实现原理

关键词:

实现原理(精选十篇)

实现原理 篇1

一直以来,人们对纸质文件主要是通过手写签名或印章来验证其有效性。但随着IT技术的发展,电子文档将逐步代替纸质的文件成为信息交流的主体。证明某一个电子文件是某作者所作的有效办法是模拟普通的手写签名在电子文档上进行电子签名,作者可以通过数字签名表明目己的身份,读者可以通过数字签名验证作者的身份。

电子邮件是互联网上最重要的应用之一,传统的电子邮件都是明文传输,并且发送方可以轻松地伪造自己的身份。随着电子邮件的应用扩展到各种信息敏感领域,电子邮件的内容保密和发送方身份确认的重要性便逐步凸现出来。数字签名能很好地解决电子邮件的身份确认问题。

电子商务是互联网上发展最快的应用方向,而重要的商务信息具有敏感性和保密性,所以通常的商务信息在传输中要进行加密,同时,为了进一步防止欺骗性的篡改,数字签名是必不可少的。

2 数字签名原理及作用

数字签名是指附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性,并保护数据,防止被人进行伪造。签名机制的本质特征是该签名只有通过签名者的私有信息才能产生,也就是说,一个签名者的签名只能唯一地由他自己产生。

数字签名方案由签署算法和验证算法组成,可以用五元组[P,A,K,S,V]表示。其中,P表示一切可能的消息;A表示一切可能的签名集合;K表示有限密钥空间;S表示签名算法;V表示验证算法。

签署流程:对于给定的k,有Sigk∈S,Sigk:P->A,对于任意x∈P,有s=Sigk(x),其中(x,s)发给签名验证者。

验证流程:验证方有验证算法Verk,V满足Verk:P->{真,假};收到(x,s)后计算Verk(x,y),若y=Sigk(x),则Verk(x,y)为真,否则为假。

其中:任意k∈K,Sigk和Verk多项式时间函数;Verk为公开的函数,Sigk为私密函数。

公钥体系加密和数字签名的差异:

1)公钥加密,发送方用接收方的公钥进行信息加密;接收方用其私钥进行信息解密;

2)数字签名:发送方用其私钥对信息进行加密;接收方用发送方的公钥进行信息解密,从而确认信息的发送者身份。

数字签名提供了一种安全的保障数据完整性和真实性的机制,可以检验数据从数据源到目的地的传输过程中是否被篡改以及数据的真实来源。因此,它能够下面的问题:

1)身份认证:收方通过发送方的数字签名确认发送方的身份;

2)保密性:保证信息不被第三方知晓;

3)完整性:保证信息无法被篡改;

4)不可抵赖:签发人一旦签发,就不能再否认。

3 签名算法

由于公钥体系受计算速度的制约,直接使用公钥体制对大文件进行数字签名是不可行的,通常的办法是引入摘要函数(如Hash函数、散列函数),下面对几种常用数字签名算法进行论述并比较。

1)RSA数字签名算法

产生签名与验证参数:

a)签名人A选择两个大素数p、q,计算n=pq及fi(n)=(p-1)(q-1);

b)寻找e、d属于Zn使满足(e,fi(n)=1及ed=1(mod fi(n));

c)公开验证参数{n,e},A保存{p,q,d,fi(n)}作为秘密的签名参数;

d)选用一通用的散列函数h()。

签名算法:

a)A将需签名的文件m(含接收人、内容、签名人、日期等)编码后映射成h(m);

b)计算c1=(h(m))的d次方mod p,c2=(h(m))的d次方mod q及签名Sa(m)=(c1q1q+c2p1p)mod n,其中q1q=1 mod p,p1p=1 mod q;

c)将{m,Sa(m)}发送至文件接收人B或仲裁人T(A、B、T的含义下同)。

验证算法:

B(或T)检验(Sa(m))的e次方=h(m)mod n是否成立,若成立则接收此文件及签名,否则拒绝接收或宣布无效。

2)Rabin数字签名算法

产生签名与验证参数:

a)A选择两个大素数p、q,并计算n=pq;

b)公开验证参数n,A保存{p,q}作为秘密的签名参数;

c)选用一通用的散列函数h()。

签名算法:

a)A将需签名的文件m编码后映射成h(m),选取a=bh(m)使满足(a/p)=(b/q)=1,b属于{1,-1,2,-2},其中(/)为Legendre符号;

b)计算c1=+a的(p+1)/4次方mod p,c2=+a的(q+1)/4次方mod q及签名Sa(m)=(c1q1q+c2p1p)mod n。其中c1、c2固定一种取法,p1、p2满足q1q=1 mod p,p1p=1 mod q;

c)将{m,Sa(m),b}发送至B或T。

验证算法:

B(或T)检验(Sa(m))的二次方=bh(m)mod n是否成立,若成立则接收此文件及签名,否则拒绝接收或宣布无效。

3)DSS数字签名算法

产生签名与验证参数:

a)A选择一个大素数p,p-1应具有大素数因子q,选择一个g属于Zp使g的次数为q,选择一个x属于Zp,并计算y=g的x次方mod p;

b)公开验证参数{p,q,g,y),A保存{x}作为秘密的签名参数;

c)选用一通用的散列函数h()。

签名算法:

a)A将需签名的文件m编码后映射成h(m),任意选择k属于Zp,计算k的-1次方使k的-1次方k=1 mod q;

b)计算r=(g的k次方mod p)mod q及s=k的-1次方(h(m)+xr)mod q;

c)将{m,r,s)发送至B或T。

验证算法:

a)B(或T)先计算u=h(m)s的-1次方mod q及v=rs的-1次方mod q;

b)检验(g的u次方y的v次方mod p)mod q=r是否成立,若成立则接收此文件及签名,否则拒绝接收或宣布无效。

4 数字签名的实现

利用微软的数字签名工具可以实现测试版本的数字签名,对正式对外颁发的软件进行数字签名首先要向证书颁发机构提出请求并获得软件发行证书。为此,必须生成一个密匙对并向证书颁发机构提供标识信息(如名字、地址和公匙),同时还必须作出在法律上具有约束力的保证,保证不能也不会分发含有病毒或将以其他方式恶意损害用户的计算机或代码的软件。

在命令行模式下,微软数字签名工具使用方法如下:

1)创建用于数字签名的公钥和私钥对,并将其存储在证书文件中。

输入命令“makecert-sv Test.pvk-n"CN=Tester"-ss My-r-b 01/01/1900-e 01/01/9999”

其中:

-sv Test.pvk私匙文件名Test.pvk;

-n"CN=Tester"其中的"Tester"就是签名中显示的证书所有人的名字;

-ss My指定生成后的证书保存在个人证书中;

-r证书是自己颁发给自己的;

-b/-e证书的有效期,格式为月/日/年,最低为1900年;

2)创建发行者证书(SPC)

输入命令:“cert2spc c:test.cer c:test.spc”,在C:盘生成证书文件

发行者证书测试工具通过一个或多个X.509证书创建发行者证书(SPC)。Cert2spc.exe仅用于测试目的。可以从证书颁发机构(如VeriSign或Thawte)获得有效的SPC。

3)对文件进行签名

输入命令:“signcode/spc c:test.spc/k TEST c:Test.exe”,已经成功对Test.exe文件签名。可以通过文件的属性查看数字签名。

5 结束语

本文首先简要介绍了数字签名的原理、过程及相关技术,在此基础上介绍了微软数字签名工具的使用并实现签名系统。随着Internet技术和安全技术的发展和完善,数字签名作为信息安全的一项重要技术将得到越来越广泛的应用。

摘要:计算机和网络技术的迅猛发展使信息化成为现实的同时,也引入了信息安全问题。数字签名技术在身份认证、数据完整性等方面具有其它技术所无法替代的作用,在信息安全领域得到广泛的应用。本文先介绍了数字签名技术的相关背景,接着系统介绍了数字签名的原理及其相关技术,最后通过数字签名的实现例子使读者能深刻理解其实现原理和过程。

关键词:数字签名,加密技术,认证安全

参考文献

[1]张先红.数字签名原理及技术[M].北京:机械工业出版社,2004.

[2]王尚平,王育民,张亚玲,等.基于DSA及RSA的证实数字签名方案[J].软件学报,2003,14(3):588.

[3]Stallings W.密码编码学与网络安全:原理与实践[M].3版.北京:电子工业出版社,2004.

防火墙的概念原理与实现 篇2

近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了,但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称……

到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(FireWall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字――“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。

防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。

二. 防火墙的分类

世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。

在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文,NDIS直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管NDIS接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。

软件防火墙工作于系统接口与NDIS之间,用于检查过滤由NDIS发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。

硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。

硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备,这里又另外派分出两种结构,一种是普通硬件级别防火墙,它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件,这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙,除了不需要处理其他事务以外,它毕竟还是一般的操作系统,因此有可能会存在漏洞和不稳定因素,安全性并不能做到最好;另一种是所谓的“芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙,管理员都可以通过计算机连接上去设置工作参数。由于硬件防火墙的主要作用是把传入的数据报文进行过滤处理后转发到位于防火墙后面的网络中,因此它自身的硬件规格也是分档次的,尽管硬件防火墙已经足以实现比较高的信息处理效率,但是在一些对数据吞吐量要求很高的网络里,档次低的防火墙仍然会形成瓶颈,所以对于一些大企业而言,芯片级的硬件防火墙才是他们的首选。

有人也许会这么想,既然PC架构的防火墙也不过如此,那么购买这种防火墙还不如自己找技术人员专门腾出一台计算机来做防火墙方案了。虽然这样做也是可以的,但是工作效率并不能和真正的PC架构防火墙相比,因为PC架构防火墙采用的是专门修改简化过的系统和相应防火墙程序,比一般计算机系统和软件防火墙更高度紧密集合,而且由于它的工作性质决定了它要具备非常高的稳定性、实用性和非常高的系统吞吐性能,这些要求并不是安装了多网卡的计算机就能简单替代的,因此PC架构防火墙虽然是与计算机差不多的配置,价格却相差很大。

现实中我们往往会发现,并非所有企业都架设了芯片级硬件防火墙,而是用PC架构防火墙甚至前面提到的计算机替代方案支撑着,为什么?这大概就是硬件防火墙最显著的缺点了:它太贵了!购进一台PC架构防火墙的成本至少都要几千元,高档次的芯片级防火墙方案更是在十万元以上,这些价格并非是小企业所能承受的,而且对于一般家庭用户而言,自己的数据和系统安全也无需专门用到一个硬件设备去保护,何况为一台防火墙投入的资金足以让用户购买更高档的电脑了,因而广大用户只要安装一种好用的软件防火墙就够了。

为防火墙分类的方法很多,除了从形式上把它分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类;从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;按工作位置分为边界防火墙、个人防火墙和混合防火墙;按防火墙性能分为百兆级防火墙和千兆级防火墙两类……虽然看似种类繁多,但这只是因为业界分类方法不同罢了,例如一台硬件防火墙就可能由于结构、数据吞吐量和工作位置而规划为“百兆级状态监视型边界防火墙”,因此这里主要介绍的是技术方面的分类,即“包过滤型”、“应用代理型”和“状态监视型”防火墙技术。

那么,那些所谓的“边界防火墙”、“单一主机防火墙”又是什么概念呢?所谓“边界”,就是指两个网络之间的接口处,工作于此的防火墙就被称为“边界防火墙”;与之相对的有“个人防火墙”,它们通常是基于软件的防火墙,只处理一台计算机的数据而不是整个网络的数据,现在一般家庭用户使用的软件防火墙就是这个分类了。而“单一主机防火墙”呢,就是我们最常见的一台台硬件防火墙了;一些厂商为了节约成本,直接把防火墙功能嵌进路由设备里,就形成了路由集成式防火墙……

三. 防火墙技术

传统意义上的防火墙技术分为三大类,“包过滤”(Packet Filtering)、“应用代理”(Application Proxy)和“状态监视”(Stateful Inspection),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。

1.包过滤技术

包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”(Static Packet Filtering),使用包过滤技术的防火墙通常工作在OSI模型中的网络层(Network Layer)上,后来发展更新的“动态包过滤”(Dynamic Packet Filtering)增加了传输层(Transport Layer),简而言之,包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则(Filtering Rule)进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃,

适当的设置过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求,整个防火墙的保护就相当于摆设了。也许你会想,让用户自行添加不行吗?但是别忘了,我们要为是普通计算机用户考虑,并不是所有人都了解网络协议的,如果防火墙工具出现了过滤遗漏问题,他们只能等着被入侵了。一些公司采用定期从网络升级过滤规则的方法,这个创意固然可以方便一部分家庭用户,但是对相对比较专业的用户而言,却不见得就是好事,因为他们可能会有根据自己的机器环境设定和改动的规则,如果这个规则刚好和升级到的规则发生冲突,用户就该郁闷了,而且如果两条规则冲突了,防火墙该听谁的,会不会当场“死给你看”(崩溃)?也许就因为考虑到这些因素,至今我没见过有多少个产品会提供过滤规则更新功能的,这并不能和杀毒软件的病毒特征库升级原理相提并论。为了解决这种鱼与熊掌的问题,人们对包过滤技术进行了改进,这种改进后的技术称为“动态包过滤”(市场上存在一种“基于状态的包过滤防火墙”技术,即Stateful-based Packet Filtering,他们其实是同一类型),与它的前辈相比,动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,会对已经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输,但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理,所以与静态包过滤相比,它会降低运行效率,但是静态包过滤已经几乎退出市场了,我们能选择的,大部分也只有动态包过滤防火墙了。

基于包过滤技术的防火墙,其缺点是很显著的:它得以进行正常工作的一切依据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害,但是由于它廉价,容易实现,所以它依然服役在各种领域,在技术人员频繁的设置下为我们工作着。

2.应用代理技术

由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如SYN攻击、ICMP洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(Application Proxy)技术的防火墙诞生了。我们的读者还记得“代理”的概念吗?代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。我们都知道,一个完整的代理设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。那么,如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用代理”防火墙,这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(Transparent Proxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为“应用协议分析”(Application Protocol Analysis)的新技术。

“应用协议分析”技术工作在OSI模型的最高层――应用层上,在这一层里能接触到的所有数据都是最终形式,也就是说,防火墙“看到”的数据和我们看到的是一样的,而不是一个个带着地址端口协议等原始内容的数据包,因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路,在用户方面和外界线路看来,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了代理防火墙转向的,当外界数据进入代理防火墙的客户端时,“应用协议分析”模块便根据应用层协议处理这个数据,通过预置的处理规则(没错,又是规则,防火墙离不开规则)查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,甚至可以识别类似于“GET /sql.asp?id=1 and 1”的数据内容,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。最后,由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,根本没有给分隔在内外部网络两边的计算机直接会话的机会,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,但是当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用代理”是比包过滤技术更完善的防火墙技术。

但是,似乎任何东西都不可能逃避“墨菲定律”的规则,代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,换个形象的说法,每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路,而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在网络吞吐量不是很大的情况下,也许用户不会察觉到什么,然而到了数据交换频繁的时刻,代理防火墙就成了整个网络的瓶颈,而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工,整个网络可能就会因此瘫痪了。所以,代理防火墙的普及范围还远远不及包过滤型防火墙,而在软件防火墙方面更是几乎没见过类似产品了――单机并不具备代理技术所需的条件,所以就目前整个庞大的软件防火墙市场来说,代理防火墙很难有立足之地。

3.状态监视技术

这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。

“状态监视”(Stateful Inspection)技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”(Session Filtering)功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。

由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。

四. 技术展望

防火墙作为维护网络安全的关键设备,在目前采用的网络安全的防范体系中,占据着举足轻重的位置。伴随计算机技术的发展和网络应用的普及,越来越多的企业与个体都遭遇到不同程度的安全难题,因此市场对防火墙的设备需求和技术要求都在不断提升,而且越来越严峻的网络安全问题也要求防火墙技术有更快的提高,否则将会在面对新一轮入侵手法时束手无策。

DHCP欺骗的防范原理及实现 篇3

[关键词] DHCP 欺骗 DHCP SNOOPING 防范

在TCP/IP网络中,每台计算机要与其他计算机通信,都必须进行基本的网络配置(IP地址、子网掩码、缺省网关、DNS等)。对于小型网络,为每台计算机一一配置这样的属性也许还可以承受,由于网络应用的发展,特别是电子商务、电子政务、办公自动化等新的网络应用的出现,网络的规模也逐渐扩大,这样对于一个有几百、上千台的网络,基本的网络配置工作虽然简单,但配置的工作量相当大,而且对以后的维护带来不便。为了便于统一规划和管理网络中的IP地址,DHCP(Dynamic Host Configure Protocol,动态主机配置协议)应运而生了。这种网络服务有利于网络中的客户机自动进行网络配置,而不需要一个一个手动指定,但DHCP服务在设计时,没有过多的考虑安全问题,因此,这种服务在为网络配置提供方便的时候,又带来了问题。

一、DHCP工作原理

DHCP服务分为两个部分:服务器端和客户端。所有的IP网络配置资料都由服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的网络配置数据进行网络配置。这种网络配置数据的分配是动态的,是会变化的,称为“租约”分配。

“租约”的形成有4个阶段:

发现阶段:客户端寻找服务器的阶段。客户端开始时并不知道服务器的IP地址,因此,它会向本地网络广播发送DISCOVER发现信息来寻找服务器,本地网络中的所有计算机都会接收到这种广播,但只有DHCP服务器才会做出响应。

提供阶段:服务器向客户端提供网络配置参数的阶段。在网络中接收到客户端DISCOVER发现信息的DHCP服务器都会做出响应,它们会从尚未出租的IP地址中挑选一个,向客户端发送包含预备出租的IP地址和其他设置的OFFER提供信息。

选择阶段:客户端选择某台服务器提供的网络配置参数的阶段。如果网络中存在多台DHCP服务器,它们都会向客户端发送OFFER信息,客户端可能会收到多台DHCP服务器发送的OFFER信息,但它只选择接收到的第一个OFFER信息,然后它就以广播形式发送一个REQUEST请求信息,该信息中包含向它所选定的第一个OFFER信息中的网络配置参数和它选择的DHCP服务器的信息。

确认阶段:DHCP服务器确认所提供的网络配置参数。在网络中接收到客户端REQUEST请求信息的对应DHCP服务器会做出响应,如果服务器能满足客户端的请求,它便会向客户端发送一个包含网络配置参数的ACK确认信息,告诉客户端可以使用它所提供的服务,客户端根据该NAK信息来配置其网络参数,否则,它便会向客户端发送一个不能满足请求的NAK信息,并且收回OFFER信息中欲分配给客户端的地址,客户端会回到第一步,重新发起DISCOVER信息。而其他DHCP服务器不会对请求做出应答,一定时间后,那些发送了OFFER信息的DHCP服务器,如果没有收到响应的REQUEST信息,则会收回OFFER信息中欲分配给客户端的地址。

“租约”形成后,DHCP服务发挥作用,在不同的“租用期限”将会经历以下几个阶段:

重新登录:它将尝试更新上次关机时拥有的IP租用,即客户端直接发REQUEST请求信息,该REQUEST信息和第一次的REQUEST信息不同之处在于没有DHCP服务器的信息,所有的DHCP服务器都会收到该信息。如果先收到ACK信息,则继续使用现有IP地址,并更新其租期;如果先收到NAK信息,则发送DISCOVER信息,开始新一轮的IP租用过程;如果未收到任何服务器的ACK或NAK信息,客户机将尝试联系现有IP租用中列出的缺省网关,如果联系成功且租用尚未到期,客户机则认为自己仍然位于与它得现有IP租用时相同的子网上(没有被移走)继续使用现有IP地址。 如果未能与缺省网关联系成功,客户机则认为自己已经被移到不同的子网上,将会开始新一轮的IP租用過程。

更新租约阶段:任何租约都有一个租借期限,期满后,DHCP服务器便会收回出租的网络配置参数。如果要延长其IP租约,则必须更新其租约。系统约定,客户端IP租约过半时,客户端会自动发送更新租约的REQUEST信息(该信息是一个单播信息,即直接向租用网络参数的服务器发送)。如果服务器是可用的,通常回送一个ACK信息,同意客户端的请求,客户端继续使用现有IP地址,并更新其租期;如果服务器是不可用的,通常回送一个NAK信息,客户端可以继续使用现有IP地址,但不更新其租期。

重新捆绑阶段:如果客户端在租用期达到出租时间的50%时,更新租约不成功,当租用期达到出租时间的近87.5%以上时,客户端会再次试图更新租用期。如果服务器是可用的,通常回送一个ACK信息,同意客户端的请求,客户端继续使用现有IP地址,并更新其租期;如果服务器是不可用的,通常回送一个NAK信息,客户端可以继续使用现有IP地址,但不更新其租期,直到客户端租约已满,然后一切从头开始。

二、DHCP欺骗原理

从DHCP工作原理可以看出,如果客户端是第一次、重新登录或租期已满不能更新租约,客户端都是以广播的方式来寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端最后获得的网络参数即是非授权的,客户端即被欺骗了。而在实际应用DHCP的网络中,基本上都会采用DHCP中继,这样的话,本网络的非授权DHCP服务器一般都会先于其余网络的授权DHCP服务器的应答(由于网络传输的延迟),在这样的应用中,DHCP欺骗更容易完成。

三、DHCP欺骗防范

防范原理:为了防止DHCP欺骗,只要不让非授权的的DHCP服务器的应答通过网络即可,目前网络基本都采用交换机直接到桌面,并且交换机的一个端口只接一台计算机,因此,可以在交换机上做控制,只让合法的DHCP应答通过交换机,阻断非法的应答,从而防止DHCP欺骗,并且对用户的计算机不用做任何的改变。

1.防范方法:在交换机上启用DHCP SNOOPING功能

DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。

DHCP SNOOPING截获交换机端口的DHCP应答报文,建立一张包含有用户MAC地址、IP地址、租用期、VLAN ID、交换机端口等信息的一张表,并且DHCP SNOOPING还将交换机的端口分为可信任端口和不可信任端口,当交换机从一个不可信任端口收到DHCP服务器的报文时,比如DHCP0FFER报文、DHCPACK报文、DHCPNAK报文,交换机会直接将该报文丢弃;对信任端口收到的DHCP服务器的报文,交换机不会丢弃而直接转发。一般将与用户相连的端口定义为不可信任端口,而将与DHCP服务器或者其他交换机相连的端口定义为可信任端口,也就是说,当在一个不可信任端口连接有DHCP服务器的话,该服务器发出的报文将不能通过交换机的端口。因此只要将用户端口设置为不可信任端口,就可以有效地防止非授权用户私自设置DHCP服务而引起的DHCP欺骗。

2.实现步骤(用cisco思科的交换机为例):

(1)在交换机的全局配置模式中启用DHCP SNOOPING

交换机名(config)#ip dhcp snooping

(2)在交换机的全局配置模式中开启需要启用DHCP SNOOPING的vlan

交换机名(config)#ip dhcp snooping vlan vlan号

(3)在端口配置子模式中将授权DHCP服务器所连的端口设为信任端口(缺省启用DHCP SNOOPING的vlan所在端口都是非信任端口)

交换机名(config-if)#ip dhcp snooping trust

四、结束语

在采用DHCP方式分配网络参数的网络中,DHCP欺骗是存在的。因此,在网络中一定要采用相应的措施来防止DHCP欺骗,否则,将会为网络管理员带来许多的不便,违背了采用DHCP的主要原因(为管理带来方便)。

参考文献:

[1]周明天等:TCP/IP网络原理与技术.清华大学出版社,1993年

[2]张卫等:计算机网络工程.清华大学出版社,2004年

MPLSVPN的原理及实现 篇4

1 MPLS VPN 概述

根据vpn所基于的网络和技术的不同,及其产生的时间点,常见的VPN有MPLSVPN、FR/ATM和IPSec VPN等。但是作为当前采用的主流技术,MPLS凭借其快速、高性能、易扩展等特点逐步代替传统的VPDN类专线VP,并且成为企业VPN建立的主流广域网技术。MPLS就是一种采用标准分组处理方式对第3层的分组进行转发,并且采用标记交换对第二层分组进行交换的技术。它就是Cisc0公司所提出来的Tag switching技术基础上发展起来的。它是一种综合第二层和第三层的快速交换技术。其核心思想是核心交换,边缘路由。

2 MPLS VPN 原理及优势

MPLS是一个标准的数据包处理的第3层包转发,标签切换到第二层的分组交换技术。标签交换技术Cisc0公司的基础上发展起来的VPN。MPLS是一种结合的快速切换技术的第二层和第三层。这项技术在1996年12月正式提出,要解决网络中的报文转发技术的许多问题。MPLSVPN是VPN的建立基于MPLS短标签的快速交换网络通常是收集组与一个企业的不同分支机构或企业之间搭建交流网站有一定的关系。

IPSec VPN也是比较常用的一种网络技术,它是集访问控制、数据认证和数据加密分流于一体的服务的总称。

下面从服务模式、网络部署、数据安全性以及会话认证几方面,来比较一下IPSec VPN和MPLS VPN的优缺点。在服务模式上面IPSec VPN是基于互联网接入的,而MPLS VPN是基于专门的MPLS专线专网接入的 ;在网络部署方面,前者可以部署在任何的IP网上,而后者只能通过本地网络,在网络运营商的支持下通过专线接入,两种网络都可以监控所有的CE设备 ;在数据安全性方面,前者通过基于网络层的多层的加密结构和隧道机制从而保证数据在网内的安全,后者则采用区分用户流量的方式来保障数据的安全性,在用户分流时的方式类似于FR/ATMPVC模式。

最后看下两者的会话认证方式,前者认证方式较为严格,往往通过数字签名和预设的密钥进行准入认证,任何一个会话都不放过,如不符合安全规范,则数据将会不允许进入,从而被遗弃 ;后者这是存在一个VPN资格认定的情况,如果经过网络提供商的VPN认证,则可以进行有效的数据通信和会话,未经过VPN认证的则所有数据和访问请求均会被拒绝。

通过上述各种方式和性能的比较,可以看出,MPLS VPN的优势相对来说更好一些。当然随着技术的进步,和用户企业需求的提升,也有提出将IPSec和MPLS进行混合的提法,这钟混合方式可以融入两者各自的优势,实现优势互补。

3 MPLS VPN 的实现

3.1 MPLS 交换的实现

下面结合XX省的测控电信DCN网络扩建项目,来介绍MPLS VPN技术在实际网络上的应用和实现。电信DCN网络采用原始端口技术,以实现业务的互操作性为目的。当前DCN扩建工程的核心工作是改造现有的网络,实施全面的MPLS和MPLS VPN部署。

具体实施过程中,进行了CEF交换、MPLS及TDP接口的启动等工作。对全部的PE路由器的模式进行设定,让它们都工作在全局模式下,并进行持续的数据转发和GSR交换,同时对CEF交换功能进行启动。然后在全局模式下,基于LDP协议进行标签的分发,并对IP默认路由、标签TDP等进行了配置。最后启动了LDP实现了网络之间的各链路的互连。

改造后,DCN网络通过MPLS VPN技术实现了独立的业务系统。测控与DCN广域网骨干在IP层通过路由器互连结构,交换网络仅用于两层运输。

逻辑拓扑 方面,有POS接口,ATM接口,FE接口,GE接口,VLAN等各类接口以及各自的互联。所有骨干路由器根据当前的网络状态的特点,同时也作为一个PE接入路由器,而不是严格意义上的P路由器。因此,部署了MPLS交换机部署在19个骨干路由器。

3.2 MPLS VPN 中 QOS 的实现

在MPLS强大的Qo S能力,并提供不同的服务水平,以确保质量的关键任务通信。数据包仅在核心层,2层的开关速度做为报文转发速度,减少延迟和抖动,增加网络吞吐量,并大大提高网络的质量保证。企业应用程序和数据需要特殊的网络,提供可靠和有效的传输路径,原有的面向连接的2层网络用户在这方面有一些优势,以任何终端到终端的带宽是固定的,完全由用户。类似的ATM / FR技术还为用户提供了一个突发的带宽,以满足用户的特殊需求。

LLQ的作用主要是为了满足时延和抖动敏感的音频应用,这是最高优先级的队列,三个队列中有数据要发送时,首先要发送LLQ的数据,直到它的队列为空。LLQ的应用程序中要防止其占领太多的带宽,从而影响其他业务的正常使用。CBWFQ可以用于分类报文,每个类对应着一个队列,队列数量是有限的,并给予一定的优先权。系统会给队列中的数据提供发送窗口,如果有数据在不同的时间窗口发送,发送窗口被关闭,然后扫描下一各队列。CBWFQ可以既保证每一个特定的业务可以分配到带宽,同时又可以实现基于优先级的主次数据发送。所有数据分类网络层的第三优先级标志被映射到MPLS EXP字段。1型和2型对应的业务保证带宽,和业务类型l相应的延迟和抖动相比具有明显的优势。

4 总结

随着网络技术,各种围绕下一代网络关键技术的不断发展, MPLS技术被认为是分类标签数据的交换和组合的综合应用。即便是在IPv6即将到来之时,也可以通过对MPLS VPN的来实现IPv4网络向IPv6网络的过渡。而且MPLS VPN技术就是在IPV6时代,仍然可以使用。当然,MPLS VPN的发展还需要其他一些技术手段,如管理的CE认证,IPSec等的支持,以实现更好的管理和更灵活的应用。

摘要:虚拟专用网技术(VPN)在企业网的改造方面被广泛使用。本文对各类VPN技术进行分析和比较,从而指出MPLS VPN的优势。然后对MPLS VPN的具体实现进行了了相应的研究和探索。

《lte教程:原理与实现》读后感 篇5

最近新买了一本书《LTE教程:原理与实现》,3天时间囫囵吞枣的将该书看了一遍,收获最大的应该是有一条线索了。该书正如作者所说是教程,所以重点应该还是在于讲师讲的功底上,所以很多知识点都只停留在overview上。

下面简单的说说第一次阅读的感受吧。

第一章,该章在未收到书之前就已经阅读了,感谢作者的慷慨赠与,该章虽然写的内容不详尽。但是该章应该是学习LTE系统架构最清晰的一条线索了。因为只是overview不适合做指导书,可作为参考目录,自己根据该条线索去摸索和深入研究。

第二章,该章的内容大部分在作者以前的作品和其他书上也有,总体信息量很大,接收程度看个人的”解调能力了“。

第三章,该章可谓是作者的大作了,作者首先提出的能量正交的概念,对很多人来说的确是第一次听说。估计该节对大部分人来说估计都不能解调。作者在写该节时,丢失了一个重要的点,即:功率和能量的区别。另外对于OFDM的优缺点分析,可能是信息量太大又不是该书的重点,写的.不够详尽。

第四章,该章也是TOM大作的核心区域了,详细的讲解了OFDM的实施。该章内容和我之前在《LTE-UMTS长期演进理论与实践》的理解出入不大。作者用到了很多公式定向的分析发射和接收过程。看解调能力细致的去领会。该章居然没见到傅立叶变换的公式,很奇怪。另外个人总结一下IFFT过程,与其说是将信号进行IFFT变换,不如说成是将信号通过IFFT调制。

第五章,该章写的非常的清晰,对多天线的各类技术做了定性的分析。很多东西在别的资料也见过,可谓是用心编著。缺点:P174页讲到SFTD是LTE使用的发射分集时,居然没有进行详细的剖析,留下了许多疑问:UE一根天线如何接收两个频率?使用了不同的频率是否意味着频谱带宽的增加?另外对于MIMO是DEMO的说法,个人很是不解,现网中已经实现的MIMO是怎么回事呢?另外SSV或者簇优化中看到的双流MIMO不是实实在在的存在?另外对于个人最是不解的波束赋形的定性原理的实施与分析没有看到。

第六章,该章里面将工程师关系的层,流,秩,通道,端口O术语都详细的描述。一网全收很是不易。

差动原理在变压器保护中的实现 篇6

【关键词】变压器差动保护;主保护;比率差动

变压器差动保护作为变压器的主保护,采用带制动特性的比率差动保护,具有区内故障可靠动作,区外故障可靠闭锁的特点,使其得到了广泛运用。这就要求差动保护能在各种情况下可靠动作,而不会误闭锁,这对差动保护提出了更高的要求。

1、变压器的差动保护原理

变压器三侧电流,采用模拟量输入,变压器各侧的电流互感器均采用星形接线。此接线形式简化了CT的二次接线,还可以减小电流互感器的二次负荷,从而改善了电流互感器的工作性能,使电流回路的可靠性得到加强。

电流互感器的极性规定为,以指向保护设备为同极性端。

通过软件来调整各侧电流平衡系数,无需外加中间电流互感器。

采用比例制动及二次谐波制动原理的差动保护,CT断线时,可闭锁差动出口,或者不闭锁差动出口。

任意一相差电流:

任意一相制动电流:

在平衡补偿和电流相位校正后,进行保护中的差流计算。

1.1 平衡补偿

由于实际选用的电流互感器变比,同理论计算得出的电流互感器变比不一致,这将会产生不平衡差流,此差流可以采用软件的方法来进行补偿;而且精度很高,在此将补偿系数作为整定值。

将某一侧作为基准侧,将其余侧的额定电流都换算到基准侧额定电流。

对Y0/Y/Δ接线的变压器,可以设高压侧为Y0侧,其余两侧为Y侧和Δ侧。

平衡系数1:k1=I1/I2;

平衡系数2:k2=I1/I3;

式中:k1、k2分别为另两侧的平衡系数;

变压器三侧的二次额定电流分别为I1、I2、I3;

在整定计算时,用平衡系数K1乘以一侧电流,用平衡系数K2乘以另一侧电流。

当k1, k2的值整定为1时,则不进行补偿。

虽然在理论上平衡系数不受到限制,但按上述基准电流计算的平衡系数最好不大于3或4。

1.2 电流相位的校正

当各侧CT二次侧均采用星形接线时,则其二次电流将直接接入保护装置。

由软件依据装置参数表中的接线方式,对各侧CT的二次电流相位进行自动校正。

如果检测到变压器各侧的接线相同,则不会进行相位校正。

对Y0/Y/Δ接线形式的变压器,校正Y0、Y接线侧的电流相位,方法如下:

式中:是Y侧CT二次电流;是校正后的各相电流;

1.3 差电流速断保护

差电流速断保护在区内发生严重故障时,它能快速切除故障,只要其中任何一相差电流大于整定值,它不经过制动判别就会动作出口并跳闸。

图中: YB=1为差速断保护软压板投入,Isd为差速断保护定值;

Iaxcl、Ibxcl、Icxcl分别表示为A相、B相和C相差流。

1.4 比率制动差动保护

当发生穿越性故障时,为保证差动保护不误动,通常设置为两段式比率制动特性,其动作依据为:

其中:Icl是差电流,Id是动作电流,IGd是制动电流的拐点定值;

k是比率制动特性斜率,Izd是制动电流,Iset是差动定值;

图2中:YB=1表示差动保护的软压板投入;

Ida、Idb、Idc分别是A相、B相、C相的动作电流,Icd为差动定值;

CB1=1表示为二次谐波制动投入,CB2=1表示为CT断线闭锁差动投入;CB3=1表示为自动解除闭锁投的入;

Icl表示为任意一相差电流,IBS表示为断线闭锁电流定值。

1.5 二次谐波制动

设置二次谐波制动可以在区外故障经保护切除后的电压恢复过程中,或者空载变压器投入而产生很大的励磁涌流时,来有效防止差动保护的误动。励磁涌流闭锁的判据,通常采用差电流中二次谐波的含量与基波的比值,制动判据表示如下:

I2≥KC*Il

其中:Il是差流中的基波电流;I2是每相差电流中的二次谐波电流,KC是二次谐波制动系数。若有一相满足制动条件时,将会闭锁差动保护。

1.6差流越限告警

正常情况下监视各相差流,若任一相差流大于越限定值时,经延时将发差流越限告警。

1.7CT断线检测

设有CT断线闭锁和报警功能,以防止CT二次断线时保护误动。

考虑一相断线的情况。

当负荷电流大于0.2倍的基准侧二次额定电流时,将启动CT断线告警功能。在正常的情况下:检查所有相别电流,当只有一相无流时,则判定为该相CT断线。当差动保护启动时,某侧三相电流中,若任一相没有电流,且其余侧三相电流均无变化时,就判定为CT断线,发出CT断线告警信息;且可设置闭锁或者不闭锁差动保护出口。当自动解除断线闭锁投入时,若断线后差流超过断线闭锁电流的定值,则会自动解除闭锁允许差动出口。发CT断线闭锁解除的信息。

结论,变压器差动保护对保护区外故障不会动作,因此,差动保护不需要与相邻元件的保护相互配合,而在区内故障时,可以瞬时动作,是最准确和可靠的保护。

参考文献

[1]《变压器、高压并联电抗器和母线保护及辅助装置标准化设计规范》Q/GDW 175—2008

[2]《微机变压器组保护装置通用技术条件》DL/T 770

作者简介

ARP攻击和实现原理解析 篇7

ARP (Address Resolution Protocol, 地址解析协议) 是一个位于TCP/IP协议栈中的网络层协议, 对应于ISO七层协议的数据链路层, 负责将IP地址进行解析, 转换成对应的MAC地址。ARP协议的主要功能就是通过目标设备的IP地址, 以缓存表和广播的形式查询目标设备的MAC地址, 以保证通信的进行。

2 ARP与ARP缓存表

在以太网协议中规定, 局域网中的主机进行通信时, 必须知道目标主机的以太网地址 (MAC地址) , 而在TCP/IP协议中, 网络层和传输层只关心IP地址, 数据链路层并不能识别IP地址, 通过MAC地址来传输数据包。因此, IP数据包在局域网内部传输时通过识别主机的MAC地址进行转发的。这就需要一种方法, 可以根据主机的IP地址来获取其MAC地址, 二者之间存在一种对应关系, 这就需要ARP协议了。

ARP协议就是所谓的地址解析协议, 主要是进行目标IP地址和目标MAC地址的转换。具体的说, 当ARP工作时, 首先请求主机会发送一个以太网数据包, 数据包中含有目标主机的IP地址, 然后目标主机接收到数据包后, 会进行解析, 获得数据包中的IP地址, 并用包含IP地址和MAC地址对应关系的数据包来应答。因此, 请求主机就获得了目标主机的MAC地址, 并保存在ARP缓存表中。缓存表的管理采用了高效的老化机制, 增加新的内容的同时, 会删除使用少的数据, 这样可以在不增加缓存表长度的同时加快查询速度。

2.1 冒充"中间人"——ARP欺骗原理

ARP是用来将IP地址解析为MAC地址, ARP欺骗简单来说就是冒名顶替其他计算机的MAC地址, 从而捕获发送给其他主机的数据包信息。

由上可知, 以太网内部是依靠MAC地址来传输数据包的, 每台主机 (包括网关) 在传输数据包都会使用自己保存的ARP缓存表, 此表中包含着经常使用的IP地址和MAC地址的对应关系。一般情况下, ARP缓存表是有效的, 在以太网通信时, 可以保证其数据的传输。因此, 当两台主机通过网关进行数据传输时, 其它的主机是不能捕获到他们的通信信息的。

但是, 这并意味这ARP协议的完善, 相反, ARP协议有一个很大的弊端, 那就是当主机接收到ARP的应答包后, 不能验证这个请求是否发送过, 会用接收到的应答包中与IP地址对应的MAC地址来替换缓存表里的旧信息。因此, 这个弊端就可以使一台主机来捕获其他主机主机之间的数据通信。

其具体过程是, 首先, 主机C向主机A发送ARP应答包, 包含IP地址192.168.2.1对应的MAC地址是xx-xx-xx-xx-xx-01。主机A接收后不会去验证收到的数据包, 而是将自己缓存表中与IP地址192.168.2.1对应的MAC地址替换成xx-xx-xx-xx-xx-01。与此同时, C也会向网关1发送同样地ARP应答包, 包含IP地址192.168.3.1的MAC地址是xx-xx-xx-xx-xx-01。同样, 网关1会将自己缓存表中与IP地址192.168.3.1对应的MAC地址替换成xx-xx-xx-xx-xx-01。

这样, 主机A的ARP缓存表就发生了改变, 当主机A和主机B进行数据通信时, 它把应该发送给网关1 (192.168.3.1) 的数据包发送到主机C (xx-xx-xx-xx-xx-01) 。C接收到数据包后, 再转发给网关1。当B发送的数据包传输到网关1后, 网关1经过ARP解析, 将本该发送给192.168.3.1的数据包, 发送给主机C (xx-xx-xx-xx-xx-01) , C收到数据包后, 经过ARP解析, 传输给主机A, 完成了A与B的成功通信。主机C利用ARP协议的缺陷进行了ARP欺骗, 捕获了其传输的数据。

因此, 主机B欺骗了网关1, 让网关1以为主机B是主机A, 同时, 主机B又欺骗了主机A, 让主机A以为主机B是网关1。主机B同时对主机A和网关1进行欺骗, 充当"中间人", 捕获了主机A与网关1之间的数据交换内容。

要想实现有效的ARP欺骗, 最终的就是必须进行双向欺骗。欺骗者不但要欺骗网关, 也应欺骗主机。只有两者都被欺骗, 欺骗者才能捕获到所需要的信息, 否则只是徒劳。

2.2 ARP欺骗的代码实现

3 WinPcap简述

WinPcap是基于Win32平台, 可以成功捕获数据包, 并有效进行网络分析的体系结构。WinPcap可以完成很多功能, 其核心主要有几下机电:

1) 有效捕获数据通信的原始数据包, 包括主机之间和其他设备 (共享媒介) 上进行交换的数据包;

) 在数据包发送给某应用程序前, 根据自定义的规则过滤数据包;

3) 在网络上发送原始的数据包;

4) 收集网络数据通信中的统计信息。

只有在Win32内核中安装网络设备驱动程序, 并增加需要的动态链接库DLL, 才能实现上述的功能。

WinPcap包括了一个内核级的数据包过滤器, 一个低层动态链接库 (packet.dll) , 一个高层的, 依赖于系统的库 (wpcap.dll) 。

3.1 ARP攻击核心函数的实现

根据前面几节阐述的ARP攻击原理, 我们首先需要构建一个函数用于实现对ARP缓存的操作如图1所示其中部分以太网和ARP等协议数据结构形式构建不在此阐述。

参考WinPcap例子构建函数用于打开相应的网卡句柄, 然后设置网卡的类型为混杂模式, 使网卡能接受以太网上的广播数据包, 函数代码实现如图2所示。

3.2 Sniffer定位ARP欺骗主机

ARP欺骗主机的查找

首先搭建实验环境如图3所示。

其中红色标记为欺骗主机, 按照ARP欺骗的基本原理, 数据包应通过红色主机转发, 所以大量数据包都集中在红色的攻击主机上。通过数据抓包如图4所示 (图中单位内部服务器地址清除) 。

通过上图分析192.168.0.144流量存在异常, 同理通过MAC地址流量图也可以发现00-21-98-11-33-56也存在流量异常;再次通过192.168.0.96截获的数据包可以发现数据都是通过192.168.0.144和00-21-98-11-33-56转发的, 因此可以基本判断红色机器为ARP攻击主机。

在局域网中任意两台计算机之间的通信, 或者局域网中的计算机将IP数据包转发给网关设备时, 网卡先在缓存中查找目标IP地址相对应的MAC (物理地址) , 以填充物理帧的目的地址。ARP欺骗和攻击正是利用了这一点, 将自身的MAC地址填入正常的ARP协议缓存表中, 从而达到欺骗和攻击的目的。通过将IP地址和MAC地址进行静态绑定是有效防范ARP攻击的方法之一。

摘要:ARP是Address Resolution Protoco (l地址转换协议) 的简称, 是TCP/IP协议中网络层中的协议之一。它的作用是完成IP地址和MAC (物理地址) 间的地址转换。

参考文献

[1]李涛.网络安全概论[M].北京:电子工业出版社, 2004;

脉冲压缩原理及FPGA实现 篇8

随着现代科技的发展,对雷达的作用距离、距离分辨力等性能提出了越来越高的要求。根据雷达理论,距离分辨力取决于信号的带宽,探测距离取决于信号的时宽,所以理想的雷达信号应具有大时宽带宽积。单载频脉冲信号的时宽带宽积近似为1[1],因此作用距离与距离分辨力存在矛盾。采用脉冲压缩可以有效解决上述矛盾,这样既提高了雷达的作用距离,又保证了较高的距离分辨力。用数字方式实现的脉冲压缩具有可靠性高,灵活性好,可编程、便于应用[2]。因此,这里介绍一种在FPGA上用分布式算法实现时域脉冲的压缩,它是一种基于查找表的计算方法,与传统算法(乘累加)相比,分布式算法可以极大地减少硬件电路地规模,易于实现流水线处理,从而提高电路的执行速度[3]。

1 脉冲压缩原理及Matlab仿真

1.1 线性调频信号脉冲压缩原理

大时宽带宽信号的实现是通过脉冲压缩滤波器实现的。这时雷达发射信号是载频按一定规律变化的宽脉冲,即具有非线性相位谱的宽脉冲。然而,脉冲压缩滤波器具有与发射信号变化规律相反的延迟频率特性,即脉冲压缩器的相频特性应该与发射信号实现相位共轭匹配。所以,理想脉冲压缩滤波器就是匹配滤波器。匹配滤波器的实现是通过对接收信号si(t)与匹配滤波响应h(t)求卷积得到的,即:

数字脉冲压缩的实现方式有两种。一是时域卷积法;二是频域FFT法。时域处理方法比较直观、简单,运算量相对较少。另外,由于FPGA等器件的迅速发展,时域卷积法得到了更大程度的应用。频域FFT法是先经过FFT的运算,再进行IFFT运算,然后得到脉压结果,其处理在本质上是与时域卷积法一样的。通常脉冲压缩用数字滤波器来实现,这时输入信号si (t)需要通过A/D转换器将其转换为数字信号si(n)。此时,脉冲压缩匹配滤波器的输出为:

其实现框图如图1所示。本文的设计就是按图1的原理而实现的。

1.2 线性调频脉冲压缩的Matlab仿真

线性调频信号经过匹配滤波器直接得到的脉冲压缩输出信号并不理想,主副瓣比只有13.2 dB,这在多数情况下是不能满足要求的。因为大的副瓣会在主瓣周围形成虚假目标,而且大目标的副瓣也会掩盖其邻近距离上的小目标,造成小目标丢失,所以必须降低输出信号的副瓣[4]。常用的方法就是加权方法。如何选择加权函数,应根据应用场合的需要,依据最佳准则在副瓣抑制、主瓣展宽、信噪比损失、副瓣衰减速度以及技术实现的难易等几个方面考虑。

下面,给出仿真信号模型,并在Matlab[5]下进行仿真,以分析加权前后的影响。仿真模型:脉冲宽度为150μs,调频带宽为2 MHz,采样周期为0.1μs,加权方式为海明加权。图2给出了采用加权函数前和采用海明加权函数后的脉冲压缩波形图。

通过海明加权,主副瓣比大大改善,即副瓣得到了显著的抑制。虽然海明加权后带来了一定的信噪比损失,但匹配滤波器的性能得到了大大的提高。

2 分布式算法原理及4阶FIR滤波器的设计

2.1 分布式算法原理

分布式算法(DA)是一种以实现乘累加运算为目的的运算方法,它与传统乘加运算的不同在于执行部分积运算的先后顺序不同。传统算法是在完成乘加功能时,等到所有乘积产生之后,再进行相加来完成乘加运算的。而分布式算法则是通过将各输入数据的每一对应位产生的部分积预先进行相加,形成相应部分积,然后对各部分积进行累加,形成最终结果的。与乘累加算法相比,分布式算法可极大地减少硬件电路规模,降低设计的复杂度,极大地提高可靠性和可操作性[6]。分布式算法由串行、并行和串并结合而构成的分布式算法。串行分布式算法是逐位的执行,每个时钟周期只能执行1位,速度比较慢;并行分布式算法是1个时钟周期完成1个字的运算,速度比较快;串并结合的分布式算法1次可以执行多位,但是需要多个时钟周期才能完成1个字的运算,控制起来比较复杂。

根据分布式算法的原理得出采用FPGA实现分布式算法的硬件结构,如图3所示。

图3中寄存器完成数据寄存,查找表完成数据查找运算,加权累加器完成查表之后的加法。为了保证信号的完整性,即减少输出毛刺,在数据输出前用寄存器寄存一个时钟周期然后输出。

2.2 4阶FIR滤波器的设计

本文的脉冲压缩是通过并行分布式算法来实现的。从图3可以得出,4阶的FIR滤波器主要由移位寄存器、查找表和累加器组成。4为模块的滤波器阶数,那么查找表中应有24个存储单元,如果滤波器阶数过多,查找表规模随阶数的增加成指数递增,因此阶数较大时要分割查找表[6],分割查找表可以节省存储资源,有利于成本和资源的节约。

要使4阶FIR滤波器完成数据的输入、串/并转换、查表和加权累加,因为是有符号数的运算,所以要考虑累加最高位运算符号。FIR滤波器是线性滤波器,低阶滤波器的输出集合相加,形成一个高阶FIR滤波器的输出。因此,在设计低阶FIR时,必须有2个输出,一个用于FIR运算的输出,另一个输出数据用于下一个FIR滤波器的运算。为了保证信号的完整性,在程序设计时,对输入/输出数据进行了寄存处理。

下面给出一个4阶的FIR滤波器设计实例。输入数据为12位有符号数,匹配滤波系数为12位有符号数,4阶FIR的仿真波形如图4所示。仿真结果与Matlab仿真结果完全一致,说明设计是完全正确的。

3 64阶匹配滤波器设计及仿真

由于匹配滤波器就是有限脉冲响应滤波器,具有线性特性,所以通过低阶滤波器的直接级联相加就可以实现高阶滤波器,前一个滤波器的移位数据y_out作为下一个滤波器模块信号的输入,每个滤波器模块都与4阶FIR设计相同,只需根据不同系数更改查找表中的数据。

在64阶匹配滤波器设计中,先用16个4阶的FIR滤波器级联成一个64阶的FIR滤波器,然后再用4个64阶的FIR滤波器组成一个64阶的匹配滤波器,即64阶的脉冲压缩滤波器。64阶脉冲压缩滤波器的逻辑设计如图5所示。

逻辑设计是以Altera公司的cycloneⅡ系列EP2C70为平台,在QuartusⅡ软件中利用VHDL语言和原理图进行逻辑设计,顶层为原理图,底层为VHDL文件。图5中,fir64模块为匹配滤波器实部对应的64阶滤波器,fir64I模块为匹配滤波器虚部对应的64阶滤波器,输出为16位的I、Q两路信号。由Matlab软件仿真出来的匹配滤波器的系数全部是小数,然后进行归一化处理后得到匹配滤波系数。脉冲压缩加权不涉及硬件规模的增加,只是对其系数乘以一个适当的加权函数,在实际的编程实现过程中与不加权的处理方法是完全一致的。

对该匹配滤波器进行波形仿真,输入为12位的有符号数据,系数为12位有符号数据,输出为16位有符号数据。由于匹配滤波器做的是64×64点的卷积,所以输出数据为64+64-1=127个。由于仿真数据较多,只给出了部分仿真结果,如图6所示。

4 结语

仿真分析表明,脉压输出的实际值与Matlab仿真值十分接近,其误差是由量化所产生的,系统具有很高的精度。通过仿真分析整个设计,可得出利用基于分布式算法能够大大减少数字脉冲压缩的运算量,减少FP-GA的资源消耗。另外还可以根据不同的需求,增加脉冲压缩阶数,更高阶数的脉冲压缩实现方法与64阶的完全一致。由于匹配滤波器的系数对称,所以可采用线性相位FIR滤波器在FPGA中的实现算法,这样同等性能的滤波器设计可减小一半的硬件规模,这样就会节省更多的逻辑单元,实现更多的功能。

参考文献

[1]承德宝.雷达原理[M].北京:国防工业出版社,2008.

[2]张明友.雷达系统[M].2版.北京:电子工业出版社,2006.

[3]徐锋,唐红,谢东东.基于FPGA流水线分布式算法的FIR滤波器的实现[J].电子技术应用,2004,27(7):21-25.

[4]吴顺君,梅晓春.雷达信号处理和数据处理技术[M].北京:电子工业出版社,2008.

[5]郭仁剑,王宝顺.Matlab 7.X数字信号处理[M].北京:人民邮电出版社,2007.

[6]毕占坤,吴伶锡.FIR数字滤波器分布式算法的原理及FPGA实现[J].电子技术应用,2004,27(7):61-62.

[7]刘凌.数字信号处理的FPGA实现[M].北京:清华大学出版社,2006.

振荡肺功能原理及技术实现 篇9

相对于传统肺功能仪( 如spirometry和body plethysmography),振荡肺功能仪是一种较新型的呼吸系统功能测试仪器,最早由Du Bois及其同事提出,通过给呼吸系统一定激励(压力振荡),观察系统响应(流量)的方法,运用系统辨识技术,研究呼吸系统的力学特性[1]。该技术经过50多年的发展,由实验室原型技术,逐渐发展成可应用于临床疾病诊断的成熟技术[2,3]。2005年欧洲呼吸协会(European Respiratory Society, ERS)针对强迫振荡技术(Forced Oscillation Technique, FOT)的临床应用提出了相应的技术规范[2],标志着该技术逐渐走向技术成熟期。相比于传统肺功能检测技术,FOT技术的最大优点是受试者配合少,在平静自主呼吸状态下,较短的时间(1 min,3~5次有效呼吸)内即可完成呼吸系统力学特性分析,适合老年人和儿童肺功能测试使用[2,3]。FOT技术尤其对气道阻力变化更加敏感,通过选择不同的激励频率(通常是4~40 Hz),可以实现对呼吸气道不同部位和不同成分阻力变化的检测,且可以进一步分辨出吸气相和呼气相阻力变化[4,5],因此对慢性阻塞性肺疾病、哮喘以及急性肺损伤等病人的指导用药和疗效观察具有重要价值。目前振荡肺功能技术的相关研究主要集中在国外,国内发表的文章以FOT技术的临床应用研究为主,只有少数研究机构针对该技术的原理和实现技术做过研究。本文基于ERS的技术规范,结合相关文献以及我们先期开展的研究工作,系统性地介绍了振荡肺功能技术的基本原理、实现技术、临床应用等内容,综述了该领域的技术演进,并对该技术的发展前景做了展望。

1 振荡肺功能实现原理

1.1 基本原理

FOT技术本质上是系统辨识技术,相对于传统肺功能检测技术,它是一种主动测量技术,通过给呼吸系统外加激励,测量系统响应,进而辨识系统传递函数[2]。在技术实现上,通过压力振荡单元(通常是扬声器)产生一个高频压力振荡信号,加载在呼吸气道上,受试者自主呼吸过程中,呼吸系统对该高频压力振荡信号的响应信息调制在自主呼吸的流量信号上,通过同步采集自主呼吸过程中的压力和流量信号,运用系统辨识算法,便可以计算出呼吸系统力学特性。ERS给出的FOT系统示意图如图1所示,其中Loudspeaker产生高频压力振荡信号,加载到呼吸系统上,通过同步测量的压力信号Pao和流量信号V',实现呼吸系统力学特性辨识。

系统辨识示意图如图2所示,可以将呼吸系统作为一个‘黑箱’,通过观察系统的输入(压力Pao)和输出(流量V'),辨识系统特性(阻抗Zrs)。为便于理解,我们可以将呼吸系统等效为一个由电阻、电感、电容等电子元件构成的电学系统,通过电压(振荡压力)和电流(振荡气流),来实现系统特性和参数辨识。

虽然FOT的基本原理相对简单,是一个典型的系统辨识技术,但是实现起来并不容易,一方面是由于压力和流量信号都是小信号,在基于压力和流量信号作呼吸系统力学特性分析时,分析结果容易受呼吸运动谐波成分的影响[2,6],尤其在低频段,影响辨识精度;另一方面,系统辨识过程中,涉及到振荡单元和呼吸系统两大环节的系统特性辨识,激励信号(振荡信号)必须充分考虑振荡单元的幅频响应特性,在幅度和相位上进行优化,以产生理想的呼吸系统激励信号[6],从而实现有效的系统力学特性辨识。

1.2 激励信号类型

目前FOT原理都是基于线性系统辨识技术,因此从系统辨识的角度看,要实现系统状态的有效辨识,激励信号的频率和幅度都要满足一定的要求,既要保证系统的各个状态被充分激励,又要避免激励幅度过大引入非线性效应[2]。在激励信号类型上,先后出现过单频正弦、白噪声、伪随机和周期性脉冲四类信号,目前广泛使用的是单频正弦、伪随机和周期性脉冲[2]。

1.2.1 单频正弦信号

从系统辨识的角度看,正弦信号是最常用的激励信号源,早期的振荡肺功能技术采用的都是单频正弦信号作为呼吸系统激励信号[1]。单频正弦作为呼吸系统激励源的优点是信噪比比较高[2],缺点是要获得呼吸阻抗的频响特性曲线,需要多个正弦依次激励,检测时间太长。

1.2.2 伪随机信号

系统辨识常用的另一种激励信号源是伪随机信号,相对于白噪声序列,伪随机信号能够产生类似白噪声序列的频谱特性,可以达到较好的系统辨识效果,工程上又容易实现[7]。在振荡肺功能领域,应用最多的伪随机信号不是二进制伪随机序列,而是多正弦信号组合的伪随机序列,以解决单频正弦信号作为系统激励源时存在的检测时间太长的难题[8]。该伪随机信号在技术实现上需要考虑振荡单元频响特性,在多正弦信号的幅度和相位上充分优化,提高低频激励能量,从而提高系统辨识精度[6,9]。

1.2.3 周期性脉冲信号

周期性脉冲激励是近几年发展起来的一种振荡肺功能实现技术,被称为脉冲振荡肺功能(Impulse Oscillation System, IOS)[2,3],用一种持续时间短的(如几十毫秒)的周期性脉冲(如5 Hz的三角波)作为激励信号源,实现更快速的呼吸系统阻抗特性辨识,例如可以实现实时的吸气相和呼气相呼吸系统力学特性检测。周期性三角脉冲信号及其傅立叶变换如图3所示,左图所示三角脉冲持续时间25 ms,每秒钟重复2次,其频域变换为右图所示,频域采样率为5 Hz。从信号分析的角度看,周期性三角脉冲中包含了系统辨识所需的多正弦信号,因此通过调整三角脉冲持续时间及重复周期,就能产生系统辨识所需要的各类正弦激励信号,实现系统辨识的目的。与伪随机信号的技术实现一样,周期性脉冲信号需要考虑振荡单元频响特性在三角脉冲波形上充分优化,以产生理想的激励信号。

1.3 呼吸系统等效模型

常用的呼吸系统等效模型多为电学模型, 将粘性阻力、弹性阻力和肺的顺应性分别等效为电阻(R)、电感(I)和电容(C),根据辨识的不同目的,构建了不同的等效模型。图4 为最基本的RIC集总参数模型,其中R代表气道粘性阻力,I代表惯性阻力,C代表呼吸系统顺应性。

在该基本模型的基础上,发展出了多种不同的辨识模型,包括Du Bois模型[1]、Mead模型[10,11,12]、RIC扩展模型(e RIC,EXTENDED-RIC)[13,14]、RIC增强模型(a RIC,AUGMENTED-RIC)[14,15,16]等,如图5所示。根据不同的系统辨识目的,以及不同的激励信号源类型,可以选择不同的参数模型。

1.4 系统辨识算法

最常用的系统辨识算法还是基于快速傅立叶变换(FFT)的方法,根据线性系统辨识理论,结合图2,系统输入信号P(t)、系统传递函数h(t)、系统输出信号V(t)之间存在如下关系:

两边进行傅立叶变换后,进一步得到系统传递函数:

等效于电学知识(电压-电流-阻抗的关系)可以进一步得到系统阻抗:

若采用随机信号模型,则采用功率谱分析技术来实现上述阻抗测量[8]。由于测量信号中往往有干扰成分,可以采用相关分析法来提高测量精度[7],对于呼吸系统等效模型中的参数估计,可以采用最小二乘或者最大似然估计等算法实现[6,7]。

2 技术实现

综上所述可以看到,FOT的原理相对简单,就是基于压力和流量信号的系统辨识技术,但是该技术的具体实现并不容易,对硬件系统和软件系统都有一定要求。

2.1 硬件系统基本要求

2.1.1 压力信号测量

所选压力传感器应具有很好的频响特性,使高频振荡信号(4~40 Hz)能有效通过,同时具有较好的线性度(在<0.5 k Pa测量范围内,线性度在2%以内)[2]。

2.1.2 流量信号测量

所选流量传感器也应具有很好的频响特性,使高频振荡信号(4~40 Hz)能有效通过,同时具有较好的线性度(在1 L/s流量范围内,线性度在2%以内)。传感器优选Lily型双向气体流量传感器,在高至50 Hz的频带范围内,共模抑制比不小于60 d B[2]。

2.1.3 振荡单元

振荡单元要能够在足够短的时间内产生足够量的振荡气体,以周期性脉冲振荡技术为例,在气道阻力约为0.1 Pa.s/L的情况下,要在40 ms时间内产生至少40 m L的振荡气体,才能达到系统辨识的要求。同时,振荡单元产生的振荡压力信号又不能超过5 cm H2O,以免呼吸系统被过度激励产生非线性失真,理想的振荡压力水平为1~3 cm H2O[2,17]。在气路结构上,应使与大气相连的气阻对高频振荡信号为高阻态,对人体自主呼吸信号为低阻态,从而保证压力振荡信号能有效地加载在呼吸系统上[4]。

2.2 软件系统基本要求

2.2.1 信号采集

软件系统要求能够同步地采集振荡压力和呼吸气流信号,AD采样位数应在12 bit以上,常规振荡肺功能(4~40 Hz)所需采样率为200 Hz[2]。信号采集系统应同时具备DA和AD功能,DA用于产生所需的单频正弦、伪随机和周期性脉冲信号,经过功率放大后驱动扬声器。

2.2.2 信号处理

由于激励信号(压力振荡)的响应信息(流量振荡)调制在自主呼吸气流信号上,针对压力和流量信号进行系统辨识时,需要滤除自主呼吸信号以及其他高频干扰信号[2,6,7],可以采用滤波器的方法和时域加窗,如Hamming窗的方法[6],然后再对同步采集到压力和流量信号做FFT变换。IOS系统中用到了呼吸基线估计的方法,把每一次激励产生的脉冲气流信号提取出来,将同步的压力和流量信号作FFT变换,进行系统辨识。

2.2.3 参数估计

影响呼吸系统力学特性辨识最主要的问题在于低频段的阻抗特性估计,除了在激励信号发生环节,要充分考虑激励单元特性以产生较理想的激励信号(主要是低频特性补偿),在参数估计上,要采用一些信号处理方法,消除自主呼吸的影响,否则对呼吸阻抗的估计将是有偏估计,尤其在低频段[6]。目前在伪随机信号激励模型下,应用较好的是Navajas等[18]提出的参数估计器,Farre等[19]提出了时域平均技术以提高参数估计精度,Lorino等[6]系统的比较了各类信号处理技术对呼吸系统阻抗估计的影响。在数据段选择上,只有压力和流量信号的频域相干系数>0.95才认为该段数据有效,辨识结果可信[20]。

3 临床应用

3.1 适用人群

研究证明,FOT在检测呼吸道阻力变化以及由于吸烟或职业暴露导致的肺损伤方面与传统肺功能一样敏感[2],而在反应呼吸系统力学状态变化方面,能够提供比常规肺功能更加丰富的信息[3]。因此该技术适用于各类人群,尤其适合于老年人和儿童使用,在哮喘、慢性阻塞性肺疾病以及急性肺损伤等疾病方面更有优势[2,3],如FOT可以区分慢性阻塞性肺疾病病变过程中的中心气道阻塞和外周气道阻塞,研究表明呼吸阻抗是判断慢性阻塞性肺病患者气流阻塞的敏感指标,FOT测定是诊断哮喘、判断病情轻重的一个有用工具,其中共振频率这个指标与疾病程度非常敏感。

3.2 FOT参数

F O T是一种全新的呼吸系统力学特性检测技术,测量结果不同于传统的肺功能仪,随着激励信号频率的不同,会获得一系列的呼吸阻抗测量结果,可以反应呼吸生理和呼吸力学特性变化。临床上常用的有明确诊断意义的参数包括:Zrs:呼吸系统总阻抗;R5:总气道阻力;R20:中心气道阻力;fres:谐振频率或响应频率,该频率点弹性阻力等于惯性阻力;X5:周边弹性阻力;RC:中心阻力;Rf:周边阻力;Ers:肺和胸廓的弹性阻力。大气道阻塞时,R值在全频率范围内抬高,而周围气道阻塞时,R5明显抬高。限制型通气功能障碍时,R值在全频率范围内抬高,X值向负值方向压低,fres>10 Hz。除了上述参数,还可以得到阻抗容积图(impedance-volume graph)、阻抗频谱图(impedance-spectrum graph)、结构参数图(structure parameter graph)以及Intrabreath图等,可以从不同的角度观察呼吸系统力学特性。

4 总结与展望

振荡肺功能经过50多年的发展,已经成为呼吸生理和呼吸系统力学特性研究以及呼吸系统相关疾病诊断的一个重要工具,能够获得常规肺功能检测无法获得一些重要的呼吸力学信息,因此有着非常广阔的应用前景,有望成为解决当前呼吸医学所面临的生理和临床问题的一项稳健、无创的呼吸力学检测技术[3]。

振荡肺功能最新的技术演进是脉冲振荡技术,能够在更短的时间内完成测量,日本Chest公司推出的Most Graph借助该技术可以实现实时的逐呼吸的呼吸系统阻抗描记[4,5],为呼吸系统疾病诊断提供了更丰富的信息。FOT实现阻抗测量的技术难点在于低频段(<10 Hz)参数的准确估计,而从呼吸生理和疾病诊断角度看,0.1~10 Hz频带内的呼吸力学特性准确测量更具有价值[3],因此低频段呼吸力学参数测量和临床应用是工程技术研发的一个重点。研究方法上,振荡阻抗测量必须与功能影像和多尺度建模等技术结合,以明确特定结构改变(肺部)与振荡阻抗变化间的关系,使振荡肺功能的检查结果能够合理指导临床用药和手术方案。

振荡肺功能技术演进的另一个方向是小型化、便携式,可用于家庭和远程呼吸力学特性监测使用[21,22,23],也可以作为一个功能部件,与机械通气和睡眠呼吸机结合[2,23],实现治疗过程中的实时呼吸阻抗测量,优化治疗方案。

浅谈VLAN的原理与实现 篇10

VLAN (Virtual Local Area Network) 即虚拟局域网[1], 把局域网用户分为更小的工作组, 逻辑的分成不同的网段。每个工作组构成虚拟局域网。在总线型 (共享式) 局域网中, 所有主机共享总线带宽, 同一时刻时只能一台主机发送数据。每台主机发送的数据其他所有主机都能收到。这种情况下, 所有主机处于同一冲突域和同一广播域内。交换机的出现使情况出现了改变。在交换式局域网中, 多台主机可以同时发送和接收数据互不影响。每个交换机端口的带宽都是独立的。连接在交换机各端口上的主机处于不同的冲突域内。交换机的每个端口是一个冲突域。交换式局域网效率比共享式局域网大大的提高了。但是应用广泛的广播帧仍然不受交换机端口的限制, 可以在局域网内任意传播。大量广播帧的传播降低了局域网的带宽利用率。解决广播的问题我们可以使用路由器将一个大的局域网分成若干小的网段。因为路由器是三层设备, 对二层的广播帧不会转发, 从而达到隔离广播的效果。但是使用路由器增加了组网的成本, 而且他也无法隔离同一交换机内主机间的广播。为此IEEE协会专门制定了802.3q协议标准。这就是VLAN技术的根本。

2 VLAN技术的原理

2.1 VLAN的基本原理

VLAN (Virtual Local Area Network) 即虚拟局域网, 是将局域网内的设备逻辑地划分成一个个网段, 从而实现虚拟局域网的一种新兴交换技术。不同的VLAN成员之间是不可以直接通信, 需要通过路由支持才能通信:而同一个VLAN中的成员, 通过VLAN交换机可以实现直接通信, 不需路由支持。这样一个VLAN内部的广播和单播流量都不会转发到其他VLAN中, 就可以有效控制流量, 节省带宽并提高网络的性能;同时做到减少设备投资、简化网络管理、提高网络的安全性。

VLAN的基本原理是将一个大的局域网从逻辑上划分成若干小的虚拟局域网[2]。在每个虚拟局域网内的主机之间可以通信, 但不同虚拟局域网之间的主机是不可以通信的。这样就达到了减小广播域的目的。如图所示, 主机A, B属于VLAN1, C, D属于VLAN2。A与B之间可以相互通信, C与D之间也可以相互通信。但是A与C, A与D之间是不可以通信的。

2.2 VLAN的帧格式

同一个局域网不同VLAN的主机间不能通信, 802.1q标准规定在原有以太网帧格式中增加一个特殊的标志域Tag, 用于标识区分普通标准以太帧和VLAN帧。Tag域共占4个字节, 包括IPID和TCI (Tag Control Information) 两个域 (如图1所示) 。TPID是一个固定的16进制值0x8100, 表示这是一个加了802.1q标签的帧。Priority域占用3个bit位, 用于标识数据帧的优先级。CFI域仅占1bit位, 该位值为0表示该数据帧采用规范帧格式, 为1表示该数据帧采用为非规范帧格式。VLAN ID域占用12个bit位, 用于指明数据帧所属的VLAN号。

2.3 VLAN数据帧的传输

目前我们大部分主机都不支持带有TAG域的VLAN帧格式, 只能收发标准的以太网数据帧。所以支持VLAN的交换机在与主机和交换机进行通信时, 需要区别对待。当交换机将数据发送给主机时, 必须检查该数据帧, 并删除TAG域后再发送。当交换机接收到某数据帧时, 交换机根据数据帧中的TAG域或者接收端口的缺省VLAN ID来判断该数据帧应该转发到哪些端口。

3 VLAN的划分方法

3.1 基于端口的VLAN划分

基于端口的VLAN划分是目前应用最广泛的方法之一。该方法[3]是根据以太网交换机的端口来划分广播域。也就是说, 交换机某些端口连接的主机在一个广播域内, 而另一些端口连接的主机在另一个广播域。这种方法中VLAN各端口连接的主机无关。工作中我们可以利用这种方法, 将同一部门的所有端口划分进同一个VLAN。这样部门内的主机间就可能相互通信, 而且还能防止其他部门访问本部门的数据。但这种方法也有一个缺点, 不利于移动办公。如果某位员工因工作需要换了一下办公室, 我们就得去为他将相应的端口所属VLAN进行修改, 否则他就无法访问自己部门的主机了。随着笔记本电脑的流行, 人们办公经常随带自己的电脑。比如教师, 他们上课的教室不固定, 而且同一教室也有不同教研室的老师上课。要满足老师的这种需求我们就得不断地为他们改变端口的VLAN。显然这种情况下基于端口的VLAN划分就不太合理。

3.2 基于MAC地址的VLAN划分

基于MAC地址的VLAN划分方法也是应用最广泛的方法之一。该方法是根据连接在交换机上主机的MAC地址来划分广播域的。这种方法的VLAN划分最大的优点就是与端口无关。同一主机无论连接到局域网中的哪个端口, 他所属的VLAN不会改变。如果用户办公地点灵活应用这种方法划分VLAN是很合适的。这种方法划分VLAN的缺点是, 管理员必须收集所有主机的MAC地址, 工作量将会较大。

3.3 基于协议的VLAN划分

基于协议的VLAN划分方法是根据网络主机使用的网络协议来划分广播域。主机属于哪一个VLAN决定于它所运行的网络协议 (如IP协议和IPX协议) , 而与其它因素无关。这种VLAN划分在实际应用中非常少, 因为目前实际上绝大多数都是IP协议的主机。

3.4 基于子网的VLAN划分

基于子网的VLAN划分方法是根据网络主机使用的IP地址所在的网络子网来划分广播域的。IP地址属于同一个子网的主机属于同一个广播域, 而与主机的其它因素没有任何关系。这种VLAN划分方法管理配置灵活, 网络用户自由移动位置而不需重新配置主机或交换机, 并且可以按照传输协议进行子网划分, 人而实现针对具体应用服务来组织网络用户。但是, 这种方法也有它不足的一面, 因为为了判断用户属性, 必须检查每一个数据包的网络层地址, 这将耗费交换机不少的资源;并且同一个端口可能存在多个VLAN用户, 这对广播帧的抵制效率有所下降。

4 基于端口的VLAN划分在华为交换机上的配置方法

4.1 单一交换机上VLAN的划分

如图2所示[4], 我们把A, B主机所在端口 (1、2号端口) 划分进VLAN1, 把C, D主机所在端口 (5、6号端口) 划分进VLAN2。

方法1

[switch]vlan 1创建/进入vlan1

[switch-vlan1]port Ethernet 0/1 ethernet 0/2添加1、2号端口进vlan1

[switch-vlan1]vlan 2创建/进入vlan2

[switch-vlan2]port Ethernet 0/5 ethernet 0/6添加5、6号端口进vlan2

方法2

[switch]interface Ethernet 0/1进入端口1

[switch-ethernet 0/1]port access vlan 1

[switch]interface Ethernet 0/2

[switch-ethernet 0/2]port access vlan 1

[switch]interface Ethernet 0/5

[switch-ethernet 0/5]port access vlan 2

[switch]interface Ethernet 0/6

[switch-ethernet 0/6]port access vlan 2

4.2 跨交换机VLAN的配置[5]

跨交换机VLAN的配置如图3所示, A, B属于VLAN1, C, D属于VLAN2, 但A, D与B, C分别接在两台交换机上。配置方法如下。要注意的是连接两交换机的端口类型需设置成trunk, 以便通过所有VLAN的数据。

交换机SWITCHA的配置:

[switcha]vlan 1

[switcha-vlan1]port Ethernet 0/5

[switcha-vlan1]vlan 2

[switcha-vlan2]port Ethernet 0/6

[switcha]interface Ethernet 0/1

[switcha-ethernet 0/1]port link-type trunk将端口1设置为trunk

[switcha-ethernet 0/1]port trunk permit vlan all端口1允许所有VLAN数据通过

交换机SWITCHB的配置:

[switchb]vlan 1

[switchb-vlan1]port Ethernet 0/3

[switchb-vlan1]vlan 2

[switchb-vlan2]port Ethernet 0/20

[switchb]interface Ethernet 0/1

[switchb-ethernet 0/1]port link-type trunk

[switchb-ethernet 0/1]port trunk permit vlan all

5 总结

VLAN的划分方式灵活多样, 但应用最多的还是基于端口和基于MAC地址的划分。用户可根据自己的环境选择适合自己的划分方法。

摘要:VLAN是一种重要的局域网协议。本文简单介绍了VLAN的基本原理和划分方法, 并给出了一种基于华为交换机的VLAN配置方案。

关键词:VLAN,局域网,广播帧

参考文献

[1]李历成.网络管理标准教程[M].北京:人民邮电出版社, 2004.[1]李历成.网络管理标准教程[M].北京:人民邮电出版社, 2004.

[2]张国祥.校园网VLAN的研究与实现[J].湖北师范学院学报 (自然科学版) , 2004, 24 (2) :13.[2]张国祥.校园网VLAN的研究与实现[J].湖北师范学院学报 (自然科学版) , 2004, 24 (2) :13.

[3]张鹤颖, 窦文华.VLAN在千兆位以太网交换机中的实现[J].计算机应用研究, 2001 (7) :22-23.[3]张鹤颖, 窦文华.VLAN在千兆位以太网交换机中的实现[J].计算机应用研究, 2001 (7) :22-23.

[4]徐建东, 王海燕.计算机网络技术实验教学设计[J]宁波大学学报, 2004 (2) :107-110.[4]徐建东, 王海燕.计算机网络技术实验教学设计[J]宁波大学学报, 2004 (2) :107-110.

注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:66553826@qq.com

上一篇:马克思哲学原理论文提纲 下一篇:方向原理