网络分析模型

网络分析模型（通用12篇）

网络分析模型 篇1

一、社会网络分析方法的引入

20世纪60年代以来,White、Boorman、Breiger、Freeman等人基于数学的图论提出了社会网络分析方法。社会网络分析的核心在于从“关系”的角度出发研究社会现象和社会结构。在社会网络分析中,各行动者之间的区别要依赖于他们在网络中所处的位置,而整个网络的结构也依赖于行动者之间的互动模式(刘军,2004)。在社会网络分析中,“社群图”用的最为广泛,它主要由点和线构成,“点”代表行动者,“线”代表行动者之间的关系。在社会网络定量研究中,行动者的“关联性”用“距离”来度量,行动者的“网络位置”用“中心度”来度量。网络位置是行动者之间关系建立的结果,是社会网络分析中的一个关键变量(胡海青,2011)。

1、社会网络分析的基本数据

(1)关系数据。Scott(2000)提出,社会网络分析的基本数据主要分为“属性数据”、“关系数据”和“观念数据”三大类。属性数据是关于社会行动者的自然状况、态度、观点以及行为等方面的数据。关系数据是关于社会行动者之间联系、接触、联络或者聚会等方面的数据。观念数据是关于社会行动者的意义、动机、定义等方面的数据。研究网络权力就是研究权力结构不对称下网络结点之间的关系。因此,关系数据是社会网络定量研究中所要收集的主要数据。

(2)矩阵。矩阵是一些元素的排列,由m×n个数按一定次序排列而成,由m行n列组成的图形即为矩阵,其中aij为矩阵的元素。如果行和列都代表来自于一个行动者集合的“社会行动者”,那么矩阵中的要素代表的就是各个行动者之间的“关系”。aij就表示第i行的行为者与第j列的行为者之间的关系,是“1”或者“0”。矩阵中的行数和列数相等时称之为正方阵;矩阵中的行数和列数不等时称之为长方阵。在对网络权力的研究中需要收集网络各结点之间的关系数据,这些数据转化成的矩阵是n行n列的正方阵。

2、社会网络分析的变量

(1)点的度数。在一个网络中,与一个点相邻的点的个数称为该点的度数。所谓“相邻”,即两点直接相连,中间不用经过其他中介点。某点的度数就是与该点直接相连的线的条数或直接与该点相连的点的个数。度数越多的点与整个网络的联系紧密度越强,从某种意义上可以说它的网络位置较有优势。点的度数是测量“中心度”的基础,可以利用UCINET软件来计算。

(2)测地线。在网络图中,两个点之间可能存在多条相连的途径,其中线数最少的那条路径被称为两点之间的测地线,如果两点之间存在多条线数相等的路径,那么这两点之间就存在多条测地线。两点之间的测地线的长度(测地线包含的线数)为测地线距离,简称“距离”。

二、网络权力指标

1、度数中心度

度数中心度也称局部中心度,因为它测量的是一个点在其局部环境内与其他点之间直接关联的点的个数,即为点的度数,这种测量工具忽略了间接关联的点的个数以及与间接关联结点建立联系的“难易程度”。但是它可以很好地测量某个结点局部范围的权力大小,因为如果一个行动者与周围很多结点都有直接的联系,那么该点就处于局部范围的中心位置,从而拥有较大的权力。另外,与某个点直接相连的线的条数越多,说明这个点自身的交易能力越强,因此可以说,度数中心度测量的是网络结点自身的交易能力。点x的绝对度数中心度用CAD(X)来表示,它等于点x的实际度数。

只有在了解网络的规模时,绝对度数中心度才有意义,否则可能会带来误解。例如,在一个有100个点的图中度数为30的点A和一个只有50个点的图中度数为30的点B相比,显然,具有同样度数中心度的点A就不如B点更处于网络的核心地位。为了规避这种局限性,Freeman(1979)提出了相对度数中心度的概念,即点的实际度数与图中点的最大可能的度数的比值,用C'RD(x)表示。在一个规模为n的网络中,点的最大可能的度数为n-1。那么点x的相对度数中心度的表达式为:

其中:C(AD)X为点x的实际度数;n为网络中所有点的个数,也称网络规模。

度数中心度的计算可以在UCINET中沿着Network→Centrality→Degree这条路径获得。

2、中间中心度

中间中心度测量的是一个点在多大程度上处于结构洞中的桥角色。当两个点以距离2相连而不是以距离1相连的时候,就说两点之间存在一个结构洞,结构洞的存在使得连接两点的第三者扮演“桥”(1)角色。在结构洞中充当“桥”角色的成员有机会获得两种异质的信息流,可以将潜在的信息、资源转化为经济利益,并凭借对信息流等的控制在网络中保持较高的权力(Burt,1992)。因为,如果一个网络中大多数点相互联系都要经过某点x,那么点x就具有很大的局部依赖性,进而拥有很高的权力。中间中心度测量的是某点在多大程度上控制他人之间的交往(Freeman,1979)。如果点j和点k之间的测地线数目用gik来表示,点j和点k之间存在的经过点i的测地线数目用gik(i)来表示,那么点i能够控制点j和点k之间进行交往的能力bik(i)的表达式为:

为了将中间中心度量化,学者们将中间中心度定义为“经过点Y并且连接点X和点Z的测地线占点X和点Z之间的测地线总数之比”。点i的绝对中间中心度CABi的表达式为:

绝对中间中心度同样存在绝对度数中心度的局限性,即必须知道网络规模才有意义,同理用相对中间中心度的概念可以将这种局限性消除掉。一个规模为n的网络中,点i的相对中间中心度CABi的表达式为:

CABi=2CABi/(n2-3n+)2,其取值范围为0~1之间,

其中:CABi为点i的绝对中间中心度;n为网络中所有点的个数,即网络规模。

中间中心度的计算可以在UCINET中沿着Network→Centrality→Betweenness这条路径获得。

3、接近中心度

接近中心度与中间中心度的作用是互补的,中间中心度测量的是控制他人的程度,而接近中心度测量的则是不依赖他人的程度。网络中处于非核心位置的成员“必须通过他者才能传递信息”,对他者依赖程度越强自身权力越小,相反越不依赖于他者则权力越大。接近中心度这一网络权力指标正是测量网络中的点不受他者控制的程度,但是要清楚一点,即接近中心度的值越大,越不是网络的核心点,越受到其他结点的控制,则其权力越小;相反,接近中心度越小,说明该点越居于核心位置,从而越不受控制,因此权力越大。接近中心度是测量一个行动者在多大程度上不受其他行动者控制的指标。

为了将接近中心度量化,学者们将绝对接近中心度定义为“某点与其他点之间的距离之和”,其表达式为:

其中:dij是点i和点j之间的测地线长度。

同样,也可以测量相对接近中心度,在一个规模为n网络中,点i的相对接近中心度的表达式为:

其中:n为网络的规模。

接近中心度的计算可以在UCINET中沿着Network→Centrality→Closeness这条路径获得。

4、特征向量中心度

进行特征向量研究的目的是为了在网络总体结构的基础上,找到最居于核心的行动者,并不关注比较“局部”的模式结构。这种方法要用到因子分析,找出各个行动者之间的距离有哪些“维度”,每个行动者相应于每个维度上的位置就叫做一个“特征值”,一系列这样的特征值就叫做特征向量。

令A为邻接矩阵,其元素aij的含义是行动者i对j的权力贡献量,令x代表中心度值向量,那么上述说法可以表达为:

则有At·x=λx

如果A是一个n×n矩阵,方程At·x=λx就有对应于n个λ值的n个解,解的形式可以用矩阵表达为A·X=X·λ。其中X是一个n×n矩阵,其各列是矩阵A的n个特征向量,λ是对应的特征值。

特征向量中心度的计算可以在UCINET中沿着Network→Centrality→Eigenvector这条路径获得。

三、网络权力指标权重

本文采用度数中心度、中间中心度、接近中心度和特征向量中心度4个指标研究网络权力的配置。为了研究方便,本文通过专家打分法来确定几个网络权力指标的权重系数。在这个过程中,对网络组织领域的30位专家学者进行了问卷调查,让其根据自己的判断与理解对4个指标的相对重要性进行打分。

在课题组成员的帮助下,经过一周的时间,将30位专家的调查问卷全部收回,回收率为100%。将回收的数据进行整理,得到30位专家的打分情况如下:度数中心度得分为24分,中间中心度得分为26分,接近中心度得分为16分,特征向量中心度得为分9分,4个指标的总得分为75分。将各个指标的得分除以4个指标的总得分即可计算出每个指标的权重。经过运算,得到如下结果:

四、网络权力计量模型构建

为了表述方便,将结点i的度数中心度记为xi1,将结点i的中间中心度记为xi2,将结点i的接近中心度记为xi3,将结点i的特征向量中心度记为xi4(2)。因此,结点i的网络权力计量模型为:

其中:Xi1=CAD(x)/(n-)1,CAD(x)为与点x实际相连的点的个数;

为点j和点k之间的测地线数目;

Xi3=C1-APi/(n-)1,C-1APi为点i与其他点之间的距离之和,,dij是点i和点j之间的测地线长度;

xi4=λmax=max{λ1,λ2,λ3,...,λn},λ是A·X=X·λ的特征值,A是网络结点之间的关系矩阵,X是一个n×n矩阵,其各列是矩阵A的n个特征向量。

五、结论与展望

本文引入社会网络分析方法,从度数中心度、中间中心度、接近中心度和特征向量中心度4个中心度刻画网络权力,对权力指标用数学语言进行描述,通过专家打分法计算网络权力指标的权重系数,构建了网络权力的计量模型。有关网络权力的研究还有待进一步深化和扩展。本文抛砖引玉,希望能为网络权力的进一步研究有所贡献。

摘要：网络组织是当前热门的研究课题,学者们大多研究网络组织治理,但忽视了网络权力对治理效果和结点行为的影响。而网络权力的不对等现象在潜移默化地影响网络组织的运行绩效和治理效果。那么权力在网络组织中的配置是怎样的,能否通过某些手段或工具对网络权力进行度量,为了回答该问题,本文试图通过社会网络分析方法,对网络权力进行研究,构建网络权力的计量模型。

关键词：网络组织,网络权力,社会网络,中心度

参考文献

[1]刘军.社会网络分析导论[M].北京:社会科学文献出版社,2004.

[2]胡海青.网络能力、网络位置与创业绩效[J].管理工程学报,2011(4):67-74.

[3]Scott,J.,Social Network Analysis:A Handbook[M].Sage Publications.2000.

[4]Burt Ronald,S.,Structual Holes:the Social Structure of Competion[M].Cambridge:Harvard University Press.1992.

网络分析模型 篇2

R-GDP模型--网络经济风险性分析的新型工具

本文描述了一个分析网络经济风险性的全新的.工具R-GDP模型,它的作用在于揭示网络风险性与网络经济发展状况的内在联系上,添补了这一方面国内外的空白.除此以外,可以使用这个工具去分析和解释经济现象.对政府而言,这个工具可以起到宏观政策指导的作用.

作 者：李犁 周朝民 时宇  作者单位：上海交通大学管理学院 刊 名：技术经济与管理研究  PKU英文刊名：TECHNOECONOMICS & MANAGEMENT RESEARCH 年，卷(期)： “”(6) 分类号：F49 关键词：R-GDP模型   网络经济   有效网络风险  

网络分析模型 篇3

关键词：“新钻石”模型；网络化战略；组织创新；创业文化

从1984年创业至今，跟随着时代的进程，海尔集团已经经历了5个战略发展阶段。在2012年12月，海尔进入第五个发展阶段—网络化战略阶段。持续9年的探索互联网新模式，海尔从传统制造家电产品的企业转型为面向全社会孵化创客的平台，致力于成为互联网企业，打破传统的正三角组织，管理模式的创新，改变成倒三角组织结构。本文运用波特的“钻石”模型以及芮明杰修正后的“新钻石”模型，分析海尔的网络化战略阶段，以其能够构建最优越的生态圈，成为“时代的企业”，实现两个引领的目标，一个是创造全球家电领域交互用户的引领竞争力；另一个是创造虚实融合交互用户的引领竞争力。

一、“新钻石”模型的内涵

（一）波特 “钻石“模型以及相关的修正模型

国际竞争优势理论又称“钻石”模型，是由哈佛商学院教授迈克尔·波特于1990年出版的 《国家竞争优势》提出构建，并且认为提高国家的产业竞争力的核心是形成有效的竞争环境和创新。它克服了传统的国际贸易静态的理论体系，认为一国的国际贸易应该从动态的视野去分析，着重国内的企业环境和竞争市场，但是对于国内市场狭小，欠发达的地区国家却不适用。波特认为一国要在国际贸易中，本国企业取得竞争优势，形成有影响力的产业集群，必须以四个关键要素和两个辅助要素作为切入点。波特强调“钻石”模型是一个动态发展的过程，积极鼓励每一个生产要素参加到产业生产和竞争中去，充分发挥1+1>2的整体凝聚力。第一个关键要素就是生产要素，其中包括初级生产要素和高级生产要素。前者主要是本国所拥有的自然资源，地理位置，劳动力资源等能够轻易获得的，后者偏向于比较专业化的生产要素，需要企业的长期投资和培育。增加高级生产要素的投入和加快其市场化的进程，有助于增强产业集群和提高企业的创新力。第二个因素是需求条件，产品生产的立足点必须是在国内市场生产，它才是产品生产的动力关键因素。其中强调国内市场内行和挑剔的客户才是激发产业竞争力的关键。根据市场细分原则和潜在的需求，将产品系列化，符合特定的消费者群体。第三个因素是相关和支持性产业，主要是指上下游产业和相关产业的相互扶持的一个互联互通的生态圈，一个产业不能是一枝独秀，而应该是相关支持产业共同发展，共生共赢，在产业内部降低生产，提高生产效率，获得国际竞争优势。第四个因素是企业的战略、结构和竞争对手。不同的企业有各自的战略组织结构，但企业的战略立足点取决于企业长期坚持的价值观，要有自己企业保持长期竞争优势的核心能力特征。另外两个辅助因素是机会和政府行为。前者主要是指新事物的发展突破，技术的创新等机遇，如华为在进军智能手机的第一梯队，在研发和技术方面实现了很多创新，在2016年4月发布的华为P9，创新元素的加入，使其成为一部自主特色的高端安卓手机。卡特赖特多因素钻石模型增添了五个新的海外变量：海外要素创造能力、海外市场的竞争，其中上世纪90年代末，海尔集团进入“国际化战略发展阶段”，开始全力进军海外市场。邓宁国际化钻石模型引入“跨国经济”到钻石模型中去，更加适应经济全球化的产业竞争和企业的FDI投资。

（二）“新钻石”模型内涵

波特教授认为产业的竞争力就是国家的竞争力，但是在现代化的社会，一国的竞争力越来越体现在知识和创新能力等内生性的变量上，内部化优势明显，所以“新钻石”模型的提出就是在原有的钻石模型的基础上，增加了两个核心要素：知识吸收和创新能力。技术研发投资的多少是衡量一国综合竞争力的重要指标。如图：

企业只有拥有自身的创造力和知识吸收能力，才能顺应时代发展的潮流，在同业竞争中，必须拥有独特的创新手法，品牌主导意识和引领整体价值关的创业文化。在上下游和互补性或相关性的产业中，合作或是共享优势生产要素和相互学习和吸收生产技术，形成价值链和市场链的合作共赢的竞争优势。

二、海尔的网络战略化阶段

（一）战略理论背景

在2005年9月，海尔提出企业向互联网转型，对互联网模式的创新探索已经持续了9年之久。互联网时代零距离、去中心化、分布式的特征颠覆了传统经济的发展模式，产业发展的平台和运行机制网络化特征明显。零距离颠覆了泰勒的“科学管理理论”，在生产的流水线上，工人仅仅是按照固定的模式，没有生产的创造性，而在今天现代化，信息化，网络化发展的时代，若想成为成功的企业领导者，必须实现与用户零距离，充分满足不同用户的个性化需求。去中心化颠覆了马克斯·韦伯的“科层制理论”。企业的组织结构从传统的封闭的正三角形结构变成一个平台化企业，组织结构变得更加扁平化，没有科层，只有三类人：平台主，小微主，创客，形成一个共同的组织，和两个圈：并联生态圈和用户圈。分布式颠覆了法约尔的“一般管理理论，企业应该不拘泥于自身，而应该在互联网的时代更加的开放。在经营层面上，2005 年张瑞敏以创业文化为基础，提出“人单合一双赢”模式至今，最佳的商业模式，以用户的全程体验为核心动力，抛弃了传统企业的“生产—库存—销售”模式，实现自创新和自组织的价值提升。

（二）发展与创新

“新钻石”模型的核心知识吸收和创新能力在互联网时代日益重要，在工业4.0时代的到来，智慧化，数据化，软性化定制，无人工厂构思也逐渐实现。中国白色家电第一品牌海尔集团推出互联网工厂的计划，张瑞敏认为互联工厂在与用户的零距离的基础上，可以去线上店、去线下店，直接满足用户的个性化需求，如海尔冰箱沈阳互联工厂目前已经可以基于用户需求匹配互联线体模式，实现了前后研发用户的直接对接，使得用户体验值最大本。文主要探求三个创新点：组织创新，模式创新，文化创新。在协调一致的零距离的模式下，没有上下的层级体系，只有三种人—创客，平台主，小微主，其中平台主是由管控者变為服务者，而原来听从组织安排的员工变成创客，共同组成小微企业，其中小微主是由创客自己选举产生，也可以引进外部资源。其中最明显的就是创业文化就是鼓励每一个员工成为自己的创客，能够为用户提供最大的体验价值和体验圈的创业者。这种互联网管理模式 的创新就是从人人创客的创业平台开始。在海尔的网络战略化阶段，它聚焦于两大平台：投资驱动平台和用户付薪平台，实现了人才，资本，薪酬的市场化，由市场的需求来决定企业的供给力度，是企业持续发展的驱动力量。文化创新只要是海尔在对外投资的过程中，将美国智慧融入企业文化，创业文化的发展，员工创客化，用户个性化。摆脱产品的同质化，和地区语言文化的差异，让海尔智慧成为全球的白色家电产业的领导者。

三、海尔新路

承接和响应我国“一带一路”的战略号召下，海尔的全球化战略布局迎来了新的发展机遇，以及在欧洲，北美，亚洲等深化本土化战略布局，探求创性新的战略合作。如：通过本土化工业园建设提升市场份额和行业知名度，搭建物流链和配送体系，主动参与到当地基础实施建设的升级之中，将基础设施红利和家电产品进行有机整合，热心社会公益，据不完全统计，目前海尔集团用于社会教育事业、对口支援帮扶、扶贫救灾助残的捐款、捐物等共计五亿多元，成为海内外社会公益事业的积极力量。在中国“一带一路”的政策影响下，2014年，海尔集团全球营业额实现2007亿元，成为中国家电行业首个突破2000亿的企业。在海尔的第五个发展阶段—网络化战略阶段，海尔还将国家的政策和其战略思维相结合，使国家的政策导向赋有互联网的思维方式，更加的包容和开放，创造互联网时代的国际性品牌，搭载时代创新的列车，走出智能制造创新的道路。

参考文献：

[1]Porter，M.F.The Competitive Advantage of Nations，New York：The Free Press，1990.

[2]Cartwright.W.R.Multiple Linked diamond ：New Zealand’sexperience[J].Management International Review，1993.33（1）.

[3]Dunning， John H. Internationalizing Porter’s Diamond[J]. Management International Review，Second Quarter，1993.33（2）.

网络分析模型 篇4

复杂网络研究经历了规则网络、随机网络 (ER) 和复杂网络3个阶段, 小世界网络和无标度网络 (scale free network) 是两类典型的复杂网络, 已有的研究表明, 无标度网络具有较大的群集系数和较短的平均路径长度, 且无标度网络的节点度分布服从幂律分布, 节点度分布极不均匀, 大量节点拥有少量的连接, 而少量节点却拥有网络的大多数连接。现实世界中许多系统都可以用复杂网络理论来描述, 企业的销售网络就可以用无标度网络的特性来刻画。

二、实际的企业销售网络

企业销售网络通常由制造商、代理商、批发商 (零售商) 和用户构成, 在销售网络的形成过程中, 会形成一些实力较强、拥有大量零售商客户的中枢经销商, 这些中枢经销商在资金、技术、运输和售后服务等方面拥有比其他经销商较强的综合实力, 占据着生产企业的产品在某地区的较大市场份额;而一些实力较弱的经销商只拥有少量的零售商客户, 在某地区占有的市场份额有限。由于制造商、代理商、批发商 (零售商) 的分布状况的不同以及它们之间存在的联系, 而形成一个庞大的网状结构, 制造商、各级经销商 (代理商) 、零售商代表网络中的节点, 它们之间的作用关系用网络之间的连线表示, 各级代理商、批发商和用户在整个网络中的重要性往往由代表它的网络节点在网络中与之相连的边的条数表现出来, 相连接的边越多就越重要, 这就构成了销售网络。在这里, 我们用网络的特性来分析企业的销售网络, 由于企业的规模不同, 产品性质不同, 企业建立的销售网络也不相同, 主要有以下几种:

多级渠道:厂商——经销商——二级经销商——零售商——消费者

二级渠道:厂商——经销商——零售商——消费者

一级渠道:厂商——零售商——消费者

0级渠道:厂商——消费者

若产品是生产资料用品, 如大型机械设备、大型钢材等, 则是生产商直接到企业消费者。

三、无标度网络的模型

首先介绍一些与无标度网络有关的概念

节点度:与该节点相关联的边的条数,

群集系数:又叫集群, 考虑节点i有Ki条边, 使它与其他Ki个节点相连接, 如果初始节点的最近邻点是整个群体的一部分, 则在它们之间最多有Ki (Ki-1) /2条边连接。Ki个节点之间实际有的边数Ei与总边数Ki (Ki-1) /2之比就给出了节点i的集群系数的值:Ci=2Ei/Ki (Ki-1) , 整个网络的集群系数是所有节点集群系数的平均值。

平均路径长度:是指所有节点对之间的最短路径的算术平均值, 这一指标反映了网络的连通程度以及物质和信息在网络上传输的难易程度。

1999年, Barabasi和Albert在深入研究了ER模型后, 提出了现在被普遍称之为BA模型的无标度网络, 该模型用如下两步说明:

(1) 增长:开始于少量节点m0, 在每个时间间隔添加一个具有m (≤m0) 条边的新节点 (连结到已存在于系统中的m个节点上) 。

(2) 择优连结:当选择与新节点连结时, 假设新节点连结到节点i的概率π取决于该节点的连接度Ki, 即π (Ki) =Ki/∑Kj。在t个时间间隔后, 模型产生一个有N=m0+t个节点和mi条边的随机网络, 随着t的增大, 该网络演化进入标度不变状态。其度分布P (k) ~K-r。

BA模型抓住许多现实网络的共同本质, 抽象建立成了复杂网络, 并且用数学模型找出了其规律, 有很高的实用价值。但是, 由于新加入的节点是依概率π (Ki) =Ki/∑Kj择优连结到已存在的老节点上, 故若新节点的边数为m, 其必然要加到m个度数最高的老节点上, 则必会造成某些老节点的度数越来越大, 即形成极少数的度数非常高的中枢节点。

四、企业销售网络的特征分析

1. 销售网络中的中枢经销商出现的原因

大经销商往往拥有雄厚的资金实力、较高的管理水平, 从而以产品配送及时、上乘的服务、和良好的商誉赢得更多的零售商从他那里进货;实力雄厚的经销商能够及时为厂家回款, 并且可能在财务上向生产商提供一定的帮助, 如, 分担一些销售费用和产品的地方推广费用且还可以向下线零售商客户提供赊销等等;另外, 实力雄厚的经销商还可以在产品上市初期投入大量的资金对帮助生产商的产品在地方上进行广告和宣传, 从而提高产品知名度, 因此, 生产商也希望自己的产品由此类经销商销售, 生产商往往会给这些综合实力强的经销商较多的优惠政策。因此, 由于生产商和零售商的共同作用必然导致在整个企业销售网络起到中枢作用的大经销商的出现, “马太效应”产生。

2. 企业销售网络中的各节点的聚集程度

无标度网络模型中集团化系数G, 反映节点的平均集团化程度。我们设Gi中的连接边数为m, 最多连接边数为M。对于节点i, 其集团化系数Gi定义为:

企业销售网络中各节点的聚集程度描述了节点度的集中趋势, 在一个销售网络中一定存在节点度很大的经销商节点, 此节点的聚集度大, 说明其在整个销售网络中占据主要位置, 甚至是枢纽位置, 对整个销售网络的畅通和稳定起到至关重要的作用, 生产商将商品销售给那些具有高聚集度的经销商, 由他们将商品再分销二批商或零售商, 进而到消费者手中, 企业利用他们在资金、人员、服务、产品覆盖能力和广告宣传等方面的优势, 在地方上迅速提高扩大产品知名度和市场占有率, 避免了企业与多个经销商联系, 在一定程度上降低了交易成本和宣传费用, 增加了产品的销售量, 提高了产品的市场流通速度。

3. 销售网络的鲁棒性

无标度网络对于随机攻击 (指随机的移除部分节点) 具有很强的鲁棒性, 但对于恶意破坏 (指有意的移除那些对网络结构起重要作用的节点) 异常脆弱。

销售网络与无标度网络结构有很大的相似性, 因此, 企业销售网络也面临随机攻击和恶意破坏, 对于随机攻击, 认为经销商或二批商在资金管理或信誉等方面出了问题, 而退出了销售网络。对于恶意破坏, 指企业的竞争对手为了提高其产品市场覆盖率和迅速占领市场, 选择某企业销售网络中综合实力强, 并且具有丰富经验的经销商, 给予高额利润和产品折扣, 让其销售自己产品, 这样, 必然对某企业的销售网络产生重大甚至毁灭打击。企业销售网络面对恶意破坏表现出脆弱的一面。

五、结论

企业销售网络具有无标度网络的特性:节点增长和节点择优连接, 不能由于销售网络具有无标度性和鲁棒性, 进而遏制中枢经销商的出现。中枢经销商在企业销售网络中出现是必然的, 由于销售网络对恶意破坏异常脆弱, 因此, 生产商应加强对中枢经销商的管理, 避免恶意破坏, 具体措施有:根据“二八法则”, 加强对重点经销商的管理, 企业中高层直接管理。建立标准化经销商制度, 设定一定的条件和标准, 把经销商区分为普通经销商和优秀经销商, 优秀经销商享受更好的优惠政策。设计合理的经销商产品销售政策, 给予重点经销商更大的产品销售政策优惠, 使厂家和经销商双赢。

摘要：本文用无标度网络的理论分析了企业的销售网络和以及中枢经销商产生的原因, 指出了企业销售网络具有的鲁棒性, 为优化企业销售网络, 加快产品从生产车间到市场的周转速度, 提供了一个理论参考。

关键词：无标度网络,销售网络聚集度鲁棒性

参考文献

[1]NEWMANEJ:the structure and function of complex network[J].SIAM.Review.2003.45 (2) :167～256

[2]Barabasial.Albert R.Jeongh.Mean-field theory for scale-free random.networks[J].physica A.1999.272:173～187

[3]刘美玲王仲君:择有选择节点构成的复杂网络模型研究系统工程与电子技术.2006, 4:611～614

[4]张林刚严文乐:基于复杂网络的企业销售网的稳定性.工业技术经济, 2006, 7:53～56

[5]刘建国党延忠王众托:无标度网络对随机破坏和蓄意攻击的鲁棒性优化

网络三层模型教案 篇5

引入：

通过分析上次课程的作业与案例讲述二层交换原理，以生动形象的例子激发学生的兴趣，将课堂引入到知识点来。

新授：

一、各层交换功能

提问：我们为什么要使用交换机？ 1.1 交换机

交换（switching）是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称。交换机根据工作位置的不同，可以分为广域网交换机和局域网交换机。广域的交换机（switch）就是一种在通信系统中完成信息交换功能的设备，它应用在数据链路层。交换机有多个端口，每个端口都具有桥接功能，可以连接一个局域网或一台高性能服务器或工作站。

工作在数据链路层，交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”，通过对照IP地址表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可以有效的减少冲突域。

交换机的传输模式有全双工，半双工，全双工/半双工自适应。

交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能，如对VLAN（虚拟局域网）的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

（1）学习：以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。

（2）转发/过滤：当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是所有端口（如该数据帧为广播/组播帧则转发至所有端口）。

（3）消除回路：当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。1.2 交换机的交换方式 直通式：

直通方式的以太网交换机可以理解为在各端口间是纵横交叉的线路矩阵电话交换机。它在输入端口检测到一个数据包时，检查该包的包头，获取包的目的地址，启动内部的动态查找表转换成相应的输出端口，在输入与输出交叉处接通，把数据包直通到相应的端口，实现交换功能。由于不需要存储，延迟非常小、交换非常快，这是它的优点。它的缺点是，因为数据包内容并没有被以太网交换机保存下来，所以无法检查所传送的数据包是否有误，不能提供错误检测能力。由于没有缓存，不能将具有不同速率的输入/输出端口直接接通，而且容易丢包。存储转发：

存储转发方式是计算机网络领域应用最为广泛的方式。它把输入端口的数据包先存储起来，然后进行CRC（循环冗余码校验）检查，在对错误包处理后才取出数据包的目的地址，通过查找表转换成输出端口送出包。正因如此，存储转发方式在数据处理时延时大，这是它的不足，但是它可以对进入交换机的数据包进行错误检测，有效地改善网络性能。尤其重要的是它可以支持不同速度的端口间的转换，保持高速端口与低速端口间的协同工作。碎片隔离：

这是介于前两者之间的一种解决方案。它检查数据包的长度是否够64个字节，如果小于64字节，说明是假包，则丢弃该包；如果大于64字节，则发送该包。这种方式也不提供数据校验。它的数据处理速度比存储转发方式快，但比直通式慢。

提问：交换机的工作原理？ 1.3 二层交换机

二层交换机属数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。1.4 三层交换机

三层交换机就是具有部分路由器功能的交换机，三层交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。对于数据包转发等规律性的过程由硬件高速实现，而像路由信息更新、路由表维护、路由计算、路由确定等功能，由软件实现。三层交换技术就是二层交换技术+三层转发技术。1.5 四层交换机

第二层交换机和第三层交换机都是基于商品地址的端到端的交换过程，这种基于MAC地址和IP地址的交换机技术，能极大的提高各节点之间的数据传输率，但却无法根据端口主机的应用需求来自主确定或动态限制端口的交换过程和数据流量，缺乏第四层智能应用交换需求。简单的说，第四层交换机是基于传输层数据包的交换过程的，是一类以软件技术为主，以硬件技术为辅的网络管理交换设备。1.6 二三四层交换机的区别

第二层交换实现局域网内主机间的快速信息交流 第三层交换是交换技术与路由技术的完美结合 第四层交换则为网络应用资源提供最优分配方案，实现服务质量、负载均衡及完全控制。简单来说就是所面向的对象不同： 二层交换机 基于MAC地址

三层交换机 基于IP，有交换和路由 四层交换机 基于应用，区别于不同端口

二、接入层设计

接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。2.1 接入层设计因素

接入层用于控制用户对网络资源的访问。网络设计人员必须让接入层生成的数据流能够方便地前往其他网段或其他层。如果设计不合理，接入层将很快被数据流淹没，导致性能对最终用户来说是无法接受的。

接入层是连接终端设备的网络边缘。接入层服务和设备位于园区的每栋大楼、每个远程站点和服务器群以及企业边缘。

1．接入层物理考虑因素

园区基础设施的接入层使用第二层交换技术来提供网络接入。接入可通过永久性有线基础设施，也可通过无线接入点。使用铜质电缆的以太网对距离有一定的限制，因此设计园区基础设施的接入层时，一个主要的考虑因素是设备的物理位置。

2．配线间

配线间可以是实际密室，也可以是小型电信机房，它充当整栋大楼或大楼各层的基础设施布线的端接点。配线间的位置和大小取决于网络规模和扩展计划。

配线间中的设备向IP电话和无线接入点等终端设备供电。很多接入层交换机都有以太网供电（PoE）功能。

不同于典型配线间，服务器群或数据中心的接入层设备通常是融路由选择和交换功能于一身的冗余多层交换机。多层交换机可提供防火墙、入侵防范和第三层功能。

3．接入层融合网络的影响 在现代计算机网络中，连接到接入层的并非只有个人计算机和打印机。众多其他设备也可以连接到IP网络（如图1.17所示），其中包括：

IP电话； 摄像头；

视频会议系统。

4．接入层的可用性需求

在早期的网络中，通常只对网络核心、企业边缘和数据中心网络有高可用性要求。IP电话技术改变了这种局面，人们要求每部电话都必须在100%的时间内可用。

为改善终端设备的可靠性和可用性，可在接入层部署冗余组件和故障切换策略。5．接入层管理

网络设计人员的一个主要考虑因素是改进接入层的可管理性。接入层管理非常重要，其原因如下：

接入层连接设备的数量和类型在不断增多； 在LAN中引入了无线接入点。6．方便管理的设计

除在接入层提供基本连接性外，设计人员还需要考虑如下因素： 命名结构；VLAN架构；数据流模式；优先级策略。

对大型融合网络来说，配置和使用网络管理系统非常重要 2.2 接入层设计目标

接入层是最终用户与网络的接口，它应该提供较高的端口密度和即插即用的特性，同时也应该便于管理和维护。

接入层的设计目标包括二个： 1.将流量馈入网络。

为确保将接入层流量馈入网络，要做到：接入路由器所接收的链接数不要超出其与汇聚层之间允许的链接数。不要将接入层设备作为两个汇聚层路由器之间的连接点，即不要将一个接入层跌幅器同时连接两个汇聚层路由器。

2.管理接入网络的终端设备。

由于接入层是用户进入网络的入口，所以也是黑客入侵的门户，接入层通过用VLAN、包过滤等提供基本的安全性，保护局域网段免受网络内外的攻击。

随着校园网络服务和应用的不断深入，在网络边缘出现了以下4种新趋势。桌面计算能力提高。带宽密集型应用出现。高敏感数据在网络中扩展。

出现了多种设备类型，如IP电话、WLAN接入点和IP视频摄像头。这些新需求正与许多已有关键任务的应用争夺资源。因此，必须将网络边缘看作有效管理信息和应用的提供的关键。具体而言，在接入层面，除了应当提供高速的网络连接外，还应当进一步加强校园网络对边缘接入层面的安全控制能力。用户可以根据需要来订制自身的安全策略并部署在此交换机上。同时，接入层交换机还应当支持一些安全功能，如CPU防攻击能力、防流量攻击病毒的能力、防组播、广播攻击的能力；使交换机能够智能地自动阻断或隔离内外部的攻击和网络病毒。除此之外，交换机还应具备多个专用堆叠接口，可满足楼层、楼宇内多个交换机高性能汇聚的需要。

2.2.1接入层堆叠设计

对于计算机机房、电子阅览室、学生公寓等接入计算机数量很大的接入场所，应当采用可堆叠交换机，以提供大量的100 Mbps端口。接入交换机之间以高速堆叠模块相互连接在一起，并借助1 000 Mbps链路实现与汇聚层交换机之间的连接。为了提高网络稳定性和网络带宽，可以将2~4条千兆位链路绑定在一起借助链路汇聚技术实现链路冗余、负载均衡和带宽倍增，以确保所有计算机都能够无阻塞地实现与校园网络的连接。

2.2.2 接入层链路汇聚设计

如果所连接的计算机数量较多，且接入层交换机不支持堆叠，那么可以使用链路汇聚的方式实现接入层交换机之间的高速连接，既增加了接入层交换机之间的互联带宽，又提高了连接的稳定性。特别是对于只拥有100 Mbps端口的交换机而言，链路汇聚无疑是接入层交换机之间高速连接的最佳选择，同时也是用于代替1 000 Mbps连接的最廉价方案。

链路汇聚必须在同一类型的端口之间才能实现。链路汇聚可以是100 Mbps或1 000 Mbps光纤端口或双绞线端口，但必须都是固定端口，而不能是SFP端口或GBIC端口。链路汇聚的链路可以是2~4对，容纳4~8个端口。

2.2.3 接入层级联设计

如果接入网络的计算机数量较多，需要由多台交换机才能满足时，也可以采用最简单的级联方式。当然，如果接入层交换机拥有1 000 Mbps端口，那么采用级联方式也可以实现接入层交换机之间的高速连接。但是，如果交换机只拥有100 Mbps端口，那么这种连接方式将无法满足接入计算机与校园网络高速通信的需求。

2.3 接入层设备选择

接入层设备是直接面向用户接入的接口，这里是网络的起点也是网络的终点，而影响安全问题的众多因素，包括有硬件、软件、环境、用户自身素质等，都可能是引发安全问题的源点。

接入层面临很多难以想像的环境，接入层设备成本低，出现问题影响小，设备品种繁多，地点分散，管理不便，大量重复性的工作等原因导致了对此工作的忽视。2.4 可网管交换机的特点

提高网络稳定性 提高网络安全性 提高网络传输效率 支持复杂网络应用 支持远程监视与管理

购买可网管交换机注意的事项：

所处位置 网络应用 所处环境 设备兼容性 设备性能

三、接入层设计方案的实践

以校园网办公楼、教学楼、宿舍区、实验楼等区域为设计对象进行接入层设计方案的撰写。

包括的主要内容有：

1.设计目标

2.各区域流量带宽分析（参考书籍或网络资料）

3.各区域用户数量的估计（自行根据实际情况估计）

4.接入层交换机的选择（网络资料），列出设备功能、价格等主要参数

5.接入层网络拓扑图

小结：

通过本次课程的学习，学生能理解到交换机工作原理及各层交换的功能，能自行进行接入层网络设计与设备的选择

作业：

城市双层配送网络布局模型 篇6

关键词: 双层配送结构; 物流园区; 配送中心; 启发式算法

中图分类号:F252.3; F252.5; F713文献标志码:A

Location model for city double-hierarchy distribution network

WANG Shuqin, LIU Wei

(School of Transport & Communications, Shanghai Maritime Univ., Shanghai 200135, China)

Abstract:In order to provide guidance for planning and construction ofthe city logistics facilities, in view of the fact that city logistics system is a multilayer structure and there is the goods flow and location influence between upper and lower layer nodes, a location model for city double-hierarchy distribution nodes is proposed. In this model, the sites of Logistics Parks (LP) and Distribution Centers (DC) are located jointly considering expressed transferring distribution relations from upper nodes to lower nodes and scale cost of the large nodes. A piecewise linearization heuristic algorithm under computing the marginal cost is applied to solve the nonlinear model. An application checking calculation about a city for this model shows that the model has a good serviceability.

Key words:double-hierarchy distribution; logistics park; distribution center; heuristic algorithm

0 引 言

进入21世纪,随着物流业的快速兴起,各地相继规划了大量的物流园区和物流中心,而物流设施网络的建设是个投资大、周期长、涉及面广且具有很强刚性的问题.因此,迫切需要研究物流节点选址布局的相关理论和模型,指导物流设施的规划建设.

物流节点选址布局的研究是在原来工厂及场站选址布局模型的基础上发展起来的.20世纪90年代末期,出现了针对大量专业配送中的单节点供应多产品的选址模型、多配送节点的选址模型等.许多模型研究考虑选址点容量限制下的选址策略.[1-2]在模型求解方法方面,LEE于1993年提出基于分支定界法的启发式算法和拉格朗日松弛方法解决大规模配送中心选址问题.近几年启发式算法的研究发展很快,已成为求解选址模型的主流算法.[3-4]对于区域型公共物流节点选址问题,TANIGUCHI等[5]利用双层规划理论建立公共物流中心选址的双层规划模型,即从上层公共设施布局和下层企业物流路线选择2种角度对物流线路布局与规划进行分析;我国学者孙会君等[6]和庞明宝等[7]对双层规划理论进一步研究,建立区域物流节点的选址模型;王淑琴等[8]提出以城市产业布局和交通区位相结合的选址方法,并建立城市物流节点的评价指标体系;阎利军等[9]以城市交通枢纽、中间节点和零售设施为网络模型,利用遗传算法优化城市物流网络中间节点的空间分布和规模.

总体来看,目前多数选址模型主要针对三层结构,即产品从工厂经配送中心送达客户.大型城市的公共配送系统为兼顾服务质量和规模效益,一般采用多层次配送结构,即逐层配送.先由大型物流枢纽以经济批量配送到次一级的物流节点,再由次一级的节点按需求配送到客户或再下一级节点.由于物流网络内部存在物流量的流转,网络不同层次节点间的选址互相制约,从而形成1种动态关系.而以往用于工厂或企业物流系统的选址模型,难以反映城市公共物流网络内部的动态层次布局关系.

针对上述问题,探讨2级配送网络,即物流园区或大型物流中心—下一级配送中心选址布局模型,可简称为LP(Logistics Park)—DC(Distribution Center)联合布局模型.

1 双层配送网络结构及模型假设

双层配送网络结构见图1.

[HT1.][HT]图1 双层配送网络结构示意

物流园区(LP层)为长途运输和市区配送的转换点,配送中心为2次配送节点(DC层).需要强调的是,LP—DC模型允许LP层为需求点直接配送,即考虑LP层与DC层之间的竞争.当达到一定的配送批量后,若LP层节点直送费用大于通过DC层节点中转费用,则DC层节点落选.

模型假设如下:

(1)城市物流需求量全部由物流节点中转,即源点与需求点不存在直供量;

(2)运输费用是运输量的线性函数;

(3)物流需求点的发生点和需求量已知;

[HJ*4/9]

(4)各备选址点的最大容量有限且已知;

(5)物流节点的最大建设总数有限.

2 LP—DC联合布局模型

LP—DC联合布局模型以Baumol—Wolfe模型为基础,考虑LP的规模仓储费用和DC的换装费用,同时加入节点间及节点到需求点间的2层配送费用.

LP—DC联合布局模型中物流费用构成如下:LP的输入长途运输费用,网络内部及节点与需求点间的配送费用,LP的仓储费用以及DC的中转换装费用.总费用可表述为

min F=[DD(]p[]k=1[DD)][DD(]m[]j=1[DD)]cjkxjk+[DD(]p[]k=1[DD)][DD(]n[]i=1[DD)]cikzik+

[DD(]n[]i=1[DD)][DD(]m[]j=1[DD)]cijyij+[DD(]n[]i=1[DD)]ciWi+[DD(]n[]i=1[DD)]viWθi+

[DD(]m[]j=1[DD)]pjQj+[DD(]n[]i[DD)]δiGi[JY](1)式中:Wi和Qj分别为物流园区i和配送中心j的通过量.Wi=[DD(]m[]j=1[DD)]yij+[DD(]p[]k=1[DD)]zik(2)

Qj=[DD(]p[]k=1[DD)]xjk=[DD(]n[]i=1[DD)]yij(3)将式(2)和(3)代入式(1),得[JP2]min F=[DD(]p[]k=1[DD)][DD(]m[]j=1[DD)](cjk+pj)xjk+[DD(]p[]k=1[DD)][DD(]n[]i=1[DD)](cik+ci)zik+[JP]

[DD(]n[]i=1[DD)][DD(]m[]j=1[DD)](cij+ci)yij+[DD(]n[]i=1[DD)]viWθi+[DD(]n[]i=1[DD)]δiGi[JY](4)

s.t.

(5)式中:i,j和k分别为物流园区节点、物流中心和需求点;cjk,cij和cik分别为各点间运输费用率;yij,zik和xjk分别为各点间的配送量;ci为到外部LP节点i的长途运输费用率;vi为i的可变存储费用率;pj为DC节点j的中转费用率;Gi为i的固定仓储费用;θ为规模因数;Di和dj分别为i和j的最大容量;ak为需求点k的需求量;R为节点的最大建设数目.

对于长途运输费用率ci,取LP节点主要连接方式的加权平均运输费用率,如港口型物流园区,以主货种单位水运费用和长途公路运输费用加权平均作为ci取值(因为对于长途运输,采用不同运输方式的运费差别比较明显,这样取值,可体现对有水路和铁路连接方式备选点的侧重,且比较符合实际).

模型中认为配送中心为流通型节点,采用随进随出方式配送,因此不考虑DC的仓储成本,仅考虑换装成本.LP仓储费用由可变费用和固定费用构成,前者与仓储规模有关,是个非线性函数;后者与规模无关,是个常数.

3 LP—DC布局模型的求解

LP—DC布局模型是1个存在0~1整数变量的非线性规划,求解复杂,可对模型作一些转换,利用启发式算法求解.

3.1 构建备选方案集

首先,消除模型中的0~1变量.对于离散模型,可考虑用穷举法建立备选方案集,即分别选取一定数量的LP备选点和DC备选点组成备选方案.确定某个备选方案里的入选节点数,就可消除δ变量.如共建设5个节点,其中2个LP,3个DC,可形成C2nC3m个方案.利用穷举法可获得所有可能的组合.在实际操作中,可根据中国大型城市的规模和物流量,将LP建设数量限制在4个以内.

对所有方案进行容量过滤,即排除不能满足总需求的备选方案.判断方案是否满足式(6),如果不满足,则淘汰该方案.Di+dj≥p[]k=1[DD)]ak[JY](6)

获得可行方案集后,应用布局模型,对各备选方案进行配送量分配优化.假设其中1个方案需建设N个LP,则布局模型如下:[JP2]min F=[DD(]p[]k=1[DD)][DD(]R-N[]j=1[DD)](cjk+pj)xjk+[DD(]p[]k=1[DD)][DD(]N[]i=1[DD)](cik+ci)zik+[JP]

[DD(]N[]i=1[DD)][DD(]R-N[]j=1[DD)](cij+ci)yij+[DD(]N[]i=1[DD)]viWθi+[DD(]N[]i=1[DD)]Gi

[JY](7)3.2 启发式算法求解

启发式算法是对复杂模型的常用算法,启发式算法不能保证一定得到最优解,解的满意程度与备选点的合理性有密切关系.在本文求解过程中,由于对备选点作所有可行组合,可得系统的最优解.

模型中存在非线形变量,用边际成本表示储存费率可转换为线性函数.即用上一次迭代结果计算的边际成本表示下一次的存储费用率,该方法也称为分段线性化.边际成本表示在一定网点规模下的单位货物储存费用.

取规模因数θ=0.5,备选点LPi的边际成本[HJ*4/9]Bi=[SX(]vi[KF(]Wi[KF)][]2Wi[SX)][JY](8)用边际成本代替可变存储费用,则式(7)可表示为[JP2]min F=[DD(]p[]k=1[DD)][DD(]M[]j=1[DD)](cjk+pj)xjk+[DD(]p[]k=1[DD)][DD(]N[]i=1[DD)](cik+ci+[JP]

Bi)zik+[DD(]N[]i=1[DD)][DD(]M[]j=1[DD)](cij+ci+Bi)yij+[DD(]N[]i=1[DD)]Gi[JY](9)求解过程如下:

(1)求初始解.设LP仓储规模为0,即Wi=0,B0i=0,求解带常数项的线性规划式(9),得初始解F0,y0ij,x0jk和z0ik;

(2)计算LP网点的通过量及边际成本.通过式(2)和(8)分别计算物流园区i的通过量W1i和边际成本B1i;

(3)求改进解.以B1i代替B0i,返回(1),求出1组新解;

(4)比较2次迭代结果,确定最优解.将新解与旧解进行比较,如不再变化,则认为已找到最优解,输出min F,否则,转到(2);

(5)获得最终方案.对每个备选方案进行启发式求解,比较各方案得到的min F,从而确定最终方案.

4 算 例

图2为某市物流网络拟选址示意.[HJ]

注:选址点2既可以作为LP也可以作为DC.

图2 某市物流网络拟选址示意计划最多建设4个节点,数据见表1,2和3.

[HT1.][HT]表1

各需求点需求量各需求点ABCDE需求量/万t2501209018060

[LL]表2

物流节点容量、固定运营费和单位处理费物流节点12345最大容量/万t45025010080300固定运营费用/万元303030单位处理费用/万元22.5/1112.5[SD6*2]表3

各地间运输单位运输费用[HT6K]万元物流节点物流节点12345ABCDE[ZB)]111.51.8235.54.2∞22.2/-2.2/-2.2∞2.842.433.306.23∞46.534.50∞51.821.2∞∞3.52.32.4

对所有组合进行容量过滤,并结合实际,计划建设LP节点为2个,拟选方案如下:(1)3节点方案集:{1,2,3｝;{1,2,4｝;{1,5,4｝;{1,5,3｝;{1,5,2｝.(2)4节点方案集:{1,2,3,4｝;{1,5,2,3｝;{1,5,2,4｝;{1,5,3,4｝.应用本文模型,得最终方案为{1,5,2,4｝,流量分配见图3.

图3 某市物流选址及配送方案[HJ*4/7]5 结 论

本文中提出的城市双层配送网络布局模型,适用于大型城市公共物流的系统,模型考虑LP层和DC层的配送关系,对这2层节点进行联合布局,相对以往的单层次模型是种创新.模型的成本构成综合考虑配送费用、长途运输费用及物流园区的仓储费用、配送中心的换装费用,较为全面.求解过程中,对有限可行方案集进行容量过滤,并通过求算边际成本将模型转化为线形规划.通过实例验证,表明该模型有良好的适用性.[HJ]

参考文献:

[1]章海峰, 郝春艳, 杨超. 带三重容量限制的中转物流选址分配模型[J]. 管理工程学报, 2008, 20(1): 62-66.

[2]KLOSE A, DREXL A. Facility location models for distribution system design[J]. Eur J Operational Res, 2005, 162(1): 4-29.

[3]张培林, 魏巧云. 物流配送中心选址模型及其启发式算法[J]. 交通运输工程学报, 2003, 3(2): 65-68.

[4]LAM W H K, ZHANG Yanpin. Capacity constrained traffic assignment in networks with residual queues[J]. J Transportation Eng, 2000, 126(2): 121-128.

[5]TANIGUCHI E, NORITAKE M, YAMADA T, et al. Optimal size and

location planning of public logistics terminals[J]. Transportation

Res Part E: Logistics and Transportation Review, 1999, 35(3): 207-222.

[6]孙会君, 高自友. 考虑路线安排的物流配送中心选址双层规划模型及求解算法[J]. 中国公路学报, 2003, 16(2): 115-119.

[7]庞明宝, 魏连雨. 区域物流线路网络双层规划研究[J]. 公路交通科技, 2005, 22(10): 158-162.

[8]王淑琴, 陈峻, 王炜. 城市现代物流系统布局规划研究[J]. 规划师, 2005(2): 83-86.

[9]阎利军, 杨忠振, 刘冲, 等. 城市物流网络中中间节点分布与规模优化研究[J]. 大连理工大学学报, 2007, 47(3): 414-418.

计算机网络防御策略模型分析 篇7

关键词：计算机,计算机网络防御策略,模型

1 计算机网络防御策略模型 (CNDPM) 的概述

1.1 组织

主要是指根据所构成部分及其之间的有序关系所组成的有机体, 例如图书馆、计算机网络等的内、外网, 均可以称为组织。

1.2 主体

主体主要是指能够使得计算机的信息流动、系统状态改变的实体, 具有明显的主动性质。一般CNDPM主体可以表示为:

其中, Active (e) 说明实体e是主动的, 而Operational (e) 则说明它是操作的。一般来说, 主体主要具有两种重要的表现形式, 即节点、用户。节点的构成要素有节点名、子网掩码、IP地址等, 用户则主要是由用户名和用户口令构成。

1.3 角色

角色一般是指特征相同的主体集合, 可以表示如下:

ROLE::{s|Own (s, ch) ∧ (Relate (ch, obligation) ∨Relate (ch, right)

ch∈CHARSCTER,

s∈SUB JECT,

right∈RIGHT, obligation on OBL IGATION}

由ch此可看出, Own (s, ch) 说明s拥有ch;Relate (ch, obligation) 和Relate (ch, right) ) 分别表示ch与obligation和right相关;而SUBJECT、RIGHT及OBLIGATION则分别表示主体类型、权限类型和职责类型。

由于角色r作为组织org当中的构成部分之一, 其相关关系可通过Relate (r, org) 来进行表示。

2 计算机网络防御策略的模型分析

2.1 策略分析

将策略形式化描述成6元组, 表示为:

POLICY::=

其中, org属于ORG;r属于ROLE;a属于ACTIVITY;v属于VIEW;c属于CONTEXT;m属于MEASURE。另外, F:OBG×R×A×V×C→M用于说明该策略中的实体彼此间具有偏函数关系。

将规则形式化描述成5元组, 表示为:

RULE::=

其中, 规则指主体对客体的全部判断动作及不良行为响应的声明;表示组织org中主体s对客体o的动作a应用措施m。

2.2 模型分析

2.2.1 网络拓扑

如图1。将模型的网络H划分成与防火墙各接口相对应的区域, 上边与网络IDS相连接, 下边属于DMZ区域, 具备2个用于供外部访问的服务器, 分别用于提供DNS服务和HTTP、E-mail和FTP服务。

2.2.2 模型构建

在组织网络H当中, 将角色Public Host分配给所有外网主机, 同时, 用ip=111.222.2.0∧mask=24来为角色Private Host进行定义。在视图分配方面, multiserver对应Multi Server视图, dnsserver对应Dns Server视图;在记录方面, 用protocol=tcp来对alltcp进行记录, 用protocol=tcp∧dport=21来对ftp进行记录, 用protocol=tcp∧ (dport110∨dport25∨dport=80∨dport=21) 来对multitcp进行记录, 另外, dns设置用protocol=udpdport=53来记录。

在本组织网络H中, ftp的溢出攻击为default和ftpoverflow_attack, 可作为组织的两种上下文类型。组织策略及其生成的位于防火墙ACL列表的配置分别为7项和11项, 结合其第一项和最后一项来看, 主要包含以下信息:

编号:ACL 1 (ACL 11)

接口:External In (External Out)

记录:access-list100permit udpanyeq53host111.222.1.2.eq53

(access-list 102 permit tcp 111.222.0 0.0.0.255 any any any)

2.2.3 模型防御规则的实现

(1) 由策略1开始, 赋予外网中的Public Host角色对Dns Server视图的DNS服务进行访问的权利。

(2) 外网主机均对应防火墙ACL列表中的源地址, 并用any表示。

(3) 结合上述DNS定义以及相关规则来看, udp和目的端口分配给53的访问活动, 可视为协议部分。其中, udp、53作为动作, 对应ACL列表里的协议和目的端口。由于ACL和DNS服务中的源端口通常保持一致, 为此, 可知acl与dns的源端口一致, 为53。

(4) 一般节点dnsserver仅对应Dns Server视图, 结合上述ACL 1的目的IP=host 111.222.1.2来看, 由RD可实现对ACL1的获取, 并实现对External In接口的配置。

(5) 由此可推断出策略2~5分别对应ACL2~5、ACL6、ACL7~10和ACL11;另外策略6和策略7能够根据实际情况, 检测和响应ftp的溢出攻击。

3 结语

计算机网络防御策略模型作为一个运行机制, 与其防御策略均具有不断发展和变化的特征。通过构建合适的计算机网络防御策略模型, 能够为计算机网络的稳定、正常运行提供重要保障, 提高计算机网络的安全性和可靠性。为此, 本研究通过结合实例, 对计算机网络防御策略模型的构建及其相关知识点进行了一些分析和探究, 希望能够为相关的研究人员提供一些参考和帮助, 为进一步实现网络安全共同努力。

参考文献

[1]夏春和, 魏玉娣, 李肖坚, 等.计算机网络防御策略模型[J].北京航空航天大学学报, 2008, 11 (8)

[2]程相然, 陈性元, 张斌, 等.基于属性的访问控制策略模型[J].计算机工程, 2010, 9 (15)

改进的航电网络模型仿真与分析 篇8

光纤通道(Fiber Channel,FC)[1]是美国国家标准委员会于1988年开始制定的高速串行传输协议,采用通道技术控制信号传输,信道的传输速率极高,误码率很低,适用于网络负载较重的应用。光纤通道在航电系统中的应用也越来越多,如在F/A-18、长弓阿帕奇直升机都得到了应用,以光纤通道来代替现在航空电子的主网络1553,构建新一代航空电子网络已经成为航电系统的优先选择。

目前关于航电网络性能分析的文献主要分为理论分析和网络仿真。其中理论分析主要解决网络最大延迟分析的问题,旨在从理论上论证特定网络配置和调度算法等是否可以满足实时数据传输的要求。尽管理论分析可提供对延迟的上限分析,但仍有一定的局限性,为了保障航电网络的高度可靠性,通常仍需使用网络仿真进行进一步验证。本文即以FC航电网络新调度算法及其仿真技术为研究内容,开展相关研究工作。

文献[2]分析了光纤通道交换机的分组调度策略,对加权循环调度[3](Weighted Round Robin,WRR)算法实时性能进行了理论分析并通过仿真进行了验证,由于WRR是以包为单位的,因此存在变长分组引起的不公平现象;文献[4]对FC网络不同拓扑结构的实时性进行了测试;文献[5]建立了基于FC的交换式网络和仲裁环网络,并且进行了延迟和吞吐量的分析,文中交换机的调度采用先来先服务的方法,但是网络中各个节点的数据流需要的带宽不同,采用先来先服务在一定情况下不能完全满足时延的要求。基于上述文献,本文在OPNET中建立基于FC的航电网络模型,使用差值轮询调度[6](Deficit Round Robin,DRR)算法作为交换机的调度算法,分析了网络的实时性和吞吐量。

1基于FC的航电网络模型

目前航电系统的问题是通信范围的限制导致出现了复杂不可变规模和高成本的结构。解决方法是使用标准的、高带宽、串行互连技术,即可变规模光纤实时互连。图1是用光纤通道实现的可变规模实时互连的一个方案[7],该方案简化了总线互联,具有较高的带宽。

针对航电网络的高带宽、高可靠性、低延迟等特点,采用光纤通道建立完整的航电网络。航电网路系统由雷达、传感器、大气机、数据处理器、显示器等终端节点和光纤交换机组成,网络拓扑结构和数据流向相对固定。终端节点的功能可简化为生成FC数据包并发送到交换机,接收交换机转发过来的数据包并进行处理,交换机负责对数据包进行高效的转发。

2 航电网络交换机的调度算法

调度算法性能主要通过延时、公平性、算法复杂度、吞吐量以及带宽利用率来衡量。现存的调度算法主要分为2大类:分类优先级调度和基于帧的调度。分类优先级调度也称为类GPS(Generalized Processor Sharing)调度[8],该算法维持一个虚拟时间的全局变量,每个分组的优先级根据全局变量计算的时间戳区分,按照时间戳递增顺序被调度。这类算法能提供较好的公平性和较低的时延,但计算虚拟时间使算法复杂度高。基于帧的调度算法主要是轮询式,调度器以轮询的顺序为所有非空队列服务。在每次服务中,业务流按照预分配的带宽接受服务,既不需要维持全局变量,也不要求根据变量来选择被服务的分组,算法复杂度低。根据不同的分配带宽原则有DRR算法和WRR算法等几种算法。

在上述几种调度算法中,DRR算法复杂度低,具有较小的延迟并且有确定的延迟上界。在DRR调度器中,每个服务队列都有一个量子值和差额计数器,量子值为每一个轮询周期队列获得服务的平均比特数,比特数越大,得到的带宽也越大。差额计数器是调度器还需为该队列服务的比特数,调度器根据量子值和差额计数器为各个端口服务。对于航电系统中的非周期性数据,也可以转变为周期性数据,所以本文在交换机内部使用DRR算法。

端口队列调度模型如图2所示,假设整个网络中共有N个数据流,输出端的处理能力是C,第i个数据流的差额值是Di,量子值是Qi,定义

$F={\displaystyle \sum _{i=1}^{{\rm N}}Q}{}_i$ (1)

是一个轮询中所有队列要传输的总的数据量,Di ,Qi和F的单位都是比特。系统初始化时,已经为每个队列分配了一个量子值Qi,差额计数器Di初始化为Qi。调度器检查第i个输入队列,如果对应端口队列的Di大于零,相应的队列就获得服务。分组获得服务后,Di将减去该分组的字节数,直到Di等于零或者Di的值小于队列头的第一个分组的大小,此时队列不获得服务。调度器为下一个队列服务,当所有队列都被服务过一次后,此次轮询周期结束。下一个轮询周期开始时,所有Di重新初始化为上次剩余的差额值加上量子值。

设θi是第i条数据流的延迟上界,在文献[9]中已经证明使用DRR算法的延迟上界是:

$\theta {}_i=\frac{3F-2Q{}_i}{C}$ (2)

由式(2)可以得出,对于不同的数据流具有不同的延迟,但是各个数据流都有确定的延迟上界,量子值小的数据拥有较大的最大延迟。

3 使用OPNET仿真航电网络

通过仿真可以获得端到端延迟,系统吞吐量,链路利用率等性能参数,对这些参数的分析可以评价该网络是否能满足航电环境的要求。本文使用OPNET仿真工具仿真基于FC的航电网络,并对航电网络的性能进行评价。航电网络中的节点主要分为交换机节点和终端节点。

3.1 终端模型

在OPNET中终端节点负责数据生成、发送数据、接收数据、销毁数据、数据的统计,在OPNET中终端节点的模型如图3所示。在该模型中,src根据某种分布生成数据包,是数据的生成端; proc的进程模型如图4所示,该模块负责将src模块产生的数据按一定规格编码,由xmt模块发送,同时分析统计从rcv模块接收到得数据并进行相应的处理;rcv和xmt分别是收信机和发送机;q_rcv和q_xmt是输入输出队列。

3.2 交换机模型

交换机的模型如图5所示,交换机采用组合输入交叉排队(Combined Input-Crosspoint Queueing,CICQ)结构,在输入端使用虚拟输出队列(Virtual OutPut Queuing,VOQ),可有效解决排头阻塞问题,同时在交叉点设置缓存,使端口的输入调度和输出调度分开,有效提高了交换机的性能。本文实现了四端口的交换机,图中p_in_i(i=0,1,2,3)负责根据接收到的数据包的地址信息,把数据包插入相应虚拟输出队列中去;p_proc_i(i=0,1,2,3)按照DRR算法把虚拟输出队列中的数据包发送到输入与输出端口交叉节点的缓存中,实现端口的输入调度;q_i_j(i,j=0,1,2,3)模拟交叉节点的缓存;p_out_i(i=0,1,2,3)按照DRR算法对队列q_0_i,q_1_i,q_2_i,q_3_i(i=0,1,2,3)进行调度,实现端口的输出调度。

在上述交换机模型中,p_proc_i,p_out_i (i=0,1,2,3)分别在端口的输入端和输出端实现DRR算法,它们的进程模型如图6所示。例如对于端口i的输入端,初始化时为各个虚拟输出队列分配量子值,差额计数器初始化为量子值。然后进入idle状态,p_proc_i首先为第一个虚拟输出队列服务,进入状态sch_queue_0。当为第一个虚拟输出队列服务完后,先回到idle状态,然后为第二个虚拟输出队列服务,进入sch_queue_1,直到所有虚拟输出队列都获得服务。Idle还负责一个轮询周期在什么时候结束以及更新差额计数器的值。端口输出端的调度与输入端类似,在此就不再详细介绍。

3.3 链路模型

链路模型的传输速率设定为2 Gb/s。

3.4 帧模型

FC交换型网络的帧模型按照FC的标准分为数据帧,确认信号ACK和准备好信号R_RDY。

4 仿真分析

4.1 仿真模型的建立

在OPNET Modeler中,通过已建立的终端节点模型、交换机模型、链路模型和数据帧模型,就可以根据网络的拓扑结构在OPNET工程编辑器中以适当的方式放置这些节点模型,从而将整个仿真网络系统映射为OPNET网络模型。使用OPNET建立的网络模型如图7所示,网络中一共4个终端和一个交换机节点。本文使用FC协议中的2类服务,2类服务提供面向无连接有确认的传输服务,用于多路传输,采用缓存到缓存和端到端的流量控制。

4.2 仿真实验与结果分析

4.2.1 传输时延实验与分析

航电网络对数据包的传输时延要求较高,不同的数据流对时延的要求也不同,不同数据流的延迟相互也会影响。下面通过仿真实验,测试数据包的端到端延迟,分析各条数据流的延迟。实验中链路速率设置为2 Gb/s,网络的数据流如表1所示。

按照表1设置各个终端节点,运行仿真,仿真结果如图8,图9所示。

图8中的五条曲线表示五个数据流的端到端延迟,从图8中可以看出,各个数据流都具有延迟上界,数据流S1,S2,S3,S4,S5的最大延迟分别是35.3 ms,38 ms,36.4 ms,37.5 ms,36.8 ms都小于允许的最大延迟50 ms。各条数据流的最大延迟与最小延迟相差不到4 ms,延迟时间相对比较稳定。说明DRR算法在某种程度上可以满足航电网络的实时性要求。图9是使用DRR算法的延迟与使用先来先服务的延迟比较,结果表明在交换机内部使用DRR算法可以有效降低端到端的延迟,满足一定的实时性,提高网络的性能。

4.2.2 吞吐量实验与分析

网络吞吐量是航空电子网络的重要性能指标,网络吞吐量定义为单位时间内成功传送的有效数据量,通常使用归一化网络吞吐量,它定义为单位时间内成功传送的有效数据流与网络数据容量之比,简称吞吐量。为了验证使用DRR算法后系统的吞吐量,实验仍然使用上面提到的5条数据流,不同的数据流S2的发送周期随仿真时间而线性减小,到达一个固定值后不再减小,仿真结果如图10所示。

从图10中可以看到,使用DRR算法后,系统的吞吐量可以达到80%左右,而使用先来先服务的方法系统的吞吐量只有60%多。实验表明,交换机使用DRR算法后可以有效提高系统的吞吐量。

5 结束语

光纤通道作为一种新型的总线结构,将广泛用于航电网络的互连,本文针对光纤通道在航电网络的应用,将复杂的网络结构简化,在CICQ结构交换机的输入端和输出端使用DRR算法,然后在OPNET中建立航电网络模型。通过仿真验证,该算法具有更小的端到端延迟,并且有确定的延迟上界,能够满足一定的实时性,提高了系统的吞吐量,为未来使用FC进行航电系统互连提供一种设计和评价方法。

摘要：研究了光纤通道技术的应用,使用OPNET建立了基于光纤通道的航电网络,并且按照协议标准建立了终端节点和交换机节点的有限状态机模型。交换机使用组合输入交叉排队(Combined Input-Crosspoint Queueing,CICQ)结构,在输入端口和输出端口使用差值轮询调度(Deficit Round Robin,DRR)算法,然后使用OPNET进行仿真,分析了网络的端到端延迟和吞吐量。结果显示在航电网络中,使用DRR调度算法,能够显著降低数据包的端到端延迟,满足一定的实时性,提高网络的吞吐量,表明此模型适合航电网络。

关键词：航电网络,DRR,OPNET,延迟,归一化吞吐量

参考文献

[1]宋少峰.光纤通道在航空计算领域的研究和应用.西安.西北工业大学硕士论文,2007

[2]林强,熊华钢,张其善.光纤通道交换机在强实时约束下的分组调度.计算机学报,2006;29(4):570—575

[3] Katavenis M,Sidiropoulos S,Courcoubetis C.Weighted round-robincell multiplexing in a general-purpose ATM switch chip.IEEE Jour-nal on Selected Areas in Communication(S0733-8716),1991;9(8):1265—1279

[4]郭蔡健,熊华钢,徐亚军.航空电子FC不同拓扑结构和服务类的实时性测试.计算机工程与应用,2009;45(31):60—62

[5]周天然,宋丽茹,熊华钢,等.航空电子环境下FC网络的建模与仿真.北京航空航天大学学报,2008;34(10):1117—1120

[6] Shreedhar M,Varghese G.Efficient fair queuing using deficit roundrobin.IEEE/ACM Transactions on Networking(S1063-6692),1996;4(3):375—385

[7]支超有.机载数据总线技术及其应用.北京:国防工业出版社,2009:427—428

[8] Parekh A K,Gallagher R G.Generalized processor sharing approachto flow control in integrated services network:the single-node case.IEEE/ACM Transactions on Networking(S1063-6692),1993;1(3):344—357

关于工业网络实时性模型的分析 篇9

关键词：实时性,工业网络

1 引言

在控制系统中,最关键方面的就是实现现场生产设备、服务器、客户端之间数据的动态交互,从而达到远程实时监控、现场数据实时交互的目的。此外,还要求系统只传送与用户需求有关的数据更新,且传输延迟应当被控制在一定的时间内,即有实时性要求,任何控制系统离开实时性将变得毫无意义,实时性问题在工业监控领域具有十分重要的地位,所以本文主要对现场数据动态交换及实时性作进一步研究。

2 实时性的概念

实时是指信号的输入、运算和输出都要在一定的时间内完成,并根据生产过程工况及现场情况变化及时进行处理。而实时系统指在事件或数据产生的同时,能够在规定的时间内给予响应,以足够快的速度处理,及时地将处理结果送往目的地的一种处理系统。实时与快速并非是相同的含义,不论网络的传输速度如何,只要在规定的响应时间内产生响应动作,则称系统具有实时性。而实时网络是指网络中数据传输的时间是确定的,即是可以预测的,也就是说,实时网络中的数据传输是具有时限的。

其实,实时性就是将系统对输入信息做出响应的时间加以约束,即系统的正确性不仅与系统处理信息结果的正确性有关,而且还与系统得到结果的时间有关,只有系统处理信息的结果正确和得到结果的时间在规定范围内,系统才是实时系统。当信息输入系统后,系统必需在一定的时间内做出响应,如果反应结果正确,但超过了时限,就认为系统失败。满足一项任务的实时性是指其响应时间小于规定的时限。一般实时应用要求有两个突出特点:一是其中的活动时间性比较强,要求在一定的时刻或一定的时间内从外部环境收集信息,按彼此联系存取已获得的信息和处理收集的信息,再及时做出响应;二是它们要处理“短暂”数据,这种数据只在一定的时间范围内有效,超过一定时限则就没有意义了。

网络控制系统的实时性有两层含义:一是指基本控制器的实时性,通常,每一台控制器要具有一定的实时性,一般来说,每一台控制器所要承担的任务不止一项,但每项任务对实时性都有一定要求,且可能会各不相同,每项任务对实时性的要求将由配置在基本控制器中的“实时多任务管理程序”来承担;二是指通信网络的实时性,控制系统具有通信功能的基本单元通过通信网络联系在一起,这些单元称为“站”,当某个站向通信网络请求通信时,它对“响应时间”是有要求的,不同的站对实时性要求可能不同,同一站中的不同通信任务对实时性的要求也可能不同。

实时性是工业监控网络不同于普通LAN的最大特点,一般在工业控制网络中信息响应时间要求为0.01～0.5S,而普通LAN中信息的响应时间为2～6S,即工业控制网络的实时性要求比普通LAN高得多,有的工业控制网络对实时性的要求比普通LAN高几百倍,这只有靠牺牲部分信道利用率来保证。显然,若将普通LAN加以时间约束,使之满足控制系统的实时性要求,则它就可以应用于控制系统,作为控制系统的通信网络。一般来说,通信网络的实时性主要与以下几个方面有关:

①网络本身的硬件性能:包括网络的拓扑结构、通信媒体、网络接口的传送速率等。通信媒体的传输速率越高、网络接口的传送速率越快,网络的实时性就越高。

②网络的通信协议:包括媒体的访问控制方式、网络通信协议的层次结构、传输的可靠性、有无连接控制等等。层次结构越简单,系统的实时性就越高。而可靠性与实时性是相互矛盾的,对于无连接、无应答的通信方式要比有连接、有应答的通信方式的实时性要高,但可靠性差。例如通讯协议是PROFIBUS-DP现场总线协议,PROFIBUS-DP采用主从方式和低层的令牌环传递相结合的形式进行通道分配,整个网络可以将总线系统分割成线段分步建立,段间用中继器来连接,每个段可以有32个网络站,整个网络可以达到126个网站,由于最大传输速率可达到12Mbps,以及其第2层采用SRD (发送并要求回送)功能,使得输入和输出数据可在一个周期内完成,所以传输速度有了很大的提高,总线周期可尽量缩短。

③网络的信息量:也称为网络的负载,是指网络在一定时间内需要传送信息的多少。网络传送信息量越少,其实时性就越高。

④实时性与通信子网的信道利用率是相互矛盾的:在工业控制网络中,为了提高系统的实时性,不得不牺牲一部分信道利用率。

另外,网络控制系统在时间域上具有以下一些特点,从而区分于其他系统:

①时限:网络控制系统中执行的任务一般具有时限要求,规定在特定时间内完成特定的功能而不能超过这个时间。

②实时控制:网络控制系统经常包括实时控制,接收输入数据并做出控制决策。

③“反应”系统:一般网络控制系统都是“反应”的系统,也就是说,由事件驱动并且必须对外界事件进行响应。

④并发处理:绝大多数网络控制系统的一个重要特点是并发处理,通常,事件发生的顺序是不可预测的。

⑤与外部环境交互:网络控制系统通常需要与外部环境进行交互。

3 实时对象模型

当研究网络控制系统的实时性时,需要考虑时间域上的问题,因此给出实时对象的定义。

定义1:实时对象可用如下的四元组表示

其中orealtime为Real-time Object,表示具有实时性要求的对象;∏为Input Interface,表示输入接口;0I为Output Interface,表示输出接口;P为Inner Process,表示对象内部处理;t为Time,表示对象在时间上的要求。有了实时对象模型,网络控制系统的实时性主要体现在实时对象之间的交互上,也就是对实时对象中时间要求t的满足。这里所要讨论的网络控制系统的实时性就是要寻求可行的解决方案,使得tr≤t△,其中t△表示某个实时对象的时间要求。

在网络控制系统中,同步和数据交换一般要经过消息传递,实时通信为保证实时任务的按时完成起着关键作用,它最重要的性质是需要确定有界的消息传递延迟,不可预测的消息延迟可能会使参与实时通信的任务违反时限要求。消息传递延迟是指发送节点通信对象开始发送消息到接收节点通信对象完全收到消息之间的时间间隔,主要包括以下几个部分:

①消息在各节点通信对象内的等待延迟:报文在每个通信对象上被阻塞的时间量是因为多条通道的报文同时到达一个通信对象所致。消息传递的路由也决定了消息所经由的节点数量,最终影响消息传递的时滞,因此,选择最佳路由是减少传递时滞,保证实时性的至关重要的条件。

②报文发送延迟:节点对象发送一个报文所需时间,它依赖于报文大小和发送率,一般为常数。报文在节点内的延迟,与报文的编组结构和报文的校验方式有一定的关系。

③链路上的传播延迟:一个数据位在链路上的传播时间。

其中,发送延迟和链路上的传播延迟分别由网络带宽和信号传播速度决定,而节点通信对象的消息排队等待延迟由系统的软件结构所决定。

4网络控制系统中的通信分类

网络控制系统是一个复杂的综合性系统,在网络控制系统中需要传输的数据既包括实时数据,又包括非实时数据:

①实时数据:如各种检测器和控制器的I/O口的实时数据,信号、控制器之间的互锁信号、部分系统状态监视数据等。实时数据对时间要求苛刻,一般不允许有秒级的延迟,在某些特殊情况下甚至不允许有毫秒级的延迟。另一方面,对大多数实时数据而言,只有最新数据是有意义的,如果在某一时间段内,某一数据由于某种原因未能作用,而此时下一个数据已经产生,则该数据将被丢弃,而启用最新数据,因此实时数据一般不要求重发。例如:在本项目的温度控制子系统中,阀门的开关是由温度传感器传送的温度信号决定的,此时控制器将只接收温度传感器传送的最新数据;同样,阀门将只接收控制器传送的最新控制信号,否则便会产生滞后。实时数据的数据量相对较少,对带宽的占用率较低。

②非实时数据:如用户编程数据、组态数据、部分系统状态监视数据等。非实时数据对时间要求不很苛刻,允许有相对较长的延迟,但这种数据的数据量相对较大,对带宽的占用率较高,对绝大多数非实时数据而言,传送的数据都是有意义的,一般不允许丢失,需要差错控制和重发机制保证数据的完整和准确。

从时域的角度看,网络控制系统中实时数据和非实时数据的传输可以概括为三种类型的通信:周期性通信、随机性通信和突发性通信。

①周期性通信:如传感器周期性地传送采样数据,控制器周期性地传送控制信号,这类通信的特点是通信周期性地发生,一般为相对固定的端到端的消息传递;传送的数据一般为实时数据,数据通信量较小,占用固定的带宽。

②随机性通信:如客户端向服务器端请求服务等,这类通信的特点是:

a.通信随机性地发生,一般符合负指数分布;

b.传送的数据一般为非实时数据;

c.数据通信量较大。

③突发性通信:如报表信息等,这类通信的特点是:

a.通信是突发的;

b.传送的数据一般为实时数据;

c.数据通信量小。

5 周期性实时消息模型

由于工业控制系统中的通讯绝大部分属于周期性通信,我们着重看一下周期性实时通信。

定义:周期性通信中的消息流可以用如下周期性实时消息模型表示:

式中,CM (Cyclic Message)为周期性消息;L(Length)为周期性消息流长度,表示消息流的传输时间,包括网络协议规定的信息域、校验域和前导符等消息帧全部内容;C(Cycle)为通信周期,也即消息产生周期;S(Start Time)为发出通信请求的时刻,即消息产生的时刻,D(Deadline)为消息时限,即消息从产生至到达目的节点所能允许的最大延迟时间。

周期性消息流k表示为:

从周期性实时消息的定义可以得出,周期性通信实时性的满足由如下条件决定:

①tp-S≤D,tp为消息传送过程中的某一时刻,该条件说明消息从产生到最终到达目的节点不会超过其时限。

②Tmax≤C,Tmax为进行周期性通信的节点获得总线控制权的最大时间间隔。

③tR≤L,tR为一次总线控制时间,该条件说明节点在获得总线控制权后应有充分的时间发送完所有的周期性消息。

对于周期性通信,要保证所有消息流的实时性,而不是某一个消息流的实时性,因此,要考虑通信中的最坏情况;另一方面,在保证实时性的前提下,还要考虑系统的综合效率,即合理利用通信信道,保证信道利用率的平稳。

6 结束语

通过上面的分析,使大家对网络的实时性问题有了更加全面和深刻的了解,有利于我们在设计控制系统的网络通讯时,更好的满足实时性的要求,提高控制系统的响应速度。

参考文献

[1]唐济扬.用于自动控制系统的工业通讯网络.2000(1)

[2]胡道元.信息网络系统集成技术.清华大学出版社,1996

[3]秦肖榛.集散控制系统实时网络通信设计.计算机工程与应用,1997.5

网络分析模型 篇10

现基于岩石骨架网络模型,提出一种岩石粒径分析的方法,主要包括以下几个方面: SEM图像的二值化处理、三维数字岩心的构建、骨架网络模型的提取,最后对真实油田岩心样品进行结构特征定量分析。

1岩石骨架网络模型的构建方法

1.1扫描图像的二值化处理

通过扫描电子显微镜可获取真实岩心样品的灰度扫描图像,为了区分灰度图像中的岩心骨架颗粒和孔隙喉道结构,使用图像的二值化技术进行图像分割,其目的是从图像的直方图中找到合理的阈值, 将图像的像素按灰度分成两区域,进而达到区分岩石骨架和孔隙的目的。利用最大类间距法对灰度图像进行分割得到相应的二值化图像,最大类间方差法是以前景和背景之间的类间方差最大来动态确定图像二值化的阈值[9],即选择最佳分割阈值t*,使其满足最大判定准则

式( 1) 中 σ2B为类间方差,σ2T为总体方差。基于图像像素可对二值图像进行分析,其中0表示岩石孔隙,1表示岩石骨架。

1.2三维数字岩心的构建

数值重建是指借助少量的岩心平面图像,通过图像分析技术提取建模信息,然后应用某种数值计算方法建立数字岩心的方法。目前常见的数值重建方法主要有以下几种: 高斯模拟法、模拟退火法、过程模拟 法、多点统计 法和马尔 可夫随机 重建法[10,11]。其中,马尔可夫随机重建法是一种高效的随机统计计算方法,该方法在构建数字岩心过程中, 能够从三个方向快速地构建不同尺度数字岩心,所建数字岩心的空间分布特征与真实岩心相似,具有良好的孔隙连通性,为本文所采用[10—12]。

马尔可夫链蒙特卡洛法的主要思想就是构造一个平稳分布为p( x) 的马尔可夫链。具体来讲,对一个特定的点s,Λ- s表示除s之外的所有点。那么存在一个s的邻居Ns可表示为

马尔可夫随机场可视为马尔可夫链的多维情况。在缺少三维信息的情况下,可利用三张相互垂直的独立二维图像来构建三维链。提取xy、yz和xz三个相互垂直平面上的岩心薄片资料,获取相应的二值图像( 状态仅仅为0或者1) ,利用xy、yz和xz三个相互垂直的岩心薄片信息来构建三维马尔可夫模型,即三维数字岩心,基于马尔可夫链蒙特卡洛法构建三维数字岩心的过程如图2所示。

1.3骨架网络模型的提取

孔隙空间中真实孔隙、喉道的形状十分复杂,为了便于开展孔隙网络模型中多相流体的流动模拟, 需要对孔隙、喉道的形状进行简化处理。通过把孔隙、喉道简化成等截面柱状体来代替真实岩心中的孔隙和喉道[7]。为此,引入形状因子G,其定义如下

式( 2) 中A为孔喉横截面面积,m2; P为孔喉横截面周长,m。在简化过程中,要求规则几何体的形状因子与岩心孔隙、喉道的形状因子相等,在本文中规则几何体的截面形状取为圆形、正方形和任意三角形。

采用相似的步骤可提取岩石的骨架网络模型, 进而用于岩石结构参数的计算和分析。骨架网络模型的提取为孔隙网络模型提取的逆过程,在数字岩心基础上提取三维骨架网络模型的基本思路如下: 首先,借助图像分析理论及相关算法剔除骨架中的孤立体素及岩石孔隙; 采用Lee,Kashyap和Chu提出的算法( 简称LKC算法) 建立岩心骨架空间居中轴线体系[13],保证骨架居中轴线系统准确表征岩心骨架的拓扑结构; 在优化处理后的骨架居中轴线体系上,定位各骨架单元的中心位置,分割局部骨架空间; 最后,度量骨架颗粒的几何参数,从而建立起具有真实岩心骨架空间拓扑结构及几何特征的骨架网络模型。

2实例分析

对于某油田三块真实低渗透岩石样品,首先通过扫描电镜实验获取各岩心样品的二维扫描图像, 各岩心样品的SEM扫描图像参数如表1所示。

根据SEM扫描得到的灰度图像,通过最大类间距法可获取相应的二值图像,各样品对应的岩心二值图像如图3所示。

分别对岩心样品的二值图像,利用马尔可夫链蒙特卡洛法构建三维数字岩心,为简化处理,在xy、 yz和xz三个相互垂直平面上均取同一张二值图像, 各岩心样品对应的数字岩心如图4所示,体素尺寸均为300 × 300 × 300。

对于各岩心样品的三维数字岩心,提取相应的孔隙网络模型,同时采用相似的步骤提取相应的骨架网络模型,见图5和图6所示,各岩心样品的尺寸依次为174 μm、117 μm和87 μm。

对于各岩心样品的骨架网络模型和孔隙网络模型,可计算出各岩心的骨架颗粒、孔隙和喉道结构参数特征,样品结构参数对比如表2所示。

由表2可以发现,样品1的骨架颗粒平均半径为5. 65 μm,孔隙平均半径为2. 45 μm,喉道平均半径为1. 18 μm,骨架颗粒平均半径为孔隙平均半径的2. 3倍,骨架颗粒平均半径为喉道平均半径的4. 8倍。

样品2的骨架颗粒平均半径为3. 64 μm,孔隙平均半径为1. 16 μm,喉道平均半径为0. 65 μm,骨架颗粒平均半径为孔隙平均半径的3. 1倍,骨架颗粒平均半径为喉道平均半径的5. 6倍。

样品3的骨架颗粒平均半径为2. 86 μm,孔隙平均半径为0. 98 μm,喉道平均半径为0. 42 μm,骨架颗粒平均半径为孔隙平均半径的2. 9倍,骨架颗粒平均半径为喉道平均半径的6. 8倍。

综上所述,岩石颗粒平均半径较大,孔隙平均半径次之,喉道平均半径最小,其中,岩石颗粒平均半径为孔隙平均半径的2. 3 ~ 3. 1倍,骨架颗粒平均半径为喉道平均半径的4. 8 ~ 6. 8倍,这符合对低渗透油藏岩石结构参数的基本认识。

3结论

提出一种基于网络模型的岩石粒径分析方法, 并对某油田三块真实低渗透岩心样品进行对比分析,可以得到以下结论。

( 1) 网络模型可以再现复杂的岩石结构空间, 不仅可以降低实验成本,缩短实验数据获取周期; 还可以得到实验室内难以测量的实验数据,可微观结构的研究平台; 基于网络模型的岩石粒径分析方法能够快速获取岩石的结构参数特征,对油藏岩石结构参数进行的定量表征。

( 2) 通过对比分析三块真实低渗透研究样品的结构参数发现,岩石颗粒平均半径较大,孔隙平均半径次之,喉道平均半径最小,其中,岩石颗粒平均半径为孔隙平均半径的2. 3 ~ 3. 1倍,骨架颗粒平均半径为喉道平均半径的4. 8 ~ 6. 8倍,这符合对低渗透油藏岩石结构参数的基本认识,为岩石结构参数分析提供了一套有效的研究思路。

摘要：应用扫描电子显微镜,获取岩石的二维灰度图像,并进一步分割得到岩石的骨架和孔喉结构。利用马尔可夫链蒙特卡洛法构建三维数字岩心,提取相应的三维孔隙网络模型。根据其逆过程提出骨架网络模型的提取方法,可对岩石粒径进行定量分析。最后对三块低渗透岩心样品的颗粒半径、孔隙半径和喉道半径等结构参数进行对比分析,得到各样品结构参数之间的定量关系。研究表明,基于网络模型的岩石粒径分析法能够快速获取岩石的结构参数,对油藏岩石结构参数进行定量表征,大大缩短实验数据获取周期,为岩石结构参数分析提供了一套有效的研究思路。

信息与网络安全体系模型研究 篇11

关键词：信息安全；网络安全；体系模型

中图分类号：TP309.2 文献标识码：A

1 引言

以往，许多安全体系都是根据相关风险进行设计的，缺乏对整个安全体系的动态、全面考虑。所以，为最大程度满足安全需要，我们需要设计出全方位多角度的信息与网络安全体系，并在体系中完整的包含安全建设所要需要实现的各种功能、服务以及安全机制和相关技术和操作等[2]，并对多种因素进行合理的安排和部署。

2 PDR模型

PDR模型包含了三方面的元素，即P——防护（Protection）和D——检测（Detection）以及R——反应（ Reaction）。PDR模型认为所谓的“安全”指的是“保护的时间”要大于“检测的时间”。因此，在PDR模型中，十分强调时间的概念，并对保护时间和检测时间以及响应时间和暴露时间进行了定义。我们用Pt来表示从攻击开始到攻击成功的时间，即攻击所需要的具体时间，或者也可以是故障或非人为因素造成的破坏从发生到造成影响所生产的时间；用Dt来表示检测系统安全的时间；用Rt来表示从检测到安全问题到采取相应的措施进行反抗的时间，即对安全事件的反应时间[3]。经分析可知，我们无法控制安全问题出现的可能性，做不到无懈可击，所以只有通过尽可能的延长各种安全问题攻击所需要的具体时间来提高整个体系的安全程度。也就是说，我们要尽可能的增大Pt的值，从而为安全体系检测各种攻击事件，并及时进行相应的反应来争取尽可能的时间。另外，我们也可以通过缩短检测系统安全的时间以及从检测到安全问题 到采取相应的措施进行反抗的时间来提高体系的安全性，即尽量减少Dt和Rt的具体值[4]。所以说，如果体系对安全事件的反应时间Pt大于检测系统安全的时间Dt和安全事件的反应时间Rt之和的时候，整个系统是安全的；如果体系对安全事件的反应时间Pt小于检测系统安全的时间Dt和安全事件的反应时间Rt之和，则表示整个系统是不安全的。

3 P2DR 模型

P2DR模型把信息安全保障分成了一下四个环节：P——策略（Policy）、P——保护（Protection）、D——检测（Detection）和R——响应（Reaction）。P2DR模型是可适应网络安全理论的主要模型，在整体的安全策略的控制和指导下，在综合运用各种防护工具的同时，也积极的利用多种检测工具来了解和评估系统所处的安全状态。并按照具体的状态作出最适当的反应，从而保证整个系统处于最安全的状态。P2DR模型中的防护、检测以及响应形成了一个十分完整的、处于动态变化的安全循环模式，在具体安全策略的指导下，有效的保证信息系统的安全性。在P2DR体系模型中，用户们可以充分考虑实际情况，选择更加切合实际情况的安全方案。网络与信息安全涉及到许多复杂的问题，在P2DR体系模型中，用户需要认识到，首先，要注意人的作用。任何安全问题都需要人来操作，认识主观能动的个体，对整个体系的安全性起着至关重要的作用。其次，要注意工具问题。工具是人们用来实现安全的基本手段，是保证安全策略实现的有力保证。而工具问题中则包含了安全体系设计到的各种技术[5，6]。不过，通常情况下，对用户来说，并不需要过分关注安全技术问题，因为技术问题涉及面太广，也过于复杂。而且，会有十分专业的公司来负责将各种最新最实用的安全技术转化为各种可以供广大用户直接使用的工具。

4 动态自适应安全模型

动态自适应安全模型也同样是把安全看作一个动态变化的过程，并认为安全策略的制定要积极的适应网络的动态变化。动态自适应安全模型可以对网络进行动态的监测，并及时的发现系统中存在的漏洞，并对来自各方的安全威胁进行键控。从而为广大用户提供了一个不断循环并及时反馈相关信息的安全模型，利用这个模型，用户可以及时地制定各种安全策略并做出相应的反应[7]。动态自适应安全模型涉及到以下一些问题：

（1）分析与配置。在构建动态自适应安全模型的时候，需要整体把握系统的安全问题，综合考虑多方面因素，例如标志和认证以及密码技术还有完整性控制和操作系统安全，以及数据库、防火墙系统安全和抗抵赖协议等。在充分考虑到多方面因素之后，再给出相应的具体配置。

（2）动态监测。动态自适应安全模型需要对各种网络攻击模式和其它 多种可疑活动，进行实施的动态监测。例如对各种黑客行为的分析，和对病毒特征以及系统弱点的研究等。动态自适应安全模型还要及时的提取各种数据特征，并将其归入监测知识库和方法库，以便于对各种网络攻击和病毒模式进行实时的监测，并及时的发现系统中存在的各种危险漏洞。

（3）报警。动态自适应安全模型中，一旦发现系统中出现了各类攻击模式，或者有漏洞和病毒以及各种违规和泄密活动的存在，便会立即给出相应的报警响应，例如，对相关信息的日志进行及时的记录，通过控制台消息等发出报警信号，或者是阻断非法连接，也可以十多种报警响应的组合应用。

（4）审计和评估。审计和评估是按照具体的报警记录和其它信息向管理员提供各种具有较高参考价值的统计分析报告信息。审计和评估涉及多方面的内容，例如网络使用情况、各种可疑迹象、发生的各种问题等。审计和评估的过程也十分严谨，需要应用统计方法学和审计评估机制来综合评估网络安全现状，制定出最终的审计报告和趋向报告等。

5 APPDRR模型

网络与信息安全是处于不断的变化中的，表现为一个不断改进的过程，全网动态安全体系隐含了网络安全的相对性和动态螺旋上升的过程，因为不可能存在百分之百静态的网络安全。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六环节的循环流动，网络安全逐渐地得以完善和提高，从而实现保护网络资源的网络安全目标。可信计算平台指的是为计算提供高可用的、安全的和可控的计算实现平台。而高可信计算平台则是通过在当前的计算平台加入硬件和软件的扩展来支持计算平台的安全性[8]。计算平台的安全性确保计算机系统中的每台主机成为可信的个体，从而既保护了主机，又从源头上减少了网络威胁。统一威胁管理期望把APPDRR模型有机的综合在完整体系而不是各自孤立存在。针对安全防护技术一体化、集成化的趋势，研究统一威胁管理（UTM）与网络安全管理的模型、算法和标准。

6 总结

安全处于永不停息的动态变化中的，不断的随着技术的变化而变化。构建信息与网络安全体系模型的过程中涉及到了多方面的因素，例如管理和技术以及标准和相关法规等。所以，我们不可能将所有安全问题都体现在安全体系中，而是要将安全体系置于动态发展变化中，并不断予以积极的调整，才能保证其更加科学完善。

参考文献

[1] 唐洪玉，崔冬华.一种新的信息安全体系模型的提出[J].信息安全与通信保密，2008，12（06）：102-105.

[2] 周学广，等.信息安全学（第2版）[M].北京：机械工业出版社，2008.

[3] 冯毅.基于P2DR模型的网银安全体系方案设计[J].中国科技信息，2011，03（14）：79-80.

[4] 张思宇.浅析信息化时代企业网络安全重要性[J].中小企业管理与科技，2013，05（18）：91-92.

[5] 沈苏彬，等.自主信息网络安全的概念与模型[J].南京邮电大学学报（自然科学版），2012（05）.

[6] 董建锋，等.云计算环境下信息安全分级防护研究[J].信息网络安全，2011，11（06）：55-56.

[7] 徐林磊，郑明春.一种公共信息和网络安全的社会模型[J].信息网络安全，2010，01（02）：13-14.

[8] 林王冠，等.网络安全模型在水利科研环境中的应用与研究[J].水利信息化，2013，97（01）：42-43.

作者简介：

网络分析模型 篇12

关键词：IPSEC,网络安全,点对点

1 引言

随着计算机及网络技术的广泛应用, 网络系统安全问题已变得越来越重要, 因而网络安全分析和系统设计便显得非常必要。如今基于IP技术的网络安全设计越来越受到人们的关注, IPSEC的重要性也越来越被认识, 而现有的IPSEC安全系统模型越来越无法完全满足网络安全的全面细致需求。

目前, 国内外都已经出现大量的基于IPSEC实现的VPN (虚拟专用网) 产品, 国内的VPN产品多是与防火墙技术结合, 适合部署在子网边界, 作为安全网关来保护子网到子网的数据安全, 而不适合保护端到端的数据通信, 并且大都是基于UNIX平台的。微软Windows2000提供了一套部署IPSEC VPN的机制, 适合各种应用, 但是配置比较繁琐, 并且代码不公开, 无法根据具体需要做适当的修改, 例如, 加入自己的加密算法模块、身份验证模块。目前, Windows操作系统在国内得到广泛使用, 所以, 对在Windows平台如何实现IPSEC的点对点的通信安全方案进行了探讨, 并对具体的模块设计进行了分析。

2 点对点的IPSEC安全系统的总体设计

在端系统实现的IPSEC VPN系统致力于解决两个通信端之间的信息传递的安全性, 该系统的设计实现IPSEC协议标准的要求来解决安全需求:保证通信端用户身份的真实性;保证通信过程中数据的隐密性、完整性;保证不同安全级别的资源只能被授权的用户访问;保证用户无法对已经发生的操作和访问过程予以否认。

点对点的IPSEC系统要能够提供通过网络进行内部消息交换和处理所需要的全部安全要素, 包括:用户合法身份的授权和管理、用户身份的鉴别和访问权限控制、传输过程的安全、具备不可否认性的审计记录。主要实现的功能包括:根据用户的配置和虚拟网网关建立IPSEC通讯隧道, 或者与其他终端机上的Windows客户端虚拟网软件建立IPSEC通讯隧道, 以及生成用户的访问日志等。

严格遵循IPSEC协议族, 采用Windows系统编程技术和Windows内核编程技术开发VPN系统, 本系统主要是由IPSEC驱动模块、IKE服务程序模块、IPSEC策略配置模块三部分组成, 系统结构框架, 如图1所示。

IKE服务程序模块作为一个服务运行, 负责处理用户的管理配置命令, 同协商实体的交互, IKE载荷的加密验证处理以及同内核的SADB的交互。策略配置模块提供给用户一个友好的界面, 能够配置策略相关信息。IPSEC驱动模块在系统内核运行, 支持传输模式和隧道模式两种安全工作模式。完成AH协议和ESP协议处理, 按照IPSEC协议标准对适当的数据包进行封装和解封操作。实现安全关联库和安全策略库, 具有与IKE服务程序的通信借口, 能够相应IKE服务程序的命令消息, 刷新安全关联库的内容, 同时也能够向IKE服务程序发送命令请求信息。实现验证算法和加密算法, 提供算法的API调用接口。

3 主要模块实现

3.1 IKE模块设计实现

IKE服务程序模块作为一个守护进程运行, 负责处理用户的管理配置命令, 同协商实体的交互, 协商载荷的加密验证处理以及同内核SADB的交互。系统模块按照功能主要划分为验证模块和事件处理模块:其中事件模块按照事件的来源调用不同事件处理函数;验证模块主要负责验证IKE协议的载荷数据, 并构造响应或者请求数据报文。为了各个模块能对协商的数据进行共享, 设计了IKE运行状态库, 提供统一的查询借口。IKE服务程序运行在应用层, 不能直接访问内核的SADB, 所以, 采用IIO通信的方式使得守护进程和内核的SADB进行信息的交互。

在整个系统中, IKE验证模块是系统的核心, IKE状态库是基础。UDP/500表示IKE守护进程是利用UDP协议的500端口进行网络通信。事件处理模块负责监视几个消息队列, 由消息到达的时候调用相应的消息处理模块。消息队列分为管理消息、网络消息、内核消息、以及事件消息。IKE验证模块负责验证IKE协议的载荷数据, 并构造响应或者请求数据报文。IKE状态库记录IKE运行期间需要的协商参数和当前的SA信息。

3.2 内核与应用程序的通讯接口设计实现

当内核驱动程序模块需要交换生成密钥时, 需要通知应用程序的IKE服务进行密钥交换;当IKE完成密钥交换时, 需要通知内核的协议模块来更新SADB。在策略管理模块中, 也存在大量应用层与内核的协议模块的通讯。

在具体实现中, 利用VPN.sys注册的I/O接口, 采用异步I/O方式, 使用IOCTL调用接口进行数据的双工通信。从IKE到底层驱动的数据传输使用同步IOCTL调用, 用Buffer方式传输数据 (由于1次传输1个SA数据结构, 不会超过1个页面的大小) , 传输成功后立即返回。

从底层驱动到IKE的数据传输使用异步IOCTL调用, 从底层驱动发送到IKE的数据主要是通知信息, 数据量很小, 因而也使用Buffer方式传输数据。由于I/O设备接口与设备接口处于一个进程上下文空间, 因此, 它们之间可以共享资源, 但是需要对资源进行保护, 使用内核同步对象与自旋锁保护共享资源在多线程和多处理器环境下的安全。

4 结束语

分析的IPSEC网络安全体系实现的功能如下, 驱动处理模块实现了AH, ESP协议封装, 对AH和ESP实现传输和通道两种方式;内核SPD库和SAD库分别通过RADIX树和HASH表来实现;IKE服务程序支持手动生成安全关联, 也支持用IKE动态协商, 协商过程中支持预共享密钥的认证和RSA公钥加密认证。设计的IPSEC网络安全体系还有些不足, 主要在于安全策略上, 安全策略通过策略配置界面进行管理, 要求每个实施IPSEC的主机用户自己输入安全策略, 这样所进行的策略配置可能会产生错误冲突等问题, 这有待于我们开展进一步的工作, 来进行完善。

参考文献

[1]王蔚, 冯运波, 杨义先.IPSEC的实现途径及主要产品[J].电信科学, 2001 (5) .

[2]孔凡玉, 李大兴.IPSEC中IKE协议的安全性分析与改进[J].计算机应用研究, 2003 (1) .

[3]于佳, 李大兴.对于IKE的分析及改进[J].计算机工程, 2003 (2) .