序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn),特別為您篩選了11篇ssl協(xié)議范文。如果您需要更多原創(chuàng)資料���,歡迎隨時(shí)與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識(shí)!
篇1
1 引言:
隨著網(wǎng)絡(luò)安全意識(shí)的普遍提升�,越來越多的網(wǎng)絡(luò)應(yīng)用逐步采用了ssl加密傳輸�����。由于SSL技術(shù)采用了加密���、認(rèn)證�、密鑰協(xié)商等機(jī)制來保障通信雙方數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾院屯ㄐ哦它c(diǎn)的認(rèn)證�,因此SSL協(xié)議目前在網(wǎng)銀交易、郵箱登陸�����、數(shù)據(jù)加密傳輸?shù)确矫娴玫搅藦V泛應(yīng)用�����。但SSL協(xié)議在實(shí)現(xiàn)過程中為了滿足兼容性和易用性的要求�,自身仍然存在一定的脆弱性問題,攻擊者可以利用SSL協(xié)議的弱點(diǎn)對(duì)其進(jìn)行攻擊以獲取敏感信息����。
2 SSL協(xié)議
安全套接層協(xié)議(SSL)是在Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。它能使客戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽��,并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證�����,還可選擇對(duì)客戶進(jìn)行認(rèn)證�����。SSL協(xié)議是建立在可靠的傳輸層協(xié)議(如TCP)之上���,同時(shí)與應(yīng)用層協(xié)議獨(dú)立無關(guān)�����,高層的應(yīng)用層協(xié)議(如:HTTP�,F(xiàn)TP�,TELNET等)能透明地建立于SSL協(xié)議之上(圖1所示)。
從SSL的發(fā)展過程來看�,目前主要包含了三個(gè)版本:SSLv2、SSLv3����、TSL。SSLv2的首要設(shè)計(jì)目標(biāo)是為客戶端和服務(wù)器之間的傳輸提供保密性����,但在協(xié)議安全性方面存在一定的安全隱患。SSLv3改善了SSLv2的部分安全性問題����,采用了更多的加密算法,包括數(shù)字簽名標(biāo)準(zhǔn)DSS�����、DH協(xié)議等,以及支持防止對(duì)數(shù)據(jù)流進(jìn)行截?cái)喙舻年P(guān)閉握手���。TLS在SSLv3的基礎(chǔ)上又增強(qiáng)了對(duì)DH的支持和新的密鑰擴(kuò)展���。
SSL協(xié)議在實(shí)現(xiàn)過程中主要包括兩個(gè)階段:握手和數(shù)據(jù)傳輸階段。握手階段主要對(duì)服務(wù)器進(jìn)行認(rèn)證并確立用于保護(hù)數(shù)據(jù)傳輸?shù)募用苊荑€�����。SSL必須在傳輸應(yīng)用數(shù)據(jù)之前完成握手����,一旦握手完成,數(shù)據(jù)就被分成一系列經(jīng)過保護(hù)的記錄進(jìn)行傳輸����。在傳輸片段之前,SSL協(xié)議通過計(jì)算數(shù)據(jù)的MAC來提供完整性保護(hù)����,將MAC付加到片段的尾部,并對(duì)數(shù)據(jù)與MAC整合在一起的內(nèi)容進(jìn)行加密�,以形成經(jīng)過加密的負(fù)載���,最后給負(fù)載裝上頭信息�����,其過程如圖2所示�。
3 SSL協(xié)議脆弱性分析
3.1 密碼強(qiáng)度問題
SSL協(xié)議是以CipherSuite(加密套件)的形式確定數(shù)據(jù)傳輸所使用的加密算法,SSL會(huì)話一次連接的所有加密選項(xiàng)都被捆綁成各種加密套件��,由任意選取的兩字節(jié)常量來表示����。加密套件指定會(huì)話雙方的認(rèn)證算法、密鑰交換算法����、加密算法和摘要(消息完整性)算法。表1列出了SSL協(xié)議采用的部分加密套件:
從表1可以看出�����,SSL協(xié)議支持各種各樣的加密套件��,這些加密套件指定一組供連接使用的算法�。這些算法的強(qiáng)度從較弱的可出口型(如40位模式的RC4)到強(qiáng)度較高的如3DES都包含在內(nèi)����,SSL連接的安全自然就有賴于它所使用的加密算法的安全�。從目前的計(jì)算能力來看出口模式中如RC4_40和DES等加密算法都能被破譯,若SSL連接采用此類加密算法�����,其加密數(shù)據(jù)的保密性就無從談起���,攻擊者可以很容易利用現(xiàn)有的密碼破譯技術(shù)獲取加密傳輸?shù)臄?shù)據(jù)���。正常情況下SSL通信雙方都會(huì)選擇加密強(qiáng)度較高的加密套件,但以下兩種情況可能在加密強(qiáng)度上為攻擊者提供契機(jī):
(1)由于客戶端與服務(wù)器必須就共同的加密套件達(dá)成一致才能通信�����,服務(wù)器和客戶端為了保持較好的交互性通常會(huì)提供較多可供選擇的加密套件���,其中不乏加密強(qiáng)度較弱的加密算法(圖3所示)����,這為攻擊者對(duì)SSL協(xié)議的攻擊提供了一定的條件�,例如攻擊者可以嘗試對(duì)SSL通信雙方的會(huì)話過程進(jìn)行干擾�����,迫使通信雙方選擇加密強(qiáng)度較低的加密算法��,為攻擊者對(duì)加密數(shù)據(jù)的破譯提供條件。
(2)由于SSL協(xié)議中采用的各種加密和認(rèn)證算法需要一定的系統(tǒng)開銷���,如SSL協(xié)議握手階段對(duì)pre_master_secret的RSA私用密鑰解密及計(jì)算master_secret和pre_master_secret的密鑰處理都會(huì)消耗一定的系統(tǒng)資源�,在數(shù)據(jù)傳輸階段對(duì)記錄的加密以及對(duì)記錄的MAC計(jì)算同樣會(huì)消耗系統(tǒng)資源��。而高安全的加密算法在系統(tǒng)開銷上需要消耗較多系統(tǒng)資源�,因此SSL協(xié)議在某些應(yīng)用的實(shí)現(xiàn)過程中會(huì)采用較低加密強(qiáng)度的密碼算法,這也會(huì)為攻擊者提供破譯條件��。
3.2 版本兼容問題
SSL協(xié)議從設(shè)計(jì)和使用過程來看主要包括SSLv2�、SSLv3、TLS三個(gè)版本�����,每個(gè)后續(xù)版本都對(duì)前一版本的安全性問題進(jìn)行了改進(jìn)��,因此高版本協(xié)議能夠較好地保障通信安全�����。但為了方便實(shí)際應(yīng)用,SSL協(xié)議是允許向下兼容���,會(huì)話雙方可以通過協(xié)商采用低版本協(xié)議進(jìn)行通信��,并且該過程可以自動(dòng)完成不需要用戶進(jìn)行干預(yù)��。這樣就產(chǎn)生了潛在的版本翻轉(zhuǎn)攻擊威脅�����,攻擊者可以降低協(xié)議版本再利用低版本協(xié)議存在的脆弱性問題對(duì)通信過程進(jìn)行攻擊��。其中SSLv2對(duì)協(xié)議的握手過程沒有很好的保護(hù)措施�,將導(dǎo)致攻擊者對(duì)SSL協(xié)議握手過程進(jìn)行攻擊����,進(jìn)而對(duì)加密算法進(jìn)行篡改。圖4展示了SSLv3和TLS協(xié)議的握手過程:
從圖中可以看出SSLv3和TLS協(xié)議在握手結(jié)束后會(huì)對(duì)之前的協(xié)商過程進(jìn)行MAC值的校驗(yàn)(圖4中第5����、6步所示),并且其校驗(yàn)值是以加密的形式進(jìn)行傳輸�����,這樣可以有效防止攻擊者對(duì)握手過程的篡改,保障了協(xié)商過程的可靠性���。而SSLv2協(xié)議恰好缺乏對(duì)握手過程MAC值的校驗(yàn)���,攻擊者可以在SSL通信的握手過程中偽冒其中一方對(duì)協(xié)議版本進(jìn)行篡改,迫使通信雙方采用低版本的SSL協(xié)議進(jìn)行通信����,由于缺乏握手過程的校驗(yàn)���,該攻擊可以順利實(shí)施�����。
SSLv2協(xié)議還存在另一個(gè)問題�,它僅僅使用TCP連接關(guān)閉來指示數(shù)據(jù)結(jié)束���,這意味著它可能受制于截?cái)喙?��。由于SSL協(xié)議是構(gòu)建于TCP協(xié)議之上����,而TCP協(xié)議自身并不是一種安全性協(xié)議����,它對(duì)TCP會(huì)話的完整性、有效性和一致性沒有很好地保障�,攻擊者可以簡(jiǎn)單地偽造TCP FIN數(shù)據(jù)報(bào),而接收者無法辨別出它是否是合法的數(shù)據(jù)結(jié)束標(biāo)志���,從而誤認(rèn)為數(shù)據(jù)接收完成����。SSLv3之后的協(xié)議通過使用顯式的關(guān)閉警示緩解了這一問題��。
4 結(jié)束語(yǔ)
利用SSL協(xié)議進(jìn)行加密傳輸?shù)姆绞皆谌粘?yīng)用中大量存在���,除本文中提到的攻擊方法外��,攻擊者仍在嘗試更多的攻擊途徑�����。對(duì)于敏感的信息和通信過程應(yīng)該采用多種加密方式共同完成�����,提高攻擊的難度����,降低敏感信息被竊取的風(fēng)險(xiǎn)。
參考文獻(xiàn)
[1] 埃里克?雷斯克拉����,SSL與TLS,2002.
篇2
VPN(Virtual Personal Network��,虛擬專用網(wǎng))是通過一個(gè)私有的通道將遠(yuǎn)程用戶��、公司分支機(jī)構(gòu)��、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來����,構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng),通過在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)�,數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。SSL VPN是一種新的VPN的實(shí)現(xiàn)方法���,是可靠安全地構(gòu)建VPN的一種模式�����。
一�����、SSL協(xié)議
1.SSL概述
SSL(Secure Socket Layer,安全套接層)協(xié)議是 Netscape 公司于1994年提出的一個(gè)網(wǎng)絡(luò)安全通信協(xié)議�,是一種在兩臺(tái)機(jī)器之間提供安全通道的協(xié)議。它具有保護(hù)傳輸數(shù)據(jù)�����,以及識(shí)別通信機(jī)器的功能��。SSL最初是通過加密HTTP連接為Web瀏覽器提供安全而引入的�����。
SSL在TCP上提供一種通用的通道安全機(jī)制��,任何可以在TCP上承載的協(xié)議都能夠使用SSL加以保護(hù)�����。在TCP或IP四層協(xié)議族中,SSL協(xié)議位于傳輸層與應(yīng)用層之間�����,基于可靠傳輸協(xié)議TCP�,服務(wù)于各種應(yīng)用層協(xié)議,如HTTP�、POP、TELNET等�,它們?cè)赟SL協(xié)議上運(yùn)行分別被稱作HTTPS、POPS�、TELNETS協(xié)議等,分別對(duì)應(yīng)的端口號(hào)為443�、995、992等��。
圖1 SSL協(xié)議結(jié)構(gòu)圖
2.SSL體系結(jié)構(gòu)
SSL協(xié)議在結(jié)構(gòu)上分為兩個(gè)層次:底層為記錄層協(xié)議(Record Protocol)���,負(fù)責(zé)封裝高層協(xié)議(包括握手協(xié)議)的數(shù)據(jù),保證SSL連接的數(shù)據(jù)保密性和完整性�;高層為握手層,由四個(gè)并行的協(xié)議構(gòu)成:握手協(xié)議(Handshake Protocol)��、修改密碼參數(shù)協(xié)議(Change Cipher Spec Protocol)��、報(bào)警協(xié)議(Alert Protocol)、應(yīng)用數(shù)據(jù)協(xié)議(Application data Protocol)�����,高層協(xié)議需要記錄層協(xié)議支持���,其中握手協(xié)議與其他的高層協(xié)議不同���,主要負(fù)責(zé)在交換應(yīng)用層數(shù)據(jù)之前進(jìn)行協(xié)商加密算法與密鑰,其他高層協(xié)議屬于應(yīng)用開發(fā)的范疇��,而要得到握手協(xié)議的支持����,而握手協(xié)議則是SSL底層實(shí)現(xiàn)必須具有的功能,因?yàn)橛涗泴訁f(xié)議的完成也由它來保證�����。
二�、基于SSL協(xié)議的VPN技術(shù)研究
1.SSLVPN概念
SSL VPN是指一種基于數(shù)據(jù)包封裝技術(shù)的,利用SSL或TLS協(xié)議結(jié)合強(qiáng)加密算法和身份認(rèn)證技術(shù)的���,可靠安全地構(gòu)建VPN的一種方法���。它作為一種新的VPN的實(shí)現(xiàn)方法���,SSL VPN可以用來構(gòu)建外聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)和遠(yuǎn)程接入訪問�。它通過數(shù)據(jù)包封裝的隧道技術(shù)來實(shí)現(xiàn)虛擬專用網(wǎng)的私有性,通過PKI技術(shù)和密碼學(xué)技術(shù)來鑒別通信雙方的身份和確保傳輸數(shù)據(jù)的安全�。
2.SSL VPN的工作模式
(1)基于Web模式的SSL VPN系統(tǒng)
客戶端使用瀏覽器通過SSLVPN 服務(wù)器來訪問企業(yè)局域網(wǎng)的內(nèi)部資源。SSLVPN 服務(wù)器相當(dāng)于一個(gè)數(shù)據(jù)中轉(zhuǎn)站����,Web瀏覽器對(duì)WWW服務(wù)器的訪問經(jīng)過SSL VPN服務(wù)器的處理(解密、身份鑒別���、訪問控制)后轉(zhuǎn)發(fā)給WWW服務(wù)器�,從WWW服務(wù)器發(fā)往Web瀏覽器的數(shù)據(jù)經(jīng)過SSL VPN服務(wù)器處理(過濾���、加密)后送到Web瀏覽器��。
圖2 基于Web模式的SSL VPN系統(tǒng)
(2)基于客戶模式的SSL VPN
用戶在客戶端安裝一個(gè)SSL VPN客戶端程序����,當(dāng)客戶端訪問企業(yè)內(nèi)部的應(yīng)用服務(wù)器時(shí)����,需要經(jīng)過SSL VPN客戶端程序和SSL VPN服務(wù)器之間的保密傳輸后才能到達(dá)。從而在SSLVPN客戶端和 SSLVPN服務(wù)器之間����,由SSL協(xié)議構(gòu)建一條安全通道,保護(hù)客戶端與SSLVPN服務(wù)器之間的數(shù)據(jù)傳輸�����。此時(shí)��,SSLVPN服務(wù)器充當(dāng)服務(wù)器的角色��,SSL VPN客戶端充當(dāng)客戶端的角色��。
圖3 基于客戶端模式的SSL VPN系統(tǒng)
(3)局域網(wǎng)到局域網(wǎng)模式的SSL VPN系統(tǒng)
在網(wǎng)絡(luò)邊緣都安裝和配置了SSLVPN服務(wù)器�。當(dāng)一個(gè)局域網(wǎng)內(nèi)的終端要訪問遠(yuǎn)程網(wǎng)絡(luò)內(nèi)的應(yīng)用服務(wù)器時(shí),需要經(jīng)過兩個(gè)SSL VPN服務(wù)器之間的保密傳輸后才能到達(dá)��。從而在兩個(gè)SSLVPN服務(wù)器之間�,由SSL協(xié)議構(gòu)建一條安全通道,保護(hù)局域網(wǎng)之間的數(shù)據(jù)傳輸�����。此時(shí),SSL VPN服務(wù)器充當(dāng)安全網(wǎng)關(guān)的角色���。
圖4 局域網(wǎng)到局域網(wǎng)模式的SSL VPN系統(tǒng)
參考文獻(xiàn):
篇3
SSL 是Security Socket Layer 的縮寫�����,稱為安全套接字����,該協(xié)議是由Netscape 公司設(shè)計(jì)開發(fā)�����。使用SSL 可以對(duì)通訊內(nèi)容進(jìn)行加密�����,以防止監(jiān)聽通訊內(nèi)容����,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的傳輸安全。SSL協(xié)議分為三個(gè)子協(xié)議:
(1)握手協(xié)議���,用于協(xié)商客戶端和服務(wù)器之間會(huì)話的安全參數(shù)�����,完成客戶端和服務(wù)器的認(rèn)證�。
(2)記錄協(xié)議�����,用于交換應(yīng)用數(shù)據(jù)���,所有的傳輸數(shù)據(jù)都被封裝在記錄中���,主要完成分組和組合,壓縮和解壓縮�����,以及消息認(rèn)證和加密等功能�����。
(3)警告協(xié)議:用來為對(duì)等實(shí)體傳遞SSL的相關(guān)警告��。
SSL協(xié)議的實(shí)現(xiàn)有Netscape開發(fā)的商用SSL包�,還有在業(yè)界產(chǎn)生巨大影響的Open SSL軟件包���。目前在國(guó)內(nèi)的金融系統(tǒng)中,廣泛使用OPENSSL軟件包進(jìn)行應(yīng)用開發(fā)�。
網(wǎng)上銀行因?yàn)榭紤]易用性,大部分采用單向SSL認(rèn)證.單向認(rèn)證 SSL 協(xié)議不需要客戶擁有 CA 證書���。X509數(shù)字證書是SSL的重要環(huán)節(jié)���,CA證書的任務(wù)就是確保客戶和服務(wù)器之間的會(huì)話�����,并且保證使用的密鑰是正確的���。缺少了這個(gè)重要的環(huán)節(jié)����,SSL中間人攻擊也就難免了���。
現(xiàn)在的網(wǎng)上銀行因?yàn)榭紤]易用性����,大部分采用單向SSL認(rèn)證,這正是SSL中間人攻擊的理論依據(jù)���。
對(duì)于SSL中間人攻擊���,以CAIN工具軟件為例:
首先在SNIFFER窗口中進(jìn)行一次本網(wǎng)段的掃描探測(cè)
很快找到所有當(dāng)前跟在同一網(wǎng)段內(nèi)的活動(dòng)主機(jī)IP地址與其MAC地址的對(duì)應(yīng)關(guān)系�。今天我們要欺騙演示的實(shí)驗(yàn)對(duì)象是192.168.121.199,這是另一臺(tái)的筆記本電腦IP地址����。
獲取到IP地址與MAC地址的對(duì)應(yīng)關(guān)系后,繼續(xù)到ARP的子窗口中����,選擇添加欺騙主機(jī)在窗口左邊選中當(dāng)前網(wǎng)絡(luò)的網(wǎng)關(guān)IP地址就是192.168.121.129,窗口右邊選中我們要欺騙的IP地址192.168.121.199���,選中后直接確定生效�。畢業(yè)論文��,SSL協(xié)議�����。畢業(yè)論文,SSL協(xié)議����。
然后在ARP-HTTPS的選擇樹中添加一個(gè)當(dāng)前我們需要偽裝的HTTPS站點(diǎn),選擇確定后CAIN會(huì)自動(dòng)把這個(gè)站點(diǎn)的證書文件下載回來備用�。畢業(yè)論文,SSL協(xié)議��。
一切準(zhǔn)備就緒后��,就可以點(diǎn)擊CAIN工具欄中的ARP模式開始工作了��。畢業(yè)論文�����,SSL協(xié)議���。CAIN軟件在后臺(tái)采用第一章的ARP欺騙攻擊的方式將被欺騙主機(jī)與 HTTPS網(wǎng)站間的通訊切斷���,在中間插入我們偽造的證書給被欺騙主機(jī),同時(shí)偽裝成為中間人代替它與HTTPS站點(diǎn)通訊���。CAIN在其中把所有的通訊數(shù)據(jù)包 進(jìn)行加密解密再加密傳遞的過程�,當(dāng)然所有原始的訪問行為在這一過程中都被我們獲取到了。
對(duì)于被欺騙主機(jī)在實(shí)際打開IE訪問中����,感覺不到任何異常本地顯示依然是安全的SSL128位加密,只是不知道所有的訪問行為在CAIN中都可以VIEW的方式來查看到了�����。
在VIEW的窗口中我們可以查看到所有通訊的訪問原始記錄����,包括此臺(tái)筆記本的登陸帳號(hào)與口令信息��。
網(wǎng)上銀行存在的攻擊風(fēng)險(xiǎn)歸其原因是SSL協(xié)議使用不健全導(dǎo)致�,安全的解決方案建立以PKI技術(shù)為基礎(chǔ)的CA認(rèn)證系統(tǒng),加入已經(jīng)在運(yùn)行的可靠的CA���。 CA體系建立或加入時(shí)���,通過對(duì)網(wǎng)上交易系統(tǒng)的二次開發(fā),將數(shù)字證書認(rèn)證功能嵌入到整個(gè)網(wǎng)上交易過程中去��,這將實(shí)現(xiàn)基于數(shù)字證書的身份認(rèn)證、通信安全���、數(shù)據(jù)安全和交易安全�����。
篇4
關(guān)鍵詞:SSL VPN技術(shù)���;安全優(yōu)勢(shì);安全隱患
1概述
隨著互聯(lián)網(wǎng)及移動(dòng)設(shè)備的發(fā)展���,通過公共網(wǎng)絡(luò)訪問局域網(wǎng)的需求越來越大�����,同時(shí)����,安全性的問題也就越來越突出���。用戶對(duì)使用過程的可靠性�、靈活性��、安全性等方面也有了更高的要求。SSLVPN是解決遠(yuǎn)程用戶通過公共網(wǎng)絡(luò)訪問內(nèi)網(wǎng)數(shù)據(jù)的技術(shù)之一���,與以往的IPSec VPN相比����,它通過內(nèi)嵌在瀏覽器中的SSL協(xié)議進(jìn)行訪問��,從而不需要像傳統(tǒng)IPSec VPN一樣必須為每一臺(tái)終端安全客戶端軟件����,實(shí)現(xiàn)了訪問的便捷性。
2SSLVPN的概念與特征
SSL(安全套接層)協(xié)議是一種在互聯(lián)網(wǎng)上保證發(fā)送信息安全的通用協(xié)議�����,是目前在Web瀏覽器和服務(wù)器之間發(fā)揮身份認(rèn)證和加密數(shù)據(jù)傳輸?shù)闹匾獏f(xié)議���。它位于TCP/IP協(xié)議與應(yīng)用層協(xié)議之間,為各項(xiàng)數(shù)據(jù)通訊提供安全支持��。
SSL協(xié)議可分為兩層:SSL記錄協(xié)議fSsL Record Protoc01):它建立在可靠的傳輸協(xié)議(如TCP)之上��,為數(shù)據(jù)的傳輸提供數(shù)據(jù)封裝����、壓縮�、加密等功能�。SSL握手協(xié)議(SSL Handshake Protoed):它建立在SSL記錄協(xié)議之上,主要用于檢測(cè)用戶的賬號(hào)密碼是否正確�,在實(shí)際的數(shù)據(jù)傳輸開始前,對(duì)通訊雙方進(jìn)行身份認(rèn)證�,交換加密密鑰等。
VPN(“VirtualPrivate Network)即是虛擬專用網(wǎng)絡(luò)����,利用認(rèn)證、加密����、安全檢測(cè)、權(quán)限分配等一系列手段來構(gòu)建的安全業(yè)務(wù)網(wǎng)絡(luò)�。一個(gè)完整的SSLVPN系統(tǒng)主要由服務(wù)器、網(wǎng)關(guān)����、客戶端組成,服務(wù)器即是內(nèi)網(wǎng)中所需訪問的資源���,客戶端即是互聯(lián)網(wǎng)中需要訪問服務(wù)器資源的Web瀏覽器�,網(wǎng)關(guān)即是SSL VPN服務(wù)器,是整個(gè)系統(tǒng)訪問控制的核心����。客戶端通過瀏覽器發(fā)出請(qǐng)求��,SSL VPN服務(wù)器收到請(qǐng)求后與客戶端瀏覽器建立SSL安全連接�,并代替客戶端向所需訪問服務(wù)器發(fā)出請(qǐng)求,服務(wù)器響應(yīng)后SSLVPN將接收到的響應(yīng)數(shù)據(jù)進(jìn)行轉(zhuǎn)換�,通過SSL安全連接發(fā)送給客戶端。
3SSL VPN的安全特征分析
3.1安全優(yōu)勢(shì)
SSL VPN是一系列基于web應(yīng)用的傳輸協(xié)議����,包括服務(wù)器認(rèn)證、客戶身份認(rèn)證�����、SSL鏈路數(shù)據(jù)完整性及保密性認(rèn)證等����,@對(duì)于數(shù)據(jù)傳輸?shù)陌踩院捅C苄杂兄匾饬x��。
SSLVPN基于Web設(shè)計(jì)�����,主要通過互聯(lián)網(wǎng)實(shí)現(xiàn)從公網(wǎng)到內(nèi)網(wǎng)的訪問。用戶在登錄VPN時(shí)要通過三層防護(hù):第一層就是用戶和主機(jī)服務(wù)器之間的安全驗(yàn)證��,這一層主要驗(yàn)證用戶的秘鑰�����、安全證書是否正確��,所登錄服務(wù)器是否合法�����,確保服務(wù)器和個(gè)人信息不被泄露�。第二層主要用多種算法來保護(hù)數(shù)據(jù)的安全性,SSL協(xié)議在主機(jī)服務(wù)器和用戶之間建立一條安全隧道���,通過隧道向用戶傳送數(shù)據(jù)��。第三層是多重加密和驗(yàn)證技術(shù)�����,通過握手協(xié)議�����,檢測(cè)用戶的賬號(hào)密碼的正確性��,在主機(jī)服務(wù)器和個(gè)人用戶之間驗(yàn)證雙方身份真實(shí)性���,再通過記錄協(xié)議打包數(shù)據(jù)���,加密壓縮數(shù)據(jù)包,發(fā)送過程中再次加密傳輸�����。
SSL VPN采用對(duì)稱密碼體制和非對(duì)稱密碼體制的加密算法進(jìn)行加密���,通過建立安全隧道保證信息傳輸?shù)陌踩?���。訪問采用takey文件從而在一定程度上減少了黑客對(duì)內(nèi)網(wǎng)的安全威脅���。并提供客戶端和服務(wù)器端的雙向認(rèn)證����,容易實(shí)現(xiàn)權(quán)限�����、資源等的控制�。
3.2存在的安全隱患
對(duì)于該數(shù)據(jù)傳輸方式,可以較大限度保障數(shù)據(jù)和用戶的使用安全�����,但此種方式并非無懈可擊�����,由于SSLVPN采用Web服務(wù)器作為客戶端���,因此瀏覽器的安全性直接關(guān)系到SSLVPN的安全���,瀏覽器的安全隱患也會(huì)成為SSL VPN的安全隱患,如果用戶退出時(shí)只是關(guān)閉瀏覽器而并未關(guān)閉SSLVPN服務(wù)進(jìn)程��,或者用戶在公共場(chǎng)所登錄系統(tǒng)����,就會(huì)增加用戶資料的泄露風(fēng)險(xiǎn)���。在建立SSL VPN連接時(shí),蠕蟲或其他電腦病毒也可能會(huì)通過建立的隧道感染內(nèi)部服務(wù)器����。
對(duì)于這些安全隱患,SSL VPN也逐步引入了令牌或短信認(rèn)證��、用戶端無操作將強(qiáng)制下線等手段��,管理員也可以對(duì)用戶按角色進(jìn)行劃分�����,根據(jù)不同角色確定不同的資源訪問權(quán)限��,最大限度避免用戶端的安全風(fēng)險(xiǎn)����。在數(shù)據(jù)傳輸過程中,也可以通過不斷提高應(yīng)用層過濾技術(shù)來抵制病毒風(fēng)險(xiǎn)等�。
4 SSL VPN的應(yīng)用
由于SSL、VPN操作的便捷性和使用的安全性�����,越來越多的行業(yè)都逐步開始使用SSL VPN。用戶通過Web瀏覽器就可以訪問內(nèi)部網(wǎng)絡(luò)����,這使得用戶可以隨時(shí)隨地通過任意一臺(tái)電腦��,或者通過其他移動(dòng)設(shè)備時(shí)進(jìn)行內(nèi)部業(yè)務(wù)數(shù)據(jù)的訪問���。
部署SSL VPN服務(wù)器時(shí)即是部署在內(nèi)網(wǎng)的邊緣�����,介于服務(wù)器與遠(yuǎn)程用戶之間����,是遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的大門��,控制二者的通信�。當(dāng)用戶通過電腦或其他移動(dòng)設(shè)備遠(yuǎn)程訪問內(nèi)網(wǎng)時(shí),則先通過互聯(lián)網(wǎng)向SSLVPN服務(wù)器發(fā)出請(qǐng)求�����,也就是認(rèn)證步驟,通過認(rèn)證后��,SSL VPN服務(wù)器根據(jù)訪問者的身份權(quán)限建立連接����,使其可以并僅可以訪問允許的服務(wù)器數(shù)據(jù)。
篇5
1 引言
隨著計(jì)算機(jī)技術(shù)和Internet的飛速發(fā)展���,商業(yè)活動(dòng)實(shí)現(xiàn)了電子化�,從而發(fā)展成為電子商務(wù)����。電子商務(wù)借助互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)和增值網(wǎng)等計(jì)算機(jī)與網(wǎng)絡(luò)和現(xiàn)代通信技術(shù)�����,按照一定的標(biāo)準(zhǔn)����,利用電子化工具,將傳統(tǒng)的商業(yè)活動(dòng)的各個(gè)環(huán)節(jié)電子化�、網(wǎng)絡(luò)化,從而以數(shù)字化方式來進(jìn)行交易活動(dòng)和相關(guān)服務(wù)活動(dòng)����。
電子商務(wù)包括電子貨幣交換��、供應(yīng)鏈管理���、電子交易市場(chǎng)、網(wǎng)絡(luò)營(yíng)銷����、在線事務(wù)處理�����、電子數(shù)據(jù)交換(EDI)��、存貨管理和自動(dòng)數(shù)據(jù)收集系統(tǒng)��。電子商務(wù)完全不同于傳統(tǒng)的商務(wù)活動(dòng)��,它是一種以網(wǎng)絡(luò)為載體的新的商務(wù)運(yùn)作方式��。
(1)SSL不能提供交易的不可否認(rèn)性�����。SSL協(xié)議是基于Web應(yīng)用的安全協(xié)議,它只能提供安全認(rèn)證��,保證SSL鏈路上的數(shù)據(jù)完整性和保密性�。卻不能對(duì)電子商務(wù)的交易應(yīng)用層的信息進(jìn)行數(shù)字簽名,因此�,SSL不能提供交易的不可否認(rèn)性,這可以說是SSL在電子商務(wù)中最大的缺陷��。
(2)SSL只能提供客戶機(jī)到服務(wù)器之間的兩方認(rèn)證��,無法適應(yīng)電子商務(wù)中的多方交易業(yè)務(wù)��。
(3)SSL易遭受Change Cipher Spec消息丟棄攻擊����。由于SSL握手協(xié)議中存在一個(gè)漏洞:在finished消息中沒有對(duì)變換加密的說明消息進(jìn)行認(rèn)證處理,在接收到該消息前���,所有的密碼族都不做任何加密處理和MAC保護(hù)��,只有在接收到Change Cipher Spec消息之后��,記錄層才開始對(duì)通信數(shù)據(jù)進(jìn)行加密和完整性保護(hù)���。這種處理機(jī)制使得SSL易遭受Change Cipher Spec消息丟棄攻擊����。
(4)SSL無法避免通信業(yè)務(wù)流分析攻擊�����。由于SSL位于TCP/IP的協(xié)議層之上�,因此,無法對(duì)TCP/IP協(xié)議頭部進(jìn)行保護(hù)�����,導(dǎo)致潛在的隱患���。攻擊者通過獲取IP地址、URL請(qǐng)求的長(zhǎng)度以及返回的Web頁(yè)面的長(zhǎng)度等信息���,可以分析出用戶訪問的目標(biāo)�,再加上SSL協(xié)議只支持對(duì) 塊密碼的隨機(jī)填充�,沒有提供對(duì)流式密碼算法的支持,使得SSL無法阻止這類攻擊����。
4 總結(jié)
電子商務(wù)正飛速地發(fā)展��。用于保障電子商務(wù)活動(dòng)的安全協(xié)議主要有S-HTTP�、STT����、IKP、SET和SSL����。其中SSL協(xié)議是目前電子商務(wù)采用的主要的網(wǎng)上交易協(xié)議。SSL協(xié)議采用了加密���、認(rèn)證等安全措施��,結(jié)合了Hash算法���,較好地保證了數(shù)據(jù)在傳輸過程中的保密性、可靠性和完整性�����,在一定程度上放置了欺騙��、篡改、重放等攻擊����。本文在介紹SSL協(xié)議棧及其工作原理和機(jī)制的基礎(chǔ)上,對(duì)基于SSL的電子商務(wù)的安全性進(jìn)行了分析��。
參考文獻(xiàn):
篇6
中圖分類號(hào):TN918.1 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 21-0000-02
1 引言
SSL協(xié)議是如今已經(jīng)廣泛應(yīng)用于Internet的網(wǎng)絡(luò)安全方案��,它以多種密碼技術(shù)為基礎(chǔ)���,實(shí)現(xiàn)用戶身份鑒別��、數(shù)據(jù)加密傳輸�����、數(shù)據(jù)完整性校驗(yàn)等安全功能�����。正是由于SSL協(xié)議的重要性,在應(yīng)用過程中存在的漏洞可能會(huì)被別有用心的攻擊者利用����,所以很有必要對(duì)SSL協(xié)議存在的不足進(jìn)行分析并彌補(bǔ)。目前已有使用形式化分析方法如BAN邏輯、Kailar邏輯等分析SSL協(xié)議的文章[1]���,本文從加密密鑰攻擊�,中間人攻擊��,不能抗抵賴等方面詳細(xì)分析SSL協(xié)議���,提出改進(jìn)方案���,設(shè)計(jì)基于SSL的“雙密鑰機(jī)制”認(rèn)證密鑰協(xié)商協(xié)議,彌補(bǔ)SSL協(xié)議的不足���,提高其在實(shí)際工程應(yīng)用中的網(wǎng)絡(luò)安全性����。
2 SSL協(xié)議漏洞
SSL協(xié)議處于TCP協(xié)議和上層應(yīng)用協(xié)議之間�����,屬于傳輸層安全機(jī)制�����。從結(jié)構(gòu)上分為兩層,底層為記錄層協(xié)議�����,高層則由握手協(xié)議���、密碼規(guī)范變更協(xié)議�����、報(bào)警協(xié)議����、應(yīng)用數(shù)據(jù)協(xié)議4個(gè)并列協(xié)議構(gòu)成����。連接分為握手和數(shù)據(jù)傳輸兩個(gè)階段。握手階段對(duì)服務(wù)器進(jìn)行認(rèn)證并協(xié)商加密密鑰���。密碼規(guī)范變更協(xié)議指示發(fā)送端已切換至新協(xié)商好的密鑰套件�,之后發(fā)送的消息將使用那些密鑰保護(hù)���。報(bào)警協(xié)議為客戶端與服務(wù)器間傳遞SSL的相關(guān)警告。
2.1 攻擊加密密鑰
在標(biāo)準(zhǔn)的SSL協(xié)議中,用于加密數(shù)據(jù)的會(huì)話密鑰和MAC密鑰都由預(yù)主密鑰��、客戶端隨機(jī)數(shù)�、服務(wù)器端隨機(jī)數(shù)三部分計(jì)算產(chǎn)生。雙方隨機(jī)數(shù)明文發(fā)送���,預(yù)主密鑰受服務(wù)器公鑰保護(hù)�����,協(xié)議的安全性完全依賴于預(yù)主密鑰�。在服務(wù)器端公私鑰均安全的情況下�,還存在繞過主密鑰和密鑰塊的生成,直接對(duì)密鑰塊的相關(guān)字節(jié)進(jìn)行窮舉的攻擊�����。以SSL_RSA_EXPORT_WITH_RC4_40_MD5算法組為例���,加密密鑰是由密鑰塊中的5字節(jié)密鑰和兩個(gè)32字節(jié)隨機(jī)數(shù)經(jīng)MD5算法壓縮產(chǎn)生��。其中只有密鑰塊的5字節(jié)密鑰未知�����,攻擊者可以直接對(duì)5字節(jié)密鑰進(jìn)行窮舉�����,計(jì)算加密密鑰���,利用Finished前4個(gè)字節(jié)判斷密鑰正確與否��,窮盡量小于240���,是可以實(shí)現(xiàn)的。
2.2 中間人攻擊
實(shí)體在接收到更改密鑰規(guī)范消息之前���,發(fā)送的消息不進(jìn)行加密或消息認(rèn)證����,接收到更改密鑰規(guī)范消息之后����,將當(dāng)前的密鑰套件替換為商定的密鑰套件,此后記錄層可以加密保護(hù)傳輸數(shù)據(jù)�。然而,由于更改密鑰規(guī)范消息未被保護(hù)�����,可能存在如下攻擊�����。若密鑰套件中只包含消息認(rèn)證密鑰而沒有加密密鑰����。攻擊者可以攔截并丟棄客戶端的更改密鑰規(guī)范消息,這樣服務(wù)器不會(huì)更新密鑰套件��,記錄層也不會(huì)進(jìn)行加密或消息認(rèn)證����。余下協(xié)議繼續(xù)進(jìn)行,攻擊者可以從客戶端的Finished和會(huì)話數(shù)據(jù)中剝除記錄層的消息認(rèn)證字段�,篡改會(huì)話數(shù)據(jù),而接收端期望接收到的正是沒有加密和消息認(rèn)證字段的數(shù)據(jù)����,故攻擊不會(huì)被發(fā)現(xiàn)。
2.3 不能提供不可否認(rèn)性
SSL 協(xié)議不能提供通信雙方的不可否認(rèn)性���。對(duì)于電子商務(wù)��、網(wǎng)銀充值轉(zhuǎn)帳����、電力系統(tǒng)遠(yuǎn)程充電拉閘等應(yīng)用來說,使用SSL可保證信息的真實(shí)性�、完整性和保密性。但由于SSL 不對(duì)應(yīng)用層的消息進(jìn)行數(shù)字簽名[2]�����,因此不能提供交易的不可否認(rèn)性�,這是SSL 在實(shí)際應(yīng)用中用的最大不足。
3 安全性增強(qiáng)機(jī)制
3.1 引入kerberos機(jī)制
本協(xié)議中引入Kerberos機(jī)制的思想��,利用KDC密鑰分發(fā)中心為客戶端發(fā)放票據(jù)并分發(fā)對(duì)稱密鑰����,之后使用該對(duì)稱密鑰來保護(hù)握手過程。
認(rèn)證服務(wù)交換階段:完成客戶向KDC請(qǐng)求與TGS通信時(shí)使用的票據(jù)TGT���,以及會(huì)話密鑰的過程���;授權(quán)服務(wù)交換階段是客戶向TGS請(qǐng)求與最終應(yīng)用服務(wù)器進(jìn)行通信所需要的票據(jù)和會(huì)話密鑰的過程;經(jīng)過客戶/應(yīng)用服務(wù)器交換階段后,客戶獲得與應(yīng)用服務(wù)器進(jìn)行通信所需要的票據(jù)和會(huì)話密鑰�����。整個(gè)協(xié)議交換過程結(jié)束��,客戶端和服務(wù)器之間共享加密密鑰Ⅰ�����,之后就用加密密鑰Ⅰ保護(hù)雙方的握手流程����,協(xié)商加密密鑰Ⅱ����。
3.2 隱藏重要參數(shù)
協(xié)議使用服務(wù)器公鑰加密預(yù)主密鑰,對(duì)稱密鑰Ⅰ加密n1���,并對(duì)n2采取異或方式進(jìn)行隱藏���。客戶端生成隨機(jī)數(shù)n1后使用對(duì)稱密鑰Ⅰ加密發(fā)送給服務(wù)器����,服務(wù)器解密得到n1��,并生成隨機(jī)數(shù)n2���,將n1與n2異或的結(jié)果返給客戶端,客戶端利用本地存儲(chǔ)的n1解出n2����,至此n1與n2交換成功。隨機(jī)數(shù)密文發(fā)送在很大程度上保護(hù)了主密鑰�、密鑰塊及加密密鑰的安全,即使攻擊者攻破預(yù)主密鑰�,在得不到隨機(jī)數(shù)的情況下也算不出主密鑰,即使攻破主密鑰�,也須要同時(shí)攻破n1,n2才能得到密鑰塊�,即使破解密鑰塊,也要在得到隨機(jī)數(shù)的情況下才能獲得加密密鑰���,這就相當(dāng)于賦予加密密鑰三層防護(hù)�����,較SSL協(xié)議的安全性更進(jìn)了一步�。
3.3 改進(jìn)Finished計(jì)算
對(duì)Finished值的計(jì)算方法進(jìn)行改進(jìn),將Change Cipher Spec字段包含進(jìn)Finished值的計(jì)算����,計(jì)算過程為md5_hash:MD5(master_secret + pad2 + MD5(handshake_messages + Change cipher spec messages + Sender + master_secret + pad1))。將Change cipher spec消息包含進(jìn)Finished的計(jì)算后�����,若發(fā)生“丟棄更改密鑰規(guī)范消息”攻擊��,雙方計(jì)算出的Finished消息將會(huì)不同�,這時(shí)該攻擊就會(huì)被發(fā)現(xiàn)��,客戶端與服務(wù)器端重新開始握手�����。
3.4 增加簽名協(xié)議
數(shù)字簽名算法復(fù)雜��,運(yùn)算時(shí)間長(zhǎng)����,如果對(duì)每個(gè)消息都要進(jìn)行簽名計(jì)算與驗(yàn)證的話,將會(huì)大大影響協(xié)議的效率��。而且在真正應(yīng)用時(shí)一般只對(duì)重要的操作簽名驗(yàn)簽,因此考慮在獨(dú)立于SSL握手協(xié)議���、記錄協(xié)議的情況下增加SSL簽名協(xié)議���。SSL簽名協(xié)議如文獻(xiàn)[3]所述,用于處理需要進(jìn)行數(shù)字簽名的數(shù)據(jù)的信息傳遞����、簽名與驗(yàn)簽。SSL簽名協(xié)議在握手完成后傳遞應(yīng)用數(shù)據(jù)時(shí)開始使用�,彌補(bǔ)了SSL在對(duì)應(yīng)用數(shù)據(jù)進(jìn)行數(shù)字簽名能力方面的不足,同時(shí)通過數(shù)字簽名的校驗(yàn)也可以提高身份認(rèn)證的能力�����。
4 基于SSL的“雙密鑰機(jī)制”認(rèn)證密鑰協(xié)商協(xié)議描述
客戶端首先向KDC密鑰分發(fā)中心申請(qǐng)與服務(wù)器通信的票據(jù)及其與服務(wù)器的共享對(duì)稱密鑰�,申請(qǐng)成功后向服務(wù)器出示票據(jù),服務(wù)器應(yīng)答����,若成功,則第一次身份認(rèn)證通過�,雙方開始握手流程?���?蛻舳讼蚍?wù)器發(fā)送經(jīng)共享密鑰加密后的客戶端隨機(jī)數(shù)n1�,服務(wù)器解密得到n1后將n1與n2異或后返回��,其它密鑰交換流程同SSL協(xié)議�����,但本協(xié)議Finished值的計(jì)算包含了change cipher spec����,具體流程如圖2所示:
客戶端向KDC密鑰分發(fā)中心申請(qǐng)票據(jù)及加密密鑰的過程無須在每次通話都進(jìn)行,只需初始通信時(shí)申請(qǐng)一次��,之后設(shè)定時(shí)間節(jié)點(diǎn)��,當(dāng)距離上次通信時(shí)間大于此節(jié)點(diǎn)時(shí)��,重新申請(qǐng)����,否則直接利用之前分發(fā)的密鑰保護(hù)參數(shù)即可���。
5 結(jié)論
隨著SSL協(xié)議的應(yīng)用越來越廣泛�����,人們對(duì)其安全性[4]的要求也越來越高����。本文分析了SSL協(xié)議在實(shí)際應(yīng)用時(shí)可能遭受的攻擊,描述了完整的攻擊思路�����,在此基礎(chǔ)上設(shè)計(jì)了一套基于雙密鑰機(jī)制的認(rèn)證密鑰協(xié)商協(xié)議�。在標(biāo)準(zhǔn)SSL協(xié)議的基礎(chǔ)上引入Kerberos機(jī)制事先分發(fā)對(duì)稱密鑰,使客戶端和服務(wù)器動(dòng)態(tài)共享對(duì)稱密鑰����;對(duì)雙方隨機(jī)數(shù)采用異或等方式隱藏;將更改密鑰規(guī)范消息包含進(jìn)Finished消息的計(jì)算�。經(jīng)安全性分析,協(xié)議彌補(bǔ)了SSL在前述所受攻擊方面的漏洞�����。本協(xié)議在保證信息的真實(shí)性�����、完整性和保密性的基礎(chǔ)上,引入SSL簽名協(xié)議為應(yīng)用數(shù)據(jù)提供了不可否認(rèn)性��。
參考文獻(xiàn):
[1]David Wagner�, Bruce Schneier, "Analysis of the SSL 3.0 protocol"�, USENIX Workshop on Electronic Commerce, ACM.
[2]Yvo Desmedt Dr. Fiat–Shamir identification protocol and the Feige–Fiat–Shamir signature scheme[M]. Encyclopedia of Cryptography and Security. Springer���, 2011:457-458.
[3]張峰嶺.SSL數(shù)字簽名協(xié)議[J].計(jì)算機(jī)工程�,2003��,29(7):37-40.
[4]Jonathan Katz����,Philip MacKenzie, Gelareh Taban���,Virgil Gligor. two-server password-only authenticated key exchange[J].Journal of Computer and System Sciences, March 2012�, 78(2): 651-669.
篇7
0 引言
控制平面是體現(xiàn)ASON智能特性的核心部分,ASON的正常運(yùn)行主要依賴于控制平面的3個(gè)基本功能:信令功能�、路由功能和資源管理功能。相應(yīng)地�����,控制平面所使用的協(xié)議也主要包括三大部分:信令協(xié)議、路由協(xié)議和鏈路資源管理協(xié)議�。目前,相關(guān)組織已經(jīng)展開了協(xié)議的制定工作����,IETF通過對(duì)IP網(wǎng)絡(luò)中原有協(xié)議的改進(jìn),提出了一種通用多協(xié)議標(biāo)簽交換GMPLS的協(xié)議框架��,并把對(duì)這種可應(yīng)用于多種技術(shù)網(wǎng)絡(luò)的控制協(xié)議應(yīng)用于ASON中���。
1 GMPLS技術(shù)
隨著光網(wǎng)絡(luò)的部署���,IP面臨的接口類型也日趨多樣化,原來MPLS要求承載IP數(shù)據(jù)的LSP起始于一個(gè)路由器�����,但很多實(shí)際的網(wǎng)絡(luò)管理域可能以其它網(wǎng)絡(luò)設(shè)備為界����,所以MPLS需要支持多種類型的接口。
GMPLS就是一種在MPLS技術(shù)基礎(chǔ)上擴(kuò)展起來的�、支持多類型交換的通用技術(shù)�,一方面它沿用了MPLS原有的技術(shù)����,如控制與轉(zhuǎn)發(fā)相分離、標(biāo)簽交換����、路由技術(shù)、信令技術(shù)等�����;另一方面�����,又對(duì)MPLS進(jìn)行了擴(kuò)展���,從而使其不僅支持分組交換�����,而且還支持時(shí)域的TDM交換、光域的波長(zhǎng)交換�、空間域的光纖交換等多種類型交換�。
GMPLS控制平面的主要功能是:自動(dòng)發(fā)現(xiàn)���、狀態(tài)信息分發(fā)����、路由功能��、信令控制���、連接管理等�,所以能比較好地實(shí)現(xiàn)ASON的各種功能���。因此���,伴隨著光傳送網(wǎng)逐步向智能化方向邁進(jìn),在SDH或OTN層面上加載GMPLS控制技術(shù)是實(shí)施ASON的首選方案�����。
1.1 GMPLS標(biāo)簽
為了支持多種類型的交換��,GMPLS對(duì)原MPLS標(biāo)簽在時(shí)域和光域都進(jìn)行了擴(kuò)展,將光纖�、波長(zhǎng)、TDM時(shí)隙等也用標(biāo)簽進(jìn)行統(tǒng)一標(biāo)識(shí)�,從而使其成為不僅可以支持以太網(wǎng)、IP����、ATM的數(shù)據(jù)交換,而且還可以支持TDM電路交換(SDH)����、波長(zhǎng)交換、光纖交換的通用標(biāo)記�����。
1.2 標(biāo)簽交換通道LSP
GMPLS可以構(gòu)建多種類型的LSP�����,如分組LSP�����、TDMLSP�、波長(zhǎng)交換的LSP等。
在建立LSP時(shí)一般也是由入口節(jié)點(diǎn)向出口節(jié)點(diǎn)提出建立LSP的請(qǐng)求,然后由出口節(jié)點(diǎn)返回應(yīng)答�、提供FEC、標(biāo)簽綁定信息等�����。GMPLS在“標(biāo)簽請(qǐng)求”中增加了對(duì)要建立LSP的說明�,如LSP的編碼類型��、負(fù)荷類型等�����。對(duì)于建立光連接的LSP����,為了減少LSP的建立時(shí)間,GMPLS定義了一個(gè)“建議標(biāo)簽”�����,它采用標(biāo)簽由入口節(jié)點(diǎn)發(fā)出��,不需要得到出口節(jié)點(diǎn)確認(rèn)便進(jìn)行硬件配置的方法�����。
另外,GMPLS會(huì)同時(shí)建立雙向?qū)ΨQ的LSP����,而不像MPLS那樣需要分別建立兩次單個(gè)的LSP。GMPLS建立的LSP具有嵌套功能�����,即分組的LSP可以嵌入到TDM LSP之中��,而TDM LSP又可以嵌入到光交換LSP之中等����,從而提高了網(wǎng)絡(luò)資源的利用率[3]。
2 GMPLS協(xié)議
控制平面的控制作用主要是通過軟件即相關(guān)協(xié)議完成的����,GMPLS 的相關(guān)協(xié)議主要包括路由協(xié)議、信令協(xié)議與鏈路管理協(xié)議[4]�。
2.1 路由協(xié)議
GMPLS基本上沿用了MPLS的路由協(xié)議,如OSPF-TE或IS-IS-TE協(xié)議����,以完成路由的計(jì)算與選擇等功能���。但為了支持多類型交換,GMPLS對(duì)原路由協(xié)議進(jìn)行了擴(kuò)展[5]�����,GMPLS對(duì)路由協(xié)議的擴(kuò)展主要包括:支持無編號(hào)鏈路(不具有IP地址的鏈路如光波長(zhǎng)鏈路)���,指示鏈路保護(hù)類型(LPT)、增加了接換能力描述符���、帶寬編碼�����、鏈路捆綁等���。此外,為了可以查出哪個(gè)物理設(shè)備可能會(huì)被一個(gè)普通的錯(cuò)誤事件影響���,GMPLS路由也引入了共享風(fēng)險(xiǎn)鏈路組(SRLG)的概念���。GMPLS-OSPF和GMPLS-ISIS則分別描述了OSPF-TE和ISIS-TE對(duì)擴(kuò)展功能的具體實(shí)現(xiàn)方式����。GMPLS路由協(xié)議主要用于I-NNI接口的路由���,即ASON域內(nèi)路由�����。
2.2 信令協(xié)議
GMPLS基本上也沿用了MPLS的信令協(xié)議如RSVP-TE或CR-LDP協(xié)議���,以完成資源預(yù)留、建立標(biāo)簽交換通道LSP�����。同時(shí)也對(duì)原信令協(xié)議進(jìn)行了擴(kuò)展�����,明顯的擴(kuò)展有以下幾點(diǎn):
(1)擴(kuò)展標(biāo)簽:將MPLS中的標(biāo)簽概念擴(kuò)展后用來包含不同標(biāo)簽格式���,以符合分組交換和電路交換技術(shù)����。
(2)普通端到端(End-to-End)標(biāo)簽:此擴(kuò)展允許網(wǎng)絡(luò)中的交換機(jī)判定一個(gè)普通端到端標(biāo)簽。在沒有波長(zhǎng)轉(zhuǎn)換且相同波長(zhǎng)(標(biāo)簽)必須使用端到端的全光網(wǎng)絡(luò)中���,這個(gè)特性很有用�����。
(3)雙向性:GMPLS信令擴(kuò)展支持建立單向和雙向連接�。而在MPLS-TE中僅僅支持單向LSP��。
(4)控制平面和數(shù)據(jù)平面的分離:MPLS-TE信令和數(shù)據(jù)在相同的網(wǎng)絡(luò)接口中傳輸�。而GMPLS信令允許控制接口和數(shù)據(jù)接口分離開來�。因此,可以用一條單獨(dú)的控制鏈路來控制網(wǎng)元之間的多條數(shù)據(jù)鏈路��。此外�,GMPLS信令還有這樣的設(shè)計(jì):控制平面的錯(cuò)誤不會(huì)影響數(shù)據(jù)在先前建立的連接里面?zhèn)鬏敗?/p>
(5)控制平面重啟程序:這些擴(kuò)展允許網(wǎng)元在一個(gè)節(jié)點(diǎn)或者一條鏈路出現(xiàn)故障之后可以恢復(fù)它們的信令控制狀態(tài)。
2.3 鏈路管理協(xié)議
LMP是 GMPLS 用于管理鏈路的協(xié)議�,主要有4個(gè)功能,即控制通路管理�����、鏈路特性關(guān)聯(lián)����、鏈路連通性檢驗(yàn)����、故障管理����。其中前兩個(gè)功能是必須的,后兩個(gè)功能是可選的[6]�����。
(1)控制通路管理
所謂控制通路�����,就是在兩相鄰結(jié)點(diǎn)的互相可達(dá)接口之間可以進(jìn)行通信(主要是控制信息)以支持路由����、信令與管理的鏈路?�?刂奇溌房梢杂枚喾N方法實(shí)現(xiàn)�,如光纖、WDM的波長(zhǎng)����、以太網(wǎng)鏈路��、IP隧道與數(shù)據(jù)鏈路的開銷字節(jié)等��。LMP并不具體規(guī)定控制通路的實(shí)現(xiàn)方法����?����?刂仆饭芾砭褪窃趦蓚€(gè)相鄰結(jié)點(diǎn)之間建立并保持�、維護(hù)控制通路。它是通過在相鄰結(jié)點(diǎn)接口之間交換“配置”消息與不斷地交換“Hello”消息實(shí)現(xiàn)的���。
(2)鏈路屬性關(guān)聯(lián)
鏈路屬性關(guān)聯(lián)是用來實(shí)現(xiàn)TE鏈路屬性的同步和配置的校驗(yàn),可進(jìn)行鏈路綁定��,可以修改����、關(guān)聯(lián)和交換鏈路的流量工程參數(shù)。LMP使用的相應(yīng)消息有:“鏈路匯總”���、“鏈路匯總應(yīng)答”(Ack)�����、“鏈路匯總非應(yīng)答”(Nack)�����。
(3)鏈路連通性檢驗(yàn)
鏈路連通性驗(yàn)證用來證實(shí)數(shù)據(jù)鏈路的物理連通性����,動(dòng)態(tài)發(fā)現(xiàn)TE鏈路和接口ID的映射關(guān)系。鏈路連通性檢驗(yàn)通過在數(shù)據(jù)鏈路上發(fā)送“測(cè)試”消息���,在控制通路上反饋“測(cè)試狀態(tài)”消息來實(shí)現(xiàn)����?���!皽y(cè)試”消息只能在數(shù)據(jù)鏈路上傳送的LMP消息,而“測(cè)試狀態(tài)”消息的交換通路是在控制通路上進(jìn)行�����。在檢驗(yàn)過程中,“Hello”消息將連續(xù)不斷地在控制通路上進(jìn)行交換�����。
綜上所述����,GMPLS可以提供一套構(gòu)建ASON的完整解決方案?�;贕MPLS的ASON控制平面不僅能夠支持包括分組��、TDM���、光波長(zhǎng)等多類型業(yè)務(wù)交換��,把交換與傳輸融合在一起��,而且還能提供自動(dòng)呼叫與連接����、網(wǎng)絡(luò)的保護(hù)與恢復(fù)等多項(xiàng)功能�。
【參考文獻(xiàn)】
篇8
中圖分類號(hào):TP393
文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-7800(2015)005-0154-04
作者簡(jiǎn)介:牛樂園(1990-),女�����,河南許昌人��,中南民族大學(xué)計(jì)算機(jī)科學(xué)學(xué)院碩士研究生���,研究方向?yàn)樾畔踩?/p>
0 引言
人類建立了通信系統(tǒng)后��,如何保證通信安全始終是一個(gè)重要問題�。伴隨著現(xiàn)代通信系統(tǒng)的建立�,人們利用數(shù)學(xué)理論找到了一些行之有效的方法來保證數(shù)字通信安全。簡(jiǎn)單而言就是將雙方通信的過程進(jìn)行保密處理����,比如對(duì)雙方通信的內(nèi)容進(jìn)行加密,這樣可有效防止偷聽者輕易截獲通信內(nèi)容���。SSL(Secure Sockets Layer) 及其后續(xù)版本 TLS(Transport Layer Security)是目前較為成熟的通信加密協(xié)議��,常被用于在客戶端和服務(wù)器之間建立加密通信通道����。TLS是安全傳輸層協(xié)議,用于在兩個(gè)通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性��。截至目前其版本有1.0��,1.1�、1.2[1],由兩層協(xié)議組成:TLS 記錄協(xié)議(TLS Record)和 TLS 握手協(xié)議(TLS Handshake)�。
1 TLS協(xié)議結(jié)構(gòu)
TLS協(xié)議是對(duì)SSL協(xié)議規(guī)范后整理的協(xié)議版本,建立在可靠的傳輸層上����,如TCP(UDP則不行)。應(yīng)用層可利用TLS協(xié)議傳輸各種數(shù)據(jù)�,來保證數(shù)據(jù)的安全性和保密性[2]。
安全傳輸層協(xié)議(TLS)用于在兩個(gè)通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性�。該協(xié)議由兩層組成:TLS 記錄協(xié)議(TLS Record)和TLS握手協(xié)議(TLS Handshake)。較低層為 TLS記錄協(xié)議�����,位于某個(gè)可靠的傳輸協(xié)議(如TCP)上�����。
TLS記錄協(xié)議是一種分層協(xié)議��。每一層中的信息可能包含長(zhǎng)度���、描述和內(nèi)容等字段��。記錄協(xié)議支持信息傳輸�����、將數(shù)據(jù)分段到可處理塊����、壓縮數(shù)據(jù)�����、應(yīng)用 MAC��、加密以及傳輸結(jié)果等���,并對(duì)接收到的數(shù)據(jù)進(jìn)行解密�、校驗(yàn)����、解壓縮���、重組,然后將它們傳送到高層客戶機(jī)�����。
TLS記錄層從高層接收任意大小不間斷的連續(xù)數(shù)據(jù)����。密鑰計(jì)算:記錄協(xié)議通過算法從握手協(xié)議提供的安全參數(shù)中產(chǎn)生密鑰、IV 和 MAC 密鑰��。TLS 握手協(xié)議由3個(gè)子協(xié)議組構(gòu)成����,允許對(duì)等雙方在記錄層的安全參數(shù)上達(dá)成一致、自我認(rèn)證�����、例示協(xié)商安全參數(shù)�、互相報(bào)告出錯(cuò)條件。
TLS握手協(xié)議由3種協(xié)議封裝��,包括改變密碼規(guī)格協(xié)議�、警惕協(xié)議��、握手協(xié)議�����。TLS協(xié)議結(jié)構(gòu)如圖1所示。
2 TLS1.2消息流程
在整個(gè)通訊過程中����,為實(shí)現(xiàn)TLS的安全連接,服務(wù)端與客戶端要經(jīng)歷如下5個(gè)階段[3]:①Client申請(qǐng)鏈接��,包含自己可以實(shí)現(xiàn)的算法列表以及其它信息����;②Server回應(yīng)鏈接,回應(yīng)中確定了這次通信所使用的算法��,將證書發(fā)送給對(duì)方�,證書中包含了自己的身份和公鑰;③Client在收到消息后會(huì)生成一個(gè)秘密消息ClientKeyExchange――(此秘密消息經(jīng)處理后���,將用作加密密鑰(會(huì)話密鑰))��,用Web服務(wù)器的公鑰加密并傳至Server���;④Server再用私鑰解密秘密消息ClientKeyExchange����,并進(jìn)行處理���,生成會(huì)話密鑰(用于之后的數(shù)據(jù)加密)����,會(huì)話密鑰協(xié)商成功����;⑤Client和Server得到會(huì)話密鑰,并用此會(huì)話密鑰進(jìn)行數(shù)據(jù)加密����。
TLS1.2在傳輸層協(xié)議的消息主要包含8條消息,消息結(jié)構(gòu)如圖2所示���,分別是ClientHello版本協(xié)商����、ServerHello版本協(xié)商��、Server Certificate證書消息、HelloDone接收結(jié)束標(biāo)識(shí)�、 ClientKeyExchange即Client交換密鑰消息、Client的Finished消息���、CertificateVeri驗(yàn)證證書消息����、Server的Finished消息�����。
2.1 ClientHello和消息
ClientServer
client_version|| client_random|| session_id|| cipher_suites|| compression_methods|| extensions
消息描述:該消息包括客戶端的版本號(hào)client_version����,用于告知服務(wù)器client可以支持的協(xié)議最高版本�����,來協(xié)商安全協(xié)議版本�����。client_random是client產(chǎn)生的一個(gè)隨機(jī)數(shù)�,由client的日期和時(shí)間加上28字節(jié)的偽隨機(jī)數(shù)組成�,用于后面的主密鑰計(jì)算��。session_id由服務(wù)連接得到����,發(fā)送給server來建立一個(gè)新的會(huì)話連接。cipher_suites是client提供給server可供選擇的密碼套件��,用于協(xié)商密鑰交換��,數(shù)據(jù)加密以及散列算法����。compression_methods是客戶端支持的壓縮算法。extensions是客戶端的擴(kuò)展域�。
client_version: Protocol version(協(xié)議版本),該字段表明了客戶能夠支持的最高協(xié)議版本3.3�����。
random:它由客戶的日期和時(shí)間加上28字節(jié)的偽隨機(jī)數(shù)組成���,該客戶隨機(jī)數(shù)將用于計(jì)算master secret(主秘密)和prevent replay attacks(防止重放攻擊)���。
session_id:一個(gè)會(huì)話ID標(biāo)識(shí)一個(gè)可用的或者可恢復(fù)的會(huì)話狀態(tài)���。一個(gè)空的會(huì)話ID表示客戶想建立一個(gè)新的TLS連接或者會(huì)話,而一個(gè)非空的會(huì)話ID表明客戶想恢復(fù)一個(gè)先前的會(huì)話����。session_id有3個(gè)來源:①之前的會(huì)話連接;②當(dāng)前連接���,客戶端僅僅想通過更新random結(jié)構(gòu)得到連接值時(shí)使用����;③當(dāng)前激活的連接�,為了建立幾個(gè)獨(dú)立的連接而不再重復(fù)發(fā)起連接握手�。
2.2 ServerHello消息
ServerClient:
server_version||server_random|| session_id|| cipher_suites|| compression_methods|| extensions
消息描述:該消息包含6個(gè)消息項(xiàng),server_version取客戶端支持的最高版本號(hào)和服務(wù)端支持的最高版本號(hào)中的較低者�����,本文所用的是TLS1.2�����。server _random是服務(wù)端生成的隨機(jī)數(shù),由服務(wù)器的時(shí)間戳加上28字節(jié)的偽隨機(jī)數(shù)組成��,也用于主密鑰的生成�。session_id提供了與當(dāng)前連接相對(duì)應(yīng)的會(huì)話的標(biāo)識(shí)信息。從客戶端處接收到會(huì)話標(biāo)識(shí)后�,服務(wù)器將查找其緩存以便找到一個(gè)匹配的session_id。
server_version: Protocol version(協(xié)議版本)��,取客戶端支持的最高版本號(hào)和服務(wù)端支持的最高版本號(hào)中的較低者��。TLS版本為3.3�。random:它由客戶的日期和時(shí)間加上28字節(jié)的偽隨機(jī)數(shù)組成,該客戶隨機(jī)數(shù)將用于計(jì)算master secret(主秘密)和prevent replay attacks(防止重放攻擊)�。session_id:該域提供了與當(dāng)前連接相對(duì)應(yīng)的會(huì)話的標(biāo)識(shí)信息。如果從客戶端接收到的會(huì)話標(biāo)識(shí)符非空����,則服務(wù)器將查找其緩存以便找到一個(gè)匹配。
2.3 Server Certificate消息
ServerClient:
version||serialNumber||algorithmIdentifier||issuer||utcTime||subject_name||subject_key_info|| signature
消息描述:該項(xiàng)消息為可選項(xiàng)����,證書主要包含4部分內(nèi)容,version是證書版本���,文章統(tǒng)一定為X509v3���。主體名稱指明使用該證書的用戶為server_subject�。subject_key_info是證書包含的公鑰信息�,該消息項(xiàng)有兩項(xiàng)內(nèi)容:一個(gè)是證書的公鑰,發(fā)送給client后用于加密client生成的預(yù)主密鑰�����,并把密文信息發(fā)送給server�����。server收到該密文信息后可以使用自己的私鑰解密得到預(yù)主密鑰�����;另一個(gè)是所用的散列算法�。signature:證書驗(yàn)證簽名信息����,用以驗(yàn)證證書。version:證書版本號(hào)���,為X.509V3����。subject_name:證書主體名稱。
subject_key_info:標(biāo)識(shí)了兩個(gè)重要信息:①主體擁有的公鑰的值���;②公鑰所應(yīng)用算法的標(biāo)識(shí)符��。證書私鑰對(duì)證書的所有域及這些域的Hash值一起加密���。
2.4 ServerKeyExchange消息
ServerClient:
KeyExchangeAlgorithm|| ServerDHParams
KeyExchangeAlgorithm:密鑰交換算法,文章定義的密鑰交換算法為RSA�。ServerDHParams:Diffi-Hellman參數(shù),若交換算法為RSA�����,則此項(xiàng)為空����。
2.5 CertificateRequest消息
ServerClient:
certificate_types|| supported_signature_algorithms|| certificate_authorities
消息描述: 可選消息項(xiàng),該消息是Server服務(wù)器向Client請(qǐng)求驗(yàn)證證書信息�。在一般應(yīng)用中只對(duì)Server服務(wù)器進(jìn)行認(rèn)證,而Server服務(wù)器要允許只有某些授權(quán)的Client才能訪問服務(wù)器��,此時(shí)需要用到該消息對(duì)Client進(jìn)行認(rèn)證�����。Client認(rèn)證是通過Server服務(wù)器給Client發(fā)送一條 CertificateRequest消息而開始,如果Server發(fā)送這條消息�����,則Client必須向server發(fā)送自己的證書��??蛻舳耸盏皆撓⒑螅l(fā)送一條 Certifcate 消息(與服務(wù)器傳送證書的消息一樣)和一條 CertificateVerify 消息予以應(yīng)答�����。
certificate_type:客戶端提供的證書類型����,該處為rsa_sign。supported_signature_algorithms:可以驗(yàn)證server的散列/簽名算法對(duì)�����。certificate_authorities:可以接受證書消息的特定名稱�����。
2.6 Client Certificate消息
ClientServer:
version||serialNumber||algorithmIdentifier||issuer||utcTime||subject_name||subject_key_info|| signature
消息描述:可選消息項(xiàng)��,該證書主要包含4部分內(nèi)容��,version是證書版本��,文章統(tǒng)一定為X509v3�����。主體名稱指明使用該證書的用戶為server_subject�����。subject_key_info是證書包含的主要公鑰信息��,該消息項(xiàng)有兩項(xiàng)內(nèi)容:一個(gè)是證書的公鑰��,另一個(gè)是所用的散列算法���。signature是證書驗(yàn)證簽名信息�,用以驗(yàn)證證書����。
version:證書的版本號(hào)��,為X.509V3�����。subject_name:證書主體名稱�。subject_key_info:標(biāo)識(shí)了兩個(gè)重要信息:①主體擁有的公鑰的值���;②公鑰所應(yīng)用的算法的標(biāo)識(shí)符����。算法標(biāo)識(shí)符指定公鑰算法和散列算法(如RSA和SHA-1)�。signature:用證書私鑰對(duì)證書的所有域及這些域的Hash值一起加密。
2.7 ClientKeyExchange消息
ClientServer:
KeyExchangeAlgorithm|| EncryptedPreMasterSecret
消息描述:該消息是密鑰交換消息�����。之前的消息協(xié)商中規(guī)定密鑰交換算法為RSA算法�����,所以該消息中KeyExchangeAlgorithm的內(nèi)容為RSA����。此時(shí)��,client隨機(jī)生成一個(gè)48字節(jié)的預(yù)主密鑰,用從server證書得來的公鑰來加密這個(gè)預(yù)主密鑰�,加密算法為RSA算法。client加密預(yù)主密鑰并在ClientKeyExchange消息中將密文EncryptedPreMasterSecret發(fā)給server��,使server得到預(yù)主密鑰�����。
KeyExchangeAlgorithm:算法選擇為RSA�。EncryptedPreMasterSecret:客戶端生成一個(gè)48字節(jié)的預(yù)主密鑰,用從server證書得來的公鑰來加密該預(yù)主密鑰��,加密預(yù)主密鑰消息并發(fā)送密文�。
2.8 CertificateVerif消息
ClientServer
handshake_messages[handshake_messages_length]
消息描述:可選消息項(xiàng),如果服務(wù)器請(qǐng)求驗(yàn)證客戶端��,則該消息完成服務(wù)器驗(yàn)證過程�。客戶端發(fā)送一個(gè)certificate_verify消息��,其中包含一個(gè)簽名����,對(duì)從第一條消息以來的所有握手消息的HMAC值(用master_secret)進(jìn)行簽名��。handshake_messages指所有發(fā)送或接收的握手消息����,從clienthello消息開始到CertificateVerif消息之前(不包括CertificateVerif消息)的所有消息集合���,包括握手消息的類型和變長(zhǎng)字段�����。這是到目前為止HandShake結(jié)構(gòu)的整合���。
3 Blanchet演算模型建立流程
Blanchet演算模型主要包括類型定義、時(shí)間定義���、方法定義����、通道定義���、時(shí)間聲明�����、初始化進(jìn)程描述[4]�����、客戶端進(jìn)程描述與服務(wù)端進(jìn)程描述����。TLS1.2最主要的功能體現(xiàn)在客戶端與服務(wù)端的消息傳遞�����。
3.1 協(xié)議事件聲明
在Blanchet演算中首先要聲明要證明的事件����。TLS1.2協(xié)議的消息流程中最重要的就是認(rèn)證性和密鑰的保密性[5]。認(rèn)證性包括客戶端對(duì)服務(wù)端的認(rèn)證和服務(wù)端對(duì)客戶端的認(rèn)證���,保密性是對(duì)會(huì)話密鑰的秘密性進(jìn)行認(rèn)證����。表示server事件發(fā)生之前client事件一定發(fā)生��,用來驗(yàn)證服務(wù)端用戶。在更嚴(yán)格的定義下進(jìn)行服務(wù)端驗(yàn)證��,事件聲明代碼如下���。
event server(output).
event client(output).
query x:output����;
event server(x)==>client(x).
query x:output���;
event inj:server(x)==>inj:client(x).
query secret premastersecret.
3.2 初始化進(jìn)程
協(xié)議模型初始化進(jìn)程如下所示�����,ClientProcess表示客戶端進(jìn)程[6]����,ServerProcess表示服務(wù)端端進(jìn)程�,表示多個(gè)ClientProcess進(jìn)程并發(fā)執(zhí)行,集中一次模擬現(xiàn)實(shí)協(xié)議執(zhí)行����。
process
in(start,())��;
new seedone:rsakeyseed;
let pkeyrsa:rsapkey=rsapkgen(seedone) in
let skeyrsa:rsaskey=rsaskgen(seedone) in
new seedtwo:keyseed���;
let signpkey:pkey=pkgen(seedtwo) in
let signskey:skey=skgen(seedtwo) in
new keyhash:hashkey��;
out(c�,(pkeyrsa����,signpkey,keyhash))��;
((���! N ClientProcess) |
(! N ServerProcess) )
3.3 客戶端和服務(wù)端進(jìn)程
客戶端的消息流程包括版本協(xié)商�、算法協(xié)商、密鑰協(xié)商�、密鑰交換和請(qǐng)求驗(yàn)證。版本協(xié)商是協(xié)商客戶端��、服務(wù)端可以通用的版本[7]�,一般是客戶端和服務(wù)端都支持的最高版本,密鑰協(xié)商完成后Client向Server發(fā)送verifydata認(rèn)證請(qǐng)求消息���,內(nèi)容包括username�、servicename、methodname�����,method_specific�,請(qǐng)求Server驗(yàn)證身份,并在此定義對(duì)客戶端的驗(yàn)證事件client(verifydata)�����。
服務(wù)端進(jìn)程首先接收客戶端進(jìn)程發(fā)送的版本信息[8]����,并與自己的版本信息匹配協(xié)商得到協(xié)商版本client_version。版本信息協(xié)商完成后接收客戶端所支持的算法信息����,至此算法協(xié)商完成。進(jìn)入密鑰協(xié)商階段���,首先Server接收Client發(fā)送的密鑰參數(shù)信息c_s_random_s��,用來計(jì)算hash驗(yàn)證�;Server收到Client的驗(yàn)證請(qǐng)求后對(duì)Client進(jìn)行驗(yàn)證并接收Client發(fā)來的驗(yàn)證消息,用所收到的所有消息計(jì)算驗(yàn)證信息��。在此插入事件event server(verifydata_fc)來驗(yàn)證客戶端����。
3.4 驗(yàn)證結(jié)果
本文在介紹TLS1.2協(xié)議的基礎(chǔ)上對(duì)其數(shù)據(jù)流程進(jìn)行分析[9],使用Blanchet建立模型并分析其安全性和認(rèn)證性���。經(jīng)過一系列的流程跟進(jìn)并使用自動(dòng)化證明工具Cryptoverif對(duì)TLS1.2進(jìn)行模型建立�,經(jīng)過一系列的Game轉(zhuǎn)換得出分析結(jié)果如圖3所示[10]�。結(jié)果證明,TLS1.2協(xié)議的會(huì)話密鑰具有安全性��,在認(rèn)證階段能夠?qū)蛻舳送ㄟ^消息簽名進(jìn)行驗(yàn)證����。
4 結(jié)語(yǔ)
為了研究TLS1.2協(xié)議在應(yīng)用中的安全性��,本文對(duì)TLS1.2協(xié)議的消息流程進(jìn)行了分析��。通過對(duì)每一步消息流中消息項(xiàng)的研究分析�,得出TLS1.2協(xié)議的整體消息結(jié)構(gòu),最終實(shí)現(xiàn)服務(wù)端對(duì)客戶端的驗(yàn)證流程分析����?;贐lanchet演算對(duì)分析的消息流程應(yīng)用一致性對(duì)服務(wù)端認(rèn)證客戶端和客戶端對(duì)服務(wù)端的驗(yàn)證建立模型�。協(xié)議模型通過協(xié)議轉(zhuǎn)換工具轉(zhuǎn)換為CryptoVerif的輸入代碼TLS1.2.cv,使用CryptoVerif對(duì)模型進(jìn)行分析���,并證明了TLS1.2協(xié)議的安全性與認(rèn)證性���。后續(xù)研究中將給出TLS1.2協(xié)議的Java安全代碼,并分析其安全性�。
參考文獻(xiàn):
[1] 陳力瓊,陳克非.認(rèn)證測(cè)試方法對(duì)TLS協(xié)議的分析及其應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件���,2008���,25(11):6-7.
[2] 于代榮,楊揚(yáng)�,馬炳先,等.基于身份的TLS協(xié)議及其BAN邏輯分析[J].計(jì)算機(jī)工程���,2011�����,37(1):142-144.
[3] MORRISSEY P�, P SMART N,WARINSCHI B.The TLS handshake protocol: a modular analysis[J]. Journal of Cryptology�����,2010���,23(2):187-223.
[4] 盧敏���,申明冉.基于RSA簽名的TLS協(xié)議的新攻擊發(fā)現(xiàn)及其改進(jìn)[J].消費(fèi)電子,2013(14):69-70.
[5] 高志偉�����,耿金陽(yáng).基于優(yōu)先級(jí)策略的 TLS 握手協(xié)議研究[J].石家莊鐵道大學(xué)學(xué)報(bào):自然科學(xué)版����,2014(3):69-74.
[6] 唐鄭熠��,李祥.Dolev-Yao攻擊者模型的形式化描述[J].計(jì)算機(jī)工程與科學(xué)����,2010(8):36-38.
[7] 邵飛.基于概率進(jìn)程演算的安全協(xié)議自動(dòng)化分析技術(shù)研究[D].武漢:中南民族大學(xué)��,2011.
篇9
(鄭州航空工業(yè)管理學(xué)院�����,河南 鄭州 450000)
摘要:WMN(Wireless Mesh Network)即無線網(wǎng)狀物���,該網(wǎng)絡(luò)在無線媒介上以多跳的方式構(gòu)成通訊系統(tǒng)。無線網(wǎng)狀網(wǎng)是無線網(wǎng)絡(luò)的發(fā)展重心�����,但由于無線網(wǎng)絡(luò)本身的各種標(biāo)準(zhǔn)和實(shí)現(xiàn)處于快速發(fā)展的時(shí)期����,難以針對(duì)其開展有效的實(shí)踐教學(xué)活動(dòng)。在本文中作者提出了基于OpenWRT和802.11標(biāo)準(zhǔn)的WMN實(shí)驗(yàn)方案�����,解決了該難題�。同時(shí)加強(qiáng)學(xué)生對(duì)多跳網(wǎng)絡(luò)、無線網(wǎng)絡(luò)路由協(xié)議的認(rèn)識(shí)和理解���,培養(yǎng)學(xué)生的創(chuàng)新能力和科研素質(zhì)�。
關(guān)鍵詞:WMN;OLSR����;OpenWRT;實(shí)驗(yàn)設(shè)計(jì)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2014)19-4393-04
Abstract: WMN so called wireless mesh network���,is a type of network construct by multi-hop structure on wireless media. WMN is the focus of wireless network����, but it is difficult to conduct an experiment in class. The major reason for this is the fast development of the WMN itself and the diversity definition of the WMN protocols. To deal with the problem�����, the author propose a WMN experiment which base on OpenWRT and 802.11 in this paper. This solution not only enhance the comprehension concept of ‘multi hop network' and ‘wireless routing protocols '�����, but also develop the creative ability and scientific research quality of the students.
Key words: WMN���; OLSR�����; OpenWRT���; experiment design
伴隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展,社會(huì)對(duì)無線網(wǎng)絡(luò)的需求在提升���,人們迫切需要在任何時(shí)間地點(diǎn)接入網(wǎng)絡(luò)��。由此帶來了各種無線網(wǎng)絡(luò)技術(shù)的飛速發(fā)展��,例如4G�、WiFi和UWB����。但受限于網(wǎng)絡(luò)部署的時(shí)間和成本的因素,在人口比較稀少或者臨時(shí)性場(chǎng)所以及災(zāi)難地區(qū)的組網(wǎng)一直面臨著較大的難題����,WMN就是針對(duì)該問題而提出的解決方案[1]。WMN也是未來無線網(wǎng)絡(luò)技術(shù)的核心和發(fā)展目標(biāo)�����,但WMN其自身也處于快速的發(fā)展進(jìn)程中�����,存在著眾多的私有和共有標(biāo)準(zhǔn)。以上這種現(xiàn)象給WMN的實(shí)驗(yàn)帶來了極大的困難�����,而開源WMN路由協(xié)議的發(fā)展����,給WMN網(wǎng)絡(luò)的實(shí)驗(yàn)帶來了可能。利用價(jià)格低廉的家用路由器和開源軟件��,學(xué)生可以在實(shí)驗(yàn)室環(huán)境下進(jìn)行WMN的部署��。能極大加深WMN的理解�����,并認(rèn)識(shí)到其優(yōu)勢(shì)和不足�����,開展該項(xiàng)實(shí)驗(yàn)對(duì)網(wǎng)絡(luò)創(chuàng)新性人才的培養(yǎng)起到了重要的作用����。
1 無線網(wǎng)狀網(wǎng)
無線網(wǎng)狀物是由節(jié)點(diǎn)以無線形式互聯(lián)所形成的的多跳型的通訊網(wǎng)絡(luò)��,這些節(jié)點(diǎn)通常承載著無線路由協(xié)議���,以實(shí)現(xiàn)網(wǎng)絡(luò)的可達(dá)性�。無線網(wǎng)狀網(wǎng)中的節(jié)點(diǎn)可以是個(gè)人電 腦、筆記本以及嵌入式設(shè)備�����,同時(shí)節(jié)點(diǎn)的數(shù)目則不受任何限制��。無線網(wǎng)狀網(wǎng)的節(jié)點(diǎn)按照設(shè)備的類型����,分為路由節(jié)點(diǎn)和用戶節(jié)點(diǎn),路由節(jié)點(diǎn)通常由無線路由器組成���,而用戶節(jié)點(diǎn)通常是筆記本�、手機(jī)等可移動(dòng)設(shè)備���。根據(jù)網(wǎng)絡(luò)中存在節(jié)點(diǎn)的類型和用戶節(jié)點(diǎn)間是否進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)��,將無線網(wǎng)狀通常分為三種類型��,骨干式無線網(wǎng)狀網(wǎng)�����、用戶型無線網(wǎng)狀網(wǎng)����、混合型無線網(wǎng)狀網(wǎng)[2-5],其結(jié)構(gòu)間圖1���、圖2��、圖3���。
圖1 骨干型WMN
其中骨干型WMN僅由路由節(jié)點(diǎn)節(jié)構(gòu)成,用戶節(jié)點(diǎn)的數(shù)據(jù)必須由網(wǎng)關(guān)節(jié)點(diǎn)來轉(zhuǎn)發(fā)����;而用戶型WMN僅有用戶節(jié)點(diǎn)組成,用戶節(jié)點(diǎn)扮演了路由的角色�;而混合型WMN中路由節(jié)點(diǎn)和用戶節(jié)點(diǎn)都能起到數(shù)據(jù)轉(zhuǎn)發(fā)的作用,同時(shí)網(wǎng)絡(luò)中呈現(xiàn)出層次結(jié)構(gòu)��。
WMN是Ad-hoc網(wǎng)絡(luò)的一種特殊形態(tài)��。首先WMN網(wǎng)絡(luò)引入了結(jié)構(gòu),即存在路由節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩種類型的節(jié)點(diǎn)�。其次WMN的節(jié)點(diǎn)較Ad-hoc有著更低的移動(dòng)性和和更可靠的供電。再次�,由于不受到供電的制約,WMN的節(jié)點(diǎn)可以使用更多的頻段來提升網(wǎng)絡(luò)傳輸性能�,充足的電源供應(yīng)讓W(xué)MN有著更大的網(wǎng)絡(luò)規(guī)模。最后�����,WMN通常使用TCP/IP等網(wǎng)絡(luò)協(xié)議��,這就能和其他類型的網(wǎng)絡(luò)很方便的混合組網(wǎng)�����,見圖3�。
無線路由協(xié)議對(duì)無線網(wǎng)狀網(wǎng)起到了核心的作用����,無線路由協(xié)議通過節(jié)點(diǎn)間的無線信道來交換鏈路狀態(tài)和路由表信息從而形成完整的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在整體上���,根據(jù)節(jié)點(diǎn)中是否存在網(wǎng)絡(luò)的所有節(jié)點(diǎn)的路由可以分為主動(dòng)式路由協(xié)議和被動(dòng)式路由協(xié)議����,由于WMN節(jié)點(diǎn)普遍有著可靠的電源和較低的移動(dòng)型,同時(shí)有著較高的網(wǎng)絡(luò)帶寬和較低的網(wǎng)絡(luò)延時(shí)����,主動(dòng)式路由協(xié)議占據(jù)了較大的比重。近年來幾種無線網(wǎng)絡(luò)路由協(xié)議被提出和實(shí)現(xiàn)�����,例如BMX6���,BATMAN-ADV�,Babel和OLSR����。其中BMX6,Babel和OLSR屬于三層的網(wǎng)絡(luò)協(xié)議�,而BATMAN-ADV屬于二層網(wǎng)絡(luò)協(xié)議。這些協(xié)議通過在節(jié)點(diǎn)之間傳遞路由表和鏈路狀態(tài)信息來生成網(wǎng)絡(luò)的拓?fù)洹?/p>
OSLR由于較早出現(xiàn)����,因此成熟度較高,在AWMN��,F(xiàn)reifunk,F(xiàn)unkFeuer等社區(qū)無線網(wǎng)絡(luò)中����,普遍使用其作為內(nèi)部網(wǎng)關(guān)協(xié)議。而BMX6���,和Babel僅支持IPV6路由協(xié)議����,對(duì)于IPv4需要通過4to6的隧道來實(shí)現(xiàn)�。而OLSR是唯一同時(shí)支持ipv6和ipv4的路由協(xié)議���,在實(shí)驗(yàn)的過程中可以使用ipv4地址來進(jìn)行配置����,減少在教學(xué)中學(xué)生額外的實(shí)驗(yàn)負(fù)擔(dān)���。
2 OLSR和OpenWRT
OLSR( optimized link stat routing protocol)優(yōu)化鏈路狀態(tài)協(xié)議[6]�����,也是WMN中最為成熟的路由協(xié)議�����。該路由協(xié)議是一種典型的鏈路狀態(tài)路由協(xié)議��。在傳統(tǒng)的有線網(wǎng)絡(luò)中��,使用最為廣泛的鏈路狀態(tài)協(xié)議為OSPF����,但OSPF在無線鏈路中會(huì)產(chǎn)生大量的鏈路狀態(tài)信息并帶來過高的網(wǎng)絡(luò)開銷。而OLSR僅使用MPR(多點(diǎn)轉(zhuǎn)播)節(jié)點(diǎn)來廣播鏈路狀態(tài)信息�,因此大大減少了路由協(xié)議所帶來的開銷。同時(shí)OLSR屬于第三層協(xié)議�����,這就使得其很容易被移植到各類操作系統(tǒng)上�。OLSR的實(shí)現(xiàn)OLSRD就可以在OpenWRT系統(tǒng)上運(yùn)行。
OpenWRT是一個(gè)嵌入式的Linux發(fā)行版���,該發(fā)行版面向路由器等嵌入式設(shè)備開發(fā)�����。由于其使用標(biāo)準(zhǔn)的Linux內(nèi)核��,因此可以把各種軟件的移植到該平臺(tái)上����,從而擴(kuò)展OpenWRT的功能。除此之外OpenWRT相比與其他路由器軟件的優(yōu)勢(shì)在于它有一個(gè)可寫的文件系統(tǒng)����,這就使得可以臨時(shí)安裝或者刪除軟件或者改變配置文件來。利用該平臺(tái)和相應(yīng)的軟件�,可以快速進(jìn)行實(shí)驗(yàn)準(zhǔn)備,并指導(dǎo)學(xué)生開展實(shí)驗(yàn)���。
3 實(shí)驗(yàn)設(shè)計(jì)
實(shí)驗(yàn)的主要設(shè)備為Tp-Link 2543ND路由器��,該路由器主板采用高通的AR7242,其處理器主頻為400Mhz���,機(jī)身自帶8MB的Nand存儲(chǔ)�����,64M的RAM存儲(chǔ)��。在資料中查到該設(shè)備同時(shí)支持2.4GHz和5GHz兩個(gè)頻段����,但在一個(gè)時(shí)刻只有一個(gè)頻段能夠工作。芯片的資料顯示該設(shè)備支持802.11a/n和802.11b/g/n�����,設(shè)備外置三根8db的全向天線�,為基于MIMO的高帶寬傳輸提供了可能。
由于設(shè)備自帶的操作系統(tǒng)僅支持靜態(tài)路由�,在本次實(shí)驗(yàn)前需要預(yù)先安裝好OpenWRT和OLSRD。在本次實(shí)驗(yàn)中����,作者選OpenWRT Attitude Adjustment和OLSRD 0.93作為實(shí)驗(yàn)指導(dǎo)的軟件。
在實(shí)驗(yàn)準(zhǔn)備階段��,需要將7臺(tái)Tp-link 2543ND安裝好OpenWRT的固件��,并使用OpenWRT的軟件更新功能將OLSRD和對(duì)應(yīng)的圖形化配置工具安裝安裝到路由器上�����。在對(duì)路由器配置前���,將路由器進(jìn)行編號(hào)�����,從101到107����,同時(shí)設(shè)備的網(wǎng)絡(luò)接口地址也會(huì)根據(jù)這個(gè)編號(hào)進(jìn)行配置。在WMN配置前將路由器恢復(fù)到默認(rèn)配置�����,并使用路由器的圖形界面配置該路由器����。路由器有三個(gè)網(wǎng)絡(luò)接口,分別是wan(eth1)�、br-lan(eth0)、wlan0��,在本實(shí)驗(yàn)中僅使用eth0和wlan0接口��。將eth0和wlan0的接口分別配置在網(wǎng)段192.168.x.1/24和10.10.0.x/24�����,其中字符x表示設(shè)備本身的編號(hào)����。另外還要對(duì)無線模塊進(jìn)行設(shè)置,設(shè)定模塊工作在161頻段��,帶寬為40MHz�����,并指無線網(wǎng)卡定工作在Ad-Hoc模式下���,并設(shè)定其SSID為”Mesh”���。設(shè)置完成后,每臺(tái)設(shè)備的接口和無線網(wǎng)絡(luò)的名稱如下表���,見表1����。
表1 WMN節(jié)點(diǎn)的參數(shù)設(shè)置
[節(jié)點(diǎn)編號(hào)\&br-lan接口地址\&wlan0接口地址\&無線接口配置\&101\&192.168.101.1/24\&10.10.0.101/24\&Ad-hoc模式�����,161頻段,40HMz帶寬\&102\&192.168.102.1/24\&10.10.0.102/24\&Ad-hoc模式��,161頻段�����,40HMz帶寬\&103\&192.168.103.1/24\&10.10.0.103/24\&Ad-hoc模式�����,161頻段�����,40HMz帶寬\&104\&192.168.104.1/24\&10.10.0.104/24\&Ad-hoc模式�����,161頻段�,40HMz帶寬\&105\&192.168.105.1/24\&10.10.0.105/24\&Ad-hoc模式,161頻段����,40HMz帶寬\&106\&192.168.106.1/24\&10.10.0.106/24\&Ad-hoc模式,161頻段���,40HMz帶寬\&107\&192.168.107.1/24\&10.10.0.107/24\&Ad-hoc模式���,161頻段,40HMz帶寬\&]
在進(jìn)行下一步實(shí)驗(yàn)前要保證所有設(shè)備的wlan0接口處在同一個(gè)網(wǎng)絡(luò)中����,測(cè)試的方法是登陸路由器,用ping命令測(cè)試其他節(jié)點(diǎn)wlan0接口對(duì)應(yīng)的ip地址�,看是否能夠建立無線鏈路。如果測(cè)試不成功首先檢查該節(jié)點(diǎn)的無線設(shè)置和接口IP設(shè)置是否正確����,如果還不成功則檢查設(shè)備之間的距離是否過遠(yuǎn)。由于161頻段的電磁波屬于5.8GHz的頻段�,其容易被物體吸收,且本身的衍射能力較弱�����,因此在室內(nèi)只有較小的覆蓋范圍�。 在測(cè)試通過開始進(jìn)行無線路由協(xié)約的配置,在每臺(tái)路由器上使用圖形界面啟用OLSRD進(jìn)程���,并將每個(gè)節(jié)點(diǎn)的WLAN0接口加入OLSR的宣告區(qū)域�����,設(shè)置完成后將路由器部署在不同的房間��。
本次實(shí)驗(yàn)安排在一個(gè)樓層���,共有7個(gè)房間����,面積有1000平方米��,每個(gè)房間水平墻面使用混凝土構(gòu)建����,部分室內(nèi)有金屬儲(chǔ)物箱。從圖4中可以看到每臺(tái)無線路由器放置的位置�。
圖4 WMN節(jié)點(diǎn)在的地理位置分布
所有節(jié)點(diǎn)加電后,OLSR協(xié)議開始進(jìn)行鏈路狀態(tài)廣播和路由表的生成���。網(wǎng)絡(luò)收斂后�,從每個(gè)節(jié)點(diǎn)獲取無線鏈路的信噪比和平均收發(fā)速度�����,該數(shù)據(jù)見表2。從表中看出105節(jié)點(diǎn)與104雖然距離較近���,但由于受到墻壁和室內(nèi)金屬物品的阻擋,其鏈路的信噪比較低����,導(dǎo)致了較低的傳輸速度。對(duì)101節(jié)點(diǎn)來說�����,102節(jié)點(diǎn)僅隔一堵墻面�����,平均信號(hào)功率較高��,且在此區(qū)域只有102和107共享40MHz的信道�,平均速度較高(108Mbit/s)。而107節(jié)點(diǎn)作為整個(gè)網(wǎng)絡(luò)的樞紐�,雖然與臨近的四個(gè)節(jié)點(diǎn)的信道都有較高的信噪比,由于附近有101�����,102,103�,104這四個(gè)節(jié)點(diǎn)共享頻段,由于802.11協(xié)議族使用CSMA/CA來對(duì)信道進(jìn)行搶占�,導(dǎo)致每個(gè)鏈接的平均帶寬較低(低于90M Mbit/s)。
在實(shí)驗(yàn)的最后一部分��,將106節(jié)點(diǎn)接到文件服務(wù)器上�,并在101節(jié)點(diǎn)上測(cè)試長(zhǎng)時(shí)間文件下載速度。雖然從101到106的所有中間鏈路上的最低帶寬為45 Mbit/s��,但兩個(gè)節(jié)點(diǎn)的平均傳輸帶寬只有4 Mbit/s����,導(dǎo)致該現(xiàn)象的主要原因在于節(jié)點(diǎn)間使用相同的頻道導(dǎo)致無線鏈路沖突的增加,這也是CSMA/CA和電磁波媒介的特征所導(dǎo)致的�����。
4 結(jié)束語(yǔ)
本文設(shè)計(jì)一套面向WMN網(wǎng)絡(luò)的實(shí)驗(yàn)方案�����,實(shí)驗(yàn)使用OLSR和OpenWRT來作為主要實(shí)驗(yàn)工具�����。在實(shí)驗(yàn)中,作者依此介紹了Ad-hoc模式無線網(wǎng)絡(luò)的配置和OLSR路由協(xié)議的配置����,并以此為基礎(chǔ)搭在真是的環(huán)境中建了WMN網(wǎng)絡(luò)。在網(wǎng)絡(luò)組建完成后�����,作者依據(jù)802.11協(xié)議的特點(diǎn)對(duì)該無線網(wǎng)絡(luò)各節(jié)點(diǎn)的帶寬和性能進(jìn)行了分析�����。通過該步驟的實(shí)驗(yàn)學(xué)生深刻人認(rèn)識(shí)到基于802.11的無線局域網(wǎng)物理層共享媒介的特征�����,并對(duì)信噪比����、節(jié)點(diǎn)距離和帶寬的關(guān)系有了充分的認(rèn)識(shí)�����。同時(shí)通過圖形化的工具生成了基于OLSR的路由轉(zhuǎn)發(fā)路徑圖。通過該圖�����,學(xué)生能夠認(rèn)識(shí)到OLSR內(nèi)部所能夠構(gòu)造的鄰居表和路由表��,以及OLSR路由協(xié)議選路的原理��。在實(shí)驗(yàn)的最后���,通過文件傳輸帶寬測(cè)試實(shí)驗(yàn)進(jìn)一步深化了學(xué)生對(duì)多跳網(wǎng)絡(luò)的認(rèn)識(shí)��,同時(shí)也能讓學(xué)生了解WMN網(wǎng)絡(luò)的若干不足之處�,為學(xué)生深入研究和學(xué)習(xí)WMN網(wǎng)絡(luò)帶來和濃厚的興趣�。
參考文獻(xiàn):
[1] 方旭明,等.下一代無線因特網(wǎng)技術(shù):無線Mesh網(wǎng)絡(luò)[M].北京:人民郵電出版社���,2005:108-110.
[2] Luigi Iannone�, et al.Cross-Layer Routing in Wireless Mesh Networks[J].Computer Networks. March 2005:445-487
[3] David Murray�����, Michael Dixon and Terry Koziniec. An Experimental Comparison of Routing Protocols in Multi Hop Ad Hoc Networks. In Proc. ATNAC 2010. 2010.
篇10
歷史
在過去10年��,幾個(gè)工業(yè)聯(lián)盟花費(fèi)了數(shù)百萬用于研發(fā)基于X10的家庭智能化網(wǎng)絡(luò)技術(shù)――這種有著30年歷史的家庭自動(dòng)化標(biāo)準(zhǔn)。X10允許用戶自動(dòng)/遠(yuǎn)程控制家庭中的無數(shù)功能���,從燈光場(chǎng)景到溫度控制再到無線安防攝像機(jī)�����。但它從來沒有被主流的客戶所采用��,因?yàn)樗目煽啃圆豢深A(yù)測(cè)�����。
但是為什么X10一直被公認(rèn)為工業(yè)標(biāo)準(zhǔn)����?因?yàn)樗堑蛢r(jià)的���。其他X10的替代標(biāo)準(zhǔn)并不成功,因?yàn)橐刺^昂貴��、要么不能隱式地兼容X10�、要么就是安裝調(diào)試過于復(fù)雜。
Insteon的開發(fā)
這幾年�,Smarthome開始研發(fā)Insteon���。因?yàn)樗兄澜缟献铨嫶蟮闹悄芗揖佑脩羧海琒marthome非常適合開發(fā)下一代的家庭智能網(wǎng)絡(luò)技術(shù)����。自從12年前公司成立到現(xiàn)在,已經(jīng)開發(fā)出超過150種的智能家居產(chǎn)品�����,每年銷售量數(shù)以萬計(jì)�����。
Smarthome的工程師們牢記客戶們的需求:可靠的���、低成本����、易安裝和使用的�、能兼容X10,并把這些作為關(guān)鍵的目標(biāo)�。
在2004年6月,Smarthome正式啟動(dòng)Insteon��。這種網(wǎng)絡(luò)技術(shù)發(fā)送給家庭設(shè)備的速度是X10的30倍,并且允許新的音視頻控制應(yīng)用���。每個(gè)Insteon設(shè)備都是一個(gè)收發(fā)器/轉(zhuǎn)發(fā)器���,因此信號(hào)可靠得被重復(fù)。另外���,所有的通訊都要被確認(rèn)����,各個(gè)設(shè)備都有一個(gè)獨(dú)立的標(biāo)識(shí)�,允許訪問控制應(yīng)用,比如鎖定門和窗戶���。
Insteon的名字是從它的“即時(shí)啟用”(instant on)演變而來的���。相比較X10傳遞一個(gè)消息需要1/16秒到幾秒的時(shí)間��,而Insteon只需要0.04秒�,這個(gè)時(shí)間比人眼感覺到燈打開的時(shí)間都要短。
Smarthome的工程師們獨(dú)特地設(shè)計(jì)Insteon����,它能夠內(nèi)置電力線和無線射頻網(wǎng)絡(luò)技術(shù)����。包含電力線的原因是因?yàn)樗亲盍畠r(jià)的家庭自動(dòng)化網(wǎng)絡(luò)技術(shù)��,而RF則提供了距離的擴(kuò)展和無線應(yīng)用業(yè)務(wù)��。這種組合���,使得用戶可以在屋子里的任何一個(gè)地方通過無線或者電力線發(fā)送信號(hào)����,而信號(hào)可以通過電力線發(fā)送到設(shè)備上�����,或者直接發(fā)送到其他無線設(shè)備上����。
例如,同時(shí)使用電力線和RF�����,電池驅(qū)動(dòng)的門鎖就可以使用Insteon RF進(jìn)行控制,如果室外的噴嘴連接在一個(gè)電源插座上���,那么我們就可以在室內(nèi)通過電力線控制它的開關(guān)����。在其他情況下����,這種技術(shù)需要確定采用什么樣的傳輸方式。Smarthome同合作伙伴一起將Insteon整合到非常廣泛的日常設(shè)備中�����,包括家電和其他家庭用具����。
什么是Insteon?
Insteon是一個(gè)功能強(qiáng)大的無線家庭控制網(wǎng)絡(luò)技術(shù),簡(jiǎn)單��、低成本��、可靠的整合系統(tǒng)���,能夠使家庭更加舒適�、安全�、方便和高效。
功能:
燈光的場(chǎng)景控制和遠(yuǎn)程控制
安全警報(bào)界面和傳感器
家庭傳感器(比如:水����、濕度、溫度等)
訪問控制(比如:門鎖)
加熱和降溫(HVAC)控制和管理
音頻-視頻控制
電器管理
節(jié)約電能
網(wǎng)絡(luò)拓?fù)?/p>
Insteon是一個(gè)強(qiáng)力的雙重冗余網(wǎng)絡(luò)��,包含了無線射頻和電力布線����。
Insteon使用最新的技術(shù)建立一個(gè)真實(shí)的點(diǎn)到點(diǎn)的網(wǎng)狀網(wǎng)絡(luò)。每種設(shè)備都是一個(gè)點(diǎn)���,不需要網(wǎng)絡(luò)的管理����,所以負(fù)責(zé)的網(wǎng)路控制器和路由器并不需要��。
安裝
用戶使用Insteon���,只需要簡(jiǎn)單的將RF訪問節(jié)點(diǎn)插到他們的房間中�,同時(shí)安裝兩個(gè)過濾器到電腦的插線板上。Insteon家庭自動(dòng)化設(shè)備的安裝遵循“Plug and Tap”(插入擰緊)流程�����。例如�,要在樓上控制樓下的照明燈,用戶需要這么做:
①將燈插入到樓下的一個(gè)電源插座上的Insteon模塊上�����;
②將一個(gè)面板或者其他遠(yuǎn)程控制設(shè)備插到樓上�����,或者使用一個(gè)無線控制設(shè)備����;
③擰緊樓上的面板的設(shè)置按鈕;
④擰緊樓下Insteon模塊的設(shè)置按鈕���;
⑤安裝完成�����。
Insteon設(shè)備可以通過PC進(jìn)行程序控制�����,也可以由程序通過因特網(wǎng)進(jìn)行控制����。家庭智能控制軟件可以控制到整個(gè)家庭�,比如調(diào)暗燈、在晚餐時(shí)間打開立體聲��。
安裝使用簡(jiǎn)單
Insteon的插件產(chǎn)品可以在10分鐘以內(nèi)完成安裝和調(diào)試����。布線的設(shè)備一旦安裝以后,調(diào)試很簡(jiǎn)單��。
Insteon設(shè)備的設(shè)置使用“Plug and Tap”方法�。每個(gè)Insteon設(shè)備有自己的對(duì)立ID,不需要設(shè)置地址����。連接兩個(gè)Insteon設(shè)備很簡(jiǎn)單:在第一個(gè)設(shè)備上按下ON按鈕并持續(xù)10秒,然后同樣在第二個(gè)設(shè)備上做如此操作���。
Insteon的網(wǎng)絡(luò)不需要PC或者智能控制器�。當(dāng)然,智能控制器也可以加入��,以進(jìn)行高級(jí)的家庭控制�����。
應(yīng)用
Insteon的應(yīng)用包括遠(yuǎn)程控制或者自動(dòng)化�,如燈光、家電���、安防����、空氣調(diào)節(jié)等��。寬帶技術(shù)非常適合傳輸大的視頻和音頻數(shù)據(jù)����,Insteon是一種窄帶技術(shù),適合于發(fā)送家居的自動(dòng)化系統(tǒng)的控制信息�。
篇11
1 Logisitic方程的介紹及在人口模型中的應(yīng)用
Logistic方程是荷蘭生物學(xué)家Verhulst在19世紀(jì)中葉提出的,它不僅能夠大體上描述人口及許多物種數(shù)量的變化規(guī)律����,而且在經(jīng)濟(jì)���、管理、傳染病學(xué)等領(lǐng)域也有著廣泛的應(yīng)用���。因?yàn)橛蛇@一方程建立的模型能夠描述一些事物符合邏輯的客觀規(guī)律��,所以稱它為L(zhǎng)ogistic方程。最初的人口模型是英國(guó)著名人口學(xué)家Malthus調(diào)查了英國(guó)一百多年的人口統(tǒng)計(jì)資料��,得出了人口增長(zhǎng)率r不變的假設(shè)����,并據(jù)此建立了著名的人口增長(zhǎng)模型
(1)
其中N=N(t)表示時(shí)刻t的人口數(shù)量,N0是初始時(shí)刻人口的數(shù)量�,很容易解出
(2)
當(dāng)r>0時(shí),(1)式表示人口數(shù)量按指數(shù)規(guī)律隨時(shí)間無限增長(zhǎng)�。但從長(zhǎng)期來看,任何地區(qū)的人口都不可能無限增長(zhǎng)���。實(shí)際情況是人口增長(zhǎng)到一定數(shù)量以后�����,增長(zhǎng)速度就會(huì)慢下來�����。因?yàn)樽匀毁Y源���、環(huán)境條件等因素對(duì)人口的增長(zhǎng)都會(huì)起到阻滯作用����,而且隨著人口的增加����,這種阻滯作用會(huì)越來越大,所以人口增長(zhǎng)率 就不應(yīng)該是個(gè)常量���,應(yīng)該隨人口數(shù)量的增加而變小���。不妨令 ,其中Nm是自然資源和環(huán)境條件所容納的最大人口數(shù)量�,r為固有增長(zhǎng)率?��?梢钥吹疆?dāng)N=Nm時(shí)����,人口就不再增長(zhǎng),即r(Nm)=0�����。于是得到人口的阻滯增長(zhǎng)模型(Logistic模型)
(3)
rN體現(xiàn)人口自身的增長(zhǎng)趨勢(shì)����,因子 則體現(xiàn)了資源和環(huán)境對(duì)人口增長(zhǎng)的阻滯作用。若以N為橫軸���,dN/dt為縱軸,方程(3)的圖形(圖1)���,可以看到人
圖1 圖2
口增長(zhǎng)速度dN/dt隨N的變化趨勢(shì)先快后慢��,當(dāng)N=Nm/2時(shí)增長(zhǎng)速度最快��。方程(3)可以用分離變量法求得 (圖2)�,是平面上一條S形曲線��,人口增長(zhǎng)速度先快后慢����,當(dāng)t∞時(shí)��,NNm���,拐點(diǎn)在N=Nm/2處。這個(gè)模型描繪的人口變化趨勢(shì)與實(shí)際情況基本符合�,而方程(3)稱為L(zhǎng)ogistic方程,方程右端帶有阻滯增長(zhǎng)因子��。
2 Logistic方程在技術(shù)革新推廣中的應(yīng)用
社會(huì)的進(jìn)步離不開技術(shù)的進(jìn)步創(chuàng)新���,對(duì)于一項(xiàng)新技術(shù)在該領(lǐng)域中推廣一直是經(jīng)濟(jì)學(xué)家和社會(huì)學(xué)家關(guān)注的問題���。假設(shè)在某一社會(huì)中某領(lǐng)域共有Nm個(gè)企業(yè),初始時(shí)刻有N0家企業(yè)采用了一項(xiàng)新技術(shù)���,N(t)表示t時(shí)刻采用新技術(shù)的企業(yè)數(shù)量��, 那么這項(xiàng)技術(shù)如何推廣到該領(lǐng)域中的其它企業(yè)���,其它企業(yè)將以怎樣的速度接受該技術(shù)呢?在推廣過程中我們可以認(rèn)為�����,對(duì)于一個(gè)尚未采用新技術(shù)的企業(yè)家來說,只有當(dāng)采用新技術(shù)的企業(yè)家對(duì)他談?wù)摿嗽摷夹g(shù)后����,他才有可能會(huì)采納。那么在t到t+t這段時(shí)間內(nèi)�,新增的企業(yè)數(shù)量N應(yīng)該與之前已采納新技術(shù)的企業(yè)數(shù)量N(t)和還不知道這項(xiàng)技術(shù)的企業(yè)數(shù)量Nm-N(t)成正比,即
其中c為比例系數(shù)���,它與人們接受新事物的能力��,新技術(shù)轉(zhuǎn)化為生產(chǎn)力等方面有關(guān)
當(dāng)t0時(shí)��,得
(4)
(5)
方程(4)為技術(shù)革新推廣的Logistic模型���,從方程(4)中還可以看到�����,企業(yè)家采用這一新技術(shù)的速度是先快后慢��,當(dāng)數(shù)量未達(dá)到Nm/2時(shí)�����,接納的速度越來越快,到達(dá)Nm/2后速度開始減慢����,直到趨向于零,最終所有的企業(yè)都進(jìn)行了技術(shù)革新�����,淘汰舊技術(shù)��,采用新技術(shù)����。
3 Logistic方程在傳染病學(xué)中的簡(jiǎn)單應(yīng)用
隨著科技的進(jìn)步、衛(wèi)生設(shè)施的改進(jìn)�����、醫(yī)療水平的提高以及人們對(duì)自身健康的關(guān)注���,曾經(jīng)一些全球肆虐的傳染病像天花���、霍亂已得到控制,但一些新的、變異的傳染病悄悄地向人類襲來�����。像上世紀(jì)的艾滋病����、2003年SARS、今年的H7N9禽流感病毒�,給我們的生命和財(cái)產(chǎn)都帶來了極大的危害。因此建立傳染病模型�����,分析感染人數(shù)的變化規(guī)律是一個(gè)有必要的工作�����。在這里我們建立關(guān)于傳染病傳播的簡(jiǎn)單模型����。
假設(shè)在疾病傳播期內(nèi)所考察地區(qū)的總?cè)藬?shù)N不變�,不考慮出生、死亡�、遷移。人群分為易感者和已感染者,以下稱為健康人和病人��。t時(shí)刻這兩類人在總?cè)藬?shù)中所占比例分別記作s(t)和i(t)���,每個(gè)病人每天有效接觸人數(shù)為常數(shù)λ���,λ稱為日接觸率。那么從t到t+t時(shí)間段內(nèi)新增病人人數(shù)為N[i(t+t)-i(t)]=λNs(t)i(t)t s(t)+i(t)=1
整理得到
當(dāng)t0時(shí)����,得 (6)
它的解為 (7)
其中i0為初始時(shí)刻病人所占比例。
由方程(6)及其解(7)同樣可以看到i=1/2時(shí)�,病人增加得最快,可以認(rèn)為是醫(yī)院門診量最大的一天���,預(yù)示著傳染病的到來�,此時(shí) ���,當(dāng)有效接觸數(shù)λ越小���,這一天來臨得就越晚,所以為了推遲這一天的到來��,可以通過改善衛(wèi)生環(huán)境、提高醫(yī)療水平��、對(duì)患者作必要的隔絕來降低λ的值�����。另外一方面�,從(7)可以看到當(dāng)t∞時(shí),i1即所有人都會(huì)感染���,顯然不符合實(shí)際��。這是因?yàn)槲覀儧]考慮病人會(huì)被治愈�,考慮到這一因素���,只需要在方程(6)的右端再減去一個(gè)因子μi(μ表示日治愈率)即可��,在這里我們就不討論���。
由于Logistic方程能夠反映出一些事物本身符合邏輯的規(guī)律,它在社會(huì)�����、經(jīng)濟(jì)���、科學(xué)研究中都有著重要的作用�,非常值得我們?nèi)ド钊胙芯俊?/p>
參考文獻(xiàn):
[1] 龔德恩��,范培華.微積分[M].北京:高等教育出版社����,2008.
[2] 姜啟源,謝金星���,葉俊.數(shù)學(xué)模型(第3版)[M].北京:高等教育出版社����,2004.
