新聞中心

EEPW首頁(yè) > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > 數(shù)字家庭網(wǎng)絡(luò)技術(shù)與發(fā)展

數(shù)字家庭網(wǎng)絡(luò)技術(shù)與發(fā)展

作者: 時(shí)間:2012-12-15 來(lái)源:網(wǎng)絡(luò) 收藏


3.5 安全技術(shù)

  通過(guò)家庭網(wǎng)關(guān)可為家庭網(wǎng)絡(luò)提供一個(gè)全面的網(wǎng)絡(luò)安全解決方案,包括用戶驗(yàn)證、授權(quán)、數(shù)據(jù)保護(hù)等。家庭網(wǎng)關(guān)所采用的安全技術(shù)包括:多SSID和VLAN、802.1X認(rèn)證、WEP和WPA、備份中心、AAA、CA技術(shù)、包過(guò)濾技術(shù)、地址轉(zhuǎn)換、VPN技術(shù)、加密與密鑰交換技術(shù)、ASPF、安全管理等。

(1)多SSID和VLAN技術(shù)

  無(wú)線家庭網(wǎng)關(guān)可以通過(guò)802.11X進(jìn)行家庭內(nèi)部組網(wǎng),家庭網(wǎng)關(guān)支持多SSID可以實(shí)現(xiàn)虛擬AP功能。不同的SSID可以采用不同的認(rèn)證方式及訪問(wèn)權(quán)限,也可映射為不同的VLAN,實(shí)現(xiàn)公共熱點(diǎn)與家庭內(nèi)部網(wǎng)之間的網(wǎng)絡(luò)隔離。

(2)802.1x認(rèn)證

  802.1X認(rèn)證可以實(shí)現(xiàn)雙向認(rèn)證、動(dòng)態(tài)密鑰管理等安全特性。IEEE 802.1x是一種基于端口的認(rèn)證方法,它為每個(gè)端口(物理端口/邏輯端口) 都定義了一個(gè)受控子端口和一個(gè)非受控子端口。非受控子端口主要用于認(rèn)證消息包,而受控子端口在認(rèn)證成功之前是關(guān)閉的,只有在認(rèn)證成功之后才完全打開(kāi),用戶從而可以進(jìn)行正常的通信。802.1x解決的是用戶與網(wǎng)絡(luò)之間的鑒別機(jī)制問(wèn)題,另外802.1x還定義了一套動(dòng)態(tài)密鑰協(xié)商管理機(jī)制,支持無(wú)線口組播和單播密鑰的動(dòng)態(tài)協(xié)商。802.1x具體認(rèn)證協(xié)議由EAP方法決定,其體系結(jié)構(gòu)非常靈活,EAP-TTLS,EAP-SIM,EAP-AKA,PEAP等EAP方法支持雙向鑒權(quán)、用戶賬號(hào)信息匿名傳輸、動(dòng)態(tài)密鑰協(xié)商管理等機(jī)制。EAP-MD5等認(rèn)證方式支持單向鑒權(quán)認(rèn)證。

(3)WEP和WPA

  WEP是802.11標(biāo)準(zhǔn),定義了鏈路級(jí)安全機(jī)制,支持共享密鑰方式鑒權(quán)和MAC層數(shù)據(jù)加密,密鑰長(zhǎng)度為40或104位,使用RC4對(duì)稱(chēng)流加密算法。WEP安全性非常脆弱,其密鑰很容易破譯,容易實(shí)施各種攻擊如DoS、重放等。WPA V1.0采用802.1x認(rèn)證或共享密鑰認(rèn)證,在加密算法上采用基于WEP算法的TKIP。TKIP在WEP基礎(chǔ)上增加了一些新的輔助算法函數(shù),以支持對(duì)MSDU的加密,分片,數(shù)據(jù)源的驗(yàn)證及防重播保護(hù)等功能。

(4)AAA認(rèn)證

  部分高端型號(hào)家庭網(wǎng)關(guān)具有認(rèn)證點(diǎn)的功能,可以對(duì)接入家庭內(nèi)部網(wǎng)絡(luò)的用戶進(jìn)行驗(yàn)證、授權(quán)及記賬功能。

(5)CA技術(shù)

  CA技術(shù)是安全認(rèn)證技術(shù)的一種,它基于公開(kāi)密鑰體系通過(guò)安全證書(shū)來(lái)實(shí)現(xiàn)。安全證書(shū)采用國(guó)際標(biāo)準(zhǔn)的X.509證書(shū)格式,主要包括證書(shū)的版本號(hào)、發(fā)證CA的身份信息、持證用戶的身份信息、持證用戶的公鑰、證書(shū)的有效期以及其他一些附加信息。證書(shū)由發(fā)證CA數(shù)字簽名,保證了證書(shū)不可偽造并且不能被更改。安全證書(shū)由CA中心分發(fā)并維護(hù)。家庭網(wǎng)關(guān)實(shí)現(xiàn)對(duì)CA中心的支持,包含兩方面的內(nèi)容。其一是針對(duì)CA中心的管理功能完成與CA中心的交互;其二即是家庭網(wǎng)關(guān)作為通信實(shí)體的認(rèn)證功能。一般來(lái)說(shuō),安全證書(shū)的操作采取離線分發(fā)、本地驗(yàn)證的方式。

(6)包過(guò)濾技術(shù)

  IP報(bào)文的IP報(bào)頭及所承載的上層協(xié)議(如TCP)報(bào)頭的每個(gè)域包含了可以由路由器進(jìn)行處理的信息。包過(guò)濾通常用到IP報(bào)文的以下屬性:

●IP的源、目的地址及協(xié)議域;

●TCP或UDP的源、目的端口;

●ICMP碼、ICMP的類(lèi)型域;

●TCP的標(biāo)志域;

●表示請(qǐng)求連接的單獨(dú)的SYN;

●表示連接確認(rèn)的SYN/ACK;

●表示正在使用的一個(gè)會(huì)話連接;

●表示連接終斷的FIN。

  可以由這些域的各式各樣的組合形成不同的規(guī)則。家庭網(wǎng)關(guān)提供了基于接口的包過(guò)濾,即可以在寬帶上行口的進(jìn)出兩個(gè)方向上對(duì)報(bào)文進(jìn)行過(guò)濾。同時(shí)還提供了基于時(shí)間段的包過(guò)濾,可以規(guī)定過(guò)濾規(guī)則發(fā)生作用的時(shí)間范圍,比如上例中可設(shè)置每周一的8:00~20:00允許FTP報(bào)文進(jìn)入以完成必要的服務(wù),而其余時(shí)間則禁止FTP連接。在時(shí)間段的設(shè)置上,可以采用絕對(duì)時(shí)間段和周期時(shí)間段以及連續(xù)時(shí)間段和離散時(shí)間段配合使用,在應(yīng)用上具有極大的靈活性。并且這樣的時(shí)間段可以方便地提供給其他的功能模塊使用,如地址轉(zhuǎn)換、IPSec等。

(7)VPN技術(shù)

  虛擬私有網(wǎng)(Virtual Private Network)簡(jiǎn)稱(chēng)為VPN,是近年來(lái)隨著Internet的發(fā)展而迅速發(fā)展起來(lái)的一種技術(shù)。主要分為Access VPN和Intranet VPN。遠(yuǎn)程用戶可以通過(guò)Access VPN接入家庭網(wǎng)關(guān),實(shí)現(xiàn)對(duì)家庭網(wǎng)絡(luò)的安全遠(yuǎn)程訪問(wèn)和控制。家庭網(wǎng)關(guān)可通過(guò)Intranet VPN接入公司的VPN網(wǎng)關(guān),實(shí)現(xiàn)Intranet。

(8)ASPF技術(shù)

  ASPF是一種高級(jí)通信過(guò)濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接,每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過(guò)防火墻或丟棄。家庭網(wǎng)關(guān)提供基于報(bào)文內(nèi)容的訪問(wèn)控制,即ASPF,能夠?qū)?yīng)用層的一部分攻擊加以檢測(cè)和防范,包括對(duì)于SMTP命令的檢測(cè)、SYN flooding、Packet Injection的檢測(cè)。

(9)IDS技術(shù)

  入侵檢測(cè)系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。入侵檢測(cè)系統(tǒng)全稱(chēng)為Intrusion Detective System,它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)。

3.6 QoS技術(shù)

  家庭網(wǎng)絡(luò)中需要共享和傳送多種多樣的媒體內(nèi)容,有話音、視頻、網(wǎng)上瀏覽、靜態(tài)圖片、文字、控制消息等,這些業(yè)務(wù)對(duì)于網(wǎng)絡(luò)的服務(wù)質(zhì)量有截然不同的要求。家庭網(wǎng)絡(luò)中采用的組網(wǎng)技術(shù)是多種多樣的,有無(wú)線、有線等,因此如何在這樣的環(huán)境中保證每類(lèi)業(yè)務(wù)的服務(wù)質(zhì)量是一個(gè)重要的課題。QoS的實(shí)現(xiàn)首先需要在家庭網(wǎng)關(guān)上實(shí)現(xiàn)外部網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)之間的帶寬映射分配機(jī)制,將外部網(wǎng)絡(luò)中業(yè)務(wù)流按照家庭網(wǎng)絡(luò)情況進(jìn)行重新映射分配,需要在家庭網(wǎng)關(guān)上實(shí)現(xiàn)帶寬的動(dòng)態(tài)預(yù)留和分配功能,家庭網(wǎng)關(guān)需要同時(shí)實(shí)現(xiàn)外部網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)的服務(wù)質(zhì)量機(jī)制,保證端到端的QoS;另外,需要對(duì)家庭中各個(gè)終端的QoS能力進(jìn)行定義,制定終端設(shè)備和家庭網(wǎng)關(guān)之間的QoS信令機(jī)制。

評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉