vns演算法
『壹』 工科開題報告範文(2)
可行性分析
近年來,網路管理技術的不斷豐富和發展,為本課題的研究奠定了堅實的理論背景和相關技術支持。比如,web service理論在網路管理中的應用,使網路管理中的一些功能的開發實現變得簡單易行。同時XML在網路管理中也有很多應用,其中XML schema作為網路介面的大數據量的傳輸載體,就可以應用到本項目中來存儲網路配置信息。
總的來說,在此基礎上,根據上述實驗方案進行設計研究,思路是清晰的,研究方法是可行的。
四、本研究課題可能的創新之處(不少於500字)
本課題研究主要是為了解決在虛擬化網路管理中網路拓撲的構建問題、網路配置信息的生成問題,以及對虛擬網路可能出現故障及其引起的告警信息效果的模擬。本課題為實現此目標,在策略思想和關鍵技術上的創新點主要有以下幾點。
1、首先,對於網路拓撲結構的生成,這里要研究的是根據網路的一組簡單信息,模擬生成出一個網路可能的拓撲結構,這是非常有創新意義的。這里需要提出一個能夠根據這些簡單信息生成網路拓撲結構的演算法,這一演算法與現有的網路拓撲生成演算法是有很大不同的。
2、在網路配置信息的生成過程中,是根據基本的信息模型,自動生成一組符合信息模型的網路配置信息數據,並且這些數據的關鍵欄位都具有關聯關繫上的真實性和有效性。這里自動生成一組網路配置信息,破除了網路配置信息生成的局限性,降低了生成的復雜性,是虛擬網路配置信息的生成變得簡單,充實而且准確。
3、故障信息的模擬中,可以根據故障,設定了一套衍生規則邏輯,來影響網路的運行效果。這一套邏輯,需要將模擬故障轉化成負面的效果,體現在網路中。這需要建立新的模擬模擬的邏輯,提出合理有效的參數比較判斷方法。
4、使用面向介面的方法編程模擬,更具靈活性。
綜上所述,本課題的研究內容在思想和關鍵技術上主要有這四點創新之處。
五、研究基礎與工作條件(1.與本項目相關的研究工作積累基礎 2.包括已具備的實驗條件,尚缺少的實驗條件和擬解決途徑)(不少於500字)
1、研究工作積累基礎
本人所在實驗室研究組的主要研究內容為web service介面技術在網路管理中的應用,在學習過程中,我在充分了解、學習了WSDL介面的定義,XML scheme信息模型的定義,有充分的理論知識儲備。
另外,本人在研究組的網路管理原型系統構建的項目中,承擔過一些涉及網路拓撲構建,網路配置信息呈現,以及網路故障告警信息的模擬檢測和呈現工作。具備進行課題研究模擬的實踐經驗。
對如何進行原型系統開發進行了深入的學習,學習了開發時所需要用到的編程語言,比如java、JSP、XML等語言,為將來的課題模擬的開發工作打下了一定的基礎。
所以,對於本課題的提出研究內容和方向,本人具備研究和建立原型系統進行模擬驗證的能力。
2、已具備的實驗條件及缺少的實驗條件和擬解決途徑
本課題研究,需要查找網路拓撲生成和故障模擬的相關資料和論文,學校的圖書館和網路資料資料庫為此提供強大的支持。另外,對於課題需要模擬的工作,本人可以利用所在實驗室研究組的伺服器資源,進行實驗環境的模擬構建和模擬原型系統的開發,本人所在研究組具備相關研究所用的模擬硬體環境。同時,實驗室研究組的老師和同學們,也可以為本課題研究的內容做一些支持和幫助。
但是由於之前缺乏一些對網路拓撲生成演算法相關圖論知識的深入學習,需要進一步的了解和學習。本人有決心和能力做好這方面的學習和研究。
工科開題報告範文篇3:
基於模擬理論及虛擬化技術的虛擬覆蓋網路模型研究
一、立題依據(包括研究目的、意義、國內外研究現狀和發展趨勢,需結合科學研究發展趨勢來論述科學意義;或結合國民經濟和社會發展中迫切需要解決的關鍵科技問題來論述其應用前景。附主要參考文獻目錄)(不少於800字)
研究目的
現有 Internet 網路功能強大,服務類型多樣,但是隨著網路規模指數型的增大,以及應用需求的多樣化,我們也逐漸開始意識到Internet 正逐漸步入僵化。本文正是在這樣的背景下提出了一個基於模擬理論及虛擬化技術的虛擬覆蓋網路模型。
研究意義
對虛擬化覆蓋網路的研究意義主要在於 Internet 的僵化已經不能適應網路指數級的增長以及用戶的多樣化服務需求。與此相反,虛擬化覆蓋網路卻能建立起一個更獨立、更安全、更靈活、並能支持地理位置與用戶身份分離的網路體系模型。這樣,網路能夠為用戶提供更多的私有網路服務,包括應用層和應用層以下的各種服務。
國內外研究現狀和發展趨勢
在網路規模日益膨脹的今天,Internet架構已經開始出現僵化,當網路規模增大時,對硬體資源的消耗越來越厲害,而且當用戶的需求變得多樣化時比如,用戶可能需要提供自己的私有服務,或者用戶想建立自己的測試環境等,Internet 已不能很好地滿足用戶的需求。
本文提出的基於模擬理論及虛擬化技術的虛擬覆蓋網路模型仍處於研究階段,只是一個研究的模型。雖然對該網路進行了初步的模擬及性能參數評估,並探討了該網路模型的實際應用,但要將其真正應用實際生活和科研中,或讓其能應用於更多的系統,支持更多的網路新技術,還需要在多方面對虛擬覆蓋網路模型進行完善。
二、研究內容和目標(說明課題的具體研究內容,研究目標和效果,以及擬解決的關鍵科學問題。此部分為重點闡述內容)(不少於2500字)
論文擬研究的方向,主要是為了解決Internet架構逐漸僵化問題、滿足用戶更多的需求。以模擬理論與虛擬技術為基礎,對上述問題進行研究和編程測試,以期構建虛擬覆蓋網路模型,以用於信息安全公共服務平台建設。
研究內容
本文首先對現有 Internet 體系結構進行了深入研究,既看到了 Internet 存在的意義,同時也看到了它的局限性,在網路規模日益膨脹的今天,Internet架構已經開始出現僵化,當網路規模增大時,對硬體資源的消耗越來越厲害,而且當用戶的需求變得多樣化時比如,用戶可能需要提供自己的私有服務,或者用戶想建立自己的測試環境等,Internet 已不能很好地滿足用戶的需求。
其次,本文對模擬理論進行了研究,並討論了現有的一些主流網路模擬工具。
這對本文所提出的網路模型的模擬提供了有力的理論基礎和實踐手段,也是驗證該網路模型可行性的必要前提。
由於虛擬化技術是本文的核心技術,因此,在第三章中還對網路虛擬化技術進行了詳細討論。對該技術的研究,有助於充分利用各種虛擬化技術的優勢,建立一個合理的虛擬化網路模型。
在以上的這些研究的基礎上,本文在第四章中提出了一個基於模擬理論及虛擬化技術的虛擬覆蓋網路模型並給出了詳細設計方案。該網路模型旨在使用戶能夠盡可能多地擁有對自己私有網路的控制權,使他們成為自己的“服務提供商”.
該網路模型能夠為用戶建立起一個具有更高獨立性、安全性、靈活性,並具有物理位置與用戶身份分離特性的網路,這使得用戶能夠在自己的私有網路中提供或享用更多種多樣的個人網路服務,這些服務不但包括應用層各項服務,還包含了應用層以下的各種服務。該模型的核心主要是基於虛擬化技術建立起來的,其中用到的虛擬化技術包括虛擬路由器技術、虛擬網卡技術、虛擬拓撲技術等等。虛擬設備技術是一種對硬體設備功能的軟體模擬技術,而虛擬拓撲技術是指現實網路拓撲在虛擬網路環境中的虛擬映射技術,它能夠提供給用戶控制自己網路拓撲的介面。
在第五章中本文還討論了該網路模型的實際應用。它的應用范圍十分廣泛,既可以用於個人用途,也可以用於組織機構建設網路的情況,還可以用於給網路研究人員對前沿的 網路技術 進行方便而靈活的實驗和模擬。特別地,本文在對現有信息安全公共服務平台體系結構進行研究的基礎上,給出了該網路模型在該平台中的應用,提出了新一代信息安全公共服務平台體系框架,為進一步發揮信息安全公共服務平台的優越性奠定了基礎。
最後,本文採用 ns2 模擬技術對該網路模型進行了模擬,得出了對該網路性能參數的評估。同時還結合利用了 Planetlab 測試床,對該網路模型的系統參數也進行了評估,驗證了該網路模型的可行性。
研究目標和效果
本課題的研究目標對應研究內容分為四部分:
首先,討論了網路模擬技術,包括其研究背景和現有的一些主流網路模擬技術。
然後,著重介紹了虛擬化技術,並對網路虛擬化技術的實際應用進行了深入闡述。
接著,提出了虛擬覆蓋網路模型體系結構,詳細描述了其中的關鍵技術、網路模型的建立與實現機制,並給出了具體的網路通信實例。
另外,對該網路模型進行了模擬,並對相關指標進行了性能測試。結合現有的信息安全公共服務平台,提出了新一代信息安全公共服務平台體系結構。
擬解決問題
Internet 的優勢是明顯的,就是它能夠為用戶提供大量的服務,但是我們也不得不承認, Internet 的體系結構正使得它變得開始僵化。
首先,隨著網路規模不斷地增大,對硬體資源的消耗也逐漸開始呈指數級遞增,於是即使是對 Internet 架構的很小改動,都會使得部署相當困難。例如,IPv6 雖然已經進入人們的視野很久了,但是由於技術上的原因,IPv6 遲遲不能推廣使用。因此,Internet 不利於新型網路架構的研究及部署,它不但對需要大量的硬體資源消耗,而且部署周期相當長。
另外,用戶的需求已不僅限於現有的 Internet 服務,他們的服務需求已變得越來越多樣化。例如,Internet 的盡力包傳送服務並不能滿足商業中的關鍵服務或一些實時應用程序的需求。因此,Internet 已遠遠不能滿足用戶多樣化的個人網路服務需求。
此外,Internet 的服務由 ISP 服務提供商進行管理和維護,這將使得有時對它的使用變得很不靈活。用戶往往希望能夠根據自己的需求建立起自己的網路拓撲,提供自己的私有網路服務等等。因此,Internet 不能向用戶提供開放式的管理和競爭平台 .促使我們去尋求更好的網路架構解決方案,而虛擬覆蓋網路模型能夠很好的解決這些問題。
三、研究方案設計及可行性分析(包括:研究方法,技術路線,理論分析、計算、實驗方法和步驟及其可行性等)(不少於800字)。
研究方案設計
1.研究方法
針對本課題的研究內容和特性,達到研究目標和完成畢業論文,採用如下的研究方法:
(1)理論知識准備:採用文獻調查法,利用學校圖書館、網上相關學術資料庫等資源,來進一步了解具體的模擬理論和虛擬化技術主要內容;(2)改進技術和主要研究點確定:以生成虛擬覆蓋網路模型為主要研究點,輔以該模型的模擬模擬研究;(3)技術調研:對課題中涉及的虛擬化技術相關基本原理,以及模擬理論進行學習,然後針對具體的技術方案進行技術調研,確定實現方式;(4)設計技術方案:在理論准備和技術調研的基礎上,確定基於模擬理論及虛擬化技術確定技術實現方案;(5)實現並測試:理論與實踐相結合,根據設計出的技術方案,對需要改進的關鍵部分進行模擬,驗證方案的可行性;(6)完成論文:整理文獻資料、代碼和數據等,完成論文。
2、技術路線
首先介紹幾種相關的虛擬技術,基於這些虛擬技術,將給出虛擬覆蓋網路模型的架構。然後將會進一步討論具體的設計和實現機制。另外,還給出了兩個實例用於說明一個用戶組內兩個用戶成員間的通信過程。
可行性分析
近年來,網路虛擬化技術的不斷豐富和發展,為本課題的研究奠定了堅實的理論背景和相關技術支持。比如,虛擬設備技術的應用,這包括虛擬路由器技術(或虛擬交換機技術)和虛擬網卡技術。同時虛擬拓撲技術應用,實現了從現實世界向虛擬世界的映射。
總的來說,在此基礎上,根據上述實驗方案進行設計研究,思路是清晰的,研究方法是可行的。
四、本研究課題可能的創新之處(不少於500字)
本課題研究主要是為了解決在虛擬化技術下虛擬覆蓋網路模型的構建問題,以及對虛擬覆蓋網路模型的模擬模擬。本課題為實現此目標,在策略思想和關鍵技術上的創新點主要有以下幾點。
(1)在深入分析現有Internet架構、和主流虛擬化技術的基礎上,提出了具有更高獨立性、安全性、靈活性,並具有物理位置與用戶身份分離特性的虛擬覆蓋網路模型,並給出了模型的框架和設計細節。該模型具有很廣泛的應用前景。
(2)對現有信息安全公共服務平台體系結構的關鍵技術及其發展趨勢和需求進行了深入分析,結合了本文中提出的虛擬覆蓋網路模型,提出了新一代信息安全公共服務平台框架。
綜上所述,本課題的研究內容在思想和關鍵技術上主要有這兩點創新之處。
五、研究基礎與工作條件(1.與本項目相關的研究工作積累基礎 2.包括已具備的實驗條件,尚缺少的實驗條件和擬解決途徑)(不少於500字)
1、研究工作積累基礎
本人所在實驗室研究組的主要研究內容為網路虛擬技術的應用開發,在學習過程中,我在充分了解、學習了虛擬化技術的定義,模擬理論的定義,有充分的理論知識儲備。
另外,本人在研究組的網路原型系統構建的項目中,承擔過一些涉及網路拓撲構建,網路配置信息呈現,以及網路信息的模擬檢測和呈現工作。具備進行課題研究模擬的實踐經驗。
對如何進行原型系統開發進行了深入的學習,學習了開發時所需要用到的編程語言,比如java、JSP、XML等語言,為將來的課題模擬的開發工作打下了一定的基礎。
所以,對於本課題的提出研究內容和方向,本人具備研究和建立原型系統進行模擬驗證的能力。
2、已具備的實驗條件及缺少的實驗條件和擬解決途徑
本課題研究,需要查找網路虛擬化技術和模擬的相關資料和論文,學校的圖書館和網路資料資料庫為此提供強大的支持。另外,對於課題需要模擬的工作,本人可以利用所在實驗室研究組的伺服器資源,進行實驗環境的模擬構建和模擬原型系統的開發,本人所在研究組具備相關研究所用的模擬硬體環境。同時,實驗室研究組的老師和同學們,也可以為本課題研究的內容做一些支持和幫助。
但是由於之前缺乏一些對網路拓撲生成演算法相關圖論知識的深入學習,需要進一步的了解和學習。本人有決心和能力做好這方面的學習和研究。
主要參考文獻
[1]喻健坤,楊樹堂,陸松年,李鐸峰,支持多用戶並發訪問控制的虛擬網路模型研究,信息技術,2007年第8期,1~2頁。
[2] IEEE Std 802.1Q-1998, Draft Standard for Virtual Bridge Local Area Networks,May 16, 1997.
[3] IEEE Std 802.1Q?, 2003 Edition IEEE Standards for Local and metropolitanarea networks Virtual Bridged Local Area Networks, May 7, 2003.
[4] Dr. V. Rajaravivarma, North Carolina A&T State University, Virtual Local AreaNetwork Technology and Applications, System Theory, 1997., Proceedings of theTwenty-Ninth Southeastern Symposium on 9-11 March 1997 Page(s):49 - 52.
[5] P. Ferguson, G. Huston, What is a ?, Technical Report, Cisco Systems, March1998.
[6] Stanford High-Performance Networking Group,Stanford Virtual NetworkSystem(VNS)。
[7] Martin Casado, Nick Mc Keown. The Virtual Network System, ACM SIGCSEBulletin, 2005, Volume 37, Pages 76 - 80.
[8]王濤,用Net Sim組建虛擬網路實驗室,長沙通信職業技術學院學報,2005年4卷3期,46-48頁。
[9] Galan F., Fernandez D., Ruiz J., Walid O., Use of virtualization tools in computernetwork laboratories, Information Technology Based Higher Ecation andTraining, 2004. ITHET 2004. Proceedings of the FIfth International Conferenceon 31 May-2 June 2004, Page(s):209 - 214.
[10] L. Peterson, T. Roscoe, The design principles of Planetlab, ACM OperatingSystems Review, 40(1), Jan. 2006.
『貳』 關於網路廣告的畢業論文
1 緒論
隨著互聯網的飛速發展,網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網路安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的,通常也是狡猾的、專業的,並且在時間和金錢上是很充足、富有的人。同時,必須清楚地認識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說,收效甚微。
網路安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網路安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。
2 方案目標
本方案主要從網路層次考慮,將網路系統設計成一個支持各級別用戶或用戶群的安全網路,該網在保證系統內部網路安全的同時,還實現與Internet或國內其它網路的安全互連。本方案在保證網路安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業客戶的計算機系統的安全保障,資料庫不被非法訪問和破壞,系統不被病毒侵犯,同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是,安全技術並不能杜絕所有的對網路的侵擾和破壞,它的作用僅在於最大限度地防範,以及在受到侵擾的破壞後將損失盡旦降低。具體地說,網路安全技術主要作用有以下幾點:
1.採用多層防衛手段,將受到侵擾和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失;
4.提供查獲侵入者的手段。
網路安全技術是實現安全管理的基礎,近年來,網路安全技術得到了迅猛發展,已經產生了十分豐富的理論和實際內容。
3 安全需求
通過對網路系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網路系統的機密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權實體有權訪問數據
機密性: 信息不暴露給未授權實體或進程
完整性: 保證數據不被未授權修改
可控性: 控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火牆將內部網路與外部不可信任的網路隔離,對與外部網路交換數據的內部網路及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網路,由於不同的應用業務以及不同的安全級別,也需要使用防火牆將不同的LAN或網段進行隔離,並實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網路攻擊行為、追查網路泄密行為的重要措施之一。具體包括兩方面的內容,一是採用網路監控與入侵防範系統,識別網路各種違規操作與攻擊行為,即時響應(如報警)並進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏
4 風險分析
網路安全是網路正常運行的前提。網路安全不單是單點的安全,而是整個信息網的安全,需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網路的中斷。根據國內網路系統的網路結構和應用情況,應當從網路安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網路安全技術需要提供的一個重要功能。它要連續不斷地對網路中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。
5 解決方案
5.1 設計原則
針對網路系統實際情況,解決網路的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循如下思想:
1.大幅度地提高系統的安全性和保密性;
2.保持網路原有的性能特點,即對網路的協議和傳輸具有很好的透明性;
3.易於操作、維護,並便於自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網路拓撲結構,同時便於系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全與密碼產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分步實施原則:分級管理 分步實施。
5.2 安全策略
針對上述分析,我們採取以下安全策略:
1.採用漏洞掃描技術,對重要網路設備進行風險評估,保證信息系統盡量在最優的狀況下運行。
2.採用各種安全技術,構築防禦系統,主要有:
(1) 防火牆技術:在網路的對外介面,採用防火牆技術,在網路層進行訪問控制。
(2) NAT技術:隱藏內部網路信息。
(3) VPN:虛擬專用網(VPN)是企業網在網際網路等公共網路上的延伸,通過一個私有的通道在公共網路上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務夥伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網路的存在,彷彿所有的機器都處於一個網路之中。公共網路似乎只由本網路在獨占使用,而事實上並非如此。
(4)網路加密技術(Ipsec) :採用網路加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網路在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。
(5) 認證:提供基於身份的認證,並在各種認證機制中可選擇使用。
(6) 多層次多級別的企業級的防病毒系統:採用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。
(7)網路的實時監測:採用入侵檢測系統,對主機和網路進行監測和預警,進一步提高網路防禦外來攻擊的能力。
3.實時響應與恢復:制定和完善安全管理制度,提高對網路攻擊等實時響應與恢復能力。
4.建立分層管理和各級安全管理中心。
5.3 防禦系統
我們採用防火牆技術、NAT技術、VPN技術、網路加密技術(Ipsec)、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術,構成網路安全的防禦系統。
5.3.1 物理安全
物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
為保證信息網路系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。
為保證網路的正常運行,在物理安全方面應採取如下措施:
1.產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。
2.運行安全方面:網路中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。
3.防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品,如輻射干擾機。
4.保安方面:主要是防盜、防火等,還包括網路系統所有網路設備、計算機、安全設備的安全防護。
5.3.2 防火牆技術
防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網路的許可權,並迫使所有的連接都經過這樣的檢查,防止一個需要保護的網路遭外界因素的干擾和破壞。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網路和Internet之間地任何活動,保證了內部網路地安全;在物理實現上,防火牆是位於網路特殊位置地以組硬體設備――路由器、計算機或其他特製地硬體設備。防火牆可以是獨立地系統,也可以在一個進行網路互連地路由器上實現防火牆。用防火牆來實現網路安全必須考慮防火牆的網路拓撲結構:
(1)屏蔽路由器:又稱包過濾防火牆。
(2)雙穴主機:雙穴主機是包過濾網關的一種替代。
(3)主機過濾結構:這種結構實際上是包過濾和代理的結合。
(4)屏蔽子網結構:這種防火牆是雙穴主機和被屏蔽主機的變形。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換—NAT、代理型和監測型。
5.3.2.1 包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。 包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
5.3.2.2 網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
5.3.2.3 代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。 代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
5.3.2.4 監測型
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品,雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。 實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由於這種產品是基於應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄。正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。
相關性:畢業論文,免費畢業論文,大學畢業論文,畢業論文模板
5.3.3 VPN技術
VPN的安全保證主要是通過防火牆技術、路由器配以隧道技術、加密協議和安全密鑰來實現,可以保證企業員工安全地訪問公司網路。
VPN有三種解決方案:
(1)如果企業的內部人員移動或有遠程辦公需要,或者商家要提供B2C的安全訪問服務,就可以考慮使用遠程訪問虛擬網(Access VPN)。
AccessVPN通過一個擁有專用網路相同策略的共享基礎設施,提供對企業內部網或外部網的遠程訪問。AccessVPN能使用戶隨時、隨地以所需的方式訪問企業資源。最適用於公司內部經常有流動人員遠程辦公的情況。出差員工利用當地ISP提供的VPN服務,就可以和公司的VPN網關建立私有的隧道連接。
(2)如果要進行企業內部各分支機構的互連,使用企業內部虛擬網(Intranet VPN)是很好的方式。越來越多的企業需要在全國乃至全世界范圍內建立各種辦事機構、分公司、研究所等,各個分公司之間傳統的網路連接方式一般是租用專線。顯然,在分公司增多、業務范圍越來越廣時,網路結構也趨於復雜,所以花的費用也越來越大。利用VPN特性可以在Internet上組建世界范圍內的Intranet VPN。利用Internet的線路保證網路的互聯性,利用隧道、加密等VPN特性可以保證信息在整個Internet VPN上安全傳輸。
(3)如果提供B2B之間的安全訪問服務,則可以考慮Extranet VPN。
利用VPN技術可以組建安全的Exrranet。既可以向客戶、合作夥伴提供有效的信息服務,又可以保證自身的內部網路安全。Extranet VPN通過一個使用專用連接的共享基礎設施,將客戶,供應商、合作夥伴或興趣群體連接到企業內部網。企業擁有專用網路的相同政策,包括安全、服務質量(QoS)、可管理性和可靠性。
5.3.4 網路加密技術(Ipsec)
IP層是TCP/IP網路中最關鍵的一層,IP作為網路層協議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎,是網路安全的核心。IPSec提供的安全功能或服務主要包括:
1.訪問控制
2.無連接完整性
3.數據起源認證
4.抗重放攻擊
5.機密性
6.有限的數據流機密性
信息交換加密技術分為兩類:即對稱加密和非對稱加密。
5.3.4.1 對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那麼他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的。如三重DES是DES(數據加密標准)的一種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
5.3.4.2 非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
5.3.4.3 RSA演算法
RSA演算法是Rivest、Shamir和Adleman於1977年提出的第一個完善的公鑰密碼體制,其安全性是基於分解大整數的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的演算法來分解兩大素數之積。RSA演算法的描述如下: 公開密鑰:n=pq(p、q分別為兩個互異的大素數,p、q必須保密) 與(p-1)(q-1)互素 私有密鑰:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中m為明文,c為密文。 解密:m=cd(mod n) 利用目前已經掌握的知識和理論,分解2048bit的大整數已經超過了64位計算機的運算能力,因此在目前和預見的將來,它是足夠安全的。
5.3.5 身份認證
在一個更為開放的環境中,支持通過網路與其他系統相連,就需要「調用每項服務時需要用戶證明身份,也需要這些伺服器向客戶證明他們自己的身份。」的策略來保護位於伺服器中的用戶信息和資源。
5.3.5.1 認證機構
CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網路用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要採取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標准,能夠很好地和其他廠家的CA產品兼容。
5.3.5.2 注冊機構
RA(Registration Authorty)是用戶和CA的介面,它所獲得的用戶標識的准確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網路化、安全的且易於操作的RA系統。
5.3.5.3策略管理
在PKI系統中,制定並實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求,並且能通過CA和RA技術融入到CA 和RA的系統實現中。同時,這些策略應該符合密碼學和系統安全的要求,科學地應用密碼學與網路安全的理論,並且具有良好的擴展性和互用性。
5.3.5.4密鑰備份和恢復
為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關繫到整個PKI系統強健性、安全性、可用性的重要因素。
5.3.5.5 證書管理與撤消系統
證書是用來證明證書持有者身份的電子介質,它是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的發布機制撤消證書或採用在線查詢機制,隨時查詢被撤消的證書。
5.3.6多層次多級別的防病毒系統
防病毒產品可以在每個入口點抵禦病毒和惡意小程序的入侵,保護網路中的PC機、伺服器和Internet網關。它有一個功能強大的管理工具,可以自動進行文件更新,使管理和服務作業合理化,並可用來從控制中心管理企業范圍的反病毒安全機制,優化系統性能、解決及預防問題、保護企業免受病毒的攻擊和危害。
防病毒系統設計原則
1.整個系統的實施過程應保持流暢和平穩,做到盡量不影響既有網路系統的正常工作。
2.安裝在原有應用系統上的防毒產品必須保證其穩定性,不影響其它應用的功能。在安裝過程中應盡量減少關閉和重啟整個系統。
3.防病毒系統的管理層次與結構應盡量符合機關自身的管理結構。
4.防病毒系統的升級和部署功能應做到完全自動化,整個系統應具有每日更新的能力。
5.應做到能夠對整個系統進行集中的管理和監控,並能?/cn>
『叄』 為什麼1十1=2
根據皮亞諾自然數公理:
1.
0屬於N。
2.
若x屬於N,則x有且只有一個後繼x'。
3.
對任一個x屬於N,皆有x'不等於0。
4.
對任意x,y屬於N,若x不等於y,則x'不等於y'。
5.
(歸納公理)設M包含於N,若0屬於M,且對任意x屬於M都有x'屬於M,則M=N。
根據以上公理:將0的後繼記為1,1的後繼記為2,即0'=1,1'=2。
根據加法的定義:存在唯一的一個二元運算+:NxN→N滿足:x+0=x且x+y'=(x+y)'。
將y=0代入x+y'=(x+y)'得:x+0'=(x+0)',
由x+0=x以及0'=1得:x+1=x'
將x=1代入上式得:1+1=1'
又由1'=2得,1+1=2。
因此,1+1=2。
定義
現代漢語字典對2的定義為1+1的結果
2是一種語言,表示的1與1相加後的狀態。它的實質就是1+1。數學誕生於形而下的現實世界,人們將一個物體定義為1,一個物體與同一個物體放在一起的狀態定義為2。比如一單位水與1單位水相加稱為2單位水。加法就是對研究對象中一致的性質的一種運算,比如說1個男人加1個女人之和應該是2個人,因為二者共同的特徵是人,單純對男女性別是無法使用加法運算的,因為這樣的加法根本沒有意義。這也就給我們一個信息:實際中的對象是多元的,是豐富的,而數學只是對這些對象某方面特徵的概括,在數學中,1個男人加1個女人之這種運算只是抽取了人作為一個整體的數量特徵,而忽略了其他信息,所以我們只能得出2個人的結論。總之一句話,加法是對對象共性的一種運算,所以1加1等於2,不具有共性的對象是不能用加法的。
(http://..com/link?url=YeH7VEeNLo8QGQwAe5fD_7__aXpUwdD4pRRlP2vBmCMYt9Fz1r2a)
『肆』 模擬監控如何向網路監控轉變
雖然在監控系統的構建中,需求仍然是我們的首要參考方向。但是,隨著網路監控功能上的日益完善,以及在發展前景上,網路與模擬距離也開始日益拉大,越來越多的模擬用戶已經開始急於向著網路監控的道路上靠攏。 其實,對於監控設備由模擬向網路的轉變並非不可實現,畢竟對於網路設備來說,它的應用前景,以及在未來技術成熟之後應用的便利性上,都是模擬監控所難以匹敵的。不過,由於巨大的工程開銷,以及要面臨一個長久的適應過程,因此,對於模擬轉網路這樣的工作需求來說,必然要做好更加細致的准備才能保證它在需求上的切實實現,同時又使我們的投入降到最低。 經濟的轉變模式:共存模式實現過渡 這兩年,視頻監控的發展速度似乎用迅速已經難以形容。而對於我們的選擇來說,需求儼然已經成為最重要的參考方向之一。在我們的大部分應用中,高清往往是需求網路監控的重要因素。在很多的重點場所,高清高解析度的監控攝像機都是相關地帶必不可少的東西。不過,由於並非所有的場所都需求高清。 因此,對於由模擬監控向網路設備過渡的需求來說,我們可以在攝像的前端,採用數字編碼器將畫面從模擬信號轉換為數字信號來傳輸並且存儲。而當模擬設備逐漸淘汰時,我們便可以藉助網路技防設備來實現對模擬設備的管控。或者,我們也可以通過VNS軟體與模擬控制終端結合的方式,來實現網路與模擬設備的共存。 當然,這兩種的控制特性也會有著明顯的不同,這些我們將在後面的內容中繼續介紹。 傳輸線纜簡化交融 除了終端以外,傳輸線纜也是我們所要關注的重要考驗之一。在模擬攝像機和網路攝像機的傳輸應用上,二者的傳輸介質的使用還是有著明顯的差別的,而在這種過渡工程的應用中,避免由於介質差異造成的信號困擾無疑是考驗工程搭配方式的重要因素。因此,在類似的系統構建中,我們往往使用光纖作為模網混合的通訊傳輸介質。這樣既可以避免設備在多種的介質中傳輸受到不同線路質量的影響,同時光纖也可以藉助其更高的傳輸環境帶來一個更加兼容的傳輸效果。 另外,在實現了網路化的演變以後,整個管理系統覆蓋下的網路壓力也會驟然增大,而相應的網路環境能否承擔起安防監控的應用需求,或者應用的壓縮標准能否將通訊碼流控制在可接受的范圍之內,都是我們需要考慮的方面。 存儲思路求轉變 長久以來,每每我們提起高清高清帶給我們的種種便利時,自然也會在很多時候提到高清監控對於存儲的巨大壓力。而這對於模擬向網路過渡的混合型系統時,自然這種矛盾也就顯得更加的突出。 不過,對於這樣的存儲問題,我們不妨採用前端存儲的模式,既能在一定程度上緩解後端設備的處理壓力,同時又能夠提升信息的安全系數。以免在設備遭遇斷電、或者與後端的聯系出現意外時,可以保全信息的安全。 除了信息的前後存儲以外,對於設備在故障時能否實現快速反饋,或者設備存儲的識別和兼容性,以及在更大存儲壓力下,我們的存儲容量時間等等,也都是系統加入新成分之後所不可忽視的方面。 系統融合涉及廣泛 在前面的文章中,我們提到了信號轉換與VMS控制應用上的不同。雖然二者在模網混合的實踐中,都有著相對不錯的工作狀態,但是它們的成本卻有著明顯的差異。 對於通過轉碼實現模網融合的設備來說,雖然這種工作的方式可能看起來會使這種轉變的過程更加平穩,不過在成本的投入上則會付出更多的資金。而對於後者來說,作為一種尚在嘗試的應用模式,它的系統構建卻要更簡單於前者。 如今,安防設施已經滲透到社會生活的方方面面,守護人們生活的同時,其科學性、易用性的需求日益提高。監控系統及時報警、視頻信息快速處理是監控設備使用者非常關心的問題,智能視頻分析功能應運而生。 智能視頻分析應用現狀 當前,智能視頻分析技術越來越受到安防界的重視,不少項目已經開始應用智能視頻分析功能。智能視頻分析主要涉及哪些領域?有哪些設備呢? 目前市場上存在的設備種類多樣,主要分為嵌入式視頻分析產品與純軟體視頻分析產品兩大類。嵌入式視頻分析產品的主要表現形式有智能攝像機、智能DVR等,其一般應用在監控系統的前端,分布式的處理方式具有佔用帶寬小,不受傳輸影響的優點,缺陷是往往只能針對特定的一路或者幾路進行分析,對視頻分析技術的演算法與前端設備性能有較大的依賴。這一類的產品主要應用在一些重點的行業,例如軍隊、金融、教育、小區等,企業在銷售模式上主要以產品形式為主導。純軟體視頻分析產品主要運行於普通PC或伺服器上,形成智能視頻分析伺服器,相比嵌入式,這種方式能處理更多路數的視頻和實現更為強大的功能,卻也不可避免的存在佔用帶寬大的缺點,對伺服器性能要求較高。這一類的產品應用相對廣泛,平安城市是其應用的重要體現,企業在銷售模式上主要以分析模塊與解決方案為主導。 當前智能視頻分析可以分為模式識別和行為分析技術。模式識別技術包含:人臉檢測、人臉比對、車牌識別、煙火識別檢測等;行為分析包含:越線、進入、離開、丟失、遺留物、人群聚集、滑倒等。智能分析最核心的是視頻演算法,目前演算法的體現形式包括了集成到硬體和純軟體方式提供,效果基本相同。設備類型主要包含嵌入式的智能分析和純軟體智能分析。睿捷RVS平台對兩類視頻分析系統都可進行支持。兩類智能分析優缺點如表1。 當前智能視頻分析技術主要包括:行為分析、視頻識別技術、生物識別領域的視頻分析應用、機器視覺方面應用。目前,這幾種技術都比較常用,尤其是行為分析和生物識別技術已經得到了廣泛的應用。 按照演算法層面的差異性,智能視頻分析相關技術可分為周界防範、行為識別、面部識別、車牌識別、技術統計、密度分析、畫質分析等等。相關設備主要以三種形態為主,第一種,也是最常用的嵌入式前端分析設備;第二種,PC式後端分析設備;第三種,以靈動處理器為核心開發的PC式前端分析設備。目前,最為穩定也是最常用的是第一種,即嵌入式前端分析設備,其特點是布點靈活、穩定,易於管理和維護。上海卓揚智能視頻分析相關案例主要包括教育行業、金融、監所、文博等,並以行業細分出很多具體的與智能相關的功能。除了周界以外還包括粘貼、尾隨、非正常人臉、劇烈動作、虛擬牆、偷盜檢測等。 智能視頻分析系統的組網與管理 目前有智能視頻分析功能的視頻監控系統的組網結構如何?當系統中有多個攝像機時,如何才能對眾多視頻信息進行科學的管理?如何能對前端攝像機回傳的視頻分析結果進行科學管理? 智能視頻分析本身適用於多級聯網的集中監控管理結構,也能夠適應模擬視頻或者數字視頻輸入,可以同視頻監控管理平台無縫對接,返回數據或者報警信息,使視頻監控系統得到更為有效的使用。在具體的組網結構方面,根據所採用的設備種類不同,組網結構可進行靈活調整。 目前智能分析架構分為模擬系統和網路系統。模擬系統是模擬設備的模擬信號連入智能分析編碼器,然後再把信號傳輸到後端。數字系統則通過NVR把視頻流推送給智能分析軟體,智能分析軟體再返回結果給NVR。面對海量的視頻,用戶關注的並不是視頻本身,而是從視頻中提取出來的有效信息。