兼容性范文10篇

摘要網絡地址轉換技術(NAT)與IPSec在因特網上都是得到廣泛應用的技術，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協議的基本原理，分析了兩者的不兼容性，然后討論了解決該問題必須滿足的要求，最后給出了利用UDP封裝法實現NAT透明穿透的解決方案。關鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術的虛擬專用網（VirtualProfessionalNetwork，簡稱VPN）是通過Internet平臺將局域網擴展到遠程網絡和遠程計算機用戶的一種成本效益極佳的方法。隨著網絡安全技術的飛快發展，越來越多大型企業利用互聯網采用IPSec技術建立VPN網絡，IPSec已逐漸成為VPN構建的主流技術。IP安全協議（IPSecurityProtocol，簡稱IPSec）是由互聯網工程工業組（InternetEngineeringTaskForce，簡稱IETF）1998年底規劃并制定的網絡IP層標準。IPSec不僅可以為IP協議層以上所有的高層協議和應用提供一致性的安全保護，而且除了可用于IPv4之外，也可用于下一代IP協議IPv6。另外，NAT（NetworkAddressTranslation）技術通過改變進出內部網絡的IP數據包的源和目的地址，把無效的內部網絡地址翻譯成合法的IP地址在Internet上使用。該技術一方面可以把私有IP地址隱藏起來，使外界無法直接訪問內部網絡，對內部網絡起到保護作用；另一方面，它可以緩解由于IPv4先天設計上的不足，而導致的IP地址嚴重短缺的現狀。但是，被廣泛使用的網絡地址轉換（NAT）設備卻制約著基于IPSec技術的VPN的發展，這是因為IPSec協議在VPN中承擔保護傳輸數據的安全性任務。在數據傳輸過程中，任何對IP地址及傳輸標志符的修改，都被視作對該協議的違背，并導致數據包不能通過安全檢查而被丟棄。但在VPN中運用NAT技術，則不可避免地要將私網地址映射為公網地址，即對IP地址要進行修改。因此，在VPN網絡中如何使IPSec和NAT協同工作，實現NAT的透明穿透具有現實意義。2協議介紹2.1IPSecIPSec包括安全協議和密鑰管理兩部分。其中，AH和ESP是兩個安全協議，提供數據源驗證、面向無連接的數據完整性、抗重放、數據機密性和有限抗流量分析等安全任務。為了能夠將相應的安全服務、算法和密鑰應用于需要保護的安全通道，IPSec規定兩個通信實體進行IPSec通信之前首先構建安全關聯SA。SA規定了通信實體雙方所需要的具體安全協議、加密算法、認證算法以及密鑰。IKE提供了用來協商、交換和更新SA以及密鑰的完整機制。IPSec定義了兩種類型的封裝模式——傳輸模式和隧道模式。傳輸模式只對IP分組應用IPSec協議，對IP報頭不進行任何修改，它只能應用于主機對主機的IPSec虛擬專用網VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來了。隧道主要應用于主機到網關的遠程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問題，而且能使得內外網絡隔離，提供一定的網絡安全保障。它解決問題的辦法是：在內部網絡中使用內部地址，通過NAT把內部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內的地址或用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT有三種類型：靜態NAT、動態地址NAT、網絡地址端口轉換NAPT。其中靜態NAT設置起來最為簡單，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而動態地址NAT則是在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡。NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據協議的定義，我們知道IPSec和NAT兩個協議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對AH的影響IPSecAH進行驗證的時候，處理的是整個IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設備，NAT設備就會修改外層IP包頭的源地址并修改其校驗和，這樣接收方會因認證失敗而丟棄該包。2）NAT對ESP的影響TCP/UDP校驗和地計算涉及一個虛構的IP包頭，該包頭含有IP源和目的地址。因此，當NAT設備改變IP地址時也需要更新IP頭和TCP/UDP校驗和。如果采用ESP傳輸模式，IP包經過NAT設備時，NAT設備修改了IP包頭，但是TCP/UDP校驗和由于處于加密負載中而無法被修改。這樣，該信包經過IPSec層后將因為TCP協議層的校驗和的錯誤而被丟棄。另外，由于TCP/UDP校驗和只與內層原始IP包頭有關，外層IP包頭的修改并不對其造成影響，因此采用ESP隧道模式和僅靜態或動態NAT的情況下不存在TCP校驗和的問題。但是，在NAPT情況下，因為NAPT需要TCP/UDP端口來匹配出入信包，而端口號受到ESP加密保護，所以ESP分組通信將會失敗。3）NAT對IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經過NAT后，會導致IKE協商的失敗。IKE協議使用固定目的端口500，當NAPT設備后的多個主機向同一響應者發起SA協商時，為了實現多路分發返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應者應該能處理端口號并非500的IKE協商請求，但往往NAPT對UDP端口的映射很快會被刪除，再協商的過程就將出現一些不可預見的問題，很容易導致NAPT設備無法將協商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉換情況下才可以實現IPSec數據流的NAT穿越。這一方法既降低了IPSec協議的安全性，又限制了NAT的工作方式，因此在實際應用中可行度較差。4IPSec與NAT的兼容性要求在現有的條件下，為了推動基于IPSec的VPN的發展，IPSec和NAT兼容性解決方案需要滿足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個過渡的解決辦法必須比IPv6易于部署。應該只需修改主機，無需改變路由器，在短時間內能與現存的路由器和NAT產品協同工作。2）遠程訪問IPSec的一個重要應用是遠程訪問公司的內部網絡。NAT穿越方案必須考慮遠程客戶端與VPN網關之間存在多個NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應該避免對IKE或IPSec目的端口的動態分配，使防火墻管理員進行簡單的配置，就可以控制穿越NAT的IPSec數據流。4）可擴展性IPSec和NAT兼容性方案應具有良好的擴展性，必須保證在大規模遠程訪問的環境中，在大量遠程接入的環境下，同一時間段多個主機和遠程安全網關建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實現互操作。穿越方案應該能自動檢測是否存在NAT，能判斷通信對方的IKE實現是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來新的安全漏洞。5利用UDP封裝法實現NAT的穿透本文中的解決方案是采用UDP封裝法實現NAT的透明穿透，不需要修改現有的NAT網關和路由器。所以該方案具有簡單且易于實現的優點，缺點是由于添加了一個UDP報文頭，而加大了帶寬開銷，但相對于目前持續擴大的傳輸帶寬來說，這個UDP報文頭的帶寬開銷可以忽略不計。下面詳細討論其原理和實現過程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數據之間再封裝一個UDP頭，這樣封裝后的數據包端口值對NAT可見，就可以正確的實現端口轉換。UDP封裝格式如圖1所示。UDP封裝格式另外，由于IKE已經使用了UDP的500端口，為了簡化配置和避免多個端口帶來的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來區分端口500的數據包是IKE消息還是UDP封裝的ESP。為了區分兩者，我們采用在IKE報頭添加Non-ESP標記。在確定存在一個中間NAT之后，支持IPSecNAT-T的對話方開始使用新的IKE報頭。5.2IKE協商過程IPSec通信實體雙方是否采用UDP封裝取決于對話對方是否支持該方法以及是否存在NAT設備，這個過程通過IKE協商來完成。在IKE協商過程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類型。1）新的NAT-Discovery(NAT-D)有效載荷這個新的有效載荷包含一個散列值，它整合了一個地址和端口號。在主模式協商期間，即IKE協商第一階段第三、四條消息中，IPSec對話方包括兩個NAT-Discovery有效載荷——一個用于目標地址和端口，另一個用于源地址和端口。接收方使用NAT-Discovery有效載荷來發現NAT之后是否存在一個經NAT轉換過的地址或端口號，并基于被改變的地址和端口號來確定是否有對話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個新的有效載荷包含IPSec對話方的原始地址。對于UDP封裝的ESP傳輸模式，每個對話方在快速模式協商期間發送NAT-OA有效載荷。接收方將這個地址存儲在用于SA的參數中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協商期間指定的，用于通知IPSec對話方應該對ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來封裝IPSec分組的思想只解決了NAPT設備不支持AH和ESP通信的問題。例如TCP校驗和錯誤、UDP端口映射的保持等問題還需要輔助方法來解決。為保證校驗和正確無誤，通信雙方需將自身的原始IP地址和端口發送給對方，即實現地址通告。地址通告的實現通過IKE第二階段的前兩條消息中的NAT-OA有效載荷。因為NAT-OA有效載荷中包含IPSec對話方的原始地址，為此，接收方就擁有了檢驗解密之后的上層校驗和所需的信息。消息發起者在NAT中創建了一個UDP端口映射，它在初始主模式和快速模式IKE協商期間使用。然而，NAT中的UDP映射通常超過一定時間沒用就會被刪除掉。如果響應者隨后向發起者發送IKE消息卻沒有提供UDP端口映射，那么這些消息將被NAT丟棄。這個問題的解決辦法是通過定期發送Keepalive包，用于后續IKE協商和UDP封裝的ESP的UDP端口映射同時在NAT中得到刷新，從而保證通信的正常運行。6結束語IPSec作為網絡層的安全協議，目前的應用越來越廣泛,已成為構建VPN的基礎協議之一。而由于IPv6取代IPv4將是一個漫長的過程，NAT設備的廣泛存在極大地限制了IP層安全協議IPSec的推廣，因此在目前的條件下，UDP封裝方法無疑是一種在當前環境下無需修改NAT網關和路由器、簡單可接受的解決IPSec和NAT兼容性的方法，具有一定的現實意義。但是該方案還不完善，有待進一步討論和研究。參考文獻[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

摘要網絡地址轉換技術(NAT)與IPSec在因特網上都是得到廣泛應用的技術，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協議的基本原理，分析了兩者的不兼容性，然后討論了解決該問題必須滿足的要求，最后給出了利用UDP封裝法實現NAT透明穿透的解決方案。關鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術的虛擬專用網（VirtualProfessionalNetwork，簡稱VPN）是通過Internet平臺將局域網擴展到遠程網絡和遠程計算機用戶的一種成本效益極佳的方法。隨著網絡安全技術的飛快發展，越來越多大型企業利用互聯網采用IPSec技術建立VPN網絡，IPSec已逐漸成為VPN構建的主流技術。IP安全協議（IPSecurityProtocol，簡稱IPSec）是由互聯網工程工業組（InternetEngineeringTaskForce，簡稱IETF）1998年底規劃并制定的網絡IP層標準。IPSec不僅可以為IP協議層以上所有的高層協議和應用提供一致性的安全保護，而且除了可用于IPv4之外，也可用于下一代IP協議IPv6。另外，NAT（NetworkAddressTranslation）技術通過改變進出內部網絡的IP數據包的源和目的地址，把無效的內部網絡地址翻譯成合法的IP地址在Internet上使用。該技術一方面可以把私有IP地址隱藏起來，使外界無法直接訪問內部網絡，對內部網絡起到保護作用；另一方面，它可以緩解由于IPv4先天設計上的不足，而導致的IP地址嚴重短缺的現狀。但是，被廣泛使用的網絡地址轉換（NAT）設備卻制約著基于IPSec技術的VPN的發展，這是因為IPSec協議在VPN中承擔保護傳輸數據的安全性任務。在數據傳輸過程中，任何對IP地址及傳輸標志符的修改，都被視作對該協議的違背，并導致數據包不能通過安全檢查而被丟棄。但在VPN中運用NAT技術，則不可避免地要將私網地址映射為公網地址，即對IP地址要進行修改。因此，在VPN網絡中如何使IPSec和NAT協同工作，實現NAT的透明穿透具有現實意義。2協議介紹2.1IPSecIPSec包括安全協議和密鑰管理兩部分。其中，AH和ESP是兩個安全協議，提供數據源驗證、面向無連接的數據完整性、抗重放、數據機密性和有限抗流量分析等安全任務。為了能夠將相應的安全服務、算法和密鑰應用于需要保護的安全通道，IPSec規定兩個通信實體進行IPSec通信之前首先構建安全關聯SA。SA規定了通信實體雙方所需要的具體安全協議、加密算法、認證算法以及密鑰。IKE提供了用來協商、交換和更新SA以及密鑰的完整機制。IPSec定義了兩種類型的封裝模式——傳輸模式和隧道模式。傳輸模式只對IP分組應用IPSec協議，對IP報頭不進行任何修改，它只能應用于主機對主機的IPSec虛擬專用網VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來了。隧道主要應用于主機到網關的遠程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問題，而且能使得內外網絡隔離，提供一定的網絡安全保障。它解決問題的辦法是：在內部網絡中使用內部地址，通過NAT把內部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內的地址或用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT有三種類型：靜態NAT、動態地址NAT、網絡地址端口轉換NAPT。其中靜態NAT設置起來最為簡單，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而動態地址NAT則是在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡。NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據協議的定義，我們知道IPSec和NAT兩個協議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對AH的影響IPSecAH進行驗證的時候，處理的是整個IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設備，NAT設備就會修改外層IP包頭的源地址并修改其校驗和，這樣接收方會因認證失敗而丟棄該包。2）NAT對ESP的影響TCP/UDP校驗和地計算涉及一個虛構的IP包頭，該包頭含有IP源和目的地址。因此，當NAT設備改變IP地址時也需要更新IP頭和TCP/UDP校驗和。如果采用ESP傳輸模式，IP包經過NAT設備時，NAT設備修改了IP包頭，但是TCP/UDP校驗和由于處于加密負載中而無法被修改。這樣，該信包經過IPSec層后將因為TCP協議層的校驗和的錯誤而被丟棄。另外，由于TCP/UDP校驗和只與內層原始IP包頭有關，外層IP包頭的修改并不對其造成影響，因此采用ESP隧道模式和僅靜態或動態NAT的情況下不存在TCP校驗和的問題。但是，在NAPT情況下，因為NAPT需要TCP/UDP端口來匹配出入信包，而端口號受到ESP加密保護，所以ESP分組通信將會失敗。3）NAT對IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經過NAT后，會導致IKE協商的失敗。IKE協議使用固定目的端口500，當NAPT設備后的多個主機向同一響應者發起SA協商時，為了實現多路分發返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應者應該能處理端口號并非500的IKE協商請求，但往往NAPT對UDP端口的映射很快會被刪除，再協商的過程就將出現一些不可預見的問題，很容易導致NAPT設備無法將協商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉換情況下才可以實現IPSec數據流的NAT穿越。這一方法既降低了IPSec協議的安全性，又限制了NAT的工作方式，因此在實際應用中可行度較差。4IPSec與NAT的兼容性要求在現有的條件下，為了推動基于IPSec的VPN的發展，IPSec和NAT兼容性解決方案需要滿足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個過渡的解決辦法必須比IPv6易于部署。應該只需修改主機，無需改變路由器，在短時間內能與現存的路由器和NAT產品協同工作。2）遠程訪問IPSec的一個重要應用是遠程訪問公司的內部網絡。NAT穿越方案必須考慮遠程客戶端與VPN網關之間存在多個NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應該避免對IKE或IPSec目的端口的動態分配，使防火墻管理員進行簡單的配置，就可以控制穿越NAT的IPSec數據流。4）可擴展性IPSec和NAT兼容性方案應具有良好的擴展性，必須保證在大規模遠程訪問的環境中，在大量遠程接入的環境下，同一時間段多個主機和遠程安全網關建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實現互操作。穿越方案應該能自動檢測是否存在NAT，能判斷通信對方的IKE實現是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來新的安全漏洞。5利用UDP封裝法實現NAT的穿透本文中的解決方案是采用UDP封裝法實現NAT的透明穿透，不需要修改現有的NAT網關和路由器。所以該方案具有簡單且易于實現的優點，缺點是由于添加了一個UDP報文頭，而加大了帶寬開銷，但相對于目前持續擴大的傳輸帶寬來說，這個UDP報文頭的帶寬開銷可以忽略不計。下面詳細討論其原理和實現過程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數據之間再封裝一個UDP頭，這樣封裝后的數據包端口值對NAT可見，就可以正確的實現端口轉換。UDP封裝格式如圖1所示。端口，為了簡化配置和避免多個端口帶來的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來區分端口500的數據包是IKE消息還是UDP封裝的ESP。為了區分兩者，我們采用在IKE報頭添加Non-ESP標記。在確定存在一個中間NAT之后，支持IPSecNAT-T的對話方開始使用新的IKE報頭。5.2IKE協商過程IPSec通信實體雙方是否采用UDP封裝取決于對話對方是否支持該方法以及是否存在NAT設備，這個過程通過IKE協商來完成。在IKE協商過程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類型。1）新的NAT-Discovery(NAT-D)有效載荷這個新的有效載荷包含一個散列值，它整合了一個地址和端口號。在主模式協商期間，即IKE協商第一階段第三、四條消息中，IPSec對話方包括兩個NAT-Discovery有效載荷——一個用于目標地址和端口，另一個用于源地址和端口。接收方使用NAT-Discovery有效載荷來發現NAT之后是否存在一個經NAT轉換過的地址或端口號，并基于被改變的地址和端口號來確定是否有對話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個新的有效載荷包含IPSec對話方的原始地址。對于UDP封裝的ESP傳輸模式，每個對話方在快速模式協商期間發送NAT-OA有效載荷。接收方將這個地址存儲在用于SA的參數中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協商期間指定的，用于通知IPSec對話方應該對ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來封裝IPSec分組的思想只解決了NAPT設備不支持AH和ESP通信的問題。例如TCP校驗和錯誤、UDP端口映射的保持等問題還需要輔助方法來解決。為保證校驗和正確無誤，通信雙方需將自身的原始IP地址和端口發送給對方，即實現地址通告。地址通告的實現通過IKE第二階段的前兩條消息中的NAT-OA有效載荷。因為NAT-OA有效載荷中包含IPSec對話方的原始地址，為此，接收方就擁有了檢驗解密之后的上層校驗和所需的信息。消息發起者在NAT中創建了一個UDP端口映射，它在初始主模式和快速模式IKE協商期間使用。然而，NAT中的UDP映射通常超過一定時間沒用就會被刪除掉。如果響應者隨后向發起者發送IKE消息卻沒有提供UDP端口映射，那么這些消息將被NAT丟棄。這個問題的解決辦法是通過定期發送Keepalive包，用于后續IKE協商和UDP封裝的ESP的UDP端口映射同時在NAT中得到刷新，從而保證通信的正常運行。6結束語IPSec作為網絡層的安全協議，目前的應用越來越廣泛,已成為構建VPN的基礎協議之一。而由于IPv6取代IPv4將是一個漫長的過程，NAT設備的廣泛存在極大地限制了IP層安全協議IPSec的推廣，因此在目前的條件下，UDP封裝方法無疑是一種在當前環境下無需修改NAT網關和路由器、簡單可接受的解決IPSec和NAT兼容性的方法，具有一定的現實意義。但是該方案還不完善，有待進一步討論和研究。參考文獻[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

AbstractThispaperconsistsoffourparts:(1)compatibility;(2)simplification;(3)reflections

oncompatibilityandsimplification;(4)conclusion.TheauthorholdsthatChinesegrammaticalstruc

turesrevealatendencyofsimplificationinformandatendencyofcompatibilityinsemanticimpl

ication.Simplificationsandcompatibilityareinterdependentinaccordancewithpragmaticprincip

les.

本文討論漢語語法結構，用的是現代漢語的語料。

摘要網絡地址轉換技術(NAT)與IPSec在因特網上都是得到廣泛應用的技術，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協議的基本原理，分析了兩者的不兼容性，然后討論了解決該問題必須滿足的要求，最后給出了利用UDP封裝法實現NAT透明穿透的解決方案。

關鍵詞IPSec;NAT;IKE;UDP封裝

1引言

基于IP技術的虛擬專用網（VirtualProfessionalNetwork，簡稱VPN）是通過Internet平臺將局域網擴展到遠程網絡和遠程計算機用戶的一種成本效益極佳的方法。隨著網絡安全技術的飛快發展，越來越多大型企業利用互聯網采用IPSec技術建立VPN網絡，IPSec已逐漸成為VPN構建的主流技術。IP安全協議（IPSecurityProtocol，簡稱IPSec）是由互聯網工程工業組（InternetEngineeringTaskForce，簡稱IETF）1998年底規劃并制定的網絡IP層標準。IPSec不僅可以為IP協議層以上所有的高層協議和應用提供一致性的安全保護，而且除了可用于IPv4之外，也可用于下一代IP協議IPv6。

另外，NAT（NetworkAddressTranslation）技術通過改變進出內部網絡的IP數據包的源和目的地址，把無效的內部網絡地址翻譯成合法的IP地址在Internet上使用。該技術一方面可以把私有IP地址隱藏起來，使外界無法直接訪問內部網絡，對內部網絡起到保護作用；另一方面，它可以緩解由于IPv4先天設計上的不足，而導致的IP地址嚴重短缺的現狀。

但是，被廣泛使用的網絡地址轉換（NAT）設備卻制約著基于IPSec技術的VPN的發展，這是因為IPSec協議在VPN中承擔保護傳輸數據的安全性任務。在數據傳輸過程中，任何對IP地址及傳輸標志符的修改，都被視作對該協議的違背，并導致數據包不能通過安全檢查而被丟棄。但在VPN中運用NAT技術，則不可避免地要將私網地址映射為公網地址，即對IP地址要進行修改。因此，在VPN網絡中如何使IPSec和NAT協同工作，實現NAT的透明穿透具有現實意義。

摘要：簡要介紹了通信開關電源的電磁兼容性要求、國內外標準、電磁兼容性的成因、研究解決方法及國內通信開關電源的電磁兼容性現狀。

關鍵詞：通信開關電源電磁兼容性標準

1引言

通信開關電源因具有體積小、重量輕、效率高、工作可靠、可遠程監控等優點，而廣泛應用于程控交換、光數據傳輸、無線基站、有線電視系統及IP網絡中，是信息技術設備正常工作的動力核心。

隨著信息技術的發展，信息技術設備遍布大江南北，從發達的中心城市至偏遠山區，為人與人之間的溝通交流及信息傳輸提供了極大的便利。由于城鄉間的差異，通信設備的供電網既有穩定的大電網供電方式，也有獨立的小水電供電方式。在小水電站供電方式下，因水量的變化、用戶用電量的變化較大及發電設備工作的不穩定，造成電網波形失真嚴重及電壓波動大，同時因配電系統的接線不規范，對通信用開關電源形成了嚴峻的考驗。

鐵路通信及電力通信正在發展壯大。由于電力機車經過之處，產生很強的感應電壓，使地線電壓產生很大的波動，從而引起電網電壓的很大波動，強大的電場容易引起開關電源設備工作的瞬時不穩定。在高壓電網附近運行的通信開關電源，雖然電網電壓穩定，但容易受電網負載變化等引起的強電磁場的干擾影響。

摘要：本文的主要結論為財務數據是中小企業會計電算化推進過程中的重點建設方面，通過“云+端”服務增強數據安全建設；中小企業應順應時展潮流積極由“核算型”向“管理型”轉型，實現財務會計和管理會計有機結合的全面會計電算化；加大對復合型人才的培養力度，只有人才的充實才能切實地解決現在所存在的問題并強力地推動中小企業會計電算化的發展。

關鍵詞：會計電算化；兼容性；復合型人才；中小企業

一、會計電算化兼容方面存在問題

（一）各類財會軟件兼容性差

目前，企業所使用的財會軟件都來自于以下三種方式：1、直接外購，成本費用低，售后服務質量較好，但可行性不足，不一定能滿足企業會計辦公所需；2、自行開發，在一定程度上能夠滿足企業實際業務所需、便于維護及技術升級，但內部保密安全性存在風險，要有一定技術實力作支撐；3、委托第三方機構開發，能夠滿足企業辦公所需，從業人員能得到培訓與學習，但開發成本偏高，技術維護困難。綜上而論，中小企業選擇直接外購比較現實可行，而且我國大部分的中小企業現階段都采取第一種方式：直接向第三方開發商購買。部分公司的整個發展歷程中，其財會軟件的選擇相當雜亂，速達、金算盤、博科、久其、管家婆、浪潮等軟件基本都用過，但隨著企業的發展至多進行硬件的更新而忽略軟件平臺的更新，而開發商都強調突出自己軟件的特點，幾乎絕大部分財會軟件不兼容。更有甚者，同一軟件的財務系統往往也具有兼容性弱的缺陷。各個財會軟件公司缺乏溝通，政府也沒有統一規劃，沒有形成統一性的數據接口，造成數據共享難。

（二）軟件難以正常使用

摘要：系統地分析了TOPSwitchⅡ系列開關電源產生噪聲的主要原因及產生噪聲的回路和部件，給出了相應的抗干擾措施，從而提高了開關電源的電磁兼容性。

關鍵詞：開關電源噪聲電磁兼容性

TOPSwitchⅡ開關電源具有單片集成化、外圍電路簡單、效率高的優點，在大多數的電子設備中得到了廣泛的應用。然而，開關電源自身產生的各種噪聲卻形成了一個很強的電磁干擾源。這些干擾隨著開關頻率的提高、輸出功率的增大而明顯地增強，對電子設備的正常運行構成了潛在的威脅；同時，一些國家對此也有嚴格的指標，不能滿足者將被拒之門外。本文以美國PI公司TOPSwitchⅡ系列為例，介紹開關電源的電磁干擾及其抑制。

1開關電源產生噪聲的原因

開關電源工作在高頻、高壓、大電流開關狀態，并以開和關的時間比來控制輸出電壓的高低。TOPSwitchⅡ系列器件工作頻率為100kHz，電源線路內的dv/dt很大，產生的各種噪聲通過電源線以共?；虿钅７绞较蛲鈧鲗?，同時還向周圍空間輻射噪聲。圖1給出了一種典型TOPSwitchⅡ系列的開關電源電路圖，下面以此為例分析其產生噪聲的主要原因。

1.1電源一次側回路的噪聲

摘要：作為網絡經濟主要運作模式的電子商務,突出地體現了網絡經濟的典型特征———融合。本文在分析網絡經濟融合以及電子商務的各種特征的基礎上,就如何將融合理念貫穿于企業經營管理的整個過程提出了若干具體思路。

關鍵詞：網絡經濟融合電子商務

隨著計算機網絡技術的飛速發展,網絡化和全球化已成為不可抗拒的世界潮流。網絡經濟正漸漸取代傳統的工業經濟,人類社會正在邁向網絡經濟時代,而電子商務則成為這個新經濟時代的熱點。

一、融合是網絡經濟的典型特征

比較工業經濟和網絡經濟這兩種經濟的生產力發展方向,就會清楚地看到:前者的生產力發展總方向是“分化”,在分工產生財富的同時,造成生產與消費的分離,形成“迂回經濟”;而后者的生產力發展總方向則相反,它借助網絡使生產與消費“融合”在一起,通過產消融合造就財富,形成“直接經濟”。這種生產與消費的融合是通過技術融合、功能融合乃至產業與社會的融合而實現的。

(一)技術融合。融合首先起源于技術革命,突出表現在現代通訊技術與計算機技術的結合。計算機在通訊設備中的應用,使通訊系統更加先進、可靠和方便;而計算機之間的通信又有賴于通信網的支持,二者融合的結果,誕生了“信息高速公路”。它第一次使信息真正成為與工業力量對等的力量。與此同時隨著“網絡作為電腦的外圍”逐步轉向“電腦成為網絡的終端”,演繹出現代通信的時代意義:通信不只是作為信息傳遞的手段,它還能在信息存儲和轉換、處理和收發等方面擴展著自身的功能,現代通信技術已成為信息技術的主導和基質?，F代通信的內涵就是信息網,它使得通信網與計算機應用技術的分界越來越模糊。

一、制度兼容、演進與經濟績效

正式制度的目標取向與組織中個人的利益偏好是否一致決定了正式和非正式制度是否兼容，兩者的兼容與否決定了組織和經濟運行的交易成本，而交易成本的大小最終決定了經濟績效的影響，主要通過激勵、監督費用和強化成本三方面進行。一是當一個組織的正式規則與子群體中的成員的偏好和利益一致時，將會大大提高組織的經濟績效。組織中的成員受到一種自我激勵，這種激勵通過正式制度的確立而更加明確。而當博弈的正式和非正式的規則一致時，它們將相互強化。非正式與正式約束的一致性將導致較低的交易成本，因為監督和強化機能以一種非正式的方式取得預期的效果。二是當一個組織的正式規則與子群體中成員的偏好和利益有較大差異時，這種不一致性導致較低的績效。因為首先，對立的規則與規范使經濟行為者無所適從，缺乏激勵。其次，由于組織目標與個人的利益偏好不一致，不能使個人自覺為組織的目標工作，監督成本高，從而導致正式制度的形式化、組織的沖突和摩擦。

用進化博弈論的方法研究制度演進中的兼容性問題的結論：一是進化過程不一定帶來最佳的傳統和制度。由于社會的歷史初期條件的原因，最佳反應動力的結果難以從帕累托劣勢的社會傳統中擺脫出來，即社會體制進化的路徑依賴性。二是與正式制度相比，非正式制度的變遷更具演進特點。且正式制度和非正式制度的變遷受不同之手——“劉易斯之手”和“斯更努之手”的指引。前者是指通過理性的共同知識、主觀的認識和批判，來預設和推動制度的變化；后者指人們只通過他們過去的行為觀察到其獲得的效用，并強化好的行為或繼承壞的行為。因此，在制度演進過程中仍可能出現正式制度與非正式制度的不一致。進化博弈論給出關于克服路徑依賴，實現制度演進中的制度兼容的解決之道：一是通過引入較系統的突然變異，使社會脫離原有的低水平的均衡；二是通過政府政策性介入，將人們的行動轉換到更高支付的戰略上；三是積極促進低水平均衡的社會與具有不同習慣的高水平均衡的社會交流，提高原社會形成更佳習慣的可能性。據此達到新制度的正式制度和非正式制度在較高水平上的兼容，并使兩者以一種非正式制度的形成達到自我強化，通過互動強化，使兩者結合得更加緊密，造成一種報酬遞增的機制，從而降低交易費用，提高經濟績效。（見表1）

總之，在其他條件相同的條件下，如果正式制度與非正式制度一致，則無論是從激勵角度還是從約束角度所需的交易成本都較低，從而導致較高的經濟績效；反之則相反。

二、WTO規則與特區制度兼容、經濟績效

加入WTO，中國面臨WTO規則與中國現存制度的兼容問題。提高制度的兼容性，增強整個制度的經濟績效已成為當務之急，即使中國的經濟特區也不例外。

摘要:通過高速磁浮列車電磁兼容技術系統策略的研究，針對高速常導磁懸浮列車電氣系統設計、整車結構布局、電氣線路敷設及電氣裝置電磁兼容特性分析，基于車輛工序過程及作業單元，充分細化和分解技術標準和要求，明確高速磁浮車輛電磁兼容技術的工程化應用方法及措施。

關鍵詞:高速磁浮車輛;電磁兼容;工藝技術;工程化應用

高速磁浮車輛與安裝于地面軌道的牽引供電、運控通信系統，以及隨車裝載的大功率變頻、變壓逆變器，整流器和各種先進的控制網絡、信號控制等設備，使整列車輛系統形成一個帶有復雜電磁能量的巨大移動源。車輛設備和系統一旦發生電磁干擾問題，輕則導致系統出現信號錯誤，重則導致車輛無法正常運營。因此，通過高速磁浮車輛的工程化研制，充分研究其系統電磁兼容性要求，并通過各種措施明確其工程化應用策略，針對作業過程制定有效的工藝方法，保證整車的電磁兼容性達到系統要求，從而保證軌道車輛產品電磁兼容性、系統性能的穩定可靠。

1高速磁浮列車系統特性及電磁兼容性要求

高速磁浮列車采用電磁懸浮(EMS)方式，車輛與磁浮地面軌道系統具有電耦合，通過車載懸浮磁鐵模塊的激勵產生受控的電磁場。懸浮磁鐵與安裝在磁浮軌道上的直線電機定子鐵芯得電后產生吸力，將車輛整體提升，產生穩定的懸浮。高速磁浮系統電磁兼容性(EMC)分為環境級、系統級、子系統級、部件級、設備(芯片)級等各個層級(見圖1)，以及各層級之間共同存在的EMC問題，而且其寬頻譜、各種騷擾途徑(傳導、感應、輻射)俱全的特點，也使軌道交通車輛的電磁兼容環境異常復雜。特別是磁浮列車在懸浮及高速運行時，車輛與軌道之間沒有任何機械接觸，因此對整個系統的電磁兼容和接地系統采用特殊的系統設計策略和模式。

2高速磁浮列車電磁兼容技術工程化應用