开篇:润墨网以专业的文秘视角,为您筛选了十篇范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
论文关键词:软交换;可靠性;承载网;QoS
论文摘要:软交换作为下一代通信网络的控制核心部分,对其在网络中的可靠性有很高的要求。本文在对软交换的技术特点分析的基础上,详细讨论了软交换技术中承载网组网技术,重点分析了软交换承载网在基于QoS保证的实现技术。并对承载网的安全性和可靠性进行了研究。
一、引言
从当前电信业务发展的大趋势看,IP业务将成为未来业务的主体。特别是随着下一代因特网以及新一代网络的发展,IP向传统电信业务的渗透和传统电信业务与IP的融合步伐将大大加快。
现有的传统的电路交换技术,虽然在可以预见的未来仍将是提供实时电话业务的基本技术手段,但是已经不能适应未来以突发性数据为主的业务,因此建设新的对数据业务最佳的新一代网络将势在必行。在传统的电路交换中,提供给用户的各项功能或业务都直接与交换机有关,业务和控制都是由交换机来完成的,交换机所需要提供的业务和交换机提供的新业务都需要在每个交换机节点来完成,硬件平台封闭,不利于业务的开发和应用。如今需要将业务与控制分离,将呼叫控制与承载分离,这就出现了下一代网络(NGN)的概念。下一代网络采用开放的分布式的网络架构,将网络分成网络业务层、核心控制层、传输接入层和媒体层,NGN的主要设计思想是分布式的结构,也就是将业务层、控制层与传送层、接入层分离,各实体之间通过标准的协议进行连接和通信。为此,通信网络从电路交换向以软交换为核心的下一代网络发展已是大势所趋。
二、软交换中承载网的QoS分析
(一)影响承载网QoS的指标
在影响软交换承载网的QoS指标,主要有以下几个方面:
一、配电网业务通信需求分析
1.配电网通信系统特点
10kV及以下配用电网通信系统有别于输电网,它的终端数量大,但通道相对较短,而且配网自动化控制和管理系统的不同功能对通信的要求也有所不同。配电自动化通信系统为分层、分布式系统,与传统的调度自动化通信系统也有着很大不同。其特点为:
(1)终端节点数量极大;
(2)通信节点分散;
(3)分层多级的通信网络;
(4)单节点信息量小,汇集后信息量很大;
(5)不同类型的设备及数据的实时性要求不同。针对配电网的上述特点,在选择配电自动化系统的通信方式时应综合考虑如下几点要求:
1信息时代下保障网络信息安全的重要性
网络信息安全是文化安全的重要保障,文化安全作为国家安全的重要内容,随着信息技术的发展,文化的传承和创新也有了较大的改变,并且使得信息和文化的覆盖面扩大,传播速度也有所增长,保障网络信息安全也就保证了我国文化的安全。网络信息安全是军事国防的重要战略之一,在信息时代下,信息化战争是一场没有硝烟的战争,并且信息技术在战争中的应用也得到了较大的提升,只有保证了网络信息的安全,才能够有效的保证国家的安全。网络信息安全是非传统的国家安全领域中的重要成分,关乎着国家的安全和问题,同时也涉及到经济和政治方面的问题,必须要加强对其的防御措施,全面保证国家的安全和社会的稳定。
2网络技术安全面临的威胁
随着网络技术的不断发展和普及,网络技术的应用已经逐渐渗透到社会的各个领域,信息网络具有连接形式多样性以及网络开放性等特点,很容易让网络信息遭受到黑客、恶意软件等方面的攻击。影响计算机网络技术安全的因素有很多,有人为因素也有非人为因素,但是这些因素都实实在在的影响着网络技术的安全。网络安全面临的威胁主要有以下几个方面。
第一,黑客的攻击。黑客攻击是目前对于网络信息安全危害较大的一种形式,它一般都是有具有极高操控性网络黑客策划并实施的,能够对攻击目标实行破坏、窃取资料等相关行为。黑客攻击可以分为两类,第一类是网络攻击,它是用各种方式有选择地来破坏对方信息的有效性和完整性,第二类就是网络侦察,这种黑客攻击是在不影响对方正常工作的前提下,对于对方计算机内的重要机密信息进行截获、破译等,无论哪种黑客攻击,对于计算机网络的安全都造成了较大的危害。
第二,计算机病毒。计算机病毒跟生物病毒是极其类似的,它能够复制自己并且传播到其他的宿主,对宿主造成不同程度的损害,宿主也就是被攻击的计算机,由于受到病毒袭击宿主将进一步感染到其他的程序中,甚至感染到其他的计算机。计算机病毒有很多种类,大致上主要有木马病毒、脚本病毒等,计算机病毒具有传播性、感染性以及破坏性等,并且其极大程度的危害了国家互联网的安全。
第三,实体摧毁。实体摧毁作为网络信息安全面对的“硬杀伤”威胁,对网络信息安全有着很大的影响,其主要有电磁波干扰、弱辐射窃取以及无线窃取等,利用各种手段来将网络信息进行摧毁,从而导致网络信息系统失效,或者是窃取相关的机密文件信息,给网络安全造成极大的威胁。
第四,网络软件的漏洞。网络软件并不是完全没有缺陷的,并且也不是百分百没有漏洞的,而有的黑客在进行攻击时,恰恰选择了这些缺陷和漏洞,这也就给网络信息安全造成了安全隐患。此外还有无意识的失误造成的网络信息安全,这有可能是操作人员的安全配置存在不足造成的漏洞,再或者是用户的安全意识比较薄弱,选择的用户口令存在不足,或者是随意将自己的账号借给他人使用,从而给网络安全造成一定的威胁。但是无论网络信息安全遭受到哪种威胁,其造成的影响都是具有相似性的,只有提高了网络防御保护墙,才能够保证信息时代下网络技术的安全。
Internet是一种开放和标准的面向所有用户的技术,其资源通过网络共享,因此,资源共享和信息安全就成了一对矛盾。
网络安全技术概述
常永亮
(飞行试验研究院测试所陕西西安710089)
【摘要】Internet是一种开放和标准的面向所有用户的技术,其资源通过网络共享,因此,资源共享和信息安全就成了一对矛盾。
【关键词】网络攻击、安全预防、风险分析、网络安全
1.引言
随着网络的迅速发展,网络的安全性显得非常重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用等。然而,网络作为开放的信息系统必然存在众多潜在的安全隐患,因此,网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。
1数据中心网络技术分析
随着以虚拟化技术和云计算的发展和成熟,数据中心的应用数据急剧增长,数据中心与外部网络之间将承载大规模的数据交流,并且数据中心流量是高动态和突发的,据AlbertGreenberg等对数据中心的流量分析[3],约80%的流量都是内部流量[4],这就要求数据中心内部网络必须具有高性能、高稳定性、高扩展性以及资源的高利用率。另一方面,虚拟机动态迁移技术在数据中心也得到了广泛的应用,它可以使得逻辑服务器在网络服务异常的情况下,自动将网络服务动态迁移到另外一台逻辑服务器上,并保证前后的IP和MAC地址不变,这就要求逻辑服务器迁移前后的网络处于同一个二层域中。由于客户要求虚拟机迁移的范围越来越大,大型的数据中心甚至会在不同机房、不同地域之间动态迁移,传统网络的三层结构及其使用的网络技术已经不能满足其要求。新的数据中心要求减少网络层次、实现网络扁平化管理,数据中心的大二层网络及支撑其运行的网络技术随之诞生了。传统数据中心网络中二层网络技术主要使用xSTP(如生成树协议STP、多生成树协议MSTP、快速生成树协议RSTP等)。用户构建网络时,为了保证其可靠性,通常会采用冗余链路和冗余设备,这样避让就会形成网络环路。而同一个二层网络处于同一个广播域下,广播报文在环路中会反复持续传送,形成广播风暴,瞬间即可导致端口阻塞和设备瘫痪。为了防止广播风暴,就必须防止网络环路的形成,但又要保证其可靠性,就只能将冗余设备和冗余链路变成备份设备和备份链路。即冗余的设备端口和链路在正常情况下被阻塞,不参与数据报文的转发,只有在当前转发的设备、端口、链路出现故障时,冗余的设备端口和链路才会被激活,使网络能够恢复正常。自动控制这些功能的就是xSTP。由于基于xSTP的网络具有收敛时间长、部署复杂、资源使用率低等缺点,不适合用于构建大型的数据中心网络。为了解决xSTP技术带来的问题,一些新的、适用于大型数据中心组网的二层网络技术正逐步被标准化并付诸实施。所谓“大二层”是指所有VLAN都可以延展到所有汇聚层、接入层交换机的VLAN结构,这与传统数据中心VLAN往往终结在接入层交换机的做法不同[5]。目前,常用于数据中心的网络技术主要有交换机虚拟化技术、TRILL(TransparentInterconnectionoflotsoflinks,多链路透明互联)技术、SPB(ShortestPathBridging,最短路径桥接)技术及其中几种技术的融合。
1.1交换机虚拟化技术二层网络的核心是环路问题,而环路问题是随着冗余设备和链路产生的,那么如果将相互冗余的两台或多台设备、两条或多条链路合并成一台设备和一条链路,从逻辑上形成单设备、单链路的网络结构,网络环路也就随之消失。尤其是交换机技术的发展,虚拟交换机从低端盒式设备到高端框式设备都已经广泛应用,已经具备了相当的成熟度和稳定度。交换机虚拟技术已经成为目前应用于数据中心网络解决方案的主要技术之一。交换机虚拟化技术又分为交换机横向虚拟化技术和交换机纵向虚拟化技术。1)交换机横向虚拟化技术。交换机横向虚拟化技术是将同一层次的多台设备虚拟成1台逻辑设备,作为1个网元设备进行管理配置,保证突发流量不丢包,物理/虚拟服务器在1个大二层域下,即插即用,避免部署复杂的STP,支持大容量MAC地址,消除二层网络环路,提高二层链路利用率;实现跨交换机的负载均衡,交换平台易于扩展。交换机横向虚拟技术的代表是VSS(Cisco)、IRF(H3C)、CSS(华为)、VSU(锐捷),其特点是应用成本低,部署简单。但这些技术都是各自厂商独立实现和完成的,只能在同一厂商的相同系列产品之间才能实现虚拟化。同时,由于高端框式交换机的性能和端口密度越来越高,对虚拟交换机的技术要求也越来越高,目前交换机的虚拟化密度最高为4:1,即将4台物理设备虚拟为1台逻辑设备。2)交换机纵向虚拟化技术。纵向虚拟化是将下游交换机虚拟成上游交换机的端口,以达到扩展交换机端口能力并且对交换机进行集中控制管理。纵向虚拟化结合传输技术的运用可以实现跨数据中心的互联,实现网络最大化的简化配置,其距离仅受限于所选的万兆以太网光纤长度。目前,较为成熟的纵向虚拟化技术是Cisco的FEX(FabricExten-der,交换矩阵扩展器)和H3C的VCF(VerticalCon-vergedFramework,纵向融合框架)[6]。
1.2隧道技术
隧道技术实际上是数据中心网络在数据平面上的虚拟化技术,就是在二层以太网报文外面再封装一层标识用于寻址转发。这样基于外层标识就可以做到多路径负载均衡和避免环路等。当前隧道技术的代表是TRILL[7]和SPB[8],都是通过借用IS-IS[9](IntermediateSystemtoIntermediateSystemRoutingProtocol,中间系统到中间系统路由选择协议)的计算和转发模式来实现二层网络的大规模扩展。这些技术的特点是可以构建比虚拟交换机技术更大的超大规模二层网络。
1.2.1TRILL技术分析TRILL是IETF为实现数据中心大二层扩展制定的一个标准。其核心思想是将成熟的三层路由的控制算法引入到二层交换中,对原先的二层报文重新进行隧道封装后转换到新的地址空间上进行转发。封装后的地址具有与IP类似的路由属性,具备大规模组网、最短路径转发、等价多路径、快速收敛、易扩展等诸多优势,从而规避xSTP等技术的缺陷,实现健壮的大规模二层网络。1)TRILL协议的几个重要概念RBridges[7、10]:路由桥(RoutingBridge,简称RB)。运行TRILL协议的设备均称为RB。根据RB在TRILL网络中的位置,又可将其分为IngressRB[10](报文进入TRILL网络的入节点)、TransitRB[10](报文在TRILL网络中经过的中间节点)和EgressRB[10](报文离开TRILL网络的出节点)。Nickname:RB在TRILL网络中的地址,也是其在TRILL网络中的唯一标识。Nickname由系统自动分配,不需配置。VLANX转发器:对源报文封装TRILL头后送入TRILL网络进行转发或者将TRILL网络的报文解封装还原报文后发送给目的用户。2)TRILL的封装格式TRILL封装是MAC-in-MAC方式,TRILL数据报文在原始以太网报文之前添加了TRILL头和外层以太网头。因此,在TRILL公共区域数据报文可以经过传统Bridge和Hub依靠外部Ethernet报头转发[11]。TRILL帧封装格式及报头格式如图1所示。3)TRILL工作原理TRILL协议在各RB之间通过周期性通告Hello报文以建立并维持邻居关系,在形成邻居关系的RB之间扩散链路状态包(Link-StatePacket,LSP),最终在全网RB上形成相同的链路状态数据库(LSDB)。各RB在LSDB的基础上使用最短路径优先(ShortestPathFirst,SPF)算法生成从自己到其他RB的路由转发表项,用以指导数据报文的转发。4)TRILL转发流程TRILL协议通过在各个RB之间相互发送Hello报文建立邻居,通过LSP扩散方式同步LSDB,此时,网络中每台RB拥有相同的LSDB,即整网拓扑。然后各RB以LSDB为基础,利用SPF算法计算本地到全网所有RB之间的最短路径以及出接口、下一跳等信息,结合LSDB中各RB的nickname信息,最终生成nickname转发表。TRILL网络接收到用户报文时,根据报文中包含的目的MAC地址,按照不同的转发流程进行转发:如果MAC地址为单播地址,按照单播报文转发流程进行转发;如果MAC地址为组播或广播地址,按照组播报文转发流程进行转发。单播报文的转发过程如图2所示。(1)当单播数据报文进入TRILL网络时,IngressRB为原始以太网报文先打上TRILL头,再打上外层以太网头(类似于IP报文前的MAC头),由此完成TRILL报文的封装。(2)此后,类似于IP报文在网络内或网络间的转发过程,各RB根据TRILL头中的EgressRBNickname将TRILL报文进行逐跳转发,直至送达EgressRB。在此过程中,外层以太网头在每一跳都要被修改,而TRILL头中只有HopCount值逐跳递减。(3)当TRILL报文到达EgressRB后被解封装还原成原始以太网报文,离开TRILL网络。当组播流量进入TRILL网络时,IngressRB负责选取一棵组播分发树进行流量转发,当TRILL网络中的RB设备存在不止一个下一跳时,则将组播报文复制多份,根据组播转发表转发到所有出接口。组播转发流程如图3所示。IngressRB(RB1)收到终端A发送的二层报文后,发现报文中携带的目的MAC地址是组播MAC地址,首先根据此报文所属VLAN选定一棵组播分发树(RB3)进行TRILL封装,将TRILL头部M位置1,即说明该报文为组播报文,然后根据RootRB的nickname查询TRILL组播转发表,获取出端口列表进行分发;TransitRB4接收到TRILL数据报文后,解析TRILL头部,发现M=1即判断该报文为组播报文,再根据Egressnickname查询对应的组播转发表,进行转发;RootRB接收到TRILL数据报文后,向所有出接口分发该报文;EgressRB对TRILL报文进行解封装,获取原始二层数据报文,然后在本地对应接口转发出去。由于TRILL网络中数据报文转发可以实现等价多路径(EqualCostMultipath,ECMP)和最短路径(shortestpaths),因此,采用TRILL组网方式可以极大提高数据中心数据转发效率,提高数据中心网络吞吐量。
1.2.2SPB技术分析SPB是IEEE组织针对数据中心大规模二层网络应用模型定义的一组协议(IEEE802.1aq),是多生成树协议(MSTP)的进一步延伸,旨在构建大型扁平的无阻塞二层网络。与TRILL一样,也使用IS-IS协议来共享交换机间的多个学习的拓扑,并迅速学习以太网连接中各端点之间的最短路径,避免了使用STP带来的收敛速度慢和部分链路利用效率低下的不足。相对于TRILL,SPB最大的优势在于能够方便地支持VLAN扩展功能。1)SPB协议族的结构SPB协议包括SPBV(VLANQinQ模式,Q指IEEE802.1Q)和SPBM(MacinMac模式),无论是SPBV还是SPBM,在控制平面都是基于L2IS-IS实现拓扑发现、管理。在协议的具体实现思路方面两者是一致的[12]。目前主要应用的模式是SPBM。SPBM基于PBB(ProviderBackboneBridge,运营商骨干网桥)协议。PBB定义了二层网络中的数据转发流程,但是PBB本身没有定义控制流程,其二层网络的拓扑控制、二层环路管理必须依赖于传统的STP等技术。因此,PBB需要定义一套控制流程,使其能够有效地替代STP协议管理大规模二层网络的拓扑和环路,SPBM就成为PBB的控制流程协议。SPBM+PBB构成了完整的二层网络技术,其中SPBM是控制平面协议,而PBB是数据转发层面协议。2)SPBM网络结构模型SPBM网络模型与IEEE802.1ah定义的MAC-in-MAC网络模型基本一致。由SPB核心网络SPBN(ShortestPathBridg-ingNetwork,最短路径桥接网)和用户网络(Cus-tomerNetwork)两部分组成。SPBN由BEB(Back-boneEdgeBridge,骨干网边缘网桥)和BCB(Back-boneCoreBridge,骨干网核心网桥)设备组成,通过IS-IS协议完成最短路径的计算,以保证SPBN无环路。用户网络是通过一台或者多台边缘设备连接到SPBN网络且具有独立业务功能的二层网络,主要由主机和交换设备组成。3)SPBM报文格式SPBM报文分为两种:控制报文和数据报文。控制报文采用802.1Q格式封装,包括Hello、LSPDU(LinkStatePDU,链路状态协议数据单元)、SNP,直接封装在数据链路层的帧结构中。数据报文采用IEEE802.1ah(MAC-in-MAC)定义的封装格式。其格式如图4所示。4)SPBM工作原理SPBM由SPBIS-IS协议和MAC-in-MAC协议共同完成。其中MAC-in-MAC协议为数据协议,负责数据的封装及发送;SPBIS-IS协议为控制协议,负责计算数据的路由转发路径。SPBIS-IS协议在各BEB、BCB设备之间通过周期性通告Hello报文以建立并维持邻居关系,在形成邻居关系的设备之间扩散LSPDU,最终在SPBN中的所有设备上形成相同的LSDB。各SPBM设备在LSDB的基础上使用SPF算法生成从自己到其他设备的最短路径,其基本思路如下:首先计算任意两节点间的最短路径,并判断是否存在等价路径;如存在,则计算各条等价路径的Key值;然后比较所有等价路径的Key值,取最小的Key值对应的路径作为转发路径。Key值计算公式为:Key=min{BridgeIDXORMASK[i-1]}其中BridgeID是交换机ID,由用户直接配置的一个唯一的编号或名字。MASK[i]是一个标准协议中定义的数组,其大小为16。由协议为该数组指定具体数据,对应16个不同的实例。当前协议中定义的数组是。5)SPBM转发机制SPBIS-IS协议仅负责计算SPBN的最短路径,生成对应的转发表项。数据报文在SPBN中转发过程如下:(1)入隧道:BEB设备从用户网络收到数据报文后,学习该报文的源MAC,并为其封装上MAC-in-MAC头后将该报文发送进入SPBN中。(2)隧道中转发:MAC-in-MAC报文在SPBN中传输时,BCB设备根据报文中B-DA,B-VLAN查找转发表,如果无对应的转发表则丢弃该报文;有对应的转发表则按照转发表进行转发。报文在转发过程中,中间设备不会对其源MAC进行学习。(3)出隧道:MAC-in-MAC报文到达隧道终点时,BEB会解封装MAC-in-MAC报文还原成数据报文。BEB学习数据报文中的源MAC后,把数据报文发送到用户网络。为防止产生环路,数据报文在SPBN中禁止广播发送,只支持单播、组播发送。数据报文进入隧道时BEB设备根据报文中的目的MAC来确定后续报文在SPBN中以何各方式进行传输:若目的MAC为广播MAC、未知单播MAC或未知组播MAC,则封装后的报文在SPBN中进行SPBM组播发送;若目的MAC为已知单播MAC,则封装后的报文在SPBN中进行SPBM单播发送。SPBM组播支持两种模式:头端复制和核心复制,用户可根据实际组网选择不同的组播模式。SPBM单播转发过程如图5所示。首先用户数据由用户网络1进入BEB1后,BEB1对报文进行封装,写入B-MAC、B-VLAN、I-SID等信息;然后,按照计算出的转发路径,路径上的交换机按照报文中的B-MAC和B-VLAN等信息进行转发;当报文到达BEB2后,由BEB2进行解封装,去掉报文中的B-MAC、B-VLAN、I-SID等信息,进入用户网络2。SPBM组播转发流程SPBM的组播与传统的三层网络组播管理基本类似,都是基于单播管理。在单播管理形成的转发路径上计算组播路径。SPBM在不同的实例中,定义不同层次的组播树,相互独立;每个实例中,每个节点都有以自己为根的独立组播树。
1.2.3TRILL与SPB技术对比(见表1)SPB是纯软件的解决方案,不需要更新转发芯片去支持,与现有的MSTP兼容,但也造成了目前SPB应用中的最大困扰。由于转发路径靠软件算法保障,在多路径负载分担时,对CPU计算能力的要求也就远远超过TRILL。
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。
网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
隔离技术的发展历程
网络隔离,英文名为NetworkIsolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)。1997年,信息安全专家MarkJosephEdwards在他编写的《UnderstandingNetworkSecurity》一书中,他就对协议隔离进行了归类。在书中他明确地指出了协议隔离和防火墙不属于同类产品。
隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。
第一代隔离技术——完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。
第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。
第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。
1网络协议与组网的实现
1.1网络协议
本系统无线传输网络采用Z-wave无线传输协议,相对于其他无线通信标准而言,Z-wave协议栈更为紧凑、简单和灵活。Z-wave协议栈包括应用层(APP)、传输层(TRANSTER)、媒体介入控制层(MAC)和射频媒介(RF-MEDIA)。应用层是一个快速存储器(闪存),主要是便于厂家预置他们的应用软件,用于采集网络泵的数据,查看状态。协议的主要功能:设备间无线数据链路的建立、维护和结束;确认模式的帧传送与接收;配置应用休眠的节能模式。当有节点进行数据传送时,MAC层有一个冲突避免机制防止其他节点开始传送。这样的设计尽可能地降低了成本,易于实现,数据传输可靠,短距离操作以及非常低的功耗。
1.2网络泵系统组网
根据系统构建的需要,网络泵网络设计为网状结构(也称“多跳”网络)。该结构具有组网简单、通信可靠性强的特点。只需要通过微电脑注药泵集中管理系统软件上的节点操作,把网络泵添加进网络系统,就会根据需要自动生成通信路径。网络泵网络完全具有Z-wave网络的优点,采用了动态的路由协议,网络泵网状网络中,任何一个网络泵都可以作为路由器或接入点。如果最近的接入点受到信号阻断的影响,那么还可以将数据路由到另一个网络泵。数据以这种方式不断地从一个网络泵“跳”到另一个网络泵,直到到达需要读取数据的网络泵,非常适合医院网络泵组网的需要。在本系统规划中,病人携带注药泵在距离Z-stick100m内的位置,PC软件都能读取网络泵的状态数据,实时了解泵的状态。
2性能测试
2.1通信节点测试
可靠性测试一般有3种方法,即测试比特错误率(BER),帧错误率(FER)及通信错误率(CER)。网络泵模块中一般使用通信错误率(CER)来表示网络泵节点通信间的可靠性。假定在一个网络泵无线通信系统中,给药者携带网络泵离Z-stick30m,通过测试可以得到,网络泵模块的通信错误率(CER)小于10-6。
一监听技术的分析
1监听技术的由来
网络监听技术是负责网络安全的管理员用来管理网络的一种工具,它和其他安全工具一样,主要负责管理网络即时状态、数据传播与流动、信息异常等非正常网络变化情况。局域网中各台主机之间传送信息主要通过广播的方式,在某个网域范围中,监听技术一方面可以帮助网络安全管理人员监测其维护范围内网络的状态、数据流动情况以及网络上传输的信息,但另一方面,监听技术也可以帮助黑客以不正当手段窃取网络上的所有信息,这样,监听技术还担负着对黑客入侵活动和其他网络犯罪进行侦查、取证。
2监听技术的原理
网络协议采用的工作方式是把要发送的信息数据包发往连接在一起的所有主机,在数据包头中指定要接收该数据包的主机的地址,按协议规定,只有数据包头中的地址与主机地址完全对应上后该主机才能接收数据包,但当某台主机工作的监听状态下,就跳过检测地址这一环节,这台主机就可以接收所有数据包了,并全部传递到上一个协议层,当数据包的信息以明文的形式传播的时候,所有的信息都将毫不设防地展现在接收者面前,遗憾的是,部分局域网上的数据信息大多都是以明文的方式传播的。当某连锁企业将数据信息发往另一台主机的时候,如果正好有一个黑客或网络不法分子承监听,那么就不难理解为什么会出现客户食宿信息泄漏的问题了。
3监听的实现方法
实现网络监听的最基本要求就是对网卡进行设置,使其工作在混杂模式下,普通模式下的网卡必须检测数据包携带的地址,只有完全相同,本台机器才能接收这个数据包,但工作在混杂模式下的网卡,直接跳过检测这个环节,对所有经过的数据包来者不拒,全部接收。所以,这要设置网卡的工作模式就可以实现网络监听。下面介绍三种设置网络工作模式的方法。(1)使用原始套接字(rowsocket)方法:首先创建原始套接字,然后使用setsockopt()函数进行IP头操作选项的处理,再使用bind()函数对主机网卡和原始套接字进行驳接绑定,最后,为了让原始套接字能够最大限度地接收经过本网络卡的数据包,再使用ioctlsocket()函数处理,此时,该主机就可以进行网络监听了。这种方法相对容易,但功能也相对较弱,只能对运行在较高层次上的数据包进行接收和处理。(2)使用NDIS库函数,NDIS库函数有22种近300个函数,比如MiniportWanSend,表示如果驱动程序控制着WANNIC,通过网络接口卡发送一个包到网络上。这种方法比较复杂,功能比较强大,但是相对来讲风险较大,一不小心,可能导致系统崩溃和网络瘫痪。(3)使用中间层驱动程序,这种中间层程序可以是自行编写的,也可以使用微软提供的win2000DDK。(4)使用第三方捕获组件或者库,比如Wnpcap。
二监听的检测(Monitordetection)
摘要:文章介绍网络信息技术对高校图书馆在管理、服务、开放时间、管理人员四个方面所带来的影响。
关键词:网络环境;信息技术;高校图书馆
电子计算机与现代通讯技术相结合,为人类创造了全新的信息技术——网络信息技术。它是电子计算机和现代通讯技术相互结合基础上构建起来的宽带、高速、综合、广域型数字式电信网络,这种网络通过网中设网、网际互联可以覆盖一国、数国乃至全球。网络技术的形成和迅猛发展,信息机构以网络为传输手段,以数字化的信息资源为基础,为用户提供准确、及时、个性化和全程式的信息服务创造了条件和提供了可能。图书馆的传统服务方式受到前所未有的极大冲击和挑战。
高校图书馆不但是学校文献信息中心,也是为教学和科研服务的教育学术性机构,现代信息技术是影响图书馆发展最深刻的环境因素。高密度的信息储存技术,在变革了人们生产、收集、组织、传递和使用知识信息的方式的同时,也使信息服务的机制、结构与服务手段发生了巨大的变化。如何将一些先进的信息技术结合运用到图书馆的管理和服务中,用这些技术来促进日常工作,改变限于向读者提供馆藏文献,还提供所有网络上的可利用的文献,协助教学和科研是目前我们高校图书馆的工作重点。网络技术将带来信息的聚集、包装、检索、传播、复制、再生产的变化。如何在网络信息技术环境下发挥高校图书馆的最佳效益,网络环境下高校图书馆工作受到了哪些影响,是人们十分关注的问题。
一、网络信息技术对图书管理工作的影响
进入21世纪,数字化、网络化的信息革命从根本上推动了图书馆的发展进程,计算机日益成为图书馆的主要设备,图书馆采用了各种自动化集成系统建立自己的内部网络环境,呈现出网络化、信息化、智能化和社会化的特征。图书馆自动化管理一方面由于开展网上预约、催还书、推荐新书等业务,解决紧俏文献的供需矛盾和逾期罚款的问题,使流通工作更具人性化。另一方面建立起图书馆工作的信息网络,可以合理配置文献资源网上协作采访,集中编目以及馆际互借,管理所需的工作统计也变得非常方便快捷。与传统的手工操作相比,信息技术的使用完善了图书馆的管理工作。例如,在网络环境下,我们开通了网上预约图书,预约书到馆后的管理很重要,这也从另一方面反映了图书馆管理状况。必须按照到馆时间专架存放,便于预约者快捷取书借阅。若是同其它的还书一样入库,则不方便其他读者借书,而且容易引发借阅争端。
二、网络信息技术对图书馆服务工作的影响
长期以来在思维定势支配下,国内图书馆在网络信息服务实践中,对用户服务工作并未充分重视,在理论上表现为大学图书馆未能站在读者角度,制定适当的信息资源和信息服务发展政策,往往还是站在自己的立场上进行馆藏和网络信息资源的搜集和提供,常常缺乏对本校专业和用户对象的针对,从而造成网络信息服务提供与信息用户需求脱节。
摘要:本文针对网络安全的三种技术方式进行说明,比较各种方式的特色以及可能带来的安全风险或效能损失,并就信息交换加密技术的分类作以分析,针对PKI技术这一信息安全核心技术,论述了其安全体系的构成。
关键词:网络安全防火墙加密技术PKI技术
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此几项技术分别进行分析。
一、防火墙技术
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
二、数据加密技术
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。