科学发展与社会
责任
安全质量包保责任状安全管理目标责任状8安全事故责任追究制幼儿园安全责任状占有损害赔偿请求权
家庭网络安全相关技术研究
姜国强’ 王育欣2李琳琳2
(1.北方重工沈阳矿山机械集团有限责任公司,2.沈阳广播电视大学)
摘要:网络的发展已经渗透到社会生活的各个角落,家庭网络应用也呈现出快速上升的发展态势,家庭
网络安全已经提高到重要位置。本文介绍了一个有关家庭网络安全的
设计方案
关于薪酬设计方案通用技术作品设计方案停车场设计方案多媒体教室设计方案农贸市场设计方案
,并对相关网络安全技术进行了讨
论。
关键词:家庭网络,网络安全,防火墙技术
一、引言
网络技术的飞速发展,为我们的家庭生活带来了巨大活力。家庭网络就像一个建在家里的局域网,通
过它,可以使家庭里的各种计算、控制、管理和通信设施相互联系、协调行动。家庭网络的基础建设包
括三大基本条件:含有家庭总线的系统、通过家庭总线系统提供各种服务、能与住宅以外的外部世界相
连接。
经过一系列发展阶段后,无论有线家庭网络还是无线家庭网络,其安全性都是一个值得关注的问
题——安全问题是家庭网络控制中心能否正常、正确实施的前提条件。
目前,家庭网络安全产品并不多,以基于Windows平台的家庭防火墙为主,代表有:ZoneLabs的
ZoneAlarm和Symantec的Norton个人防火墙。
二、网络防火墙系统整体设计
(一)系统结构设计
边界防火墙是基于内外网的隔绝,是整个“内部网络家庭”的一个大铁闸,但仍然存在不少缺陷。比
如不能够防止来自内部网络的攻击、不能够保护远程移动办公的安全、不能够有效地防止通过后门的攻
击等等。据统计,在已知的安全事件中,约70%的攻击来自内网。不能防止内部网之间的攻击,是边界防
火墙最大的缺陷。但是对于家庭网络来说,网络攻击中70%的可能性都不存在。也就是说,家庭网络中不
存在内部之间攻击问题。所以,本系统设计时,采用边界防火墙的结构。本文选择Windows2000作为系
统平台,采用动态包过滤,设计了用于家庭网络的IP防火墙。
206
LeFrlet, In 1 ‘k \/
、薹》▲卢—/
冒
家庭网络防火墙系统结构图
信息科学与工程技术
(二)系统设计环境
作为系统设计平台,下面对windows2000的体系结构作一下介绍。
Windows2000没有单纯地使用某一种体系结构,它的设计融合了分层操作系统和客户/服务器(为内
核)操作系统的特点。和其他许多操作系统一样,它通过硬件机制实现了核心态(管态,kernelmode)
以及用户态(目态,usermode)两个特权级别。当操作系统状态为前者时,CPU处于特权模式,可以执行
任何指令,并且可以改变状态。而在后面~个状态下,CPU处于非特权态(较低特权级)模式,只能执
行非特权指令。一般来说,操作系统中那些至关紧要的代码都运行在核心态,而用户程序一般都运行在
用户态。Windows2000体系结构的框架如图所示。
核心态
Windows2000体系结构框图
其中,设备驱动程序是可加载的核心态模块(通常以.SYS为扩展名),它们是I/O系统和硬件之间的
接口。Windows2000上的设备驱动程序不直接操作硬件,而是调用HAL功能作为硬件的接口。Windows
2000有两个基本的驱动程序种类:用户模式驱动程序和针对逻辑、虚拟或物理设备的内核模式驱动程
序。
(三)家庭网络防火墙的系统设计
1.家庭网络防火墙系统的体系结构
本文所设计的防火墙主要实现以下功能:
(1)状态检测包过滤:基于状态检测技术,对源地址/目的地址、源端口/目的端口、
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
、服务等
的过滤。工作在3层交换方式下。
(2)网络地址转换(NAT):采用双向NAT:源NAT和目的NAT。源NAT用于对内部网络地址进
行转换,对外部网络隐藏起内部网络的结构,使得对内部的攻击更加困难;并可以节省IP资源,有利于降
低成本。目的NAT主要实现用于外网主机对内网的访问。
(3)VPN与IPSec:VPN指在公共的网络平台上采用IPSec协议搭建隧道传输用户私有的数据,从而
保证私有数据在互联网上的传输。本文借助VPN思想,采用IPSec
安全协议
租房安全协议拆除工程安全协议书房屋拆除合同及安全协议书高空作业安全协议书范本高空作业安全协议责任书
,在防火墙中实现加密、认证
等安全功能。
(4)流量控制和带宽管理:采用基于IP地址的控制,对通过防火墙各个网络接口的流量进行控制,
对各接口的用户进行带宽管理,从而保证重要用户和重要接口的连接。
(5)Ip地址与MAc地址绑定:防止Ip地址盗用,尤其是内部网络。
(6)规则一致性检查:日志服务器接收日志信息,并进行自动分析与扫描处理,异常时报警提示,
管理员设定审计和查询的规则,以HTML格式生成日志查询报告。
(7)工作状态显示:在防火墙界面上显示主要技术参数。如:流量显示等。流量显示主要是防火墙
的网卡上流量情况的显示。
207
科学发展与社会责任
2.家庭网络防火墙系统的软件架构
系统主要包括三个部分:Firewall.sys、FirewaU.du、Firewall.exe。其dOFirewaU.sys为家庭网络防火墙的
核心文件,各种核心模块如包过滤、状态检测、NAT、VPN与IPSec等,都包含在以Windows网络中间层
驱动程序为载体的该文件中。FirewaU.dll贝,lJ是封装了用户管理模块与内核模块的程序接口,还提供了对内
核的功能扩展。FirewaU.exe是家庭网络防火墙的人机接口,为用户提供了一个人性化的界面。作为直接与
用户交互的管理系统。
三、NAT模块的设计和实现
(一)NAT技术介绍
NAT即网络地址转换,它的出现是为了解决IP地址短缺的问题。同时,由于配合私有IP地址一同使
用,NAT技术提供了一种掩饰网络内部本质的方法,即NAT通过一个外部地址来响应外部世界的寻址。
可以对网络安全起到一定作用。NAT定义于RFCl631,基本上是在路由器中进行一个偷换IP包头的动
作,以便让多台电脑共用一个IP地址连上Intemet的技术。
NAT的功能就是将使用私有地址的网络与公用网络Internet相连,使用私有地址的内部网络通过NAT
路由器发送数据时,私有地址将被转化为合法注册的IP地址从而可以与Internet上的其他主机进行通讯而
不会直接被存取。NAT路由器被置于内部网和Intemet的边界上,并且在把数据包发送到外部网络前将数
据包的源地址转换为合法的IP地址,有利于保证网络安全。
(二)NAT的设计与实现
通过以上对NAT技术的介绍可知,动态NAT采用动态变更IP地址的方法,起到很好地掩盖内部网结
构的作用,也对NATIP地址个数没有限制,更灵活、更方便。并且由于家庭网络的设计采用边界防火
墙,对NAT的其他技术不需考虑。
1.NAT模块设计
数据包在网络层进行NAT处理后,直接交给协议栈进行以后的处理。在网络层,NAT要根据不同的
协议对数据包进行处理。但是每种协议的数据包都具有自己的格式,所以,首先对TCP/IP协议进行分
析。
2.NAT技术的安全性分析
尽管NAT不能保证绝对安全,但它能够防止外部主机与内部主机直接进行连接,除非静态NAT。下
面对NAT技术的安全性作一些分析:
(1)NAT可以作为一个单向过滤器,限制从外部主机到内部主机的连接。另外当端口地址在NAT内
动态分配时,使得外部攻击者对NAT域中一个特定主机的攻击更加困难。
(2)当NAT设备不在安全域中时,应用级的负载可以进行端到端的加密,比如利用SSL(Security
SocketLayer)。只要负载中不包含IP地址和运输层的端口信息,就可以提高安全性。
(3)如果将NAT设备和应用网关相结合,可以为应用层中含有IP地址信息的连接进行地址翻译,确
保数据报不含有私有地址信息,这样NAT可以做到对协议透明,起到透明路由器的作用。
(4)由于NAT设备是作为1台Internet主机出现,因此也被作为攻击的对象。例如易受SYNF100d和
Pingfloodattacks攻击,因此应采用相应的技术对NAT设备进行保护。
(5)NAT在做到地址隐藏的同时,也减少了提供安全的额外选择,例女DIPsec的选用。
208
信息科学与工程技术
四、IPSec模块的设计与实现
随着因特网的快速发展,近几年不断出现了一些新的网络协议,包括点对点隧道协议(PPTP)、第
2层隧道协议(L2TP)、安全IP(IPSec)协议等。其中PPTP协议允许对IP、IPX或NetBEUI数据流进行加
密,然后封装在IP包头中通过企业IP网络或公共互联网络发送;L2TP协议允许对IP、IPX或NetBEUI数据
流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP、X.25,帧中继或ATM;IPSec协议允
许对IP负载数据进行加密,然后封装在IP包头中通过IP网络或公共IP互联网络如Intemet发送。
(一)IPSec技术介绍
IPSec工作在IP层,为IP层及其以上层协议提供保护。IPSec提供访问控制、无连接的完整性、数据来
源验证、抗重播机制、保护性、自动密钥等安全服务。Ipv4可以选择支持IPSec,Ipv6必须支持IPSec。原
始Ipv4协议中并不支持具有实质性意义的安全机制,该协议的目的只是为网络提供一种简单的互联工具。
IPSec位于TCP/IP协议栈的下层。该层由每台机器上的安全策略和发送、接受方协商的安全关联
(securityassociati011)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP
地址、协议和端口号满足一个过滤机制,那么这个数据包将要遵守关联的安全行为。IPSec对于应用程序
来说是透明的。当在路由器或防火墙上的安装IPSec时,无需更改用户或服务器系统中的软件设置。即使
在终端系统中执行IPSec,应用程序之类的上层软件也不会受到影响。lPSec对终端用户来说是透明的,因
此不必对用户进行安全机制的培训。另外,如有必要IPSec也可以为单个用户提供安全保障(主机到主机
的安全隧道),保护敏感信息。
IPSec通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验
证包头包括验证数据和一个序列号,共同用来验证发送方身份,确保数据在传输过程中没有被改动,防
止受到第三方的攻击。IPSec验证包头不提供数据加密;信息将以明文方式发送。为了保证数据的保密性
和防止数据被第三方窃取,封装安全负载(ESP)提供了一种对IP负载进行加密的机制。另外,ESP还可
以提供数据验证和数据完整性服务;因此在IPSec包中可以用ESP包头替代AH包头。
(二)IPSec体系结构
IPSec主要由AH(认证头)协议、ESP(封装安全载荷)协议以及负责密钥管理的IKE(因特网密钥交
换)协议组成。
(1)AH为IP数据报提供无连接的数据完整性和数据源身份认证,同时具有抗重播的能力。数据完整
性校验通过消息认证码(女DMr)5)产生的校验值来保证;数据源身份认证通过在待认证的数据中加入一
个共享密钥来实现;AH报头中的序列号可以防止重播攻击。
(2)ESP为IP数据包提供数据的保密性(通过加密机制)、无连接的数据完整性、数据源身份认证
以及抗重播机制。与AH相比,数据保密性是ESP的新增功能,数据源身份认证、数据完整性检验以及抗
重播都是AH可以实现的。
(3)AH和ESP可以单独使用,也可以配合使用。通过这些组合方式,可以在两台主机、两台安全网
关(防火墙和路由器)或者主机与安全网关之间配置多种灵活的安全机制。
(4)解释域(DOI)将所有的IPSec协议捆绑在一起,是IPSec安全参数的主要数据库。
(5)密钥管理包括IKE协议和安全联盟(SA)等部分。IKE在通信系统之间建立安全关联,提供密钥
确定、密钥管理的机制,是一个产生和交换密钥材料并协调IPSec参数的框架。IKE将密钥协商结果保留在
sA中,供AH和ESP以后通信使用。
209
科学发展与社会责任
(三)IPSec的工作模式
IPSec支持传输模式和隧道模式,AH和EsP都支持这两种模式。
(1)传输模式:传输模式为上层协议提供安全保护,保护的是IP包的有效载荷或者说保护的是上层
协议(32NTCP、UDP、ICMP),当一台主机运行AH或ESP时,Ipv4的有效载荷通常是跟在IPv4报头后面
的数据,IPv6的有效载荷基本报头和扩展报头的部分,在通常情况下,传输模式值用于两台主机之间的安
全通信。
(2)隧道模式:隧道模式为整个IP包提供保护。隧道模式首先为原始IP报增j31]AH或ESP字段,然后
在外部增加一个新的IP头。所有原始的或内部包通过这个隧道从IP网的一端传递到另一端,沿途的路由器
只检查最外面的IP报头,不检查内部原来的IP报头。由于增加了一个新的IP报头,因此新的IP报文的目的
地址可能与原来的不一致。
(四)IPSec中的协议
(1)AH协议:AH协议头格式由5个固定域和1个变长的认证数据域组成。在不同的IPSec工作模式
下,AH在数据包中的位置也不相同,传输模式下的AH和图4.2中IPSec头的位置相同;隧道模式下的AH和
IPSec头的位置相同。在传输模式下,整个数据包除可变域外都要进行认证;在隧道模式下,整个数据包
除新IP头中的可变域外都要认证。
(2)ESP协议:ESP数据包由四个固定长度的域和3个变长域组成。在不同的IPSec工作模式下,ESP
在数据包中具有不同的位置。有一点非常重要,ESP隧道模式认证和加密服务所提供的安全性要强于ESP
传输模式;因为传输模式没有认证和加密原始的IP头。而隧道模式服务将比传输模式服务占用更多的带
宽,因为隧道模式在保护的数据报中插入了一个额外的IP头。所以如果带宽利用率非常重要的话,传输模
式可能是更合适的选择。
(五)IPSec的工作原理
IP协议本身不集成任何安全特性,很容易伪造出IP包的地址、修改其内容、重播以前的包以及在传输
途中拦截并查看包的内容。因此,在IP网上传递IP数据报可能会遇到下列安全威胁:
1.身份欺骗:接收者无法确认所收到的数据确实来自真正的数据源或发送者。这可以使用AH或者
ESP的协议进行身份认证的保护。
2.数据的完整性遭到破坏:接收者无法确认所收到的数据就是发送方所发送的原始数据,因为数据
在传递的过程中可能会被修改,这可以使用AH或者ESP协议进行数据完整性的保护。
3.数据隐私性遭到破坏:原始数据在传输途中被其他未经授权的人看到。这可以使用ESP协议对数
据进行加密,提供隐私保护。
IPSec可有效地保护IP数据报的安全,它采取的具体保护形式包括:数据起源地验证、无连接数据的
完整性验证、数据内容的机密性、抗重播保护以及有限的数据流机密性保证。
IPSec提供的标准安全机制可保障主机之间、网络安全网关(如路由器或防火墙)之间或主机与安全
网关之间的数据包安全。它定义了一套默认的、强制实施的算法,以确保不同的实施
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
之间的互通。
由于受IPSec保护的数据包本身是另一种形式的IP包,所以在主机之间可以提供端到端的安全验证,并提
供嵌套的安全服务。
使用IPSec协议中的AH协议和ESP协议,可以对IP数据包或上层协议(女ntmv和TCP)进行保护,这
种保护由IPSec两种不同的工作模式来提供。其中,AH可以证明数据的起源地、保障数据的完整性以及防
210
信息科学与工程技术
止相同数据包的不断重播。ESP除具有AH的所有能力之外,还可选择保障数据的机密性,以及为数据流
提供有限的机密性保障。
为了正确封装及提取IPSec数据包,将安全服务/密钥与要保护的通信数据联系起来,IPSec采用了“安
全关联(SA)”的构建方案。[PSec的sA是单向工作的,即可人工创建,也可采用动态创建方式。SA驻留
在“安全关联库(SAD)”内。
IPSec还定义了用户能以多大的粒度来设定自己的安全策略,安全策略由“安全策略库(SPD)”维护。
4、IPSec整体设计
为了对IPSec有个整体上的概念,现按照实现的功能进行模块划分,包括安全策略库、安全关联库、
AH协议处理、ESP协议处理、算法等。
五、IPSec与NAT的关系
当子网中的主机使用IPSec,而在子网边缘进行NAT时,会出现很多不兼容的问题,下面对其中的几
种作一下说明。
(一)NAT与AH
AH利用消息摘要(MD)算法产生一个加密后的散列值。该散列值作用范围在整修IP包上,包括那
些不发生变化的IP头中的一些字段,如源IP地址和目的IP地址。接收方利用该散列值认证收到的IP包。如
果在发送过程中原始IP包中的任何字段(不包括可变字段,如TTL等)发生变化,都将会导致接收方的认
证失败,接收方将据此而丢弃该包。AH的目的是为了防止对IP包的未授权的修改、源地址欺骗以及中间
人攻击。但NAT或反向NAT将会改变IP包的地址字段的值,从而导致消息完整性认证失效。
(二)检验和与NAT
ESP也用消息摘要算法做IP包的认证。但与AH不同的是ESP并未把IP源和目的地址字段包含在它的加
密消息完整性验证中,因此EsP没有类似的问题。这就避免了上面的问题,但还有其他的问题。
IPSec支持两种模式:传输模式和隧道模式。传输模式在主机之间提供端到端的安全性服务;隧道模
式在安全网关(比如两个防火墙或是一台漫游主机与远程接入服务器)之间提供安全性服务。但当使用
传输层协议,如TcP/UDP时,就会出现新的问题。因为NAT修改了传输层的地址字段,因此NAT必须重
新计算用于数据完整性检查的传输层检验和。
因此,ESP只有在不牵涉到传输层协议TCP/UCP(女HIPSec隧道模式)或者不做检验和时,才能畅通
无阻地通过NAT。但IPv4要求必须进行TcP检验和计算以及验证。
(三)IPSec与NAT的兼容设计
由于NAT与IPSec之间不兼容的主要问题是:NAT破坏了端到端的消息完整性,故必须解决这~问题。
把NAT作用于IPSec之前,则整个内部网作为一个固定地址出现:固定的lP地址,对于IPSec来说,在
进行验证时,就不会再出现问题。当需要循环进"行lPSec处理时,要将NAT包含在循环内部。
上述过程可以总结为:对于外出数据包,先进行NAT处理,再进,:fTIPSec处理;对于进入数据包,先
进行IPSec处理,再进行NAT处理。
211
科学发展与社会责任
六、结束语
家庭网络作为一种网络应用形式已逐渐引起重视,其安全性问题也有着不同于一般网络安全的特
点。本文从技术的角度介绍了防火墙的概念、分类和防火墙的发展趋势,以及家庭网络的概况,对
Windows2000中的相关技术进行了分析,并在此基础上,实现了家庭网络防火墙的整体设计,给出了系统
的体系结构和软件架构。
NAT和IPSec技术的设计和应用是本文的重点。本文对二者进行了详细设计,完成了主要编码工作。
尽管NAT和IPSec本身都是非常有效的技术,但二者的结合则会引发许多问题。因为从IP的角度来看,
NAT对IP的底层进行了修改,而从应用角度看,网络管理人员又必须要处理网络地址的问题。因此,本
文对于外出数据包,先进行NAT处理,再进行IPSec处理;对于进入数据包,先进行IPSec处理,再进行
NAT处理,成功地避免了同时使用NAT和IPSec弓I起的冲突。
由于篇幅所限,这里只介绍了技术层面的概要,许多细节没有深入讨论,仅为类似网络设计提供一个
参考。
参考文献
[1】CarltonR.Davis.周永彬,徐震,李德全等译.IPSec:VPN的安全实施【M】.北京:清华大学出版社,麦格劳一
希尔教育出版集团,2002.
【2】戴宗坤,唐三平.VPN与网络安全【M】.北京:电子工业出版社,2002
【3】3刘谦,苏建平,王军平等译.PeteLoshin.TCP/IP透彻理解【M】一匕京:电子工业出版社,2003
【4】戚文静.网络安全与管理【M】_匕京:中围水利水电出版社,2003
【5】北京启明星辰信息技术有限公司.防火墙原理与实用技术[M】.北京:电子工业出版社,2002
f6】6江荣安,孙效里,徐雅斌等.计算机网络简明教程【M】.大连:大连理工大学出版社,2002
【7]冯博琴,吕军.计算机网络【M】.北京:高等教育出版社,2004
论我国数控技术的发展趋势
李 强
(沈阳网络传媒有限公司)
摘要:数控技术是实现机械制追自动化的关键,直接影响到一个国家的经济发展和综合国力,关系到一个
国家的战略地位。作为制造系统最基本的加工单元,以数控技术为核心的数控机床的生产和应用已成为衡量一个
国家工业化程度和技术水平的重要标志。随着生产方式的变革和科技的发展,数控技术也发生了很大的变化,出
现了一些新的发展趋势。关注这些新趋势,制定正确的对策,对促进我国数控技术的发展具有重要的战略意义。
关键词:数控技术;数控装备;发展趋势
1数控系统概述
数控技术是用数字信息对机械运动和工作过程进行控制的技术,数控装备是以数控技术为代表的新技
术对传统制造产业和新兴制造业的渗透形成的机电一体化产品,即所谓的数字化装备,其技术范围覆盖
很多领域:(1)机械制造技术;(2)信息处理、加工、传输技术;(3)自动控制技术;(4)伺服驱动技术;(5)传
感器技术;(6)软件技术等。
212