我國發(fā)展道路的一個鮮明特征，就是通過對外開放，促進(jìn)思想解放和改革創(chuàng)新，利用兩個市場、兩種資源，提高資源配置效率，提升競爭能力。只有開放兼容，國家才能富強(qiáng)。過去5年是改革開放和全面建設(shè)小康社會取得重大進(jìn)展的5年，開放型經(jīng)濟(jì)進(jìn)入新階段。我們應(yīng)繼續(xù)保持踏實理性、學(xué)習(xí)借鑒、兼收并蓄、互利共贏的開放心態(tài)，更加自信和自覺地推進(jìn)對外開放，拓展對外開放廣度和深度，提高開放型經(jīng)濟(jì)水平。

“開放也是改革，開放兼容才能強(qiáng)國。”總理在不久前閉幕的第十一屆全國人大一次會議上所作的《政府工作報告》（以下簡稱《報告》），高度評價了改革開放**年的偉大成就和過去5年對外開放的新進(jìn)展，強(qiáng)調(diào)堅定不移繼續(xù)推進(jìn)改革開放，并全面部署了今年的對外開放工作。這里，從對外開放的角度談?wù)剬W(xué)習(xí)《報告》的體會。

對外開放使我國發(fā)生了歷史性巨變

我國改革開放已經(jīng)走過近**年歷程。《報告》強(qiáng)調(diào)指出了改革開放的重大歷史意義：改革開放使中國發(fā)生了歷史性的巨大變化，改革開放是決定當(dāng)代中國命運重大而關(guān)鍵的抉擇。

對外開放近**年成績巨大。我國發(fā)展道路的一個鮮明特征，就是通過對外開放，促進(jìn)思想解放和改革創(chuàng)新，利用兩個市場、兩種資源，提高資源配置效率，提升競爭能力。**年來，我國對外開放成績巨大。一是擴(kuò)大對外貿(mào)易和吸引外資。****年，我國對外貿(mào)易總額僅為****億美元，居世界第二十二位；吸收外資和對外投資都不到****萬美元。****年，我國對外貿(mào)易總額已達(dá)****萬億美元，居世界第三位，其中出口居第二位；吸收外商直接投資和對外直接投資分別達(dá)到****億美元和****億美元，均居發(fā)展中國家第一位。二是帶動經(jīng)濟(jì)增長。****年―****年，我國國內(nèi)生產(chǎn)總值年均增長****%，同期對外貿(mào)易年均增長****%，吸收外資年均增長****%，對外投資年均增長****%。****年與1985年相比，按不變價計算，我國國內(nèi)生產(chǎn)總值、貿(mào)易總額、出口、吸收外資和對外投資分別增長了****倍、****倍、****倍、****倍和****倍。對外開放各項指標(biāo)均高于國內(nèi)生產(chǎn)總值增長速度，表明開放是增長的重要源泉。三是擴(kuò)大就業(yè)和提高收入。目前外商投資企業(yè)的就業(yè)人員已達(dá)42**萬人，再加上非外資出口企業(yè)的就業(yè)和勞務(wù)輸出等，涉外經(jīng)濟(jì)中的直接就業(yè)人數(shù)超過8***萬。我國出口就業(yè)密度遠(yuǎn)遠(yuǎn)高于進(jìn)口就業(yè)密度，特別是加工貿(mào)易，大部分是進(jìn)口國外資源和資金密集產(chǎn)品經(jīng)再加工后出口的，這實質(zhì)上是勞動力的間接出口。涉外就業(yè)崗位的收入水平也相對較高，外商投資企業(yè)員工的工資水平在2**3年以前是各類企業(yè)中最高的，近幾年也僅略低于少數(shù)國有中央企業(yè)。四是提升產(chǎn)業(yè)結(jié)構(gòu)和出口商品結(jié)構(gòu)。國內(nèi)企業(yè)進(jìn)口了大量先進(jìn)技術(shù)設(shè)備，外資企業(yè)大多數(shù)引進(jìn)使用先進(jìn)和比較先進(jìn)的技術(shù)，在華外資研發(fā)中心已超過11**家。在高技術(shù)產(chǎn)業(yè)產(chǎn)值中，外資企業(yè)所占的比重超過一半。****年我國機(jī)電產(chǎn)品和高技術(shù)產(chǎn)品出口額中，外資企業(yè)所占的比重分別達(dá)到73%和87%。國內(nèi)企業(yè)通過與出口企業(yè)和外商投資企業(yè)的競爭與合作，學(xué)習(xí)到先進(jìn)經(jīng)營理念、技術(shù)、管理和營銷模式。最近幾年，人力資源較多地在國內(nèi)外企業(yè)之間流動，帶動大量知識和技術(shù)流動。在外向度較高的行業(yè)中，已有一些國內(nèi)企業(yè)成長起來，開始具有全球競爭力和重要市場地位。五是緩解資源環(huán)境壓力。****年，我國初級產(chǎn)品凈進(jìn)口達(dá)到****億美元，緩解了資源約束。通過進(jìn)口資源密集型產(chǎn)品，我們還間接進(jìn)口了不可貿(mào)易的短缺資源。據(jù)聯(lián)合國糧農(nóng)組織測算，以糧食貿(mào)易為載體間接交易的淡水量，相當(dāng)于全球糧食生產(chǎn)用水的13%。國內(nèi)有關(guān)研究表明，2**6年我國進(jìn)口大豆3150萬噸，如果在國內(nèi)種植約需要耕地****萬公頃，相當(dāng)于黑龍江省大豆種植面積的5倍。六是推動體制改革和制度創(chuàng)新。改革開放以來設(shè)立的4個經(jīng)濟(jì)特區(qū)和以后陸續(xù)增加的開放城市和地區(qū)，在建立社會主義市場經(jīng)濟(jì)體制方面先試先行，提供了豐富經(jīng)驗。對外開放還推動著政企關(guān)系、企業(yè)治理結(jié)構(gòu)、外貿(mào)和外匯管理等方面體制的變革，促進(jìn)商品和各類生產(chǎn)要素市場的形成和完善。涉外經(jīng)濟(jì)法律法規(guī)成為社會主義市場經(jīng)濟(jì)法律體系的重要內(nèi)容。

過去5年開放邁出重大步伐。《報告》指出，過去5年是改革開放和全面建設(shè)小康社會取得重大進(jìn)展的5年，開放型經(jīng)濟(jì)進(jìn)入新階段。一是對外貿(mào)易快速增長，結(jié)構(gòu)進(jìn)一步改善。****年與****年相比，進(jìn)出口總額增加了2.5倍，世界排名上升3位；機(jī)電產(chǎn)品、高技術(shù)產(chǎn)品占出口總額的比重分別提高了9.2個百分點和7.7個百分點。通過調(diào)整出口退稅、出口關(guān)稅和加工貿(mào)易等政策，控制“兩高一資”商品出口和促進(jìn)加工貿(mào)易轉(zhuǎn)型升級取得明顯成效。二是跨境投資雙向加速。過去5年，我國服務(wù)業(yè)開放速度加快。****年服務(wù)業(yè)（含金融業(yè)）實際吸收外資達(dá)4**億美元，占吸收外資總額的52%，比****年的比重提高近1倍。利用外資渠道不斷拓寬，****年國內(nèi)企業(yè)通過海外上市融資近4**億美元。對外投資由****年的25億美元上升到****年的****億美元，增長6.5倍，我國成為最大的發(fā)展中海外投資母國。三是對外開放領(lǐng)域制度建設(shè)達(dá)到新的水平。貿(mào)易和投資自由化、便利化程度進(jìn)一步提高。按照世貿(mào)組織規(guī)則的要求，不斷完善涉外法律法規(guī)體系，特別是對主要知識產(chǎn)權(quán)法律法規(guī)進(jìn)行了修訂。

摘要網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)與IPSec在因特網(wǎng)上都是得到廣泛應(yīng)用的技術(shù)，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協(xié)議的基本原理，分析了兩者的不兼容性，然后討論了解決該問題必須滿足的要求，最后給出了利用UDP封裝法實現(xiàn)NAT透明穿透的解決方案。關(guān)鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術(shù)的虛擬專用網(wǎng)（VirtualProfessionalNetwork，簡稱VPN）是通過Internet平臺將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計算機(jī)用戶的一種成本效益極佳的方法。隨著網(wǎng)絡(luò)安全技術(shù)的飛快發(fā)展，越來越多大型企業(yè)利用互聯(lián)網(wǎng)采用IPSec技術(shù)建立VPN網(wǎng)絡(luò)，IPSec已逐漸成為VPN構(gòu)建的主流技術(shù)。IP安全協(xié)議（IPSecurityProtocol，簡稱IPSec）是由互聯(lián)網(wǎng)工程工業(yè)組（InternetEngineeringTaskForce，簡稱IETF）1998年底規(guī)劃并制定的網(wǎng)絡(luò)IP層標(biāo)準(zhǔn)。IPSec不僅可以為IP協(xié)議層以上所有的高層協(xié)議和應(yīng)用提供一致性的安全保護(hù)，而且除了可用于IPv4之外，也可用于下一代IP協(xié)議IPv6。另外，NAT（NetworkAddressTranslation）技術(shù)通過改變進(jìn)出內(nèi)部網(wǎng)絡(luò)的IP數(shù)據(jù)包的源和目的地址，把無效的內(nèi)部網(wǎng)絡(luò)地址翻譯成合法的IP地址在Internet上使用。該技術(shù)一方面可以把私有IP地址隱藏起來，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)，對內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用；另一方面，它可以緩解由于IPv4先天設(shè)計上的不足，而導(dǎo)致的IP地址嚴(yán)重短缺的現(xiàn)狀。但是，被廣泛使用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備卻制約著基于IPSec技術(shù)的VPN的發(fā)展，這是因為IPSec協(xié)議在VPN中承擔(dān)保護(hù)傳輸數(shù)據(jù)的安全性任務(wù)。在數(shù)據(jù)傳輸過程中，任何對IP地址及傳輸標(biāo)志符的修改，都被視作對該協(xié)議的違背，并導(dǎo)致數(shù)據(jù)包不能通過安全檢查而被丟棄。但在VPN中運用NAT技術(shù)，則不可避免地要將私網(wǎng)地址映射為公網(wǎng)地址，即對IP地址要進(jìn)行修改。因此，在VPN網(wǎng)絡(luò)中如何使IPSec和NAT協(xié)同工作，實現(xiàn)NAT的透明穿透具有現(xiàn)實意義。2協(xié)議介紹2.1IPSecIPSec包括安全協(xié)議和密鑰管理兩部分。其中，AH和ESP是兩個安全協(xié)議，提供數(shù)據(jù)源驗證、面向無連接的數(shù)據(jù)完整性、抗重放、數(shù)據(jù)機(jī)密性和有限抗流量分析等安全任務(wù)。為了能夠?qū)⑾鄳?yīng)的安全服務(wù)、算法和密鑰應(yīng)用于需要保護(hù)的安全通道，IPSec規(guī)定兩個通信實體進(jìn)行IPSec通信之前首先構(gòu)建安全關(guān)聯(lián)SA。SA規(guī)定了通信實體雙方所需要的具體安全協(xié)議、加密算法、認(rèn)證算法以及密鑰。IKE提供了用來協(xié)商、交換和更新SA以及密鑰的完整機(jī)制。IPSec定義了兩種類型的封裝模式——傳輸模式和隧道模式。傳輸模式只對IP分組應(yīng)用IPSec協(xié)議，對IP報頭不進(jìn)行任何修改，它只能應(yīng)用于主機(jī)對主機(jī)的IPSec虛擬專用網(wǎng)VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來了。隧道主要應(yīng)用于主機(jī)到網(wǎng)關(guān)的遠(yuǎn)程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址或用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。NAT有三種類型：靜態(tài)NAT、動態(tài)地址NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。其中靜態(tài)NAT設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據(jù)協(xié)議的定義，我們知道IPSec和NAT兩個協(xié)議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對AH的影響IPSecAH進(jìn)行驗證的時候，處理的是整個IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設(shè)備，NAT設(shè)備就會修改外層IP包頭的源地址并修改其校驗和，這樣接收方會因認(rèn)證失敗而丟棄該包。2）NAT對ESP的影響TCP/UDP校驗和地計算涉及一個虛構(gòu)的IP包頭，該包頭含有IP源和目的地址。因此，當(dāng)NAT設(shè)備改變IP地址時也需要更新IP頭和TCP/UDP校驗和。如果采用ESP傳輸模式，IP包經(jīng)過NAT設(shè)備時，NAT設(shè)備修改了IP包頭，但是TCP/UDP校驗和由于處于加密負(fù)載中而無法被修改。這樣，該信包經(jīng)過IPSec層后將因為TCP協(xié)議層的校驗和的錯誤而被丟棄。另外，由于TCP/UDP校驗和只與內(nèi)層原始IP包頭有關(guān)，外層IP包頭的修改并不對其造成影響，因此采用ESP隧道模式和僅靜態(tài)或動態(tài)NAT的情況下不存在TCP校驗和的問題。但是，在NAPT情況下，因為NAPT需要TCP/UDP端口來匹配出入信包，而端口號受到ESP加密保護(hù)，所以ESP分組通信將會失敗。3）NAT對IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經(jīng)過NAT后，會導(dǎo)致IKE協(xié)商的失敗。IKE協(xié)議使用固定目的端口500，當(dāng)NAPT設(shè)備后的多個主機(jī)向同一響應(yīng)者發(fā)起SA協(xié)商時，為了實現(xiàn)多路分發(fā)返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應(yīng)者應(yīng)該能處理端口號并非500的IKE協(xié)商請求，但往往NAPT對UDP端口的映射很快會被刪除，再協(xié)商的過程就將出現(xiàn)一些不可預(yù)見的問題，很容易導(dǎo)致NAPT設(shè)備無法將協(xié)商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉(zhuǎn)換情況下才可以實現(xiàn)IPSec數(shù)據(jù)流的NAT穿越。這一方法既降低了IPSec協(xié)議的安全性，又限制了NAT的工作方式，因此在實際應(yīng)用中可行度較差。4IPSec與NAT的兼容性要求在現(xiàn)有的條件下，為了推動基于IPSec的VPN的發(fā)展，IPSec和NAT兼容性解決方案需要滿足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個過渡的解決辦法必須比IPv6易于部署。應(yīng)該只需修改主機(jī)，無需改變路由器，在短時間內(nèi)能與現(xiàn)存的路由器和NAT產(chǎn)品協(xié)同工作。2）遠(yuǎn)程訪問IPSec的一個重要應(yīng)用是遠(yuǎn)程訪問公司的內(nèi)部網(wǎng)絡(luò)。NAT穿越方案必須考慮遠(yuǎn)程客戶端與VPN網(wǎng)關(guān)之間存在多個NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應(yīng)該避免對IKE或IPSec目的端口的動態(tài)分配，使防火墻管理員進(jìn)行簡單的配置，就可以控制穿越NAT的IPSec數(shù)據(jù)流。4）可擴(kuò)展性IPSec和NAT兼容性方案應(yīng)具有良好的擴(kuò)展性，必須保證在大規(guī)模遠(yuǎn)程訪問的環(huán)境中，在大量遠(yuǎn)程接入的環(huán)境下，同一時間段多個主機(jī)和遠(yuǎn)程安全網(wǎng)關(guān)建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實現(xiàn)互操作。穿越方案應(yīng)該能自動檢測是否存在NAT，能判斷通信對方的IKE實現(xiàn)是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來新的安全漏洞。5利用UDP封裝法實現(xiàn)NAT的穿透本文中的解決方案是采用UDP封裝法實現(xiàn)NAT的透明穿透，不需要修改現(xiàn)有的NAT網(wǎng)關(guān)和路由器。所以該方案具有簡單且易于實現(xiàn)的優(yōu)點，缺點是由于添加了一個UDP報文頭，而加大了帶寬開銷，但相對于目前持續(xù)擴(kuò)大的傳輸帶寬來說，這個UDP報文頭的帶寬開銷可以忽略不計。下面詳細(xì)討論其原理和實現(xiàn)過程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數(shù)據(jù)之間再封裝一個UDP頭，這樣封裝后的數(shù)據(jù)包端口值對NAT可見，就可以正確的實現(xiàn)端口轉(zhuǎn)換。UDP封裝格式如圖1所示。UDP封裝格式另外，由于IKE已經(jīng)使用了UDP的500端口，為了簡化配置和避免多個端口帶來的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來區(qū)分端口500的數(shù)據(jù)包是IKE消息還是UDP封裝的ESP。為了區(qū)分兩者，我們采用在IKE報頭添加Non-ESP標(biāo)記。在確定存在一個中間NAT之后，支持IPSecNAT-T的對話方開始使用新的IKE報頭。5.2IKE協(xié)商過程IPSec通信實體雙方是否采用UDP封裝取決于對話對方是否支持該方法以及是否存在NAT設(shè)備，這個過程通過IKE協(xié)商來完成。在IKE協(xié)商過程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類型。1）新的NAT-Discovery(NAT-D)有效載荷這個新的有效載荷包含一個散列值，它整合了一個地址和端口號。在主模式協(xié)商期間，即IKE協(xié)商第一階段第三、四條消息中，IPSec對話方包括兩個NAT-Discovery有效載荷——一個用于目標(biāo)地址和端口，另一個用于源地址和端口。接收方使用NAT-Discovery有效載荷來發(fā)現(xiàn)NAT之后是否存在一個經(jīng)NAT轉(zhuǎn)換過的地址或端口號，并基于被改變的地址和端口號來確定是否有對話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個新的有效載荷包含IPSec對話方的原始地址。對于UDP封裝的ESP傳輸模式，每個對話方在快速模式協(xié)商期間發(fā)送NAT-OA有效載荷。接收方將這個地址存儲在用于SA的參數(shù)中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協(xié)商期間指定的，用于通知IPSec對話方應(yīng)該對ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來封裝IPSec分組的思想只解決了NAPT設(shè)備不支持AH和ESP通信的問題。例如TCP校驗和錯誤、UDP端口映射的保持等問題還需要輔助方法來解決。為保證校驗和正確無誤，通信雙方需將自身的原始IP地址和端口發(fā)送給對方，即實現(xiàn)地址通告。地址通告的實現(xiàn)通過IKE第二階段的前兩條消息中的NAT-OA有效載荷。因為NAT-OA有效載荷中包含IPSec對話方的原始地址，為此，接收方就擁有了檢驗解密之后的上層校驗和所需的信息。消息發(fā)起者在NAT中創(chuàng)建了一個UDP端口映射，它在初始主模式和快速模式IKE協(xié)商期間使用。然而，NAT中的UDP映射通常超過一定時間沒用就會被刪除掉。如果響應(yīng)者隨后向發(fā)起者發(fā)送IKE消息卻沒有提供UDP端口映射，那么這些消息將被NAT丟棄。這個問題的解決辦法是通過定期發(fā)送Keepalive包，用于后續(xù)IKE協(xié)商和UDP封裝的ESP的UDP端口映射同時在NAT中得到刷新，從而保證通信的正常運行。6結(jié)束語IPSec作為網(wǎng)絡(luò)層的安全協(xié)議，目前的應(yīng)用越來越廣泛,已成為構(gòu)建VPN的基礎(chǔ)協(xié)議之一。而由于IPv6取代IPv4將是一個漫長的過程，NAT設(shè)備的廣泛存在極大地限制了IP層安全協(xié)議IPSec的推廣，因此在目前的條件下，UDP封裝方法無疑是一種在當(dāng)前環(huán)境下無需修改NAT網(wǎng)關(guān)和路由器、簡單可接受的解決IPSec和NAT兼容性的方法，具有一定的現(xiàn)實意義。但是該方案還不完善，有待進(jìn)一步討論和研究。參考文獻(xiàn)[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

摘要網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)與IPSec在因特網(wǎng)上都是得到廣泛應(yīng)用的技術(shù)，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協(xié)議的基本原理，分析了兩者的不兼容性，然后討論了解決該問題必須滿足的要求，最后給出了利用UDP封裝法實現(xiàn)NAT透明穿透的解決方案。關(guān)鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術(shù)的虛擬專用網(wǎng)（VirtualProfessionalNetwork，簡稱VPN）是通過Internet平臺將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計算機(jī)用戶的一種成本效益極佳的方法。隨著網(wǎng)絡(luò)安全技術(shù)的飛快發(fā)展，越來越多大型企業(yè)利用互聯(lián)網(wǎng)采用IPSec技術(shù)建立VPN網(wǎng)絡(luò)，IPSec已逐漸成為VPN構(gòu)建的主流技術(shù)。IP安全協(xié)議（IPSecurityProtocol，簡稱IPSec）是由互聯(lián)網(wǎng)工程工業(yè)組（InternetEngineeringTaskForce，簡稱IETF）1998年底規(guī)劃并制定的網(wǎng)絡(luò)IP層標(biāo)準(zhǔn)。IPSec不僅可以為IP協(xié)議層以上所有的高層協(xié)議和應(yīng)用提供一致性的安全保護(hù)，而且除了可用于IPv4之外，也可用于下一代IP協(xié)議IPv6。另外，NAT（NetworkAddressTranslation）技術(shù)通過改變進(jìn)出內(nèi)部網(wǎng)絡(luò)的IP數(shù)據(jù)包的源和目的地址，把無效的內(nèi)部網(wǎng)絡(luò)地址翻譯成合法的IP地址在Internet上使用。該技術(shù)一方面可以把私有IP地址隱藏起來，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)，對內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用；另一方面，它可以緩解由于IPv4先天設(shè)計上的不足，而導(dǎo)致的IP地址嚴(yán)重短缺的現(xiàn)狀。但是，被廣泛使用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備卻制約著基于IPSec技術(shù)的VPN的發(fā)展，這是因為IPSec協(xié)議在VPN中承擔(dān)保護(hù)傳輸數(shù)據(jù)的安全性任務(wù)。在數(shù)據(jù)傳輸過程中，任何對IP地址及傳輸標(biāo)志符的修改，都被視作對該協(xié)議的違背，并導(dǎo)致數(shù)據(jù)包不能通過安全檢查而被丟棄。但在VPN中運用NAT技術(shù)，則不可避免地要將私網(wǎng)地址映射為公網(wǎng)地址，即對IP地址要進(jìn)行修改。因此，在VPN網(wǎng)絡(luò)中如何使IPSec和NAT協(xié)同工作，實現(xiàn)NAT的透明穿透具有現(xiàn)實意義。2協(xié)議介紹2.1IPSecIPSec包括安全協(xié)議和密鑰管理兩部分。其中，AH和ESP是兩個安全協(xié)議，提供數(shù)據(jù)源驗證、面向無連接的數(shù)據(jù)完整性、抗重放、數(shù)據(jù)機(jī)密性和有限抗流量分析等安全任務(wù)。為了能夠?qū)⑾鄳?yīng)的安全服務(wù)、算法和密鑰應(yīng)用于需要保護(hù)的安全通道，IPSec規(guī)定兩個通信實體進(jìn)行IPSec通信之前首先構(gòu)建安全關(guān)聯(lián)SA。SA規(guī)定了通信實體雙方所需要的具體安全協(xié)議、加密算法、認(rèn)證算法以及密鑰。IKE提供了用來協(xié)商、交換和更新SA以及密鑰的完整機(jī)制。IPSec定義了兩種類型的封裝模式——傳輸模式和隧道模式。傳輸模式只對IP分組應(yīng)用IPSec協(xié)議，對IP報頭不進(jìn)行任何修改，它只能應(yīng)用于主機(jī)對主機(jī)的IPSec虛擬專用網(wǎng)VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來了。隧道主要應(yīng)用于主機(jī)到網(wǎng)關(guān)的遠(yuǎn)程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址或用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。NAT有三種類型：靜態(tài)NAT、動態(tài)地址NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。其中靜態(tài)NAT設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據(jù)協(xié)議的定義，我們知道IPSec和NAT兩個協(xié)議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對AH的影響IPSecAH進(jìn)行驗證的時候，處理的是整個IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設(shè)備，NAT設(shè)備就會修改外層IP包頭的源地址并修改其校驗和，這樣接收方會因認(rèn)證失敗而丟棄該包。2）NAT對ESP的影響TCP/UDP校驗和地計算涉及一個虛構(gòu)的IP包頭，該包頭含有IP源和目的地址。因此，當(dāng)NAT設(shè)備改變IP地址時也需要更新IP頭和TCP/UDP校驗和。如果采用ESP傳輸模式，IP包經(jīng)過NAT設(shè)備時，NAT設(shè)備修改了IP包頭，但是TCP/UDP校驗和由于處于加密負(fù)載中而無法被修改。這樣，該信包經(jīng)過IPSec層后將因為TCP協(xié)議層的校驗和的錯誤而被丟棄。另外，由于TCP/UDP校驗和只與內(nèi)層原始IP包頭有關(guān)，外層IP包頭的修改并不對其造成影響，因此采用ESP隧道模式和僅靜態(tài)或動態(tài)NAT的情況下不存在TCP校驗和的問題。但是，在NAPT情況下，因為NAPT需要TCP/UDP端口來匹配出入信包，而端口號受到ESP加密保護(hù)，所以ESP分組通信將會失敗。3）NAT對IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經(jīng)過NAT后，會導(dǎo)致IKE協(xié)商的失敗。IKE協(xié)議使用固定目的端口500，當(dāng)NAPT設(shè)備后的多個主機(jī)向同一響應(yīng)者發(fā)起SA協(xié)商時，為了實現(xiàn)多路分發(fā)返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應(yīng)者應(yīng)該能處理端口號并非500的IKE協(xié)商請求，但往往NAPT對UDP端口的映射很快會被刪除，再協(xié)商的過程就將出現(xiàn)一些不可預(yù)見的問題，很容易導(dǎo)致NAPT設(shè)備無法將協(xié)商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉(zhuǎn)換情況下才可以實現(xiàn)IPSec數(shù)據(jù)流的NAT穿越。這一方法既降低了IPSec協(xié)議的安全性，又限制了NAT的工作方式，因此在實際應(yīng)用中可行度較差。4IPSec與NAT的兼容性要求在現(xiàn)有的條件下，為了推動基于IPSec的VPN的發(fā)展，IPSec和NAT兼容性解決方案需要滿足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個過渡的解決辦法必須比IPv6易于部署。應(yīng)該只需修改主機(jī)，無需改變路由器，在短時間內(nèi)能與現(xiàn)存的路由器和NAT產(chǎn)品協(xié)同工作。2）遠(yuǎn)程訪問IPSec的一個重要應(yīng)用是遠(yuǎn)程訪問公司的內(nèi)部網(wǎng)絡(luò)。NAT穿越方案必須考慮遠(yuǎn)程客戶端與VPN網(wǎng)關(guān)之間存在多個NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應(yīng)該避免對IKE或IPSec目的端口的動態(tài)分配，使防火墻管理員進(jìn)行簡單的配置，就可以控制穿越NAT的IPSec數(shù)據(jù)流。4）可擴(kuò)展性IPSec和NAT兼容性方案應(yīng)具有良好的擴(kuò)展性，必須保證在大規(guī)模遠(yuǎn)程訪問的環(huán)境中，在大量遠(yuǎn)程接入的環(huán)境下，同一時間段多個主機(jī)和遠(yuǎn)程安全網(wǎng)關(guān)建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實現(xiàn)互操作。穿越方案應(yīng)該能自動檢測是否存在NAT，能判斷通信對方的IKE實現(xiàn)是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來新的安全漏洞。5利用UDP封裝法實現(xiàn)NAT的穿透本文中的解決方案是采用UDP封裝法實現(xiàn)NAT的透明穿透，不需要修改現(xiàn)有的NAT網(wǎng)關(guān)和路由器。所以該方案具有簡單且易于實現(xiàn)的優(yōu)點，缺點是由于添加了一個UDP報文頭，而加大了帶寬開銷，但相對于目前持續(xù)擴(kuò)大的傳輸帶寬來說，這個UDP報文頭的帶寬開銷可以忽略不計。下面詳細(xì)討論其原理和實現(xiàn)過程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數(shù)據(jù)之間再封裝一個UDP頭，這樣封裝后的數(shù)據(jù)包端口值對NAT可見，就可以正確的實現(xiàn)端口轉(zhuǎn)換。UDP封裝格式如圖1所示。端口，為了簡化配置和避免多個端口帶來的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來區(qū)分端口500的數(shù)據(jù)包是IKE消息還是UDP封裝的ESP。為了區(qū)分兩者，我們采用在IKE報頭添加Non-ESP標(biāo)記。在確定存在一個中間NAT之后，支持IPSecNAT-T的對話方開始使用新的IKE報頭。5.2IKE協(xié)商過程IPSec通信實體雙方是否采用UDP封裝取決于對話對方是否支持該方法以及是否存在NAT設(shè)備，這個過程通過IKE協(xié)商來完成。在IKE協(xié)商過程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類型。1）新的NAT-Discovery(NAT-D)有效載荷這個新的有效載荷包含一個散列值，它整合了一個地址和端口號。在主模式協(xié)商期間，即IKE協(xié)商第一階段第三、四條消息中，IPSec對話方包括兩個NAT-Discovery有效載荷——一個用于目標(biāo)地址和端口，另一個用于源地址和端口。接收方使用NAT-Discovery有效載荷來發(fā)現(xiàn)NAT之后是否存在一個經(jīng)NAT轉(zhuǎn)換過的地址或端口號，并基于被改變的地址和端口號來確定是否有對話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個新的有效載荷包含IPSec對話方的原始地址。對于UDP封裝的ESP傳輸模式，每個對話方在快速模式協(xié)商期間發(fā)送NAT-OA有效載荷。接收方將這個地址存儲在用于SA的參數(shù)中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協(xié)商期間指定的，用于通知IPSec對話方應(yīng)該對ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來封裝IPSec分組的思想只解決了NAPT設(shè)備不支持AH和ESP通信的問題。例如TCP校驗和錯誤、UDP端口映射的保持等問題還需要輔助方法來解決。為保證校驗和正確無誤，通信雙方需將自身的原始IP地址和端口發(fā)送給對方，即實現(xiàn)地址通告。地址通告的實現(xiàn)通過IKE第二階段的前兩條消息中的NAT-OA有效載荷。因為NAT-OA有效載荷中包含IPSec對話方的原始地址，為此，接收方就擁有了檢驗解密之后的上層校驗和所需的信息。消息發(fā)起者在NAT中創(chuàng)建了一個UDP端口映射，它在初始主模式和快速模式IKE協(xié)商期間使用。然而，NAT中的UDP映射通常超過一定時間沒用就會被刪除掉。如果響應(yīng)者隨后向發(fā)起者發(fā)送IKE消息卻沒有提供UDP端口映射，那么這些消息將被NAT丟棄。這個問題的解決辦法是通過定期發(fā)送Keepalive包，用于后續(xù)IKE協(xié)商和UDP封裝的ESP的UDP端口映射同時在NAT中得到刷新，從而保證通信的正常運行。6結(jié)束語IPSec作為網(wǎng)絡(luò)層的安全協(xié)議，目前的應(yīng)用越來越廣泛,已成為構(gòu)建VPN的基礎(chǔ)協(xié)議之一。而由于IPv6取代IPv4將是一個漫長的過程，NAT設(shè)備的廣泛存在極大地限制了IP層安全協(xié)議IPSec的推廣，因此在目前的條件下，UDP封裝方法無疑是一種在當(dāng)前環(huán)境下無需修改NAT網(wǎng)關(guān)和路由器、簡單可接受的解決IPSec和NAT兼容性的方法，具有一定的現(xiàn)實意義。但是該方案還不完善，有待進(jìn)一步討論和研究。參考文獻(xiàn)[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

伴隨科技的發(fā)展，電子產(chǎn)品的使用已經(jīng)涉及到了人們生活的多個方面，在方便了人的生活的同時但也使得電磁環(huán)境變得更加復(fù)雜，人們在使用中會偶爾出現(xiàn)這樣那樣的問題，為了提升電子產(chǎn)品的性能、提高人們的體驗，電子產(chǎn)品的設(shè)計者也在不斷的改進(jìn)產(chǎn)品，讓其在復(fù)雜的電磁環(huán)境中有更好地適應(yīng)能力。而電子產(chǎn)品的研究設(shè)計中它的電磁兼容性是個無可避免的問題。為了實現(xiàn)電子產(chǎn)品的電磁兼容，使電子產(chǎn)品達(dá)到相關(guān)標(biāo)準(zhǔn)，本文針對電磁兼容設(shè)計進(jìn)行了簡要的分析，對其設(shè)計要素和測試方式進(jìn)行了研究。

1.電磁兼容定義其重要性

1.1電磁兼容概念。電磁兼容，就是指電子產(chǎn)品在使用的環(huán)境中能夠正常運轉(zhuǎn)的同時不干擾其他電子，具體來說就是一方面電子產(chǎn)品在工作運行期間產(chǎn)生的電磁干擾不足以影響別的電子設(shè)備的正常運行，不會對其他電子設(shè)備造成損害或保證這一損害在一定的可接受的區(qū)間內(nèi)，另一方面電子，電子產(chǎn)品應(yīng)當(dāng)具備一定的抗干擾性，能夠隔絕使用環(huán)境中其他電子設(shè)備的電磁干擾，或是讓這種干擾不能影響到電子產(chǎn)品自身的正常運行。電磁兼容的主要研究的就是電磁干擾。可以分為兩類：抗干擾技術(shù)和電磁輻射控制。電磁兼容在研究設(shè)計的過程中主要考慮到電磁環(huán)境的評價、EMI耦合路徑、抗干擾技術(shù)、電磁頻譜利用和管理、電磁場生態(tài)環(huán)境。1.2電磁兼容的重要性。隨著科學(xué)技術(shù)的發(fā)展，人們對電子產(chǎn)品的電磁兼容也有了更多的認(rèn)識，也越來越重視電磁兼容的設(shè)計和測試方面的研究。當(dāng)今電子產(chǎn)品的電磁兼容不僅是針對產(chǎn)品本身內(nèi)部的結(jié)構(gòu)更加小巧、復(fù)雜，還包括了對周邊干擾、輻射方的影響，比如，在某些電子產(chǎn)品使用中引發(fā)起爆裝置從而發(fā)生了爆炸威脅了生命財產(chǎn)的安全，還有一些電磁干擾使得廣播無法正常接收、數(shù)據(jù)傳播的中斷和丟失等現(xiàn)象，甚至有些電磁干擾或輻射會對生命體產(chǎn)生一定的影響。因而，研究電磁兼容對于電子產(chǎn)品來說顯得尤為重要。當(dāng)前電磁兼容涵蓋到的頻率范圍從0到400GHz，幾乎囊括了人們工作生活所需的各個方面。通過對電磁兼容的進(jìn)一步研究，首先可以制定出相關(guān)行業(yè)的電子兼容標(biāo)準(zhǔn)，促進(jìn)電子產(chǎn)品健康可持續(xù)的發(fā)展；其次可以提升產(chǎn)品的可靠性和安全性，不干擾其他設(shè)備的正常工作；第三，電子兼容作為電子產(chǎn)品的重要標(biāo)準(zhǔn)，關(guān)系產(chǎn)品的質(zhì)量如何以及是否達(dá)標(biāo)，是電子產(chǎn)品進(jìn)入市場所必須經(jīng)受檢驗，為了提高電子產(chǎn)品的市場占有，就必須對電磁兼容進(jìn)行深入的研究；第四，加強(qiáng)產(chǎn)品的電磁兼容研究可以有效的避免產(chǎn)品在后期出現(xiàn)不兼容的問題，降低后期出現(xiàn)不兼容現(xiàn)象的相關(guān)費用，也使得系統(tǒng)風(fēng)險得到有效的降低；第五，電磁現(xiàn)象是一個無法避免的問題，也與人類現(xiàn)代生活是密切相關(guān)的，如何降低電磁環(huán)境對人體的潛在影響也是電磁兼容所研究的重要意義之所在。

2.電子產(chǎn)品兼容設(shè)計要素

電子產(chǎn)品的電磁兼容設(shè)計的目的是力求設(shè)計出來的產(chǎn)品可以在共存的電磁環(huán)境中正常工作，互不影響。首先要依據(jù)相關(guān)標(biāo)準(zhǔn)，把電磁兼容指標(biāo)分為產(chǎn)品級別的、模塊級別的、電路級別的、元件級別的指標(biāo)要求，然后，根據(jù)實際產(chǎn)品需要逐級進(jìn)行設(shè)計。2.1電子產(chǎn)品兼容設(shè)計應(yīng)遵循的原則。為了改善電子產(chǎn)品的兼容性能，在電磁兼容設(shè)計中通常要遵循以下幾項原則：一是電磁兼容要以產(chǎn)品為核心，既要保證電子產(chǎn)品的電磁兼容復(fù)合國家標(biāo)準(zhǔn)，又要滿足產(chǎn)品的基本要求，使得設(shè)計的產(chǎn)品符合系統(tǒng)的相關(guān)技術(shù)指標(biāo)。二是電磁兼容設(shè)計要進(jìn)行加固設(shè)計，不能把電磁兼容準(zhǔn)則教條化，要依據(jù)產(chǎn)品特點進(jìn)行加固，確保產(chǎn)品可以穩(wěn)定的運行，在設(shè)計的時就要留有設(shè)計余量，確保可靠。三是兼顧經(jīng)濟(jì)因素，為達(dá)到統(tǒng)一的兼容目標(biāo)，電子兼容的設(shè)計參數(shù)是靈活的，選擇的手段也是多樣化的，設(shè)計者要從整體出發(fā)考慮到經(jīng)濟(jì)成本因素。四是考慮到電子產(chǎn)品內(nèi)部干擾，抑制產(chǎn)品內(nèi)部產(chǎn)生寄生耦合公共電抗的寄生參數(shù)，在同一電磁空間秉持強(qiáng)弱電分開、不同頻率的傳輸線分開的原則。五是產(chǎn)品在強(qiáng)磁場的地線不可以形成閉合回路，避免環(huán)路電流干擾。六是電路的電磁干擾一般較難消除，可以考慮降低噪聲強(qiáng)度，或進(jìn)行小范圍屏蔽，使其不致形成干擾。2.2設(shè)計要素分析。電子產(chǎn)品的電磁兼容設(shè)計要素主要包括耦合通道的抑制、空間分離、時間分隔、頻率管理、電氣隔離等。其中，耦合通道抑制可以通過屏蔽技術(shù)、濾波技術(shù)、布線、搭接、接地來實現(xiàn)；空間分離可以從地點、地形的控制管理以及電場矢量方向進(jìn)行控制；時間分隔可以通過雷達(dá)脈沖同步、主動和被動的時間分離來實現(xiàn)；頻率的管理主要包括了頻率的管理和調(diào)制、數(shù)字和光電的傳輸以及濾波；電氣隔離主要是進(jìn)行變壓器的隔離、光電的隔離、DC\DC變換、繼電器的隔離等。

3.電磁兼容測試技術(shù)

摘要：電磁兼容一般指電氣及設(shè)備在共同的電磁環(huán)境中能執(zhí)行各自功能的共存狀態(tài)，即要求在同一電磁環(huán)境中的上述各種設(shè)備都能正常工作又互不干擾，達(dá)到“兼容”狀態(tài)。現(xiàn)在電磁兼容工作者又進(jìn)一步探討電磁環(huán)境對人類及生物的，學(xué)科范圍已不僅限于設(shè)備與設(shè)備間的，而進(jìn)一步涉及到人類本身，因此某些國內(nèi)外學(xué)者也把電磁兼容學(xué)科稱作環(huán)境電磁學(xué)。由于試驗技術(shù)是電磁兼容學(xué)科中的一項重要支撐技術(shù)，本文將就此作些扼要介紹。

關(guān)鍵詞：電磁兼容試驗技術(shù)現(xiàn)狀需求

一電磁兼容試驗技術(shù)現(xiàn)狀及發(fā)展需求

我國運用電磁兼容試驗技術(shù)，多起始于60年代前后，當(dāng)時試驗室條件簡陋，測量設(shè)備多半是國內(nèi)自行研制的簡易測量設(shè)備，測量手段也比較落后。1966年船舶先行一步，制訂了自己的行業(yè)測量標(biāo)準(zhǔn)JB-854-66《船用電氣設(shè)備工業(yè)無線電干擾端子電壓測量及允許值》。

改革開放后，國際交往增多，國際先進(jìn)的電子測量設(shè)備大量涌進(jìn)市場。國內(nèi)一些重要科研單位、大型生產(chǎn)廠家及某些高校先后興建電磁兼容試驗室，引進(jìn)了成套的測量設(shè)備。

眾所周知，電磁兼容領(lǐng)域與其它專業(yè)相比，要更多地依賴于測量，而且電磁兼容測量對試驗條件的要求又很嚴(yán)格。因此，隨著國際電磁兼容標(biāo)準(zhǔn)的與轉(zhuǎn)化，我國高標(biāo)準(zhǔn)的試驗室陸續(xù)建成，專業(yè)技術(shù)隊伍不斷擴(kuò)充壯大，這為電磁兼容試驗技術(shù)的發(fā)展帶來了機(jī)遇和條件保證。

內(nèi)容提要：與交易營銷相比，關(guān)系營銷是市場營銷學(xué)研究范式的根本轉(zhuǎn)變。但關(guān)系營銷的應(yīng)用在獲得收益的同時，也要充分考慮其成本。關(guān)系營銷與交易營銷并不是絕對對立的，兩者各有適用條件，并在一定條件下可以演化和兼容。

進(jìn)入20世紀(jì)末，市場營銷學(xué)理論發(fā)生了一些顯著變化，其中影響最大的是營銷學(xué)中的“關(guān)系”范式的出現(xiàn)。“關(guān)系”范式以關(guān)系營銷(或關(guān)系性交易)理論為代表，關(guān)系營銷的概念是Berry于1983年最先提出的，80年代末至90年代迅速發(fā)展，在西方市場營銷學(xué)理論界掀起一場革命，對市場營銷持“關(guān)系”觀點的學(xué)者對交易導(dǎo)向的營銷理論進(jìn)行了批判，被稱為“營銷學(xué)研究范式的轉(zhuǎn)變”(koffer，1991)。交易營銷與關(guān)系營銷是兩種截然不同的研究范式：前者以產(chǎn)品為中心，采用4Ps營銷組合為手段，著眼于單次交易活動收益的最大化；后者以長期關(guān)系為導(dǎo)向，采取關(guān)系方法(Relationshipapproach)，注重新價值的創(chuàng)造和雙方關(guān)系中的交互作用，以構(gòu)建企業(yè)持久競爭優(yōu)勢。不少學(xué)者就此認(rèn)為：關(guān)系營銷理論的提出標(biāo)志著傳統(tǒng)的交易營銷范式的終結(jié)。但關(guān)系營銷理論在實踐中遠(yuǎn)不如理論者鼓吹的那樣具有影響力，很多企業(yè)不愿介入關(guān)系，營銷實踐仍然以4Ps營銷組合作為基本手段，營銷理論的主流仍然以4Ps組合的運用為主要特征。因此筆者認(rèn)為，關(guān)系營銷與交易營銷雖然是兩種對立的營銷范式，但兩者適用于不同的交易類型和環(huán)境，不是完全對立而是可以并存、融合的。

一、關(guān)系營銷理論的提出和營銷范式從交易向關(guān)系的轉(zhuǎn)變

在關(guān)系營銷出現(xiàn)以前的營銷理論以交易或者交換為研究的中心，早期重點研究營銷渠道的效率，其后消費者行為逐漸成為研究的中心，其中以4Ps營銷組合作為主要手段。關(guān)系營銷的思想出現(xiàn)很早，Magarry在20世紀(jì)50年代提出了營銷的6項功能，其中的“契約功能”(contractualfunction)指的就是發(fā)展市場伙伴中的相互依賴的合作關(guān)系。60年代和70年代的兩篇論文催發(fā)了關(guān)系營銷理論的建立：其一，AdlerLee(1996)發(fā)現(xiàn)，企業(yè)之間的象征關(guān)系與傳統(tǒng)的營銷者——中介關(guān)系沒有直接聯(lián)系；其二，JohnArndt(1979)指出，企業(yè)趨向于與關(guān)鍵顧客和供應(yīng)商建立持久關(guān)系而非僅僅只關(guān)注一次性的交易，并把這種現(xiàn)象定義為“內(nèi)部市場化”。這兩篇論文在歐洲和北美產(chǎn)生很大影響。在他們提出的關(guān)系營銷思想基礎(chǔ)上，許多學(xué)者從不同的角度對關(guān)系營銷進(jìn)行研究。其代表性的研究有諾丁學(xué)派(Nordicschool)，從服務(wù)營銷的研究出發(fā)，研究企業(yè)如何進(jìn)行流程再造、實施內(nèi)部營銷以對外部顧客提供良好的服務(wù)及價值增加，IMP學(xué)派(IndustrialMarketingandPurchasingGroup)，研究的重點是產(chǎn)業(yè)市場的關(guān)系和網(wǎng)絡(luò)；社會交換學(xué)派，從社會交換的角度研究企業(yè)與顧客、供應(yīng)商、競爭者，內(nèi)部雇員、政府等關(guān)系。

關(guān)系營銷各學(xué)派從不同的角度入手，采取不同的方法研究關(guān)系營銷，因此對關(guān)系營銷的定義也不同，主要有狹義和廣義之分。狹義的如Bickert(1992)認(rèn)為，關(guān)系營銷就是數(shù)據(jù)庫營銷；Jackson(1985)認(rèn)為“關(guān)系營銷是與關(guān)鍵客戶建立牢靠、持久的關(guān)系的一個營銷導(dǎo)向”；Gronroos(1990)認(rèn)為“營銷就是建立、保持和加強(qiáng)與顧客以及其他合作者的關(guān)系，以此使各方面的利益得到滿足和融合。這個過程是通過信任和承諾來實現(xiàn)的”。Gummesson(1990)從關(guān)系與互動的角度定義關(guān)系營銷，認(rèn)為“關(guān)系營銷是市場被看作關(guān)系、互動與網(wǎng)絡(luò)”。有些學(xué)者從更寬廣的角度認(rèn)識關(guān)系營銷，如Morgan和Hunt(1994)認(rèn)為“關(guān)系營銷是指所有的旨在建立、發(fā)展和保持成功的關(guān)系的一切活動”。本文的研究建立在Morgan和Hunt對關(guān)系營銷的定義基礎(chǔ)上。

關(guān)系營銷與交易營銷是兩種對立的營銷方式，主要體現(xiàn)在以下幾個方面：

摘要：本文開展電磁兼容測試系統(tǒng)設(shè)計分析，首先解析民用電磁兼容測試系統(tǒng)標(biāo)準(zhǔn)，由單一設(shè)備組成復(fù)雜測試系統(tǒng)，通過理論推導(dǎo)計算，驗證系統(tǒng)可實現(xiàn)性。基于前期設(shè)計內(nèi)容，對設(shè)計系統(tǒng)進(jìn)行不確定因素評估，驗證測試系統(tǒng)設(shè)計可行性。優(yōu)化解決系統(tǒng)理論推導(dǎo)計算問題，包括EMS測試干擾限值推導(dǎo)問題，保證不同等級對功率放大器放大增益值。通過前期系統(tǒng)設(shè)計理論推導(dǎo)，保證系統(tǒng)設(shè)計時全套設(shè)備利用率。

關(guān)鍵詞：民用電子電氣設(shè)備；電磁兼容測試系統(tǒng)；系統(tǒng)設(shè)計

電磁兼容性測試研究電子電氣設(shè)備適用中獨立工作的電磁抗干擾能力，隨著無線電設(shè)備大量出現(xiàn)，各類無線電收發(fā)設(shè)備相互電磁干擾情況嚴(yán)重。20世紀(jì)中期后，電子設(shè)備內(nèi)部元器件小型化，各電子元器件占用空間擁擠，頻譜資源占有率增加，需要提高頻譜資源利用率。與EMC相關(guān)法律有很多，發(fā)達(dá)國家相關(guān)組織有相關(guān)規(guī)定。我國電磁兼容測試為3C強(qiáng)制認(rèn)證，電子電氣產(chǎn)品EMC為法律規(guī)定要求，電子電氣設(shè)備進(jìn)入市場前需通過EMC。本文設(shè)計科學(xué)高效的民用電子電氣設(shè)備EMC系統(tǒng)，滿足工程應(yīng)用實踐分析。設(shè)計系統(tǒng)可實現(xiàn)EMI發(fā)射騷擾測試，可實現(xiàn)子系統(tǒng)分為RE輻射發(fā)射等。

1民用電磁兼容測試標(biāo)準(zhǔn)分析

設(shè)計符合標(biāo)準(zhǔn)規(guī)范的民用電磁兼容測試系統(tǒng)，需要了解對應(yīng)測試方法要求等。EMI接收機(jī)是電磁騷擾測試重要儀表，測試干擾信號有間發(fā)行等特點，EMI接收機(jī)通常采用掃頻測試進(jìn)行逐點掃描測試[1]。GB/T6113.101標(biāo)準(zhǔn)對EMI測量接收機(jī)有明確指標(biāo)要求。測量接收機(jī)內(nèi)部放大器幅度特性需比測正弦信號有較大動態(tài)范圍儲備。應(yīng)注意區(qū)分檢波器功能與測試接收機(jī)上輸出指示的意義，采用正弦波等效RMS進(jìn)行校準(zhǔn)。測試CE傳導(dǎo)發(fā)射騷擾電壓時，需在被測試設(shè)備間增加規(guī)定人工電源網(wǎng)絡(luò)。人工電源網(wǎng)絡(luò)作用點包括將外部供電電路與被測設(shè)備電路隔離，電源供電端子提供測試阻抗。系統(tǒng)選用人工電源網(wǎng)絡(luò)為耦合非對稱電壓V型網(wǎng)絡(luò)[2]。電探頭在CE傳導(dǎo)發(fā)射騷擾電流測試使用，不需改變被測設(shè)備原有電路，適合測試復(fù)雜接線電路系統(tǒng)。系統(tǒng)設(shè)計使用高阻電壓探頭，可使用高阻電壓探頭測試優(yōu)點是不影響供電網(wǎng)絡(luò)下測試，缺點是需避免被測電路阻抗較高。高阻電壓探頭由電阻與電容組成，接地端子需良好接到參考地。EMI天線接收空間強(qiáng)信號后，場強(qiáng)值與電壓值比為天線系數(shù)。電磁兼容無線電騷擾測量要注意具有可復(fù)現(xiàn)性，物相互作用。測量裝置運行條件作出明確規(guī)定，需測量電平上有足夠信噪比，掃頻接收機(jī)測量適當(dāng)考慮設(shè)備特殊工作特性。非源于EUI產(chǎn)生騷擾，需在實驗報告中記錄[3]。測試EMI干擾電平時需較長測試時間，EMI接收機(jī)使用峰值檢波器捕捉信號，僅對發(fā)射幅值接近的關(guān)鍵頻率測量最大值。RE輻射發(fā)射測試目的是針對機(jī)箱端口輻射騷擾測試，對多種電子電氣產(chǎn)品，需測試輻射騷擾電磁場干擾，電場干擾需測試水平極化。輻射騷擾測量需考慮實驗環(huán)境，環(huán)境噪聲電平滿足低于極限值6dB要求。通用EMI測試流程圖如圖1所示。

2民用電磁兼容測試系統(tǒng)設(shè)計

AbstractThispaperconsistsoffourparts:(1)compatibility;(2)simplification;(3)reflections

oncompatibilityandsimplification;(4)conclusion.TheauthorholdsthatChinesegrammaticalstruc

turesrevealatendencyofsimplificationinformandatendencyofcompatibilityinsemanticimpl

ication.Simplificationsandcompatibilityareinterdependentinaccordancewithpragmaticprincip

les.

本文討論漢語語法結(jié)構(gòu)，用的是現(xiàn)代漢語的語料。

【摘要】德育教育在整個的教育體系之中占據(jù)著極其重要的位置，德育教育的成效不但關(guān)系到學(xué)生的綜合素質(zhì)水平，還關(guān)系到德育教育工作的發(fā)展。在我國，職業(yè)教育是培養(yǎng)職業(yè)技術(shù)人才的重要教育方式，近年來，我國的職業(yè)教育也得到了迅速的發(fā)展，職業(yè)教育院校的規(guī)模也越來越大，教學(xué)的特色也逐漸的彰顯了出來。中職學(xué)生升學(xué)的壓力比較小，思維處于活躍的狀態(tài)，管理難度越來越大，各職校都在想方設(shè)法的提高教學(xué)的質(zhì)量和創(chuàng)新教學(xué)的方式，力圖將學(xué)生的學(xué)習(xí)能力和職業(yè)技能全面的提高和發(fā)展。目前，我國的中職院校也越來越重視德育思想教育工作，在培養(yǎng)和提高學(xué)生們專業(yè)技能的同時提高學(xué)生們的道德素質(zhì)標(biāo)準(zhǔn)，本文就中職學(xué)生專業(yè)技能培養(yǎng)與德育教育的兼容做了相關(guān)的論述。

【關(guān)鍵詞】中職學(xué)生；德育；專業(yè)技能；培養(yǎng)；服裝；勞動者素質(zhì)

中職院校德育教育水平的高低不但影響著學(xué)生們的綜合素質(zhì)水平，也影響著中職院校整體的教學(xué)質(zhì)量和水平，是尤為重要的。近年來，中職教育發(fā)展速度迅猛、成就突出毋容質(zhì)疑，但中職校園普遍地仍存在諸如：學(xué)生上課說話、睡覺、玩手機(jī)，課余抽煙、打架、談戀愛，周末酗酒、賭博、趕派對等禁而不止、規(guī)而不范的問題行為。中職院校的學(xué)生由于學(xué)習(xí)負(fù)擔(dān)較輕，精力過剩，也就導(dǎo)致了很多學(xué)生對自己行為的約束力不夠，做出一些叛逆的行為，這種情況是必須加以引導(dǎo)和修正的，如果不想方設(shè)法地把學(xué)生的全部精力吸引到專業(yè)學(xué)習(xí)能力的培養(yǎng)和專業(yè)技能的訓(xùn)練上面來就會導(dǎo)致一部分心存上進(jìn)的學(xué)生流失，這就要求教師必須理論聯(lián)系實際，將德育教育有效的兼容于專業(yè)教學(xué)中，從而為社會培養(yǎng)大批優(yōu)秀的職業(yè)技術(shù)人才。

一、加強(qiáng)思想教育，樹立學(xué)習(xí)信念

長期以來，職業(yè)教育在整個教育體系的認(rèn)同度一直是比較低的。很多學(xué)生選擇職業(yè)教育院校也是因為成績不佳的無奈之舉，這也就導(dǎo)致了學(xué)生們在進(jìn)入了中職院校之后，學(xué)習(xí)的情緒和思想的情緒都很不穩(wěn)定，學(xué)習(xí)的積極性也不是很強(qiáng)，這時候，就需要通過科學(xué)合理的思想教育的來進(jìn)行引導(dǎo)并加以改善。科學(xué)合理的思想教育工作應(yīng)該以集中教育為主，逐步的滲透到各個學(xué)科之中。首先，要讓學(xué)生們了解我國教育體系的機(jī)構(gòu)，讓學(xué)生們對職業(yè)教育有一個全新的認(rèn)識，了解職業(yè)教育的重要性，這樣就能夠樹立起學(xué)生們學(xué)習(xí)的堅定信心和信心，其次，要和學(xué)生們講解職業(yè)教育在國家建設(shè)中起到的重要作用，職業(yè)教育和綜合素質(zhì)水平之間的聯(lián)系，讓學(xué)生們慢慢的走出思想上的誤區(qū)，能夠重新的審視對職業(yè)教育的認(rèn)識，最后，還可以讓學(xué)生們了解職業(yè)教育的發(fā)展前景，逐步的加深職業(yè)教育在學(xué)生們心目中的分量，使學(xué)生們從自身的角度去感悟職業(yè)教育的理念，逐步的形成主觀的學(xué)習(xí)意識，從而提高專業(yè)技能的學(xué)習(xí)積極性，全面的提高個人的綜合素質(zhì)水平。

二、制定專業(yè)目標(biāo)，樹立學(xué)習(xí)信心

摘要網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)與IPSec在因特網(wǎng)上都是得到廣泛應(yīng)用的技術(shù)，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協(xié)議的基本原理，分析了兩者的不兼容性，然后討論了解決該問題必須滿足的要求，最后給出了利用UDP封裝法實現(xiàn)NAT透明穿透的解決方案。

關(guān)鍵詞IPSec;NAT;IKE;UDP封裝

1引言

基于IP技術(shù)的虛擬專用網(wǎng)（VirtualProfessionalNetwork，簡稱VPN）是通過Internet平臺將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計算機(jī)用戶的一種成本效益極佳的方法。隨著網(wǎng)絡(luò)安全技術(shù)的飛快發(fā)展，越來越多大型企業(yè)利用互聯(lián)網(wǎng)采用IPSec技術(shù)建立VPN網(wǎng)絡(luò)，IPSec已逐漸成為VPN構(gòu)建的主流技術(shù)。IP安全協(xié)議（IPSecurityProtocol，簡稱IPSec）是由互聯(lián)網(wǎng)工程工業(yè)組（InternetEngineeringTaskForce，簡稱IETF）1998年底規(guī)劃并制定的網(wǎng)絡(luò)IP層標(biāo)準(zhǔn)。IPSec不僅可以為IP協(xié)議層以上所有的高層協(xié)議和應(yīng)用提供一致性的安全保護(hù)，而且除了可用于IPv4之外，也可用于下一代IP協(xié)議IPv6。

另外，NAT（NetworkAddressTranslation）技術(shù)通過改變進(jìn)出內(nèi)部網(wǎng)絡(luò)的IP數(shù)據(jù)包的源和目的地址，把無效的內(nèi)部網(wǎng)絡(luò)地址翻譯成合法的IP地址在Internet上使用。該技術(shù)一方面可以把私有IP地址隱藏起來，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)，對內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用；另一方面，它可以緩解由于IPv4先天設(shè)計上的不足，而導(dǎo)致的IP地址嚴(yán)重短缺的現(xiàn)狀。

但是，被廣泛使用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備卻制約著基于IPSec技術(shù)的VPN的發(fā)展，這是因為IPSec協(xié)議在VPN中承擔(dān)保護(hù)傳輸數(shù)據(jù)的安全性任務(wù)。在數(shù)據(jù)傳輸過程中，任何對IP地址及傳輸標(biāo)志符的修改，都被視作對該協(xié)議的違背，并導(dǎo)致數(shù)據(jù)包不能通過安全檢查而被丟棄。但在VPN中運用NAT技術(shù)，則不可避免地要將私網(wǎng)地址映射為公網(wǎng)地址，即對IP地址要進(jìn)行修改。因此，在VPN網(wǎng)絡(luò)中如何使IPSec和NAT協(xié)同工作，實現(xiàn)NAT的透明穿透具有現(xiàn)實意義。