基于路由器的网络安全(精选十篇)
基于路由器的网络安全 篇1
网络安全, 是一个复杂而关键的问题, 关系着人们日常工作和生活的顺利进行, 也是关系企业信息安全和个人隐私的重要工作。而随着技术的进步, 计算机网络由于自身监管方面的不足以及系统本身的漏洞, 也面临着各种各样的安全威胁, 如计算机病毒入侵、恶意攻击、密码和资料的窃取等, 严重影响计算机网络的安全使用, 必须引起人们的高度重视。
1 网络安全概述
1.1 概念
网络安全, 是指通过采用相应的技术和管理措施, 使网络系统可以正常运行, 从而确保网络数据的可用性、完整性和保密性, 避免因自然原因或人为原因而造成的数据信息的破坏和丢失。
1.2 特点
首先, 网络安全是技术与管理的相互补充。要切实保证网络的安全, 必须加强相应的防护措施, 防止来自病毒、黑客等的破坏, 同时也要加强管理, 提升管理的质量和效率, 避免误操作等造成的破坏。
其次, 网络安全是涉及网络信息的技术与理论的研究。对于不同的网络群体, 网络安全的定义和理念是不尽相同的。例如, 对于普通用户而言, 网络安全知识对私人信息的保护, 避免个人数据和隐私的泄露和丢失;而对于网络的提供商而言, 还必须充分考虑自然灾害的影响和人为的打击破坏, 以及对网络运行的维护工作。
1.3 现状
信息化时代的来临使得数据信息的重要性日益显著, 人们也逐渐开始重视其网络信息的安全管理。但是, 由于受到多种因素的影响, 当前网络安全管理的情形不容乐观, 信息的安全时刻受到威胁。计算机网络面临的安全隐患主要包括:系统漏洞、网络病毒、恶意人为攻击、自然灾害等。
2 基于网络安全的交换机和路由器设置
为了有效避免信息的泄露和丢失, 提升对于网络安全的防护和管理水平, 除了不断更新技术、修复漏洞, 加强管理外, 还需要对交换机和路由器进行合理设置, 充分发挥其安全防护功能, 以减少信息泄露的风险。
2.1 修改初始密码
密码是每一个交换机和路由器都具备的基础性安全防护措施。在使用前, 为了方便测试和管理, 一般的路由器和交换机使用的初始密码都是相同的, 如果没有及时进行修改, 就存在极大的安全隐患。因此, 要对交换机和路由器的初始密码进行修改, 重新设置新的、保密性更强的密码, 同时对密码以加密的方式, 进行储存, 防止因断电或设备重启造成的密码丢失, 影响其正常工作。通常情况下, 在对密码进行设置时, 要尽量避免连续性或规律性的数字, 采用数字、字母和符号的组合, 并且在可以记住的情况下, 提升密码的长度, 以减少密码被破解的机率。
2.2 进行权限设置
权限设置也是保证网络安全的有效措施之一, 可以通过对使用者权限的分析, 降低恶意人为行为对于系统的破坏。例如, 对于一般的使用人员, 可以仅仅给予基本的操作权限, 而对于网络的管理和维护人员, 可以给予最高的权限, 从而切实保证网络信息的安全。对权限进行管理和控制的最佳办法, 就是在授权进入前分, 对权限进行设置和划分, 可以利用认证以及账户服务器的方式进行。
2.3 对远程连接进行加密
远程连接, 是指一台计算机通过计算机网络, 远距离连接另外一台计算机, 从而实现信息的共享或管理。通过该功能, 网络管理员可以在家中安全的控制单位的服务器, 更加便捷。但是, 远程连接也使得计算机网络更容易受到来自黑客的恶意攻击, 从而对信息的安全造成威胁。因此, 为了保证管理传输的安全, 需要对远程连接进行加密, 以减少网络受到攻击的利率。通常情况下, 对交换机和路由器的远程连接功能进行加密时, 使用的是SSL/TLS的通讯协议。
2.4 加强虚拟网络管理
VLAN的产生和应用, 打破了以往隔离广播需要对网络进行子网划分的的定律。作为虚拟局域网, VLAN可以将物理网络在逻辑上进行划分, 形成各自独立的子网络, 隔离子网之间的相互通讯, 从而起到隔离广播的效果。
通过交换机的控制, 可以对数据的传输进行限制, 使得某一个VLAN成员发送的数据和信息只能由制定的、同一VLAN的其他成员进行接收, 从而避免信息的泄露。通过这种方式, 一方面, 可以起到隔离广播的作用, 另一方面, 也可以对网络安全进行管理。例如, 通过相应的设置, 可以将相对重要的部门与其他普通部门隔离, 从而保证机密信息的安全, 也可以通过权限的设置, 实现网络的安全管理。通常情况下, VLAN的划分, 可以根据实际需求, 按照相应的因素进行, 如按照IP地址、按照MAC地址等, 从而满足网络安全管理的要求。
2.5 架设防火墙
防火墙的作用, 在于保证计算机网络信息的安全, 可以提升网络安全的级别。最为广泛的应用方式, 是在传统路由器和多层交换机上, 架设相应的防火墙, 从而实现对于网络安全的防护。
3 结语
综上所述, 网络安全管理是一项长期的工作, 具有十分重大的现实意义, 也面临极为严峻的形式。管理人员要采取相应的手段, 对交换机和路由器进行合理设置, 建立相对稳定的多层立体安全防护系统, 切实保证网络安全, 确保网络数据的可用性、完整性和保密性。
参考文献
[1]张洹滨.浅析网络设备的安全设置[J].华南金融电脑, 2008, (6) :32-35.
[2]刘晶晶, 曹声.设置交换机及路由器, 使网络更加安全可靠[J].中国科技博览, 2010, (35) :469.
基于路由器的网络安全 篇2
摘要:
针对我国煤矿井下特殊的环境,基于LEACH路由协议提出新的高效,能量均衡的分簇 路由协议。簇首节点选取将以邻居节点的平均剩余能量与节点本身的剩余能量的比值,与邻 居节点的距离作为节点竞争簇头的参数,簇内节点均加入距离自己最近的簇头节点;经数据 融合后的簇首节点之间通过多跳方式通信,最终将融合后的信息通过网关节点,由有线网络 发送到地面的监控系统。利用NS2进行仿真,实验结果证明,改进后的协议能够均衡网络节点能耗,延长网络生命时间,适应煤矿井下特殊环境。1 前言
目前,我国煤矿采用的检测系统都以工业总线作为基础,井下检测系统与地面信息中心一般通过电缆或者光纤连接,构成有线的检测系统。但有线系统对线路依赖性强,受布线局 限,且需要专业人员维护,一旦设备出现故障,会使局部区域失去监测能力。因此,有线通 信其扩展性,网络覆盖率,灵活性存在不足,成本较高。但无线传感网络的出现给煤矿监控带来前所未有的希望,无线传感器网络具有放置灵活、扩展简便、移动性强、具有自组织性等特点,因此建立基于无线传感网络的煤矿无线监测系统可以对有线监控系统起到强大的补充功能,无线与有线的结合,将极大的提高全煤矿的安全监控水平。
但是,通常传感器节点的通信距离有限,在10~100 m范围内,节点只能与其射频覆盖范围内的邻居直接通信,因此限制了无线传感器网络在大规模范围的应用。现有的路由协议具有良好的自组织性,在一定程度上提高了网络的自组织性能,延长了网络寿命,但大多数适合小规模网络,节点的能耗分布不均衡,不适用于工作面有限异质可变空间,并且工作面的不断向前推进,信息流量不均衡,对网络的自组织性也提出了更高的要求。2 LEACH路由协议
路由协议按网络的拓扑结构可分为2类:平面路由协议和分簇路由协议。在平面路由协议中,各节点地位平等,通过局部操作和反馈信息来生成路由。平面路由缺乏对通信资源的优化管理,对网络动态变化的反应速度较慢。在分簇路由协议中,通常对网络中的节点进行层次划分,若干地理位置相邻的节点构成一个簇,每个簇内选举一个簇首。簇首节点负责簇内信息的收集、融合及簇间数据的转发。
分簇路由便于管理,能对系统变化做出快速反应,为网络提供高质量的通信服务。
典型的分簇路由协议LEACH(low energy adaptive clustering hierarchy)协议是Heinzelman 等人2002年提出的基于分簇的层次性路由协议,它采用分簇的网络结构,各节点独立地按照一定概率决定自己是否做簇首,周期性地进行簇首选举和网络重组,避免簇首节点能耗过 多,影响网络寿命。相比一般的平面协议或静态分簇协议,LEACH可以减少网络能量损耗,延长网络生命周期。在此基础上,很多人基于不同应用提出了改进方案,如Stephanie Lindsey等人提出的PEGASIS(power-efficient gathering in sensor information systems)协议,就是对LEACH协议的改进,其基本思想是使节点仅和它们最近的邻节点进行通信,增加网络生命时间。
研究发现,这些分簇路由协议具有很好的自组织特性,一定程度上提高了网络性能,延 长了网络寿命。但在工作面上无线传感网络是由信息采集端向外单向传输,组成的网络节点是一种带状分布、信息流量不均衡的网络,会造成节点的功耗分布不均,接近出口的汇聚节 点数据流量大,负载重,寿命短等现象。另外,随工作面的不断向前推进,网络结构将随之变化。现有的路由协议无法满足矿井下这种特殊环境。因此在LEACH路由协议的基础上,本文提出了一种能量平衡的大规模无线传感器网络分簇路由协议,以实现节能和均衡能耗相结合。3 网络模型
3.1 假设
为增加模拟工作面的真实性,我们将仿真场景大小设置为长带状区域,N个节点随机的布置在该区域。节点需满足以下条件: 所有的节点具有相同的且与无线电信号在各个方向上能耗相同,各节点的初始能量相等且能量有限,能感知自己的剩余能量,且具有功率控制能力可以改变发射功率,从而控制发送的距离,每个节点都具有足够的计算能力支持不同的MAC协议和数据处理。2 所有节点的通信距离不超过节点的有效通信距离 sink节点是固定放置在巷道的末端,且有持续的电源供给 4 相邻节点采集的数据具有较高的相关性,可进行数据融合 5 所有节点时间同步 3.2具体的能量公式
该模型考虑了发射电路的发射能量、接收电路接收能量, 且能量损耗与传输距离有关。发射机发射m比特消息消耗的能量为:
2mEelecmEfsd,dd0ETx(m,d)
(1)4mEelecmEmpd,dd0接收机接收m比特消息消耗的能量为:
ERx(m)mEelec
(2)ETx(m,d)为发射m比特数据所消耗的能量,ERx(m)为收到m比特数据所消耗的能量,d为传输距离,Eelec为每发送或接收1比特数据传输所消耗的能量,Efs为自由空间常数,Emp为多路径衰落传输常数,Efs和Emp与所采用的输信道模型有关。d0为传输距离的门限值d0Efs,当传输距离大于d0时数据传输的消耗相当大。Emp4分簇路由协议改进方案 4.1 簇形成过程
在LEACH协议中,簇首的产生具有很大的随机性,不能均衡能耗。矿井工作面的特殊 地形,各个簇都是相邻的,LEACH协议没有考虑节点的剩余能量,地理位置等因素。因此,我们根据工作面的特殊环境,设计改进的LEACH协议LEACH—IM 协议。在LEACH的基础上,簇头节点的个数为N,我们假设理想的成簇概率为P,最终成簇的数目为K=NP。簇 首节点选取将以邻居节点的平均剩余能量与节点本身的剩余能量的比值,担任簇首节点的总个数及邻居节点个数作为节点竞争簇头的参数。将能量的比值转化成时延,比值越小,时延越小,反之时延越大。网络所有节点在成为簇头之前,均等待一个时延,时延先到达的节点优先成为簇首节点。
在描述算法之前,先规定每个节点保存各自信息(节点ID,初始能量,节点剩余能量)及邻居节点信息(节点ID,剩余能量)。每轮分簇开始时,规定获取邻居节点信息时段为 TD。每个节点将以通信半径r,广播自身信息(节点ID,节点剩余能量Er)然后接收邻居节点信息,并更新本节点信息中邻居节点的平均剩余能量Ea和邻居节点的个数d。任取某节点Vi,邻居节点Vj,则Vi节点的平均剩余能量为:
1dEaEr
dj1当Vi节点的剩余能量Er>Ea时:
(3)t1Ea1TD
Erd(4)当Vi节点的剩余能量ErEa时:
t2TDET(1r)D
2E
2(5)在上式中的E是节点的初始能量,ρ是一个均匀分布在[0.9,1]之间的一个随机实数,其作用是减小两个节点可能取相同t值的概率。
在LEACH协议中簇首的选择还考虑到该节点在过去的操作中担当簇首节点的次数,在LEACH—IM协议中,我们将节点担当簇首节点的总时间作为衡量参数。我们将采用基于加权的分簇算法。
节点i的权值计算公式表示为:
Wiwt1w2T(to)
(6)其中,w1、w2是加权因子且满足w1w21。t表示由上式邻居节点的平均剩余能量与节点本身的剩余能量的比值转化成的时延;T(to)表示该节点从网络运行开始当过簇首的总时间。若节点的剩余能量较多,担任簇首节点的时间较短,则时延先到达的节点将优先成为簇头节点。
簇首确定后,其他节点从睡眠中醒来,接收簇首节点广播的信息,依据距离远近选择要加入的簇,并向簇首发送个人信息。簇首在接到节点加入信息后,将根据加入节点的数目,为簇内每个节点分配一个通信时隙,告知节点何时发送数据,至此就形成整个网络。簇形成之后就不再改变,当簇首节点低于预设的门限值后,将在簇内重新选择簇首节点,选择依据依然参照公式(6)。4.2 数据传输
形成簇之后,簇首节点将对采集到的数据进行必要处理和融合,随后进入数据传输阶段。数据传输包括簇内传输和簇间传输。簇内传输采用TDMA模式,可有效的防止信道冲突,节约能量;而簇间传输,传输数据量大,能耗大,考虑到工作面的特殊环境和采集检测数据的冗余性,我们采用最小生成树算法的多跳路由,实现簇头节点与sink节点的通信。5仿真结果
为了比较LEACH及其改进协议LEACH-IM的性能,将这两个算法在NS2中仿真。假 设仿真环境为400m * 10m,节点总数N=200个,节点的初始能量为2J,sink节点位于原点(0,0),理想的成簇概率为P=8%,能量模型参数参照文献[y]:Eelec50nJ/bit,Efs10nJ/bit/m2,Emp0.013nJ/bit/m2,代入公式可以得到有效通信距离
d087.7m,但参照文献[y],依照具体的应用环境,有效通信距离为d050m。最优簇首节点个数Kp*N16。簇内簇间数据融合率设置为0.7。
0.80.70.60.50.40.30.20.10——LEACH+-+-LEACH-IM节点死亡概率050010001500工作周期轮数200025003000
图1
图1显示了网络中节点死亡率随工作周期数的变化情况。从图中结果可以看出,LEACH-IM在延长网络生存时间方面性能突出。此外,从第一个节点开始死亡的时间点来看, LEACH-IM也具有明显的优势。结果还表明,LEACH-IM死亡速率变化相当缓慢。表明CEUC使整个网络的能耗分布趋于平均,使各节点的能量几乎同时耗尽,避免了某些节点被过度使用。
——LEACH+-+-LEACH-IM21.5节点平均能耗10.50050010001500工作周期轮数200025003000
图2 图2在能耗指标上对LEACH和LEACH-IM进行了比较。可以看到,LEAC-IM方法
使得簇内节点能耗均衡,每轮的能耗都比LEACH协议少很多;而LEACH簇内节点能耗与簇首位置分布及数目相关,当簇首分布均匀时簇内节点能耗均衡,反之不均衡,因此每轮的性能十分不稳定。新的算法比LEACH有了显著改进。4结束语
本文通过对LEACH协议的分析,并针对矿井下的实际环境对协议进行改进。仿真结果显示,改进后的协议能更好地平衡网络负载、节约能量消耗且具有更高的能量使用效率,实现了多方面的优化。参考文献
[1] 孙利民,李建中,陈 渝,等.“无线传感器网络”[M].北京:清华大学出版社,2005:3-4.Sun [2] 徐卫克.LEACH协议成簇机制的改进计算机与现代化[A] 2010年第11期:72—79 Xu Weike.[3] 吴 征,朱 军,韩永远。一种新的基于LEACH的WSN分簇协议[J],计算机技术与发展.2010.Vol.20 No.5:29—33
[4] 周莉娟,陈光柱,罗成名.采煤工作面无线传感器网络的无线通信信道建模,传感技术学报。2010 Vol 23 No.5: 722—726
[5] Soojung Hur,Jaehyen Kim,Jeonghee Choi,Yongwan Park.“An Efficient Addressing Scheme and Its Routing Algorithmfor a Large-ScaleWireless Sensor Network” EURASIP Journal onWireless Communications and Networking.Volume 2008,1—13 [6] Neeraj Kumar, Manoj Kumar, R.B.Patel.“Coverage and Connectivity Aware Neural Network Based Energy Efficient Routing in Wireless Sensor Networks” International jouenal on applications of graph theory in wireless ad hoc networks and sensor networks,Vol.2,No1,2010:45—60 [7] Adeel Akhtar, Abid Ali Minhas, and Sohail Jabbar.“Energy Aware Intra Cluster Routing for Wireless Sensor Networks” International Journal of Hybrid Information Technology Vol.3, No.1, January, 2010 :29—47 [8] 曲文虎,谷雨,屈玉贵 管彬“WSN中一种最优的汇聚节点移动方案”通信技术。Vol.43,No.08,2010 9—11
基于路由器的网络安全 篇3
关键词:无线传感网络;IPv6技术;通用接口;关键技术
中图分类号:TP212.9
本文针对无线传感器网络与IPv6网络互联,在分析现有接入方式不足的基础上提出了一种基于IPv6的无线传感器网络边界路由器的设计方案。方案主要阐述了边界路由器的硬件和软件设计的实现,重点介绍了基于IPv6的无线传感器网络协议栈适配层的设计。通过数据包分片与重组机制以及报头压缩机制,协议栈适配层实现了IPv6数据包在IEEE802.15.4链路中的传输。实验结果表明,该设计方案实现了无线传感器网络与IPv6网络的无缝融合,数据传输稳定可靠,具有实用性的应用价值。
无线传感器网络(Wireless Sensor Network,WSN)近年来发展迅速,在环境保护、工业设备监控、医疗监护、农田监测、智能家居、市政交通管理、军事侦察等领域具有广阔的应用前景。无线传感器网络的诸多应用都需要远程用户能够方便地对无线传感器网络资源进行访问、控制和使用。TCP/IP的广泛应用已经使其成为事实上的协议标准,加之IPv6的诸多优良特性,都使得实现无线传感器网络与IPv6网络的互联与融合是当前最现实的选择。
目前,无线传感器网络与IPv6网络互联主要有网关接入和直接接入两种方式。其中,网关接入是指利用网关在无线传感器网络和IP网络之间进行协议转换,实现数据的转发任务,但是网关接入还存在着网络结构复杂、成本较高等诸多问题;直接接入方式是指在无线传感器网络节点直接运行IPv6协议,能够实现无线传感器网络和Internet网络的无缝融合。无线传感器网络是低速率、低功耗的资源受限网络,在无线传感器节点上并不适合直接运行标准IPv6协议。
本文提出了一种基于JN5148模块的无线传感器网络边界路由器的设计方案,该方案能够实现无线传感器网络与IPv6网络的无缝融合,并通过实际测试证明了该方案的可行性。
1 边界路由器硬件设计
边界路由器硬件包括射频模块、处理器模块和电源模块等部分。其中,射频模块负责IEEE802.15.4数据帧的收发;处理器模块负责解析收到的数据帧,选择路径后进行转发处理;电源模块负责对其他模块供电。
1.1 射频模块
目前,无线传感器网络领域面向不同应用的协议栈众多,其中绝大部分协议栈都把IEEE802.15.4作为物理层和数据链路层的无线通信标准。支持IEEE802.15.4的射频模块主要有Jennic公司的JN5148、Ember250、MC13192、TI公司的CC2430和Digi公司的XBEE模块。
其中,JN5148模块将射频芯片与处理器集成一体,内置了IEEE802.15.4协议,不需要自行设计无线射频天线接口,开发成本较低,本文设计中选用Jennic公司的JN5148模块作为边界路由器的处理器和射频模块。
JN5148模块集成了基于OpenRISC核的32位RISC处理器,拥有完全兼容2.4GHzIEEE802.15.4标准的无线收发器,128KB的RAM运行应用程序,512KB的FLASH能够满足包括存储应用程序在内的大部分需求。
1.2 串行通信接口设计
无线传感器网络数据流量较小,对网络带宽要求不高,因此边界路由器与Internet网络之间可以采用UART串行总线连接。目前,各种网络设备中普遍应用USB接口,可以使用转换电路将USB接口转换为UART串行总线接口,本文选择FTDI232R芯片完成电平匹配和接口转换,FTDI232R是一款可编程的USB接口转UART接口的集成芯片,具有3.3V电压输出,可编程显示数据收发状态。
2 边界路由器软件设计
2.1 协议栈框架设计
无线传感器网络协议栈是无线传感器网络软件设计的核心,是无线传感器网络组网、节点与边界路由器以及节点与节点之间数据通信的基础。为了满足无线传感器网络全IP互联,需要精简IPv6协议以及实现IPv6数据帧在IEEE802.15.4帧中传输。本文设计的边界路由器采用基于IPv6的无线传感器网络协议栈。协议栈框架。
IEEE802.15.4物理层主要负责启动和关闭射频收发器、能量检测与信道扫描、清除信道评估以及无线电波信号的调制和解调等工作。IEEE802.15.4MAC层主要完成信道接入、链路的连接及断开以及数据通信的差错及流量控制等工作。轻量级操作系统Contiki负责协议栈各层任务调度及管理,保证协议栈工作的实时性。
协议栈包括的任务有自组网任务、适配层主任务、网络维护任务、IP层任务以及应用层任务,任务调度关系。
本设计选用的JN5148模块内部集成了IEEE802.15.4的物理层和MAC层协议,因此,协议栈设计的重点是适配层、IP网络层和传输层。
2.2 适配层设计
组建网络是边界路由器适配层需要完成的基本任务,系统启动后,自组网任务负责在选定信道和网络16位PAN_ID后建立网络。网络维护任务在网络建立后维持父节点与子节点之间的链路稳定,并在链路出现异常时进行上报并尝试修复链路。IEEE802.15.4物理层数据单元最大为127B,而IPv6要求链路支持的最小MTU(Maximum Transmission Unit,MTU)长度为1280B,明显不支持此长度MTU.适配层介于IEEE802.15.4MAC层和IP层之间,因此适配层主任务除了负责管理MAC层协议事件之外,主要完成节点自动地址配置、IP数据包的分片与重组和IP数据包头压缩与解压等功能以实现IP数据包在IEEE802.15.4链路中的传输。
2.3 地址映射机制
基于IPv6的无线传感器网络中每个节点都需要配置惟一的IPv6地址,但是手动配置繁琐并且难以保证地址惟一性。本文设计的无线传感器网络边界路由器采用无状态地址自动配置机制。IPv6地址由全局地址前缀和接口标识ID(Interface ID,IID)两部分组成。因为每一个射频模块都分配有一个全球惟一的IEEEEUI-64标识符,即64位MAC地址,因此可以利用EUI-64标识符获得一个IPv6地址接口标识ID来实现无状态地址自动配置。
参考文献:
[1]韦然.无线传感器网络节点的设计与实现[J].电子科技,2012(01).
[2]宋树彬,王能.无线传感器网络上超轻量化的IPv6协议栈[J].计算机应用,2007(10).
[3]黄琼,张宏科,郜帅.基于IPv6的无线传感器网络应用设计[J].重庆邮电学院学报(自然科学版),2006(05).
[4]刘小刚,张思东,季策.IPv6低速无线个域网的路由设计与实现[J].重庆邮电学院学报(自然科学版),2006(01).
[5]霍宏伟,张宏科,郜帅.一种IPv6无线传感器网络节点的设计与实现[J].计算机应用,2006(02).
作者简介:戴云松,男,云南建水人,总经理,高级工程师,硕士。
基于校园网的路由器安全防护设计 篇4
1 校园网路由器的安全隐患
1.1 路由器技术特点和自身安全分析
路由器位于一个或多个网段的交界处,按照协议和网络信息负责数据包的转发,一般工作在网络层和传输层。在网络层,路由器遇到一个IP包时,检查IP包中的目的IP地址,并与路由表中的项目进行比较,如果匹配,路由器则依照表中的指示转发IP包,如果不匹配,并且没有缺省的路由选择,IP包便被丢弃。在传输层,路由器利用TCP报头中的源端口号、目的端口号和TCP标志(如SYN和ACK标志)进行包过滤。路由器可以阻塞广播信息和不知名地址的传输,达到保护内部安全的目的。
路由器使用简单的包过滤技术,优点是不要求客户机和主机应用程序做出修改,因为它们只在IP和TCP层工作,与应用层无关。但是,在安全性方面缺陷很明显,首先,它只是将IP层和TCP层的地址、端口号和TCP标志等信息作为判定过滤与否的惟一依据,并没有对其它安全需求作出说明,因此路由器不能对通过高层协议进行的攻击实现有效的检测。其次,对一些协议,如UDP(没有TCP标志位ACK)和远程程序调用(RPC)很难进行过滤。路由器防范入侵的主要措施是根据系统要求确定路由规则,设计包过滤访问列表(ACL)。能否达到安全性取决于网管员对通信协议和行为的高水平理解。此外,路由器进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,包过滤规则条数的增加使路由器性能下降很大,而且在许多包过滤实施中缺乏审计和报警装置。
1.2 路由器的拓扑位置对校园网的安全影响
在典型的校园网环境(如图1)中,路由器一般处于防火墙的外部,负责与Internet的连接,这种拓扑结构实际上是将路由器暴露在校园网安全防线之外。如果路由器本身未采取适当的安全防范措施,就可能成为攻击者发起攻击的一块跳板,对内部网络安全造成威胁。
因此在网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络带来漏洞和风险。
2 路由器安全防护设计
路由器安全防护设计要围绕路由器的安全防护目标进行,安全目标简单总结为以下四点:
防止对路由器自身的未经授权的访问;
防止对网络的未经授权的访问;
防止网络数据窃听与攻击;
防止欺骗性路由更新。
2.1 路由器的访问安全设计
物理安全方面:让路由器工作在合适的温度、湿度下,不受电磁干扰,提供UPS电源供电,严格控制Console端口的访问,如果不使用AUX端口,则禁止这个端口。
密码安全策略:为特权模式的进入设置复杂、强壮的长口令。不要采用enable password设置口令,要用enable secret命令设置。并且要启用Service password-encryption密码加密服务。
控制对VTY的访问:建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。严格控制对VTY的访问。如:设置强壮的密码;控制连接的并发数目;严格控制通过VTY访问路由器的IP地址范围;采用AAA设置用户的访问控制等。
使用命令阻止察看路由器诊断信息、阻止查看到路由器当前的用户列表
2.2 路由器的路由安全设计
路由协议认证:对使用动态路由协议的路由器进行认证,建议启用MD5认证,并设置一定强度的密钥,相对的路由器必须有相同的密钥。
使用被动接口:在动态路由协议中使用passive-interface命令设置一些不需要转发路由信息的端口成为被动接口。
端口上禁止发送广播包:IP直接广播能够允许对你的设备实施拒绝服务攻击,占用网络资源,甚至造成网络的瘫痪。应在每个端口应用“no ip directed-broadcast”关闭IP直接广播。
禁止使用IP源路由:“IP source-route”命令允许路由器处理带源路由选项标记的数据流,启用源路由选项后,源路由信息指定的路由优先级高于目的路由,使数据流能够越过默认的路由,这种包就可能绕过防火墙带来安全隐患。关闭命令如下:no ip source-route
禁止使用IP重定向:攻击者可以利用IP重定向发送错误的重定向信息给末端主机,从而导致末端主机产生错误路由。使用no ip redirects关闭IP重定向。
校验数据包的路径的合法性:使用RPF(reverse path forwarding)反相路径转发,由于攻击者地址是违法的,所以攻击包被丢弃,它能够检查源IP地址的准确性,从而达到抵御spoofing攻击的目的。RPF反相路径转发的配置命令为:ip verify unicast reversepath。
禁止默认启用的Proxy-arp,它容易引起路由表的混乱。命令:no ip proxy-arp。
使用arp命令对安全MAC地址进行绑定。
2.3 路由器的服务安全设计
禁用不必要的、不使用的服务:
2.4 基于ACL的安全防范策略
防止外部IP地址欺骗:外部网络的用户可能会使用内网的合法IP地址或者回环地址作为源地址,从而实现非法访问。针对此类问题可建立如下访问列表:
注:一般在路由器外部接口的向内方向上绑定100列表。
防止外部的非法探测:非法访问者对内部网络发起攻击前,往往会用ping或其他命令探测网络,可建立如下访问列表:
注:一般在路由器外部接口的向外方向使绑定101列表,主要目的是阻止答复输出,不阻止探测进入。
阻止对关键端口的非法访问:防攻击、防木马、病毒等:
2.5 路由器其它安全管理措施
做好路由器操作系统的升级和备份,以及配置文件的备份,建议使用FTP代替TFTP。
利用ACL限定来自特定工作站的SNMP访问,通过这一功能提升SNMP服务的安全性能。
建立用户权限分级机制,并关闭不使用的端口。
建立完整的路由器的安全访问和维护记录日志,记录用户登录、权限变化、配置改变、系统状态变化等,便于审计、排障等。
3 结束语
路由器作为整个网络的关键设备,安全问题需要我们特别重视。但是,仅仅靠上面的这些设置方法,来保护我们的网络是远远不够的,还需要配合其他的设备来一起做好安全防范措施,将我们的校园网打造成为一个安全稳定的信息交流平台。
摘要:随着网络技术的普及,校园网扮演着越来越重要的角色,各种网络安全问题日益突出,而路由器的安全防护是网络安全的一个重要方面。文章从路由器的安全隐患分析入手,围绕路由器的安全防护目标,从路由器的访问安全、路由安全、服务安全、日志管理等方面提出了校园网路由器安全防护设计的详细思路和具体措施。
关键词:校园网,路由器,网络安全,访问控制列表,网络攻击,网络安全防护
参考文献
[1]赵清源.试论路由器的安全配置与安全维护[J].电脑与电信,2008(3):67-68
[2]郁诺.Cisco路由安全性分析和改进[J].电子设计工程,2010(10):115-118
[3]郭翔,谢宇飞,李锐.校园网层次型网络安全设计[J].科技资讯,2010(9):26
[4]单杰,梁希泉.路由器防护安全设计[J].科技信息,2011(8):638-640.
基于路由器的网络安全 篇5
开启TCP拦截分为三个步骤:
1. 设置TCP拦截的工作模式
TCP拦截的工作模式分为拦截和监视。在拦截模式下,路由器审核所有的TCP连接,自身的负担加重,所以我们一般让路由器工作在监视模式,监视TCP连接的时间和数目,超出预定值则关闭连接。
格式:ip tcp intercept mode (intercept|watch)
缺省为intercept
2. 设置访问表,以开启需要保护的主机
格式:access-list [100-199] [deny|permit] tcp source source-wildcard
destination destination-wildcard
举例:要保护219.148.150.126这台主机
access-list 101 permit tcp any host 219.148.150.126
3. 开启TCP拦截
ip tcp intercept list access-list-number
示例:我们有两台服务器219.148.150.126和219.148.150.125需要进行保护,可以这样配置:
ip tcp intercept list 101
ip tcp intercept mode watch
........
ip access-list 101 permit tcp any host 219.148.150.125
ip access-list 101 permit tcp any host 219.148.150.126
基于路由器的网络安全 篇6
关键词:访问控制列表 路由器 防火墙 包过滤
中图分类号:TP393.2 文献标识码:A 文章编号:1673-8454(2009)05-0077-03
计算机网络作为计算机及相关专业的一门专业基础课程,对学生的就业和专业发展都具有重要的作用。[1] 其中基于路由器的包过滤防火墙实验则是本课程的重难点内容之一,不仅理论知识比较抽象,对实验环境的硬件要求也很高。为了提高计算机专业学生的实践动手能力,我校投入大量资金组建了计算机网络实验室,能够满足从计算机局域网组建到Internet网络组建、从传统IPv4网络到IPv6网络实验环境的需要,基于该网络实验室的路由器和交换机等设备,我们对包过滤防火墙相关实验进行了教学设计。
一、学习者特征分析
本实验针对计算机专业普通本科学生开设,在此之前,他们已经系统地学习过计算机程序设计、计算机组成原理等课程,并且已经做过大量的硬件实验,具备基本的实践动手能力。而且,在本实验之前,他们已经做过局域网组建、VLAN划分、三层交换机路由设置以及路由器配置等网络实验,根据以往几个实验的经验,多数同学都能按照教师讲解的理论和实验内容将实验做出,所以我们本次实验依然采用下面的方法,首先对本实验涉及的理论知识进行讲解,然后将实验步骤大体讲解一遍,对实验用到的相关命令具体讲解,最后让同学们到实验室进行具体操作。
二、实验教学目标
根据上述学习者特征分析,包过滤防火墙实验的教学目标确定为通过该实验让学生熟悉在路由器上配置包过滤防火墙的相关配置命令,掌握在路由器上配置包过滤防火墙的方法与步骤,使学生的网络设计与组建能力、路由器配置能力、局域网理论知识、Internet理论知识和实践操作能力等各方面得到综合提高,这一教学目标与计算机网络课程的总体目标是一致的。[2] 在本实验教学目标的基础上,结合该实验内容我们把本实验教学目标分为两个子目标进行实现:一是学生能够理解标准访问控制列表的内涵,掌握基于标准访问控制列表的防火墙配置方法;二是学生能够理解扩展访问控制列表与标准访问控制列表的区别与联系,掌握基于扩展访问控制列表的防火墙的配置方法。[3] 两个子目标是递进的关系,围绕这两个子目标,我们设计了两个具体的实验项目,即基于标准访问控制列表的包过滤防火墙实验和基于扩展访问控制列表的包过滤防火墙实验。
三、实验环境搭建和实验内容选择
本实验是在我校计算机网络实验室进行的,前文我们提到该实验室能够满足从计算机局域网组建到Internet网络组建,从传统IPv4网络到IPv6网络实验等各种设备的需要,针对本实验我们选择的实验设备是2台DCS3926交换机、2台DCR1702路由器、2台PC机、路由器V35背对背连接线和若干根双绞线。
实验内容选择的是本实验教学设计中的重要环节,根据前面对学习者特征的分析,在实验内容的选择上,应遵循新颖性、实用性、综合性、拓展性等原则。根据实验教学目标体系和以上原则,本实验共设计了两个子实验,分别是基于标准访问控制列表的包过滤防火墙实验和基于扩展访问控制列表的包过滤防火墙实验。
四、实验教学过程设计
实验教学过程设计实际上就是实验教学实施流程的设计,不同类型的实验项目其实验教学过程的组织方式不同。实验类型一般有:演示实验、验证实验、操作实验、综合实验、设计实验和研究实验等,该实验定位为综合设计性实验,本实验要求学生能根据所学包过滤防火墙理论知识,按照实验目标的要求来设计实验的步骤,利用实验室提供的实验设备单组独立完成实验,实验具体设计步骤如下:
1.基于标准访问控制列表的包过滤防火墙实验
由于学生初次接触到访问控制列表的知识,同时该实验也是后续实验的基础,所以本实验是整个实验的重点和难点,本文实验教学安排两个学时。实验开始前,首先向学生介绍要用到的设备操作命令、访问控制列表的知识和实施步骤等,让学生对该实验有一个完整的认识;然后,再由学生进行实验设计。实验拓扑结构如图1所示,图1中路由器R1和R2通过V35线背对背连接,整个左面方框用来模拟外部网络,右面方框模拟内部网络,本实验主要模拟如何通过在内部网络出口路由器R2的入口上设置访问控制,进而保护内部网络,内网中的服务器在本实验中由一台DCS3926交换机代替。[4]
具体的实验操作流程如图2所示。
路由器R2上的主要配置如下:
(1)创建标准访问控制列表
R2#config //进入路由器配置模式
R2_config#ip access-list standard biaozhun //建立标准访问控制列表biaozhun
R2_config_std_nacl#deny 192.168.1.1 //禁止pc1访问内网服务器
R2_config_std_nacl#deny 192.168.1.2 //禁止pc2访问内网服务器
R2_config_std_nacl#deny 192.168.1.3 //禁止pc3访问内网服务器
R2_config_std_nacl#permit any //允许其他计算机访问内网
(2)将标准访问控制列表应用到路由器R2serial0/2口的in方向上
R2#config
R2_config#interface serial 0/2 //进入串口0/2
R2_config_s0/2#ip access-group biaozhun in //将标准访问控制列表biaozhun应用到s0/2的in方向上
(3)测试
配置完毕后,在pc1、pc2和pc3上分别用ping命令测试,结果是都不能访问内网server。
2.基于扩展访问控制列表的包过滤防火墙实验
该实验是前一个实验的扩展,从理论上讲,增加了服务端口的概念,所以本实验仍然安排两个学时。本实验要求对外网中的不同用户分类控制,如pc1不能ping通内网server,pc2不能访问内网server的telnet服务,pc3不能访问内网server的Web服务。实验所需设备同实验1,需要在内网server上启动telnet和Web服务,实验拓扑结构见图1。
实验操作流程如图3所示。
路由器R2上的主要配置如下:
(1)创建扩展访问控制列表
R2#config
R2_config#ip access-list extended kuozhan //建立扩展访问控制列表kuozhan
R2_config_ext_nacl#deny icmp 192.168.1.1 255.255.255.255 any //禁止pc1ping内网server
R2_config_ext_nacl#deny tcp 192.168.1.2 255.255.255.255 anyeq 23 //禁止pc2访问内网server远程访问服务telnet
R2_config_ext_nacl# deny tcp 192.168.1.3 255.255.255.255 anyeq 80 //禁止pc3访问内网server web服务
R2_config_ext_nacl#permit ip any any //允许其他计算机访问内网
(2)将扩展列表kuozhan应用到路由器R2serial0/2口的in方向上
R2#config
R2_config#interface serial 0/2
R2_config_s0/2#ip access-group kuozhan in//将扩展访问列表kuozhan应用到R2串口的in方向上
(3)测试
配置完毕后进行测试,结果如下:pc1不能ping通内网server,但能访问内网server的telnet和Web服务;pc2不能访问内网server的telnet服务,但能访问内网server的Web服务,也能ping通内网server;pc3不能访问内网server的Web服务,但能ping通内网server,也能访问内网server的telnet服务。
通过做这样一个综合性、设计性较强的实验,学生综合运用所学理论知识的能力得到很大提高,基本达到了培养学生综合实验能力的目的,实现了学校通过实验提高学生基本素质的目标。
五、实验教学效果评价
实验教学效果的评价方法很多,结合网络实验课程教学的特点,我们主要通过两种方式评价计算机网络课程的实验教学,即书写实验报告和实践操作。其中实践操作评价又可分为:实物演习式评价和模拟演习式评价。所谓实物演习即学生操作真实设备,参与真实网络组建和配置等针对现场实物的操作方式。通过参加这些真实的实践、实习、组建等活动,来检验实验教学的效果。所谓模拟演习即借助于模拟软件创设的虚拟实验环境来设计并组建相关的虚拟操作方式,通过模拟实习也可以检测实验教学的效果。
本实验是学生在网络实验室真实环境中进行的,辅导教师可针对学生实验过程中实验设计的成功率和实验所用的时间来检测实验教学的效果,并及时给予有针对性的帮助和指导。
本实验教学的设计是针对计算机专业学生进行的,所以在目标定位、实验内容、实验项目的确定及实验过程的组织方式等方面都体现了计算机专业的特色,并考虑了计算机专业的需求,具有一定的专业针对性。本实验对其他专业的学生学习有一定的指导性,对于教授本实验课程的教师有一定的借鉴意义。?筅
参考文献:
[1]米伟娜,王海燕.基于Boson netsim虚拟平台的VLAN实验教学设计[J].现代教育技术,2008,18(10):121-124.
[2]徐建东,王海燕.计算机网络技术实验教学设计[J].宁波大学学报,2004,(2):38-45.
[3]石硕.交换机/路由器及其配置[M].北京:电子工业出版社,2007:38-45.
基于路由器的网络安全 篇7
关键词:虚拟化技术,软件路由,组播网络,网络视频
随着科技的发展, 虚拟化、软件路由、组播网络等新兴技术发展逐渐成熟, 在计算机网络领域产生了较大的影响。许多单位、企业需要组建内部网络, 实现数据共享, 并在此基础上实现如视频会议、在线音视频播放等功能。为实现网络的充分利用和数据的高效传输, 在虚拟化、软件路由的基础上搭建组播网络是一个理想的选择。
1 技术概述
1.1 虚拟化技术
虚拟化技术是云计算的基础, 将原本直接安装在个人计算机硬件上的OS转换为虚拟机, 在一台实体机器上同时运行多个不同的操作系统[1]。文中采用VMware公司的虚拟操作系统ESXi5.0, 通过配套的VMware v Sphere Client 5.0控制虚拟机及其子操作系统的安装和网络配置。
1.2 Router OS软件路由器
Router OS是一个基于Linux的路由操作系统, 可以安装在计算机硬件上作为一个普通路由器。软件经历了多次更新和改进, 使其功能不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着突出的功能[2]。
文中使用的是ROS3.30版本, 并安装Multicast组播功能包, 设置其组播功能。在虚拟机上安装6个ROS路由器, 通过ESXi内部网络设置搭建一个组播网络[1]。
1.3 组播网络
组播是主机之间“一对一组”的通讯模式, 加入了同一个组的主机可以接收到此组内的所有数据, 网络中的交换机和路由器只向有需求者复制并转发其所需数据。主机可以向路由器请求加入或退出某个组, 网络中的路由器和交换机有选择地复制并传输数据, 即只将组内数据传输给那些加入组的主机。这样既能一次将数据传输给多个有需要 (加入组) 的主机, 又能保证不影响其他不需要 (未加入组) 的主机的其他通讯[3]。
组播网络中有几个比较重要的协议, 如IGMP (组播管理协议) 、PIM-DM (协议无关组播密集模式) 、PIM-SM (协议无关组播稀疏模式) 等[4]。
文中通过2种方法测试组播网络: (1) 通过组播测试工具Wsend和Wlisten, 在服务器端利用Wsend发送组播数据包, 在客户机端利用Wlisten接收组播数据包, 查看接收速率和掉包率等, 以判断组播网络的连通性和稳定性。 (2) 利用视频播放软件VLC在服务器端搭建视频服务器, 并发送组播数据包, 同时在多个客户机端输入组播地址收看视频, 查看视频播放情况。
2 搭建组播网络
2.1 在虚拟机上安装操作系统
ESXi5.0安装好之后, 通过v Sphere Client登录到管理界面, 创建操作系统, 在操作系统安装完成后, 仍可以通过管理工具修改操作系统上硬件的数量和参数。安装好6个ROS系统、1个基于Windows Server2003的视频服务器、3个基于Windows Server 2003的客户机。
2.2 组播网络拓扑
虚拟设备网络连接如图1所示, 每个ROS都有2个网卡, 每个终端都有一个网卡, 根据设计的设备连接图, 配置虚拟机的网络。ESXi的网络设置中, 将每个实体网卡当作一个交换机, 虚拟的操作系统通过交换机组建内部网络[1], 设置好的网络如图2所示。
2.3 连通内部网络
配置好网络后, 需要配置各ROS及主机客户机的IP地址, 以达到主机与客户机的数据连通[2], 如图3所示。
根据设计好的IP地址, 登入ROS操作系统内部配置好相对应的IP地址。并在路由器上指定相应的IP网关。各ROS路由器及客户机的网关如下
ROS1:192.168.1.1;ROS2:192.168.2.1;ROS3:192.168.2.1。
ROS4:192.168.2.1;ROS5:192.168.3.1;ROS6:192.168.5.1。
Client1:192.168.4.1;Client2:192.168.6.1;Client3:192.168.7.1。
设置好IP地址及网关后, 仍需要设置各路由器的网络地址转换 (NAT) 的方式, 将所有路由器IP模块的firewall中nat部分设置为chain=srcnat, action=masquerade[2]。
登入每个路由器及客户机中, 使用ping命令连接服务器的IP地址, 全部可以ping通, 至此ROS路由器的初步设置基本完成, 在此基础上进行组播网络的配置。
2.4 组播配置
组播网络中需要将一个路由器设置为RP汇聚点 (Rendezvous Point) , 其作用是告诉周围路由器组播源的方位, 从而形成一个从组播源到接收者的通道[4]。本文将ROS1作为整个组播网络的RP, 其他的路由器通过ROS1访问组播源。
文中ROS3.30采用PIM-SM稀疏模式协议和IGMPv2协议。安装好multicast扩展包之后, 在routing模块中的PIM进行设置, 具体设置如下[5]。
设置ROS1:
[admin@ROS1]>routing pim interface add ether1, ether2//使ether1和ether2支持PIM和IGMP协议
[admin@ROS1]>routing pim interface p//查看各网卡及其支持的组播协议
[admin@ROS1]>routing pim rp add address=192.168.1.251 group=239.255.255.0/24//设置组播网络的RP, 并设置IP地址为ROS 1上ether1的IP地址, 并划定了组播地址范围。
其他5个ROS的设置基本相同, 需要在设置RP时将RP的IP地址写为ROS1的ether1的地址192.168.1.251。当所有的路由器设置完成后, 组播网络搭建完毕。
3 组播网络运行及测试
3.1 利用组播工具测试网络连通性
在路由器的配置阶段, 已经证实了各子网间的连通性, 需要测试的是组播网络是否已经正常工作。在视频服务器Video Server上运行Wsend程序, 添加一个组播地址, 这个地址需要在之前设置的RP的组播组内。设置过程如图4所示。
在客户机Client1上运行Wlisten程序, 设置要接收数据包的组播地址。设置过程如图5所示。服务器VideoServer上Wsend程序开始发送数据包, 如图6所示。
客户机Client1上Wlisten接收组播数据包, 如图7所示。
可以看到, 数据包的延迟微小, 丢包率几乎为0, 说明此组播网络稳定。另外2个客户机的测试方法和Client1相同, 经过测试, 组播网络已经连通, 效果较为理想。
3.2 利用VLC测试组播网络上的视频播放
本文使用一个开源视频播放软件VLC video player, 它既是一个视频播放器, 也可以通过配置, 作为一个视频服务器, 发送视频数据, 从其他客户端接收数据, 实现实时的视频数据传输。
将本地视频文件通过组播方式将视频流发送出去的设置为:File———Wizard———Stream to network———Choose———从本地选择相应的视频文件———选择Streaming method为UDP Multicast, 组播地址为239.255.255.254, 默认端口1234———转码格式为MPEG TS———Time-to-Live (TTL) 设为128———Finsh。还需要在Setting———Preferences———Sreaming Output中将Time-to-Live设置为128。
设置完成后, 服务器端视频播放不显示, 只显示进度条, 如图8所示。
在客户机Client1端, 打开VLC播放器, 输入组播播放地址, File———Open Network Sream在Network选项中选择UDP/RTP Multicast, IP地址239.255.255.254, Port1234———Finsh。设置完成后开始播放视频软件, 如图9所示。
其他客户端Client2, Client3与Client1设置完全相同, 经过测试, 均可正常播放。测试视频播放的流畅度方面, 采取的方式是对视频文件在本地直接播放的速率、组播服务器发送组播视频流的速率及客户端接收视频流的速率进行对比。
如图10~图12所示, 组播视频服务器的输入比特率为1 171 kbit·s-1, 而客户端接收组播视频的输入比特率为900 kbit·s-1, 说明在传输过程中, 视频的传输速率降低很小;客户端播放过程丢帧数很小;经过长时间的播放, 视频出现的卡顿现象较少。以上现象都说明视频数据在组播网络的传输较顺畅, 视频播放效果良好。
测试视频服务器的负载方面, 对视频服务器的CPU负载进行记录:当3个客户端同时采用点播方式播放视频流时, 视频服务器的负载达到100%;当3个客户端采用组播方式播放视频流时, 视频服务器的负载约降低了80%。这说明组播对视频服务器的负载有一定的减小。当组播网络进一步放大, 有更多的路由器、服务器、客户端时, 对服务器负载减小、视频流传输的速度将会有更大的提升, 组播的优势也会更明显地显现出来。
4 结束语
虚拟化、软件路由、组播网络都是近些年来发展较为迅速的技术, 文中将这3种技术结合, 提出了一种组播的解决方案, 并进行测试。用较小的成本实现了组播网络, 具有一定的实用性。从实验结果来看, 方案较好地完成了预期的目标, 由于将数据传输的负载转移到了路由器上, 大幅减轻了视频服务器的负载, 证实了组播网络对多用户视频播放性能有较大的提升。
参考文献
[1]熊信彰.VMware vSphere 4云操作系统搭建配置入门与实战[M].北京:中国水利水电出版社, 2011.
[2]崔北亮.Router OS全攻略[M].北京:电子工业出版社, 2010.
[3]周贤伟, 杨军, 薛楠, 等.IP组播与安全[M].北京:国防工业出版社, 2006.
[4]岩延, 郭江涛.组播路由协议设计及应用[M].北京:人民邮电出版社, 2002.
基于路由器的网络安全 篇8
网络处理器实际上是一个为网络设计的ASIP (Application Specific Instruction Set Processor, 专用指令集处理器) 。ASIP为某个或某一类型应用而专门设计。通过权衡速度、功耗、成本、灵活性等多个方面的设计约束, 设计者可以定制ASIP达到最好的平衡点, 从而适应嵌入式系统的需要。网络处理器通过硬件执行, 实现许多应用的性能要求;通过软件编程, 实现灵活性。GPP (General Purpose Processor) 是一种实现通用目的的可完全编程的处理器解决方案。ASIC (Application Specific Integrated Circuit) 是一种专用集成电路的全硬件系统解决方案。ASIP是对上述两种方案的折中, 在设计时间和设计售价上获得竞争优势, 缩短产品上市的时间。
MPLS (Multi-protocol Label Switching, 多协议标记交换) 是一种在开放的通信网上利用标记引导数据高速、高效传输的新技术, 正在成为扩大IP网络规模的重要标准。MPLS转发的优势主要体现在以下几点:
1、转发功能和路由功能分离, MPLS的核心只简单地执行转发操作, 无需检查包的内容, 仅在网络边缘实施一次路径及策略的选择, 因此, 使整体骨干网络性能的提高得到保证。
2、结合第二层交换的高效性和第三层路由的灵活性, 既简化了IP路由的操作, 也高效地利用了网络的资源, 从而使网络的性能得到优化。
3、采用一种标记交换的公共转发算法, 定长标记的严格匹配简化了数据包转发, 淘汰传统的基于IP分组中头端信息进行IP路由转发的机制, 提高了转发效率。
4、使用标记栈, 减小传统路由表的大小, 有利于扩展路由。
二、转发处理模块组的构成
本文基于Intel公司的IXP2400网络处理器进行设计。转发处理模块工作在入口芯片上, 被分配到的微引擎为ME1、ME2、ME5和ME6, 通信机制是Scratch Ring (一种暂时存储器, 16K字节, 用于在ME之间传递数据包的信息) 。
对于无标记分组, 入口LER (Label Edge Router, 标记边缘路由器) 首先分析第三层包头信息, 确定分组的FEC (Forwarding Equivalence Class, 转发等价类) , 然后执行FTN (FEC to NHLFE Map, FEC到NHLFE的映射) 操作, 根据得到的NHLFE (Next Hop Label Forwarding Entry, 下一跳标记转发条目) 执行标记的入栈和确定下一跳信息, 再转发分组。NHLFE是分组通过标记的映射查找到的相应转发信息。不同标记映射得到的NHLFE在数据结构上有所区别。
对于标记分组, LSR (Label Switching Router, 标记交换路由器) 首先读取标记栈的顶层标记, 然后执行ILM (Incoming Label Map, 输入标记映射) 操作, 根据得到的NHLFE执行相应的标记栈操作和确定下一跳信息, 再转发分组。LSR仅负责基于到达分组的标记进行快速准确的路由。在交换过程中, 由LSR所产生的固定长度的标记操作替代IP分组头的操作, 大大简化了节点处理。
转发处理模块组流程框图如下所示:
三、转发处理模块组的流程分析
转发处理由多个模块构成模块组, 用调度循环控制包在该模块组内的模块之间的流动。
1、每个线程上的dl_source[]模块从接收处理模块RX读取包的元数据信息, 即包的描述字, 配置调度循环的状态。同时, 从芯片上的DRAM读取包头的32字节, 存放入DRAM的Xfer寄存器, 作为头高速缓冲。为维护包顺序, 模块中的线程执行时按照严格的顺序, 从Scratch Ring中取包。这表示微引擎的第一个线程让第一个包出队, 再发信号给下一个线程, 让其执行下一个出队操作。经过这个模块后, 包进入解除封装和分类模块处理。
2、解除封装和包类型分类模块修改包元数据描述字中的偏移和大小域, 移去第二层包头;通过已读取的包头与库文件中包类型的声明 (包头长、包头偏移、类型代码起始、类型代码长和类型代码对应的具体类型) , 得到包的确切类型。根据类型, 把包传送到相应的处理模块。本文在具体实现中仅处理PPP_IPV4 (0x0021) 、PPP_MPLS_UNICAST (0x0281) 类型的数据包。
3、ILM转发模块首先从标记栈顶得到标记, 判断标记是否在保留标记范围。若是, 则转保留标记处理子程序, 否则, 根据ILM表的内存分配和标记分配情况, 转换标记为查找索引 (条目或条目集) , 定位到相应的NHLFE条目。其次, 从条目中得到相应的操作代码, 转到各自的处理子程序。最后, 包传递到下一个模块 (队列管理QM) , 也可能是丢弃, 向上交给核, 或是送IP转发模块处理。
4、六元组分类器 (6-tupple classifier) 从dl_source[模块接收和处理非MPLS类型的包和元数据, 如果在分类规则表中找不到完全匹配, 转IP转发模块处理;否则, 得到新的dl_next_hop_id等信息 (这些信息存放在分类规则表中HASH索引值对应的存储器中, 如果考虑HASH值冲突的情况, 可以建立存储器链表) , 传递到下一个FTN转发模块处理。在实际应用中, 可以根据需要, 添加规则, 维护分类规则表。IXP2400提供硬件HASH运算器, 调用微引擎指令集中的指令:hash_48, hash_64, hash_128, 可以产生三种不同长度的HASH结果值, 分别是48位, 64位, 128位, 位数越大, 不同的六元组产生相同HASH结果值的可能性就越小。
5、FTN转发模块实现MPLS入口LER的功能, 接收经过六元组分类器处理的IP包。它仅处理调度循环变量下一跳标识类型 (dl_nexthop_id_type) 设置为NHID_MPLS (值是2) 的包。这种包的调度循环变量下一跳标识 (dl_next_hop_id) 包含一个FEC标识, 由六元组分类器设置。首先, FTN转发模块读取FEC标识指向的NHLFE条目。如果是NHLFE条目集, 则选择条目集中的一个单元。象ILM转发模块一样, 用于决定这种选择的算法, 可以基于包的差分服务信息, 也可以实现负载均衡和容错。这里讨论的FTN转发模块采用项目集中的第一个单元。NHLFE条目包含包的下一跳信息 (出口芯片、输出端口、二层表索引) , LSP (Label Switching Path, 标记交换路径) 的差分服务标签和隧道模式, 以及准备压入包首部的标记等。然后, 基于IP头TTL域值和NHLFE条目中的TTL递减值, 决定出口TTL值。如果值小于1, 产生异常代码TTL_EX-PIRED, 传递包到MPLS核组件;否则, 根据NHLFE条目的指定, 给包加标记, 更新包的元数据 (包大小、缓冲区偏移等) , 设置指定下一跳的调度循环变量, 如dl_next_hop_id, dl_output_port_egress dl_output_port_fabric。最后, 准备发送包前, 按照NHLFE条目指定的maxLabPktsize, 检查包长。如果超出, 产生异常代码LABELED_PACK-ET_TOO_BIG, 传递包到MPLS核组件;否则, 发送包到下一模块。
6、经过ILM、FTN和IPv4转发处理的包, 被传送到dl_qm_sink[]模块。它检查包是否被丢弃, 或是送到核。如果不是, 它通过Scratch ring传送一个入队请求给队列管理模块QM。同时, 把高速缓存的包头信息写入DRAM, 包的元数据信息写入SRAM。
四、结束语
本文从总体上给出数据转发模块组的设计分析, 下一步的工作是实现对ILM、FTN以及六元组分类模块的数据结构建立和微代码编程。
摘要:数据转发模块组是基于IXP2400的MPLS路由器转发设计的核心, 主要实现包解封与分类、MPLS转发和IPv4转发。本文对一种MPLS数据转发模块组设计方案进行分析。
关键词:MPLS,FTN,ILM,网络处理器
参考文献
[1]IXP2400 HardWare Reference Manual[DB/OL].
[2]IXP2400 Programmer’s Reference Manual[DB/OL].
[3]IXP2400 Software Building Blocks Applications[DB/OL].
[4]IXP2400网络处理器北京邮电大学培训中心[DB/OL].
基于路由器的网络安全 篇9
无线移动Ad Hoc网络 (MANET) 是指一组带有无线收发装置的移动节点组成的一种多跳的、临时性的自治系统。整个网络没有固定的基础设施和管理中心。所有节点都具有终端和路由的功能, 并且都可以用任何方式动态地保持与其他节点的联系[1,2,3,4,5,6]。
由于Ad Hoc网络连接的不可靠性和网络拓朴结构动态变化, 单一路径的Ad Hoc网络路由不能获得太大的通信率, 在Ad Hoc网络中采用多路径路由可获得更高的稳定性和通信率, 同时网络的安全性也十分重要。
AODV是无线Ad hoc网络中的一个单路径按需路由协议, 它使用了四种报文, 由路由发现阶段和路由维护阶段组成。AODV借助动态源路由协议 (DSR) 中基本路由建立和维护机制和DSDV (目标序列距离矢量) 路由协议中的逐跳法路由向量。为避免出现路由环路的问题, AODV在控制包中使用精确的序列号。AOMDV是AODV协议的扩展, 用来进行多路径路由选择。AOMDV对多路径路由主要引入了广播跳数并修改了AODV的路由发现机制。它将AODV协议用于计算多个无环和不相交路径的扩充, 为跟踪多个路由, 每个目标节点的路由实体中都包含一个下一转发的清单和相应的跳数。所有的下一转发都有相同的序列号。对每一个目标节点, 节点中都包含这个已知的跳数, 即所有路径的最大跳数。这个跳数被用来发送目标节点的路由通知。
在无线Ad hoc网络中, 很多应用都要求提供QoS支持。QoS是对网络提供给用户的服务性能水平的测量。迄今为止, 大多数文献中提供的解决方法都是基于两个参数来提供QoS保证:吞吐量和延迟, 其中, 以吞吐量居多。
1 多路径路由发现过程
AOMDV[7]是一个基于距离矢量的按需多路径路由协议, 主要包括两部分:路由请求和路由维护。
在多路由发现和建立阶段, 它和AODV相同。图1中, 现有3个路由, 当源节点S接收到RREP包, 第一个到达的RREP包被无条件接收, 前向路由被接受, 这个路由通常和AODV路由相同。我们用传输延迟作为参数。例如, 前向路由选择按以下方式执行:当重复的包的发送时间等于或大于路由表中的最后信息时间, 这个包将被接收, 一个前向的路径被接受。图1中给出了多个路径的发现过程。
我们的QBSRP协议修改了基本的AOMDV协议, 增加了在源节点和目标节点间发现多个节点不相交QoS路径的机制。为了计算到达目标节点D的基于QoS考虑的多条路径, 源节点S生成一个QoS路由请求包 (QRREQ) , 将Bmin (最小吞吐量) 和Dmax (最大延迟) 作为该应用的QoS需求参数。当某次传输需要一个路由到达某目标节点而无路由可用时, 源节点通过生成一个路由包RREQ并广播它来发起一个路由发现进程。一旦源节点的任一个邻节点接收到RREQ包, 首先, 它的地址将被写入该RREQ包的“上一跳”信息域, 该信息域可用来检测链路不相交反向路径。然后, 更新RREQ包的路由表记录形成一个反向路径。最后, 节点会对RREQ包做一些调整:如增加跳数并广播该信息。
一个中间节点仅接收具有不同“上一跳”的RREQ包, 并且其跳数不能大于路由表记录中的通知跳数, 即第一个RREQ包到达某个指定目标节点的最长可用路径长度。然后像源节点的邻节点一样重复上述两个步骤。因此, 在中间节点, 到达相同目标节点的多个相反路径形成, 并列入其路由表中。
目标节点会接收所有的RREQ包, 但是只为具有不同“上一跳”的RREQ包建立反向路径。图2中给出了建立反向路径过程的例子。
一旦目标节点接收到一个RREQ包, 它会回应一个路由包RREP (路由应答) , 即使该RREQ和以前的RREQ包有相同的“上一跳”。在目标节点将该RREP发回给它的邻节点之前, RREQ包中的“上一跳”信息域必须被写入RREP包的“ACK”域, 来处理“路由断连”问题。这一点和AOMDV协议不同, 在我们的机制中“ACK”域会被看作一个标准。图3给出了一个建立前向路径的例子。
2 网络模型
网络通常可用一个加权有向图G= (N, E) 来表示, 其中N代表节点集合, E代表节点间的通信链路集合。|N|和|E|分别代表网络中的节点数量和链路数量。不失一般性, 只有有向图在一对有序节点间存在最多一个连接。
我们考虑从一个源节点到多个目标节点的有带宽、延迟和丢包率约束的多路径路由问题。M={n0, u1, u2, …, um}N是形成源到目标节点的多个路径的集合, 其中n0是源节点, U={u1, u2, …, um}是目标节点集合。多路径T= (NT, ET) , 其中NTN, ETE, 从源节点n0到每一个目标节点u∈U都存在一个路径PT (n0, u) 。对任何连接e∈E, 我们可以定义相同的QoS参数:代价函数C (e) , E→R, 丢包率函数L (e) , E→R, 延迟函数D (e) , E→R。
定义1:多路径T的代价:
定义2:多路径T的延迟是从源节点n0到每一个目标节点u∈U的延迟的最大值。
定义3:假设最大延迟约束是D, 给定一个多路径需求R, 带宽-延迟约束的多路径路由问题就是找一个多路径T, 满足:
(1) 延迟约束:D (T) ≤D.
(2) 丢包率约束:L (T) ≤L.
假设S (R) 是满足以上条件的集合, 则我们找到的多路径是:
3 安全协议的设计
根据文献[11, 12]考虑防御外部恶意节点, 在报文部分、位置服务器选择和查询、位置服务器更新等方面作一定处理。
如HELLO报文的发送节点为A, 则报文格式如下:
[HELLO, IDA, LA, SpeedA, NLA, FPA, MAC{IDA, LA, SpeedA, NLA, FPA}hAi, hAj], 其中j
在新协议中, 对HELLO报文的广播认证采用一种基于TESLA的方案。在各个节点中, 都存放单向散列函数链的反向数列作为单向密钥链。节点A选取随机数x, 用单向散列函数求出散列链h1 (x) , h2 (x) , ……, hm (x) 。然后将hm (x) 作为hA1, h1 (x) 作为hAm的方法, 形成单向密钥链hA1, hA2, ……, hAm。
认证过程如下:
1) B->A:[AUTH, CertB, {hAj}K-1B]
2) A->B:[AUTH, CertA, {hAj}K-1B]
如果认证过程完成后, B确信刚才收到的HELLO报文确实是合法节点A发送的, A也相信B是收到其H ELLO报文的合法节点。在认证信息中, 还可以加入当时的时间戳, 以满足TESLA方案对节点间时钟同步的要求。
使用基于CONFIDANT的安全机制来遏制内部节点的破坏行为。
当节点i观察节点j, 在下列两种情况下更改第一手安全信息:
1) 接收并检验节点j发送到i的报文。
2) 监听节点i要通过节点j转发的报文, 检验转发后的报文是否合法且未被篡改。
第一手安全信息使用Fij来表达。如果观察到的行为正常, Fij加x, 如果观察到的行为属于异常行为, 那么Fij减y (为了保证系统能快速地检测出内部背叛节点, 要求x
4 AOMDV的QoS
本文中, 我们使用延迟约束, 带宽约束、丢包率约束等去扩展加强AOMDV协议的QoS, QoS通过增加这些约束于AOMDV协议的RREQ和RREP之中来确保和加强多路由能力, 因而, 我们必须在路由表中对下列项目适当扩展:
·最大延迟D;
·最大丢包率L;
·源请求延迟列表;
·源请求丢包率列表达式
在图5中, 列出了QoS延迟请求与响应的基本过程。
针对一个QoS请求 (RREQ) , 目的用与其NTT (Node_Traversal_Time) 相应的初始延迟发送一个RREP分组, 每一个中间节点在前向传送RREP之前, 将其自己的NTT加到延迟域并在相关目的节点路由表中记录下该值。这种新的进入允许中间节点通过比较路由表的最大延迟域与被传的扩展值来回应下一个的RREQ。中间节点的回应是及时有效的, 因为过期的路由从路由表中根据活动路由超时参数 (Active_Route_Timeout) 被删除了。
5 实验仿真
为了较好地评价QBSRP协议的性能, 我们使用NS-2[11]仿真软件对QBSRP协议进行仿真实验。
在Ad Hoc网络仿真模型中, 每个节点的连通度为4, 总的节点数在20~100之间, 分布于1000米×1000米的范围, 节点随机移动, 每个节点的信号发射半径均为100米, 在每一对邻接节点之间都存在双向连通。我们使用随机通点移动模式, 即经过等待一段时间间隔后, 节点按0~10米/秒的任一速度随机移动到某个位置, 然后再按此规则移动到另一位置。发射模式发射的比特率从[300kb/秒, 1000kb/秒ps]。
网络中链接路由的初态是:链接路由的延迟随机地处于5毫秒~30毫秒, 带宽300kb/秒~1000kb/秒, 丢包率是0~0.1。仿真过程中, 源节点和目的节点处在多路径中, 随机选择, 延迟约束是100毫秒, 丢包率约束是0.05。
图6是节点移动速率与平均点对点延迟的变化模型, 从中可以看出, 基于QoS约束多路径路由协议算法能降低节点间的延迟开销, 但不基于QoS约束多路径路由则较差。对于AOMDV, 延迟难以限定, 在节点以20米/秒移动时, 延迟最大达到190毫秒。
图7描述了在不同数量中断攻击者的情况下, QBSRP的分组传递率比GLS (Grid Location Service) 效果要好, 高出40%左右。
图8描述了点对点的延时与中断攻击者数量之间的关系, 可以很清楚地看出, NGLS协议的延时比QBSRP协议明显要高。
6 结语
我们在AOMDV在基础上, 提出了一个基于QoS多路径安全路由协议, 并对有关指标进行了计算, 给出了比较和评价检查从仿真结果可看出, 提出的QoS多路径安全路由协议在服务质量和安全性二个方面得到了较为满意的结果, 本文的工作受到湖北省教育厅重点科研项目课题资助 (D20102205) 。
摘要:无线移动Ad Hoc网络的服务质量和安全性问题是非常重要的应用性问题。本文分析了AODV和AOMDV协议的一些基本特点, 在考虑安全网格定位服务的思想原理上, 综合提出了一种新的基于服务质量的安全路由协议 (QOS-Based Secure Routing Protocol, 简称QBSRP) , 仿真计算表明, 本文提出的方法有效, 富有前景。
基于路由器的网络安全 篇10
男, 重庆邮电大学硕士研究生, 主要研究方向为机会网络。任智
男, 重庆邮电大学博士 (后) , 教授, 主要研究方向为宽带无线移动通信网络。彭双
男, 重庆邮电大学硕士研究生, 主要研究方向为机会网络。杜保洋
男, 重庆邮电大学硕士研究生, 主要研究方向为卫星网络。
1 引言
随着带有Wi-Fi/蓝牙接口的智能手机、PDA等移动设备的大量普及, 利用手持设备组网实现数据交换和提供网络服务具有广阔的应用前景。因此, 研究人员开始关注如何能够把这些设备组成一种网络, 进而为人们提供一种无基础设施、低成本的通信服务。
在机会网络[1]中, 源节点和目的节点之间可能不存在一条完整的路径, 利用节点移动获得的相遇机会而形成网
本文研究得到国家自然科学基金 (60972068) 、重庆市自然
络通信, 通过节点移动和在节点间转发而实现消息传输。虽然网络的消息传输延迟较大, 但消息传输成本相对较低, 适用于不易架设网络基础设施的环境。
基于社区的机会网络 (c o m m u n i t y-b a s e d opportunistic network) 是由人随身携带的具有短距离无线通信接口 (Wi-Fi/Bluetooth等) 的移动通信设备组成的具有社会性质的网络。区别于传统的机会网络, 移动通信设备的持有者的运动过程具有一定的规律性, 多个终端组成的网络呈现出社会网络学中的“小世界, 大世界”现象[3]。由于人们之间社会关系相对稳定且存在一定的依赖性, 网络中会出现节点的聚集现象, 节点以自组织的方式形成社区, 网络从逻辑上表现为由多个社区所构成。
本文内容组织如下:第2节主要从社区结构划分方法、移动模型概述和路由机制等方面介绍典型的基于社区的机会网络路由算法, 第3节介绍未来研究方向, 最后总结全文。
2 基于社区的机会网络路由算法
由于基于社区的机会网络是依据人的联系行为来设计的, 以人为中心, 所以机会网络的研究总是与社会关系网络联系在一起。探索人类的社会关系, 能够使我们设计的路由协议更加有效, 更加值得信任。下面分别从社区划分、移动模型概述和路由机制等进行分析。
2.1 社区划分
人类社会常常呈现出一种“聚集”现象, Newman[4]将这种结构称之为“社区”, 社区内的节点要比社区间节点联系紧密。在社区的研究中, 相对于单纯的“洪泛”算法, 利用社区性质的信息能够帮助我们找到更为合适的转发节点。这是由于属于同一社区的节点, 由于它们经常相遇, 它就很容易成为以本社区其他节点为目标节点的转发者。当前对于社区结构的划分已经比较成熟, 总体可以分为集中式的社区划分算法和分布式自检测社区划分算法。
(1) 集中式的社区划分算法
集中式社区划分算法是服务器收集网络中节点的所有信息并整理, 再按照某一标准进行统一的社区划分方法。目前已有大量的社区发现方法, 其中最具有代表性的是图分割、W-H算法、层次聚类、GN算法等。但是, 这些算法存在一些问题, 如必须明确知道社区的大小, 需预先知道网络社区结构的部分信息和社区的数目等。
为解决以上问题, Girvan和Newman提出了GN算法[6], 此算法是一种基于最短路径边介数的自上而下的分层聚类算法。但是, GN算法无法判断何时会将网络划分成最合适的社区结构。后来, Newman等人又提出了基于模块度的社区划分标准[7], 以模块度为度量标准, 当模块度达到最大时, 社区划分终止, 这样就得到了良好的社区划分结果。
但是, 由于模块度GN算法的时间复杂度较高, 会影响网络的性能。文献[8]提出了一种EO (Extremal Optimization) 算法, 该算法对模块度GN算法进行了改进, 采取了分割思想进行网络社区发现, 降低了算法的时间复杂度, 可以得到最优的网络社区划分情况。
(2) 分布式的社区自检测算法
由于移动自组织网络节点的分布性, 在实际的机会网络环境中, 服务器不可能收集到所有节点的信息。一些研究者提出了由节点根据其本身收集到的信息检测其所在的局部社区的算法, 具有代表性的三种分布式社区检测算法:Simple, K-CLIQUE和模块度算法。
分布式的社区检测算法充分考虑了节点的自组织性, 节点可以根据与其他节点的联系信息, 检测到其所在的局部社区, 是未来社区划分的主要研究方向。
2.2 移动模型概述
节点的移动模型描述了节点位置、方向、速度等移动特征的变化, 是为模拟实际移动网络中节点的运动而设计的, 它是移动网络性能分析评价的基础。在机会网络中所有的仿真都要基于节点的移动性, 因此在设计机会网络时, 我们要为特定的网络场景设计合适的移动模型, 只有这样才能让以此为基础的路由协议设计得更为可靠。当前对移动模型的设计, 主要从节点的移动方向、节点的社区偏好、节点的速度等因素方面来考虑。
文献[10]提出了一种基于社区的移动模型。此模型根据节点之间的联系紧密程度将节点划分在不同的社区内, 然后根据每个社区对节点的吸引程度, 决定节点移动的目标区域。Spyropoulos等人提出了时变的社区移动模型, 该模型包含两个阶段:局部移动阶段 (Local epoch) 和漫游移动阶段 (Roaming epoch) 。节点在其所在社区内移动被称为局部移动, 而移动到其他的范围内称为漫游移动。如果一个节点在前一时刻是局部 (漫游) 移动, 那么这一时刻节点将以一定概率进入漫游 (局部) 移动阶段。
文献[11]提出了一种工作日模型, 此模型中的相遇时间和相遇间隔时间分布非常接近于从现实世界实际统计的跟踪数据分布。它集合了三种不同的移动子模型:在家中、在工作、晚上和朋友一起的活动。这三个子移动模型每天重复, 描述了日常生活中人们常处的三种状态。三个子模型很简略的描述了人类的活动, 使节点的联系表现出社区的特点。
2.3 基于社区的机会网络路由机制
机会网络与其他网络的关键区别之处就在于路由机制的研究, 由于机会网络研究对象的动态性, 网络拓扑不断变化, 端到端的传输路径不稳定, 给研究者对路由的研究提出了巨大的挑战。在机会网络中, 节点采取“存储-携带-转发”的方法来传输消息, 如何选择下一跳节点成为影响路由机制性能的关键点。机会网络以人为载体的特点决定了我们必须研究人类的行为来为我们服务, 人类的行为包括:爱好、社会关系、工作环境等, 通过利用节点的社区特性能够帮助我们设计更加有效的路由机制。下面将针对几种典型的基于社区的机会网络路由机制进行介绍。
文献[12]提出了一种利用社会结构进行消息传输的标签策略 (Label) , 利用节点所属社区信息传输消息。该算法为每个节点创建标签, 用以表明其所在的社区。若两个节点标签相同, 表明这两个节点属于同一个社区。Label算法的消息传输机制:节点只把消息传输给目标节点, 或者与目标节点相同标签的其它节点。此算法操作简便。但是, 该算法中节点等待遇到目标社区节点才转发, 延迟较大。
文献[13]提出了一种Bubble Rap算法, 该算法首先计算每个节点在整个网络中的全局等级 (global ranking) 和所在社区中的局部等级 (local ranking) , 即该节点分别在整个网络中和当前社区中的活跃度。当传输消息时, 源节点首先按照全局等级向等级高的节点传输消息, 直到遇到目标社区节点, 然后再按照局部等级向等级高的节点传输消息, 直到目标节点。该算法使用单拷贝的消息传输方法, 传输成功率较低, 延迟较大。
文献[14]提出了一种基于社区的消息传输算法, 该算法消息传输过程分为社区内消息传输和社区间消息传输, 社区内采取“多拷贝+控制”方式设计社区内消息传输机制。同时, 选择活跃度较高的中介节点进行消息转发;社区间采取社会度较大的节点转发消息, 该算法在一定程度上实现了以较少的资源消耗成就可靠的消息传输的目的。但是, 该算法采用事先划分社区的方法, 没有考虑社区的动态性。
文献[15]提出了一种基于社区的分层消息传输算法, 该算法基于E0算法对网络进行社区划分, 并采用时间片的方式动态的发现社区结构。消息传输机制分为社区内消息传输机制和社区间消息传输机制, 采用限制消息副本数的方式控制转发。若通信发生在社区内, 通过设定节点间相遇概率阈值控制消息的转发;若通信发生在社区间, 携带消息节点将消息转发给目的节点所在的社区或选择一个与目的节点所在社区联系频繁的社区 (中继社区) , 通过中继社区将消息转发给目标社区。该算法在设置消息在社区内转发时, 单一依靠节点之间的相遇概率作为消息转发的依据存在问题, 当携带消息的节点没有遇到相遇概率高的节点时, 就会携带消息继续移动寻找相遇概率高的节点进行转发或直到消息的生存期到达进而死亡, 增加消息传输时延。
文献[16]提出了一种基于社会关系模式的消息传输算法, 该算法考虑两个主要的消息转发因素:每个节点在整个网络中的全局等级 (global ranking) 和所在社区中的局部等级 (local ranking) , 以及节点与网络中活跃节点的熟悉度。在算法中, 每个节点拥有一个社区标签, 利用全局等级和局部等级来定义节点在网络中的重要度。同时, 每个节点有自己的一个关系参数, 表明在当前网络中节点与其邻居节点的连接强度。在消息转发时, 就可以考虑这两个参数, 可以提高传输成功率, 降低时延。该算法的问题是计算复杂度高, 节点开销很大。
文献[17]提出了一种SREP算法, 该算法假设所有的节点在社区中能够成功的转发消息, 社区能够保证所有的节点有足够的带宽和时间去建立可靠、持久的接触, 社区划分参考网页分级算法。在网络中, 每个社区有唯一的社区ID, 每个节点有属于它自己的唯一社会度。当两个节点在相同社区相遇时, 节点之间根据社会度的大小决定是否转发消息给对方;相反, 即使节点在社区外相遇, 它们也不能交换信息。该算法限制节点在社区外的消息交换, 会影响消息的投递率, 增加延迟。
文献[18]提出了一种多层社会群组消息传输算法, 网络社区划分基于节点之间的历史相遇次数, 如果相遇次数达到设定的阈值, 就认为他们是一个社区, 不同的阈值设定会生成不同的社区。该算法的消息传输机制:当携带消息的节点遇到目标社区的节点时, 将消息转发给该节点, 否则继续携带消息寻找合适的节点。针对设定的不同的相遇次数阈值, 每个节点在不同阈值下会划分到不同的社区, 这样消息转发时会逐层检测遇到的节点的社区标签, 找到合适的节点将消息转发给它。该算法的问题是消息传输机制单一, 只考虑社区标签是否相同作为消息转发的依据, 社区划分的相遇次数阈值的设定会影响消息传输的成功率。
3 未来研究方向
以基于社区的路由算法作为研究对象, 分析并比较当前的路由算法在节点消息投递率、传输时延、最优路径选择以及通信开销等方面的优缺点。分析当前的基于社区的机会网络路由算法的局限性及其原因并提出可行的解决办法, 利用节点的社区特性优化当前的路由算法, 改进消息传输机制, 降低开销, 改善网络的性能。
4 结束语
相关文章:
虚拟路由01-07
奥斯卡你电脑范文01-07
历年奥斯卡范文01-07
(庆发【2007】7号)中共安庆市委关于进一步加强和改进机关党的建设的意见01-07
安庆的歇后语01-07
安庆市望江县人事考试01-07
重庆市人民政府关于印发重庆市公共租赁住房管理暂行办法的通知01-07
关于安庆市文化产业人才队伍建设调查01-07
安庆市中考模拟试题01-07
傲慢与偏见简·奥斯汀读后感600字左右01-07
