新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設(shè)計應(yīng)用 > 數(shù)字家庭網(wǎng)絡(luò)技術(shù)與發(fā)展

數(shù)字家庭網(wǎng)絡(luò)技術(shù)與發(fā)展

作者: 時間:2012-12-15 來源:網(wǎng)絡(luò) 收藏


3.5 安全技術(shù)

  通過家庭網(wǎng)關(guān)可為家庭網(wǎng)絡(luò)提供一個全面的網(wǎng)絡(luò)安全解決方案,包括用戶驗證、授權(quán)、數(shù)據(jù)保護(hù)等。家庭網(wǎng)關(guān)所采用的安全技術(shù)包括:多SSID和VLAN、802.1X認(rèn)證、WEP和WPA、備份中心、AAA、CA技術(shù)、包過濾技術(shù)、地址轉(zhuǎn)換、VPN技術(shù)、加密與密鑰交換技術(shù)、ASPF、安全管理等。

(1)多SSID和VLAN技術(shù)

  無線家庭網(wǎng)關(guān)可以通過802.11X進(jìn)行家庭內(nèi)部組網(wǎng),家庭網(wǎng)關(guān)支持多SSID可以實現(xiàn)虛擬AP功能。不同的SSID可以采用不同的認(rèn)證方式及訪問權(quán)限,也可映射為不同的VLAN,實現(xiàn)公共熱點與家庭內(nèi)部網(wǎng)之間的網(wǎng)絡(luò)隔離。

(2)802.1x認(rèn)證

  802.1X認(rèn)證可以實現(xiàn)雙向認(rèn)證、動態(tài)密鑰管理等安全特性。IEEE 802.1x是一種基于端口的認(rèn)證方法,它為每個端口(物理端口/邏輯端口) 都定義了一個受控子端口和一個非受控子端口。非受控子端口主要用于認(rèn)證消息包,而受控子端口在認(rèn)證成功之前是關(guān)閉的,只有在認(rèn)證成功之后才完全打開,用戶從而可以進(jìn)行正常的通信。802.1x解決的是用戶與網(wǎng)絡(luò)之間的鑒別機(jī)制問題,另外802.1x還定義了一套動態(tài)密鑰協(xié)商管理機(jī)制,支持無線口組播和單播密鑰的動態(tài)協(xié)商。802.1x具體認(rèn)證協(xié)議由EAP方法決定,其體系結(jié)構(gòu)非常靈活,EAP-TTLS,EAP-SIM,EAP-AKA,PEAP等EAP方法支持雙向鑒權(quán)、用戶賬號信息匿名傳輸、動態(tài)密鑰協(xié)商管理等機(jī)制。EAP-MD5等認(rèn)證方式支持單向鑒權(quán)認(rèn)證。

(3)WEP和WPA

  WEP是802.11標(biāo)準(zhǔn),定義了鏈路級安全機(jī)制,支持共享密鑰方式鑒權(quán)和MAC層數(shù)據(jù)加密,密鑰長度為40或104位,使用RC4對稱流加密算法。WEP安全性非常脆弱,其密鑰很容易破譯,容易實施各種攻擊如DoS、重放等。WPA V1.0采用802.1x認(rèn)證或共享密鑰認(rèn)證,在加密算法上采用基于WEP算法的TKIP。TKIP在WEP基礎(chǔ)上增加了一些新的輔助算法函數(shù),以支持對MSDU的加密,分片,數(shù)據(jù)源的驗證及防重播保護(hù)等功能。

(4)AAA認(rèn)證

  部分高端型號家庭網(wǎng)關(guān)具有認(rèn)證點的功能,可以對接入家庭內(nèi)部網(wǎng)絡(luò)的用戶進(jìn)行驗證、授權(quán)及記賬功能。

(5)CA技術(shù)

  CA技術(shù)是安全認(rèn)證技術(shù)的一種,它基于公開密鑰體系通過安全證書來實現(xiàn)。安全證書采用國際標(biāo)準(zhǔn)的X.509證書格式,主要包括證書的版本號、發(fā)證CA的身份信息、持證用戶的身份信息、持證用戶的公鑰、證書的有效期以及其他一些附加信息。證書由發(fā)證CA數(shù)字簽名,保證了證書不可偽造并且不能被更改。安全證書由CA中心分發(fā)并維護(hù)。家庭網(wǎng)關(guān)實現(xiàn)對CA中心的支持,包含兩方面的內(nèi)容。其一是針對CA中心的管理功能完成與CA中心的交互;其二即是家庭網(wǎng)關(guān)作為通信實體的認(rèn)證功能。一般來說,安全證書的操作采取離線分發(fā)、本地驗證的方式。

(6)包過濾技術(shù)

  IP報文的IP報頭及所承載的上層協(xié)議(如TCP)報頭的每個域包含了可以由路由器進(jìn)行處理的信息。包過濾通常用到IP報文的以下屬性:

●IP的源、目的地址及協(xié)議域;

●TCP或UDP的源、目的端口;

●ICMP碼、ICMP的類型域;

●TCP的標(biāo)志域;

●表示請求連接的單獨的SYN;

●表示連接確認(rèn)的SYN/ACK;

●表示正在使用的一個會話連接;

●表示連接終斷的FIN。

  可以由這些域的各式各樣的組合形成不同的規(guī)則。家庭網(wǎng)關(guān)提供了基于接口的包過濾,即可以在寬帶上行口的進(jìn)出兩個方向上對報文進(jìn)行過濾。同時還提供了基于時間段的包過濾,可以規(guī)定過濾規(guī)則發(fā)生作用的時間范圍,比如上例中可設(shè)置每周一的8:00~20:00允許FTP報文進(jìn)入以完成必要的服務(wù),而其余時間則禁止FTP連接。在時間段的設(shè)置上,可以采用絕對時間段和周期時間段以及連續(xù)時間段和離散時間段配合使用,在應(yīng)用上具有極大的靈活性。并且這樣的時間段可以方便地提供給其他的功能模塊使用,如地址轉(zhuǎn)換、IPSec等。

(7)VPN技術(shù)

  虛擬私有網(wǎng)(Virtual Private Network)簡稱為VPN,是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)。主要分為Access VPN和Intranet VPN。遠(yuǎn)程用戶可以通過Access VPN接入家庭網(wǎng)關(guān),實現(xiàn)對家庭網(wǎng)絡(luò)的安全遠(yuǎn)程訪問和控制。家庭網(wǎng)關(guān)可通過Intranet VPN接入公司的VPN網(wǎng)關(guān),實現(xiàn)Intranet。

(8)ASPF技術(shù)

  ASPF是一種高級通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對于所有連接,每一個連接狀態(tài)信息都將被ASPF維護(hù)并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。家庭網(wǎng)關(guān)提供基于報文內(nèi)容的訪問控制,即ASPF,能夠?qū)?yīng)用層的一部分攻擊加以檢測和防范,包括對于SMTP命令的檢測、SYN flooding、Packet Injection的檢測。

(9)IDS技術(shù)

  入侵檢測系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。入侵檢測系統(tǒng)全稱為Intrusion Detective System,它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門。

3.6 QoS技術(shù)

  家庭網(wǎng)絡(luò)中需要共享和傳送多種多樣的媒體內(nèi)容,有話音、視頻、網(wǎng)上瀏覽、靜態(tài)圖片、文字、控制消息等,這些業(yè)務(wù)對于網(wǎng)絡(luò)的服務(wù)質(zhì)量有截然不同的要求。家庭網(wǎng)絡(luò)中采用的組網(wǎng)技術(shù)是多種多樣的,有無線、有線等,因此如何在這樣的環(huán)境中保證每類業(yè)務(wù)的服務(wù)質(zhì)量是一個重要的課題。QoS的實現(xiàn)首先需要在家庭網(wǎng)關(guān)上實現(xiàn)外部網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)之間的帶寬映射分配機(jī)制,將外部網(wǎng)絡(luò)中業(yè)務(wù)流按照家庭網(wǎng)絡(luò)情況進(jìn)行重新映射分配,需要在家庭網(wǎng)關(guān)上實現(xiàn)帶寬的動態(tài)預(yù)留和分配功能,家庭網(wǎng)關(guān)需要同時實現(xiàn)外部網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)的服務(wù)質(zhì)量機(jī)制,保證端到端的QoS;另外,需要對家庭中各個終端的QoS能力進(jìn)行定義,制定終端設(shè)備和家庭網(wǎng)關(guān)之間的QoS信令機(jī)制。

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉