前言:中文期刊網精心挑選了網絡協議規范范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
網絡協議規范范文1
中圖分類號:TP393.03 文獻標志碼:A 文章編號:1009-6868 (2013) 04-0063-04
1 近場通信背景及概述
在2013年2月閉幕的巴塞羅那世界移動通信大會上,近場通信(NFC)技術在全球移動通信協會的強力推介下登場,成為業界新熱點。各大廠商也加緊了對于支持NFC技術產品的研發生產。近場通信技術又稱近距離無線通信,鑒于各種移動互聯網應用的廣泛開展和未來發展的廣闊空間,它已是信息時代的又一新寵,也是各大廠商和服務商爭奪的下一塊領地。
1.1 NFC背景
NFC技術是于2004年4月由飛利浦公司發起,是一項由飛利浦、諾基亞、索尼等廠商聯合主推的近距離無線技術。多家公司和大學共成立了泛歐聯盟,旨在推動NFC開放式架構的開發和其在手機中的應用。NFC由射頻識別(RFID)及互聯互通技術整合演變而來,保持對RFID的兼容性。通過在單一芯片上結合感應式讀卡器、感應式卡片和點對點的功能,具備NFC功能的設備能在短距離內與兼容設備進行識別和數據交換。這項技術最初只是RFID技術和網絡技術的簡單合并,現在已經演變成一種短距離無線通信技術,近年來逐年受到關注。很明顯,近場通信利用的是無線電波的臨近電磁場,根據電磁理論,近磁場的信號傳播過程中強度會以大約1/d 6的速率下降(d 表示通信距離),如此大的衰減使近場通信成為名副其實的短程通信技術。相比之下,在無線電波的遠場中,信號強度以1/d 2的速率下降。
近場通信技術在ISO 18092、ECMA 340和ETSI TS 102 190框架下推動標準化,同時也兼容應用廣泛的ISO 14443 A/B以及Felica標準非接觸式智能卡的基礎架構。
作為一種近距離的高頻無線通信技術,近場通信的可用距離約為10 cm,可以實現電子身份識別或者數據傳輸,其應用范圍已由電子支付擴展至旅行、交通、購物等方面。NFC技術的短距離交互很大程度簡化了設備互聯過程中整個認證識別過程,使得電子設備間互相訪問更直接、簡答、安全并更清楚。
NFC技術結合了非接觸式感應以及無線連接的相關技術,并作用于13.56 MHz頻帶,同時支持106 kbit/s、212 kbit/s 或者424 kbit/s等傳輸速度,將來最高支持速率可提高至1 Mb/s左右,為設備間不同的應用場景提供了靈活的選擇能力。與其他短距離無線通信技術相比,NFC技術更安全,反應時間更短。并且,由于近場通信技術與現有非接觸智能卡技術相兼容,目前已經得到越來越多廠商的支持并成為正式標準,這些都為NFC技術大范圍的應用提供了可能。NFC技術提供各種設備間輕松、安全、迅速而自動的通信,例如借助NFC技術,人們可以在不同的設備間交換照片、音樂、視頻剪輯等信息。
其實,近場通信并非新生事物,但直到近年來才逐漸受到關注。在NFC技術發展過程中有幾個重要的歷程值得一提:1983年查爾斯·沃爾頓獲得第一個RFID相關專利;2004年諾基亞、飛利浦和索尼聯合組建了近場通信論壇;2006年NFC標簽的初步規范;2006年規范“SmartPoster”的記載;2006年諾基亞6131成為首個NFC功能的手機;2010年三星Nexus S成為首款可以支持NFC功能的Android手機。
作為一種無線技術,NFC同樣面臨安全問題。但是NFC技術本身的特點——非常小的通信范圍,有效隔絕了黑客的入侵,用戶完全可以放心地在這樣的近距離中進行通信。但是為了提供安全可靠的通信,近場通信技術也包含了完整的安全技術。
1.2 NFC的3種工作模式
近場通信技術支持3種不同的工作模式: 卡模式、點對點模式和讀卡器模式,如圖1所示。
在卡模式下,NFC設備相當于一張采用RFID技術的IC卡,完全可以應用于現在IC卡(包括信用卡)的使用場合,如公交卡、商場消費卡、車票,門禁管制、門票等等。這種方式下的一個明顯優點是卡片通過非接觸讀卡器的RF域來供電,即便是在寄主設備(如手機、移動終端)沒電的情況下也可以保證數據的傳輸工作。
在點對點模式下,NFC技術和紅外線技術一樣,可用于數據交換,只是采用NFC技術的設備傳輸距離較短,傳輸創建速度較快,傳輸數據的速度也較快。相比于紅外設備,采用NFC技術的設備功耗較低。將兩個具備NFC功能的設備連接后,即可實現數據在設備間的點對點傳輸,可完成下載音樂、交換圖片或者同步設備地址薄等功能。因此通過近場通信技術,多個設備(如數位相機、PDA、計算機和手機等)之間可以交換資料或者互相提供服務。
在讀卡器模式下,NFC設備可以作為非接觸讀卡器使用,從海報或者展覽信息電子標簽上讀取相關信息。
需要進行數據交互時,NFC設備可以工作于主動模式或被動模式下。在被動模式下,發起NFC通信的設備,也稱為NFC發起設備(主設備),在整個通信過程中提供射頻場。它可以從106 kbit/s、212 kbit/s或424 kbit/s中選擇一種傳輸速度,將數據發送到另一臺設備。另一臺NFC設備作為目標設備(從設備),不必主動產生射頻場,僅需要通過負載調制技術,以相同的速度將數據傳回發起設備。此通信機制與基于ISO14443A、FeliCa的非接觸式智能卡兼容。因此,NFC發起設備在被動模式下,可以用相同的連接和初始化過程檢測非接觸式智能卡或NFC目標設備,并與之建立聯系。在主動模式下,通信雙方收發器加電后,任何一方可以采用“發送前偵聽”協議來發起一個半雙工發送。在一個以上NFC設備試圖訪問一個閱讀器時,這個功能可以防止沖突。
在主動模式下,每臺設備要向另一臺設備發送數據時,都必須產生自己的射頻場。發起設備和目標設備都要產生自己的射頻場,以便進行通信。在被動模式下,像RFID標簽一樣,目標是一個被動設備。標簽從發起者傳輸的磁場獲得能量,然后通過負載調制技術將數據傳送給發起者。
需要注意的是,移動設備主要工作于被動模式下,從而能夠大幅降低功耗,延長電池壽命。在一個應用會話過程中,NFC設備可以在發起設備和目標設備之間切換自己的角色。利用這項功能,電池電量較低的設備可以要求以被動模式充當目標設備,而不是發起設備。
1.3 與其他無線通信技術的比較
目前,無線通信市場多種技術并存,尤其是近距離通信領域,已經存在多種近距離無線通信技術,比如藍牙技術、紅外線技術、RFID技術等,這些技術的并存為用戶提供了豐富多樣的業務,并且每一種技術都有自己的應用場景和優勢。近場通信技術的出現,豐富了近距離無線通信技術的種類,完善了近距離無線通信的應用場景和范圍,也為用戶提供了更大的選擇靈活性。與現存的諸多近距離無線通信技術相比,NFC技術具有明顯的優勢。圖2展示了無線通信市場中各技術適用場景[1]。
與RFID相比,近場通信技術中的信息也是通過無線頻率的電磁感應耦合方式傳遞,利用了負載調制的功能。但兩者之間還是存在很大的區別。首先,與RFID技術相比,NFC的傳輸距離更短,可以提供輕松、安全、迅速的無線連接。已知的RFID的傳輸范圍可以達到幾米、甚至幾十米,近場通信技術由于其獨特的技術優勢,對信號進行了有效衰減,從而有效地降低了電磁波的傳輸距離,因此NFC具有比RFID技術更近的傳輸距離、更高的帶寬、更低的能耗等特點。其次,近場通信技術天生的優勢是與現有非接觸智能卡技術兼容,目前已經成為越來越多主要廠商支持的正式標準,因此具有更廣闊的應用前景和使用范圍。同時,NFC技術是一種近距離連接協議,提供設備間輕松、迅速、安全而自動的通信。與其他無線連接方式相比,近場通信是一種近距離的私密通信方式。最后,近場通信與RFID的應用領域不同,NFC技術主要應用于門禁、公交、手機支付、交通、旅行、購物等領域,RFID技術則在生產、物流、跟蹤、資產管理等領域內發揮著巨大的作用。
此外,與紅外和藍牙傳輸方式相比,近場通信技術也表現出自己獨特的優勢。與紅外技術相比,NFC技術提供一種面向消費者的、更近距離的交易機制,比紅外傳輸方式更快、更可靠、更簡單。與藍牙傳輸技術相比,一方面,近場通信技術面向近距離交易,適用于交換財務信息或敏感的個人信息等重要私密數據;另一方面,藍牙技術能夠彌補NFC技術通信距離不足的缺點,可以應用于較長距離的數據通信。因此,NFC技術和藍牙技術可以相互補充、共同存在。事實上,快捷輕型的NFC協議可以用于引導兩臺設備之間的藍牙配對過程,促進藍牙的使用。表1中直觀地表示了近場通信技術、紅外技術和藍牙技術在幾個技術性能指標上的差異。
正是由于近場通信技術具有獨特的技術優勢,以及其對多種標準規范的有效支持和兼容,加上NFC具有成本低廉、方便易用和更富直觀性等特點,這讓它在某些領域顯得更具潛力。NFC通過一個芯片、一根天線和一些軟件的組合,能夠實現各種設備在幾厘米范圍內的通信,并且費用低廉。近幾年隨著智能手機的普及,NFC技術逐漸走入尋常百姓家,眾多廠商紛紛在自己的終端設備中加入了NFC功能,搶占NFC市場先機。可以預言:如果NFC技術能得到普及,它將在很大程度上改變人們使用許多電子設備的方式,甚至改變使用信用卡、鑰匙和現金的方式。我們有理由相信:近場通信技術將在移動互聯網時代大放異彩。
2近場通信技術架構
近場通信技術支持3種不同的工作模式,每種工作模式具有相似的技術架構,但是具體的工作模式又體現出各自的差別。我們將概述性地介紹近場通信的技術架構。
按照從下至上的順序,近場通信技術的總體技術架構包括以下幾個部分:模擬協議規范、數字協議規范、NFC相關動作規范、邏輯鏈路控制協議、NFC標簽技術規范、NFC數據交換格式、記錄類型定義規范等。每一種技術規范都完成特定功能,并且針對具體的業務應用和工作模式靈活選擇適當的協議規范實現。具體架構如圖3所示[1]。
模擬協議規范的作用主要是定義了具備NFC功能的設備的無線射頻特性,如射頻域的形狀和強度。該規范主要用來決定NFC設備的可操作范圍。根據規定,近場通信技術的射頻磁場的載波頻率為13.56 MHz,未經調制的射頻磁場磁場強度最小值為H min =1.0 A/m rms,未經調制的射頻磁場強度最大值H max =7.5 A/m rms。在通信的過程中需要對磁場進行調制。被動通信模式下,初始方應產生一個射頻磁場來給目標方供應能量,目標方應該能夠在H min和H max 間連續工作,在實際使用過程中,當目標方在初始方的工作區域中時,初始方在其工作區域中的磁場強度應不小于H min 。在主動通信模式下,初始方和目標方都是用自身產生的射頻磁場(H min ~H max )進行通信。在實際使用過程中,當目標方和初始方在對方的工作區域中時,初始方和目標方應保證在自身工作區域中的磁場強度不小于H min 。當進行外部磁場檢測時,如果外部磁場在頻率為13.56 MHz 處的場強高于H Threshhold,NFC 設備應能檢測出該外部磁場的存在。外部射頻磁場閾值H Threshhold = 0.1875A/m。
數字協議規范主要定義了用于完成通信的構件,是實現ISO/IEC 18092和ISO/IEC 14443標準中數字技術的規范。涉及到4種不同角色(初始方、目標方、讀寫器、卡模擬器)下的NFC設備的數字接口和半雙工傳輸協議。主要包括調制機制、比特級編碼、比特速率、幀格式、相關協議和命令集。
NFC相關動作規范以滿足數字協議規范的構件為基礎,定義了互動方式下建立通信的一系列動作。如輪詢周期、何時執行進行沖突檢測等動作。規范中定義的一些動作可以原樣使用,或者通過適當修改來定義其他的方式來建立通信,這些變種方式可以適用于原用例或者適用于不透光的用例。
邏輯鏈路控制協議(LLCP)描述了NFC套件邏輯鏈路控制層(LLC)的功能、特征和協議。邏輯鏈路控制層構成了OSI模型數據鏈路層的上半層,與下半層的媒體接入控制層(MAC)互補。LLCP層技術規范通過一系列映射可以支持MAC層。LLCP協議到外部MAC協議的每一種映射都指定了相應的綁定需求。LLCP主要特征包括鏈路激活、監測、去活,異步均衡通信,高層協議復用,無連接傳輸,面向連接的傳輸等。LLCP不支持同步傳輸、多播與廣播、數據的安全傳輸、服務用戶接口等功能。
NFC標簽技術規范定義了4種NFC的標簽類型,以支持設備的讀卡器工作模式。
數據交換格式(NDEF)規范定義了NFC應用中的信息編碼格式。該規范支持NDEF信息的復用和分塊。
記錄類型定義規范如何在NDEF信息中構造記錄,并指出記錄可以互相包含。每一種記錄都包含一個類型指示,表明其包含的內容。
NFC設備有3種工作模式,對不同的工作模式,在協議使用與應用定義方面有明顯的差異。
工作于讀寫模式下的設備支持的應用可分為3類:NDEF參考應用、第三方NDEF應用和非NDEF應用。NDEF參考應用是指NDEF論壇預定義的一些具有參考價值的應用,如鏈接切換、智能海報等;第三方NDEF應用是指使用NDEF技術基于標簽的專利性私有應用;非NDEF應用是指需要與非接觸式卡片交互的專利性私有應用[1-2]。讀寫模式下的技術架構如圖4(a)所示。
點對點模式下的技術架構如圖4(b)所示。邏輯鏈路控制協議負責鏈路的激活、管理、去激活,該協議支持異步平衡模式和協議復用技術,同時支持無連接傳輸和面向連接的傳輸情況;協議綁定模塊為NFCC論壇定義的協議規范提供標準的綁定(即端口號),增強不同協議之間的互操作性;論壇已有協議部分是指那些論壇已定義了的與LLCP相互綁定的協議,如IP、對象交換協議(OBEX);其他協議是指那些論壇為指定的可以運行于LLCP協議層之上的部分協議;參考應用指論壇定義的可以運行于NDEF協議上的參考性應用;點對點應用可能包括從相機打印照片、交換商務名片,以及第三方NDEF應用等等。
卡模式下的NFC設備架構比較簡單。其應用主要包括一些專利性的非接觸式卡片應用,如基于ISO14443 A/B或FeliCa標準的付賬、購票應用等。具體技術架構如圖4(c)所示。 (待續)
參考文獻
[1] NFC Forum. NFC digital protocol technical specification 1.0[S].2010.
[2] NFC Forum. NFC Data Exchange Format (NDEF) technical specification 1.0[S].2006.
作者簡介
網絡協議規范范文2
關鍵詞:入侵檢測系統;面向檢測的攻擊分類;檢測方法
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)06-1266-05
A Detection-Oriented Attack Classifier’s Design and Realization
GE Wu-dian, QIAO Zheng-hong, XU Jie
(Institue of Science, PLA Univ. of Sci. & Tech., Nanjing 211101,China)
Abstract:Attack classification helps to build efficient and realtime intrusion detection method. In this paper, a detection-oriented attack classification method, based on protocol analysis and data that IDS can collect directly, is proposed.Then corresponding detection method is given,and a network attack classification is designed.
Key words: intrusion detection system(IDS); detection-oriented attack classification; detection method
攻擊分類可用于攻擊分析、事件報告、統計分析等,對于系統地進行攻擊檢測也有十分重要的意義,有助于構造高效的檢測方法,從而有效地改善IDS的性能。最早的攻擊分類方法有,根據安全漏洞產生角度分類、以攻擊技術手段分類、結合攻擊使用的技術和攻擊后果分類、攻擊實施操作的順序分類等,這些攻擊分類的方法對于理解攻擊所利用的計算機系統漏洞、攻擊技術方法以及提高入侵檢測的效率等方面大有幫助,但是這些分類的方法都不能直接用于對攻擊進行檢測。
實際上在檢測攻擊時,往往并不需要了解攻擊所利用的漏洞、攻擊的手段等,而是需要一些面向檢測的特征。利用審計記錄數據、網絡協議等進行的分類,可以直接面向檢測,但其分類的依據不是IDS可直接收集的數據。如果以IDS直接收集的數據為分類依據,可以提高分類檢測的精度和效率。
本文認為,面向檢測的攻擊分類方法比較適合于IDS的要求,而且以IDS可直接收集的數據為分類的基礎,可用性好,有助于提高檢測的精度和效率。根據這種思路,本文提出一種以協議分析為基礎、直接利用IDS收集的數據、面向檢測的攻擊分類方法。
1基于IDS數據源的面向檢測攻擊分類
1.1分類描述
入侵檢測有兩個基本前提:一是所有的系統活動都可以通過檢測系統來得到:二是合法行為和入侵行為是可以區分的。下面我們提出一種以協議分析為基礎的、面向檢測的網絡攻擊分類方法。
網絡通信協議是一個高度格式化的、具有明確含義和取值的數據流,數據包內的信息必須遵守TCP/IP協議規范。所有的網絡活動可以用下面的三元組進行描述:H = < N, T, A >,其中:H表示所有的網絡活動,N表示網絡層活動,T表示傳輸層活動,A表示應用層活動。
所有的網絡攻擊事件可以用下面的三元組進行描述:H’= < N’, T’, A’>,其中:H’表示所有的網絡攻擊事件,N’表示網絡層攻擊事件,T’表示傳輸層攻擊事件,A’表示應用層攻擊事件。
在網絡攻擊事件的描述中,各個元素均是可測的,所以用上述的三元組描述的網絡攻擊事件都是可檢測的。三個元素之間是相互獨立的,從低層數據檢測出的攻擊,不在高層數據中進行檢測,并且此類攻擊事件被歸類到低層類別中。根據這種描述,我們從面向檢測的角度出發,把網絡攻擊分為以下三類:
網絡層攻擊事件類(簡稱N’類):網絡層數據中某些屬性取值的出現表示特定入侵的發生。其中N’=(n’1, n’2, n’3,…n’i),n’i表示網絡層攻擊事件類中的第i個實例。
②傳輸層攻擊事件類(簡稱T’類):傳輸層數據中某些屬性取值的出現表示特定入侵的發生。其中T’=(t’1, t’2, t’3,…t’i),t’i表示傳輸層攻擊事件類中的第i個實例。
③應用層攻擊事件類(簡稱A’類):應用層數據中某些屬性取值的出現表示特定入侵的發生。其中A’=(a’1, a’2, a’3,…a’i),a’i表示 應用層攻擊事件類中的第i個實例。1.2構造入侵檢測方法
在上述攻擊分類中,各個類別是相互獨立的、互斥的,那么對于每類攻擊分別設計專用的檢測方法會更直接、有效。而且對每類攻擊還可以劃分子類,這樣一種檢測實際上就是根據對整個網絡活動進行描述,一種檢測方法只負責某類或者某子類的檢測,與其它方法之間無任何關系,這能大大提高檢測效率,減少不確定性。下面我們將討論如何以此分類構造入侵檢測方法。
對網絡攻擊的檢測,我們可以通過在網絡中若干關鍵節點截取數據包進行分析和判斷,如果發現與已知攻擊描述相一致的事件出現,就表明發生了這種類型的攻擊;反之再結合其它的檢測技術作進一步的分析和判斷。入侵檢測過程分為三步:
①數據源收集:收集代表用戶網絡活動的數據包,包括正常的和異常的,它是入侵檢測的基礎。檢測是按照分類來進行的,對屬于不同類或者子類的攻擊需要分別構造不同的檢測方法,獨立地進行數據收集;
②實例的檢測:對已知的攻擊進行歸類,并構造相應的攻擊特征描述,即生成實例。在實施入侵檢測時,主要是利用已知實例的特征對①收集的數據進行分析,從而得到對已知實例的準確判斷;
③新實例歸類:在②沒有得到檢測結果的情況下,利用其它的異常發現技術作進一步的分析,讓正常的數據包通過,若是異常的數據包則提取其特征,并將其作為一個新的實例歸類到相應的類別中,1.3檢測過程
圖1檢測過程
圖1中,三個圓柱分別代表網絡層、傳輸層、應用層數據;箭頭表示數據處理的順序,上層檢測得出結果的數據將被過濾,不再做協議分析和進一步檢測。在具體的實現中,我們可以對屬于不同類型的子類的攻擊,依據對攻擊的描述分別構造不同的檢測方法,獨立地進行數據收集、分析和處理。各類攻擊的檢測方法還可以進一步進行子類擴展。
2網絡攻擊分類器的設計與實現
2.1系統結構
根據上述的攻擊分類,整個網絡攻擊事件分為三類:N’類、T’類、A’類,每一類入侵事件可能又分為若干子類。在主機中設置的攻擊分類器包含四類檢測實體:組件FCOM、監測單元DC、入侵分類檢測器ICD、檢測管理模塊DM。主機中ICD是固定的。每一ICD包含DC的數目沒有明確的規定,它取決于入侵檢測的需要,同時還與能夠處理的協議的數量有關。每一DC包含FCOM的數目也是不明確的,它取決于協議的類型。ICD所需的數據來源于DM的分派,DC所需的數據則來源于ICD的分派,一個ICD的失效不會影響其他的ICD的工作,每一個DC也是獨立的。這樣有助于分類器在功能上的擴展,同時使IDS系統具有一定的容錯性。
圖2分類器系統結構2.2分類器的實現2.2.1算法思想2.2.1.1協議樹
分類器主要針對以太網進行設計,并只考慮IP報文。根據以太網的幀結構的定義,在以太幀的第13字節處包含了兩個字節的第三層協議標識,0800為IP協議,0806為ARP協議,8138位NOVELL協議等。在IP數據包的格式定義中,第10個字節為第四層協議標識,比如:06為TCP、11位UDP、01為ICMP等。而TCP包的第3、4字節為應用層協議標識(端口號),比如:80為HTTP協議、21為 FTP協議、23為TELNET協議等。根據以上特點,我們可以畫出下列協議樹(部分)。
在分類器的結構中,網絡層ICD負責第三層協議、傳輸層ICD負責第四層協議、應用層類ICD負責應用層協議。每一DC負責一類的一個協議類型。
圖3協議樹2.2.1.2程序流程
圖4程序流程圖
入侵檢測的第一步就是信息收集,收集的內容主要是網絡中所有的通信流量。依照標準的協議規范,將收集到的原始數據包進行協議分析,解析出每層協議頭部的各個域,然后交給攻擊分類檢測器管理模塊DM。DM接受到分組信息后,首先提交給網絡層ICD,然后由ICD根據協議類型分派給相應的DC,發現異常則反饋結果,否則去掉該層報頭部分,將剩余分組信息遞交傳輸層 ICD…,直至監測結束。程序流程如圖4。2.2.1.3部分程序代碼
…
result=true
..//執行網絡層ICD分析程序
if(lpEth->hETH.h_proto=! PROTOCOL_IP)
return result;
else
{
..//負責IP協議的DC工作
if(…) //有異常
result=false
else
{
..//執行上層ICD分析程序switch(lpIP_protocol)
case PROTOCOL_ICMP:
..//負責ICMP協議的DC工作
if(…) //有異常
result=false;
break;
case PROTOCOL_UDP:
..//負責UDP協議的DC工作…
case PROTOCOL_TCP:
..//負責UDP協議的DC工作 if(!result){
..//執行上層ICD分析程序switch(PROTOCOL_TCP) case 80:
..//相應DC工作case 21:
..//相應DC工作case 23:
..//相應DC工作
switch(PROTOCOL_UDP) case…
..//相應DC工作…}}
if(!result)
..//告警
else
..//pass
2.2.2檢測單元DC的設計
DC負責某類或子類網絡攻擊事件的檢測,DC由若干域組件FCOM組成。分解后的域經過相應的FCOM逐一進行分析,與預期值進行比較,檢測出攻擊及異常報文。
DC的結構如圖5。在DC中,第一個需要檢測的域由一個組件FCOM來處理,組件可以自由地增加和刪除。從RFC的定義可以看到,數據包的域之間是相互關聯的,一個域的值由于另一個域的不同取值將有不同的意思。因此,在DC中,FCOM是相互聯系的,共享分組信息,一個域能夠充分利用另一個域檢測的結果。這種結構設計可以減少大量不必要的分析比較工作,提高效率。
圖5 DC結構2.2.3 FCOM的設計
組件FCOM負責對分組特定的域進行分析。在組件中,定義了相應域的檢測策略,這些策略存儲在攻擊特征庫中,當域的值、域的長度或域的參數違反協議規范時,這種異常現象將被檢測出來。我們通過對常見的攻擊手段的分析,發現大部分的攻擊手段集中于TCP/IP協議簇的IP、TCP、ICMP、UDP四種協議上,而且很多情況下通過檢查報頭值就能夠發現違背RFC定義的、可疑的數據包。因此,可以針對這四類協議報頭值制定FCOM檢測策略。
3總結
以協議分析為基礎、利用IDS直接收集的數據的攻擊分類方法可以準確地描述攻擊行為,降低攻擊特征提取的復雜度,有效地提高系統的效率。利用上述方法構造的檢測方法,既可以準確地檢測已知攻擊,又能夠實時地對未知攻擊作出判斷,但是該分類在實現過程仍在在一些問題:如何解決攻擊模式的自動生成和重用問題;該方法以協議分析技術為主,然而協議分析在實現過程中仍面臨一系列的問題。
參考文獻:
[1]楊義先.信息安全新技術[M].北京:北京郵電大學出版社,2003:113-130.
[2]宋如順.網絡系統安全技術[M].南京:東南大學出版社,2003:78-100.
[3]李曉鶯,曾啟銘.利用寫入分析提高入侵檢測效率[J].計算機工程與應用,2003(16):169-170.
網絡協議規范范文3
關鍵詞:Android;Web Service;ksoap2
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)20-4904-03
In the Development of Android Web Service Network Programming Research
WU Zhi-yong
(Guangdong Female Polytechnic College, Guangzhou 511450, China)
Abstract: This paper describes the implement of Web Services functionality on Android platform. And design a program for inquiries to phone numbers attribution, to show the way to remote calls Web Service function.
Key words: Android; Web Service; ksoap2
Web Service是一種面向服務架構(Service-oriented architecture,SOA)的技術,目的是實現不同平臺的應用服務之間的相互調用。Android作為一個市場占有率第一的移動操作系統,其網絡功能是最重要的特性之一。在Android開發中通過Web Service可以方便地實現不同平臺之間的方法調用,從網上獲取數據信息和實現功能擴展。Web Service通過標準的Web協議提供服務。
通過Web Service實現遠程方法調用,獲取數據信息,最關鍵的問題是數據訪問和傳輸的協議規范。
SOAP協議(Simple Object Access Protocal,簡單對象訪問協議),它是一個分布式網絡環境下用于信息交換的通訊協議。在此協議下,應用程序和軟件組件可以通過標準的Web協議進行通訊。SOAP使用基于XML的可擴展消息格式,需同時綁定一個傳輸用協議。這個協議通常是HTTP或HTTPS,但也可以使用SMTP或XMPP。
WSDL是一個XML格式文檔,用以描述服務端口訪問方式和使用協議的細節。通常用來輔助生成服務器和客戶端代碼及配置信息。
UDDI是用來和搜索WEB服務的協議,應用程序可藉由此協議在設計或運行時找到目標WEB服務。
Java開發中的Web Service有很多種實現方式,如XML-RPC、XFile、Axis等等,可是這些庫并不適合資源有限的Android手機客戶端。在Java ME版本中,廣泛使用的是KSOAP。雖然Android并不使用Java ME,但是KSOAP也有Android下的可用版本ksoap2-Android。
2.1 ksoap2-Android
kSOAP是的一個開源作品,是EnhydraME項目的一部分。ksoap2-Android是ksoap2在Android下的一個移植版本,利用它可以非常方便地訪問Web Service。ksoap2的常用接口有:
org.ksoap2. SoapObject
org.ksoap2. SoapEnvelope
org.ksoap2. SoapSerializationEnvelope
org.ksoap2.transport. HttpTransport
SoapObject用于創建SOAP對象,實現SOAP調用;
SoapEnvelope實現了SOAP標準中的SOAP Envelope,封裝了head對象和body對象。
SoapSerializationEnvelope是ksoap2中對SoapEnvelope的擴展,支持SOAP序列化(Serialization)格式規范,可以對簡單對象自動進行序列化(Simple object serialization)。
HttpTransport用于進行Internet訪問/請求,獲取服務器SOAP。
2.2 ksoap2-Android的編譯配置
圖1
<TextView
android:layout_width="fill_parent"
android:layout_height="wrap_content" android:text="@string/phonenumber" /><EditText
android:id="@+id/EditTextPhoneNumber" android:layout_width="match_parent" android:layout_height="wrap_content" android:inputType="phone" >
<requestFocus /></EditText><Button
android:id="@+id/btnCheck"
android:layout_width="wrap_content" android:layout_height="wrap_content" android:text="@string/btnCheck" />
網絡協議規范范文4
關鍵詞:門戶網站;Webservice;
中圖分類號:TP302 文獻標識碼:A DoI: 10.3969/j.issn.1003-6970.2012.05.省略+SQL Server+Ajax+Div+CSS。
則,才能使不同部門建設的應用系統之間數據相互流通共享。
1)統籌架構,全面分析系統的功能及需求,統籌合理的規劃好各個模塊,精良避免重復的冗余的模塊反復多次的出現。實現系統的精簡與實用。應用界面要友好清晰,不但要符合日常辦公運作的需求,要做到功能完備實用、簡單易學,使全校師生可以在統一平臺上按照不同的應用權限使用相關信息[3]。
2)應用系統要具有較好的包容性和可擴展性。能接納現有的系統,在今后系統需擴展時,能有效地保護學校已有的投資。在應用需求發生變化時,能方便地進行調整,易于擴充升級。在滿足當前業務需求的同時,又為今后的業務擴充留有空間。
3)加強網絡安全,推動數字化建設。建立安全可靠的通信機制,加強網絡安全建設,制定嚴格的管理制度,以提高對黑客攻擊、網上信息失竊等的警惕性,嚴防系統漏洞或“后門”產生的問題,盡量避免網絡安全對“數字化校園”建設帶來的危害,建立信息系統安全體系[4]。
在Visual 開發套件已經集成Web Server開發、部署功能,在解決方案中調用Web Service操作如下圖:
各高校在數字化校園建設的信息系統集成研究階段遇到了許多新的技術問題,由于一直沒有統一的標準來規范校園內各個部門之間的協作交互行為,使各個部門的異構應用系統之間的交互實現成本過高,并且往往只能適用于特定的環境中。為了充分發揮數字校園服務的潛力,更方便地發現和使用校園內各個部門所提供的服務,需要在校園各個部門之間建立安全可靠的協作關系[4]。
Web Services是企業商務解決方案中面向體系結構、設計、實現與部署而采用的組件化模式的必然結果。Web 服務體系結構中主要包括服務提供者、服務注冊中心、服務請求者三種角色和、查找、綁定三種操作。圖 3 顯示了面向服務的體系結構(SOA)[4]:
該特征也是源于對象/組件技術,當Web Service的實現發生變更的時候,調用者是不會感到這一點的,對于調用者來說,只要Web Service的調用界面不變,Web Service實現任何變更都是透明的,甚至是當Web Service的實現平臺從J2EE遷移到了.NET,或者是相反的遷移流程,用戶都可以對此一無所知。
3)使用協約的規范性
這一特征從對象而來,但相比一般對象其界面規范更加規范化和易于機器理解。首先,作為 Web 服務,對象界面所提供的功能應當使用標準的描述語言來描述(如 WSDL),由標準描述語言描述的服務界面應當是能夠被發現的,因此這一描述文檔需要被存儲在私有的或公共的注冊庫里面。
4)使用標準協議規范作為 Web 服務,其所有公共的協約需要使用開放的標準協議進行描述、傳輸和交換。這些標準協議具有完全免費的規范,以便由任意方進行實現。一般而言,絕大多數規范將最終由 W3C 或 OASIS 作為最終版本的方和維護方。
5)高度可集成能力
由于 Web 服務采取簡單的、易理解的標準 Web 協議作為組件界面描述和協同描述規范,完全屏蔽了不同軟件平臺的差異,無論是 DCOM,CORBA 還是EJB,都可以通過這一種標準的協議進行互操作,實現了在當前環境下最高的可集成性。
3.3.2 缺點
由于Web Service屬于網絡共享的范疇,所以安全性就是很大的問題。例如用戶登錄認證,如果用戶惡意的反復測試,容易導致網絡及服務器的信號堵塞,從而導致死機或者慢速,這樣就需要開發者去考慮如果杜絕這樣的現象[4-23]。一般常見的有以下幾個方法:
網絡協議規范范文5
【關鍵詞】計算機;網絡;構成
0 前言
國際互聯網(internet),又稱因特網,始建立于1969年的美國,目前已經聯接著超過160個國家和地區,四萬多個子網,五百多萬臺電腦主機,是世界上信息資源最豐富的電腦公共網絡。
它具有快捷性、普及性,促進了人類社會的進步,豐富人類的精神世界和物質世界,是現今最流行、最受歡迎的傳媒之一。
1 網絡簡介
互聯網是由一些使用公用語言互相通信的計算機連接而成的網絡,即廣域網、局域網及單機按照一定的通訊協議組成的國際計算機網絡。
一個完整的網絡需要四個要素組成:通信線路、通信設備、有獨立功能的計算機、網絡軟件及實現數據通信與資源共享,這四個要素缺一不可。
2 計算機網絡分類
在計算機網絡中,可按不同的標準進行分類。一般可按網絡節點分布、網絡拓撲結構及按交換方式來分類。
2.1 按網絡結點分布
計算機網絡按網絡結點分布可分為:局域網(Local Area Network,LAN)、廣域網(Wide Area Network,WAN)和城域網(Metropolitan Area Network,MAN)。
局域網(LAN)是一種在小范圍內實現的計算機網絡,作用范圍一般為幾米到幾十公里以內,結構簡單,布線相對容易。一般在一個建筑物內,或一個工廠、一個事業單位內部,為單位獨有。
城域網(MAN)是在一個城市內部組建的計算機信息網絡,提供全市的信息服務。作用范圍界于WAN與LAN之間目前。
廣域網(WAN)范圍很廣,信道傳輸速率較低,一般小于0.1Mbps,結構比較復雜,作用范圍一般為幾十到幾千公里。可以分布在一個省內、一個國家或幾個國家。
2.2 按拓撲結構分類
計算機網絡按拓撲結構分類可分為:總線型、環型、星型、網狀。
總線型拓撲結構是指采用單根傳輸線作為總線,所有工作站都共用一條總線。
環型網絡拓撲結構主要應用于采用同軸電纜(也可以是光纖)作為傳輸介質的令牌網中,是由連接成封閉回路的網絡節點組成的。
星型拓撲結構是用一個節點作為中心節點,其他節點直接與中心節點相連構成的網絡。
網狀網是一種新型的無線網絡架構,它的核心指導思想是讓網絡中的每個節點都可以發送和接收信號。
2.3 按交換方式
計算機網絡可分為線路交換網絡(Circurt Switching)、報文交換網絡(Message Switching)和分組交換網絡(Packet Switching)。
線路交換網絡是早期的計算機網絡就是采用此方式來傳輸數據的,數字信號經過變換成為模擬信號后才能在線路上傳輸。
報文交換網絡是一種數字化網絡。通信時,源機發出的一個報文被存儲在交換器里,交換器根據報文的目的地址選擇合適的路徑發送報文,這種方式稱做存儲-轉發方式。
分組交換網絡也采用報文傳輸,它是將一個長的報文劃分為許多定長的報文分組,以分組作為傳輸的基本單位。這不僅簡化了對計算機存儲器的管理,而且也加速了信息在網絡中的傳播速度。
由于分組交換優于線路交換和報文交換,具有許多優點,因此它已成為計算機網絡的主流。
3 網絡的拓撲結構
網絡拓撲結構是指用傳輸媒體互連各種設備的物理布局,就是用一定方式把網絡中的計算機設備連接起來。
構成網絡的拓撲結構有很多種,拓撲圖給出網絡服務器、工作站的網絡配置和相互間的連接,它的結構主要有星型結構、環型結構、總線結構、分布式結構、樹型結構、網狀結構、蜂窩狀結構等。
3.1 星型
星型結構是指各工作站以星型方式連接成網。
網絡有中央節點,其他節點(工作站、服務器)都與中央節點直接相連,這種結構以中央節點為中心,因此又稱為集中式網絡。
星型拓撲結構便于集中控制,易于維護和安全等優點,端用戶設備因為故障而停機時也不會影響其它端用戶間的通信。星型拓撲結構的網絡延遲時間較小,傳輸誤差較低。
缺點是中心系統必須具有極高的可靠性,為提高系統的可靠性,對中心系統通常采用雙機熱備份。
3.2 環型
環型結構在小型局域網中使用較多。
環型網絡拓撲結構主要應用于采用同軸電纜作為傳輸介質的令牌網中,是由連接成封閉回路的網絡節點組成的。
數據在環路中沿著一個方向在各個節點間傳輸,信息從一個節點傳到另一個節點。這種結構消除了端用戶通信時對中心系統的依賴性。
優點:點到點的鏈路,總以單向方式操作;信息流在網中是沿著固定方向流動,簡化了路徑選擇的控制;環路上各節點都是自舉控制,控制軟件簡單。
缺點:信息源在環路中串行地穿過各個節點,當環中節點過多時,影響信息傳輸速率,使網絡的響應時間延長;環路是封閉的,不便于擴充;可靠性低,一個節點故障,將會造成全網癱瘓;維護難,對分支節點故障定位較難。
3.3 總線型
總線結構是使用同一媒體或電纜連接所有端用戶的一種方式,也就是說,連接端用戶的物理媒體由所有設備共享,各工作站地位平等,無中央節點控制,公用總線上的信息多以基帶形式串行傳遞,其傳遞方向總是從發送信息的節點開始向兩端擴散,如同廣播電臺發射的信息一樣,因此又稱廣播式計算機網絡。各節點在接受信息時都進行地址檢查,看是否與自己的工作站地址相符,相符則接收網上的信息。
這種結構具有費用低、數據端用戶入網靈活、站點或某個端用戶失效不影響其它站點或端用戶通信的優點。缺點是一次僅能一個端用戶發送數據,其它端用戶必須等待到獲得發送權;媒體訪問獲取機制較復雜;維護難,分支節點故障查找難。盡管有上述一些缺點,但由于布線要求簡單,擴充容易,端用戶失效、增刪不影響全網工作,所以是局域網技術中使用最普遍的一種。
3.4 分布式
分布式結構的網絡是將分布在不同地點的計算機通過線路互連起來的一種網絡形式。
分布式結構的網絡具有如下特點:由于采用分散控制,即使整個網絡中的某個局部出現故障,也不會影響全網的操作,因而具有很高的可靠性;網中的路徑選擇最短路徑算法,故網上延遲時間少,傳輸速率高,但控制復雜;各個節點間均可以直接建立數據鏈路,信息流程最短;便于全網范圍內的資源共享。
缺點為連接線路用電纜長,造價高;網絡管理軟件復雜;報文分組交換、路徑選擇、流向控制復雜;在一般局域網中不采用這種結構。
3.4 網狀
網狀拓撲結構主要指各節點通過傳輸線互聯連接起來,并且每一個節點至少與其他兩個節點相連。網狀拓撲結構具有較高的可靠性,但其結構復雜,實現起來費用較高,不易管理和維護,不常用于局域網!
3.5 蜂窩
蜂窩拓撲結構是無線局域網中常用的結構。它以無線傳輸介質(微波、衛星、紅外等)點到點和多點傳輸為特征,適用于城市網、校園網、企業網。
4 網絡硬件
目前在計算機網絡中應用較為普遍的網絡硬件有:計算機網卡、集線器(Hub)、路由器(Router)、交換機、專用數據傳送設備。其中我們把計算機網卡、集線器(HUB)、路由器(Router)、交換機稱為計算機網絡的主要設備。
4.1 計算機網卡及其分類
計算機網卡是局域網中連接計算機和傳輸介質的接口。
計算機網卡分類:網絡接口(細纜口、粗纜口、雙絞線口、光纜口)、 帶寬(10兆網卡、100兆網卡、10/100自適應網卡、千兆網卡)、主板接口(ISA接口網卡、PCI接口網卡. EISA接口網卡、MCA接口網卡)。
4.2 集線器及其分類
集線器是局域網中的基礎設備,集線器的主要功能是對接收到的信號進行再生整形放大,以擴大網絡的傳輸距離,同時把所有節點集中在以它為中心的節點上。
集線器(Hub)分類:接口的數量(4口、8口、12口、24口、36口、48口等)、帶寬(10兆、100兆、10/100自適應型、10/100兆混合型、1000兆)、是否智能型)。
4.3 路由器
路由器是一個能把多個異種子網互聯起來,形成一個綜合性的通訊網絡的一種網絡設備。同時它還能對數據傳送時進行最佳尋徑、流量管理、數據過濾、負荷分流、負載均衡和冗余容錯等;高擋的路由器還具有數據壓縮、傳送優先、數據加密等功能。提供諸如局域網互連、廣域網接口等多種服務。
4.4 交換機
交換機是一種存儲轉發設備,它是基于OSI參考模型的數據鏈路層操作的技術,是根據其發送幀中的終點MAC地址進行信息幀轉發的。
5 網絡軟件
5.1 網絡軟件簡介
網絡軟件是計算機網絡環境中,用于支持數據通信和各種網絡活動的軟件。
每個計算機網絡都制訂一套全網共同遵守的網絡協議,并要求網中每個主機系統配置相應的協議軟件,以確保網中不同系統之間能夠可靠、有效地相互通信和合作。
5.2 網絡軟件分類
網絡軟件包括通信支撐平臺軟件、網絡服務支撐平臺軟件、網絡應用支撐平臺軟件、網絡應用系統、網絡管理系統以及用于特殊網絡站點的軟件等。
通信軟件和各層網絡協議軟件是這些網絡軟件的基礎和主體。
5.2.1 通信軟件
通訊軟件用以監督和控制通信工作的軟件。它除了作為計算機網絡軟件的基礎組成部分外,還可用作計算機與自帶終端或附屬計算機之間實現通信的軟件。
通信軟件通常由線路緩沖區管理程序、線路控制程序以及報文管理程序組成。報文管理程序通常由接收、發送、收發記錄、差錯控制、開始和終了5個部分組成。
5.2.2 協議軟件
網絡軟件的重要組成部分,按網絡所采用的協議層次模型組織而成。
除物理層外,其余各層協議大都由軟件實現。每層協議軟件通常由一個或多個進程組成,其主要任務是完成相應層協議所規定的功能,以及與上、下層的接口功能。
5.2.3 應用系統
根據網絡的組建目的和業務的發展情況,研制、開發或購置。其任務是實現網絡總體規劃所規定的各項業務,提供網絡服務和資源共享。
網絡應用系統有通用和專用之分。通用網絡應用系統適用于較廣泛的領域和行業,如數據收集系統、數據轉發系統和數據庫查詢系統等。
專用網絡應用系統只適用于特定的行業和領域,如銀行核算、鐵路控制、軍事指揮等。
5.3 網絡軟件安全問題
5.3.1 網絡軟件的漏洞及缺陷被利用,使網絡遭到入侵和破壞
5.3.2 網絡軟件安全功能不健全或被安裝了“特洛伊木馬”軟件
5.3.3 應加安全措施的軟件未給予標識和保護,要害的程序沒有安全措施,使軟件被非法使用、被破壞或產生錯誤
5.3.4 拒絕服務,中斷或妨礙通信,延誤對時間要求較高的操作
5.3.5 沒有正確的安全策略和安全機制,缺乏先進的安全工具和手段
5.3.6 不妥當的標定或資料,導致所改的程序出現版本錯誤
如程序員沒有保存程序變更的記錄;沒有做拷貝;未建立保存記錄的業務。
6 網絡協議
6.1 網絡協議簡介
協議是為計算機網絡中進行數據交換而建立的規則、標準或約定的集合,用來描述進程之間信息交換數據時的規則術語。
6.2 要素
網絡協議是由三個要素組成:語義、語法、時序。
人們形象地把這三個要素描述為:語義表示要做什么,語法表示要怎么做,時序表示做的順序。
6.2.1 語義是解釋控制信息每個部分的意義。它規定了需要發出何種控制信息,以及完成的動作與做出什么樣的響應。
6.2.2 語法是用戶數據與控制信息的結構與格式,以及數據出現的順序。
6.2.3 時序是對事件發生順序的詳細說明,也可稱為“同步”。
6.3 層次劃分
為了使不同計算機廠家生產的計算機能夠相互通信,以便在更大的范圍內建立計算機網絡,國際標準化組織提出了“開放系統互聯參考模型”(OSI/RM模型)。
它將計算機網絡體系結構的通信協議劃分為七層,自下而上依次為:物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層、應用層。
對于每一層,至少制定兩項標準:服務定義和協議規范。
服務定義給出了該層所提供的服務的準確定義,協議規范描述了協議的動作和各種有關規程,以保證服務的提供。
6.4 常用協議
在計算機網絡中TCP/IP協議、NetBEUI 協議、IPX/SPX協議,這三大協議最為常用。
6.4.1 TCP/IP協議
TCP/IP協議是三大協議中最重要的一個,隨著Internet網的發展,TCP/IP協議也得到進一步的研究開發和推廣應用,成為Internet網上的“通用語言”,也是是目前最流行的網絡協議。作為互聯網的基礎協議,任何和互聯網有關的操作都離不開TCP/IP協議。
TCP/IP協議使用需要進行配置IP地址、網關、子網掩碼、DNS服務器等參數。
但TCP/IP協議在局域網中的通信效率并不高,使用它在瀏覽“網上鄰居”中的計算機時,經常會出現不能正常瀏覽的現象。此時安裝NetBEUI協議就會解決這個問題。
6.4.2 NetBEUI 協議
NetBEUI是NetBIOS協議的增強版本,它是一種短小精悍、通信效率高的廣播型協議,安裝后不需要進行設置,特別適合于在“網絡鄰居”傳送數據。
如果一臺只裝了TCP/IP協議的WINDOWS98機器要想加入到WINNT域,必須安裝NetBEUI協議。
6.4.3 IPX/SPX協議
IPX/SPX協議本來就是Novell開發的專用于NetWare網絡中的協議。在局域網中它可以使多種操作系統進行通訊,而且使用簡單,不需要任何設置。
網絡協議規范范文6
一、485協議沒有第三方權威機構認證,系統的成熟性依靠廠商自己在應用中不斷改進。
二、一般公司的底層遵循企業內部標準,都是自定義的通信協議,即使使用了一些標準協議,如:modbus等,但是這些協議的應用層都沒有規范,只是鏈路層的統一,各個廠家在應用層上還是自行定義。偶偶有部分命令相同,也難以解釋里面應用數據的含義。采用主從通信方式。各廠家之間的對接非常困難。
三、配置軟件各家都不一樣,調試工程人員,接觸不同公司的配置軟件,可能都要從0開始。能配置的設備也是限于本公司產品。
四、485這類系統都采用主從模式,也就是說必須要有主機,當主機故障時會導致整個系統癱瘓。
KNX產品特點:
一、KNX協議有一整套協議規范,KNX標準是唯一符合國際標準 ISO/IEC 14543 和歐洲標準EN 500990、 國標GB/T 20965、CE13321 要求的開放式國際標準。 所有的KNX產品都遵循此規范。它的通信方式是對等無損傳輸,分散式無主從結構。
二、只有通過KNX測試的底層軟件才能進行應用開發。而產品能夠上市銷售的條件是必須通過國際KNX組織委員會的統一測試認證才允許打上KNX的logo銷售,所以整個系統的健壯性已經毋容置疑。
三、配置軟件由KNX協會發行,并由KNX國際協會來進行升級維護,可以配置所有KNX廠家的產品。也就是說工程人員只要學會了這個軟件,那么他就可以通殺所有KNX產品。
四、綠色節能一直是KNX標準的重要標簽。據統計,在總能源消耗中,樓宇占了相當大的比重,因此樓宇的節能潛力不容小視。KNX符合EN15232規定的樓宇自動化頂級能源性能等級要求,能夠實現高達50%的能源節約,在單一總線系統中,實現了所有電氣功能的網絡化最優調控。
總結:
