① IPv6含义解析
定义 IPv6是Internet Protocol Version 6的缩写,其中Internet Protocol译为“互联网协议”。 IPv6是IETF(互联网工程任务组,Internet Engineering Task Force)设计的用于替代现行版本IP协议(IPv4)的下一代IP协议。 目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。 目前IP协议的版本号是4(简称为IPv4),它的下一个版本就是IPv6。IPv6正处在不断发展和完善的过程中,它在不久的将来将取代目前被广泛使用的IPv4。 概述 目前我们使用的第二代互联网IPV4技术,核心技术属于美国。它的最大问题是网络地址资源有限,从理论上讲,IPV4技术可使用的IP地址有43亿个,其中北美占有3/4,约30亿个,而人口最多的亚洲只有不到4亿个,中国只有3千多万个,只相当于美国麻省理工学院的数量。地址不足,严重地制约了我国及其他国家互联网的应用和发展。 随着电子技术及网络技术的发展,计算机网络将进入人们的日常生活,可能身边的每一样东西都需要连入全球因特网。但是与IPv4一样,IPv6一样会造成大量的IP地址浪费。准确的说,使用IPv6的网络并没有2^128-1个能充分利用的地址。首先,要实现IP地址的自动配置,局域网所使用的子网的前缀必须等于64,但是很少有一个局域网能容纳2^64个网络终端;其次,由于IPv6的地址分配必须遵循聚类的原则,地址的浪费在所难免。 但是,如果说IPV4实现的只是人机对话,而IPV6则扩展到任意事物之间的对话,它不仅可以为人类服务,还将服务于众多硬件设备,如家用电器、传感器、远程照相机、汽车等,它将是无时不在,无处不在的深入社会每个角落的真正的宽带网。而且它所带来的经济效益将非常巨大。 当然,IPv6并非十全十美、一劳永逸,不可能解决所有问题。IPv6只能在发展中不断完善,也不可能在一夜之间发生,过渡需要时间和成本,但从长远看,IPv6有利于互联网的持续和长久发展。 目前,国际互联网组织已经决定成立两个专门工作组,制定相应的国际标准。 优势 与IPV4相比,IPV6具有以下几个优势: 一,IPv6具有更大的地址空间。IPv4中规定IP地址长度为32,即有2^32-1(符号^表示升幂,下同)个地址;而IPv6中IP地址的长度为128,即有2^128-1个地址。 二,IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。 三,IPv6增加了增强的组播(Multicast)支持以及对流的支持(Flow Control),这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS,Quality of Service)控制提供了良好的网络平台。 四,IPv6加入了对自动配置(Auto Configuration)的支持。这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。 五,IPv6具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,极大的增强了网络的安全性。 技术信息概述 IPv6包由IPv6包头(40字节固定长度)、扩展包头和上层协议数据单元三部分组成。 IPv6包扩展包头中的分段包头(下文详述)中指名了IPv6包的分段情况。其中不可分段部分包括:IPv6包头、Hop-by-Hop选项包头、目的地选项包头(适用于中转路由器)和路由包头;可分段部分包括:认证包头、ESP协议包头、目的地选项包头(适用于最终目的地)和上层协议数据单元。但是需要注意的是,在IPv6中,只有源节点才能对负载进行分段,并且IPv6超大包不能使用该项服务。 IPv6包头 IPv6包头长度固定为40字节,去掉了IPv4中一切可选项,只包括8个必要的字段,因此尽管IPv6地址长度为IPv4的四倍,IPv6包头长度仅为IPv4包头长度的两倍。 其中的各个字段分别为: Version(版本号):4位,IP协议版本号,值= 6。 Traffice Class(通信类别):8位,指示IPv6数据流通信类别或优先级。功能类似于IPv4的服务类型(TOS)字段。 Flow Label(流标记):20位,IPv6新增字段,标记需要IPv6路由器特殊处理的数据流。该字段用于某些对连接的服务质量有特殊要求的通信,诸如音频或视频等实时数据传输。在IPv6中,同一信源和信宿之间可以有多种不同的数据流,彼此之间以非“0”流标记区分。如果不要求路由器做特殊处理,则该字段值置为“0”。 Payload Length(负载长度):16位负载长度。负载长度包括扩展头和上层PDU,16位最多可表示65,535字节负载长度。超过这一字节数的负载,该字段值置为“0”,使用扩展头逐个跳段(Hop-by-Hop)选项中的巨量负载(Jumbo Payload)选项。 Next Header(下一包头):8位,识别紧跟IPv6头后的包头类型,如扩展头(有的话)或某个传输层协议头(诸如TCP,UDP或着ICMPv6)。 Hop Limit(跳段数限制):8位,类似于IPv4的TTL(生命期)字段。与IPv4用时间来限定包的生命期不同,IPv6用包在路由器之间的转发次数来限定包的生命期。包每经过一次转发,该字段减1,减到0时就把这个包丢弃。 Source Address(源地址):128位,发送方主机地址。 Destination Address(目的地址):128位,在大多数情况下,目的地址即信宿地址。但如果存在路由扩展头的话,目的地址可能是发送方路由表中下一个路由器接口。 IPv6扩展包头 IPv6包头设计中对原IPv4包头所做的一项重要改进就是将所有可选字段移出IPv6包头,置于扩展头中。由于除Hop-by-Hop选项扩展头外,其他扩展头不受中转路由器检查或处理,这样就能提高路由器处理包含选项的IPv6分组的性能。 通常,一个典型的IPv6包,没有扩展头。仅当需要路由器或目的节点做某些特殊处理时,才由发送方添加一个或多个扩展头。与IPv4不同,IPv6扩展头长度任意,不受40字节限制,以便于日后扩充新增选项,这一特征加上选项的处理方式使得IPv6选项能得以真正的利用。 但是为了提高处理选项头和传输层协议的性能,扩展头总是8字节长度的整数倍。 目前,RFC 2460中定义了以下6个IPv6扩展头:Hop-by-Hop(逐个跳段)选项包头、目的地选项包头、路由包头、分段包头、认证包头和ESP协议包头: (一)Hop-by-Hop选项包头包含分组传送过程中,每个路由器都必须检查和处理的特殊参数选项。其中的选项描述一个分组的某些特性或用于提供填充。这些选项有: Pad1选项(选项类型为0),填充单字节。 PadN选项(选项类型为1),填充2个以上字节。 Jumbo Payload选项(选项类型为194),用于传送超大分组。使用Jumbo Payload选项,分组有效载荷长度最大可达4,294,967,295字节。负载长度超过65,535字节的IPv6包称为“超大包”。 路由器警告选项(选项类型为5),提醒路由器分组内容需要做特殊处理。路由器警告选项用于组播收听者发现和RSVP(资源预定)协议。 (二)目的地选项包头指名需要被中间目的地或最终目的地检查的信息。有两种用法: 如果存在路由扩展头,则每一个中转路由器都要处理这些选项。 如果没有路由扩展头,则只有最终目的节点需要处理这些选项。 (三)路由包头 类似于IPv4的松散源路由。IPv6的源节点可以利用路由扩展包头指定一个松散源路由,即分组从信源到信宿需要经过的中转路由器列表。 (四)分段包头 提供分段和重装服务。当分组大于链路最大传输单元(MTU)时,源节点负责对分组进行分段,并在分段扩展包头中提供重装信息。 (五)认证包头 提供数据源认证、数据完整性检查和反重播保护。认证包头不提供数据加密服务,需要加密服务的数据包,可以结合使用ESP协议。 (六)ESP协议包头 提供加密服务。 上层协议数据单元 上层数据单元即PDU,全称为Protocol Data Unit。 PDU由传输头及其负载(如ICMPv6消息、或UDP消息等)组成。而IPv6包有效负载则包括IPv6扩展头和PDU,通常所能允许的最大字节数为65535字节,大于该字节数的负载可通过使用扩展头中的Jumbo Payload(见上文)选项进行发送。
1、防火墙
网络防火墙技术是一种特殊的网络互联设备,用于加强网络间的访问控制,防止外网用户通过外网非法进入内网,访问内网资源,保护内网运行环境。它根据一定的安全策略,检查两个或多个网络之间传输的数据包,如链路模式,以决定网络之间的通信是否允许,并监控网络运行状态。
目前防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)、电路层网关、屏蔽主机防火墙、双宿主机等。
2、杀毒软件技术
杀毒软件绝对是使用最广泛的安全技术解决方案,因为这种技术最容易实现,但是我们都知道杀毒软件的主要功能是杀毒,功能非常有限,不能完全满足网络安全的需求,这种方式可能还是能满足个人用户或者小企业的需求,但是如果个人或者企业有电子商务的需求,就不能完全满足。
幸运的是,随着反病毒软件技术的不断发展,目前主流的反病毒软件可以防止木马等黑客程序的入侵。其他杀毒软件开发商也提供软件防火墙,具有一定的防火墙功能,在一定程度上可以起到硬件防火墙的作用,比如KV300、金山防火墙、诺顿防火墙等等。
3、文件加密和数字签名技术
与防火墙结合使用的安全技术包括文件加密和数字签名技术,其目的是提高信息系统和数据的安全性和保密性。防止秘密数据被外界窃取、截获或破坏的主要技术手段之一。随着信息技术的发展,人们越来越关注网络安全和信息保密。
目前,各国除了在法律和管理上加强数据安全保护外,还分别在软件和硬件技术上采取了措施。它促进了数据加密技术和物理防范技术的不断发展。根据功能的不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性判别等。
(2)计算机网络esp协议扩展阅读:
首届全VR线上网络安全大会举办
日前,DEF CON CHINA组委会正式官宣,历经20余月的漫长等待,DEF CON CHINA Party将于3月20日在线上举办。
根据DEF CON CHINA官方提供的信息,本次DEF CON CHINA Party将全程使用VR的方式在线上进行,这也是DEF CON历史上的首次“全VR”大会。为此,主办方构建了名为The DEF CONstruct的虚拟空间和赛博世界。在计算机语言中,Construct通常被译为结构体。
③ 寻找现在的网络新技术资料
IPv6
IPv6是“Internet Protocol Version 6”的缩写,它是IETF设计的用于替代现行版本IP协议-IPv4-的下一代IP协议。
目前我们使用的第二代互联网IPV4技术,核心技术属于美国。它的最大问题是网络地址资源有限,从理论上讲,IPV4技术可使用的IP地址有43亿个,其中北美占有3/4,约30亿个,而人口最多的亚洲只有不到4亿个,中国只有3千多万个,只相当于美国麻省理工学院的数量。地址不足,严重地制约了我国及其他国家互联网的应用和发展。
与IPV4相比,IPV6具有以下几个优势:首先就是网络地址近乎无限,根据这项技术,其网络地址可以达到2的128次方个,如果说IPV4的地址总数为一小桶沙子的话,那么IPV6的地址总数就像是地球那么大的一桶沙子。其次就是由于每个人都可以拥有一个以上的IP地址,网络的安全性能将大大提高。第三就是数据传输速度将大大提高。IPv6的主要优势还体现在以下几方面:提高网络的整体吞吐量、改善服务质量(QoS)、支持即插即用和移动性、更好实现多播功能。 根据这项技术,如果说IPV4实现的只是人机对话,而IPV6则扩展到任意事物之间的对话,它不仅可以为人类服务,还将服务于众多硬件设备,如家用电器、传感器、远程照相机、汽车等,它将是无时不在,无处不在的深入社会每个角落的真正的宽带网。而且它所带来的经济效益将非常巨大.当然,IPv6并非十全十美、一劳永逸,不可能解决所有问题。IPv6只能在发展中不断完善,也不可能在一夜之间发生,过渡需要时间和成本,但从长远看,IPv6有利于互联网的持续和长久发展。 目前,国际互联网组织已经决定成立两个专门工作组,制定相应的国际标准。
IPv6 FAQ
1. 什么是IP? 什么是IPv4? 什么是IPv6?
目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4),它的下一个版本就是IPv6。IPv6正处在不断发展和完善的过程中,它在不久的将来将取代目前被广泛使用的IPv4。
2. IPv6与IPv4相比有什么特点和优点?
1)更大的地址空间。IPv4中规定IP地址长度为32,即有2^32-1个地址;而IPv6中IP地址的长度为128,即有2^128-1个地址。
2)更小的路由表。IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。
3)增强的组播(Multicast)支持以及对流的支持(Flow-control)。这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS)控制提供了良好的网络平台.
4)加入了对自动配置(Auto-configuration)的支持.这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷.
5)更高的安全性.在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全.
3. 我们需要2^128-1个IP地址吗?
需要.随着电子技术及网络技术的发展,计算机网络将进入人们的日常生活,可能身边的每一样东西都需要连入全球因特网.并且,准确的说,使用IPv6的网络并没有2^128-1个能充分利用的地址.首先,要实现IP地址的自动配置,局域网所使用的子网的前缀必须等于64,但是很少有一个局域网能容纳2^64个网络终端;其次,由于IPv6的地址分配必须遵循聚类的原则,地址的浪费在所难免.
4. 我想了解一下IPv6,该怎么做呢?
看RFC! 这是最省钱也是最保险的办法,就是枯燥一点.目前国内介绍IPv6的书至少有一本: IPv6--the new Internet protocol(second edition)/新因特网协议IPv6(第二版),清华大学出版社,1999 介绍IPv6网络编程(Unix平台)的书也至少有一本: Unix Network Programming Volume I (Second Edition)/Unix网络编程卷一(第二版),清华大学出版社,1998
5. 我想试一试IPv6,该做些什么呢?
你需要三样东西:支持IPv6的操作系统;支持IPv6的软件;与因特网的连接.
1)目前支持IPv6的操作系统有:Windows Vista,Linux(内核版本至少是2.2.1,最好是2.2.12以上),FreeBSD(4.x系列已经支持IPv6,更早的版本需要给内核打补丁),WindowsNT/2000(需要去微软的网站下一个补丁程序),NetBSD,OpenBSD,Solaris(这些就不熟了),等等等等.目前肯定不支持IPv6的操作系统是(我知道的)Windows系列中Windows98及其以前的版本.
2)支持IPv6的操作系统一般都会自带一些支持IPv6的网络程序(Linux的情况比较特殊,有的软件可能本身支持IPv6但在编译的时候没有打开相应的选项,这是因为不同的发布商对IPv6重要性及可用性的看法各不相同).但是,这些操作系统自带的程序往往并不是最好的,你可能需要到网上去找一些好用的支持IPv6的软件.
3)如果你想真正尝试IPv6,一定要连网,起码要有一个局域网环境.
IPv6包头
IPv6包头对IPv4包头做了部分改进,去掉了一些不必要或很少用的字段,增加了部分能更好提供实时支持的字段。
IPv6包结构
IPv6包由IPv6包头、扩展包头和上层协议数据单元三部分组成,见图1。
图1、IPv6包结构
·IPv6包头
40字节固定长度,在本文的稍后部分将有详细论述。
·扩展包头
IPv6包头设计中对原IPv4包头所做的一项重要改进就是将所有可选字段移出IPv6包头,置于扩展头中。由于大多数IPv6扩展头不受中转路由器检查,因此改进后的IPv6包头可以提高路由器转发效率。
IPv6扩展头可以没有,也可以有一个或多个。IPv6所做的另一个改进之处是:与IPv4选项不同,IPv6扩展头长度不固定,便于日后扩充新增选项,这一特征加上选项的处理方式使得IPv6选项能得以真正的利用。
·上层协议数据单元(PDU)
PDU由传输头及其负载(如ICMPv6消息、或UDP消息等)组成。而IPv6包有效负载则包括IPv6扩展头和PDU,通常所能允许的最大字节数为65,535字节,大于该字节数的负载可通过使用扩展头中的Jumbo Payload选项进行发送。
IPv6包头
图2、IPv6包头格式
IPv6包头长度固定为40字节,去掉了IPv4中一切可选项,只包括8个必要的字段,因此尽管IPv6地址长度为IPv4的四倍,IPv6包头长度仅为IPv4包头长度的两倍。
Version(版本号):4位,IP协议版本号,值= 6。
Traffice Class(通信类别):8位,指示IPv6数据流通信类别或优先级。功能类似于IPv4的服务类型(TOS)字段。
Flow Label(流标记):20位,IPv6新增字段,标记需要IPv6路由器特殊处理的数据流。该字段用于某些对连接的服务质量有特殊要求的通信,诸如音频或视频等实时数据传输。在IPv6中,同一信源和信宿之间可以有多种不同的数据流,彼此之间以非“0”流标记区分。如果不要求路由器做特殊处理,则该字段值置为“0”。
Payload Length(负载长度):16位负载长度。负载长度包括扩展头和上层PDU,16位最多可表示65,535字节负载长度。超过这一字节数的负载,该字段值置为“0”,使用扩展头逐个跳段(Hop-by-Hop)选项中的巨量负载(Jumbo Payload)选项。
Next Header(下一包头):8位,识别紧跟IPv6头后的包头类型,如扩展头(有的话)或某个传输层协议头(诸如TCP,UDP或着ICMPv6)。
Hop Limit(跳段数限制):8位,类似于IPv4的TTL(生命期)字段。与IPv4用时间来限定包的生命期不同,IPv6用包在路由器之间的转发次数来限定包的生命期。包每经过一次转发,该字段减1,减到0时就把这个包丢弃。
Source Address(源地址):128位,发送方主机地址。
Destination Address(目的地址):128位,在大多数情况下,目的地址即信宿地址。但如果存在路由扩展头的话,目的地址可能是发送方路由表中下一个路由器接口。
IPv6扩展包头
IPv6将所有的可选项都移出IPv6包头,置于扩展头中。由于除Hop-by-Hop选项扩展头外,其他扩展头不受中转路由器检查或处理,这样就能提高路由器处理包含选项的IPv6分组的性能。
通常,一个典型的IPv6包,没有扩展头。仅当需要路由器或目的节点做某些特殊处理时,才由发送方添加一个或多个扩展头。与IPv4不同,IPv6扩展头长度任意,不受40字节限制,但是为了提高处理选项头和传输层协议的性能,扩展头总是8字节长度的整数倍。
目前,RFC 2460中定义了以下6个IPv6扩展头:Hop-by-Hop(逐个跳段)选项包头、目的地选项包头、路由包头、分段包头、认证包头和ESP协议包头。
1)Hop-by-Hop选项包头
包含分组传送过程中,每个路由器都必须检查和处理的特殊参数选项。
Hop-by-Hop选项包头中的选项描述一个分组的某些特性或用于提供填充。这些选项有:
·Pad1选项(选项类型为0),填充单字节。
·PadN选项(选项类型为1),填充2个以上字节。
·Jumbo Payload选项(选项类型为194),用于传送超大分组。使用Jumbo Payload选项,分组有效载荷长度最大可达4,294,967,295字节。负载长度超过65,535字节的IPv6包称为“超大包”。
·路由器警告选项(选项类型为5),提醒路由器分组内容需要做特殊处理。路由器警告选项用于组播收听者发现和RSVP(资源预定)协议。
2)目的地选项包头
需要被中间目的地或最终目的地检查的信息。有两种用法:
·如果存在路由扩展头,则每一个中转路由器都要处理这些选项。
·如果没有路由扩展头,则只有最终目的节点需要处理这些选项。
3)路由包头
类似于IPv4的松散源路由。IPv6的源节点可以利用路由扩展包头指定一个松散源路由,即分组从信源到信宿需要经过的中转路由器列表。
4)分段包头
提供分段和重装服务。当分组大于链路最大传输单元(MTU)时,源节点负责对分组进行分段,并在分段扩展包头中提供重装信息。
IPv6包的不可分段部分包括:IPv6包头、Hop-by-Hop选项包头、目的地选项包头(适用于中转路由器)和路由包头。IPv6包的可分段部分包括:认证包头、ESP协议包头、目的地选项包头(适用于最终目的地)和上层协议数据单元PDU。
注:a、在IPv6中,只有源节点才能对负载进行分段。 b、IPv6超大包不能使用该项服务。
5)认证包头
提供数据源认证、数据完整性检查和反重播保护。认证包头不提供数据加密服务,需要加密服务的数据包,可以结合使用ESP协议。
6)ESP协议包头
提供加密服务。
UWB(Ultra-Wideband,超宽带)脉冲无线传输技术是近两三年在国际上兴起的一种无线通信革命性的通信技术,与其他无线通信技术相比有很大不同:不需要使用载波,而是依靠持续的、时间非常短的基带脉冲信号(通常情况下)传输数据,因而占用的频带非常宽,通常在几GHz量级。
UWB技术与下列名词是同义的:极短脉冲、无载波、时域、非正弦、正交函数和大相对带宽无线/雷达信号。UWB脉冲通信由于其优良独特的技术特性,越来越受到通信学术界和产业界的重视,并且也为社会各界所关注,将会在小范围和室内大容量高速率无线多媒体通信、雷达、精密定位、穿墙透地探测、成像和测量等领域获得日益广泛的应用。
2、UWB概述
目前研究的UWB实质上是以占空比很低(低达0.5%)的冲击脉冲作为信息载体的无载波扩谱技术。它是通过对具有很陡上升和下降时间的冲击脉冲进行直接调制。典型的UWB直接发射冲击脉冲串,不再具有传统的中频和射频的概念,此时发射的信号可看成基带信号(依常规无线电而言),也可看成射频信号(从发射信号的频谱分量考虑)。冲击脉冲通常采用单周期高斯脉冲,一个信息比特可映射为数百个这样的脉冲。单周期脉冲的宽度在ns级,具有很宽的频谱。UWB开发了一个具有GHz容量和最高空间容量的新无线信道。
基于CDMA的UWB脉冲无线收发信机的基本组成如图1所示。在发送端时钟发生器产生一定重复周期的脉冲序列,用户要传输的信息和表示该用户地址的伪随机码分别或合成后对上述周期脉冲序列进行一定方式的调制,调制后的脉冲序列驱动脉冲产生电路,形成一定脉冲形状和规律的脉冲序列,然后放大到所需功率,再耦合到UWB天线发射出去。
在接收端,UWB天线接收的信号经低噪声放大器放大后,送到相关器的一个输入端,相关器的另一个输入端,加入一个本地产生的与发端同步的经用户伪随机码调制的脉冲序列,接收端信号与本地同步的伪随机码调制的脉冲序列一起经过相关器中的相乘、积分和取样保持运算,产生一个对用户地址信息经过分离的信号,其中仅含用户传输信息以及其他干扰。然后对该信号进行解调运算,即根据发端的调制方式对每个脉冲进行判决,恢复出所传输的信息。同步电路包括捕获和跟踪电路,其作用是准确提取时钟脉冲的位置和重复周期的信息,并将其作用到本地的定时电路,产生接收机所需的各种时钟和定时信号。
2.1 UWB主要指标
频率范围:3.1-10.6GHz;
系统功耗:1-4mW;
脉冲宽度:0.2-1.5 ns,重复周期:25ns-1ms;
发射功率:<-41.3dBm/MHz;
数据速率:几十到几百Mbit/s;
分解多路径时延:≤1ns;
多径衰落:≤5dB;
系统容量:大大高于3G系统;
空间容量:1000kB/m²。
3、UWB的关键技术
3.1 脉冲信号的产生
从本质上讲,产生脉冲宽度为纳秒级(10-9 s)的信号源是UWB技术的前提条件,单个无载波窄脉冲信号有两个特点:一是激励信号的波形为具有陡峭前后沿的单个短脉冲,二是激励信号包括从直流到微波的很宽的频谱。目前产生脉冲源的两类方法为:(1)光电方法,基本原理是利用光导开关的陡峭上升/下降沿获得脉冲信号。由激光脉冲信号激发得到的脉冲宽度可达到皮秒(10-12 s)量级,是最有发展前景的一种方法。(2)电子方法,基本原理是利用晶体管PN结反向加电,在雪崩状态的导通瞬间获得陡峭上升沿,整形后获得极短脉冲,是目前应用最广泛的方案。受晶体管耐压特性的限制,这种方法一般只能产生几十伏到上百伏的脉冲,脉冲的宽度可以达到1ns以下,实际通信中使用一长串的超短脉冲。
3.2 UWB的调制及多址方式
3.2.1 调制方式
UWB的传输功率受传输信号的功率谱密度限制,因而在两个方面影响调制方式的选择:一是对于每比特能量调制需要提供最佳的误码性能;二是调制方案的选择影响了信号功率谱密度的结构,因此有可能把一些额外的限制加在传输功率上。
在UWB中,信息是调制在脉冲上传递的,既可以用单个脉冲传递不同的信息,也可以使用多个脉冲传递相同的信息。
(1)单脉冲调制
对于单个脉冲,脉冲的幅度、位置和极性变化都可以用于传递信息。适用于UWB的主要单脉冲调制技术包括:脉冲幅度调制(PAM)、脉冲位置调制(PPM)、通断键控(OOK)、二相调制(BPM)和跳时/直扩二进制相移键控调制TH/DS-BPSK等。
PAM是通过改变脉冲幅度的大小来传递信息的一种脉冲调制技术。PAM既可以改变脉冲幅度的极性,也可以仅改变脉冲幅度的绝对值大小。通常所讲的PAM只改变脉冲幅度的绝对值。BPM和OOK是PAM的两种简化形式。BPM通过改变脉冲的正负极性来调制二元信息,所有脉冲幅度的绝对值相同。OOK通过脉冲的有无来传递信息。在PAM、BPM和OOK调制中,发射脉冲的时间间隔是固定不变的。实际上,我们也可以通过改变发射脉冲的时间间隔或发射脉冲相对于基准时间的位置来传递信息,这就是PPM的基本原理。在PPM中,脉冲的极性和幅度都不改变。
PAM、OOK和PPM共同的优点是可以通过非相干检测恢复信息。PAM和PPM还可以通过多个幅度调制或多个位置调制提高信息传输速率。然而,PAM、OOK和PPM都有一个共同的缺点:经过这些方式调制的脉冲信号将出现线谱。线谱不仅会使UWB脉冲系统的信号难以满足一定的频谱要求(例如,FCC关于UWB信号频谱的规定),而且还会降低功率的利用率。
就上述5种调制方式而言,综合考虑可靠性、有效性和多址性能等因素,目前广泛受关注的是后两种调制方式??TH-PPM和TH/DS-BPSK。两者的区别在于当采用匹配滤波器的单用户检测情况下,TH/DS-BPSK的性能要优于TH-PPM。而对TH/DS-BPSK而言,在速率较高时,应优先选择DS-BPSK方式;速率较低时,由于TH-BPSK受远近效应的影响较小,应选择TH-BPSK方式。在采用最小均方误差(MMSE)检测方式的多用户接收机应用情况时,两者差别不大;但在速率较高时,TH/DS-BPSK的性能还是要优于TH-PPM系统。而BPM则可以避免线谱现象,并且是功率效率最高的脉冲调制技术。对于功率谱密度受约束和功率受限的UWB脉冲无线系统,为了获得更好的通信质量或更高的通信容量,BPM是一种比较理想的脉冲调制技术。
(2)多脉冲调制
实际上,为了降低单个脉冲的幅度或提高抗干扰性能,在UWB脉冲无线系统中,往往采用多个脉冲传递相同的信息,这就是多脉冲调制的基本思想。
当采用多脉冲调制时,把传输相同信息的多个脉冲称为一组脉冲,那么,多脉冲调制过程可以分两步:第一步为每组脉冲内部单个脉冲的调制;第二步为每组脉冲作为整体被调制。在第一步中,每组脉冲内部的单个脉冲通常采用PPM或BPM调制;在第二步中,每组脉冲作为整体通常可以采用PAM、PPM或BPM调制。一般把第一步称为扩谱,而把第二步称为信息调制。因而在第一步中,把PPM称为跳时扩谱(TH-SS),即每组脉冲内部的每一个脉冲具有相同的幅度和极性,但具有不同的时间位置;把BPM称为直接序列扩谱(DS-SS),即每组脉冲内部的每一个脉冲具有固定的时间间隔和相同的幅度,但具有不同的极性。在第二步中,根据需要传输的信息比特,PAM同时改变每组脉冲的幅度,PPM同时调节每组脉冲的时间位置,BPM同时改变每组脉冲的极性。这样,把第一步和第二步组合起来不难得到以下多脉冲调制技术:TH-SS PPM、DS-SS PPM、TH-SS PAM、DS-SS PAM、TH-SS BPM和DS-SS BPM等。
④ EPS、ESP是什么意思
EPS的英文全称是Electronic Power Steering,也就是电子助力转向。它利用电动机产生的动力协助驾车者进行动力转向。EPS的构成,不同的车尽管结构部件不一样,但大体是雷同。一般是由转矩(转向)传感器、电子控制单元、电动机、减速器、机械转向器、以及畜电池电源所构成。
当汽车行驶过程中,受到横向和纵向的作用力,当侧向力过大时,使操纵力减小很多,很容易失控。ESP就改善了这点,当车辆出现不稳定趋势时,基于CPU的计算,电子助力系统可以对各个车轮实行独立制动,并参与发动机系统的管理,保证行车的安全性。
⑤ 计算机三级中通过防火墙接入网络的命令
firewall
zone name userzone 创建一个安全区域,进一个已建立的安全区域视图时不需要用关键字。 set
priority 60 设置优先级 add interface GigabitEthernet0/0/1 把接口添加进区域 dis zone
[userzone]显示区域配置信息 [FW]policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound]policy 1 firewall defend ip-sweep
enable firewall defend ip-sweep max-rate 1000 firewall blacklist enable
[SRG]firewall defend ip-sweep blacklist-timeout 20 firewall mac-binding enable
MAC地址绑定配置 firewall mac-binding 202.169.168.2 00e0-fc00-0100 [FW2]firewall zone
untrust [FW2-zone-untrust]add interface g0/0/0 [FW2]firewall packet-filter
default permit interzone trust untrust [FW2]firewall packet-filter default
permit interzone local untrust IPSec相关配置: 先配置ACL: acl number 3000 rule 5 permit
ip source 10.0.100.0 0.0.0.255 destination 10.0.200.0 0.0.0.255
1、配置安全提议,封闭使用隧道模式,ESP协议,ESP使用DES加密算法,完整性验证使用SHA1算法。 [FW1]ipsec proposal tran1
encapsulation-mode tunnel transform esp esp authentication-algorithm sha1 esp
encryption-algorithm des 2、配置IKE安全提议 [FW1]ike proposal 10
authentication-algorithm sha1 encryption-algorithm des 3、配置IKE对等体,使用IKEV2协商方式。
[FW1]ike peer fw12 对方可以取名fw21。 ike-proposal 10 remote-address 10.0.20.2
pre-shared-key abcde 4、配置安全策略 [FW1]ipsec policy map1 10 isakmp security acl 3000
proposal tran1 ike-peer fw12 如果要针对源 IP 设置安全策略,则该IP应该是做源 NAT转换前的 IP 配置安全策略 [FW]policy
interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound]policy 1
[FW-policy-interzone-trust-untrust-outbound]action permit
[FW-policy-interzone-trust-untrust-outbound]policy source 192.168.0.0 0.0.0.255
port-mapping ftp port 803 acl 2010 端口映射,把FTP映射为803。 interzone dmz untrust detect
ftp 与IDS联运配置 firewall ids authentication type md5 key huawei123 firewall ids
server 192.168.10.10 firewall ids port 3000 firewall ids enable 负载均衡 slb enable
slb rserver 1 rip 10.1.1.3 rserver 2 rip 10.1.1.4 [SRG]firewall packet-filter
default permit interzone local dmz direction outbound 允许健康检查报文在防火墙Localt和DMZ域间出方向流动。 group
kdkd metric weightrr 加权轮询算法。 addrserver 1 addrserver 4 addrserver 5 vserver
huawei vip 202.101.224.21 group kdkd NAT配置 nat address-group 1 202.38.160.1
202.38.160.4 [SRG]nat-policy interzone untrust trust inbound policy 1 action
source-nat policy source 10.1.1.1 address-group 1 no-pat //使用地址池 1 做 NAT No-PAT
转换 配置 easy-ip nat-policy interzone trust untrust outbound policy 1 action
source-nat source-address 192.168.0.0 0.0.0.255 easy-ip GigabitEthernet0/0/3 //源
NAT 转换后的公网 IP 为接口 GE0/0/3
的 IP 配置 Smart NAT # nat
address-group 1 mode no-pat //模式要选择 no-pat smart-nopat 30.1.1.21 //预留一个 IP 做
NAPT section 1 30.1.1.20 30.1.1.20 //section 中不能包含预留 IP! # policy
interzone trust untrust outbound policy 1 action permit policy source 10.1.1.0
0.0.0.255 policy source 20.1.1.0 0.0.0.255 # nat-policy interzone trust untrust
outbound policy 1 action source-nat address-group 1 policy source 10.1.1.0
0.0.0.255 policy source 20.1.1.0 0.0.0.255 端口映射 nat server protocol tcp global
202.101.1.241 ftp inside 10.234.232.4 ftp firewall defend smurf enable
启动Smurf防攻击功能(ICMP)。 firewall defend fraggle enable 启动fraggle防攻击功能(UDP,1或19端口)。
firewall defend land enable 源地址和目的地址相同或源地址为环回地址(127.0.0.1)。
防火墙作为出口网关,双出口、双 ISP 接入公网时,配置 NAT Server
通常需要一分为二, 让一个私网服务器向两个 ISP 发布两个不同的公网地址供访问。一分为二的方法有两种:第一种是将接入不同 ISP 的公网接口规划在不同的安全区域中,配置 NAT Server 时,带上 zone
参数,使同一个服务器向不同安全区域发布不同的公网地址。 [FW] nat server zone
untrust1 protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 [FW] nat server
zone untrust2 protocol tcp global 2.2.2.2 9980 inside 10.1.1.2 80 第二种是将接入不同 ISP 的公网接口规划在同一个安全区域中,配置 NAT Server 时,带上
no-reverse 参数,使同一个服务器向同一个安全区域发布两个不同的公网地址。 [FW] nat server
protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 no-reverse [FW] nat server
protocol tcp global 2.2.2.2 9980 inside 10.1.1.2 80 no-reverse [FW1] nat server
protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 vrrp 1 解决配了双机热备防火墙1P 地址冲突的问题
⑥ 什么是ipv6,它对于网络有什么作用和意义吗
1、IPv6是Internet Protocol Version 6的缩写,译为“互联网协议”,用于替代IP协议(IPV4)的下一代IP协议。
2、IPv6的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍。
⑦ 什么操作系统支持ipv6
IPv6
IPv6是“Internet Protocol Version 6”的缩写,它是IETF设计的用于替代现行版本IP协议-IPv4-的下一代IP协议。
目前我们使用的第二代互联网IPV4技术,核心技术属于美国。它的最大问题是网络地址资源有限,从理论上讲,IPV4技术可使用的IP地址有43亿个,其中北美占有3/4,约30亿个,而人口最多的亚洲只有不到4亿个,中国只有3千多万个,只相当于美国麻省理工学院的数量。地址不足,严重地制约了我国及其他国家互联网的应用和发展。
与IPV4相比,IPV6具有以下几个优势:首先就是网络地址近乎无限,根据这项技术,其网络地址可以达到2的128次方个,如果说IPV4的地址总数为一小桶沙子的话,那么IPV6的地址总数就像是地球那么大的一桶沙子。其次就是由于每个人都可以拥有一个以上的IP地址,网络的安全性能将大大提高。第三就是数据传输速度将大大提高。IPv6的主要优势还体现在以下几方面:提高网络的整体吞吐量、改善服务质量(QoS)、支持即插即用和移动性、更好实现多播功能。 根据这项技术,如果说IPV4实现的只是人机对话,而IPV6则扩展到任意事物之间的对话,它不仅可以为人类服务,还将服务于众多硬件设备,如家用电器、传感器、远程照相机、汽车等,它将是无时不在,无处不在的深入社会每个角落的真正的宽带网。而且它所带来的经济效益将非常巨大.当然,IPv6并非十全十美、一劳永逸,不可能解决所有问题。IPv6只能在发展中不断完善,也不可能在一夜之间发生,过渡需要时间和成本,但从长远看,IPv6有利于互联网的持续和长久发展。 目前,国际互联网组织已经决定成立两个专门工作组,制定相应的国际标准。
IPv6 FAQ
1. 什么是IP? 什么是IPv4? 什么是IPv6?
目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4),它的下一个版本就是IPv6。IPv6正处在不断发展和完善的过程中,它在不久的将来将取代目前被广泛使用的IPv4。
2. IPv6与IPv4相比有什么特点和优点?
1)更大的地址空间。IPv4中规定IP地址长度为32,即有2^32-1个地址;而IPv6中IP地址的长度为128,即有2^128-1个地址。
2)更小的路由表。IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。
3)增强的组播(Multicast)支持以及对流的支持(Flow-control)。这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS)控制提供了良好的网络平台.
4)加入了对自动配置(Auto-configuration)的支持.这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷.
5)更高的安全性.在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全.
3. 我们需要2^128-1个IP地址吗?
需要.随着电子技术及网络技术的发展,计算机网络将进入人们的日常生活,可能身边的每一样东西都需要连入全球因特网.并且,准确的说,使用IPv6的网络并没有2^128-1个能充分利用的地址.首先,要实现IP地址的自动配置,局域网所使用的子网的前缀必须等于64,但是很少有一个局域网能容纳2^64个网络终端;其次,由于IPv6的地址分配必须遵循聚类的原则,地址的浪费在所难免.
4. 我想了解一下IPv6,该怎么做呢?
看RFC! 这是最省钱也是最保险的办法,就是枯燥一点.目前国内介绍IPv6的书至少有一本: IPv6--the new Internet protocol(second edition)/新因特网协议IPv6(第二版),清华大学出版社,1999 介绍IPv6网络编程(Unix平台)的书也至少有一本: Unix Network Programming Volume I (Second Edition)/Unix网络编程卷一(第二版),清华大学出版社,1998
5. 我想试一试IPv6,该做些什么呢?
你需要三样东西:支持IPv6的操作系统;支持IPv6的软件;与因特网的连接.
1)目前支持IPv6的操作系统有:Windows Vista,Linux(内核版本至少是2.2.1,最好是2.2.12以上),FreeBSD(4.x系列已经支持IPv6,更早的版本需要给内核打补丁),WindowsNT/2000(需要去微软的网站下一个补丁程序),NetBSD,OpenBSD,Solaris(这些就不熟了),等等等等.目前肯定不支持IPv6的操作系统是(我知道的)Windows系列中Windows98及其以前的版本.
2)支持IPv6的操作系统一般都会自带一些支持IPv6的网络程序(Linux的情况比较特殊,有的软件可能本身支持IPv6但在编译的时候没有打开相应的选项,这是因为不同的发布商对IPv6重要性及可用性的看法各不相同).但是,这些操作系统自带的程序往往并不是最好的,你可能需要到网上去找一些好用的支持IPv6的软件.
3)如果你想真正尝试IPv6,一定要连网,起码要有一个局域网环境.
IPv6包头
IPv6包头对IPv4包头做了部分改进,去掉了一些不必要或很少用的字段,增加了部分能更好提供实时支持的字段。
IPv6包结构
IPv6包由IPv6包头、扩展包头和上层协议数据单元三部分组成,见图1。
图1、IPv6包结构
·IPv6包头
40字节固定长度,在本文的稍后部分将有详细论述。
·扩展包头
IPv6包头设计中对原IPv4包头所做的一项重要改进就是将所有可选字段移出IPv6包头,置于扩展头中。由于大多数IPv6扩展头不受中转路由器检查,因此改进后的IPv6包头可以提高路由器转发效率。
IPv6扩展头可以没有,也可以有一个或多个。IPv6所做的另一个改进之处是:与IPv4选项不同,IPv6扩展头长度不固定,便于日后扩充新增选项,这一特征加上选项的处理方式使得IPv6选项能得以真正的利用。
·上层协议数据单元(PDU)
PDU由传输头及其负载(如ICMPv6消息、或UDP消息等)组成。而IPv6包有效负载则包括IPv6扩展头和PDU,通常所能允许的最大字节数为65,535字节,大于该字节数的负载可通过使用扩展头中的Jumbo Payload选项进行发送。
IPv6包头
图2、IPv6包头格式
IPv6包头长度固定为40字节,去掉了IPv4中一切可选项,只包括8个必要的字段,因此尽管IPv6地址长度为IPv4的四倍,IPv6包头长度仅为IPv4包头长度的两倍。
Version(版本号):4位,IP协议版本号,值= 6。
Traffice Class(通信类别):8位,指示IPv6数据流通信类别或优先级。功能类似于IPv4的服务类型(TOS)字段。
Flow Label(流标记):20位,IPv6新增字段,标记需要IPv6路由器特殊处理的数据流。该字段用于某些对连接的服务质量有特殊要求的通信,诸如音频或视频等实时数据传输。在IPv6中,同一信源和信宿之间可以有多种不同的数据流,彼此之间以非“0”流标记区分。如果不要求路由器做特殊处理,则该字段值置为“0”。
Payload Length(负载长度):16位负载长度。负载长度包括扩展头和上层PDU,16位最多可表示65,535字节负载长度。超过这一字节数的负载,该字段值置为“0”,使用扩展头逐个跳段(Hop-by-Hop)选项中的巨量负载(Jumbo Payload)选项。
Next Header(下一包头):8位,识别紧跟IPv6头后的包头类型,如扩展头(有的话)或某个传输层协议头(诸如TCP,UDP或着ICMPv6)。
Hop Limit(跳段数限制):8位,类似于IPv4的TTL(生命期)字段。与IPv4用时间来限定包的生命期不同,IPv6用包在路由器之间的转发次数来限定包的生命期。包每经过一次转发,该字段减1,减到0时就把这个包丢弃。
Source Address(源地址):128位,发送方主机地址。
Destination Address(目的地址):128位,在大多数情况下,目的地址即信宿地址。但如果存在路由扩展头的话,目的地址可能是发送方路由表中下一个路由器接口。
IPv6扩展包头
IPv6将所有的可选项都移出IPv6包头,置于扩展头中。由于除Hop-by-Hop选项扩展头外,其他扩展头不受中转路由器检查或处理,这样就能提高路由器处理包含选项的IPv6分组的性能。
通常,一个典型的IPv6包,没有扩展头。仅当需要路由器或目的节点做某些特殊处理时,才由发送方添加一个或多个扩展头。与IPv4不同,IPv6扩展头长度任意,不受40字节限制,但是为了提高处理选项头和传输层协议的性能,扩展头总是8字节长度的整数倍。
目前,RFC 2460中定义了以下6个IPv6扩展头:Hop-by-Hop(逐个跳段)选项包头、目的地选项包头、路由包头、分段包头、认证包头和ESP协议包头。
1)Hop-by-Hop选项包头
包含分组传送过程中,每个路由器都必须检查和处理的特殊参数选项。
Hop-by-Hop选项包头中的选项描述一个分组的某些特性或用于提供填充。这些选项有:
·Pad1选项(选项类型为0),填充单字节。
·PadN选项(选项类型为1),填充2个以上字节。
·Jumbo Payload选项(选项类型为194),用于传送超大分组。使用Jumbo Payload选项,分组有效载荷长度最大可达4,294,967,295字节。负载长度超过65,535字节的IPv6包称为“超大包”。
·路由器警告选项(选项类型为5),提醒路由器分组内容需要做特殊处理。路由器警告选项用于组播收听者发现和RSVP(资源预定)协议。
2)目的地选项包头
需要被中间目的地或最终目的地检查的信息。有两种用法:
·如果存在路由扩展头,则每一个中转路由器都要处理这些选项。
·如果没有路由扩展头,则只有最终目的节点需要处理这些选项。
3)路由包头
类似于IPv4的松散源路由。IPv6的源节点可以利用路由扩展包头指定一个松散源路由,即分组从信源到信宿需要经过的中转路由器列表。
4)分段包头
提供分段和重装服务。当分组大于链路最大传输单元(MTU)时,源节点负责对分组进行分段,并在分段扩展包头中提供重装信息。
IPv6包的不可分段部分包括:IPv6包头、Hop-by-Hop选项包头、目的地选项包头(适用于中转路由器)和路由包头。IPv6包的可分段部分包括:认证包头、ESP协议包头、目的地选项包头(适用于最终目的地)和上层协议数据单元PDU。
注:a、在IPv6中,只有源节点才能对负载进行分段。 b、IPv6超大包不能使用该项服务。
5)认证包头
提供数据源认证、数据完整性检查和反重播保护。认证包头不提供数据加密服务,需要加密服务的数据包,可以结合使用ESP协议。
6)ESP协议包头
提供加密服务
⑧ Openswan和freeswan的区别
openswan采用的是ipsec技术实现的VPN,由于在IP层实现,效率高,历史悠久,网上相关的配置文章也多,稳定。可以实现p2p,p2net,net2net.
openvpn采用SSL技术实现,由于主要工作在应用层,效率低,如果单位流量比较大,还是不要用这个了。另个他采用了SSL技术,也不是我们通常所说的SSL VPN。
目前市场上比较流行的硬件VPN都是采用的ipsec技术。所以选择第一种对你以后更换硬件有帮助。
基本上来说,市场上的硬件VPN产品很少采用openvpn这样的技术的。
IPSEC工作原理
--------------------------------------------------------------------------------
虚拟专网是指在公共网络中建立专用网络,数据通过安全的“管道”在公共网络中传播。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后网络服务的重点项目。因此必须充分认识虚拟专网的技术特点,建立完善的服务体系。 VPN工作原理
目前建造虚拟专网的国际标准有IPSEC(RFC 1825-1829)和L2TP(草案draft-ietf-pppext-l2tp-10)。其中L2TP是虚拟专用拨号网络协议,是IETF根据各厂家协议(包括微软公司的PPTP、Cisco的L2F)进行起草的,目前尚处于草案阶段。IPSEC是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。L2TP协议草案中规定它(L2TP标准)必须以IPSEC为安全基础(见draft-ietf-pppext-l2tp-security-01)。因此,阐述VPN的工作原理,主要是分析IPSEC的工作原理。
IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数。
认证——作用是可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
数据完整——作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
机密性——作用是使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。
在IPSEC由三个基本要素来提供以上三种保护形式:认证协议头(AH)、安全加载封装(ESP)和互联网密匙管理协议(IKMP)。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
认证协议头(AH)是在所有数据包头加入一个密码。正如整个名称所示,AH通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果;AH还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1,MD5使用最高到128位的密匙,而SHA-1通过最高到160位密匙提供更强的保护。
安全加载封装(ESP)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准(DES),DES最高支持56位的密匙,而3DES使用三套密匙加密,那就相当于使用最高到168位的密匙。由于ESP实际上加密所有的数据,因而它比AH需要更多的处理时间,从而导致性能下降。
密匙管理包括密匙确定和密匙分发两个方面,最多需要四个密匙:AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串,通常用十六进制表示,例如,一个56位的密匙可以表示为5F39DA752E0C25B4。注意全部长度总共是64位,包括了8位的奇偶校验。56位的密匙(DES)足够满足大多数商业应用了。密匙管理包括手工和自动两种方式,手工管理系统在有限的安全需要可以工作得很好,而自动管理系统能满足其他所有的应用要求。
使用手工管理系统,密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来,每一个密匙可以根据集团的安全政策进行修改。 使用自动管理系统,可以动态地确定和分发密匙,显然和名称一样,是自动的。自动管理系统具有一个中央控制点,集中的密匙管理者可以令自己更加安全,最大限度的发挥IPSEC的效用。
IPSEC的实现方式
IPSEC的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现,这很大程度避免了升级任何网络相关资源的需要。在客户端,IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性:传送模式和隧道模式。
IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用
传送模式通常当ESP在一台主机(客户机或服务勤)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。
隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
虚拟专网的加密算法说明
--------------------------------------------------------------------------------
一、IPSec认证
IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制。完整性保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(主机、用户、网络等)。AH本身其实并不支持任何形式的加密,它不能保护通过Internet发送的数据的可信性。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后,它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、I CMP等)之间。
AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。消息文摘5算法(MD5)是一个单向数学函数。当应用到分组数据中时,它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时,MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC-MD5认证过的数据交换中,发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过程中就没有被改变,而且可以相信是由只知道秘密密钥的另一方发送的。
二、IPSec加密
封包安全协议(ESP)包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的:隧道(Tunneling)模式和传输(Transport)模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。当这完成以后,真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙-防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。
IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES-CBC算法。美国数据加密标准(DES)是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的,最初是用于商业应用。到现在所有DES专利的保护期都已经到期了,因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式(CBC)的DES作为缺省的算法。DES-CBC通过对组成一个完整的IP数据包(隧道模式)或下一个更高的层协议帧(传输模式)的8比特数据分组中加入一个数据函数来工作。DES-CBC用8比特一组的加密数据(密文)来代替8比特一组的未加密数据(明文)。一个随机的、8比特的初始化向量(IV)被用来加密第一个明文分组,以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES-CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此,它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此,DES-CBC算法的有效性依赖于秘密密钥的安全,ESP使用的DES-CBC的密钥长度是56比特。
基于IPSec的VPN技术原理于实现
摘要:本文描述了VPN技术的基本原理以及IPSec规范,在此基础上介绍了VPN技术的实现方法和几种典型应用方案。最后,作者对VPN技术的推广与应用提出了自己的看法。
1.引言
1998年被称作“电子商务年”,而1999年则将是“政府上网年”。的确,Intemet作为具有世界范围连通性的“第四媒体”,已经成为一个具有无限商机的场所。如何利用Intemet来开展商务活动,是目前各个企业讨论的热门话题。但将Internet实际运用到商业中,还存在一些亟待解决的问题,其中最重要的两个问题是服务质量问题和安全问题。服务质量问题在有关厂商和ISP的努力下正在逐步得以解决,而VPN技术的产生为解决安全问题提供了一条有效途径。
所谓VPN(VirtualPrivate Network,虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网,这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性,VPN技术采用了认证、存取控制、机密性、数据完整性等措施,,以保证了信息在传输中不被偷看、篡改、复制。由于使用Internet进行传输相对于租用专线来说,费用极为低廉,所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。
VPN技术除了可以节省费用外,还具有其它特点:
●伸缩性椂能够随着网络的扩张,很灵活的加以扩展。当增加新的用户或子网时,只需修改已有网络软件配置,在新增客户机或网关上安装相应软件并接人Internet后,新的VPN即可工作。
●灵活性枣除了能够方便地将新的子网扩充到企业的网络外,由于Intemet的全球连通性,VPN可以使企业随时安全地将信息存取到全球的商贸伙伴和顾客。
●易于管理枣用专线将企业的各个子网连接起来时,随着子网数量的增加,需要的专线数以几何级数增长。而使用VPN时Internet的作用类似一个HUB,只需要将各个子网接入Internet即可,不需要进行各个线路的管理。
VPN既可以用于构建企业的Intranet,也可以用于构建Extranet。随着全球电子商务热的兴起,VPN应用必将越来越广泛。据Infonetics Reseach的预测,VPN的市场分额将从今天的两亿美元增长到2001年时的119亿美元,其中VPN产品的销售收入就要占其中的十分之一。
2.基于IPSec规范的VPN技术
1)IPSec协议简介
IPSec(1P Security)产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。
最初的一组有关IPSec标准由IETF在1995年制定,但由于其中存在一些未解决的问题,从1997年开始IETF又开展了新一轮的IPSec的制定工作,截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来IETF又会进行下一轮IPSec的修订工作。
2)IPSec基本工作原理
IPSec的工作原理(如图l所示)类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种:丢弃或转发。
图1 IPSec工作原理示意图
IPSec通过查询SPD(Security P01icy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外,还有一种,即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。
进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,.也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性,真实性,完整性,通过Internet进新安全的通信才成为可能。
IPSec既可以只对IP数据包进行加密,或只进行认证,也可以同时实施二者。但无论是进行加密还是进行认证,IPSec都有两种工作模式,一种是与其前一节提到的协议工作方式类似的隧道模式,另一种是传输模式。
传输模式,如图2所示,只对IP数据包的有效负载进行加密或认证。此时,继续使用以前的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到IP头部和传输层头部之间。
图2 传输模式示意图
隧道模式,如图3所示,对整个IP数据色进行加密或认证。此时,需要新产生一个IP头部,IPSec头部被放在新产生的IP头部和以前的IP数据包之间,从而组成一个新的IP头部。
图3隧道模式示意图
3)IPSec中的三个主要协议
前面已经提到IPSec主要功能为加密和认证,为了进行加密和认证IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE三个协议规定。为了介绍这三个协议,需要先引人一个非常重要的术语枣SA(Securlty Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。
通信双方如果要用IPSec建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接,可以由AH或ESP提供。当给定了一个SA,就确定了IPSec要执行的处理,如加密,认证等。SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。
1)ESP(Encapsulating Secuity Fayload)
ESP协议主要用来处理对IP数据包的加密,此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的,几乎可以支持各种对称密钥加密算法,例如DES,TripleDES,RC5等。为了保证各种IPSec实现间的互操作性,目前ESP必须提供对56位DES算法的支持。
ESP协议数据单元格式三个部分组成,除了头部、加密数据部分外,在实施认证时还包含一个可选尾部。头部有两个域:安全策略索引(SPl)和序列号(Sequencenumber)。使用ESP进行安全通信之前,通信双方需要先协商好一组将要采用的加密策略,包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理IP数据包的,当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据包的有效负载,填充域(用来保证加密数据部分满足块加密的长度要求)包含其余部分在传输时都是加密过的。其中“下一个头部(Next Header)”用来指出有效负载部分使用的协议,可能是传输层协议(TCP或UDP),也可能还是IPSec协议(ESP或AH)。
通常,ESP可以作为IP的有效负载进行传输,这JFIP的头UKB指出下广个协议是ESP,而非TCP和UDP。由于采用了这种封装形式,所以ESP可以使用旧有的网络进行传输。
前面已经提到用IPSec进行加密是可以有两种工作模式,意味着ESP协议有两种工作模式:传输模式(Transport Mode)和隧道模式(TunnelMode)。当ESP工作在传输模式时,采用当前的IP头部。而在隧道模式时,侍整个IP数据包进行加密作为ESP的有效负载,并在ESP头部前增添以网关地址为源地址的新的IP头部,此时可以起到NAT的作用。
2)AH(Authentication Header)
AH只涉及到认证,不涉及到加密。AH虽然在功能上和ESP有些重复,但AH除了对可以对IP的有效负载进行认证外,还可以对IP头部实施认证。主要是处理数据对,可以对IP头部进行认证,而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性,AH必须包含对HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一种SHA和MD5都支持的对称式认证系统)的支持。
AH既可以单独使用,也可在隧道模式下,或和ESP联用。
3)IKE(Internet Key Exchange)
IKE协议主要是对密钥交换进行管理,它主要包括三个功能:
●对使用的协议、加密算法和密钥进行协商。
●方便的密钥交换机制(这可能需要周期性的进行)。
●跟踪对以上这些约定的实施。
3.VPN系统的设计
如图4所示,VPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密/解密模块、数据分组封装/分解模块和加密函数库几部分组成。
管理模块负责整个系统的配置和管理。由管理模块来决定采取何种传输模式,对哪些IP数据包进行加密/解密。由于对IP数据包进行加密需要消耗系统资源,增大网络延迟,因此对两个安全网关之间所有的IP数据包提供VPN服务是不现实的。网络管理员可以通过管理模块来指定对哪些IP数据包进行加密。Intranet内部用户也可以通过Telnet协议传送的专用命令,指定VPN系统对自已的IP数据包提供加密服务。
密钥管理模块负责完成身份认证和数据加密所需的密钥生成和分配。其中密钥的生成采取随机生成的方式。各安全网关之间密钥的分配采取手工分配的方式, 通过非网络传输的其它安全通信方式完成密钥在各安全网关之间的传送。各安全网关的密钥存贮在密数据库中,支持以IP地址为关键字的快速查询获取。
身份认证模块对IP数据包完成数字签名的运算。整个数字签名的过程如图5所示:
图5 数字签名
首先,发送方对数据进行哈希运算h=H(m),然后 用通信密钥k对h进行加密得到签名Signature={ h} key。发送方将签名附在明文之后,一起传送给接收方。 接收方收到数据后,首先用密钥k对签名进行解密得到 h,并将其与H(m)进行比较,如果二者一致,则表明数据是完整的。数字签名在保证数据完整性的同时,也起到了身份认证的作用,因为只有在有密钥的情况之下,才能对数据进行正确的签名。
数据加密/解密模块完成对IP数据包的加密和解密操作。可选的加密算法有IDEA算法和DES算法。前者在用软件方式实现时可以获得较快的加密速度。为了 进一步提高系统效率,可以采用专用硬件的方式实现数据的加密和解密,这时采用DES算法能得到较快的加密速度。随着当前计算机运算能力的提高,DES算法的安 全性开始受到挑战,对于安全性要求更高的网络数据,数据加密/解密模块可以提供TriPle DES加密服务。
数据分组的封装/分解模块实现对IP数据分组进行安全封装或分解。当从安全网关发送IP数据分组时,数据分组封装/分解模块为IP数据分组附加上身份认
证头AH和安全数据封装头ESP。当安全网关接收到IP 数据分组时,数据分组封装/分解模块对AH和ESP进行协议分析,并根据包头信息进行身份验证和数据解密。
加密函数库为上述模块提供统一的加密服务。加密 函数库设计的一条基本原则是通过一个统一的函数接口界面与上述模块进行通信。这样可以根据实际的需
要,在挂接加密算法和加密强度不同的函数库时,其它模块不需作出改动。
4.几种典型的VPN应用方案
VPN的应用有两种基本类型:拨号式VPN与专用式VPN。
拨号VPN为移动用户与远程办公者提供远程内部网访问,这种形式的VPN是当前最流行的形式。拨号VPN业务也称为“公司拨号外包”方式。按照隧道建立的场所,拨号VPN分为两种:在用户PC机上或在服务提供商的网络访问服务器(NAS)上。
专用VPN有多种形式,其共同的要素是为用户提供IP服务,一般采用安全设备或客户端的路由器等设备在IP网络上完成服务。通过在帧中继或ATM网上安装IP接口也可以提供IP服务。专用业务应用通过WAN将远程办公室与企业的内部网与外部网连接起来,这些业务的特点是多用户与高速连接,为提供完整的VPN业务,企业与服务提供商经常将专用VPN与远程访问方案结合起来。
目前刚出现一种VPN知觉的网络,服务提供商将很快推出一系列新产品,专门用于提供商在向企业提供专用增值服务时对扩展性与灵活性的需求。
5.结束语
总之,VPN是一项综合性的网络新技术,即使在网络高度发达的美国也才推出不久,但是已显示出强大的生命力,Cisco、3Com、Ascend等公司已推出了各自的产品。但是VPN产品能否被广泛接受主要取决于以下两点:一是VPN方案能否以线路速度进行加密,否则将会产生瓶颈;二是能否调度和引导VPN的数据流到网络上的不同管理域。
在中国,由于网络基础设施还比较落后,计算机应用水平也不高,因此目前对VPN技术的需求还不高,大多数厂商还处在徘徊观望阶段,但是随着国民经济信息化进程的加快,特别是政府上网、电子商务的推动,VPN技术将会大有用武之地。
⑨ ESP和EPS有什么区别
1、构成部件不同
EPS(电动助力转向系统):主要由扭矩传感器、车速传感器、电动机、减速机构和电子控制单元(ECU)等组成。
ESP(车身电子稳定系统):由控制单元及转向传感器、车轮传感器、侧滑传感器、横向加速度传感器等组成。
2、作用不同
EPS(电动助力转向系统):利用电动机产生的动力来帮助驾驶员进行转向操作。
ESP(车身电子稳定系统):使车辆在各种状况下保持最佳的稳定性,提升车辆的安全性和操控性。
3、工作原理不同
EPS(电动助力转向系统):电动机仅在需要助力时工作,驾驶员在操纵转向盘时,扭矩转角传感器根据输入扭矩和转向角的大小产生相应的电压信号,车速传感器检测到车速信号,控制单元根据电压和车速的信号,给出指令控制电动机运转,从而产生所需要的转向助力。
ESP(车身电子稳定系统):通过对从各传感器传来的车辆行驶状态信息进行分析,然后向ABS、EBD等发出纠偏指令,来帮助车辆维持动态平衡。