標準的以太網速度運行,最高可以達到10Gbit/s。目前光纖以太網通信在電力監(jiān)控系統(tǒng)中已有商業(yè)化產品投入運行。
(3)電力線寬帶(BPL)該技術采用電力線傳輸數(shù)據(jù)。通過電力調制解調器可以在一定區(qū)域內任意的電源插座上實現(xiàn)網絡接入。電力線寬帶在缺少其它通信網絡的地區(qū)有著廣闊的應用前景,其優(yōu)點在于利用現(xiàn)有電力線上網而無新增通信線纜鋪設投資。但目前的BPL能夠提供的最大帶寬為4MB。因為電力網使用的大多是非屏蔽線,電磁兼容性的問題嚴重影響網絡的傳輸速度。
(4)3G移動通信利用現(xiàn)有3G移動通信可以避免建立專門的無線網絡所需的大量投資,使用方便、靈活。但若大量使用成本投入會較高,且日常的運行、管理、維護費用較高。故此通信技術適用于重要、且節(jié)點數(shù)少的遠距離智能電網用戶端通信場合。
(5)無線通信(ZigBee、WiMedia、Wi-Fi)Wi-Fi技術具有較高的成本效益,能夠進行升級擴展以覆蓋大型地域和多個端點,且無需鋪設電纜。ZigBee通信使用跳頻擴頻無線技術,該技術具有可靠性高、傳輸速率低、傳輸距離遠的優(yōu)點,由此解決了傳輸堵塞和干擾。WiMedia通信的物理層采用超寬帶標準,其解決方案的射頻覆蓋水平與ZigBee相似,其數(shù)據(jù)傳輸速率高,并具有網狀網絡功能。
(6)現(xiàn)場總線通信20世紀80年代中期產生的現(xiàn)場總線技術,相比傳統(tǒng)控制系統(tǒng),其特征為:數(shù)字化、全雙工傳輸、分支結構多?,F(xiàn)場總線技術實現(xiàn)了工業(yè)控制系統(tǒng)的分散化、網絡化和智能化,導致其體系結構和功能產生重大發(fā)展。
(7)通用工業(yè)協(xié)議(CIP)CIP是面向對象的工業(yè)網絡控制協(xié)議。根據(jù)OSI/ISO七層協(xié)議模型,DeviceNet協(xié)議定義了七層模型中的物理層、數(shù)據(jù)鏈路層和應用層。而CIP協(xié)議是七層模型中的最上層———應用層。CIP協(xié)議是De-viceNet的應用層,同時是ControlNet、EtherNet/IP、CompoNet的應用層。DeviceNet和ControlNet、Eth-erNet/IP、CompoNet共用同一個應用層協(xié)議CIP,但它們有各自的數(shù)據(jù)鏈路層和物理層。
(8)工業(yè)以太網技術當前,工業(yè)以太網技術的性能不斷提高,成本不斷下降,其在工業(yè)自動化領域的發(fā)展非常迅速。相比其它現(xiàn)場總線技術,以太網技術優(yōu)勢有:1)數(shù)據(jù)傳輸速率高,達到100Mbit/s;2)不同的傳輸協(xié)議能在相同總線上共存;3)在以太網中,數(shù)據(jù)存取技術采用變互式和開放式;4)不同的拓樸結構和不同的物理介質得以存在和運用。
2走向集成的智能電網用戶端通信技術
2.1集成的通信技術
在智能電網設備端,目前仍然是多種現(xiàn)場總線并存。從用戶角度,希望通過通信技術集成以實現(xiàn)各種智能元器件與控制器之間的互聯(lián)互通,但并非必須用一個通信網絡來實現(xiàn)所有的功能。例如:Internet網絡并非同結構的單一網絡,但用戶確能實現(xiàn)電子郵件、文件下載、網絡瀏覽、網上游戲等不同類型的服務。從通訊協(xié)議的構筑模型角度,大多數(shù)用戶端通訊協(xié)議均根據(jù)OSI的七層模型。當前,自底層向上定義構筑統(tǒng)一整體的通信協(xié)議大量存在,這使得在相同層次上的互聯(lián)性在各標準協(xié)議之間較難集成。其實,定義OSI分層模型是為了讓不同構架、不同發(fā)展階段的通訊協(xié)議能相互獨立,使其能在獨立發(fā)展的同時具備良好的互相配合、結合,增加其相互間成為一個端對端完整協(xié)議的可能。比如,以TCP/IP協(xié)議棧為核心的Inter-net網絡協(xié)議中,不同的應用層協(xié)議可以在上層網絡存在,而大量的不同局域網、廣域網可以在下層網絡平臺上實現(xiàn)。隨著通信技術的發(fā)展,通信集成將應運而生。通信集成是指一個集成的通信軟硬件平臺融合多種通信協(xié)議及通信接口,實現(xiàn)不同通信技術的互通互聯(lián)。
2.2通信技術標準的發(fā)展及融合
【關鍵詞】WCDMA PS域尋呼 移動互聯(lián)網 智能終端 RAC分裂
中圖分類號:TN9292.53 文獻標識碼:B 文章編號:1006-1010(2013)-13-0020-03
傳統(tǒng)意義上的移動網絡尋呼主要是指CS域的尋呼,隨著移動互聯(lián)網的發(fā)展和智能終端的普及,PS域的尋呼已經成為移動網絡尋呼的主要觸發(fā)源。近年來,PS域的尋呼量快速增長,WCDMA網絡中很多區(qū)域的PS尋呼在無線尋呼忙時的比例達到80%,且仍在持續(xù)增長,這一現(xiàn)象值得深入分析。
1 尋呼相關協(xié)議規(guī)范
根據(jù)3GPP相關規(guī)范,尋呼分為兩類:paging type1和paging type2,其中類型1通過PCCH信道實現(xiàn)對基于idle、cell-pch和ura-pch狀態(tài)下UE的尋呼,類型2通過DCCH信道實現(xiàn)對cell-fach和cell-dch狀態(tài)下的特定終端進行尋呼(支持EPCH的網絡也可對處于cell-PCH狀態(tài)的終端進行類型2的尋呼)。
類型1尋呼的觸發(fā)可以來自CN網,也可以來自UTRAN網,來自CN側的尋呼通常是為了建立信令鏈接,來自UTRAN側的尋呼通常是為了通知UE更新系統(tǒng)信息、通知UE進行狀態(tài)遷移觸發(fā)小區(qū)更新或者通知UE(PCH狀態(tài)下)釋放RRC鏈接。UE通過SIB5中的相關信息、IMSI和DRX(Discontinuous Reception,非連續(xù)接收)的周期長度選擇監(jiān)聽PICH信道,并判斷是否需要進一步接收SCCPCH信道中的尋呼信道。一條尋呼消息中可以包含多個尋呼記錄,每個尋呼記錄標識一個用戶。
類型2尋呼通過DCCH信道的AM RLC模式下發(fā),不影響正在進行的RRC流程。
2 PS尋呼增長的原因
3GPP協(xié)議設計初期的重要目標是數(shù)據(jù)業(yè)務吞吐和持續(xù)連接,但是網絡的發(fā)展和原來的設想差異較大,現(xiàn)實網絡中大量傳送的并不是FTP類的應用數(shù)據(jù)。隨著移動互聯(lián)網的發(fā)展和智能終端的普及,移動通信出現(xiàn)了很多新的問題,PS尋呼擁塞就是其中之一。PS尋呼的急劇攀升,主要有兩個因素:一是移動互聯(lián)網的發(fā)展產生了大量主動的下行數(shù)據(jù)流量場景,二是長在線短連接特性的智能終端大量普及。
隨著移動互聯(lián)網的應用發(fā)展,IM、SNS、GAME等應用越來越豐富、越來越普及,網絡側主動發(fā)起下行數(shù)據(jù)流量的場景越來越多,比較典型的場景有:IM類應用的下行消息(QQ接收消息)、SNS類應用的好友狀態(tài)更新(微信系統(tǒng)更新好友狀態(tài))、在線游戲中的同伴行為更新(斗地主中下家出牌)、VoIP的被叫尋呼等,這些場景都需要CN側發(fā)起下行數(shù)據(jù)。這些場景與傳統(tǒng)的互聯(lián)網下行數(shù)據(jù)不同的地方在于:下行數(shù)據(jù)與上行數(shù)據(jù)時間上不是緊密相關的,例如網頁瀏覽時用戶發(fā)起一個HTTP的GET請求后很快就會收到200 OK和后續(xù)頁面內容,而網絡紙牌游戲中上家出牌后,下家通常需要思考一會兒才會出牌。后一種場景遇到了長在線短連接特性的智能終端就可能會引發(fā)PS尋呼。
智能終端的長在線特性指的是3G智能終端通常會在開機后主動發(fā)起PDP激活,并保持PDP激活狀態(tài),即便是網絡側將用戶去激活,終端也會很快重新發(fā)起激活。長在線特性保證了UE在發(fā)起service request時不必重新建立PDP上下文,縮短了信令連接時長;同時長在線也是業(yè)務應用的需求,保證了用戶在服務器側的在線狀態(tài),IP地址不會變更,業(yè)務可以持續(xù)開展。相關信令實例參看圖1:
智能終端的短連接特性是指終端廠商為了提高電池續(xù)航能力,在系統(tǒng)完成數(shù)據(jù)傳送后會發(fā)送SCRI快速釋放連接進入到idle狀態(tài),以減少無線收發(fā)達到節(jié)電效果。這樣形成的場景就是,玩家發(fā)牌后如無數(shù)據(jù)傳送會很快釋放RRC連接,伙伴發(fā)牌的數(shù)據(jù)要傳遞給用戶就需要CN側尋呼用戶以重新建立連接,更新數(shù)據(jù)后如果玩家思考時間較長會再次釋放連接。相關信令實例參看圖2。IM、SNS等其他應用的情況也大致如此,由此引起了大量的PS尋呼。
3 PS尋呼優(yōu)化措施
PS尋呼失敗會導致游戲中掉線、好友狀態(tài)更新慢、信息傳送不及時等感知差的用戶體驗,做好PS尋呼優(yōu)化對于提升用戶感知有著重要意義。提升PS尋呼成功率主要依靠傳統(tǒng)的尋呼成功率提升手段,以及PS特定的一些措施。
傳統(tǒng)手段包括適當增大Np值、DRX的周期長度系數(shù),必要時可調整S-ccpch、PICH和PCH的功率,調整信道數(shù)量,采用增強網絡覆蓋等。尋呼指標涉及PS域后,要特別關注由于呼吸效應引起的PS擁塞時段的實際網絡覆蓋情況;另外WCDMA網絡忙時的出現(xiàn)具有個性化特點,不同指標不同區(qū)域的忙時區(qū)別較大。
其他尋呼優(yōu)化措施包括:
(1)合理優(yōu)化核心網尋呼間隔和重呼次數(shù),保障核心與無線的重呼間隔相匹配,減少核心網無意義的重呼信令下行。
(2)開展分層尋呼策略,依次對UE最后活動小區(qū)、RA、LA進行尋呼,盡量減少大范圍的尋呼次數(shù)從而降低小區(qū)的總尋呼量。
(3)CN側尋呼時盡量使用PTMSI標識UE,可增加尋呼信道容量。合理進行路由區(qū)的規(guī)劃,在PS尋呼擁塞的路由區(qū)進行路由區(qū)分裂。如果無線側測算出每小區(qū)每秒多于100次,每LAC多于60 000用戶,則必須考慮位置區(qū)的分裂。同時,若忙時CN側尋呼中僅20%由CS觸發(fā),PS域觸發(fā)達到80%,則優(yōu)先考慮分裂路由區(qū)。
(4)延長無線釋放時延可減少尋呼量。但是修改該設置會增加資源占用,引起信道擁塞或超忙小區(qū)的增加,需專題分析、慎重采用。
4 案例分析
某省會城市WCDMA網絡中CS、PS尋呼比例變化如圖3所示:
(a)2010年10月20日21時RNC4尋呼量對比
(b)2013年2月4日PS/CS尋呼比例
該市核心城區(qū)RNC3中的某小區(qū)尋呼擁塞情況見表1(小區(qū)尋呼數(shù)和RNC的尋呼數(shù)基本相當,此處數(shù)據(jù)取自Node B的網管):
采取RAC重規(guī)劃方案,將PS尋呼量高的LAC54018下的RAC3分裂成兩個路由區(qū)(圖4),將LAC所屬小區(qū)進行重新劃分到不同路由區(qū),從而降低尋呼總量為原來的40%。
5 結束語
當前的尋呼分析要重點分析業(yè)務觸發(fā)緣由并制定相關的優(yōu)化措施,尤其要充分關注PS尋呼,并把RAC區(qū)的分裂納入到規(guī)劃中。今后越來越多的無線指標需要重新審視,拓展分析維度和范圍,尤其是指標分析中與PS域相關的因素、特定指標的專有忙時分析。
參考文獻:
[1] 3GPP TS 25.413 V7.10 Group Radio Access Network: UTRAN Iu interface RANAP signal[S]. 2009.
[2] 3GPP TS 25.331 V7.20 Radio Resource Control: protocol specification[S]. 2011.
[3] Erik Dahlman. 3G演進:HSPA與LTE[M]. 堵久輝,廖慶,徐斌,等譯. 2版. 北京: 人民郵電出版社, 2010.
摘要:從網絡安全的角度出發(fā),介紹TCP/IP計算機網絡體系結構、TCP/IP協(xié)議棧的層次結構、各層的功能、常用協(xié)議和信息數(shù)據(jù)包格式,對TCP/IP網絡的脆弱性,對網絡攻擊的方法進行分析。
關鍵詞:網絡對抗 TCP/IP協(xié)議 數(shù)據(jù)包
TCP/IP協(xié)議使得世界上不同體系結構的計算機網絡互連在一起形成一個全球性的廣域網絡Internet,實現(xiàn)信息共享,由此展開TCP/IP協(xié)議和網絡攻擊分析和研究,尋求網絡安全的措施,是有效實施計算機網絡對抗的關鍵。
一、TCP/IP協(xié)議棧
(一)因特網依賴于一組稱為TCP/IP的協(xié)議組。TCP/IP是一組通信協(xié)議集的縮寫,它包含了一組互補和合作的協(xié)議。所有協(xié)議規(guī)范均以RFC(Request for Comment)文檔給出。由于規(guī)范的不完善和實現(xiàn)上的缺陷使得針對網絡協(xié)議的攻擊成為可能。TCP/IP協(xié)議ISO/OSI參考模型將網絡設計劃分成七個功能層。但此模型只起到一個指導作用,它本身并不是一個規(guī)范。TCP/IP網絡只使用ISO/OSI模型中的五層。圖1顯示了一個簡單的五層網絡模型,其中每層都采用了TCP/IP協(xié)議。
在圖一中,有箭頭的線表示不同的網絡軟件和硬件之間可能的通信信道。例如,為了和傳輸層通信,應用程序必須與用戶數(shù)據(jù)報文協(xié)議(UDP)或傳輸控制協(xié)議(TCP)模塊對話。為了在應用程序間交換數(shù)據(jù)報文,應用層必須與互聯(lián)網控制報文協(xié)議(ICMP)或者互聯(lián)網協(xié)議(IP)模塊對話。但是,不管數(shù)據(jù)通過什么路徑從應用層到網絡層,數(shù)據(jù)都必須經過IP模塊才能到達網絡硬件。
(二)在TCP/IP協(xié)議體系結構中,每層負責不同的網絡通信功能。1.數(shù)據(jù)鏈路層: 建立,維持和釋放網絡實體之間的數(shù)據(jù)鏈路,它們一起處理與電纜(或其他任何傳輸媒介)的物理接口細節(jié),以及數(shù)據(jù)幀的組裝。典型的協(xié)議包括ARP(地址解析協(xié)議)和RARP。
2.網絡層:屬于通信子網,通過網絡連接交換傳輸層實體發(fā)出的數(shù)據(jù)。它解決的問題是路由選擇、網絡擁塞、異構網絡互聯(lián)等問題。在TCP/IP協(xié)議族中,網絡層協(xié)議包括IP協(xié)議(網際協(xié)議),ICMP協(xié)議(互聯(lián)網控制報文協(xié)議),以及IGMP協(xié)議(因特網組管理協(xié)議)。
3.傳輸層:主要為兩臺主機上的應用程序提供端到端的通信。在TCP/IP協(xié)議族中,有兩個互不相同的傳輸協(xié)議:TCP(傳輸控制協(xié)議)和UDP(用戶數(shù)據(jù)報協(xié)議)。TCP為兩臺主機提供高可靠性的數(shù)據(jù)通信,通過使用滑動窗口還可解決傳輸效率和流量控制的問題。它所做的工作包括把應用程序交給它的數(shù)據(jù)分成合適的報文段交給下面的網絡層,確認接收到的分組報文,設置發(fā)送最后確認分組的超時時鐘等。由于傳輸層提供了高可靠性的端到端的通信,因此應用層可以忽略所有這些細節(jié)。
二、常用探測技術方法
入侵者之所以能突破網絡網關是因為他們對所要突破的網絡有更多的了解。通常是使用下面幾種工具來收集信息:
1.Ping實用程序:可以用來確定一個指定的主機的位置。
2.Whois協(xié)議:具體點說,whois就是一個用來查詢域名是否已經被注冊,以及注冊域名的詳細信息的數(shù)據(jù)庫。
3.Traceroute:程序能夠用該程序獲得到達目標主機所要經過的網絡數(shù)和路由器數(shù)。
三、攻擊方法
惡意攻擊者攻擊的方法多種多樣,一般的攻擊方法有:分布式拒絕服務攻擊;網絡層協(xié)議攻擊;拒絕服務攻擊。
拒絕服務攻擊(Denial of Service),簡稱DoS。這種攻擊行動使網站服務器充斥了大量要求回復的信息,消耗網絡帶寬或系統(tǒng)資源,導致網絡或系統(tǒng)不勝負荷以至于癱瘓。拒絕服務攻擊根據(jù)其攻擊的手法和目的不同,有兩種不同的存在形式。①迫使服務器緩沖區(qū)滿,不接受新的請求。②使用IP欺騙,迫使服務器把合法用戶連接復位,影響合法用戶的連接,這也是DoS攻擊的基本思想。
網絡層協(xié)議的攻擊主要包含幾個方面。①IP地址欺騙:攻擊者假冒IP地址發(fā)送數(shù)據(jù)包,從而達到偽裝成目標主機信任的友好主機得到非授權服務。② 淚滴攻擊:發(fā)送多段數(shù)據(jù)包,使偏移量故意出錯,造成主機計算出錯,系統(tǒng)崩潰。③RIP路由欺騙:聲明攻擊者所控制的路由器A可以最快達到某站點B,從而導致發(fā)送至B的數(shù)據(jù)包經A中轉。由于A被控制,達到完成偵聽,篡改的目的。
分布式拒絕服務DDoS(distributed denial of service)攻擊就是要阻止合法用戶對正常網絡資源的訪問,從而達成攻擊者不可告人的目的。DDOS和DOS還是有所不同,DDOS的攻擊策略側重于通過被攻擊者入侵過或可間接利用的主機向受害主機發(fā)送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致合法用戶無法正常訪問服務器的網絡資源。
分布式拒絕服務攻擊的體系結構—DDoS攻擊按照不同主機在攻擊時的角色可分為攻擊者、主控端、端和受害者。分布式拒絕服務攻擊體系結構如圖二。
攻擊者采用一些典型的入侵手段,如:通過緩沖區(qū)溢出攻擊提升用戶權限;設置后門、上載木馬;通過發(fā)現(xiàn)有配置漏洞的FTP服務器TELNET服務器上載后門程序;通過窺探網絡信息,非法獲得用戶名和口令,獲得目標主機權限;通過社交工程,冒充目標主機所有者向不知情的信息服務部門打電話、發(fā)郵件獲得目標主機口令、密碼,非法入侵目標主機等等,以獲得一定數(shù)據(jù)量和規(guī)模的主機的控制權,然后在這些主機上安裝攻擊軟件。主控端的控制傀儡機用于向攻擊傀儡機攻擊命令,但控制傀儡機本身不參與實際的攻擊,實際攻擊由端的攻擊傀儡機實現(xiàn),受害主機接收到的是來自攻擊傀儡機的數(shù)據(jù)包。攻擊者在實施攻擊之前,被設置在受控主機上的程序與正常的程序一樣運行,并等待來自攻擊者的命令。
四、保障網絡安全的措施
1. 防火墻技術
防火墻技術是網絡安全的第一道門戶,實現(xiàn)信任網絡和外部不可信任網絡之間的隔離和訪問控制,保證網絡系統(tǒng)服務的可用性。防火墻的結構通常包括:①包過濾型防火墻。對進出內部網絡的所有信息進行分析,并按照一定的安全策略對進出內部網絡的信息進行限制。②雙宿網關防火墻。它由裝有兩塊網卡的堡壘主機做防火墻,對內外網實現(xiàn)物理隔開。它有兩種服務方式:一是用戶直接登錄到主機上;二是雙宿主機運行服務器。③屏蔽子網防火墻。它使用兩個屏蔽路由器和一個堡壘主機,也被定義為單DMZ防火墻結構。
2. 入侵檢測系統(tǒng)
入侵檢測系統(tǒng)作為防火墻之后的第二道屏障,通過從網絡中關鍵地點收集信息分析,對違反安全策略的行為作出相應。入侵檢測是個監(jiān)聽設備,一般部署在防火墻附近比較好。放在防火墻之外的DMZ中,可以使監(jiān)聽器能夠看見所有來自Internet的攻擊,從而了解被攻擊的重點方面。放在防火墻之內,減少攻擊者的行動被審計的機會,減少誤報警,而且如果本應由防護墻封鎖的攻擊滲透進來,可以發(fā)現(xiàn)防火墻的設置失誤。
[關鍵詞] XML安全身份驗證數(shù)字簽名加密
一、引言
電子商務是指各行各業(yè)的各種業(yè)務和管理的信息化,它不僅僅是商務的電子化、網絡化和數(shù)字化,而且是一種新的經營、管理和業(yè)務模式。XML的全稱是可擴展置標語言(XML,extensibleMarkup Language),它是一種開放型數(shù)據(jù)描述語言?;赬ML技術的Web服務的出現(xiàn),改變了目前開發(fā)模式和應用部署的費用規(guī)模。各種Web服務實現(xiàn)了一定的電子商務功能,通過將各種電子商務的Web服務進行組合和集成以創(chuàng)建動態(tài)電子商務應用。
由于Internet是公開的網絡,任何人都可能修改網絡上的數(shù)據(jù);而XML作為數(shù)據(jù)載體(只定義了數(shù)據(jù)格式),沒有實現(xiàn)數(shù)據(jù)的安全保護。因此XML數(shù)據(jù)處理的安全問題成為當前電子商務應用的瓶頸之一。同時,也只有解決了XML數(shù)據(jù)安全問題,XML才能得到更廣泛應用,它在電子商務中的巨大潛在價值才能真正得到體現(xiàn)。XML基礎和核心就是近年來興起的Web服務(Web Services ,WS),一個完整的Web服務體系需要有一系列的協(xié)議規(guī)范來支撐。其整體架構如圖所示。
具有這種架構的Web服務的優(yōu)點有兩點:
1.互操作性。Web服務之間可以進行交互,并且允許在不同平臺上、以不同語言編寫的各種程序以基于標準的方式相互通信。
2.使用協(xié)約的規(guī)范性,Web服務使用標準的協(xié)議規(guī)范。其中,SOAP用來定義數(shù)據(jù)描述和遠程訪問的標準;WSDL是和請求Web服務的描述語言:UDDI則負責把Web服務與用戶聯(lián)系起來,起中介作用。
本文通過分析XML數(shù)字簽名標準和XML加密標準,深入研究了標準的可擴展性,并基于Java語言,提出并完成了一個開放、靈活和通用的XML數(shù)據(jù)安全系統(tǒng)XDSec,并且,利用安全斷言標記語言(Security Assertion Markup Language,SAML)實現(xiàn)XML密鑰管理服務(XML Key Management Services)。
二、XML數(shù)字簽名和加密規(guī)范
1999年,W3C和IETF提出了XML數(shù)字簽名標準,并于2001年4月19日成為W3C候選推薦標準(W3C Candidate Recommendation),而XML加密標準開始于2000年4月,由W3C獨自制定。
XML加密和XML數(shù)字簽名是兩個既獨立又緊密相關的技術,XML加密保證數(shù)據(jù)的機密性,XML數(shù)字簽名保證數(shù)據(jù)的確認性、完整性和不可否認性。兩者結合,共同實現(xiàn)網絡數(shù)據(jù)安全的共性要求。
1.XML加密。與XML數(shù)字簽名類似,本文同樣給出加密語法的非正式表示如下:
其中,元素EncryptedData標識了整個XML加密,其內容模型只允許有3個子元素:加密算法元素(EncryptionMethod)、密鑰信息元素和密文數(shù)據(jù)元素(CipherData)。
2.XML數(shù)字簽名。為便于描述,本文給出XML簽字語法的非正式表示如下:
其中“?”表示出現(xiàn)0次或者1次;“+”表示一個或者多個;“3”代表0個或者更多。元素Signature標識了整個XML數(shù)字簽名,它包含了4個關鍵子元素:簽字信息元素(SignedInfo)、簽字值元素(SignatureValue) ,密鑰信息元素(KeyInfo),以及客體元素(Object) 4個關鍵子元素。
三、安全斷言標記語言(SMAL)
在開放的網絡世界里,可能有許多不同的商務實體訪問Web服務,因此,在Web服務器的配置中對每個實體設置密碼和用戶名是不合適的。在這種情況下,為了解決認證的問題,提出了一種叫做安全斷言的思想。
SAML采用XML的格式,定義了三種安全斷言:認證斷言(SAML-AUTH)、屬性斷言(SAML-ATTR)和授權決定斷言(SAML-DEC)。這些斷言由各自不同的機構產生,這些機構可能與Web服務處于同一公司中,而且能夠在Internet上任何地方被尋址和定位。
首先,購物訂單客戶用用戶名和密碼向安全斷言機構發(fā)送一個請求,安全斷言機構對其進行認證并且返回一個包含認證斷言和屬性斷言的文檔。然后,購物訂單客戶將安全斷言附在SOAP消息的頭部,向購物訂單服務方發(fā)送一個購物訂單,購物訂單服務方依據(jù)接收的斷言進行授權決定。
一個安全斷言文檔相當于一種票據(jù)。該票據(jù)攜帶者的身份不是由接收者認證,而是由專門的機構進行認證。標準的安全斷言會在商業(yè)中產生巨大影響,因為它不再需要每個公司去管理與它們有業(yè)務往來公司的認證信息。
四、應用分析
XML數(shù)據(jù)安全系統(tǒng)XDsec適用于基于互聯(lián)網、以XML為描述語言的電子商務系統(tǒng)和其他信息處理系統(tǒng)的簽字、加密,本文以典型的電子商務應用為例,說明XDSec的應用模式。
例:商家C收到消費者A發(fā)來的訂單,訂單的內容包括消費者的購物信息和消費者的信用卡信息(用戶賬號、密碼等)。商家C從訂單中獲取購物信息,但是出于安全考慮,商家C不應該看到消費者的信用卡信息,而是將信用卡信息轉送給銀行B。
顯然,在這種典型的應用場景中,商家C和銀行B分別需要看到(而且只能看到)訂單的局部內容,因此,需要對XML文檔的部分內容加密和簽字。這種安全需求可以利用XDSec實現(xiàn),其方法如下:
1.消費者A生成訂單后,首先用A的私密密鑰分別對購物信息和信用卡信息簽字;接著用對稱密鑰K1加密購物信息,再用商家C的公鑰加密對稱密鑰K1,從而保證只有商家C才能解開購物信息。最后用對稱密鑰K2加密信用卡信息,再用銀行B的公鑰加密對稱密鑰K2,從而保證只有銀行B才能解開信用卡信息。
2.商家C收到A的購物訂單,解密購物信息,確認購物信息來自消費者A,驗證購物信息的完整性。根據(jù)用戶的購物信息計算購物金額,對轉賬信息簽字和加密,再結合訂單中的信用卡信息一起轉發(fā)給銀行B。
3.銀行B分別解密和驗證信用卡信息和轉賬信息。
五、小結
1.1策略模型的構建
在網絡架構技術層面,由于不同網絡節(jié)點之間的轉換方式不同,大多需要在IETF協(xié)議中構建,相對于管理邏輯區(qū)域的劃分,可以通過組策略的形式進行內部聯(lián)系,并對應用技術范圍進行闡釋,再進行轉化后刪除無關命令。網絡構建的重要模式需要基于邏輯思維角度,由于設備視點中的不同網絡之間的聯(lián)系具有不完全性,因此需要通過服務器平臺的控制對網絡管理策略進行優(yōu)化。目前對于網絡策略管理的方法較多,較為常用的如對策略進行系統(tǒng)劃分、網絡設備平臺的連接與管理,以及網絡構建的基本獨立性開發(fā)等,以便對網絡內容區(qū)域進行修正。
1.2網絡策略的應用
商務網絡應用與商務辦公網絡的基本表達形式相對固定,其網絡構建以自然語言作為區(qū)分要點,而自然語言所包含的網絡子集范圍較為廣泛,可以根據(jù)用戶的不同需求定制網絡協(xié)議功能,從而實現(xiàn)商務辦公的基本要求。而部分商務網絡在實現(xiàn)其工作職能的本身,也需要對視點目標進行判斷和分析,從而以自然語言的方式對目標進行重新構建。商務網絡視點環(huán)境中,需要對視點策略進行二次解析,從而分析出視點策略的真實性。由于網絡視點策略在正常使用過程中,需要通過數(shù)據(jù)庫支持才能獲取信息,因此可以通過數(shù)據(jù)庫傳輸?shù)慕M建對視點網絡策略進行策略優(yōu)化,從而實現(xiàn)多方法運行與智能化學習的過程。視點網絡構建模式具有相對獨立性,通常是采用一套規(guī)則的語言組合,對訪問者以及管理者的不同指令進行識別,從而進行信息交互,對網絡基本運行狀態(tài)造成影響,并弱化網絡策略發(fā)生異常的幾率。目前常用的方法是通過軟件來解析端口異常情況,在設備獨立運行的過程中具體實現(xiàn)網絡視點的基本操作方式。設備視點的建立需要通過網絡協(xié)議與通信規(guī)則進行調控,在設備運行期間,設備輸出語言對不同的網絡協(xié)議許可進行解析,并根據(jù)不同的解析原理對管理策略進行調整,但需要注意的是要保證網絡控制端命令的準確性和唯一性。在不同設備的聯(lián)網使用過程中,由于系統(tǒng)參數(shù)與配置等差異,協(xié)議許可也就產生變化,從而需要不同的命令控制。對于視點網絡的自動化運行,需要把握好相關控制命令,并根據(jù)網絡協(xié)議區(qū)分命令控制策略,最終將網絡策略應用于各類設備控制當中。
2事業(yè)單位網絡輿情當下管理機制隱藏的問題
2.1管理觀念較為陳舊
當前,大多數(shù)事業(yè)單位對社會輿情信息的分析還保持著傳統(tǒng)的工作模式中,大多都是事情出來以后,再以救火的方式進行處理,只重視危機發(fā)生后的處理,而對危機發(fā)生前的信息收集以及分析等管理工作十分落后,在危機預警方面非常滯后。
2.2事業(yè)單位輿情管理部門缺少合作
事業(yè)單位中,大多數(shù)都與相關部門密切聯(lián)系,比如:網絡中心、業(yè)務辦理中心等,多頭管理問題較為突出?;旧厦恳粋€部門就有一個屬于自己的輿情管理小組,在發(fā)生了緊急輿情時,各部門之情缺少有效的合作,在工作中缺少相關的配合以及信息共享,沒有形成合理高效的工作聯(lián)動機制開展管理工作。2.3事業(yè)單位中輿情管理體系尚不完善從一些典型的實例來看,目前只有少數(shù)的事業(yè)單位建立了將為健全的輿情管理體系。因為管理體系尚不健全,所以,一旦有責任人出現(xiàn)了管理問題,也無法及時進行懲處,而且很少有人會主動承擔責任,大多數(shù)是相互推諉,嚴重的甚至隱瞞具有的實情。
3完善事業(yè)單位網絡信息安全管理機制的措施
3.1做好網絡共享和惡意代碼之間的控制
網絡資源實行共享,方便了不同單位、不同部門、不同用戶對資源的需求,但是,也存在著一定的不安全性,惡意代碼可以充分利用網絡環(huán)境擴散以及信息共享條件等漏洞,威脅了網絡信息的安全,影響是不容忽視的。如果對惡意信息交換不做好管控,將非常容易造成網絡QoS降低,嚴重的會造成系統(tǒng)癱瘓,導致系統(tǒng)不能正常工作。
3.2安全規(guī)范和信息化建設操作不協(xié)調
在網絡安全建設中,并沒有統(tǒng)一的操作,基本是哪里有漏洞就補哪里的形式,這樣嚴重的阻礙了信息安全共享,同時也留下了許多安全隱患。
3.3控制好進口產品和安全自主控制
當前,國內的信息化技術并不高,造成出多的信息化技術需要依靠從國外進口,不管是軟件還是硬件,都或多或少的受到了一些限制。在關鍵技術都從國外進口的背景下,如果出現(xiàn)安全問題后果是無法想象的。
3.4IT產品大規(guī)模攻擊與單一性問題
在信息系統(tǒng)中,不管是軟件還是硬件,都具有單一性,比如:同一個版本的操作軟件、同一個版本的操作系統(tǒng),在這種情況下,攻擊者通過軟件編程,能讓攻擊自動化完成,進而危及大片網絡安全,這樣就導致了“零日”攻擊,出現(xiàn)了計算機病毒等大型安全事件。
3.5網絡安全管理要素需要根據(jù)當前IT產品的不足與缺陷進行分析,目前網絡信息系統(tǒng)中,對于IT產品的應用較為廣泛
主要有:通信信息系統(tǒng)、數(shù)據(jù)處理系統(tǒng)、操作平臺等。但由于不同軟件與系統(tǒng)之間,需要共同的協(xié)議構架來形成有機的整體,因此需要把握系統(tǒng)與設備之間的互異性。目前生產廠家開發(fā)的IT產品種類繁多,數(shù)據(jù)安全協(xié)議也五花八門,信息安全共享協(xié)議在一定區(qū)域內執(zhí)行共同協(xié)議規(guī)范,但跨區(qū)域協(xié)議之間存在一定的交流障礙,使得網絡安全信息系統(tǒng)無法形成統(tǒng)一的構建,從而無法形成統(tǒng)一的管理模式,因而使得網絡安全事故頻發(fā)。
4結論
關鍵詞:FPGA;以太網;TCP/IP協(xié)議;DM9000
中圖分類號:TP301 文獻標識碼:A 文章編號:1672-7800(2013)005-0022-02
0、引言
隨著網絡通信技術的飛速發(fā)展,越來越多的測試儀器需要將大量數(shù)據(jù)傳送給終端計算機進行解析處理,抑或從PC機傳送大量數(shù)據(jù)給相應設備?,F(xiàn)在常用的數(shù)據(jù)傳輸方式(usb、總線)中,雖說數(shù)據(jù)傳輸?shù)乃俾瘦^快(可達400Mb/s),但是傳輸距離過短成為其不可避免的缺點。而百兆以太網中點對點間的數(shù)據(jù)傳送距離可達100m,如果借助交換機或者路由器等設備可以實現(xiàn)更遠距離傳輸。本文以FPGA為基礎,在硬件上完成簡化的TCP/IP協(xié)議棧,用來獲取必須的協(xié)議處理機能,實現(xiàn)三態(tài)以太網嵌入式系統(tǒng)設計。
1、系統(tǒng)硬件設計
該系統(tǒng)以Altera公司的EPIC12型FPGA芯片作為中心控制單元,另外還需兩片作為緩存數(shù)據(jù)用的SRAM,以太網接口芯片采用DM9000。系統(tǒng)具體硬件框圖如圖1所示。
DM9000是一款全集成、功能強大、性價比高的快速以太網MAC控制器。該芯片擁有一個通用處理器接口、10/1()()PHY、EEPROM和16kB的SRAM。DM9000支持8位、16位以及32位的接口訪問內部存儲器,可以支持不同型號的處理器。該芯片的PHY協(xié)議層接口完全可以使用10MBps下的3/4/5類非屏蔽雙絞線和100MBps下的5類非屏蔽雙絞線,很好地對應IEEE 802.3u規(guī)范。DM9000實現(xiàn)以太網媒體介質訪問層(MAC)和物理層(PHY)的功能,其中包含MAC數(shù)據(jù)幀的組裝/拆分與發(fā)送接收、地址的識別、CRC編碼/校驗、MLT-3編碼器、接收噪聲抑制、輸出脈沖形成、超時重傳、鏈路完整性測試、信號極性檢測與糾正等。
2、TCP/IP協(xié)議實現(xiàn)
2.1 TCP/IP協(xié)議
TCP/IP協(xié)議就是傳輸控制協(xié)議/互聯(lián)網協(xié)議,它是一個真正實際的開放性通信協(xié)議規(guī)范,其開放式的特點使得計算機之間都可以通過此協(xié)議來完成數(shù)據(jù)的交換,而不管這些設備擁有不同的物理特性或者各自運行著不同的系統(tǒng)。
與其它網絡協(xié)議相同,TCP/IP協(xié)議的開發(fā)也是分不同層次進行的。與ISO開發(fā)的OSI模型相比,TCP/IP的四層模型顯得更為靈活,原因在于它著重強調功能分布而不是功能層次的劃分。
ARP協(xié)議負責IP地址與MAC地址之間的轉換工作,IP協(xié)議實現(xiàn)網絡層數(shù)據(jù)的封裝工作以及路由功能,而TCP和UDP是運輸層的協(xié)議,主要完成傳輸數(shù)據(jù)的封裝、實現(xiàn)可靠穩(wěn)定傳送以及流量的監(jiān)控。ICMP是報文控制協(xié)議,它是一種輔協(xié)議,所具有的Ping功能可以用來診斷網絡性能。在一個正常通信過程中,ARP/IP協(xié)議是必需的,而TCP/UDP實現(xiàn)一種即可。在FPGA用硬件完成ARP\P和UDP比較簡單,而TCP協(xié)議在連接時的握手機制、數(shù)據(jù)發(fā)送接收的校驗機制以及流量的控制,實現(xiàn)起來較為復雜,因此從系統(tǒng)的復雜度來考慮,本文并沒有實現(xiàn)TCP/IP協(xié)議,實現(xiàn)了相對較為簡單的UDP協(xié)議。
2.2 系統(tǒng)模塊構成
本系統(tǒng)的協(xié)議棧功能由網絡控制模塊、數(shù)據(jù)接收解析模塊、ARP應答發(fā)送模塊、Ping應答發(fā)送模塊、UDP發(fā)送模塊和調度模塊構成。每個模塊間相互的接口聯(lián)系如圖3所示。
因為每個模塊都有分時訪問DM9000接口總線的要求,所以必須要有一個調度模塊執(zhí)行中心控制工作,利用開始與結束信號來同步。在接受到中斷信號時,調度模塊只有在總線空閑狀態(tài)時才會開啟接收模塊,接收模塊解析完MAC層數(shù)據(jù)包后會發(fā)送對應的請求訊號:ARP應答請求、Ping應答請求,此時必需的應答參數(shù)也會輸出。在總線空閑時,調度模塊會依據(jù)請求信號開啟對應的應答模塊進行工作。接收模塊在收到已定義端口UDP數(shù)據(jù)包后將有效數(shù)據(jù)寫入SRAM中,供其它的應用模塊使用。
2.3 DM9000接口控制
DM9000內部存儲器由物理層寄存器、鏈路層寄存器和數(shù)據(jù)緩沖三部分組成,與該芯片進行的所有數(shù)據(jù)交換作都必須通過此三部分寄存器來完成。為遵循DM9000接口時序規(guī)范,接口邏輯需分層設計,I/O讀寫模塊位于最底層,第二層為物理寄存器讀寫,接下來是鏈路層寄存器讀寫模塊,而最上層是初始化模塊,主要完成接口芯片內物理寄存器與鏈路寄存器的初始化工作,比如MAC地址、中斷設置以及數(shù)據(jù)包過濾條件等等。
3、實驗結果及系統(tǒng)性能分析
3.1 接收處理能力
在計算機端編寫一死循環(huán)程序,用來發(fā)送有效數(shù)據(jù)大小為1 400Byte的UDP數(shù)據(jù)包。當PC端的發(fā)送軟件運行后,網絡傳輸速率可以達到98Mb/s,利用Ethereal能夠看出,相鄰的UDP數(shù)據(jù)包的間隔為10tLs~200tLs。圖4為抓取的FPGA引腳信號波形,通道1為DM9000接收的中斷信號,通道2為FPGA接收處理開始及結束信號。
3.2 發(fā)送處理能力
如果系統(tǒng)以最大速率發(fā)送含有1400比特的UDP數(shù)據(jù)包,傳送速率可以達到98Mb/s。因為UDP未設計流量監(jiān)控與確認功能,所以在編寫應用軟件的時候需要特別注意,必須加大Socket的緩沖區(qū)大小以及增加數(shù)據(jù)處理的速率,不然會出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象。
關鍵詞:單片機;自定義DHCP;TCP;thernut
中圖分類號:TN711文獻標識碼:A文章編號:1007-9599 (2010) 03-0065-02
Based on MCU Custom DHCP Protocol design and Analysis
Zhang Shu,Peng Yang,Zhao Xin
(Huanghuai University. Department OF Information Engineering,ZhuMaDian463000,China)
Abstract:With the rapid development of computer network technology, Allowing Internet users growing exponentially in the use of computer networking at the same time, various household appliances, instrumentation and industrial production data acquisition and control devices are gradually moving towards networked, you can Sharing vast network of information resources.Web-based applications, is currently embedded devices usually use the PC machine or ARM32-bit microprocessors as hardware to Windows CE or Linux operating system, such as ageneral-purpose software, such a structure the development cycle is short, strong function, data transfer rate high.However, there are also costly and bulky, power-hungry and poor real-time shortcomings.
Keywords:MCU;Custom DHCP;TCP;Ethernut
一、關于自定義DHCP協(xié)議的實現(xiàn)的現(xiàn)狀分析
一方面,目前,校園網已成為高等學校的重要組成部分。隨著校園網的擴大以及移動辦公逐步要求的增加,如果仍然采用靜態(tài)地址分配的方法進行IP管理,不僅使網絡管理人員的工作量極大地增加,同時由于一些用戶記不清自己的IP地址,在重新安裝系統(tǒng)后亂用IP地址,造成IP地址沖突或無法正常上網,影響校園網用戶的正常使用。為防止類似的事情發(fā)生,在校園網的IP地址分配可采用動態(tài)主機配置協(xié)議(DHCP),DHCP可自動將IP地址、掩碼、網關、DNS分配給用戶。目前基于網絡應用的嵌入式設備通常都是使用PC機或ARM等32位微處理器作為硬件,以Windows CE或Linux等通用操作系統(tǒng)作為軟件,這種結構開發(fā)周期短、功能強、數(shù)據(jù)傳輸速率高,但是也存在著成本高、體積大、功耗大及實時性差等缺點。因此具有生產成本低、功耗少、體積小且實時性好等優(yōu)點。實現(xiàn)了單片機的DHCP客戶端和服務器協(xié)議,就可以使網絡協(xié)議的互聯(lián)――即通過單片機動態(tài)分配IP單片機(客戶端)互聯(lián)。
二、關于基于單片機自定義DHCP協(xié)議開發(fā)的意義
(一)Ethernut是一個源代碼開放的操作系統(tǒng),我們可以在它的基礎上進行二次開發(fā),這是很好的一個軟件平臺,省去了商業(yè)軟件的購買費用。
(二)而目前的市場上以太網開發(fā)版.沒有DHCP應用協(xié)議,可以自定義一個類似DHCP協(xié)議,加載到已經編好的系統(tǒng)中去。便可以實現(xiàn)網絡協(xié)議的互聯(lián)――即通過單片機動態(tài)分配IP單片(客戶端)互聯(lián)。
(三)目前從事這方面的研究人員很少,資料很少,所以是一個很新的網絡系統(tǒng)。
三、DHCP協(xié)議的基本工作原理
DHCP協(xié)議可以快速、方便和有效地為局域網中的每一臺計算機自動分配分配IP地址,并完成每臺計算機的TCP/IP協(xié)議配置,包括IP地址、子網掩碼、網關,以及DNS服務器等。這樣在局域網別是大型局域網中,管理員就不必為每一臺計算機手工配置TCP/IP協(xié)議了,也避免了IP地址重復的問題。DHCP客戶端第一次從DHCP服務器租用到IP地址之后,并非永久的使用該地址,只要租約到期,客戶端就得釋放(release)這個IP地址,以給其它工作站使用。當然,客戶端可以比其它主機更優(yōu)先的更新(renew)租約,或是租用其它的IP地址。動態(tài)分配顯然比自動分配更加靈活,尤其是當實際的IP地址不足的時候,可以使IP得到充分利用。
DHCP協(xié)議的基本工作原理示意圖
為什么要基于單片機設計自定義DHCP協(xié)議?很明顯,相比與一般的計算機,在工業(yè)生產及我們現(xiàn)實生活中對于一些設備的自動化控制單片機的性價比非常突出。它的優(yōu)點主要有:
1.功耗低。它具有5種工作模式:掉電模式,省電模式,休眠模式,待機模式,工作模式。在一般不需要整片芯片工作的情況下可以使芯片工作在待機模式,在這種情況下只有晶振工作,其他模塊都處于休眠模式,功耗極低,同時又可以使芯片快速的啟動。
2.工作速度快。芯片采用哈佛結構,數(shù)據(jù)和程序是分開的。一個時鐘周期可以處理兩到三條指令,大大增加了程序的執(zhí)行效率。芯片具有兩個獨立的寄存器,數(shù)據(jù)吞吐量可達1M,與普通的單片機相比吞吐量大10倍左右。
四、設計的基本思路
(一)運用DHCP協(xié)議規(guī)范AVR系統(tǒng)
(二)應用Ethernut系統(tǒng)、擬定軟件平臺及電路硬件平臺。
1.由于Ethernut是一個源代碼開放的操作系統(tǒng),是一個很好的一個軟件平臺,我們可以在它的基礎上進行進一步的開發(fā),可以在網上免費下載省去了商業(yè)軟件的購買費用。Ethernut是一個開放硬件和軟件設計方案嵌入式協(xié)議棧,網站上公布了其設計構想過程,任何人都可以自由下載并利用這些代碼來開發(fā)商用產品。Ethernut用戶可以很方便地對其功能進行增刪,定制出適合自己的以太網解決方案。
2.DHCP協(xié)議的編寫,我們可以依據(jù)標準協(xié)議RFC(RequestForComments)文件,在熟悉單片機硬件系統(tǒng)的基礎上進行編寫。還可以刪減標準協(xié)議(例如中繼)來簡化代碼,使程序得到最優(yōu)化。把編寫好的DHCP客戶端和服務器端協(xié)議分別加載到已經編好的系統(tǒng)中,調試以后,通過已有的網絡連接設備把單片機互聯(lián)便可以實現(xiàn)網絡協(xié)議的互聯(lián)。
(三)編寫DHCP程序,并測試其功能
1.DHCP自定義協(xié)議數(shù)據(jù)包格式。
2.ETHERNET系統(tǒng)下構建網絡環(huán)境。
3.DHCP服務器和DHCP客戶端程序設計。
(四)設計電路并制板調試程序
五、小結:
基于單片機自定義DHCP協(xié)議的設計有很大的市場前景,單片機的應用領域越來越寬,相比于一般計算機它有很高的性價比,自定義DHCP的可以有效的解決IP地址不足而又不影響所有單片機(計算機)正常通信的問題,而且自定義DHCP對使用者有很大的安全性,比如自定義的DHCP值允許局域網內機器相互通信,杜絕外部計算機的訪問,從而預防內部機密文件的泄露問題。
參考文獻:
[1]沈文,黃力岱,吳宗鋒.AVR片機C語言開發(fā)應用實例.清華大學出版社,2005
[2]馬潮.AVR單片機嵌入式系統(tǒng)原理與應用實踐.北京航天航空大學出版社,2007
[3]張毅剛.單片機原理及應用.高等教育出版社,2003
關鍵詞:寬帶骨干網;X.25;幀中繼;ATM;IP;MPLS
中圖分類號:TP393文獻標識碼:A文章編號:1007-9599 (2011) 06-0000-02
Main Network Technology of Broadband Communication Network
Wu Di,Yao Hui
(Institute of Communication Engineering,Jilin University,Changchun130012,China)
Abstract:This paper discusses the emergence of broadband backbone network technology and development,describes the basic knowledge and some of its key technologies and discusses their advantages and disadvantages,at this level in the future prospects of their application and development.
Keywords:Broadband backbone network;X.25;Frame relay;ATM;IP;MPLS
寬帶通信網是一種全數(shù)字化、高速、寬帶、具有綜合業(yè)務能力的智能化通信網絡。寬帶通信網的顯著特點就是在信息數(shù)據(jù)傳輸上突破了數(shù)量、容量、時間空間的限制。寬帶通信網絡可大致分為寬帶骨干網絡和寬帶接入網絡兩個層面。寬帶骨干網絡經過了幾個階段的發(fā)展。下面從X,25,幀中繼(FR),異步轉移模式(ATM),多協(xié)議標簽交換(MPLS),IP網絡技術方面了解一下。
一、X.25網絡
X.25網絡是第一個面向連接的網絡,也是第一個公共數(shù)據(jù)網絡,其數(shù)據(jù)分組包含3字節(jié)頭部和128字節(jié)數(shù)據(jù)部分。X.25協(xié)議是CCITT(ITU)建議的一種協(xié)議,它定義終端和計算機到分組交換網絡的連接。分組交換網絡在一個網絡上為數(shù)據(jù)分組選擇到達目的地的路由。來自一個網絡的多個用戶的信號,可以通過多路選擇通過X.25接口而進入分組交換網絡,并且被分發(fā)到不同的遠程地點。X.25在OSI模型的第一、二、三層上運行。
OSI模型分層
3-網絡層;2-數(shù)據(jù)鏈路層(MAC/LLC);1-物理層
X.25的分組交換體系的優(yōu)點是:X.25很容易建立,很容易理解,并且已被遠程終端或計算機訪問,以及傳輸量較低的許多情況所接收。X.25可能是電話系統(tǒng)網絡不可靠的國家建立可靠網絡鏈路的唯一途徑。在美國,大多數(shù)電訊公司和增值電信局(VAC)提供X.25服務。
它也有很多缺點,例如:由于分組可以通過路由器的共享端口進行傳輸?shù)模跃痛嬖谝欢ǖ姆职l(fā)延遲。雖然許多網絡能夠通過選擇回避擁擠區(qū)域的路由來支持過載的通信量,但是隨著訪問網絡人數(shù)的增多,用戶還是可以感覺到性能變慢了。
二、幀中繼(Frame Relay)
X.25網絡運行10年后,20世紀80年代被無錯誤控制,無流控制,面向連接的新的叫做幀中繼的網絡所取代。簡單點說幀中繼就是一種減少結點處理時間的技術。它不使用差錯恢復和控制流量控制機構。
幀中繼工作在OSI模型的第一、二層上,即物理層和數(shù)據(jù)鏈路層。有兩種虛電路存在于幀中繼中:交換虛電路(SVC)和永久虛電路(PVC)。其網絡的吞吐量的提高是這樣實現(xiàn)的,當幀中繼交換機收到一個幀的首部時,只要出幀的目的地址就立即轉發(fā),這樣就大大的減少了在網絡中的處理時間。幀中繼是一種寬帶分組交換,使用復用技術時,其傳輸速率可高達44.6Mbps。它為跨越多個交換機和路由器的用戶設備間的信息傳輸提供了快速和有效的方法。幀中繼是一種數(shù)據(jù)包交換技術,與X.25類似。它可以使終端站動態(tài)共享網絡介質和可用帶寬。
幀中繼之所以發(fā)展在X.25之上是有其獨特的優(yōu)點的:
1.幀中繼提供的是數(shù)據(jù)鏈路層和物理層的協(xié)議規(guī)范,任何高層協(xié)議都獨立于幀中繼協(xié)議;2.幀中繼通過取消網絡自身進行流控和錯誤處理,避免了因網絡自身做這些事情而導致的延遲;3.采用變長幀處理局域網和廣域網之間斷斷續(xù)續(xù)的數(shù)據(jù)傳輸。解決了動態(tài)網絡變化的問題;4.速度快,網絡時延低,設備費用低,帶寬利用率高;5.大量的速度等級可供選擇,以64kbps為等級從64kbps-1.544Mbps;6.在幀中繼中,相對專用網絡來說,在每個地點的硬件需求減少了,因為幀中繼利用PVC,因此中心節(jié)點要求的路由器和DEC設備也相應減少了。
目前幀中繼的主要應用之一是局域網互聯(lián),特別是在局域網通過廣域網進行互聯(lián)時,使用幀中繼更能體現(xiàn)它的等優(yōu)點。但是在教育,政府,醫(yī)療保健,法律,商業(yè)等等很多領域都有應用。
但是,幀中繼也有其局限性,它不適合于傳輸諸如話音、電視等實時信息,它僅限于傳輸數(shù)據(jù)。由于模擬電話量小造成模數(shù)轉化成問題。某些國家還沒有幀中繼服務,這使國際接入不能實現(xiàn)。
三、異步轉移模式(Asynchronous Transfer Mode)
90年代以后,出現(xiàn)了面向連接的ATM網絡。
ATM是以信元為基礎的一種分組交換和復用技術,它是一種為了多種業(yè)務設計的通用的面向連接的傳輸模式。它將數(shù)據(jù)分成大小相同的信元(cell),并在每個信元前附上信元頭,以保證每個信元都可以通過路由到達它的目的地。ATM選擇固定長度短信元(53字節(jié))作為信息的傳輸單位,有利于寬帶高速交換。其中5B為信元頭,用來承載該信元的控制信息;48B為信元體,用來承載用戶要分發(fā)的信息。ATM使用4層結構的協(xié)議參考模型:
ATM模型
4-更高層次;3-ATM適配器;2-ATM層;1-物理層
其涉及3個獨立平面:用戶平面,控制平面,管理平面。與幀中繼相同,ATM也有兩種虛電路存在于其中:交換虛電路(SVC)和永久虛電路(PVC)。ATM擯棄了電路交換中采用的同步時分復用,改用異步時分復用,收發(fā)雙方的時鐘可以不同,可以更有效地利用帶寬。它降低了網絡時延,提高了交換速度。ATM用作公司主干網時,能夠簡化網絡的管理,消除了許多由于不同的編址方案和路由選擇機制的網絡互連所引起的復雜問題。ATM管理軟件使用戶和他們的物理工作站移動地方非常方便。
其優(yōu)點:
1.吸取電路交換實時性好,分組交換靈活性強的優(yōu)點;2.采取定長分組(信元)作為傳輸和交換的單位,獲得了迅速和可預見的傳輸;3.固定的信元長度以及可預見的傳輸時間使得對聲音視頻和數(shù)據(jù)可進行有效地傳輸;4.從局域網到廣域網,從網卡到ATM廣域網交換機,都支持ATM協(xié)議,因此無需進行協(xié)議轉換;
具有優(yōu)秀的服務質量。
ATM與其他選擇相比,主要優(yōu)點是它的擴展性。