① IPv6含義解析
定義 IPv6是Internet Protocol Version 6的縮寫,其中Internet Protocol譯為「互聯網協議」。 IPv6是IETF(互聯網工程任務組,Internet Engineering Task Force)設計的用於替代現行版本IP協議(IPv4)的下一代IP協議。 目前的全球網際網路所採用的協議族是TCP/IP協議族。IP是TCP/IP協議族中網路層的協議,是TCP/IP協議族的核心協議。 目前IP協議的版本號是4(簡稱為IPv4),它的下一個版本就是IPv6。IPv6正處在不斷發展和完善的過程中,它在不久的將來將取代目前被廣泛使用的IPv4。 概述 目前我們使用的第二代互聯網IPV4技術,核心技術屬於美國。它的最大問題是網路地址資源有限,從理論上講,IPV4技術可使用的IP地址有43億個,其中北美佔有3/4,約30億個,而人口最多的亞洲只有不到4億個,中國只有3千多萬個,只相當於美國麻省理工學院的數量。地址不足,嚴重地制約了我國及其他國家互聯網的應用和發展。 隨著電子技術及網路技術的發展,計算機網路將進入人們的日常生活,可能身邊的每一樣東西都需要連入全球網際網路。但是與IPv4一樣,IPv6一樣會造成大量的IP地址浪費。准確的說,使用IPv6的網路並沒有2^128-1個能充分利用的地址。首先,要實現IP地址的自動配置,區域網所使用的子網的前綴必須等於64,但是很少有一個區域網能容納2^64個網路終端;其次,由於IPv6的地址分配必須遵循聚類的原則,地址的浪費在所難免。 但是,如果說IPV4實現的只是人機對話,而IPV6則擴展到任意事物之間的對話,它不僅可以為人類服務,還將服務於眾多硬體設備,如家用電器、感測器、遠程照相機、汽車等,它將是無時不在,無處不在的深入社會每個角落的真正的寬頻網。而且它所帶來的經濟效益將非常巨大。 當然,IPv6並非十全十美、一勞永逸,不可能解決所有問題。IPv6隻能在發展中不斷完善,也不可能在一夜之間發生,過渡需要時間和成本,但從長遠看,IPv6有利於互聯網的持續和長久發展。 目前,國際互聯網組織已經決定成立兩個專門工作組,制定相應的國際標准。 優勢 與IPV4相比,IPV6具有以下幾個優勢: 一,IPv6具有更大的地址空間。IPv4中規定IP地址長度為32,即有2^32-1(符號^表示升冪,下同)個地址;而IPv6中IP地址的長度為128,即有2^128-1個地址。 二,IPv6使用更小的路由表。IPv6的地址分配一開始就遵循聚類(Aggregation)的原則,這使得路由器能在路由表中用一條記錄(Entry)表示一片子網,大大減小了路由器中路由表的長度,提高了路由器轉發數據包的速度。 三,IPv6增加了增強的組播(Multicast)支持以及對流的支持(Flow Control),這使得網路上的多媒體應用有了長足發展的機會,為服務質量(QoS,Quality of Service)控制提供了良好的網路平台。 四,IPv6加入了對自動配置(Auto Configuration)的支持。這是對DHCP協議的改進和擴展,使得網路(尤其是區域網)的管理更加方便和快捷。 五,IPv6具有更高的安全性。在使用IPv6網路中用戶可以對網路層的數據進行加密並對IP報文進行校驗,極大的增強了網路的安全性。 技術信息概述 IPv6包由IPv6包頭(40位元組固定長度)、擴展包頭和上層協議數據單元三部分組成。 IPv6包擴展包頭中的分段包頭(下文詳述)中指名了IPv6包的分段情況。其中不可分段部分包括:IPv6包頭、Hop-by-Hop選項包頭、目的地選項包頭(適用於中轉路由器)和路由包頭;可分段部分包括:認證包頭、ESP協議包頭、目的地選項包頭(適用於最終目的地)和上層協議數據單元。但是需要注意的是,在IPv6中,只有源節點才能對負載進行分段,並且IPv6超大包不能使用該項服務。 IPv6包頭 IPv6包頭長度固定為40位元組,去掉了IPv4中一切可選項,只包括8個必要的欄位,因此盡管IPv6地址長度為IPv4的四倍,IPv6包頭長度僅為IPv4包頭長度的兩倍。 其中的各個欄位分別為: Version(版本號):4位,IP協議版本號,值= 6。 Traffice Class(通信類別):8位,指示IPv6數據流通信類別或優先順序。功能類似於IPv4的服務類型(TOS)欄位。 Flow Label(流標記):20位,IPv6新增欄位,標記需要IPv6路由器特殊處理的數據流。該欄位用於某些對連接的服務質量有特殊要求的通信,諸如音頻或視頻等實時數據傳輸。在IPv6中,同一信源和信宿之間可以有多種不同的數據流,彼此之間以非「0」流標記區分。如果不要求路由器做特殊處理,則該欄位值置為「0」。 Payload Length(負載長度):16位負載長度。負載長度包括擴展頭和上層PDU,16位最多可表示65,535位元組負載長度。超過這一位元組數的負載,該欄位值置為「0」,使用擴展頭逐個跳段(Hop-by-Hop)選項中的巨量負載(Jumbo Payload)選項。 Next Header(下一包頭):8位,識別緊跟IPv6頭後的包頭類型,如擴展頭(有的話)或某個傳輸層協議頭(諸如TCP,UDP或著ICMPv6)。 Hop Limit(跳段數限制):8位,類似於IPv4的TTL(生命期)欄位。與IPv4用時間來限定包的生命期不同,IPv6用包在路由器之間的轉發次數來限定包的生命期。包每經過一次轉發,該欄位減1,減到0時就把這個包丟棄。 Source Address(源地址):128位,發送方主機地址。 Destination Address(目的地址):128位,在大多數情況下,目的地址即信宿地址。但如果存在路由擴展頭的話,目的地址可能是發送方路由表中下一個路由器介面。 IPv6擴展包頭 IPv6包頭設計中對原IPv4包頭所做的一項重要改進就是將所有可選欄位移出IPv6包頭,置於擴展頭中。由於除Hop-by-Hop選項擴展頭外,其他擴展頭不受中轉路由器檢查或處理,這樣就能提高路由器處理包含選項的IPv6分組的性能。 通常,一個典型的IPv6包,沒有擴展頭。僅當需要路由器或目的節點做某些特殊處理時,才由發送方添加一個或多個擴展頭。與IPv4不同,IPv6擴展頭長度任意,不受40位元組限制,以便於日後擴充新增選項,這一特徵加上選項的處理方式使得IPv6選項能得以真正的利用。 但是為了提高處理選項頭和傳輸層協議的性能,擴展頭總是8位元組長度的整數倍。 目前,RFC 2460中定義了以下6個IPv6擴展頭:Hop-by-Hop(逐個跳段)選項包頭、目的地選項包頭、路由包頭、分段包頭、認證包頭和ESP協議包頭: (一)Hop-by-Hop選項包頭包含分組傳送過程中,每個路由器都必須檢查和處理的特殊參數選項。其中的選項描述一個分組的某些特性或用於提供填充。這些選項有: Pad1選項(選項類型為0),填充單位元組。 PadN選項(選項類型為1),填充2個以上位元組。 Jumbo Payload選項(選項類型為194),用於傳送超大分組。使用Jumbo Payload選項,分組有效載荷長度最大可達4,294,967,295位元組。負載長度超過65,535位元組的IPv6包稱為「超大包」。 路由器警告選項(選項類型為5),提醒路由器分組內容需要做特殊處理。路由器警告選項用於組播收聽者發現和RSVP(資源預定)協議。 (二)目的地選項包頭指名需要被中間目的地或最終目的地檢查的信息。有兩種用法: 如果存在路由擴展頭,則每一個中轉路由器都要處理這些選項。 如果沒有路由擴展頭,則只有最終目的節點需要處理這些選項。 (三)路由包頭 類似於IPv4的鬆散源路由。IPv6的源節點可以利用路由擴展包頭指定一個鬆散源路由,即分組從信源到信宿需要經過的中轉路由器列表。 (四)分段包頭 提供分段和重裝服務。當分組大於鏈路最大傳輸單元(MTU)時,源節點負責對分組進行分段,並在分段擴展包頭中提供重裝信息。 (五)認證包頭 提供數據源認證、數據完整性檢查和反重播保護。認證包頭不提供數據加密服務,需要加密服務的數據包,可以結合使用ESP協議。 (六)ESP協議包頭 提供加密服務。 上層協議數據單元 上層數據單元即PDU,全稱為Protocol Data Unit。 PDU由傳輸頭及其負載(如ICMPv6消息、或UDP消息等)組成。而IPv6包有效負載則包括IPv6擴展頭和PDU,通常所能允許的最大位元組數為65535位元組,大於該位元組數的負載可通過使用擴展頭中的Jumbo Payload(見上文)選項進行發送。
1、防火牆
網路防火牆技術是一種特殊的網路互聯設備,用於加強網路間的訪問控制,防止外網用戶通過外網非法進入內網,訪問內網資源,保護內網運行環境。它根據一定的安全策略,檢查兩個或多個網路之間傳輸的數據包,如鏈路模式,以決定網路之間的通信是否允許,並監控網路運行狀態。
目前防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)、電路層網關、屏蔽主機防火牆、雙宿主機等。
2、殺毒軟體技術
殺毒軟體絕對是使用最廣泛的安全技術解決方案,因為這種技術最容易實現,但是我們都知道殺毒軟體的主要功能是殺毒,功能非常有限,不能完全滿足網路安全的需求,這種方式可能還是能滿足個人用戶或者小企業的需求,但是如果個人或者企業有電子商務的需求,就不能完全滿足。
幸運的是,隨著反病毒軟體技術的不斷發展,目前主流的反病毒軟體可以防止木馬等黑客程序的入侵。其他殺毒軟體開發商也提供軟體防火牆,具有一定的防火牆功能,在一定程度上可以起到硬體防火牆的作用,比如KV300、金山防火牆、諾頓防火牆等等。
3、文件加密和數字簽名技術
與防火牆結合使用的安全技術包括文件加密和數字簽名技術,其目的是提高信息系統和數據的安全性和保密性。防止秘密數據被外界竊取、截獲或破壞的主要技術手段之一。隨著信息技術的發展,人們越來越關注網路安全和信息保密。
目前,各國除了在法律和管理上加強數據安全保護外,還分別在軟體和硬體技術上採取了措施。它促進了數據加密技術和物理防範技術的不斷發展。根據功能的不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性判別等。
(2)計算機網路esp協議擴展閱讀:
首屆全VR線上網路安全大會舉辦
日前,DEF CON CHINA組委會正式官宣,歷經20餘月的漫長等待,DEF CON CHINA Party將於3月20日在線上舉辦。
根據DEF CON CHINA官方提供的信息,本次DEF CON CHINA Party將全程使用VR的方式在線上進行,這也是DEF CON歷史上的首次「全VR」大會。為此,主辦方構建了名為The DEF CONstruct的虛擬空間和賽博世界。在計算機語言中,Construct通常被譯為結構體。
③ 尋找現在的網路新技術資料
IPv6
IPv6是「Internet Protocol Version 6」的縮寫,它是IETF設計的用於替代現行版本IP協議-IPv4-的下一代IP協議。
目前我們使用的第二代互聯網IPV4技術,核心技術屬於美國。它的最大問題是網路地址資源有限,從理論上講,IPV4技術可使用的IP地址有43億個,其中北美佔有3/4,約30億個,而人口最多的亞洲只有不到4億個,中國只有3千多萬個,只相當於美國麻省理工學院的數量。地址不足,嚴重地制約了我國及其他國家互聯網的應用和發展。
與IPV4相比,IPV6具有以下幾個優勢:首先就是網路地址近乎無限,根據這項技術,其網路地址可以達到2的128次方個,如果說IPV4的地址總數為一小桶沙子的話,那麼IPV6的地址總數就像是地球那麼大的一桶沙子。其次就是由於每個人都可以擁有一個以上的IP地址,網路的安全性能將大大提高。第三就是數據傳輸速度將大大提高。IPv6的主要優勢還體現在以下幾方面:提高網路的整體吞吐量、改善服務質量(QoS)、支持即插即用和移動性、更好實現多播功能。 根據這項技術,如果說IPV4實現的只是人機對話,而IPV6則擴展到任意事物之間的對話,它不僅可以為人類服務,還將服務於眾多硬體設備,如家用電器、感測器、遠程照相機、汽車等,它將是無時不在,無處不在的深入社會每個角落的真正的寬頻網。而且它所帶來的經濟效益將非常巨大.當然,IPv6並非十全十美、一勞永逸,不可能解決所有問題。IPv6隻能在發展中不斷完善,也不可能在一夜之間發生,過渡需要時間和成本,但從長遠看,IPv6有利於互聯網的持續和長久發展。 目前,國際互聯網組織已經決定成立兩個專門工作組,制定相應的國際標准。
IPv6 FAQ
1. 什麼是IP? 什麼是IPv4? 什麼是IPv6?
目前的全球網際網路所採用的協議族是TCP/IP協議族。IP是TCP/IP協議族中網路層的協議,是TCP/IP協議族的核心協議。目前IP協議的版本號是4(簡稱為IPv4),它的下一個版本就是IPv6。IPv6正處在不斷發展和完善的過程中,它在不久的將來將取代目前被廣泛使用的IPv4。
2. IPv6與IPv4相比有什麼特點和優點?
1)更大的地址空間。IPv4中規定IP地址長度為32,即有2^32-1個地址;而IPv6中IP地址的長度為128,即有2^128-1個地址。
2)更小的路由表。IPv6的地址分配一開始就遵循聚類(Aggregation)的原則,這使得路由器能在路由表中用一條記錄(Entry)表示一片子網,大大減小了路由器中路由表的長度,提高了路由器轉發數據包的速度。
3)增強的組播(Multicast)支持以及對流的支持(Flow-control)。這使得網路上的多媒體應用有了長足發展的機會,為服務質量(QoS)控制提供了良好的網路平台.
4)加入了對自動配置(Auto-configuration)的支持.這是對DHCP協議的改進和擴展,使得網路(尤其是區域網)的管理更加方便和快捷.
5)更高的安全性.在使用IPv6網路中用戶可以對網路層的數據進行加密並對IP報文進行校驗,這極大的增強了網路安全.
3. 我們需要2^128-1個IP地址嗎?
需要.隨著電子技術及網路技術的發展,計算機網路將進入人們的日常生活,可能身邊的每一樣東西都需要連入全球網際網路.並且,准確的說,使用IPv6的網路並沒有2^128-1個能充分利用的地址.首先,要實現IP地址的自動配置,區域網所使用的子網的前綴必須等於64,但是很少有一個區域網能容納2^64個網路終端;其次,由於IPv6的地址分配必須遵循聚類的原則,地址的浪費在所難免.
4. 我想了解一下IPv6,該怎麼做呢?
看RFC! 這是最省錢也是最保險的辦法,就是枯燥一點.目前國內介紹IPv6的書至少有一本: IPv6--the new Internet protocol(second edition)/新網際網路協議IPv6(第二版),清華大學出版社,1999 介紹IPv6網路編程(Unix平台)的書也至少有一本: Unix Network Programming Volume I (Second Edition)/Unix網路編程卷一(第二版),清華大學出版社,1998
5. 我想試一試IPv6,該做些什麼呢?
你需要三樣東西:支持IPv6的操作系統;支持IPv6的軟體;與網際網路的連接.
1)目前支持IPv6的操作系統有:Windows Vista,Linux(內核版本至少是2.2.1,最好是2.2.12以上),FreeBSD(4.x系列已經支持IPv6,更早的版本需要給內核打補丁),WindowsNT/2000(需要去微軟的網站下一個補丁程序),NetBSD,OpenBSD,Solaris(這些就不熟了),等等等等.目前肯定不支持IPv6的操作系統是(我知道的)Windows系列中Windows98及其以前的版本.
2)支持IPv6的操作系統一般都會自帶一些支持IPv6的網路程序(Linux的情況比較特殊,有的軟體可能本身支持IPv6但在編譯的時候沒有打開相應的選項,這是因為不同的發布商對IPv6重要性及可用性的看法各不相同).但是,這些操作系統自帶的程序往往並不是最好的,你可能需要到網上去找一些好用的支持IPv6的軟體.
3)如果你想真正嘗試IPv6,一定要連網,起碼要有一個區域網環境.
IPv6包頭
IPv6包頭對IPv4包頭做了部分改進,去掉了一些不必要或很少用的欄位,增加了部分能更好提供實時支持的欄位。
IPv6包結構
IPv6包由IPv6包頭、擴展包頭和上層協議數據單元三部分組成,見圖1。
圖1、IPv6包結構
·IPv6包頭
40位元組固定長度,在本文的稍後部分將有詳細論述。
·擴展包頭
IPv6包頭設計中對原IPv4包頭所做的一項重要改進就是將所有可選欄位移出IPv6包頭,置於擴展頭中。由於大多數IPv6擴展頭不受中轉路由器檢查,因此改進後的IPv6包頭可以提高路由器轉發效率。
IPv6擴展頭可以沒有,也可以有一個或多個。IPv6所做的另一個改進之處是:與IPv4選項不同,IPv6擴展頭長度不固定,便於日後擴充新增選項,這一特徵加上選項的處理方式使得IPv6選項能得以真正的利用。
·上層協議數據單元(PDU)
PDU由傳輸頭及其負載(如ICMPv6消息、或UDP消息等)組成。而IPv6包有效負載則包括IPv6擴展頭和PDU,通常所能允許的最大位元組數為65,535位元組,大於該位元組數的負載可通過使用擴展頭中的Jumbo Payload選項進行發送。
IPv6包頭
圖2、IPv6包頭格式
IPv6包頭長度固定為40位元組,去掉了IPv4中一切可選項,只包括8個必要的欄位,因此盡管IPv6地址長度為IPv4的四倍,IPv6包頭長度僅為IPv4包頭長度的兩倍。
Version(版本號):4位,IP協議版本號,值= 6。
Traffice Class(通信類別):8位,指示IPv6數據流通信類別或優先順序。功能類似於IPv4的服務類型(TOS)欄位。
Flow Label(流標記):20位,IPv6新增欄位,標記需要IPv6路由器特殊處理的數據流。該欄位用於某些對連接的服務質量有特殊要求的通信,諸如音頻或視頻等實時數據傳輸。在IPv6中,同一信源和信宿之間可以有多種不同的數據流,彼此之間以非「0」流標記區分。如果不要求路由器做特殊處理,則該欄位值置為「0」。
Payload Length(負載長度):16位負載長度。負載長度包括擴展頭和上層PDU,16位最多可表示65,535位元組負載長度。超過這一位元組數的負載,該欄位值置為「0」,使用擴展頭逐個跳段(Hop-by-Hop)選項中的巨量負載(Jumbo Payload)選項。
Next Header(下一包頭):8位,識別緊跟IPv6頭後的包頭類型,如擴展頭(有的話)或某個傳輸層協議頭(諸如TCP,UDP或著ICMPv6)。
Hop Limit(跳段數限制):8位,類似於IPv4的TTL(生命期)欄位。與IPv4用時間來限定包的生命期不同,IPv6用包在路由器之間的轉發次數來限定包的生命期。包每經過一次轉發,該欄位減1,減到0時就把這個包丟棄。
Source Address(源地址):128位,發送方主機地址。
Destination Address(目的地址):128位,在大多數情況下,目的地址即信宿地址。但如果存在路由擴展頭的話,目的地址可能是發送方路由表中下一個路由器介面。
IPv6擴展包頭
IPv6將所有的可選項都移出IPv6包頭,置於擴展頭中。由於除Hop-by-Hop選項擴展頭外,其他擴展頭不受中轉路由器檢查或處理,這樣就能提高路由器處理包含選項的IPv6分組的性能。
通常,一個典型的IPv6包,沒有擴展頭。僅當需要路由器或目的節點做某些特殊處理時,才由發送方添加一個或多個擴展頭。與IPv4不同,IPv6擴展頭長度任意,不受40位元組限制,但是為了提高處理選項頭和傳輸層協議的性能,擴展頭總是8位元組長度的整數倍。
目前,RFC 2460中定義了以下6個IPv6擴展頭:Hop-by-Hop(逐個跳段)選項包頭、目的地選項包頭、路由包頭、分段包頭、認證包頭和ESP協議包頭。
1)Hop-by-Hop選項包頭
包含分組傳送過程中,每個路由器都必須檢查和處理的特殊參數選項。
Hop-by-Hop選項包頭中的選項描述一個分組的某些特性或用於提供填充。這些選項有:
·Pad1選項(選項類型為0),填充單位元組。
·PadN選項(選項類型為1),填充2個以上位元組。
·Jumbo Payload選項(選項類型為194),用於傳送超大分組。使用Jumbo Payload選項,分組有效載荷長度最大可達4,294,967,295位元組。負載長度超過65,535位元組的IPv6包稱為「超大包」。
·路由器警告選項(選項類型為5),提醒路由器分組內容需要做特殊處理。路由器警告選項用於組播收聽者發現和RSVP(資源預定)協議。
2)目的地選項包頭
需要被中間目的地或最終目的地檢查的信息。有兩種用法:
·如果存在路由擴展頭,則每一個中轉路由器都要處理這些選項。
·如果沒有路由擴展頭,則只有最終目的節點需要處理這些選項。
3)路由包頭
類似於IPv4的鬆散源路由。IPv6的源節點可以利用路由擴展包頭指定一個鬆散源路由,即分組從信源到信宿需要經過的中轉路由器列表。
4)分段包頭
提供分段和重裝服務。當分組大於鏈路最大傳輸單元(MTU)時,源節點負責對分組進行分段,並在分段擴展包頭中提供重裝信息。
IPv6包的不可分段部分包括:IPv6包頭、Hop-by-Hop選項包頭、目的地選項包頭(適用於中轉路由器)和路由包頭。IPv6包的可分段部分包括:認證包頭、ESP協議包頭、目的地選項包頭(適用於最終目的地)和上層協議數據單元PDU。
註:a、在IPv6中,只有源節點才能對負載進行分段。 b、IPv6超大包不能使用該項服務。
5)認證包頭
提供數據源認證、數據完整性檢查和反重播保護。認證包頭不提供數據加密服務,需要加密服務的數據包,可以結合使用ESP協議。
6)ESP協議包頭
提供加密服務。
UWB(Ultra-Wideband,超寬頻)脈沖無線傳輸技術是近兩三年在國際上興起的一種無線通信革命性的通信技術,與其他無線通信技術相比有很大不同:不需要使用載波,而是依靠持續的、時間非常短的基帶脈沖信號(通常情況下)傳輸數據,因而佔用的頻帶非常寬,通常在幾GHz量級。
UWB技術與下列名詞是同義的:極短脈沖、無載波、時域、非正弦、正交函數和大相對帶寬無線/雷達信號。UWB脈沖通信由於其優良獨特的技術特性,越來越受到通信學術界和產業界的重視,並且也為社會各界所關注,將會在小范圍和室內大容量高速率無線多媒體通信、雷達、精密定位、穿牆透地探測、成像和測量等領域獲得日益廣泛的應用。
2、UWB概述
目前研究的UWB實質上是以占空比很低(低達0.5%)的沖擊脈沖作為信息載體的無載波擴譜技術。它是通過對具有很陡上升和下降時間的沖擊脈沖進行直接調制。典型的UWB直接發射沖擊脈沖串,不再具有傳統的中頻和射頻的概念,此時發射的信號可看成基帶信號(依常規無線電而言),也可看成射頻信號(從發射信號的頻譜分量考慮)。沖擊脈沖通常採用單周期高斯脈沖,一個信息比特可映射為數百個這樣的脈沖。單周期脈沖的寬度在ns級,具有很寬的頻譜。UWB開發了一個具有GHz容量和最高空間容量的新無線信道。
基於CDMA的UWB脈沖無線收發信機的基本組成如圖1所示。在發送端時鍾發生器產生一定重復周期的脈沖序列,用戶要傳輸的信息和表示該用戶地址的偽隨機碼分別或合成後對上述周期脈沖序列進行一定方式的調制,調制後的脈沖序列驅動脈沖產生電路,形成一定脈沖形狀和規律的脈沖序列,然後放大到所需功率,再耦合到UWB天線發射出去。
在接收端,UWB天線接收的信號經低雜訊放大器放大後,送到相關器的一個輸入端,相關器的另一個輸入端,加入一個本地產生的與發端同步的經用戶偽隨機碼調制的脈沖序列,接收端信號與本地同步的偽隨機碼調制的脈沖序列一起經過相關器中的相乘、積分和取樣保持運算,產生一個對用戶地址信息經過分離的信號,其中僅含用戶傳輸信息以及其他干擾。然後對該信號進行解調運算,即根據發端的調制方式對每個脈沖進行判決,恢復出所傳輸的信息。同步電路包括捕獲和跟蹤電路,其作用是准確提取時鍾脈沖的位置和重復周期的信息,並將其作用到本地的定時電路,產生接收機所需的各種時鍾和定時信號。
2.1 UWB主要指標
頻率范圍:3.1-10.6GHz;
系統功耗:1-4mW;
脈沖寬度:0.2-1.5 ns,重復周期:25ns-1ms;
發射功率:<-41.3dBm/MHz;
數據速率:幾十到幾百Mbit/s;
分解多路徑時延:≤1ns;
多徑衰落:≤5dB;
系統容量:大大高於3G系統;
空間容量:1000kB/m²。
3、UWB的關鍵技術
3.1 脈沖信號的產生
從本質上講,產生脈沖寬度為納秒級(10-9 s)的信號源是UWB技術的前提條件,單個無載波窄脈沖信號有兩個特點:一是激勵信號的波形為具有陡峭前後沿的單個短脈沖,二是激勵信號包括從直流到微波的很寬的頻譜。目前產生脈沖源的兩類方法為:(1)光電方法,基本原理是利用光導開關的陡峭上升/下降沿獲得脈沖信號。由激光脈沖信號激發得到的脈沖寬度可達到皮秒(10-12 s)量級,是最有發展前景的一種方法。(2)電子方法,基本原理是利用晶體管PN結反向加電,在雪崩狀態的導通瞬間獲得陡峭上升沿,整形後獲得極短脈沖,是目前應用最廣泛的方案。受晶體管耐壓特性的限制,這種方法一般只能產生幾十伏到上百伏的脈沖,脈沖的寬度可以達到1ns以下,實際通信中使用一長串的超短脈沖。
3.2 UWB的調制及多址方式
3.2.1 調制方式
UWB的傳輸功率受傳輸信號的功率譜密度限制,因而在兩個方面影響調制方式的選擇:一是對於每比特能量調制需要提供最佳的誤碼性能;二是調制方案的選擇影響了信號功率譜密度的結構,因此有可能把一些額外的限制加在傳輸功率上。
在UWB中,信息是調制在脈沖上傳遞的,既可以用單個脈沖傳遞不同的信息,也可以使用多個脈沖傳遞相同的信息。
(1)單脈沖調制
對於單個脈沖,脈沖的幅度、位置和極性變化都可以用於傳遞信息。適用於UWB的主要單脈沖調制技術包括:脈沖幅度調制(PAM)、脈沖位置調制(PPM)、通斷鍵控(OOK)、二相調制(BPM)和跳時/直擴二進制相移鍵控調制TH/DS-BPSK等。
PAM是通過改變脈沖幅度的大小來傳遞信息的一種脈沖調制技術。PAM既可以改變脈沖幅度的極性,也可以僅改變脈沖幅度的絕對值大小。通常所講的PAM只改變脈沖幅度的絕對值。BPM和OOK是PAM的兩種簡化形式。BPM通過改變脈沖的正負極性來調制二元信息,所有脈沖幅度的絕對值相同。OOK通過脈沖的有無來傳遞信息。在PAM、BPM和OOK調制中,發射脈沖的時間間隔是固定不變的。實際上,我們也可以通過改變發射脈沖的時間間隔或發射脈沖相對於基準時間的位置來傳遞信息,這就是PPM的基本原理。在PPM中,脈沖的極性和幅度都不改變。
PAM、OOK和PPM共同的優點是可以通過非相干檢測恢復信息。PAM和PPM還可以通過多個幅度調制或多個位置調制提高信息傳輸速率。然而,PAM、OOK和PPM都有一個共同的缺點:經過這些方式調制的脈沖信號將出現線譜。線譜不僅會使UWB脈沖系統的信號難以滿足一定的頻譜要求(例如,FCC關於UWB信號頻譜的規定),而且還會降低功率的利用率。
就上述5種調制方式而言,綜合考慮可靠性、有效性和多址性能等因素,目前廣泛受關注的是後兩種調制方式??TH-PPM和TH/DS-BPSK。兩者的區別在於當採用匹配濾波器的單用戶檢測情況下,TH/DS-BPSK的性能要優於TH-PPM。而對TH/DS-BPSK而言,在速率較高時,應優先選擇DS-BPSK方式;速率較低時,由於TH-BPSK受遠近效應的影響較小,應選擇TH-BPSK方式。在採用最小均方誤差(MMSE)檢測方式的多用戶接收機應用情況時,兩者差別不大;但在速率較高時,TH/DS-BPSK的性能還是要優於TH-PPM系統。而BPM則可以避免線譜現象,並且是功率效率最高的脈沖調制技術。對於功率譜密度受約束和功率受限的UWB脈沖無線系統,為了獲得更好的通信質量或更高的通信容量,BPM是一種比較理想的脈沖調制技術。
(2)多脈沖調制
實際上,為了降低單個脈沖的幅度或提高抗干擾性能,在UWB脈沖無線系統中,往往採用多個脈沖傳遞相同的信息,這就是多脈沖調制的基本思想。
當採用多脈沖調制時,把傳輸相同信息的多個脈沖稱為一組脈沖,那麼,多脈沖調制過程可以分兩步:第一步為每組脈沖內部單個脈沖的調制;第二步為每組脈沖作為整體被調制。在第一步中,每組脈沖內部的單個脈沖通常採用PPM或BPM調制;在第二步中,每組脈沖作為整體通常可以採用PAM、PPM或BPM調制。一般把第一步稱為擴譜,而把第二步稱為信息調制。因而在第一步中,把PPM稱為跳時擴譜(TH-SS),即每組脈沖內部的每一個脈沖具有相同的幅度和極性,但具有不同的時間位置;把BPM稱為直接序列擴譜(DS-SS),即每組脈沖內部的每一個脈沖具有固定的時間間隔和相同的幅度,但具有不同的極性。在第二步中,根據需要傳輸的信息比特,PAM同時改變每組脈沖的幅度,PPM同時調節每組脈沖的時間位置,BPM同時改變每組脈沖的極性。這樣,把第一步和第二步組合起來不難得到以下多脈沖調制技術:TH-SS PPM、DS-SS PPM、TH-SS PAM、DS-SS PAM、TH-SS BPM和DS-SS BPM等。
④ EPS、ESP是什麼意思
EPS的英文全稱是Electronic Power Steering,也就是電子助力轉向。它利用電動機產生的動力協助駕車者進行動力轉向。EPS的構成,不同的車盡管結構部件不一樣,但大體是雷同。一般是由轉矩(轉向)感測器、電子控制單元、電動機、減速器、機械轉向器、以及畜電池電源所構成。
當汽車行駛過程中,受到橫向和縱向的作用力,當側向力過大時,使操縱力減小很多,很容易失控。ESP就改善了這點,當車輛出現不穩定趨勢時,基於CPU的計算,電子助力系統可以對各個車輪實行獨立制動,並參與發動機系統的管理,保證行車的安全性。
⑤ 計算機三級中通過防火牆接入網路的命令
firewall
zone name userzone 創建一個安全區域,進一個已建立的安全區域視圖時不需要用關鍵字。 set
priority 60 設置優先順序 add interface GigabitEthernet0/0/1 把介面添加進區域 dis zone
[userzone]顯示區域配置信息 [FW]policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound]policy 1 firewall defend ip-sweep
enable firewall defend ip-sweep max-rate 1000 firewall blacklist enable
[SRG]firewall defend ip-sweep blacklist-timeout 20 firewall mac-binding enable
MAC地址綁定配置 firewall mac-binding 202.169.168.2 00e0-fc00-0100 [FW2]firewall zone
untrust [FW2-zone-untrust]add interface g0/0/0 [FW2]firewall packet-filter
default permit interzone trust untrust [FW2]firewall packet-filter default
permit interzone local untrust IPSec相關配置: 先配置ACL: acl number 3000 rule 5 permit
ip source 10.0.100.0 0.0.0.255 destination 10.0.200.0 0.0.0.255
1、配置安全提議,封閉使用隧道模式,ESP協議,ESP使用DES加密演算法,完整性驗證使用SHA1演算法。 [FW1]ipsec proposal tran1
encapsulation-mode tunnel transform esp esp authentication-algorithm sha1 esp
encryption-algorithm des 2、配置IKE安全提議 [FW1]ike proposal 10
authentication-algorithm sha1 encryption-algorithm des 3、配置IKE對等體,使用IKEV2協商方式。
[FW1]ike peer fw12 對方可以取名fw21。 ike-proposal 10 remote-address 10.0.20.2
pre-shared-key abcde 4、配置安全策略 [FW1]ipsec policy map1 10 isakmp security acl 3000
proposal tran1 ike-peer fw12 如果要針對源 IP 設置安全策略,則該IP應該是做源 NAT轉換前的 IP 配置安全策略 [FW]policy
interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound]policy 1
[FW-policy-interzone-trust-untrust-outbound]action permit
[FW-policy-interzone-trust-untrust-outbound]policy source 192.168.0.0 0.0.0.255
port-mapping ftp port 803 acl 2010 埠映射,把FTP映射為803。 interzone dmz untrust detect
ftp 與IDS聯運配置 firewall ids authentication type md5 key huawei123 firewall ids
server 192.168.10.10 firewall ids port 3000 firewall ids enable 負載均衡 slb enable
slb rserver 1 rip 10.1.1.3 rserver 2 rip 10.1.1.4 [SRG]firewall packet-filter
default permit interzone local dmz direction outbound 允許健康檢查報文在防火牆Localt和DMZ域間出方向流動。 group
kdkd metric weightrr 加權輪詢演算法。 addrserver 1 addrserver 4 addrserver 5 vserver
huawei vip 202.101.224.21 group kdkd NAT配置 nat address-group 1 202.38.160.1
202.38.160.4 [SRG]nat-policy interzone untrust trust inbound policy 1 action
source-nat policy source 10.1.1.1 address-group 1 no-pat //使用地址池 1 做 NAT No-PAT
轉換 配置 easy-ip nat-policy interzone trust untrust outbound policy 1 action
source-nat source-address 192.168.0.0 0.0.0.255 easy-ip GigabitEthernet0/0/3 //源
NAT 轉換後的公網 IP 為介面 GE0/0/3
的 IP 配置 Smart NAT # nat
address-group 1 mode no-pat //模式要選擇 no-pat smart-nopat 30.1.1.21 //預留一個 IP 做
NAPT section 1 30.1.1.20 30.1.1.20 //section 中不能包含預留 IP! # policy
interzone trust untrust outbound policy 1 action permit policy source 10.1.1.0
0.0.0.255 policy source 20.1.1.0 0.0.0.255 # nat-policy interzone trust untrust
outbound policy 1 action source-nat address-group 1 policy source 10.1.1.0
0.0.0.255 policy source 20.1.1.0 0.0.0.255 埠映射 nat server protocol tcp global
202.101.1.241 ftp inside 10.234.232.4 ftp firewall defend smurf enable
啟動Smurf防攻擊功能(ICMP)。 firewall defend fraggle enable 啟動fraggle防攻擊功能(UDP,1或19埠)。
firewall defend land enable 源地址和目的地址相同或源地址為環回地址(127.0.0.1)。
防火牆作為出口網關,雙出口、雙 ISP 接入公網時,配置 NAT Server
通常需要一分為二, 讓一個私網伺服器向兩個 ISP 發布兩個不同的公網地址供訪問。一分為二的方法有兩種:第一種是將接入不同 ISP 的公網介面規劃在不同的安全區域中,配置 NAT Server 時,帶上 zone
參數,使同一個伺服器向不同安全區域發布不同的公網地址。 [FW] nat server zone
untrust1 protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 [FW] nat server
zone untrust2 protocol tcp global 2.2.2.2 9980 inside 10.1.1.2 80 第二種是將接入不同 ISP 的公網介面規劃在同一個安全區域中,配置 NAT Server 時,帶上
no-reverse 參數,使同一個伺服器向同一個安全區域發布兩個不同的公網地址。 [FW] nat server
protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 no-reverse [FW] nat server
protocol tcp global 2.2.2.2 9980 inside 10.1.1.2 80 no-reverse [FW1] nat server
protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 vrrp 1 解決配了雙機熱備防火牆1P 地址沖突的問題
⑥ 什麼是ipv6,它對於網路有什麼作用和意義嗎
1、IPv6是Internet Protocol Version 6的縮寫,譯為「互聯網協議」,用於替代IP協議(IPV4)的下一代IP協議。
2、IPv6的使用,不僅能解決網路地址資源數量的問題,而且也解決了多種接入設備連入互聯網的障礙。
⑦ 什麼操作系統支持ipv6
IPv6
IPv6是「Internet Protocol Version 6」的縮寫,它是IETF設計的用於替代現行版本IP協議-IPv4-的下一代IP協議。
目前我們使用的第二代互聯網IPV4技術,核心技術屬於美國。它的最大問題是網路地址資源有限,從理論上講,IPV4技術可使用的IP地址有43億個,其中北美佔有3/4,約30億個,而人口最多的亞洲只有不到4億個,中國只有3千多萬個,只相當於美國麻省理工學院的數量。地址不足,嚴重地制約了我國及其他國家互聯網的應用和發展。
與IPV4相比,IPV6具有以下幾個優勢:首先就是網路地址近乎無限,根據這項技術,其網路地址可以達到2的128次方個,如果說IPV4的地址總數為一小桶沙子的話,那麼IPV6的地址總數就像是地球那麼大的一桶沙子。其次就是由於每個人都可以擁有一個以上的IP地址,網路的安全性能將大大提高。第三就是數據傳輸速度將大大提高。IPv6的主要優勢還體現在以下幾方面:提高網路的整體吞吐量、改善服務質量(QoS)、支持即插即用和移動性、更好實現多播功能。 根據這項技術,如果說IPV4實現的只是人機對話,而IPV6則擴展到任意事物之間的對話,它不僅可以為人類服務,還將服務於眾多硬體設備,如家用電器、感測器、遠程照相機、汽車等,它將是無時不在,無處不在的深入社會每個角落的真正的寬頻網。而且它所帶來的經濟效益將非常巨大.當然,IPv6並非十全十美、一勞永逸,不可能解決所有問題。IPv6隻能在發展中不斷完善,也不可能在一夜之間發生,過渡需要時間和成本,但從長遠看,IPv6有利於互聯網的持續和長久發展。 目前,國際互聯網組織已經決定成立兩個專門工作組,制定相應的國際標准。
IPv6 FAQ
1. 什麼是IP? 什麼是IPv4? 什麼是IPv6?
目前的全球網際網路所採用的協議族是TCP/IP協議族。IP是TCP/IP協議族中網路層的協議,是TCP/IP協議族的核心協議。目前IP協議的版本號是4(簡稱為IPv4),它的下一個版本就是IPv6。IPv6正處在不斷發展和完善的過程中,它在不久的將來將取代目前被廣泛使用的IPv4。
2. IPv6與IPv4相比有什麼特點和優點?
1)更大的地址空間。IPv4中規定IP地址長度為32,即有2^32-1個地址;而IPv6中IP地址的長度為128,即有2^128-1個地址。
2)更小的路由表。IPv6的地址分配一開始就遵循聚類(Aggregation)的原則,這使得路由器能在路由表中用一條記錄(Entry)表示一片子網,大大減小了路由器中路由表的長度,提高了路由器轉發數據包的速度。
3)增強的組播(Multicast)支持以及對流的支持(Flow-control)。這使得網路上的多媒體應用有了長足發展的機會,為服務質量(QoS)控制提供了良好的網路平台.
4)加入了對自動配置(Auto-configuration)的支持.這是對DHCP協議的改進和擴展,使得網路(尤其是區域網)的管理更加方便和快捷.
5)更高的安全性.在使用IPv6網路中用戶可以對網路層的數據進行加密並對IP報文進行校驗,這極大的增強了網路安全.
3. 我們需要2^128-1個IP地址嗎?
需要.隨著電子技術及網路技術的發展,計算機網路將進入人們的日常生活,可能身邊的每一樣東西都需要連入全球網際網路.並且,准確的說,使用IPv6的網路並沒有2^128-1個能充分利用的地址.首先,要實現IP地址的自動配置,區域網所使用的子網的前綴必須等於64,但是很少有一個區域網能容納2^64個網路終端;其次,由於IPv6的地址分配必須遵循聚類的原則,地址的浪費在所難免.
4. 我想了解一下IPv6,該怎麼做呢?
看RFC! 這是最省錢也是最保險的辦法,就是枯燥一點.目前國內介紹IPv6的書至少有一本: IPv6--the new Internet protocol(second edition)/新網際網路協議IPv6(第二版),清華大學出版社,1999 介紹IPv6網路編程(Unix平台)的書也至少有一本: Unix Network Programming Volume I (Second Edition)/Unix網路編程卷一(第二版),清華大學出版社,1998
5. 我想試一試IPv6,該做些什麼呢?
你需要三樣東西:支持IPv6的操作系統;支持IPv6的軟體;與網際網路的連接.
1)目前支持IPv6的操作系統有:Windows Vista,Linux(內核版本至少是2.2.1,最好是2.2.12以上),FreeBSD(4.x系列已經支持IPv6,更早的版本需要給內核打補丁),WindowsNT/2000(需要去微軟的網站下一個補丁程序),NetBSD,OpenBSD,Solaris(這些就不熟了),等等等等.目前肯定不支持IPv6的操作系統是(我知道的)Windows系列中Windows98及其以前的版本.
2)支持IPv6的操作系統一般都會自帶一些支持IPv6的網路程序(Linux的情況比較特殊,有的軟體可能本身支持IPv6但在編譯的時候沒有打開相應的選項,這是因為不同的發布商對IPv6重要性及可用性的看法各不相同).但是,這些操作系統自帶的程序往往並不是最好的,你可能需要到網上去找一些好用的支持IPv6的軟體.
3)如果你想真正嘗試IPv6,一定要連網,起碼要有一個區域網環境.
IPv6包頭
IPv6包頭對IPv4包頭做了部分改進,去掉了一些不必要或很少用的欄位,增加了部分能更好提供實時支持的欄位。
IPv6包結構
IPv6包由IPv6包頭、擴展包頭和上層協議數據單元三部分組成,見圖1。
圖1、IPv6包結構
·IPv6包頭
40位元組固定長度,在本文的稍後部分將有詳細論述。
·擴展包頭
IPv6包頭設計中對原IPv4包頭所做的一項重要改進就是將所有可選欄位移出IPv6包頭,置於擴展頭中。由於大多數IPv6擴展頭不受中轉路由器檢查,因此改進後的IPv6包頭可以提高路由器轉發效率。
IPv6擴展頭可以沒有,也可以有一個或多個。IPv6所做的另一個改進之處是:與IPv4選項不同,IPv6擴展頭長度不固定,便於日後擴充新增選項,這一特徵加上選項的處理方式使得IPv6選項能得以真正的利用。
·上層協議數據單元(PDU)
PDU由傳輸頭及其負載(如ICMPv6消息、或UDP消息等)組成。而IPv6包有效負載則包括IPv6擴展頭和PDU,通常所能允許的最大位元組數為65,535位元組,大於該位元組數的負載可通過使用擴展頭中的Jumbo Payload選項進行發送。
IPv6包頭
圖2、IPv6包頭格式
IPv6包頭長度固定為40位元組,去掉了IPv4中一切可選項,只包括8個必要的欄位,因此盡管IPv6地址長度為IPv4的四倍,IPv6包頭長度僅為IPv4包頭長度的兩倍。
Version(版本號):4位,IP協議版本號,值= 6。
Traffice Class(通信類別):8位,指示IPv6數據流通信類別或優先順序。功能類似於IPv4的服務類型(TOS)欄位。
Flow Label(流標記):20位,IPv6新增欄位,標記需要IPv6路由器特殊處理的數據流。該欄位用於某些對連接的服務質量有特殊要求的通信,諸如音頻或視頻等實時數據傳輸。在IPv6中,同一信源和信宿之間可以有多種不同的數據流,彼此之間以非「0」流標記區分。如果不要求路由器做特殊處理,則該欄位值置為「0」。
Payload Length(負載長度):16位負載長度。負載長度包括擴展頭和上層PDU,16位最多可表示65,535位元組負載長度。超過這一位元組數的負載,該欄位值置為「0」,使用擴展頭逐個跳段(Hop-by-Hop)選項中的巨量負載(Jumbo Payload)選項。
Next Header(下一包頭):8位,識別緊跟IPv6頭後的包頭類型,如擴展頭(有的話)或某個傳輸層協議頭(諸如TCP,UDP或著ICMPv6)。
Hop Limit(跳段數限制):8位,類似於IPv4的TTL(生命期)欄位。與IPv4用時間來限定包的生命期不同,IPv6用包在路由器之間的轉發次數來限定包的生命期。包每經過一次轉發,該欄位減1,減到0時就把這個包丟棄。
Source Address(源地址):128位,發送方主機地址。
Destination Address(目的地址):128位,在大多數情況下,目的地址即信宿地址。但如果存在路由擴展頭的話,目的地址可能是發送方路由表中下一個路由器介面。
IPv6擴展包頭
IPv6將所有的可選項都移出IPv6包頭,置於擴展頭中。由於除Hop-by-Hop選項擴展頭外,其他擴展頭不受中轉路由器檢查或處理,這樣就能提高路由器處理包含選項的IPv6分組的性能。
通常,一個典型的IPv6包,沒有擴展頭。僅當需要路由器或目的節點做某些特殊處理時,才由發送方添加一個或多個擴展頭。與IPv4不同,IPv6擴展頭長度任意,不受40位元組限制,但是為了提高處理選項頭和傳輸層協議的性能,擴展頭總是8位元組長度的整數倍。
目前,RFC 2460中定義了以下6個IPv6擴展頭:Hop-by-Hop(逐個跳段)選項包頭、目的地選項包頭、路由包頭、分段包頭、認證包頭和ESP協議包頭。
1)Hop-by-Hop選項包頭
包含分組傳送過程中,每個路由器都必須檢查和處理的特殊參數選項。
Hop-by-Hop選項包頭中的選項描述一個分組的某些特性或用於提供填充。這些選項有:
·Pad1選項(選項類型為0),填充單位元組。
·PadN選項(選項類型為1),填充2個以上位元組。
·Jumbo Payload選項(選項類型為194),用於傳送超大分組。使用Jumbo Payload選項,分組有效載荷長度最大可達4,294,967,295位元組。負載長度超過65,535位元組的IPv6包稱為「超大包」。
·路由器警告選項(選項類型為5),提醒路由器分組內容需要做特殊處理。路由器警告選項用於組播收聽者發現和RSVP(資源預定)協議。
2)目的地選項包頭
需要被中間目的地或最終目的地檢查的信息。有兩種用法:
·如果存在路由擴展頭,則每一個中轉路由器都要處理這些選項。
·如果沒有路由擴展頭,則只有最終目的節點需要處理這些選項。
3)路由包頭
類似於IPv4的鬆散源路由。IPv6的源節點可以利用路由擴展包頭指定一個鬆散源路由,即分組從信源到信宿需要經過的中轉路由器列表。
4)分段包頭
提供分段和重裝服務。當分組大於鏈路最大傳輸單元(MTU)時,源節點負責對分組進行分段,並在分段擴展包頭中提供重裝信息。
IPv6包的不可分段部分包括:IPv6包頭、Hop-by-Hop選項包頭、目的地選項包頭(適用於中轉路由器)和路由包頭。IPv6包的可分段部分包括:認證包頭、ESP協議包頭、目的地選項包頭(適用於最終目的地)和上層協議數據單元PDU。
註:a、在IPv6中,只有源節點才能對負載進行分段。 b、IPv6超大包不能使用該項服務。
5)認證包頭
提供數據源認證、數據完整性檢查和反重播保護。認證包頭不提供數據加密服務,需要加密服務的數據包,可以結合使用ESP協議。
6)ESP協議包頭
提供加密服務
⑧ Openswan和freeswan的區別
openswan採用的是ipsec技術實現的VPN,由於在IP層實現,效率高,歷史悠久,網上相關的配置文章也多,穩定。可以實現p2p,p2net,net2net.
openvpn採用SSL技術實現,由於主要工作在應用層,效率低,如果單位流量比較大,還是不要用這個了。另個他採用了SSL技術,也不是我們通常所說的SSL VPN。
目前市場上比較流行的硬體VPN都是採用的ipsec技術。所以選擇第一種對你以後更換硬體有幫助。
基本上來說,市場上的硬體VPN產品很少採用openvpn這樣的技術的。
IPSEC工作原理
--------------------------------------------------------------------------------
虛擬專網是指在公共網路中建立專用網路,數據通過安全的「管道」在公共網路中傳播。使用VPN有節省成本、提供遠程訪問、擴展性強、便於管理和實現全面控制等好處,是目前和今後網路服務的重點項目。因此必須充分認識虛擬專網的技術特點,建立完善的服務體系。 VPN工作原理
目前建造虛擬專網的國際標准有IPSEC(RFC 1825-1829)和L2TP(草案draft-ietf-pppext-l2tp-10)。其中L2TP是虛擬專用撥號網路協議,是IETF根據各廠家協議(包括微軟公司的PPTP、Cisco的L2F)進行起草的,目前尚處於草案階段。IPSEC是一系列基於IP網路(包括Intranet、Extranet和Internet)的,由IETF正式定製的開放性IP安全標准,是虛擬專網的基礎,已經相當成熟可靠。L2TP協議草案中規定它(L2TP標准)必須以IPSEC為安全基礎(見draft-ietf-pppext-l2tp-security-01)。因此,闡述VPN的工作原理,主要是分析IPSEC的工作原理。
IPSEC提供三種不同的形式來保護通過公有或私有IP網路來傳送的私有數。
認證——作用是可以確定所接受的數據與所發送的數據是一致的,同時可以確定申請發送者在實際上是真實發送者,而不是偽裝的。
數據完整——作用是保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
機密性——作用是使相應的接收者能獲取發送的真正內容,而無意獲取數據的接收者無法獲知數據的真正內容。
在IPSEC由三個基本要素來提供以上三種保護形式:認證協議頭(AH)、安全載入封裝(ESP)和互聯網密匙管理協議(IKMP)。認證協議頭和安全載入封裝可以通過分開或組合使用來達到所希望的保護等級。
認證協議頭(AH)是在所有數據包頭加入一個密碼。正如整個名稱所示,AH通過一個只有密匙持有人才知道的「數字簽名」來對用戶進行認證。這個簽名是數據包通過特別的演算法得出的獨特結果;AH還能維持數據的完整性,因為在傳輸過程中無論多小的變化被載入,數據包頭的數字簽名都能把它檢測出來。不過由於AH不能加密數據包所載入的內容,因而它不保證任何的機密性。兩個最普遍的AH標準是MD5和SHA-1,MD5使用最高到128位的密匙,而SHA-1通過最高到160位密匙提供更強的保護。
安全載入封裝(ESP)通過對數據包的全部數據和載入內容進行全加密來嚴格保證傳輸信息的機密性,這樣可以避免其他用戶通過監聽來打開信息交換的內容,因為只有受信任的用戶擁有密匙打開內容。ESP也能提供認證和維持數據的完整性。最主要的ESP標準是數據加密標准(DES),DES最高支持56位的密匙,而3DES使用三套密匙加密,那就相當於使用最高到168位的密匙。由於ESP實際上加密所有的數據,因而它比AH需要更多的處理時間,從而導致性能下降。
密匙管理包括密匙確定和密匙分發兩個方面,最多需要四個密匙:AH和ESP各兩個發送和接收密匙。密匙本身是一個二進制字元串,通常用十六進製表示,例如,一個56位的密匙可以表示為5F39DA752E0C25B4。注意全部長度總共是64位,包括了8位的奇偶校驗。56位的密匙(DES)足夠滿足大多數商業應用了。密匙管理包括手工和自動兩種方式,手工管理系統在有限的安全需要可以工作得很好,而自動管理系統能滿足其他所有的應用要求。
使用手工管理系統,密匙由管理站點確定然後分發到所有的遠程用戶。真實的密匙可以用隨機數字生成器或簡單的任意拼湊計算出來,每一個密匙可以根據集團的安全政策進行修改。 使用自動管理系統,可以動態地確定和分發密匙,顯然和名稱一樣,是自動的。自動管理系統具有一個中央控制點,集中的密匙管理者可以令自己更加安全,最大限度的發揮IPSEC的效用。
IPSEC的實現方式
IPSEC的一個最基本的優點是它可以在共享網路訪問設備,甚至是所有的主機和伺服器上完全實現,這很大程度避免了升級任何網路相關資源的需要。在客戶端,IPSEC架構允許使用在遠程訪問介入路由器或基於純軟體方式使用普通MODEM的PC機和工作站。而ESP通過兩種模式在應用上提供更多的彈性:傳送模式和隧道模式。
IPSEC Packet 可以在壓縮原始IP地址和數據的隧道模式使用
傳送模式通常當ESP在一台主機(客戶機或服務勤)上實現時使用,傳送模式使用原始明文IP頭,並且只加密數據,包括它的TCP和UDP頭。
隧道模式通常當ESP在關聯到多台主機的網路訪問介入裝置實現時使用,隧道模式處理整個IP數據包——包括全部TCP/IP或UDP/IP頭和數據,它用自己的地址做為源地址加入到新的IP頭。當隧道模式用在用戶終端設置時,它可以提供更多的便利來隱藏內部伺服器主機和客戶機的地址。
虛擬專網的加密演算法說明
--------------------------------------------------------------------------------
一、IPSec認證
IPSec認證包頭(AH)是一個用於提供IP數據報完整性和認證的機制。完整性保證數據報不被無意的或惡意的方式改變,而認證則驗證數據的來源(主機、用戶、網路等)。AH本身其實並不支持任何形式的加密,它不能保護通過Internet發送的數據的可信性。AH只是在加密的出口、進口或使用受到當地政府限制的情況下可以提高全球Intenret的安全性。當全部功能實現後,它將通過認證IP包並且減少基於IP欺騙的攻擊機率來提供更好的安全服務。AH使用的包頭放在標準的IPv4和IPv6包頭和下一個高層協議幀(如TCP、UDP、I CMP等)之間。
AH協議通過在整個IP數據報中實施一個消息文摘計算來提供完整性和認證服務。一個消息文摘就是一個特定的單向數據函數,它能夠創建數據報的唯一的數字指紋。消息文摘演算法的輸出結果放到AH包頭的認證數據(Authentication_Data)區。消息文摘5演算法(MD5)是一個單向數學函數。當應用到分組數據中時,它將整個數據分割成若干個128比特的信息分組。每個128比特為一組的信息是大分組數據的壓縮或摘要的表示。當以這種方式使用時,MD5隻提供數字的完整性服務。一個消息文摘在被發送之前和數據被接收到以後都可以根據一組數據計算出來。如果兩次計算出來的文摘值是一樣的,那麼分組數據在傳輸過程中就沒有被改變。這樣就防止了無意或惡意的竄改。在使用HMAC-MD5認證過的數據交換中,發送者使用以前交換過的密鑰來首次計算數據報的64比特分組的MD5文摘。從一系列的16比特中計算出來的文摘值被累加成一個值,然後放到AH包頭的認證數據區,隨後數據報被發送給接收者。接收者也必須知道密鑰值,以便計算出正確的消息文摘並且將其與接收到的認證消息文摘進行適配。如果計算出的和接收到的文摘值相等,那麼數據報在發送過程中就沒有被改變,而且可以相信是由只知道秘密密鑰的另一方發送的。
二、IPSec加密
封包安全協議(ESP)包頭提供IP數據報的完整性和可信性服務ESP協議是設計以兩種模式工作的:隧道(Tunneling)模式和傳輸(Transport)模式。兩者的區別在於IP數據報的ESP負載部分的內容不同。在隧道模式中,整個IP數據報都在ESP負載中進行封裝和加密。當這完成以後,真正的IP源地址和目的地址都可以被隱藏為Internet發送的普通數據。這種模式的一種典型用法就是在防火牆-防火牆之間通過虛擬專用網的連接時進行的主機或拓撲隱藏。在傳輸模式中,只有更高層協議幀(TCP、UDP、ICMP等)被放到加密後的IP數據報的ESP負載部分。在這種模式中,源和目的IP地址以及所有的IP包頭域都是不加密發送的。
IPSec要求在所有的ESP實現中使用一個通用的預設演算法即DES-CBC演算法。美國數據加密標准(DES)是一個現在使用得非常普遍的加密演算法。它最早是在由美國政府公布的,最初是用於商業應用。到現在所有DES專利的保護期都已經到期了,因此全球都有它的免費實現。IPSec ESP標准要求所有的ESP實現支持密碼分組鏈方式(CBC)的DES作為預設的演算法。DES-CBC通過對組成一個完整的IP數據包(隧道模式)或下一個更高的層協議幀(傳輸模式)的8比特數據分組中加入一個數據函數來工作。DES-CBC用8比特一組的加密數據(密文)來代替8比特一組的未加密數據(明文)。一個隨機的、8比特的初始化向量(IV)被用來加密第一個明文分組,以保證即使在明文信息開頭相同時也能保證加密信息的隨機性。DES-CBC主要是使用一個由通信各方共享的相同的密鑰。正因為如此,它被認為是一個對稱的密碼演算法。接收方只有使用由發送者用來加密數據的密鑰才能對加密數據進行解密。因此,DES-CBC演算法的有效性依賴於秘密密鑰的安全,ESP使用的DES-CBC的密鑰長度是56比特。
基於IPSec的VPN技術原理於實現
摘要:本文描述了VPN技術的基本原理以及IPSec規范,在此基礎上介紹了VPN技術的實現方法和幾種典型應用方案。最後,作者對VPN技術的推廣與應用提出了自己的看法。
1.引言
1998年被稱作「電子商務年」,而1999年則將是「政府上網年」。的確,Intemet作為具有世界范圍連通性的「第四媒體」,已經成為一個具有無限商機的場所。如何利用Intemet來開展商務活動,是目前各個企業討論的熱門話題。但將Internet實際運用到商業中,還存在一些亟待解決的問題,其中最重要的兩個問題是服務質量問題和安全問題。服務質量問題在有關廠商和ISP的努力下正在逐步得以解決,而VPN技術的產生為解決安全問題提供了一條有效途徑。
所謂VPN(VirtualPrivate Network,虛擬私有網路)是指將物理上分布在不同地點的網路通過公用骨幹網聯接而成邏輯上的虛擬子網,這里的公用網主要指Interet。為了保障信息在Internet上傳輸的安全性,VPN技術採用了認證、存取控制、機密性、數據完整性等措施,,以保證了信息在傳輸中不被偷看、篡改、復制。由於使用Internet進行傳輸相對於租用專線來說,費用極為低廉,所以VPN的出現使企業通過Internet既安全又經濟地傳輸私有的機密信息成為可能。
VPN技術除了可以節省費用外,還具有其它特點:
●伸縮性椂能夠隨著網路的擴張,很靈活的加以擴展。當增加新的用戶或子網時,只需修改已有網路軟體配置,在新增客戶機或網關上安裝相應軟體並接人Internet後,新的VPN即可工作。
●靈活性棗除了能夠方便地將新的子網擴充到企業的網路外,由於Intemet的全球連通性,VPN可以使企業隨時安全地將信息存取到全球的商貿夥伴和顧客。
●易於管理棗用專線將企業的各個子網連接起來時,隨著子網數量的增加,需要的專線數以幾何級數增長。而使用VPN時Internet的作用類似一個HUB,只需要將各個子網接入Internet即可,不需要進行各個線路的管理。
VPN既可以用於構建企業的Intranet,也可以用於構建Extranet。隨著全球電子商務熱的興起,VPN應用必將越來越廣泛。據Infonetics Reseach的預測,VPN的市場分額將從今天的兩億美元增長到2001年時的119億美元,其中VPN產品的銷售收入就要佔其中的十分之一。
2.基於IPSec規范的VPN技術
1)IPSec協議簡介
IPSec(1P Security)產生於IPv6的制定之中,用於提供IP層的安全性。由於所有支持TCP/IP協議的主機進行通信時,都要經過IP層的處理,所以提供了IP層的安全性就相當於為整個網路提供了安全通信的基礎。鑒於IPv4的應用仍然很廣泛,所以後來在IPSec的制定中也增添了對IPv4的支持。
最初的一組有關IPSec標准由IETF在1995年制定,但由於其中存在一些未解決的問題,從1997年開始IETF又開展了新一輪的IPSec的制定工作,截止至1998年11月份主要協議已經基本制定完成。不過這組新的協議仍然存在一些問題,預計在不久的將來IETF又會進行下一輪IPSec的修訂工作。
2)IPSec基本工作原理
IPSec的工作原理(如圖l所示)類似於包過濾防火牆,可以看作是對包過濾防火牆的一種擴展。當接收到一個IP數據包時,包過濾防火牆使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時,包過濾防火牆就按照該規則制定的方法對接收到的IP數據包進行處理。 這里的處理工作只有兩種:丟棄或轉發。
圖1 IPSec工作原理示意圖
IPSec通過查詢SPD(Security P01icy Database安全策略資料庫)決定對接收到的IP數據包的處理。但是IPSec不同於包過濾防火牆的是,對IP數據包的處理方法除了丟棄,直接轉發(繞過IPSec)外,還有一種,即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火牆更進一步的網路安全性。
進行IPSec處理意味著對IP數據包進行加密和認證。包過濾防火牆只能控制來自或去往某個站點的IP數據包的通過,可以拒絕來自某個外部站點的IP數據包訪問內部某些站點,.也可以拒絕某個內部站點方對某些外部網站的訪問。但是包過濾防火牆不能保證自內部網路出去的數據包不被截取,也不能保證進入內部網路的數據包未經過篡改。只有在對IP數據包實施了加密和認證後,才能保證在外部網路傳輸的數據包的機密性,真實性,完整性,通過Internet進新安全的通信才成為可能。
IPSec既可以只對IP數據包進行加密,或只進行認證,也可以同時實施二者。但無論是進行加密還是進行認證,IPSec都有兩種工作模式,一種是與其前一節提到的協議工作方式類似的隧道模式,另一種是傳輸模式。
傳輸模式,如圖2所示,只對IP數據包的有效負載進行加密或認證。此時,繼續使用以前的IP頭部,只對IP頭部的部分域進行修改,而IPSec協議頭部插入到IP頭部和傳輸層頭部之間。
圖2 傳輸模式示意圖
隧道模式,如圖3所示,對整個IP數據色進行加密或認證。此時,需要新產生一個IP頭部,IPSec頭部被放在新產生的IP頭部和以前的IP數據包之間,從而組成一個新的IP頭部。
圖3隧道模式示意圖
3)IPSec中的三個主要協議
前面已經提到IPSec主要功能為加密和認證,為了進行加密和認證IPSec還需要有密鑰的管理和交換的功能,以便為加密和認證提供所需要的密鑰並對密鑰的使用進行管理。以上三方面的工作分別由AH,ESP和IKE三個協議規定。為了介紹這三個協議,需要先引人一個非常重要的術語棗SA(Securlty Association安全關聯)。所謂安全關聯是指安全服務與它服務的載體之間的一個「連接」。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和維護。只要實現AH和ESP都必須提供對SA的支持。
通信雙方如果要用IPSec建立一條安全的傳輸通路,需要事先協商好將要採用的安全策略,包括使用的加密演算法、密鑰、密鑰的生存期等。當雙方協商好使用的安全策略後,我們就說雙方建立了一個SA。SA就是能向其上的數據傳輸提供某種IPSec安全保障的一個簡單連接,可以由AH或ESP提供。當給定了一個SA,就確定了IPSec要執行的處理,如加密,認證等。SA可以進行兩種方式的組合,分別為傳輸臨近和嵌套隧道。
1)ESP(Encapsulating Secuity Fayload)
ESP協議主要用來處理對IP數據包的加密,此外對認證也提供某種程度的支持。ESP是與具體的加密演算法相獨立的,幾乎可以支持各種對稱密鑰加密演算法,例如DES,TripleDES,RC5等。為了保證各種IPSec實現間的互操作性,目前ESP必須提供對56位DES演算法的支持。
ESP協議數據單元格式三個部分組成,除了頭部、加密數據部分外,在實施認證時還包含一個可選尾部。頭部有兩個域:安全策略索引(SPl)和序列號(Sequencenumber)。使用ESP進行安全通信之前,通信雙方需要先協商好一組將要採用的加密策略,包括使用的演算法、密鑰以及密鑰的有效期等。「安全策略索引」使用來標識發送方是使用哪組加密策略來處理IP數據包的,當接收方看到了這個序號就知道了對收到的IP數據包應該如何處理。「序列號」用來區分使用同一組加密策略的不同數據包。加密數據部分除了包含原IP數據包的有效負載,填充域(用來保證加密數據部分滿足塊加密的長度要求)包含其餘部分在傳輸時都是加密過的。其中「下一個頭部(Next Header)」用來指出有效負載部分使用的協議,可能是傳輸層協議(TCP或UDP),也可能還是IPSec協議(ESP或AH)。
通常,ESP可以作為IP的有效負載進行傳輸,這JFIP的頭UKB指出下廣個協議是ESP,而非TCP和UDP。由於採用了這種封裝形式,所以ESP可以使用舊有的網路進行傳輸。
前面已經提到用IPSec進行加密是可以有兩種工作模式,意味著ESP協議有兩種工作模式:傳輸模式(Transport Mode)和隧道模式(TunnelMode)。當ESP工作在傳輸模式時,採用當前的IP頭部。而在隧道模式時,侍整個IP數據包進行加密作為ESP的有效負載,並在ESP頭部前增添以網關地址為源地址的新的IP頭部,此時可以起到NAT的作用。
2)AH(Authentication Header)
AH只涉及到認證,不涉及到加密。AH雖然在功能上和ESP有些重復,但AH除了對可以對IP的有效負載進行認證外,還可以對IP頭部實施認證。主要是處理數據對,可以對IP頭部進行認證,而ESP的認證功能主要是面對IP的有效負載。為了提供最基本的功能並保證互操作性,AH必須包含對HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一種SHA和MD5都支持的對稱式認證系統)的支持。
AH既可以單獨使用,也可在隧道模式下,或和ESP聯用。
3)IKE(Internet Key Exchange)
IKE協議主要是對密鑰交換進行管理,它主要包括三個功能:
●對使用的協議、加密演算法和密鑰進行協商。
●方便的密鑰交換機制(這可能需要周期性的進行)。
●跟蹤對以上這些約定的實施。
3.VPN系統的設計
如圖4所示,VPN的實現包含管理模塊、密鑰分配和生成模塊、身份認證模塊、數據加密/解密模塊、數據分組封裝/分解模塊和加密函數庫幾部分組成。
管理模塊負責整個系統的配置和管理。由管理模塊來決定採取何種傳輸模式,對哪些IP數據包進行加密/解密。由於對IP數據包進行加密需要消耗系統資源,增大網路延遲,因此對兩個安全網關之間所有的IP數據包提供VPN服務是不現實的。網路管理員可以通過管理模塊來指定對哪些IP數據包進行加密。Intranet內部用戶也可以通過Telnet協議傳送的專用命令,指定VPN系統對自已的IP數據包提供加密服務。
密鑰管理模塊負責完成身份認證和數據加密所需的密鑰生成和分配。其中密鑰的生成採取隨機生成的方式。各安全網關之間密鑰的分配採取手工分配的方式, 通過非網路傳輸的其它安全通信方式完成密鑰在各安全網關之間的傳送。各安全網關的密鑰存貯在密資料庫中,支持以IP地址為關鍵字的快速查詢獲取。
身份認證模塊對IP數據包完成數字簽名的運算。整個數字簽名的過程如圖5所示:
圖5 數字簽名
首先,發送方對數據進行哈希運算h=H(m),然後 用通信密鑰k對h進行加密得到簽名Signature={ h} key。發送方將簽名附在明文之後,一起傳送給接收方。 接收方收到數據後,首先用密鑰k對簽名進行解密得到 h,並將其與H(m)進行比較,如果二者一致,則表明數據是完整的。數字簽名在保證數據完整性的同時,也起到了身份認證的作用,因為只有在有密鑰的情況之下,才能對數據進行正確的簽名。
數據加密/解密模塊完成對IP數據包的加密和解密操作。可選的加密演算法有IDEA演算法和DES演算法。前者在用軟體方式實現時可以獲得較快的加密速度。為了 進一步提高系統效率,可以採用專用硬體的方式實現數據的加密和解密,這時採用DES演算法能得到較快的加密速度。隨著當前計算機運算能力的提高,DES演算法的安 全性開始受到挑戰,對於安全性要求更高的網路數據,數據加密/解密模塊可以提供TriPle DES加密服務。
數據分組的封裝/分解模塊實現對IP數據分組進行安全封裝或分解。當從安全網關發送IP數據分組時,數據分組封裝/分解模塊為IP數據分組附加上身份認
證頭AH和安全數據封裝頭ESP。當安全網關接收到IP 數據分組時,數據分組封裝/分解模塊對AH和ESP進行協議分析,並根據包頭信息進行身份驗證和數據解密。
加密函數庫為上述模塊提供統一的加密服務。加密 函數庫設計的一條基本原則是通過一個統一的函數介面界面與上述模塊進行通信。這樣可以根據實際的需
要,在掛接加密演算法和加密強度不同的函數庫時,其它模塊不需作出改動。
4.幾種典型的VPN應用方案
VPN的應用有兩種基本類型:撥號式VPN與專用式VPN。
撥號VPN為移動用戶與遠程辦公者提供遠程內部網訪問,這種形式的VPN是當前最流行的形式。撥號VPN業務也稱為「公司撥號外包」方式。按照隧道建立的場所,撥號VPN分為兩種:在用戶PC機上或在服務提供商的網路訪問伺服器(NAS)上。
專用VPN有多種形式,其共同的要素是為用戶提供IP服務,一般採用安全設備或客戶端的路由器等設備在IP網路上完成服務。通過在幀中繼或ATM網上安裝IP介面也可以提供IP服務。專用業務應用通過WAN將遠程辦公室與企業的內部網與外部網連接起來,這些業務的特點是多用戶與高速連接,為提供完整的VPN業務,企業與服務提供商經常將專用VPN與遠程訪問方案結合起來。
目前剛出現一種VPN知覺的網路,服務提供商將很快推出一系列新產品,專門用於提供商在向企業提供專用增值服務時對擴展性與靈活性的需求。
5.結束語
總之,VPN是一項綜合性的網路新技術,即使在網路高度發達的美國也才推出不久,但是已顯示出強大的生命力,Cisco、3Com、Ascend等公司已推出了各自的產品。但是VPN產品能否被廣泛接受主要取決於以下兩點:一是VPN方案能否以線路速度進行加密,否則將會產生瓶頸;二是能否調度和引導VPN的數據流到網路上的不同管理域。
在中國,由於網路基礎設施還比較落後,計算機應用水平也不高,因此目前對VPN技術的需求還不高,大多數廠商還處在徘徊觀望階段,但是隨著國民經濟信息化進程的加快,特別是政府上網、電子商務的推動,VPN技術將會大有用武之地。
⑨ ESP和EPS有什麼區別
1、構成部件不同
EPS(電動助力轉向系統):主要由扭矩感測器、車速感測器、電動機、減速機構和電子控制單元(ECU)等組成。
ESP(車身電子穩定系統):由控制單元及轉向感測器、車輪感測器、側滑感測器、橫向加速度感測器等組成。
2、作用不同
EPS(電動助力轉向系統):利用電動機產生的動力來幫助駕駛員進行轉向操作。
ESP(車身電子穩定系統):使車輛在各種狀況下保持最佳的穩定性,提升車輛的安全性和操控性。
3、工作原理不同
EPS(電動助力轉向系統):電動機僅在需要助力時工作,駕駛員在操縱轉向盤時,扭矩轉角感測器根據輸入扭矩和轉向角的大小產生相應的電壓信號,車速感測器檢測到車速信號,控制單元根據電壓和車速的信號,給出指令控制電動機運轉,從而產生所需要的轉向助力。
ESP(車身電子穩定系統):通過對從各感測器傳來的車輛行駛狀態信息進行分析,然後向ABS、EBD等發出糾偏指令,來幫助車輛維持動態平衡。