Internet接入

Internet接入（共4篇）

Internet接入 篇1

当自然灾害发生,在人力不可控的突然事件面前, 卫星通信展示出其优越性。虽然,卫星通信不能取代有线通信成为主流,但也是不可或缺的一种通信方式。 国际上积极推进卫星通信技术的发展,美国、日本等根据国家的实际情况进行了卫星通信的部署。我国卫星通信网发展已初具规模且发迅速展,但在新技术开发、 星上资源产业化方面尚需在今后卫星通信的发展中解决［1 －2］。

人为或自然灾害导致有线线路中断,会带来各种各样的损失。企业中断与客户的联系,造成业务中断, 带来经济及信任危机; 医疗无法及时进行,会导致抢救失误; 大型自然灾害面前,被困人员与外界无法联系, 导致营救困难等。为了应对有线线路中断情况下各种通信业务的需求,需要大力开展宽带卫星通信业务。

本文介绍了几种宽带卫星通信方式,同时将卫星通信与光纤通信做了对比,从而总结出卫星通信的优势。由此可见,推广宽带卫星通信必要性。最后,针对实际场景设计了一套宽带卫星通信系统。

1几种宽带卫星通信方式

在现有的卫星通信方式中,北斗卫星系统是我国自主开发发射的卫星系统,该系统致力于向全球用户提供高质量的定位、导航和授时服务,以致引起对该系统的广泛研究［3］。但是,北斗卫星目前尚未提供任何宽带通信业务,因此并不能作为宽带卫星通信的一种方式。

1. 1 Direct PC

Direct PC( 直播电脑) 从直播电视( Direct TV) 演化而来,增强了交互的功能,它采用非对称方式利用卫星网络传输数据。该方式适用于Internet业务,即典型的上传与下载不对称业务,其不对称性表现在上行与下行数据传输方式和速率的不同上。对于上行数据,用户通过拨号或其他方式,例如ISDN、专线等接入互联网,用户的上行数据沿接入互联网的方式上传。但对于下行数据,比如浏览网页、下载文件等服务请求,将转给网络操作中心( Network Operations Center,NOC) 来处理, 由NOC到互联网上去获取用户所需的内容,然后由NOC发射到卫星上,通过卫星传输通道高速地传送到用户的接收天线上,再到用户PC。其传输链路示意图如图1所示。也就是经由两个不同通道传送资料,使资料的传递更快速且不会出现大量拥塞。当使用高速卫星网络服务( Turbo Internet Service) 时,下载速度为400 kbit · s－ 1,而卫星多媒体传送服务( Multimedia Transmission Service) 和卫星封包快递服务( Package Delivery Service) ,带宽就更高达3 Mbit·s－ 1［4］。

1. 2 IPStar宽带卫星系统

IPStar宽带卫星系统［5］的网络配置是基于关口站星形拓扑。一个用户终端从与IPStar关口站相连的波束收到信号或者向与IPStar关口站相连的波束发射信号,而关口站提供连接到其它网络的能力。大部分被IPStar服务覆盖的地区都有一个或多个关口站,这样IPSTAR用户可以快速连接到地面网络,获得各种应用。图2所示为IPStar宽带卫星系统的链路示意图。

IPStar系统的94个Ku波束覆盖整个亚太地区, 其中IPSTAR -1卫星用23个Ku点波束、1个Ku成型波束、1个Ku广播波束覆盖中国大陆,在中国大陆有北京、上海、广州3个关口站,相互之间通过地面光缆相连接。卫星通信容量45 Gbit·s－ 1( 前向25/回传20,支持1 300万用户) ,IPSTAR - 1卫星为中国大陆提供约12 Gbit·s－ 1的通信能力。

1. 3 LinkStar宽带VSAT系统

LinkStar系统［6］具有星型网络拓扑结构的TDM/ TDMA VSAT卫星通信网络,能在大量远端用户和网络主站之间提供基于IP的多业务、高吞吐率的数据连接。这种数据传输的业务量是非对称的,可根据用户具体的业务流向及其流量,对从网络主站到远程终端的一条大容量出境卫星链路,以及多条同时从远程终端到网络主站的中、低容量的入境卫星链路的信道带宽进行有针对性的设计,从而保证高效地满足用户应用的需求。图3所示为LinkStar系统的链路示意图。

LinkStar是由美国卫讯全球有限公司生产的一种双向、按需分配带宽的宽带VSAT系统,它围绕DVB - RCS标准而设计,用于服务提供商、ISP和企业网络, 可为市场带来相比其他TDMA网络更高的效率和数据速率。LinkStar结合宽带通路和高速返回信道来满足对带宽需求较多的IP数据应用。

1. 4海事卫星

在各种重大自然灾害面前,海事卫星电话起到了重要作用,并且第四代海事卫星BGAN( Broadband lo- bal Area Network) 已基本覆盖全球。BGAN的网络结构如图4所示。

海事卫星BGAN系统在国内没有建立卫星地面站, 信号不能在中国直接落地。为满足部分用户对于信息安全的需求,中宇通信公司制定了虚拟关口站( POP) 方案, 来解决数据本地化接续和信息安全监控方面的问题。

综上所述,为降低卫星通信的费用,并且可以覆盖全球范围,采用Direct PC( 或IPStar、LinkStar) 与海事卫星及铱星系统相结合的方式,实现全球卫星通信。 当然,依据企业的需求,可以设定指定区域内的卫星通信,从而进一步降低卫星通信费用。

2卫星通信与光纤通信的对比

多年来,有线通信和无线通信共同组成最有效、最经济的信息传输网。两种通信方式各有其优点,无论哪一种也无法独占或排斥其他方式,应使它们互相密切配合,各自充分发挥作用。

光纤通信技术,作为有线通信的一种重要方式,已成为现代通信的主要支柱之一,并在现代电信网中发挥重要作用。其在近年来发展迅速、应用广泛。而无线通信中的卫星通信就是地球上的无线电通信站间利用卫星作为中继而进行的通信。这二者各有特长和优缺点,在规划建设通信网时必须善于配合选用,使它们互相补充,以获取最佳的总效能。卫星通信与光纤通信的比较如表1所示。

如表1所示,相对于光纤通信,卫星通信有其缺点,比如费用高、辐射大、信号闪烁及延时问题,但是其仍然具有优势,不可被光纤取代。光纤通信方式只能将通信的范围延伸到光纤铺设的位置上,而卫星通信方式可以通信至卫星覆盖的任何区域。卫星通信方式不易受陆地灾害的影响,可靠性高且部署快,不必开挖铺设光缆,开通方便快捷; 同时电路的设计也灵活,可将话务量或者数据流量按照需要分配。

综上可见,卫星通信是不可或缺的一种通信方式, 不仅不会被光纤通信所替代,并且在发生自然灾害的情况下,作为企业、政府、个人的备用通信方式,可以减少损失。随着卫星通信技术的发展和成本的降低,其可以作为一种主要的通信方式。同时,在有线铺设不到位的国家或者区域,卫星通信则成为该地区与外界进行通信的非常必要的手段。

3实际场景下宽带卫星通信系统建设

综上所述,卫星通信是一种不可或缺的通信手段。 针对目前多元业务需求,宽带卫星通信尤显重要。而对于已有的宽带卫星通信方式,如何在实际建设中实现也是一个重要问题。本文提出一种实际场景下的卫星通信系统建设方案,可以作为企业及政府等部门的参考。图5所示为实际场景下宽带卫星建设方案。在该系统中,已有的硬件设施是铺设完备的PON网络。

对于Direct PC方式,上行需要连接到NOC,如图1所示。PON网络的ONU口可以作为该宽带卫星通信的上行链路接口,而一旦进入到已有的有线网络中,就可以通过路由到达NOC。对于IPStar和LinkStar系统来说,可以采用用户端到关口站的方式,即将卫星发送和接收的信息通过有线方式传送到相应的关口局或NOC。数据从关口局或NOC建立与卫星的双向通道,并通过有线双向通道传送到客户端。对于海事BGAN系统,也可以通过ONU,将用户端与BGAN终端连接起来,从而建立卫星通信的双向链路。

以上设计方式充分利用了已有的有线资源,但也依赖有线系统的连接方式。倘若在指定区域内没有多余有线网络,也可以建立起相应的宽带卫星通信系统。用户直接通过卫星接收与发送数据,如图6所示。在这种宽带卫星通信方式中,IPStar系统、LinkStar系统和BGAN系统是适用的,而不适合于Direct PC的通信方式。

4结束语

文中介绍了几种宽带卫星通信方式,分析了各种方式的通信方法,并将卫星通信与光纤通信进行了对比。提出了实际场景下的宽带卫星通信建设方案,可以作为企业或政府宽带网络建设的参考。

Internet接入 篇2

1代理服务器概述

代理服务器是局域网和Internet服务商之间的中间代理机构, 负责转发合法的网络信息, 并对转发进行控制和登记。代理服务器处于用户端和Internet主机之间, 对于Internet主机而言, 代理服务器是客户机, 它向Internet主机提出各种服务申请;对于用户端而言, 代理服务器则是服务器, 它接收用户端提出的申请并提供相应的服务, 即用户端访问Internet时所发出的请求不再直接发送到远端的Internet主机, 而是被送到了代理服务器上。

通常所说的代理服务器实际存在于远程的Internet和本地局域网, 但是它们的作用不同;在局域网中架设代理服务器的主要目的是为了降低组网成本, 让局域网用户共享一个Internet连接。

2代理服务器类型

通常所说的代理服务器包括Proxy代理服务器和网络地址转换 (N A T) 两种类型。其中N A T (N e t w o r k A d d r e s Translation, 网络地址转换) 也称为网关类, NA T类的代理服务器严格说应该是软网关, 它通过将局域网内的私有IP地址, 转换为合法的公用IP地址来实现对Internet的访问, 如Sygate。Proxy类代理服务器是一般意义上所说的代理服务器, 如Win Gate。Proxy类代理服务器需要客户机安装客户端程序, 或对每种网络应用软件进行设置;而网关型代理服务器只要将服务器的IP地址设置为客户机的网关, 即可实现对Internet的访问。Sygate软件采用Gate Way方式使多台计算机共享ISP账号接入Internet, 它安装简单, 用户几乎不需要进行更深入的设置, 并且维护管理也非常简单方便。由于Sygate采用了低级包交换技术, 因而其性能十分优越, 支持各种Internet协议, 几乎所有的应用软件都可以直接使用。但是, Sygate不允许设置不同用户的权限, 无法对用户进行较为复杂的管理。

3安装Sygate服务器

Sygate属于网关类代理服务器, 可以运行在Windows9X/2000/XP操作系统下, 允许多个用户共享访问Internet, 支持Modem、ISDN、ADSL Modem和Cable Modem等多种Internet接入方式, 官方网址是http://www.sygate.com。安装方法如下。

第1步, 双击Sygate压缩包图标, 压缩包自解开后启用Sygate的安装向导。按照向导提示操作, 直到出现“安装设置”Installation Setting对话框。由于Sygate包括服务器和客户机两部分, 因此, 在安装过程中, 需要在“安装设置”对话框中为服务器选择“服务器模式-这台计算机有Internet连接”单选钮, 即这台计算机直接连到Internet。

第2步, 接通调制解调器电源, 单击“确定”按钮, 弹出“Sygate网络诊断”提示对话框, 如果用户使用的是外置调制解调器, 应确认将其打开, 然后单击“OK”按钮继续。

第3步, 单击“OK”按钮, 弹出提示询问是否使用检测到的连接接入Internet。Sygate会自动检测计算机上的默认连接。

第4步, 单击“Yes”按钮, Sygate开始检测默认连接, 成功后接入Internet。

第5步, 单击“OK”按钮, 弹出“重新启动计算机”提示对话框。单击“Yes”按钮, 重新启动计算机后, 弹出“每日提示”对话框。选中其中的复选框, 以后将不再出现“每日提示”对话框。

第6步, 单击“OK”按钮, 可启动Sygate Manager, 完成安装。

4安装Sygate客户机

安装Sygate客户机时, 应在“安装设置”对话框中选择客户端模式单选钮。客户机安装完成之后, 要通过服务器连接Internet, 还必须设置客户机的IP地址、网关等内容。

第1步, 在Windows2000 Server桌面上用鼠标右键单击“网上邻居”图标, 从弹出的快捷菜单中选择“属性”命令, 打开“网络和拨号连接”对话框。

第2步, 在“本地连接”图标上单击鼠标右键, 从弹出的快捷菜单中选择“属性”命令, 打开“本地连接属性”对话框。

第3步, 在“此连接使用下列选定的组件”列表框中选择“Internet协议 (TCP/IP) ”选项, 然后单击“属性”按钮, 打开“Internet协议 (TCP/IP) 属性”对话框。

第4步, 在“常规”选项卡中设置“默认网关”为192.168.0.1, “首选DNS服务器”的地址也为192.168.0.1。单击“确定”按钮, 保存设置。

5使用Sygate上网

服务器和客户端安装完成后, 就可以启动Sygate服务器, 连接Internet了。在服务器上选择“开始/程序/Sygate Home Network/Sygate Manager”命令, 启动Sygate Manager Server。单击“开始”按钮, 启动Sygate, 然后再单击“拨号”按钮, 拨号上网。

拨号成功后, 在服务器或客户端上打开I E, 就可以上网浏览。如果要断开与Internet的连接, 单击Sygate Mansager窗口中的“挂断” (Dial) 按钮;如果要断开客户机, 将服务器接入I n t e r n e t, 单击S y g a t e Mansager窗口中的“停止” (STOP) 按钮。

摘要：从局域网和Internet服务商的角度介绍了代理服务器的概念, 同时, 介绍了代理服务器类型中的Proxy代理服务器和网络地址转换 (NAT) 两种类型, 并对这两种代理服务器进行了详细的分析;然后, 介绍了Sygate服务器的安装环境和设置, 并对步骤的安装进行了详细的说明, 同时, 对Sygate客户机的安装步骤也作了详细的说明;最后, 对怎样使用Sygate上网中的设置和步骤做了简单的说明, 为学习和了解代理服务器接入Internet技术技术提供了良好的基础。

关键词：概念,类型,安装,应用

参考文献

[1]李环.计算机网络技术及应用[M].北京:中国铁道出版社, 2012.

[2]刘永华.计算机网络技术及应用[M].北京:中国水利水电出版社, 2009.

Internet接入 篇3

1 本校区校园网说明

1.1 目前, 本校区网络结构为树状结构

1) 校园网互联网出口为单链路出口, 广电光线接入, 共享百兆带宽;

2) 局域网网络设备共三台交换机, 1台核心交换机, 负责校园网数据转发, 另外两台交换机分别负责办公区与电教室网络接入;

3) 网络拓扑如下图:

1.2 业务功能

办公区主要进行日常办公活动使用;

教学区主要为电教机房为主, 主要从事网络教学和省图书馆电子图书阅览使用。

1.3 数据类型

办公区日常办公业务, 如高考报名、学生学籍管理、申请贫困生国家资助等;

阿帕比电子图书阅读系统客户端, 用于浏览省图书馆电子图书。

1.4 单链路出口的弊端

由于本校区为单互联网出口, 网络链路质量不太稳定有线掉线现象, 如此链路出现故障将直接影响到学校的工作效率。

1.5 单链路弊端解决方案

目前主流校园网均采用多条链路互联网出口, 所以多链路是解决单链路较为实用和理想的方法。

增加互联网出口网络设备。网络设备的增加, 也可使内网数据定向流出, 合理分担网络链路压力, 从而避免网络拥塞、延迟过大等问题。

2 多链路及数据分流实现机制

由于本校区目前设备无法满足多链路的要求, 需增加网络设备 (防火墙或路由设备) , 安全考虑建议采用防火墙。

2.1 防火墙介绍

2.1.1 防火墙概念

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间的界面上构造的保护屏障。使Internet与Intranet之间建立起一个安全网关 (SecurIty Gateway) , 从而保护内部网免受非法用户的侵入。

2.1.2 功能

1) 过滤掉不安全服务和非法用户

2) 控制对特殊站点的访问

3) 提供监视Internet安全和预警的方便端点

2.1.3 网络安全的屏障

防火墙 (作为阻塞点、控制点) 可极大地提高一个内部网络的安全性, 并通过过滤不安全的服务而降低风险。只允许需要应用协议通过防火墙, 防火墙可以保护网络免受基于各种的击。

2.1.4 强化网络安全策略

通过以防火墙为中心的安全方案配置, 能将所有安全软件 (如口令、加密、身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比, 防火墙的集中安全管理更经济。

2.1.5 对网络存取和访问进行监控审计

如果所有的访问都经过防火墙, 防火墙将会记录下这些访问并作出日志记录, 同时也能提供网络使用情况的统计数据。当发生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监测和攻击的详细信息。

2.1.6 防止内部信息的外泄

通过利用防火墙对内部网络的划分, 可实现内部网重点网段的隔离, 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

2.1.7 优点

1) 防火墙能强化安全策略。

2) 防火墙能有效地记录Internet上的活动。

3) 防火墙限制暴露用户点。

4) 防火墙是一个安全策略的检查站。

2.2 数据分流实现机制

目前实现数据分流的主要方式为采用静态路由。

2.2.1 静态路由概念

静态路由是指由手动配置的路由信息。当网络的拓扑结构或链路的状态发生变化时, 需要手动去修改路由表中相关的静态路由信息。

2.2.2 静态路由优点

静态路由的一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表, 而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此, 网络出于安全方面的考虑也可以采用静态路由。

2.2.3 静态路由缺点

大型和复杂的网络环境通常不宜采用静态路由。一方面, 网络管理员难以全面地了解整个网络的拓扑结构;另一方面, 当网络的拓扑结构和链路状态发生变化时, 路由器中的静态路由信息需要大范围地调整, 工作的难度和复杂程度非常高。

2.2.4 静态路由配置说明

Ip route X.X.X.X (目的IP地址或者IP段) 255.255.255.0 (目的地址子网掩码) Y.Y.Y.Y (本地下一跳网关地址) ZZ (度量值)

静态路由解释:将要访问目的IP地址为X.X.X.X数据流向指定经流Y.Y.Y.Y地址到达。

度量值说明:度量值代表距离。用来寻找最优路由。

2.2.5 默认路由

默认路由是一种特殊的静态路由, 指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择.如果没有默认路由, 那么目的地址在路由表中没有匹配表项的包将被丢弃。

默认路由和静态路由的命令格式一样。把目的地Ip和子网掩码均改成0.0.0.0。

以中国电信为例, 静态路由配置:

Ip route 0.0.0.0 0.0.0.0 X.X.X.X (电信下一跳网关地址) 20

Ip route A.A.A.A (广电IP地址段1) 子网掩码C.C.C.C (广电下一跳网关地址) 10 (度量值<默认路由度量值)

.Ip route Z.Z.Z.Z (广电地址段N) 子网掩码C.C.C.C (广电下一跳网关地址) 10

本校区多链路实现网络拓扑:

参考文献

[1]毕烨.防火墙技术及应用教程[M].北京:清华大学出版社, 2010.

[2]孙秀英, 朱祥贤.路由交换技术实训教程[M].西安:西安电子科技大学出版社, 2009

[3]沈海娟.路由与交换[M].杭州:浙江大学出版社, 2012.

[4]张保通.路由、交换与远程访问实训教程[M].北京:中国水利水电出版社, 2010.

Internet接入 篇4

1、嵌入式Internet的接入方案

嵌入式Internet的接入方法主要可以分成两大类, 其一是使嵌入式系统完全具备网络功能, 直接与因特网相连。其二是使嵌入式系统通过网关间接与因特网相连, 网关充当嵌入式系统与因特网的桥梁, 网关通常是PC机或者高性能嵌入式网络服务器 (高性能嵌入式网络服务器本身也是一种采用了嵌入式因特网技术的嵌入式设备) [2]。根据具体实现的思路和方案不同, 我们又可以进一步地细分为以下几种:

1.1 代理协议方案

这种方案的核心思想就是使用代理服务器的概念, 具体见图1。不难看出, 这里面代理服务器主要是充当着网关的角色由代理服务器负责发送、接受IP包, 处理各种复杂的协议, 管理嵌入式设备与因特网的通信。这方面比较典型的例子就是em Ware公司开发的嵌入式微Internet网络技术即EMIT技术。这种方法使用方便, 开发难度小.但是成本相对较高, 不适合大规模推广使用。

1.2 直接使用嵌入式实时操作系统

这种方案可简单描述为:微处理器/微控制器+实时操作系统, 采用这种方案对处理器性能要求比较高, 一般要求处理器具备较强的处理和计算能力, 最低要求16位处理器, 最佳的是32位甚至64位高档处理器。实时操作系统国内较流行的是Vxworks, p SOS, Nucleus等, 这些操作系统都有完整TCP/IP协议。

1.3 Internet控制器+固化的协议栈

这部方案与前一种相比, 就是省去了操作系统。这个方案是由MCU及固化了TCP/IP协议的芯片组成应用系统的核心。应用系统可以直接拨号上网, 硬件电路相对简单。但需要大容量的存储器, 如果所用的TCP/IP协议芯片是软件固化的, 还要求MCU有较高的运行速度。对于8/16位低端嵌入式系统而言, 考虑到性能瓶劲, 要支持TCP/IP协议恐怕有点困难, 因此根据实际要求尽量简化, 即提供最低要求的TCP/IP堆栈和最精简的TCP/IP协议。这种方案省去操作系统, 节约成本和系统资源, 缺点就是增加了开发难度, 比较适合小型廉价的信息终端。

以上的3种是当前比较常用的接入方式, 它们彼此各有优劣, 而适合的场所、应用范围也均有不同。用户可以利用自己的需求或现有的条件, 选择合适的接入方式。

2、嵌入式Internet的安全性

嵌入式Internet连接的是嵌入式设备与因特网, 因此设备连接到网络时, 需要注意网络安全, 如果没有有效的安全机制, 接入网络的重要工业设备就可能被恶意攻击者攻击或控制造成不必要的麻烦, 因此在选择接入的时候, 必须得考虑嵌入式interne可能存在的安全性问题。嵌入式Internet刚兴起不久, 还没有得到大规模的应用, 人们对它的安全重视程度还不高。国内学界对其做专门研究性的工作还不多。所以我们有必要对嵌入式Internet的安全性问题如嵌入式Internet安全性特点、安全机制等以及相关的防范措施做一介绍。

2.1 嵌入式Internet安全的特点

根据嵌入式系统以及嵌入式Internet的技术特点, 嵌入式系统与一般的PC接入Internet所面临的安全问题有不同的特点, 主要有以下方面:

1) 嵌入式Internet入网方式差别较大, 网络结构非常灵活, 因此嵌入式Internet的安全解决方案中应尽量避免要求有可信的第三方的网络结构。嵌入式Internet设备由于其硬件的差异非常大, 在选择安全协议时必须考虑到协议的可移植性给开发带来的难度。

2) 嵌入式设备一般都是针对某一要求而开发的, 所受到的攻击比较单一;各种嵌入式设备的网络功能、组成差别很大, 特定的攻击对某种设备有效, 但对另一种设备就可能无效。

3) 嵌入式Internet嵌入式设备存储器处理数据能力较差且容量比较有限, PC机上的某些安全软件在嵌入式系统上并不适合运行。

2.2 嵌入式Internet的安全需求分析[3]

嵌入式Internet在网络上所面临的安全威胁和普通计算机系统所面临的安全问题大体相同, 主要由:数据窃取、数据篡改、假冒攻击、重播攻击、拒绝服务攻击、病毒攻击。为了进一步形象地描述嵌入式Internet的安全需求以及可能存在的攻击区域, 我们先画出嵌入式Internet的整个安全体系结构, 再进行逐一分析:

几个主要的组成变量定义:

EID:Embedded Internet Device简称, 指采用嵌入式Interne技术而具有Internet接入功能的设备

M:Mallory的简称, 是指恶意的主动攻击者

CC:Control Computer的简称, 指的是对EID进行合法管理的远程控制主机

图中, VLAN (虚拟局域网) 和VPN (虚拟专网) 通道可以由网络运营商ISP来负责建立, 增加攻击者M的入侵难度。攻击者M可以出现在广域网上, 也可以出现在局域网中, 其出现的位置距EID和CC越近, EID和CC就越容易受到攻击, 通常ISP提供的安全服务只能防范来自广域网上的攻击行为, 因此EID和CC必须还要建立他们之间专有的安全机制。

M可以对EID和CC发动多种攻击, 最基本的就是数据攻击和身份攻击。其中数据攻击包括偷窥、篡改、毁坏等, 身份攻击包括假冒、欺骗等, EID和CC必须采取一定的措施来抵抗M的这些攻击。归纳起来有:

1) 数据加密, 用来抵抗对数据的偷窥、篡改等攻击。

2) 数据完整性认证, 用来抵抗数据毁坏攻击, 简单一点可以采用校验和的方式, 复杂一点可以采用杂凑函数等。需要考虑的是, 数据完整性认证无法抵抗重播攻击, 攻击者记录的历史数据很容易通过数据完整性验证。

3) 身份认证, 身份认证可以采用多种方式, 如采用共享秘密、证书、公钥体制等等都可以。

4) 抵抗重播攻击可以采用时间戳、握手协议、一次一密等多种方法。在嵌入式Internet中, 对于EID和CC而言, 实现以上四种安全措施是最基本的。

一般情况下CC的资源远大于EID的资源, 因此在实现密码协议或密码算法时应通过合理的安排尽量减少EID的工作负担。

2.3 嵌入式Internet的安全机制及措施

根据OSI安全体系结构以及对嵌入式Internet特点分析, 一个有效的嵌入式安全通信机制必须提供以下安全服务:数据保密性、数据完整性、认证服务、访问控制服务和抗抵赖服务。实现这些安全服务需求, 可以采用的安全机制为:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制和公证机制。根据嵌入式Internet系统的安全特点, 这里提出的安全机制的制定主要从下面两个方面来考虑[4]:实现安全机制的网络层次, 基于密码学理论的安全机制嵌入式Internet的安全措施, 也可以从这两方面进行分析论述, 对于前者可以基于网络分层结构来规划整个系统安全的层次。具体如链路层的安全可以用划分VLAN (虚拟局域网) 、链路加密通讯等手段;网络层可以用网络层加密 (如流行的IPsec协议) 保证安全性, 传输层能够实现安全传输通道的协议是Netscape制定的安全套接层协议 (SSL) ;应用层使用身份认证、数据加密、数字签名等安全方案, 而后者可以采用密码协议和算法来保证系统的安全, 通过建立安全通讯模型保证嵌入式Internet的网络通讯安全。为保证嵌入式Internet的安全性, 我们还可以采取几种常用的安全防范措施。

1) 防火墙技术

防火墙是内部网与外网之间实施安全防范的系统, 可以认为是一种访问控制机制, 用于确定哪些内部服务允许外部访问, 以及允许哪些外部服务访问内部[5]。它是不同网络或网络安全域之间信息的唯一出入口, 能根据安全政策控制 (允许、拒绝、监测) 出入网络的信息流, 且本身具有较强的抗攻击能力。它是提供信息安全服务, 实现网络和信息安全的基础设施。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术, 越来越多地应用于专用网络与公用网络的互联环境之中。

2) 虚拟专用网技术

虚拟专用网 (VPN, Virtual Private Network) , 通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。它的建立和连接能够保护网络数据安全, 确保数据不被监视, 而且大大地减少了攻击者的入侵概率。VPN使用IP安全协议 (IPSec) 进行加密和认证, 在一个基于IPSec实现的VPN中, 一个远端用户能够无缝的、透明的和高安全性的访问远端设备上的任何服务和文件。对于小型嵌入式系统而言, 开发实现VPN所需的程序代码比较复杂而且不必要。一般系统可以连接到支持VPN的防火墙设备以实现在VPN上的通信。

3) 数据备份和恢复

每天实现定时地将工业数据和过程记录。当系统遭受破坏导致数据丢失的时候, 可以尽快得到恢复。这对嵌入式系统提出比较高的存储要求, 如果系统资源有限的话, 为确保安全也可通过网络进行异地备份。

3、结语

嵌入式Internet技术在智能公路、信息家电、移动设备、工业自动化等领域具有广泛的应用。在不同的应用领域, 考虑具体的功能需求, 结合现场条件、成本等因素, 选择适合的嵌入式Internet的接入方法。对于它的安全性方面, 各种嵌入式Internet设备的组成和功能千差万别, 其接入网络所采用的技术和方案也各不相同, 对安全问题也很难给出一个统一的解决方案。所以对其安全性的分析与解决应当本着具体问题具体分析的原则, 能够体现出较高的灵活性和适应性。

摘要：嵌入式Internet是最近几年发展出来的一项新概念新技术。随着电子技术和因特网的发展, 嵌入式Internet以及它的应用在未来将会是计算机工业令人瞩目的焦点。本文介绍了嵌入式Internet几种常用的接入方案, 分析了这几种方案的优点和缺点, 然后指出嵌入式Internet存在着的安全隐患问题, 并提出相应的解决措施。

关键词：嵌入式系统,嵌入式Internet,安全隐患

参考文献

[1].李光辉, 朱飞.嵌入式Internet技术[J].电工技术杂志, 2002, (7) :p12-p14.

[2].付小晶, 贺建飚.嵌入式因特网技术及其发展[J].电子科技, 2004, (8) :p59-p61.

[3].王勇.嵌入式Internet的技术实现及其安全问题的研究[D]浙江:浙江大学.2002年.

[4].王芬, 赵梗明.嵌入式网络接入的安全通信机制研究[J].单片机与嵌入式系统应用, 2005, (9) :p7-p8.