兼容性范文10篇

摘要网络地址转换技术(NAT)与IPSec在因特网上都是得到广泛应用的技术，但是它们之间却是不兼容的。该文首先分别介绍了NAT和IPSec两种协议的基本原理，分析了两者的不兼容性，然后讨论了解决该问题必须满足的要求，最后给出了利用UDP封装法实现NAT透明穿透的解决方案。关键词IPSec;NAT;IKE;UDP封装1引言基于IP技术的虚拟专用网（VirtualProfessionalNetwork，简称VPN）是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展，越来越多大型企业利用互联网采用IPSec技术建立VPN网络，IPSec已逐渐成为VPN构建的主流技术。IP安全协议（IPSecurityProtocol，简称IPSec）是由互联网工程工业组（InternetEngineeringTaskForce，简称IETF）1998年底规划并制定的网络IP层标准。IPSec不仅可以为IP协议层以上所有的高层协议和应用提供一致性的安全保护，而且除了可用于IPv4之外，也可用于下一代IP协议IPv6。另外，NAT（NetworkAddressTranslation）技术通过改变进出内部网络的IP数据包的源和目的地址，把无效的内部网络地址翻译成合法的IP地址在Internet上使用。该技术一方面可以把私有IP地址隐藏起来，使外界无法直接访问内部网络，对内部网络起到保护作用；另一方面，它可以缓解由于IPv4先天设计上的不足，而导致的IP地址严重短缺的现状。但是，被广泛使用的网络地址转换（NAT）设备却制约着基于IPSec技术的VPN的发展，这是因为IPSec协议在VPN中承担保护传输数据的安全性任务。在数据传输过程中，任何对IP地址及传输标志符的修改，都被视作对该协议的违背，并导致数据包不能通过安全检查而被丢弃。但在VPN中运用NAT技术，则不可避免地要将私网地址映射为公网地址，即对IP地址要进行修改。因此，在VPN网络中如何使IPSec和NAT协同工作，实现NAT的透明穿透具有现实意义。2协议介绍2.1IPSecIPSec包括安全协议和密钥管理两部分。其中，AH和ESP是两个安全协议，提供数据源验证、面向无连接的数据完整性、抗重放、数据机密性和有限抗流量分析等安全任务。为了能够将相应的安全服务、算法和密钥应用于需要保护的安全通道，IPSec规定两个通信实体进行IPSec通信之前首先构建安全关联SA。SA规定了通信实体双方所需要的具体安全协议、加密算法、认证算法以及密钥。IKE提供了用来协商、交换和更新SA以及密钥的完整机制。IPSec定义了两种类型的封装模式——传输模式和隧道模式。传输模式只对IP分组应用IPSec协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPSec虚拟专用网VPN中。隧道模式中IPSec将原有的IP分组封装成带有新的IP报头的IPSec分组，这样原有的IP分组就被有效地隐藏起来了。隧道主要应用于主机到网关的远程接入的情况。2.2NATNAT能解决目前IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址或用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。3IPSec与NAT的不兼容性分析根据协议的定义，我们知道IPSec和NAT两个协议之间存在一定的不兼容性。其不兼容性主要有以下几种形式：1）NAT对AH的影响IPSecAH进行验证的时候，处理的是整个IP包，包括源地址和目的地址。如果IPSec通信双方存在NAT设备，NAT设备就会修改外层IP包头的源地址并修改其校验和，这样接收方会因认证失败而丢弃该包。2）NAT对ESP的影响TCP/UDP校验和地计算涉及一个虚构的IP包头，该包头含有IP源和目的地址。因此，当NAT设备改变IP地址时也需要更新IP头和TCP/UDP校验和。如果采用ESP传输模式，IP包经过NAT设备时，NAT设备修改了IP包头，但是TCP/UDP校验和由于处于加密负载中而无法被修改。这样，该信包经过IPSec层后将因为TCP协议层的校验和的错误而被丢弃。另外，由于TCP/UDP校验和只与内层原始IP包头有关，外层IP包头的修改并不对其造成影响，因此采用ESP隧道模式和仅静态或动态NAT的情况下不存在TCP校验和的问题。但是，在NAPT情况下，因为NAPT需要TCP/UDP端口来匹配出入信包，而端口号受到ESP加密保护，所以ESP分组通信将会失败。3）NAT对IKE的影响IKE主模式与快速模式中如果使用IP地址作为身份信息，经过NAT后，会导致IKE协商的失败。IKE协议使用固定目的端口500，当NAPT设备后的多个主机向同一响应者发起SA协商时，为了实现多路分发返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，响应者应该能处理端口号并非500的IKE协商请求，但往往NAPT对UDP端口的映射很快会被删除，再协商的过程就将出现一些不可预见的问题，很容易导致NAPT设备无法将协商包送到正确的目的地。综上所述，IPSec组件的支持能力从表1中可以看出，只有在隧道模式和地址转换情况下才可以实现IPSec数据流的NAT穿越。这一方法既降低了IPSec协议的安全性，又限制了NAT的工作方式，因此在实际应用中可行度较差。4IPSec与NAT的兼容性要求在现有的条件下，为了推动基于IPSec的VPN的发展，IPSec和NAT兼容性解决方案需要满足下列要求：1）可部署性IPSec和NAT兼容性解决方案作为一个过渡的解决办法必须比IPv6易于部署。应该只需修改主机，无需改变路由器，在短时间内能与现存的路由器和NAT产品协同工作。2）远程访问IPSec的一个重要应用是远程访问公司的内部网络。NAT穿越方案必须考虑远程客户端与VPN网关之间存在多个NAT的情况。3）防火墙兼容性IPSec和NAT兼容性方案应该避免对IKE或IPSec目的端口的动态分配，使防火墙管理员进行简单的配置，就可以控制穿越NAT的IPSec数据流。4）可扩展性IPSec和NAT兼容性方案应具有良好的扩展性，必须保证在大规模远程访问的环境中，在大量远程接入的环境下，同一时间段多个主机和远程安全网关建立连接。5）后向兼容性IPSec和NAT兼容性方案中必须能与已有的IPSec实现互操作。穿越方案应该能自动检测是否存在NAT，能判断通信对方的IKE实现是否支持NAT穿越。6）安全性IPSec和NAT兼容性解决方案的引入必须保证不得带来新的安全漏洞。5利用UDP封装法实现NAT的穿透本文中的解决方案是采用UDP封装法实现NAT的透明穿透，不需要修改现有的NAT网关和路由器。所以该方案具有简单且易于实现的优点，缺点是由于添加了一个UDP报文头，而加大了带宽开销，但相对于目前持续扩大的传输带宽来说，这个UDP报文头的带宽开销可以忽略不计。下面详细讨论其原理和实现过程。5.1封装格式UDP封装法是在原有的IP包的IP头和AH/ESP的数据之间再封装一个UDP头，这样封装后的数据包端口值对NAT可见，就可以正确的实现端口转换。UDP封装格式如图1所示。UDP封装格式另外，由于IKE已经使用了UDP的500端口，为了简化配置和避免多个端口带来的安全隐患，UDP封装的ESP也使用该端口。这样就需要采取一定的方法来区分端口500的数据包是IKE消息还是UDP封装的ESP。为了区分两者，我们采用在IKE报头添加Non-ESP标记。在确定存在一个中间NAT之后，支持IPSecNAT-T的对话方开始使用新的IKE报头。5.2IKE协商过程IPSec通信实体双方是否采用UDP封装取决于对话对方是否支持该方法以及是否存在NAT设备，这个过程通过IKE协商来完成。在IKE协商过程中增添了新的NAT-D和NAT-OA有效载荷和以及UDP通道类型。1）新的NAT-Discovery(NAT-D)有效载荷这个新的有效载荷包含一个散列值，它整合了一个地址和端口号。在主模式协商期间，即IKE协商第一阶段第三、四条消息中，IPSec对话方包括两个NAT-Discovery有效载荷——一个用于目标地址和端口，另一个用于源地址和端口。接收方使用NAT-Discovery有效载荷来发现NAT之后是否存在一个经NAT转换过的地址或端口号，并基于被改变的地址和端口号来确定是否有对话方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效载荷：这个新的有效载荷包含IPSec对话方的原始地址。对于UDP封装的ESP传输模式，每个对话方在快速模式协商期间发送NAT-OA有效载荷。接收方将这个地址存储在用于SA的参数中。3）用于UDP封装的ESP传输模式和隧道模式的新的封装模式这两种新的封装模式是在快速模式协商期间指定的，用于通知IPSec对话方应该对ESP使用UDP封装。5.3地址通告和Keepalive包由于用UDP来封装IPSec分组的思想只解决了NAPT设备不支持AH和ESP通信的问题。例如TCP校验和错误、UDP端口映射的保持等问题还需要辅助方法来解决。为保证校验和正确无误，通信双方需将自身的原始IP地址和端口发送给对方，即实现地址通告。地址通告的实现通过IKE第二阶段的前两条消息中的NAT-OA有效载荷。因为NAT-OA有效载荷中包含IPSec对话方的原始地址，为此，接收方就拥有了检验解密之后的上层校验和所需的信息。消息发起者在NAT中创建了一个UDP端口映射，它在初始主模式和快速模式IKE协商期间使用。然而，NAT中的UDP映射通常超过一定时间没用就会被删除掉。如果响应者随后向发起者发送IKE消息却没有提供UDP端口映射，那么这些消息将被NAT丢弃。这个问题的解决办法是通过定期发送Keepalive包，用于后续IKE协商和UDP封装的ESP的UDP端口映射同时在NAT中得到刷新，从而保证通信的正常运行。6结束语IPSec作为网络层的安全协议，目前的应用越来越广泛,已成为构建VPN的基础协议之一。而由于IPv6取代IPv4将是一个漫长的过程，NAT设备的广泛存在极大地限制了IP层安全协议IPSec的推广，因此在目前的条件下，UDP封装方法无疑是一种在当前环境下无需修改NAT网关和路由器、简单可接受的解决IPSec和NAT兼容性的方法，具有一定的现实意义。但是该方案还不完善，有待进一步讨论和研究。参考文献[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

摘要网络地址转换技术(NAT)与IPSec在因特网上都是得到广泛应用的技术，但是它们之间却是不兼容的。该文首先分别介绍了NAT和IPSec两种协议的基本原理，分析了两者的不兼容性，然后讨论了解决该问题必须满足的要求，最后给出了利用UDP封装法实现NAT透明穿透的解决方案。关键词IPSec;NAT;IKE;UDP封装1引言基于IP技术的虚拟专用网（VirtualProfessionalNetwork，简称VPN）是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展，越来越多大型企业利用互联网采用IPSec技术建立VPN网络，IPSec已逐渐成为VPN构建的主流技术。IP安全协议（IPSecurityProtocol，简称IPSec）是由互联网工程工业组（InternetEngineeringTaskForce，简称IETF）1998年底规划并制定的网络IP层标准。IPSec不仅可以为IP协议层以上所有的高层协议和应用提供一致性的安全保护，而且除了可用于IPv4之外，也可用于下一代IP协议IPv6。另外，NAT（NetworkAddressTranslation）技术通过改变进出内部网络的IP数据包的源和目的地址，把无效的内部网络地址翻译成合法的IP地址在Internet上使用。该技术一方面可以把私有IP地址隐藏起来，使外界无法直接访问内部网络，对内部网络起到保护作用；另一方面，它可以缓解由于IPv4先天设计上的不足，而导致的IP地址严重短缺的现状。但是，被广泛使用的网络地址转换（NAT）设备却制约着基于IPSec技术的VPN的发展，这是因为IPSec协议在VPN中承担保护传输数据的安全性任务。在数据传输过程中，任何对IP地址及传输标志符的修改，都被视作对该协议的违背，并导致数据包不能通过安全检查而被丢弃。但在VPN中运用NAT技术，则不可避免地要将私网地址映射为公网地址，即对IP地址要进行修改。因此，在VPN网络中如何使IPSec和NAT协同工作，实现NAT的透明穿透具有现实意义。2协议介绍2.1IPSecIPSec包括安全协议和密钥管理两部分。其中，AH和ESP是两个安全协议，提供数据源验证、面向无连接的数据完整性、抗重放、数据机密性和有限抗流量分析等安全任务。为了能够将相应的安全服务、算法和密钥应用于需要保护的安全通道，IPSec规定两个通信实体进行IPSec通信之前首先构建安全关联SA。SA规定了通信实体双方所需要的具体安全协议、加密算法、认证算法以及密钥。IKE提供了用来协商、交换和更新SA以及密钥的完整机制。IPSec定义了两种类型的封装模式——传输模式和隧道模式。传输模式只对IP分组应用IPSec协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPSec虚拟专用网VPN中。隧道模式中IPSec将原有的IP分组封装成带有新的IP报头的IPSec分组，这样原有的IP分组就被有效地隐藏起来了。隧道主要应用于主机到网关的远程接入的情况。2.2NATNAT能解决目前IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址或用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。3IPSec与NAT的不兼容性分析根据协议的定义，我们知道IPSec和NAT两个协议之间存在一定的不兼容性。其不兼容性主要有以下几种形式：1）NAT对AH的影响IPSecAH进行验证的时候，处理的是整个IP包，包括源地址和目的地址。如果IPSec通信双方存在NAT设备，NAT设备就会修改外层IP包头的源地址并修改其校验和，这样接收方会因认证失败而丢弃该包。2）NAT对ESP的影响TCP/UDP校验和地计算涉及一个虚构的IP包头，该包头含有IP源和目的地址。因此，当NAT设备改变IP地址时也需要更新IP头和TCP/UDP校验和。如果采用ESP传输模式，IP包经过NAT设备时，NAT设备修改了IP包头，但是TCP/UDP校验和由于处于加密负载中而无法被修改。这样，该信包经过IPSec层后将因为TCP协议层的校验和的错误而被丢弃。另外，由于TCP/UDP校验和只与内层原始IP包头有关，外层IP包头的修改并不对其造成影响，因此采用ESP隧道模式和仅静态或动态NAT的情况下不存在TCP校验和的问题。但是，在NAPT情况下，因为NAPT需要TCP/UDP端口来匹配出入信包，而端口号受到ESP加密保护，所以ESP分组通信将会失败。3）NAT对IKE的影响IKE主模式与快速模式中如果使用IP地址作为身份信息，经过NAT后，会导致IKE协商的失败。IKE协议使用固定目的端口500，当NAPT设备后的多个主机向同一响应者发起SA协商时，为了实现多路分发返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，响应者应该能处理端口号并非500的IKE协商请求，但往往NAPT对UDP端口的映射很快会被删除，再协商的过程就将出现一些不可预见的问题，很容易导致NAPT设备无法将协商包送到正确的目的地。综上所述，IPSec组件的支持能力从表1中可以看出，只有在隧道模式和地址转换情况下才可以实现IPSec数据流的NAT穿越。这一方法既降低了IPSec协议的安全性，又限制了NAT的工作方式，因此在实际应用中可行度较差。4IPSec与NAT的兼容性要求在现有的条件下，为了推动基于IPSec的VPN的发展，IPSec和NAT兼容性解决方案需要满足下列要求：1）可部署性IPSec和NAT兼容性解决方案作为一个过渡的解决办法必须比IPv6易于部署。应该只需修改主机，无需改变路由器，在短时间内能与现存的路由器和NAT产品协同工作。2）远程访问IPSec的一个重要应用是远程访问公司的内部网络。NAT穿越方案必须考虑远程客户端与VPN网关之间存在多个NAT的情况。3）防火墙兼容性IPSec和NAT兼容性方案应该避免对IKE或IPSec目的端口的动态分配，使防火墙管理员进行简单的配置，就可以控制穿越NAT的IPSec数据流。4）可扩展性IPSec和NAT兼容性方案应具有良好的扩展性，必须保证在大规模远程访问的环境中，在大量远程接入的环境下，同一时间段多个主机和远程安全网关建立连接。5）后向兼容性IPSec和NAT兼容性方案中必须能与已有的IPSec实现互操作。穿越方案应该能自动检测是否存在NAT，能判断通信对方的IKE实现是否支持NAT穿越。6）安全性IPSec和NAT兼容性解决方案的引入必须保证不得带来新的安全漏洞。5利用UDP封装法实现NAT的穿透本文中的解决方案是采用UDP封装法实现NAT的透明穿透，不需要修改现有的NAT网关和路由器。所以该方案具有简单且易于实现的优点，缺点是由于添加了一个UDP报文头，而加大了带宽开销，但相对于目前持续扩大的传输带宽来说，这个UDP报文头的带宽开销可以忽略不计。下面详细讨论其原理和实现过程。5.1封装格式UDP封装法是在原有的IP包的IP头和AH/ESP的数据之间再封装一个UDP头，这样封装后的数据包端口值对NAT可见，就可以正确的实现端口转换。UDP封装格式如图1所示。端口，为了简化配置和避免多个端口带来的安全隐患，UDP封装的ESP也使用该端口。这样就需要采取一定的方法来区分端口500的数据包是IKE消息还是UDP封装的ESP。为了区分两者，我们采用在IKE报头添加Non-ESP标记。在确定存在一个中间NAT之后，支持IPSecNAT-T的对话方开始使用新的IKE报头。5.2IKE协商过程IPSec通信实体双方是否采用UDP封装取决于对话对方是否支持该方法以及是否存在NAT设备，这个过程通过IKE协商来完成。在IKE协商过程中增添了新的NAT-D和NAT-OA有效载荷和以及UDP通道类型。1）新的NAT-Discovery(NAT-D)有效载荷这个新的有效载荷包含一个散列值，它整合了一个地址和端口号。在主模式协商期间，即IKE协商第一阶段第三、四条消息中，IPSec对话方包括两个NAT-Discovery有效载荷——一个用于目标地址和端口，另一个用于源地址和端口。接收方使用NAT-Discovery有效载荷来发现NAT之后是否存在一个经NAT转换过的地址或端口号，并基于被改变的地址和端口号来确定是否有对话方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效载荷：这个新的有效载荷包含IPSec对话方的原始地址。对于UDP封装的ESP传输模式，每个对话方在快速模式协商期间发送NAT-OA有效载荷。接收方将这个地址存储在用于SA的参数中。3）用于UDP封装的ESP传输模式和隧道模式的新的封装模式这两种新的封装模式是在快速模式协商期间指定的，用于通知IPSec对话方应该对ESP使用UDP封装。5.3地址通告和Keepalive包由于用UDP来封装IPSec分组的思想只解决了NAPT设备不支持AH和ESP通信的问题。例如TCP校验和错误、UDP端口映射的保持等问题还需要辅助方法来解决。为保证校验和正确无误，通信双方需将自身的原始IP地址和端口发送给对方，即实现地址通告。地址通告的实现通过IKE第二阶段的前两条消息中的NAT-OA有效载荷。因为NAT-OA有效载荷中包含IPSec对话方的原始地址，为此，接收方就拥有了检验解密之后的上层校验和所需的信息。消息发起者在NAT中创建了一个UDP端口映射，它在初始主模式和快速模式IKE协商期间使用。然而，NAT中的UDP映射通常超过一定时间没用就会被删除掉。如果响应者随后向发起者发送IKE消息却没有提供UDP端口映射，那么这些消息将被NAT丢弃。这个问题的解决办法是通过定期发送Keepalive包，用于后续IKE协商和UDP封装的ESP的UDP端口映射同时在NAT中得到刷新，从而保证通信的正常运行。6结束语IPSec作为网络层的安全协议，目前的应用越来越广泛,已成为构建VPN的基础协议之一。而由于IPv6取代IPv4将是一个漫长的过程，NAT设备的广泛存在极大地限制了IP层安全协议IPSec的推广，因此在目前的条件下，UDP封装方法无疑是一种在当前环境下无需修改NAT网关和路由器、简单可接受的解决IPSec和NAT兼容性的方法，具有一定的现实意义。但是该方案还不完善，有待进一步讨论和研究。参考文献[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

AbstractThispaperconsistsoffourparts:(1)compatibility;(2)simplification;(3)reflections

oncompatibilityandsimplification;(4)conclusion.TheauthorholdsthatChinesegrammaticalstruc

turesrevealatendencyofsimplificationinformandatendencyofcompatibilityinsemanticimpl

ication.Simplificationsandcompatibilityareinterdependentinaccordancewithpragmaticprincip

les.

本文讨论汉语语法结构，用的是现代汉语的语料。

摘要网络地址转换技术(NAT)与IPSec在因特网上都是得到广泛应用的技术，但是它们之间却是不兼容的。该文首先分别介绍了NAT和IPSec两种协议的基本原理，分析了两者的不兼容性，然后讨论了解决该问题必须满足的要求，最后给出了利用UDP封装法实现NAT透明穿透的解决方案。

关键词IPSec;NAT;IKE;UDP封装

1引言

基于IP技术的虚拟专用网（VirtualProfessionalNetwork，简称VPN）是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展，越来越多大型企业利用互联网采用IPSec技术建立VPN网络，IPSec已逐渐成为VPN构建的主流技术。IP安全协议（IPSecurityProtocol，简称IPSec）是由互联网工程工业组（InternetEngineeringTaskForce，简称IETF）1998年底规划并制定的网络IP层标准。IPSec不仅可以为IP协议层以上所有的高层协议和应用提供一致性的安全保护，而且除了可用于IPv4之外，也可用于下一代IP协议IPv6。

另外，NAT（NetworkAddressTranslation）技术通过改变进出内部网络的IP数据包的源和目的地址，把无效的内部网络地址翻译成合法的IP地址在Internet上使用。该技术一方面可以把私有IP地址隐藏起来，使外界无法直接访问内部网络，对内部网络起到保护作用；另一方面，它可以缓解由于IPv4先天设计上的不足，而导致的IP地址严重短缺的现状。

但是，被广泛使用的网络地址转换（NAT）设备却制约着基于IPSec技术的VPN的发展，这是因为IPSec协议在VPN中承担保护传输数据的安全性任务。在数据传输过程中，任何对IP地址及传输标志符的修改，都被视作对该协议的违背，并导致数据包不能通过安全检查而被丢弃。但在VPN中运用NAT技术，则不可避免地要将私网地址映射为公网地址，即对IP地址要进行修改。因此，在VPN网络中如何使IPSec和NAT协同工作，实现NAT的透明穿透具有现实意义。

摘要：简要介绍了通信开关电源的电磁兼容性要求、国内外标准、电磁兼容性的成因、研究解决方法及国内通信开关电源的电磁兼容性现状。

关键词：通信开关电源电磁兼容性标准

1引言

通信开关电源因具有体积小、重量轻、效率高、工作可靠、可远程监控等优点，而广泛应用于程控交换、光数据传输、无线基站、有线电视系统及IP网络中，是信息技术设备正常工作的动力核心。

随着信息技术的发展，信息技术设备遍布大江南北，从发达的中心城市至偏远山区，为人与人之间的沟通交流及信息传输提供了极大的便利。由于城乡间的差异，通信设备的供电网既有稳定的大电网供电方式，也有独立的小水电供电方式。在小水电站供电方式下，因水量的变化、用户用电量的变化较大及发电设备工作的不稳定，造成电网波形失真严重及电压波动大，同时因配电系统的接线不规范，对通信用开关电源形成了严峻的考验。

铁路通信及电力通信正在发展壮大。由于电力机车经过之处，产生很强的感应电压，使地线电压产生很大的波动，从而引起电网电压的很大波动，强大的电场容易引起开关电源设备工作的瞬时不稳定。在高压电网附近运行的通信开关电源，虽然电网电压稳定，但容易受电网负载变化等引起的强电磁场的干扰影响。

摘要：系统地分析了TOPSwitchⅡ系列开关电源产生噪声的主要原因及产生噪声的回路和部件，给出了相应的抗干扰措施，从而提高了开关电源的电磁兼容性。

关键词：开关电源噪声电磁兼容性

TOPSwitchⅡ开关电源具有单片集成化、外围电路简单、效率高的优点，在大多数的电子设备中得到了广泛的应用。然而，开关电源自身产生的各种噪声却形成了一个很强的电磁干扰源。这些干扰随着开关频率的提高、输出功率的增大而明显地增强，对电子设备的正常运行构成了潜在的威胁；同时，一些国家对此也有严格的指标，不能满足者将被拒之门外。本文以美国PI公司TOPSwitchⅡ系列为例，介绍开关电源的电磁干扰及其抑制。

1开关电源产生噪声的原因

开关电源工作在高频、高压、大电流开关状态，并以开和关的时间比来控制输出电压的高低。TOPSwitchⅡ系列器件工作频率为100kHz，电源线路内的dv/dt很大，产生的各种噪声通过电源线以共模或差模方式向外传导，同时还向周围空间辐射噪声。图1给出了一种典型TOPSwitchⅡ系列的开关电源电路图，下面以此为例分析其产生噪声的主要原因。

1.1电源一次侧回路的噪声

摘要：本文的主要结论为财务数据是中小企业会计电算化推进过程中的重点建设方面，通过“云+端”服务增强数据安全建设；中小企业应顺应时展潮流积极由“核算型”向“管理型”转型，实现财务会计和管理会计有机结合的全面会计电算化；加大对复合型人才的培养力度，只有人才的充实才能切实地解决现在所存在的问题并强力地推动中小企业会计电算化的发展。

关键词：会计电算化；兼容性；复合型人才；中小企业

一、会计电算化兼容方面存在问题

（一）各类财会软件兼容性差

目前，企业所使用的财会软件都来自于以下三种方式：1、直接外购，成本费用低，售后服务质量较好，但可行性不足，不一定能满足企业会计办公所需；2、自行开发，在一定程度上能够满足企业实际业务所需、便于维护及技术升级，但内部保密安全性存在风险，要有一定技术实力作支撑；3、委托第三方机构开发，能够满足企业办公所需，从业人员能得到培训与学习，但开发成本偏高，技术维护困难。综上而论，中小企业选择直接外购比较现实可行，而且我国大部分的中小企业现阶段都采取第一种方式：直接向第三方开发商购买。部分公司的整个发展历程中，其财会软件的选择相当杂乱，速达、金算盘、博科、久其、管家婆、浪潮等软件基本都用过，但随着企业的发展至多进行硬件的更新而忽略软件平台的更新，而开发商都强调突出自己软件的特点，几乎绝大部分财会软件不兼容。更有甚者，同一软件的财务系统往往也具有兼容性弱的缺陷。各个财会软件公司缺乏沟通，政府也没有统一规划，没有形成统一性的数据接口，造成数据共享难。

（二）软件难以正常使用

摘要：作为网络经济主要运作模式的电子商务,突出地体现了网络经济的典型特征———融合。本文在分析网络经济融合以及电子商务的各种特征的基础上,就如何将融合理念贯穿于企业经营管理的整个过程提出了若干具体思路。

关键词：网络经济融合电子商务

随着计算机网络技术的飞速发展,网络化和全球化已成为不可抗拒的世界潮流。网络经济正渐渐取代传统的工业经济,人类社会正在迈向网络经济时代,而电子商务则成为这个新经济时代的热点。

一、融合是网络经济的典型特征

比较工业经济和网络经济这两种经济的生产力发展方向,就会清楚地看到:前者的生产力发展总方向是“分化”,在分工产生财富的同时,造成生产与消费的分离,形成“迂回经济”;而后者的生产力发展总方向则相反,它借助网络使生产与消费“融合”在一起,通过产消融合造就财富,形成“直接经济”。这种生产与消费的融合是通过技术融合、功能融合乃至产业与社会的融合而实现的。

(一)技术融合。融合首先起源于技术革命,突出表现在现代通讯技术与计算机技术的结合。计算机在通讯设备中的应用,使通讯系统更加先进、可靠和方便;而计算机之间的通信又有赖于通信网的支持,二者融合的结果,诞生了“信息高速公路”。它第一次使信息真正成为与工业力量对等的力量。与此同时随着“网络作为电脑的外围”逐步转向“电脑成为网络的终端”,演绎出现代通信的时代意义:通信不只是作为信息传递的手段,它还能在信息存储和转换、处理和收发等方面扩展着自身的功能,现代通信技术已成为信息技术的主导和基质。现代通信的内涵就是信息网,它使得通信网与计算机应用技术的分界越来越模糊。

一、制度兼容、演进与经济绩效

正式制度的目标取向与组织中个人的利益偏好是否一致决定了正式和非正式制度是否兼容，两者的兼容与否决定了组织和经济运行的交易成本，而交易成本的大小最终决定了经济绩效的影响，主要通过激励、监督费用和强化成本三方面进行。一是当一个组织的正式规则与子群体中的成员的偏好和利益一致时，将会大大提高组织的经济绩效。组织中的成员受到一种自我激励，这种激励通过正式制度的确立而更加明确。而当博弈的正式和非正式的规则一致时，它们将相互强化。非正式与正式约束的一致性将导致较低的交易成本，因为监督和强化机能以一种非正式的方式取得预期的效果。二是当一个组织的正式规则与子群体中成员的偏好和利益有较大差异时，这种不一致性导致较低的绩效。因为首先，对立的规则与规范使经济行为者无所适从，缺乏激励。其次，由于组织目标与个人的利益偏好不一致，不能使个人自觉为组织的目标工作，监督成本高，从而导致正式制度的形式化、组织的冲突和摩擦。

用进化博弈论的方法研究制度演进中的兼容性问题的结论：一是进化过程不一定带来最佳的传统和制度。由于社会的历史初期条件的原因，最佳反应动力的结果难以从帕累托劣势的社会传统中摆脱出来，即社会体制进化的路径依赖性。二是与正式制度相比，非正式制度的变迁更具演进特点。且正式制度和非正式制度的变迁受不同之手——“刘易斯之手”和“斯更努之手”的指引。前者是指通过理性的共同知识、主观的认识和批判，来预设和推动制度的变化；后者指人们只通过他们过去的行为观察到其获得的效用，并强化好的行为或继承坏的行为。因此，在制度演进过程中仍可能出现正式制度与非正式制度的不一致。进化博弈论给出关于克服路径依赖，实现制度演进中的制度兼容的解决之道：一是通过引入较系统的突然变异，使社会脱离原有的低水平的均衡；二是通过政府政策性介入，将人们的行动转换到更高支付的战略上；三是积极促进低水平均衡的社会与具有不同习惯的高水平均衡的社会交流，提高原社会形成更佳习惯的可能性。据此达到新制度的正式制度和非正式制度在较高水平上的兼容，并使两者以一种非正式制度的形成达到自我强化，通过互动强化，使两者结合得更加紧密，造成一种报酬递增的机制，从而降低交易费用，提高经济绩效。（见表1）

总之，在其他条件相同的条件下，如果正式制度与非正式制度一致，则无论是从激励角度还是从约束角度所需的交易成本都较低，从而导致较高的经济绩效；反之则相反。

二、WTO规则与特区制度兼容、经济绩效

加入WTO，中国面临WTO规则与中国现存制度的兼容问题。提高制度的兼容性，增强整个制度的经济绩效已成为当务之急，即使中国的经济特区也不例外。

摘要：本文全面地论述了电子设备的电磁兼容性问题。比较详细地分析了干扰源、干扰的传递途径，并介绍了有效抑制和防止干扰的各种措施及其原理。

关键词：电子设备电磁兼容性干扰源有效抑制

1引言

随着电子技术的迅速发展，现代的电子设备已广泛地应用于人类生活的各个领域。当前，电子设备已处于飞速发展的时期，并且这个发展过程仍以日益增长的速度持续着。电子设备的广泛应用和发展，必然导致它们在其周围空间产生的电磁场电平的不断增加。也就是说，电子设备不可避免地在电磁环境（EME）中工作。因此，必须解决电子设备在电磁环境中的适应能力。电磁兼容性（EMC）是一门关于抗电磁干扰（EMI）影响的科学。目前，就世界范围来说，电磁兼容性问题已经形成一门新的学科。电磁兼容的中心课题是研究控制和消除电磁干扰，使电子设备或系统与其它设备联系在一起工作时，不引起设备或系统的任何部分的工作性能的恶化或降低。一个设计理想的电子设备或系统应该既不辐射任何不希望的能量，又应该不受任何不希望有的能量的影响。

2电磁干扰源的分类

各种形式的电磁干扰是影响电子设备电磁兼容性的主要因素，因此，它是电磁兼容性设计中需要研究的重要内容。