网络中数据的传输范文
时间:2023-10-31 18:00:28
导语:如何才能写好一篇网络中数据的传输,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
中图分类号:TP393.09 文献标识码:A 文章编号:1007-9416(2017)01-0237-02
1 引言
21世纪是科技的时代,计算机网络技术的不断发展对人类信息获取与处理产生了很大的影响,计算机网络数据传输方式是计算机技术与网络技术结合的形式,它是一种新型的电子信息技术传输,数据传输指的是根据合适的标准,通过多条的链路在数据源与数据宿之间进行数据的传送,也能有效的借助信道上的信号将数据从一处送到另一处的操作。多样化的传输方式也给网络数据传输提供了便利,在以TCP/IP协议为基础的网络中,主要的数据传送方式有三种分别是单播、广播以及组播,在进行网络软件的设计过程中广播是最不常用的方式,因为它会造成网络资源的浪费现象,还会出现网络的堵塞,因此通常会利用组播方式来代替。在软件设计中利用单播的原则在于对数据的传送安全性要求比较高,同时单播还可以将数据传送双方的IP地址记录下来,而组播的主要原则是当出现很多相同数据的时候就可以利用组播方式,将单播与组播方式合并起来运用在软件系统中更可以提高网络软件的数据传送效率,有了这一方法就很大程度上解决了数据传送的问题,此外如果同时运用单播与组播也不会加大设计的难度反而使得设计变得更加轻松。本文就对网络软件中的数据传送技术以及单播、多播的数据传输形式进行详细的传输。
2 网络软件中的数据传送技术分析
2.1 基于单播的数据传输形式
单播方式就是把一些相关的数据由一方传送到另一方,在进行传送的时候要在发送接收两方之间建立起传输通道,而单播方式基本上都是基于TCP的方式来进行工作的,数据发送者要首先知道接收者的IP地址然后再将数据传送到接收者IP地址的缓冲区域,这就需要接收者应该提前建立好具体的缓冲区,同时,接收者还要对IP区域进行定期的维护防止数据出现溢出的现象。在利用单播传输方式时也会出现一些细节方面的问题,比如在进行设计该方式的时候通常将计算机网络软件分成服务器与用户机两个部分,服务器软件只在其中运行一部分还有很多的客户机工作在不同软件的客户机中,因此在进行数据传输的时候就需要双方都知道彼此的IP地址以及相关信息。如果有过多的客户机软件一起工作,那么相应的服务器就会记录下客户机的列表,客户机的接入与退出都会造成列表的改变,想要更好的维护客户机的列表可以利用相应的服务器来实施,这种方式可以让服务器与客户机之间的数据传输更加高效、便捷。客户机与客户机之间主要是通过两种方式进行数据传输的,分别是通过服务器的中转形式以及采用服务器与客户机直接相连的方式。前者能将所有客户机的信息转到服务器中,但是这种方式会造成网络资源的严重消耗,所以通常不会被广泛应用。而服务器与客户机直接相连的形式在进行信息传输时就越过了服务器,同时对客户机之间的IP地址信息进行更好的传输。
2.2 基于组播的数据传输形式
组播是能让单独的数据信息发送给多个接收方的网络软件技术,想要使这种方式真正达到IP组播在数据传输的双方中都得到支持的话就可以利用这种方式来进行支持,通过组播的方式对信息进行特定的传输,它是由IP 地址来进行命名的,要想对组播进行一定的管理就需要对组播采用IGMP的方式,对组播成员接入与退出的管理可以有效防止信息的增长。在对组播形式的网络软件进行设计的时候,首先要对组播的IP地址进行确定,在进行网络软件的设计过程中通常会将组播的IP地址分成两种方式,即静态设置与动态设置。静态设置就是在网络软件开发设计时,设置了之后就不能再改变了,这种形式都是比较简单方便的但是组播形式的网络软件很少会出现问题,如果有多个网络软件利用相同的组播地址,那么就很可能发生地址冲突的问题,在进行网络软件设计的过程中,首先对数据进行安全性的考虑,组播划分的区域具有一定的随机性所以在安全性方面应该充分到参与者,同时还要考虑到数据真实性的问题,当服务器与客户机之间涉及到安全性的内容时就可以采取数据实施的方式。动态获取是建立在静态设置的基础之上,网络软件中使用的组播地址是不相同的,并且只是在运行的时候可以确定,在网络软件设计的时候应该先设置好组播的地址,当组播方式的系统建立起来之后就可以先侦听一段时间,当发现自己的组播地址没有发生冲突之后就可以继续的使用静态组播地址,如果出现了冲突就可以按照某种算法来设计静态地址,就需要及时的告知其他的成员软件来设计出新的组播形式,这个数据可以在网络软件中得到识别让该组播软件不会识别数据。组播方式的网络软件设计时要充分考虑到数据标志与安全性,组播的范围要有一定的随意性,安全性方面也应该依赖于数据,可以对数据进行授权的操作等。
3 结语
综上所述,本文主要分析了网络软件中的数据传送技术的问题,计算机网络系统的应用范围逐渐扩大,人们对网络系统的依赖性也慢慢变大,我们可以了解到在实际的网络中以及软件工作的过程中,如果出现以广播为数据传输的形式就会造成资源的浪费现象,从而导致网络通信的阻塞。因此广播通常不会被人们所提倡,利用组播的方式也能让更多的用户了解到网络软件中数据传输的工作形式,相信在众多技术人员的共同努力之下,未来我国的网络软件中数据传送技术会取得更大的发展,迈上新的历史阶段。
⒖嘉南
[1]王荣华.GSM网络优化工具路测模块系统的设计与实现[D].上海交通大学,2013.
篇2
关键词: 无线传感器网络 数据融合 LEACH协议
1.引言
随着无线通信技术、微型制造技术,以及电池技术的快速发展,微小的传感器已具备感应、无线通信,以及信息处理能力。无线传感器网络有广阔的应用前景,能广泛用于军事、环境、医疗保健、空间探索及各种商业应用。
数据融合是无线传感器网络中非常重要的一项技术,也是目前的一个研究热点。该技术通过一定的算法将传感器节点采集的大量原始数据进行各种网内处理,去除其中的冗余信息,只将少量的有意义的处理结果传输给汇聚节点。数据融合技术能有效地减少网络中的数据传输量[1]。本文基于分层结构传感器网络的LEACH协议,提出一直多级数据融合技术,该协议能保证网络数据传输的可靠性和有效性,节省了传感器节点的能量,延长了网络的生命周期,并通过理论分析和仿真结果加以了验证。
2.LEACH协议
LEACH[2]是MIT的Chandrakasan等人为无线传感器网络设计的低功耗自适应分簇路由协议。与一般的平面多跳路由协议和静态簇类算法相比,LEACH可以将网络生命周期延长15%。LEACH定义了轮(round)的概念,其执行过程是周期的,每轮循环分为簇的建立和稳定的数据通信阶段。为避免额外的处理开销,稳定工作状态一般持续的时间相对较长。在初始化簇建立阶段,簇头通过如下机制产生。每个节点生成0―1之间的随机数,若某节点产生的随机数大于阈值T(n),则该节点当选为簇头。T(n)的计算方法如下:
If n∈G,T(n),
Otherwise,T(n)=0
其中,P为节点中已当选为簇头的百分数,r是当前的轮数,G是在过去的1/P轮没有被选为簇头的节点集合。
3.基于LEACH的多数据融合技术
3.1分层结构的无线传感器网络
图1给出分层分簇结构的无线传感器网络模型。整个网络由基站即Command node或sink节点、传感器节点(包括sensor node和cluster head)组成。网络中的节点以自组织的方式进行组网通信,簇内的同层普通节点之间不可进行通信,但簇间的各个簇头节点可以进行通信;底层节点负责数据的采集,高层节点进行必要的数据融合和数据转发。
线传感器网络结构
3.2基于LEACH的多级数据融合技术的执行过程
对于分层分簇型结构的无线传感器网络,网内数据融合技术的实现是基于簇头之间的层次性数据的处理。无线传感器网络首先初始化成大量的簇,再在簇头节点之间形成反向多播融合树。网络底层的数据源节点感测到数据后将数据直接发送至它所在簇的簇头节点,在簇头节点进行融合处理后,再经过反向多播融合树的融合处理转发给更高层簇头,高层簇头节点继续进行数据融合处理直至数据传输到汇聚节点,最后由汇聚节点进行数据的融合处理。如此形成的数据传输方式称为多级数据融合技术。
假设初始化过程是在配置网络的时候随机确定的,簇头与簇的形成均预先确定,经过一轮的通信完成后,协议再按照LEACH的执行过程进行数据传输,具体运行步骤如下。
(1)簇头候选节点发送消息到基站请求当选簇头,基站(Command node)接收后反馈消息进行确认。
(2)已当选为簇头的节点广播消息,以便周围节点知道其已成为簇头,方便它们选择合适的簇加入。
(3)簇的形成过程:当某一传感器节点请求加入新的簇中时,相关的两个簇头进行秘密会话,以验证节点确定其加入与否。
(4)簇头与簇均确定后,簇头将为每一个簇成员分配时隙以便数据的及时接收。
(5)簇头接收簇成员传送的信息后,进行必要的数据融合处理后传送到高层的簇头节点。
(6)高层簇头节点对底层的簇头节点传输过来的信息进行数据融合处理,直至数据传输到基站或汇聚节点。
(7)基站发动新一轮的消息传输,网络进入下一循环,要求簇头再次选择并重新组建新的簇和不同层次的网络分簇结构。
4.系统仿真分析及性能评价
利用OMNET++(Objective Modular Network Testbed in C++)对本文所述的包涵多级数据融合处理的LEACH议进行了模拟仿真。实验从能量有效性方面与基于第三方可信的密钥分发系统KDC(Key Distribution Center)的Kerberos协议进行了分析比较。仿真时定义传感器节点个数为1000个,节点形成簇的个数为10个。
实验结果表明,Kerberos协议的平均能耗处于mJ量级。从图2可以看出其大部分节点的能耗均在1.0―3.0mJ范围,可见这对于节点能量相当受限的传感器节点来说,消耗是很大的。
图3 多级数据融合处理的LEACH协议平均能耗
图3表明网络中节点的平均能耗在50uJ以下。本文协议利用多级数据融合处理的所有节点平均能耗为uJ量级。这一结论在实际应用中是相当可观的。
5.结论与展望
本文主要分析了一种基于LEACH的多级数据融合算法。源节点发送的数据经中间簇头节点转发时,中间簇头节点查看数据包的内容并进行相应的数据融合后传送到高层的簇头节点,如此一级一级传送下去直至的数据传送到汇聚节点,由汇聚节点实现数据的综合。该结构在一定程度上提高了网络数据收集的整体效率,减少了传输的数据量。同时,数据的传输主要基于LEACH协议,该分簇路由协议更符合无线传感器网络基于数据的路由需求。两者结合能很好地简化对网络的查询,降低网络节点的平均能耗。
参考文献:
[1]S.Avancha,J.L.Undercoffer,A.Joshi,and J.Pinkston.Secure sensor networks for perimeter puter Networks,November 2003,43(4):421-435.
[2]W.R.Heinzelman,A.Chandrakasan,and H.Balakrishnan,,Energy-Efficient Communication Protocol for Wireless Microsensor Networks,Proc.of the 33rd Annual Hawaii International Conference on System Sciences(HICSS),Jan.2000:3005-3014.
[3]Gaurav Jolly,Mustafa C.Kukate,A Low-Energy Key Management Protocol for Wireless Sensor Networks,in:Proceedings of the Eighth IEEE International Symposium on Computers and Communication (ISCC’03).Turkey:July 2003,(1):335-340.
篇3
关键词:IEC61850 GOOSE 报文 优先级 实时传输
中图分类号:TP39 文献标识码:A 文章编号:1007-3973(2013)003-060-02
1 引言
伴随着光电互感器、智能断路器、网络通信技术的兴起以及IEC61850标准的实施,各大电网公司都开始着手变电站的数字化建设。面向通用对象的变电站事件GOOSE是IEC61850标准中的重要组成部分,GOOSE网络的数据实时传输关系到变电站的控制、监视和保护功能,是数字化变电站自动化系统过程层和间隔层之间通信的重要纽带。
2 GOOSE的特点和组网方式
2.1 GOOSE的特点
GOOSE是一种基于IEC61850标准定义的面向通用对象的变电站事件,是一种可以在变电站系统范围内进行数据的快速采集和稳定传输的通信方式。本文中的GOOSE实时通信采用了者/订阅者架构, GOOSE报文具有较高的优先级和较好的实时性,具有显著的优势。
2.2 GOOSE组网方式
随着数字化变电站的逐渐发展,网络技术在数字化变电站中的应用程度越来越高,GOOSE报文传输组网方式分为了三个阶段:
(1)GOOSE报文传输单独组网。由于GOOSE报文传输对实时性和可靠性的高要求,变电站的IED装置都具备了独立的GOOSE通信接口,该方式保证了GOOSE报文传输的可靠性。
(2)GOOSE报文传输与站控层共用网络。这种组网方式需要支持IEEE802.1P协议交换机的支持,支持IEEE802.1P的交换机可以确保GOOSE报文的优先传输。
(3)数字化变电站共用网络。这种共用网络的方式在间隔层IED设备之间只需要一个通信接口,这样就降低了IED设备的成本,也降低了变电站的建设成本。
3 GOOSE网络数据实时传输方法的研究与实现
3.1 GOOSE报文传输延迟和稳定性的解决方案
本文通过研究IEC61850标准当中G00SE通信实时性,提出了一种新的报文发送方式,报文的发送依据优先级高低依次发送,解决了发送端GOOSE报文发送具有延迟和传输不确定的问题。
IEC61850通信标准规定了GOOSE网络数据传输采用者/订阅者的通信模型,对于GOOSE网络数据传输的订阅端,本文在网卡接收端口使用了将实时性报文和非实时性报文分开的方法,用事件驱动来通知待处理的任务,收到优先级较高的GOOSE网络报文后,交由高优先级的任务处理。
发送端的解决方案:
为了确保GOOSE网络数据通信的可靠性,本文采用了一种特殊的重传机制来实现GOOSE网络数据传输。首先,发送端发出GOOSE报文的发送请求,随即对报文内容编码,在发送端产生发送GOOSE报文的事件,增加发送时间并重发数据。GOOSE网络数据通信的每个报文都带有一个特定参数,即报文允许生存时间参数,其用于判断最长等待时间,当订阅端在超过报文允许生存时间内仍然没有收到重传报文,或者有新事件发生,则判断为连接中断。这种重传机制如图1所示,最大重复间隔是无事件发生时期的重传时间,在有事件发生时期,GOOSE将以最短重传时间进行重传,在新事件传输完过后,重传时间会逐渐增加到无事件发生时期的重传时间。
图1 GOOSE的重传机制
3.2 GOOSE网络数据实时传输系统架构
为了实现GOOSE网络数据报文的实时传输,本文设计了基于FPGA+ARM架构的嵌入式架构来满足GOOSE报文的传输要求,图 2 为本文设计的GOOSE报文实时传输系统的内部结构图。
图2 GOOSE报文实时传输系统
其内部结构主要包括以下四个部分:
(1)多通道AD以及调理电路模块,可以实现信号滤波,电路阻抗匹配,信号直流偏置,信号电平转换等。
(2)时钟同步处理模块,主要实现整个装置各部分的时钟同步。
(3)数据处理模块,该模块是由FPGA和ARM构成,主要实现对互感器传送的采样值解析、装置建模、文本描述生成以及报文生成等功能,并且实现多路输入的高速同步数/模转换,具有容错和自检能力。
(4)网络处理模块,该模块集成了目前大部分的同步时钟方案,可以为采集信息提供精确的同步时标。同时该模块可以给内部控制采集的FPGA提供作为基准的秒脉冲信号,该秒脉冲信号也可以输出给外部互感器作为同步采集的基准信号。
3.3 GOOSE网络数据实时传输报文识别流程
在本文设计的GOOSE网络数据实时传输系统中,其接收端GOOSE报文识别流程,其特征在于,对于接收报文过程,在网络芯片的驱动中加入GOOSE报文捕获程序,用于识别是GOOSE报文还是普通报文。普通报文则继续交给上层协议栈处理,GOOSE报文则可以直接解析获取其中的开关信息。发送端引入多级优先发送队列的方法,根据发送数据的实时性,分为多级队列,例如GOOSE数据以及采样数据,在协议层调用协议驱动时候可以放入高级队列中优先发送。
4 系统仿真与分析
图3 系统捕获到的GOOSE报文
本文采取了报文模拟发送来验证本文设计的GOOSE网络数据的实时传输。如图 3系统捕获到的GOOSE报文所示,通过交换机,在没有事件发生时,我们成功接收到了系统稳定发送的GOOSE报文,间隔时间为最大发送间隔T0为5000ms,在新事件发生之后,系统迅速响应,在响应时间T1即5ms时发送响应报文,在新事件传输完成之后,重传时间逐渐加大,经过T2(10ms)和T3(20ms),逐渐回到最大重传时间T0(5000ms)。可以看出新的报文发送方式和系统解决方案成功解决了发送端GOOSE报文发送具有延迟和传输不确定的问题。
5 结语
本文提出了一种修改网络驱动来实现多优先级队列的方法,GOOSE网络报文的发送会依据优先级高低依次发送,GOOSE通信使用了一种特别的重传机制,可以减小GOOSE数据传输的传输延迟,进而确保了GOOSE报文传输和处理的即时性。在硬件方面采用了基于FPGA+ARM的系统架构,利用了时钟同步技术,最终实现了 GOOSE网络数据的实时传输。
参考文献:
[1] 郑新才,周鑫.数字化变电站的GOOSE网络测试[J].电力系统保护与控制,2009(24).
[2] 王松,陆承宇.数字化变电站继电保护的GOOSE网络方案[J].电力系统自动化,2009(3).
[3] 熊杰.通信电源功率因数校正技术的研究[D].武汉:武汉理工大学,2007.
[4] Li,Xiao-Bin.Analysis and realization of GOOSE real-time communication.Power System Protection and Control,v 37,n10,p59-62+69,May 16,2009.
[5] Ransom,Daniel L.Chelmecki, Christopher ,Using GOOSE messages in a main-tie-main scheme.Conference Record-IAS Annual Meeting(IEEE Industry Applications Society),2012.
[6] Han,Ming-feng,Zheng,Yongzhi.A GOOSE realization method and reliability analysis based on the VxWorks system,Automation of Electric Power Systems,v33,n2,p 49-52,January 25,2009.
[7] 丁涛,徐二强.电子式互感器现场误差测试与问题分析[J].电测与仪表,2011(544).
[8] 杜振华,王建勇,罗奕飞.基于 MMS 与 GOOSE 网合一的数字化网络保护设计[J].电力系统保护与控制,2010,38(24).
篇4
【关键词】网络安全 数据加密技术 应用
1 数据加密技术原理解析
数据加密技术主要涉及明文、密文、算法和秘钥。原始未变换处理信息时称之为明文,较为浅显易懂,而通过明文处理加工后的信息内容则称之为密文,其理解难度较高。明文到密文的转换过程即为数据加密,一般情况下由特定加密算法实现。密文到明文的恢复变化过程中则被称之为数据解密,一般情况下由加密数据算法对应的解密算法加以实现。
计算机信息网络信息数据加密处理环节和数据解密处理环节还涉及发送方和接收方,明文处理变换之后会形成密文,随之将密文进行发送,发送者此时被称为发送方,而所接收密文的接受者则被称为接收方。发送方将明文进行加密,加密操作后形成密文,之后在此基础上进行接收方位置传递,接受方收到密文之后,运用秘钥进行密文解密,通过密文解密处理形成原始明文,此种模式传输过程中若出现信息窃取状况,那么电脑攻击者只能单纯获取原始密文,没有秘钥则无法解析,运用此种方式便可以对计算机信息网络信息有保护作用。
2 数据加密技术的类型
2.1 链路加密
链路加密具体指的是针对网络节点里面的通信链路实施加密,以确保网络传输安全。链路加密,也可以称作“在线加密”。链路加密需要在数据传输之前就完成信息加密,之后在网络节点之间予以解密,之后再次加密,如此往复,并应用不同的密钥,从而达到数据安全防护的目的。
2.2 节点加密
节点加密技术采用一个与节点机设备相互连接的一种密码装置,密文在此类装置内部会被合理解密和再次重新加密,虽然节点加密可在一定程度上提升网络数据传输安全性,但节点解密模式中,其操作方式与链路加密操作方式基本等同,上述二者均在通信链路上进行可靠性消息提供,节点加密技术和链路加密技术在中间节点对消息进行深度解密与二次加密,由于此时需要对整体传输数据信息内容进行加密操作,因此计算机信息网络通信安全加密过程相对透明。
计算机信息网络安全数据节点加密技术要求报头和路由信息均应以明文传输形式存在,这样的话就会给中间节点提供可靠且科学的消息处理办法,所以节点加密技术对遏制网络攻击者分析进行通信业务分析环节相对薄弱。节点加密技术缺陷明显,在实际操作环节内需要合理保障节点两端位置处加密识别等级达到高度同步,加之合理配合才能完成最终加密操作流程,此类中海外信息数据丢失现象和特殊状况下信息数据丢失现象时有发生。
2.3 端到端加密技术要点分析
端到端加密技术主要是指在数据传输过程中,本体数据传输模式为密文传输,当数据传输接收之前的所有环节均不能进行解密操作,达成高度计算机信息网络中数据的安全保护目的。端到端加密技术可有效遏制节点解密缺陷,最为常见的例子即为节点损坏问题,此处需要特殊提到的一点是,端到端加密技术具备价格低廉特点、技术设计简单特点、技术维护便利特点和技术操作简易特点以及技术操作人性化特点等。
3 计算机信息网络安全中数据加密技术的应用
3.1 网络数据库方案中数据加密技术的应用
Windows与Unix是当前网络数据库管理系统的主要实施平台,其安全凭借等级是C1级或C2级,由此可见无论是数据传输公共信道还是计算机存储系统都显得较为脆弱,极易被PC机窃取数据密码。由此不难分析,数据加密技术在计算机信息网络安全中的应用显得尤为必要。对于网络数据库用户而言,通常采用的方式为口令加密或是访问权限加密设置,这对于数据信息而言是不可缺少的保护路径。
3.2 电子商务方案中数据加密技术的应用
网络交易信息安全以及网络平台安全属于电子商务安全体系的两大重要部分,电子商务一般选择数字证书以及数字签名等手段进行加密处理,以上数据加密手段均能够为交易信息安全提供良好保障,防止不法人员或者网络黑客对信息资源进行窃取或者破坏,有利于促进电子商务的持续、高效发展。
3.3 虚拟专用网络方案的应用
虚拟专用网络中数据加密技术的应用采用路由器数据硬件自动加密的方式实现对互联网中密文方式的有效传输,一旦密文内容到传送点后便会由路由器对其实施解密操作,对应的明文内容就会到达虚拟专用网络中的接收者处。
3.4 软件加密方案中的应用
网络信息时代的到来使得黑客入侵、木马病毒等问题更加频繁,网络通信安全遭遇重大威胁。面对强大的网络威胁侵袭,仅仅依赖于主观经验判断或是防火墙技术显然难以达到预期的防范目的,病毒侵入杀毒软件还会使得数字签名信息的检查更加困难。因此,加密程序的实施首先需要对特定文件的加密状态展开检查,确定其是否存在计算机病毒感染问题,以此完成软件加密方案中数据加密技术的有效应用。
3.5 促进密码密钥数据技术中的公、私用密匙结合
私用密匙指的是信息传达双方事前已经就密匙形成共识,同时借助一样的密匙进行信息加密处理,给予科学解密,通过这种方式保证信息安全。公用密匙在安全性方面比私用密匙要高,该类密匙在文件正式发送出去前就已经给予加密处理,可以防止信息泄露,另外,公用密匙的应用还可以弥补私用密匙的不足,进一步强化加密效果,提高网络安全。
4 结语
在网络信息时代飞速发展的背景下,各种木马、病毒以及黑客行为也层出不穷,因而更加凸现了网络通信安全的重要性,特别是在拟上市企业的信息披露安全方面,确保信息安全应符合CIAA标准,加强信息安全意识,注重社会工程学防范、离职员工信息设备管理和各系统密码管理等。针对普通用户来说,网络信息安全的威胁非常明显,而数据加密技术的运用,实现了良好的保密效果,在做到随时汲取新技术的同时,为网络用户营造了更加安全的计算机信息网络环境。目的在数据信息安全各层级上力求做到使之进不来、拿不走、看不懂、改不了、跑不掉及可审查。
参考文献
篇5
关键词: VPN技术、组网、安全性
1. 引言
目前克拉玛依政府专网覆盖面相当广,对于光缆铺设不到的地方,可用无线VPN来扩大监测网覆盖范围。VPN即虚拟专用网络,就是两个具有VPN发起连接能力的设备通过电信传输网形成的一条安全隧道。在隧道发起端,用户的私有数据通过封装和加密之后在电信城域网上传输,到了隧道的接收端,接收到的数据经过拆封和解密之后安全地到达用户端。此种方式让远程遥测点和移动用户接入网络,能够远程使用内部服务器的应用系统,在非安全的互联网上安全地传送私有数据。与数据专线相比,VPN无需铺设线路,能够利用电信城域网资源建立安全、可靠、经济、高效的移动办公专网,大大地减少了花费在城域网和远程网络连接上的费用,易于新的办,也简化了网络的设计和治理,进一步扩大了广播电视监测在广电中的监督和治理范围。
2. VPN技术特点
随着互联网技术的发展及Internet接入方式的多样化,为VPN应用提供了条件,不同地区的政府部分可通过CDMA1X或EVDO等各种网络连接方式连入电信城域网,无需固定公网IP地址,由中心的VPN网关为认证用户分配一个内部私网地址,通过远程认证,实现与监测内部网络的互连,从而组成一个高效统一的虚拟专用网络。
目前无线VPN技术相当成熟,应用相当广泛,主要采用四种技术:隧道技术、加解密技术、密钥治理技术和使用者与设备身份认证技术。
3.1无线VPN应用概况
中国电信提供的无线VPDN接入技术,一次拨号,二次认证,具有很高的安全性,目前已经通过中国信息安全测评中心的测评,获得信息系统安全保障级二级的信息系统安全测评证书。
3.2无线VPN传输方式
1)CDMA1X的传输方式
主要应用在无3G网络覆盖区域,如移动性较大的勘探井。
2)3G EVDO的传输方式
对于克拉玛依区信息中心各井队开发井采用3G EVDO方式
3)VAST卫星通讯传输方式
对于信号盲区采用卫星通讯方式
3.3无线VPN组网设计
网络示意图如下:
逻辑示意图如下:
3.4无线VPN组网设计要点
1、克拉玛依某单位接入点使用PC或业务终端通过装载EVDO或CDMA1X无线网卡,使用中国电信克拉玛依分公司UIM卡,具备CDMA无线接受/发送数据能力(EVDO向下兼容,如果在EVDO尚未覆盖或信号不好的地方,可以自动识别并使用CDMA 1X作为载体传输数据);
2、每张UIM卡上开通中国电信EVDO或CDMA 1X数据业务,利用其传输速率高、高安全性实现无线接入和数据传输;
3、克拉玛依区信息中心新增一条基于电信CN2 网络的MPLS-VPN专线电路及一台支持L2TP技术的LNS设备,以此来构建VPDN网络;
4、用户可以在LNS侧再架设一台Radius服务器,用来做AAA二次认证。电信网络侧的AAA服务器、用来识别拨入用户是否是企业VPDN用户,并将相应的LNS地址、密码等必要信息发送给PDSN,PDSN再与LNS协商建立L2TP隧道。在隧道建立以后,企业内部的AAA对企业用户的用户名和密码及IMSI进行验证鉴别,这样用户管理方便,而且与网络运营商无关,接入权限都掌握在企业。
(如果用户数量不多或多用户使用统一用户名/密码登陆,也可以考虑在LNS设备上通过本地认证的方式实现)
3.5安全性:
企业数据中心可通过到中国电信CDMA网中数据网(VPN)接入,采用VPN方式成本比较低,安全性比较高,可充分保障速度和网络服务质量。
网中数据网(VPN)业务如下图所示。
按照上述网中数据网的示意图,中国电信网中数据网可以提供5级业务安全保障,从而充分保证网络中数据的安全。
第一级安全保证:CDMA网络本身的安全性
目前世界上使用的移动通信网络主要有两种:GSM和CDMA。与GSM相比,CDMA网络系统在安全保密方面具有很大优势。
CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。进行移动手机信号的窃听一般使用以下三种方法:
首先,需要捕捉到通信信号。在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。
其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信号很难锁定。
第三,需要破解用户信息编码。而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。所以CDMA技术本身就很安全。
第二级安全保证:CDMA网络侧的AAA认证
AAA是指认证(Authentication)、授权(Authorization)、计费(Accounting)三个过程,其中:
认证:是用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(像用户名-口令、生物特征信息等),然后提交给认证服务器;认证服务器对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。
授权:是网络系统授权用户以特定的权限使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予IP地址,准许访问时间等。
计费:是网络系统收集、记录用户对网络资源的使用信息,以便向用户收取资源使用费。以互联网业务提供商ISP为例,用户的网络接入使用情况可以按流量或者时间准确地记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证,网中数据网的用户(VPN成员)是以username@xxx.vpdn.xj形式登录的(用户在中国电信登记入网时,中国电信分配其一个域名xxx.vpdn.xj)。CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行绑定审核验证。验证通过后,方可接入中国电信CDMA网络。
第三级安全保证:CDMA网络和用户网络之间的VPN链接
CDMA网络和用户网络之间可以采用专线链接,也可以使用Internet链接。使用Internet链接必须考虑安全性,因此,可以使用VPN将二者利用Internet链接起来。
VPN技术非常复杂,涉及到通信技术、密码技术和现代认证技术。主要包含两种技术:隧道技术与安全技术。
VPN是在不安全的Internet上传输的,传输内容可能涉及到企业的机密数据,因此安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。主要有认证技术,加密技术,秘钥管理与交换技术。
此次中国电信新疆公司为宏源证券提过的中心接入电路采用基于CN2 网络的MPLS-VPN专线链接,与互联网隔离,本身提供了安全性,而且在专线基础上,又加入了VPDN二层隧道技术,更增强了网络的安全性。
第四级安全保证:用户网络侧的安全防火墙(FW)
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝非法用户的访问,阻止非法用户存取敏感数据,同时允许合法用户顺利访问网络资源。防火墙实际上是一种访问控制技术,在某个机构的内部网络和不安全网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上的非法输出。
用户网络可以选用适合于本单位的防火墙产品来保证自己网络数据的安全。
第五级安全保证:用户网络侧的AAA鉴权认证
用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。与第二级的安全保证不同,本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。
username@xxx.vpdn.qd中的域名将是中国中国电信公司提供给专网接入用户的专有统一域名,用户名(username)可以是VPDN中每个成员的手机号码或者其它标识。VPDN中成员的用户名和密码等资料将保存在用户专网侧的AAA服务器,具有很好的安全性和管理的灵活性。
4.VPN技术在克拉玛依政府专网实施的优势
采用廉价的接入方式,实现各远程遥测点、移动用户与整个广播电视监测网络的无缝连接和安全连接,在任何地点、任何上网方式都可以接入政府专网,减少在设备、人员和治理上的投资,保护了现有硬件和软件系统上的投资,有效地降低了运营成本。
通过防火墙内部策略控制体系,VPN能够答应授权移动用户或已授权的用户在任何时间任何地点访问政府专网,对VPN数据可以进行有效的控制和治理,使VPN专网的数据通信具有良好的安全性和治理性。VPN采用了目前先进的压缩算法,带宽利用率达130%,大大提高系统数据的访问传输速度,为政府办公系统提供高效快速的VPN虚拟网络平台。
5.结束语
利用VPN技术上的优势,把政府专网拓展到了偏远的县、乡、镇,建立了一个规模大,覆盖省、市、县、乡、镇的政府专网,将极大的降低了电子政务网的建设成本,提高了建设速度。为克拉玛依区政府提供应急通信接入,政府执法和城市突发事件现场视频回传提供一个安全可靠的传输网络,为数字克拉玛依的建设提供了有利的支持,加快了数字化克拉玛依的建设。
参考文献
[1] [美]MarkLucas等著.防火墙策略与VPN配置[M].北京:水利水电出版社,2008.
[2]高海英,薛元星,辛阳等著.VPN技术[M].北京:机械工业出版社,2004.
篇6
关键词:有线电视网络;数字电视技术;应用
随着社会科技的发展和计算机网络技术的发展,数字电视技术广泛应用到了传媒行业,并且在传媒行业当中发挥出了巨大的作用。数字电视技术是一种先进的科学技术,它的出现为电视媒体行业带来了巨大的变革,也使传媒行业发生了巨大的变化,可以说数字电视技术有效推动了传媒行业的发展。当数字电视技术替代了传统的模拟技术以后,传媒行业在数据的制作和传输方面对图像、视频的清晰度和准确性及安全性方面有了更高的要求。这些方面的提高跟着传输信道和信道资源等方面都有关系,本文针对有线电视网络中数字电视技术的应用做出了阐述。
一、有线电视网络中的数字电视技术
有线电视网络技术就是从传统的模拟信号技术发展而来,它把原先的信号复制之后,传送到有线电视当中。数字电视技术把接受到的模拟信号进行处理,转换成为数字信号,这样的信号使得电视机上呈现出的画面更加清晰、真实。数字电视技术应用于有线电视网络中具有以下几个方面的特点:
(一)画质更清晰
数字电视信号不仅仅是简单的对原来信号的复制,是一种信号的转换,这样电视信号更加完整,传输的画面不会失真,所以画质更加清晰流畅。
(二)传输介质是光纤
数字电视信号传输介质是当前较为先进的光纤,光纤传输介质传输的信号可以有效拓展数据信息的荷载量,可以提供更多的传输频道,也为电视内容的丰富做出了重要贡献。
(三)跟互联网有效结合
数字电视技术有效应用到了互联网技术,这使得电视向网络方面靠近了很多。用户可以通过有线电视进行网页的浏览,可以在网页上寻找更多的视频资源,另外用户还可以利用有线电视进行视频通话,实现远程操作等。
二、有线电视网络中数字电视技术的应用
有线电视的数字化中最终要的技术就是数字电视机顶盒,它主要的作用就是把电视和网络有效连接在一起,它在中间起到信号转换的作用。数字电视机顶盒能够把模拟信号转换成数字信号,也就是把接收到的模拟信号通过压缩和编码转换成数字信号。到了接收端,再通过解码技术把数字流转换成清晰的视频和音频信号,通过客户端的显示器和音响把这些信号呈现给用户。数字机顶盒的主要作用体现在以下几个方面:(1)机顶盒可以向用户提供清晰的音频和视频信号。(2)数字电视技术是在机顶盒服务的基础上进行的。(3)机顶盒可以通过电联传输一些广播数据信号,它是通过同轴混合网传输的。另外机顶盒也可以在交互式多媒体中广泛应用,可以充分利用网络中的多种服务,比如软件的升级、接收电子邮件、点播视频等。总之数字电视技术跟原先的模拟电视技术相比,有了更多的网络功能,对于网络的发展和电视技术的发展都起到了积极的推动作用。目前我国在很广泛的范围内都是用到了数字电视技术,国家在很多区域实行了数字化电视技术和双向网络有线电视技术的改造工程,主要可以从三个方面体现出来:第一方面从客户端可以看出数字信号的许多先进的功能。第二方面实现了双向网络,可以进行人机交互。第三方面可以清楚、流畅的接收多个卫视频道信号。数字化电视技术还根据用户的需要增添了许多网络功能,如打游戏、点播电视剧和电影节目等。
三、数字电视信号的有线电视网络传输
与传统的模拟电视技术相比,数字电视技术主要采用了HFC方式,利用了AM-VSB频分复用方式,它把不同的节目放到了不同的频道上。另外数字电视技术通过将传输信道的编码处理使当前数字信号符合现在的HFC网络的标准要求。在高频载波形式上,MPEG-2与HFC在高频段进行网络传输时模拟信号是一样的,主要采用混合传输方式,传输介质主要是电缆和背光链路。
四、数字电视的环节组成
(一)信源编码
此环节的主要功能就是把图像和声音等模拟信号转化成数字信号,实现信号的数字化。
(二)复用技术
此环节把图像和视频等各种类型的数据融为一体,以数据包的形式在传输信道上传输,最后组合形成一套节目流或者多套节目流。
(三)信道编码与调制
信道适配就是信道编码,主要功能是对各种数据流进行处理,以减少错误,还可以将一些基带数据流存放到高频波段当中,变成频带信号。
(四)传输信道
数字电视技术可以采用HFC、卫星、数字干线和无线等多种传输信道进行信号的传递。总之,数字电视技术是信息化社会的必然产物,它传输和接受的画面更加清晰、流畅,受到用户的青睐,也是传媒行业发展的新方向。但是数字电视技术还存在着诸多的问题,需要相关专家进一步的研究改进。
参考文献:
[1]吴昌进.浅析当前有线电视网络中数字电视技术应用及发展前景[J].科技资讯,2010(13).
[2]赵春梅.论地面数字电视技术在广电应用中的实践[J].西部广播电视,2016(16).
[3]符小峰.数字电视技术发展状况以及具体施工技术研究[J].信息通信,2016(10).
篇7
【关键词】数据加密 网络信息安全 应用
信息时代的到来,使得人们的日常活动,包括网上教育、电子商务以及银行支付等越来越离不开计算机网络信息的传输,其应用领域也越来越广泛。基于这种计算机网络信息大环境,决定了数据信息需要较高的保密程度,以杜绝网络数据信息的传输被非法窃取以及恶意篡改,需要对数据加密技术进行细致研究,寻求更好的应用方式。
1 数据加密技术的基本形式与特点
1.1 对称加密技术
对称加密技术又被成为共享秘钥加密技术,其具体指的是,通过利用一致的秘钥,使得发送信息一方以及接受信息一方能够开展对数据的加密以及解密操作,这也决定了进行通信操作的双方在进行密文的安全传输之前,需要具备共用秘钥,在保证密钥安全性以及保密性的基础上,提升数据传输阶段的安全机密以及完整程度。
对称密钥加密技术是较为常用的一种数据加密形式,DES、AES、以及IDEA是对称密钥加密技术的基本算法。DES数据其本质是种对二元数据进行加密的算法,包括了对称64为数据分组密码,以任意的56位分组密码作为密钥,剩下8位是奇偶校验。DES数据加密标准算法,拥有较快的加密速度以及加密效率,同时还具备了较为广泛的加密范围,被大规模的应用于银行电子商务转账等领域。
1.2 非对称加密技术
非对称加密技术也被乘坐公钥加密技术。其具体指的是,发送信息的一方与接收信息的一方,利用不同的密钥来对数据进行加密以及解密。非对称加密技术的的基础是密钥交换协议,开展通信操作的双方,不用适应进行密钥的交换,能够直接进行安全通信,在杜绝密钥安全隐患的同时,也保障了数据在传输的保密性以及完整性。
RSA、Diddie-Hellman、EIGamal、椭圆曲线是非对称加密技术的多种算法。较为典型的RSA算法,可以有效对现存已知的所有的密码攻击形式,进行抵挡,同时RSA算法也是应用作为广泛的公钥算法。非对称加密技术除了应用于数据加密以外,还能够开展对身份系统以及数据的完整新验证,也在数字证书以及数字签名等许多信息交换领域得到了较为广泛的应用。
2 数据加密技术在计算机网络信息安全中的应用
2.1 链路数据加密技术在计算机网络信息安全中的应用
链路数据加密技术这一加密技术,能够对网络数据信息的传输路线开展有效划分,并加密不同传输区间以及路径的数据信息。通过对不同区间以及传输路径的数据信息进行不同的加密方式,使得信息的接收方,接受到的信息数据多以密文形式呈现,及时数据信息遭到非法窃取,也无法明确其数据信息的主要内容,起到了较为明显的数据信息保护性能。除此之外,链路数据加密技术在计算机网络信息安全中的应用,能够对数据信息的传输进行填充,通过对不同传输区间以及路径的数据进行长度方面的改变,打乱非法窃取数据人员对于传输信息的关键区域的判断能力。
2.2 端端数据加密技术在计算机网络信息安全中的应用
与链路数据加密技术不同,端端数据加密技术拥有较为简单的加密过程。端端数据加密技术以专业密文作为信息数据传输的基础,端端数据加密技术应用于计算机网络系统时,不需要对信息数据的传输阶段进行加密或者解密,对于计算机网络信息的安全可以有效提升。除此之外,端端数据加密技术有较少的运行投入以及维护费用,在通过这种加密技术进行数据传输时,因其具备了独立传输路线,在出现意外情况,如某个数据包出现问题时,其他的数据包不会受到影响,信息数据的完整性得到了有效保证。
2.3 数字签名信息认证技术在计算机网络信息安全中的应用
当前,数字签名信息认证技术得到了较广范围的应用,数字签名信息技术,主要通过对用户的身份信息进行鉴别以及确认,杜绝用户的信息被其他的非法用户所利用,使得数据信息的安全性得到了保障。口令认证以及数字认证是数字签名信息认C技术的两种方式,口令认证简捷方便,具备了较低的使用费用,得到了较为广泛的应用;数据认证多基于加密信息,实现核实其算法的有效性。
2.4 节点数据加密技术在计算机网络信息安全中的应用
节点数据加密技术对于计算机网络信息的保护,主要是通过对加密数据的传输路线的进行利用来实现的。利用节点数据加密技术,使得信息数据在传输之前就可以开展加密才做,并达成数据信息的传输以密文形式来进行,同时,加密之后的数据信息,在计算机网络的传输阶段,网络黑客的对其识别较为难以实现,使得信息数据在传输时的安全得到了有效提升。值得注意的是,节点数据加密技术需要信息的使用双方,利用明文形式来达到对数据信息的加密,外界因素容易对数据信息的安全程度造成影响。
2.5 密码密钥数据技术
公用密钥以及私用密钥是密码密钥数据技术的主要形式,公用密钥的安全性级别较高,可以达成传输数据信息之前的加密操作,有效的避免了数据信息产生泄露;在进行私用密钥的使用时,信息的发送方以及接收方,需要对密钥进行事先商议,利用形式一致的密钥来实现加密以及解密数据信息操作,密码密钥数据技术应用于计算机网络系统运行中,可以借助于公用密钥以及私用密钥形成互补效果,使得计算机网络信息数据的安全性得到有效提升。
3 结束语
随着计算机技术的普及以及信息时代的到来,人们对于计算机网络系统的使用越来越频繁,在给人们的生活打来方便的同时,也存在着一定的安全隐患,需要在对数据加密技术进行深入了解的基础上,根据具体需求,合理选择数据加密方法,以达到从提升计算机网络信息安全的作用。
参考文献
[1]邵康宁.计算机网络信息安全中数据加密技术的研究[J].信息安全与技术,2016(02):29-32.
[2]贺伟.计算机网络信息安全中数据加密技术的研究[J].电子技术与软件工程,2016(18):231-232.
篇8
关键词 网络安全 数据加密技术 应用研究
中图分类号:TP393.08 文献标识码:A
随着计算机网络的发展,各种网络信息盗取和破坏让人们对维护网络安全的技术需求越来越强烈。网络安全主要在于保证数据的存储安全与传输安全,而数据加密技术可以很大程度上保证信息在网络中的传播安全,以防被非法窃取与数据分析。
1数据加密技术概述
一般来说数据加密系统可以分为明文、密文、加解密算法与密钥四部分。传统数据加密技术大致分为四大类算法:置换表算法;改进的置换表;循环冗余校验算法;循环移位和XOR操作算法。其中置换表算法是最简便的算法,原理就是让每一个数据段在置换表中存在一段偏移量,当数据和信息偏移了一段后,就可以成为一种加密性质的文件,对此加密文件进行解密的时候,就用置换表将偏移量调整过来。这种置换表算法极其简单,所以加密的速度特别快,但是置换表要是丢失加密的信息就会被非法窃取。而改进的置换表算法其实就是用两个或两个以上的置换表来随机加密信息,以提高安全性;循环冗余校验又叫CRC,是依据网络数据包或者是计算机档案而进行的16或32位散列函数算法。循环移位和XOR操作算法就是对数据中的一部分进行位置交换的算法,即将同一个数据流中的部分字节换个位置或转个方向后再用XOR加密数据就很难被破解。
2不同种类的数据加密技术
2.1节点加密
在网络安全中节点加密使用很广泛,它使用的基础是点对点的同步、异步线路传输,当两端的加密设施同步时才能加密数据,对网络传输的通畅程度要求较高。不过缺陷也是显而易见的,在数据传输过程中它很容易丢失数据或传输失败。
2.2链路加密
这里是指对网络节点中的链路加密,来维护网络中数据传输的安全,它是在信息传输前就已加密好,在网络节点解密后再次加密。这其中几次加密使用的不同密钥保证了数据的安全性,因此一般来说在数据到达接收处时会经过多条的通信线路。
2.3端到端加密
在传输过程中数据从始到终均为加密状态,所以称为端到端的加密,使得数据在传输时有着有效的安全保护。这种方式操作简单,优势明显,而且性价比极高,对加密算法的维护和使用都很简便,有利于推广使用。
2.4对称加密
对称加密技术又叫共享密钥加密技术,也就是说信息接收者与传输者采取的加密、解密方式是相同的,所以需要接收者和传输者共同保护密钥,只有密钥安全的情况下,其加密之后的信息才具备绝密、完整和安全的特性。作为计算机网络安全数据加密技术中最为常见的一种加密技术,对称加密技术所采取的算法通常包含了DES、IDEA以及AES,我们最常用到的算法为DES,主要是针对二元数据进行加密,它是一种64位的对称数据分组密码。DES加密算法的速率非常快,应用范围特别广阔,主要用于银行电子转账系统之中,且效果显著。
2.5非对称式加密
非对称加密技术的不同之处在与它的信息接收者和传输者所采取的解密和加密的密钥各不相同,分别用于加密和解密。公钥加密技术是通过密钥进行协议的互换,信息接收者和传输者不需要事前就进行密钥的互换,就可以实现通信,这样一来避免了密钥在交换中存在的安全问题,同时也增强了其绝密的特性。非对称加密技术进行数据加密的时候,重点采取的算法有EIGamal、Diffie-Helltnan、椭圆曲线以及RSA。通常使用的算法是RSA,它完全能够摆脱现存的密码遭受非法窃取。非对称加密技术不但可以运用于数据加密之上,而且还能够进行数据完整性校验和身份验证。此外,非对称加密技术还被普及到数字签名、证书等相关领域。
3数据加密技术的应用
数据加密技术最常见的应用是在PC端,现在常用的计算机操作系统的安全级别为C1或C2,使得个人电脑在公共传输中非常脆弱,极易被攻击。数据加密系统在此时对网络数据库进行加密处理,需要使用者通过一定的权限认证才能访问,以此保护信息安全。还有在我们平时用杀毒软件时杀毒软件本身也会被病毒攻击,这个时候杀毒软件就会丧失应有的作用,无法进行数据有效性的验证。因此,在进行数据加密的时候,必须要首先进行杀毒软件的有效性检测,看看所加密的信息是否含有病毒。此类信息要求有较高的保密性,这就需要反病毒或者杀毒软件也采取数据加密技术进行加密。
社会的进步和人们生活方式的改善离不开电子商务的快速发展,而电子商务的健康发展离不开安全的网络环境。网络交易信息和网络平台的安全共同组成了电子商务安全体系,电子商务通常使用的加密方式有数字证书、SET安全协议、SSL安全协议以及数字签名等。其中值得一提的是AES 加密算法,它在整个社会各个行业中的应用方式与形式均有不同,在电子商务的运行平台上,AES就充分利用其安全性高的特点,保证在 SSL 协议中可以安全地传输用户的密码和个人信息等数据这些数据加密方式可以保证交易两边的信息安全,不法分子和黑客很难对进行信息的窃取和破坏,保证了电子商务持续、快速、健康的发展。还有在无线网络的应用中,也使用了AES加密算法,通过协议将AES加入到计算机安全机制中,甚至一些保障传输数据安全性的网络技术也应用到了AES算法。
参考文献
[1] 龚奇敏.数据加密及数据加密技术标准化[J].通信保密,1987(01).
[2] 许纲理.数据加密技术在计算机网络通信安全中的实施要点分析[J].电子技术与软件工程,2014(20).
篇9
关键词:嵌入式网关;网络处理器;现场可编程门阵列;虚拟专用网;IP安全;外设部件互连;μCLinux
中图分类号:TP393.05
文献标识码:A
0引言
虚拟专用网(Virtual Private Network,VPN)是构建在公网Internet之上的逻辑网络,通过在两台网关设备之间建立一条虚拟专用隧道进行数据传输。通常使用IPSec协议在网络间传输数据,采用HMACSHA1等算法对用户进行认证,并采用DES、AES等算法对数据进行加解密,以保障网络数据传输的安全性、完整性、机密性和可用性。
在VPN实现上,VPN安全网关已成为其中的核心技术,是各个科研机构、网络技术应用公司的研发重点。然而,在VPN技术广泛应用的今天,国内的部分安全网关产品还依旧停留在采用通用PC的基础上,较国外的采用网络处理器的安全网关产品在系统性能方面还有较大的差距。基于高性能网络处理器的安全网关系统,较基于通用PC的安全网关系统,不仅在系统的网络数据吞吐能力方面有很大的优势,而且在系统效率、可靠性等方面也有很大提升。
因此,本文在研究IPSec协议数据处理的基础上,提出并实现了以网络处理器为基础,采用硬件加速技术的嵌入式VPN网关系统。
1体系结构
IPSec在IP层上对数据包进行高强度的安全处理,可在不可信的网络上提供安全的数据传输服务。因此,网络用户不必设计和实现自己的安全机制就可以享用IPSec提供的安全服务,在一定程度上降低了安全漏洞产生的可能性。
从IPSec功能实现上来划分,IPSec协议数据处理任务可以分为两类:控制层面任务(如数据包的封装、安全协商、密钥交换等)和数据层面任务(如数据加解密、消息认证计算等)。若控制层面任务和数据层面任务都采用主处理器来处理,将影响CPU对关键任务的实时性处理,导致网络设备系统性能明显下降。
为了提高系统整体性能,可采用如图1所示的体系结构,用IPSec协议中控制层面任务和数据层面任务分离处理的方法来实现IPSec数据处理。通过网络主处理器处理IPSec数据包封装、安全协商和Internet密钥交换等控制层面任务;而协处理器处理IPSec协议中数据加解密和消息认证处理等数据层面任务,以减少网络设备主处理器的负载。这样,就解决了系统IPSec处理速度瓶颈问题,从系统体系结构方面提高了VPN网关整体性能。
2设计与实现
2.1硬件系统设计与实现
在VPN网关系统具体实现上,采用S3C2510网络处理器作为主处理器, Altera Cyclone 系列FPGA作为协处理器。主处理器主要用来控制系统的运行,协调系统各功能模块的工作,并处理IPSec控制层面任务;协处理器主要用来处理IPSec数据层面任务。主处理器和协处理器采用PCI总线接口连接。
嵌入式VPN网关硬件系统可分为网络处理部分和协处理器部分(加解密、认证部分)。
2.1.1网络处理部分
系统网络处理部分是高速VPN网关系统设计和实现的基础和核心,由基于S3C2510网络处理器的嵌入式系统主板组成。
该嵌入式安全网关系统主板上主要集成了网络处理器S3C2510A、Flash存储器、SDRAM内存、2个独立的10/100M WAN以太网口和2个32位33MHz/66MHz PCI Slot等。主要功能模块可分为处理器模块、Memory模块、网络接口模块、PCI接口模块等。其中:
1)网络处理器模块和Memory模块(FLASH、SDRAM)组成最小嵌入式系统,用于正常运行整个系统以及高速处理IPSec协议中数据包的封装、安全协商、密钥交换、安全算法替换等控制层面任务。
2)网络接口模块,从网络中接收数据,交给处理器处理,并将处理完后的数据发送出去,以达到线速传输网络数据的功能。
3)PCI接口模块实现系统功能的扩展,实现最小系统和协处理器(PCI加解密卡)数据交换的功能。
2.1.2协处理器部分
基于FPGA协处理器的PCI加解密板卡是高速VPN网关系统中IPSec协议数据处理的核心功能模块,实现IPSec协议中数据加解密、消息认证处理部分的功能。
FPGA协处理器部分主要包括控制模块、PCI核模块、加解密核模块和认证核模块。
1)控制模块接收来自于PCI总线的IPSec协议数据,送至相应处理核(加解密核或认证核)处理,并返回处理后的数据。
2)PCI核模块实现网络主处理器和FPGA协处理器间高速数据传输。
3)加解密核模块实现IPSec协议中数据加解密功能,支持DES、AES等数据加解密算法。
4)认证核模块实现IPSec协议中的消息认证功能,支持HMAC―SHA―1和HMAC―MD5等消息认证算法。
2.2软件系统设计与实现
嵌入式VPN网关系统的ARM μCLinux2.6操作系统软件运行在S3C2510网络主处理器上。为了达到主处理器和协处理器高效协同运行的设计目标,实现了PCI加解密卡在μLinux下的驱动程序。在IPSec VPN功能实现和配置软件上,采用基于Linux―2.6内核的IPSec―tools。
2.2.1PCI加解密卡驱动程序的设计与实现
PCI驱动程序隐藏了PCI加解密板卡的工作细节,并向上层软件提供标准化的接口来实现PCI加解密卡在系统中的功能和作用。在驱动的具体实现上,将驱动程序库以内核库形式装载到Linux内核。
从驱动程序功能上来划分,PCI加解密卡驱动程序可分为以下几个部分:上层软件接口、硬件接口、配置模块和数据处理模块。
1)上层软件接口模块为上层软件(用户态和核心态)提供配置程序接口、加解密程序接口等功能。
2)数据处理模块实现了驱动的主体功能,主要负责接收配置模块的控制信号,设置加/解密密钥,获取上层传递过来的待处理数据,启动加/解密操作,并返回经加解密/认证处理后的数据等。
3)配置模块用于进行加密卡的参数设置,诸如设置加解密算法、消息认证算法、密钥等。
4)硬件接口模块提供对PCI硬件的基本操作,通过对硬件寄存器的控制来操作硬件,诸如配置DMA控制寄存器和启动PCI数据传输等。
2.2.2IPSec VPN软件系统实现
Linux―2.6内核中加入了对IPSec的支持,网络协议栈中提供对IPSec协议簇中AH、ESP、IKE协议和NAT穿透的支持,因而本系统采用基于Linux2.6内核的IPSec功能实现解决方案IPSec―tools,它包括setkey和racoon/racoonctl两个用户程序。
1)Setkey实现对IPSec中SAD和SPD的配置和管理。
2)Racoon/Racoonctl实现IKE与网络中的其他主机建立安全连接安全联盟(Security Association,SA)。
3)PF_ KEY接口是IPsec的重要组成部分。密钥管理进程利用PF_KEY与内核的SADB进行通信,实现SA和SP(Security Policy,安全策略)的管理。
4)IPSec Configuration提供对IPSec协议中诸如密钥产生和密钥交换等密钥管理的配置接口。
5)IPSec安全联合数据库(SAD)中存储了安全关联项SA, IPSec安全策略数据库(SPD)中存储了由用户或系统管理员所制定的安全策略SP;IPSec则根据IPSec安全策略(SP)和IPSec安全联合(SA)来处理数据包。
6)IPSec协议簇提供了两种独立的IP安全协议:认证头(Authentication Header,AH)和封装安全载荷(Encapsulating Security Payload,ESP)。
7)加解密及认证库存放了多种可选的认证和加解密算法,在处理时将通过安全关联中的算法项来指明所需要使用的算法。本系统中AH/ESP所使用的加解密算法和IKE所需的消息认证计算都通过调用PCI加解密卡或主处理器的IP加解密模块的标准接口来实现。
2.3IPSec VPN网关功能实现
IPSec VPN网关从功能上可分为核心模块和用户模块两部分[4]:
核心模块扩展了IP,使IP层能够支持IPSec协议,包括IKE、AH和ESP等协议的处理以及安全联盟数据库(SAD)和安全策略数据库(SPD)的维护。
用户模块支持以脚本语言方式或图形接口方式来维护SAD和SPD;以及管理用于VPN网关加解密通信的安全连接功能,包括增加、删除、修改、启动和停止安全连接。
2.3.1网关工作流程
参照图4,IPSec VPN网关工作流程如下:
1)创建一个安全策略(SP)时,由SP进程负责管理和维护,并激活IKE进程与对方VPN网关协商一个新SA,由SA进程负责管理和维护。其中IKE进程负责密钥交换,并实现自动的策略管理。
2)发送数据包时,首先构建本地IP包,并将IP包传送到IPSec处理模块,由输出进程根据SA指定的协议(AH或ESP)封装数据报,并按指定的算法,调用驱动提供的加/解密接口函数,将数据包送往PCI加密卡或处理器中的DES/3DES模块处理,加密数据、生成认证数据;再将新生成的IP包传送到IPSec外出处理模块。
3)接收数据包时,将网卡接收的数据包通过IP层预处理,并送到IPSec进入策略处理模块,由输入进程决定如何处理该IP包:对于允许进入网关的IP包,按SA指定的协议(AH或ESP)解封数据报,并按指定的算法,调用驱动提供的加/解密接口函数,将数据包送往PCI加密卡或处理器中的DES/3DES模块处理,解密数据、验证和处理数据;对于转发的IP包,则进行诸如减小TIL等转发处理,并将IP包传送到IPSec外出处理模块。
2.3.2网关性能测试
嵌入式VPN网关系统性能的测试可基于SmartBits6000B数据网络测试平台。在本系统测试中使用IPSec协议,采用ESP隧道模式和AES/SHA1安全机制。
测试方法如下:首先,配置SmartBits 6000B系统的LAN3321A TeraMetrics XD模块和TeraVPN IPSec测试软件;其次,让嵌入式VPN网关系统作为响应设备,SmartBits构造并发送大小不同(例如64,512,1024以及1400等)且指定了包数目(例如10,100,1000等)的数据(例如TCP数据),通过被测设备的转发,在SmartBits另一网络接口处(测试点)接收转发的数据包;最后,根据所测试的选项便可得出嵌入式VPN网关系统的性能等。
测试表明,嵌入式VPN网关系统实现了IPSec协议标准描述的功能,包括AH, ESP和IKE协议功能,具备路由转发功能,在10/100M网络中能达到较高的数据吞吐量,在以线速速率传输数据的同时拥有极低的数据丢包率。
3结语
篇10
关键词:大数据时代;地理信息服务;数据传输;标准化
引 言
人类社会进入大数据时代,数据成为了继土地、劳动力与资本之后的新的要素。用数据决策、用数据评价成为越来越普遍的要求。当前,大数据引发着各行业、各领域商业模式、生产模式与管理模式的变革和创新,将对经济社会发展与人们的生产生活方式产生深远的影响。大数据时代,测绘心理信息服务需求不断增长,为测绘地理信息事业加快发展提供了强劲动力,同时也给测绘地理信息工作统一监督管理与服务保障带来严峻挑战。
1 地理信息服务简介
地理信息系统(GIS),是对信息进行采集、存储、管理与分析的有效工具,从20世纪60年代诞生以来,其概念和理论基础已基本成熟,但是随着计算机技术、数据库技术和网络技术的不断发展,将GIS的功能在网络中实现,并且解决网络上跨平台的、异构的、海量的信息共享,传统GIS的概念逐渐发生了改变,产生了地理信息服务的概念。
地理信息服务旨在构建一个服务平台,使得大数据时代的各种软件资源与硬件资源能够有效的共享,方便用户获取数据和信息,并进行二次加工,从而得到自己所需的信息产品,产生效益。
2 影响数据组织传输的因素
数据在地理信息服务中,是贯穿整个服务的主线,从数据格式、数据管理、网络传输、资源配置到用户利用,各个方面都需要考虑数据的处理。
2.1 数据格式
大数据时代地理信息服务中的数据通常可以分为空间数据与非空间数据。其中空间数据提供使用者基础地理空间信息,是面向大众的,所提供的数据也必须是公开的。因为地图数据是受国家保护的一类特殊产品,因此面对需求,只能做到最大程度的共享,根据不同的用户层次控制好数据的尺度。非空间数据,是存在于各个应用部门内部的,供业务应用所需的数据,有的与空间数据相关,有的则不相关,大多都是保密的,由各个应用部门自己管理。
空间数据可以分为栅格数据与矢量数据两种,其中不同类型又具有多种数据格式,空间数据的这种异构性就造成了“信息孤岛”,这就在底层为实现地理信息服务设置了障碍,因此必须首先解决如何在网络环境中实现不同类型、不同格式之间的空间数据有效的共享与交互。
矢量数据的特点是结构紧凑,精度高、图形显示的质量好、便于空间分析,但是其结构复杂,不同格式间的矢量数据实现共享困难。栅格数据的特点是数据结构简单,像素阵列的形式与输出设备的显示机制相一致,输出方便快捷,易于计算机表达,在网络传输方面研究主要涉及栅格数据的压缩和网络的渐进传输,技术上相对比较成熟,只是在空间分析方面的功能支持显得不够。
非空间数据主要是提供给各个应用部门的内部使用的,主要是一些属性数据,包括用户信息数据、资源信息数据、审计信息数据、业务专用数据等。这些数据大多存放于通用类型的商用关系型数据库中,例如:Oracle、SQLServer、Access等,主要包括是文本、视频、音频和图片等数据,它们的网络传输可利用Web Services技术,功能上比较简单。
2.2 数据管理
大数据时代地理信息服务中数据管理可以分为空间数据管理与非空间数据管理,对于非空间数据而言,强大的数据库管理系统功能足以满足数据管理所需,以下内容主要讨论空间数据的管理问题,主要分为两种方式:文件方式和数据库方式。
目前,主流的空间数据管理的方式是数据库方式,主要又分为两种实现途径:①统一数据格式,与文件方式相类似,在数据库之上设置一个数据转换程序,将不同格式的数据转换到统一的数据格式上,在数据格式较少时,这种方法简单实用,但是一旦数据格式较多时,就造成了数据转换程序开发困难,并且在格式转换过程中还容易丢失信息,转换过程运行效率低。目前这种方式除了应用在极个别的地理信息服务场合外,很难推广应用。②空间数据引擎,利用服务器对外的统一的接口――空间数据引擎,将不同类型、不同格式的空间数据统一到一种标准格式上,要求这种标准格式应适应网络传输,与自身格式无关,当用户收到数据后,可以根据自己的请求将标准数据进行还原处理成自己所需的格式数据,是解决地理信息服务中空间数据有效共享的最佳方式,目前最常用的XML就是这种方式的典型代表。
2.3 网络传输
网络传输在地理信息服务中是最为主要的环节,大数据时代其实现的方式主要有:数据库、FTP、XML和底层设计开发等。其中数据库方式最为方便,一般各种大型的数据库开发商都会配套推出数据库的服务器端和客户端软件,通过在客户端的资源配置,建立起计算机之间的网络联系,实现空间数据的有效传输,但是这种方式对硬件设施的配置要求较高,并且组网也有特殊的要求。另外由于软件都是国外的,数据的安全也收到威胁。FTP方式是早期地理信息服务数据传输实现的方式之一,构建系统方便,通过网络共享与文件下载,实现空间数据的远距离调用,但是由于其服务器端功能较单一,对大数据量、多源、多比例尺空间数据的调用程序较难实现,且客户端与服务器端联系紧密,扩展性不强。
2.4 资源配置
在地理信息服务中,只要网络带宽一定,有效的配置网络资源是影响空间数据传输的主要因素。
因为网络环境较为复杂多样,所以地理信息服务在整体上要加入冗余机制,在服务框架下添加数据服务器、数据服务器、资源管理服务器与数据应用服务器的副本,满足服务平台在某几台服务器不能正常工作的情况下备份服务器的正常工作,确保系统的健壮性。另外在服务平台中,资源管理器的作用很重要,可以说资源管理器就是整个服务平台的神经中枢。
2.5 数据利用
在地理信息服务中进行数据传输,最终是要将可用的数据提供给用户,所以对数据的还原利用是服务的最后一步,也是影响服务质量的关键因素。随着地理信息服务的不断深入与发展,终端用户的设备已经从最初的普通台式机、笔记本发展到当前的PDA、智能手机等小型的终端设备。
3 三个标准化
综上所述,我们认为在地理信息服务中,对于数据的有效组织传输,可以归纳为三个标准化问题。
3.1 数据标准化
数据标准化是指在地理信息服务中,数据服务器端存放的数据可以是多源异构的,其对外的数据接口必须符合统一的格式标准。面向大众的通用地理信息服务平台,可以利用XML来传输数据,这样平台方便开发、容易扩展;在实现某个部门专用的服务功能时,可以使用从底层设计开发二进制传输格式,确保传输数据的独立性和安全性。数据的标准化解决了空间数据应用的根本问题。
3.2 通讯标准化
通讯标准化是指在地理信息服务中服务请求者与服务提供者之间的信息交流、传输实现有效、统一。地理信息服务中的网络通讯按照技术手段可分为有线通讯和无线通讯。按照通讯的目的不同,地理信息服务中的通讯还可分为请求通讯与服务通讯。通过请求通讯与服务通讯,确保了终端用户和服务器之间的有效连接,在设计通讯指令时,需要注意做到简单明了、易于处理和扩展。
4 结 语
综上所述,本文讨论的三个标准化问题概括起来实质也就是接口问题,可以认为是“共享接口”的具体化。在进行地理信息服务的设计开发时,我们应该重点把握好各个层次接口的标准化,才能够做到服务数据在网络上的快速有效传输。
参考文献
[1]吴利平,郭鑫胤,曲荣.地理信息共享和标准化问题的探讨[J].科技资讯.2009(20).23~24.
相关期刊
精品范文
10网络监督管理办法