摘要網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)與IPSec在因特網(wǎng)上都是得到廣泛應(yīng)用的技術(shù)，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協(xié)議的基本原理，分析了兩者的不兼容性，然后討論了解決該問(wèn)題必須滿足的要求，最后給出了利用UDP封裝法實(shí)現(xiàn)NAT透明穿透的解決方案。關(guān)鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術(shù)的虛擬專用網(wǎng)（VirtualProfessionalNetwork，簡(jiǎn)稱VPN）是通過(guò)Internet平臺(tái)將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計(jì)算機(jī)用戶的一種成本效益極佳的方法。隨著網(wǎng)絡(luò)安全技術(shù)的飛快發(fā)展，越來(lái)越多大型企業(yè)利用互聯(lián)網(wǎng)采用IPSec技術(shù)建立VPN網(wǎng)絡(luò)，IPSec已逐漸成為VPN構(gòu)建的主流技術(shù)。IP安全協(xié)議（IPSecurityProtocol，簡(jiǎn)稱IPSec）是由互聯(lián)網(wǎng)工程工業(yè)組（InternetEngineeringTaskForce，簡(jiǎn)稱IETF）1998年底規(guī)劃并制定的網(wǎng)絡(luò)IP層標(biāo)準(zhǔn)。IPSec不僅可以為IP協(xié)議層以上所有的高層協(xié)議和應(yīng)用提供一致性的安全保護(hù)，而且除了可用于IPv4之外，也可用于下一代IP協(xié)議IPv6。另外，NAT（NetworkAddressTranslation）技術(shù)通過(guò)改變進(jìn)出內(nèi)部網(wǎng)絡(luò)的IP數(shù)據(jù)包的源和目的地址，把無(wú)效的內(nèi)部網(wǎng)絡(luò)地址翻譯成合法的IP地址在Internet上使用。該技術(shù)一方面可以把私有IP地址隱藏起來(lái)，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用；另一方面，它可以緩解由于IPv4先天設(shè)計(jì)上的不足，而導(dǎo)致的IP地址嚴(yán)重短缺的現(xiàn)狀。但是，被廣泛使用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備卻制約著基于IPSec技術(shù)的VPN的發(fā)展，這是因?yàn)镮PSec協(xié)議在VPN中承擔(dān)保護(hù)傳輸數(shù)據(jù)的安全性任務(wù)。在數(shù)據(jù)傳輸過(guò)程中，任何對(duì)IP地址及傳輸標(biāo)志符的修改，都被視作對(duì)該協(xié)議的違背，并導(dǎo)致數(shù)據(jù)包不能通過(guò)安全檢查而被丟棄。但在VPN中運(yùn)用NAT技術(shù)，則不可避免地要將私網(wǎng)地址映射為公網(wǎng)地址，即對(duì)IP地址要進(jìn)行修改。因此，在VPN網(wǎng)絡(luò)中如何使IPSec和NAT協(xié)同工作，實(shí)現(xiàn)NAT的透明穿透具有現(xiàn)實(shí)意義。2協(xié)議介紹2.1IPSecIPSec包括安全協(xié)議和密鑰管理兩部分。其中，AH和ESP是兩個(gè)安全協(xié)議，提供數(shù)據(jù)源驗(yàn)證、面向無(wú)連接的數(shù)據(jù)完整性、抗重放、數(shù)據(jù)機(jī)密性和有限抗流量分析等安全任務(wù)。為了能夠?qū)⑾鄳?yīng)的安全服務(wù)、算法和密鑰應(yīng)用于需要保護(hù)的安全通道，IPSec規(guī)定兩個(gè)通信實(shí)體進(jìn)行IPSec通信之前首先構(gòu)建安全關(guān)聯(lián)SA。SA規(guī)定了通信實(shí)體雙方所需要的具體安全協(xié)議、加密算法、認(rèn)證算法以及密鑰。IKE提供了用來(lái)協(xié)商、交換和更新SA以及密鑰的完整機(jī)制。IPSec定義了兩種類型的封裝模式——傳輸模式和隧道模式。傳輸模式只對(duì)IP分組應(yīng)用IPSec協(xié)議，對(duì)IP報(bào)頭不進(jìn)行任何修改，它只能應(yīng)用于主機(jī)對(duì)主機(jī)的IPSec虛擬專用網(wǎng)VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報(bào)頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來(lái)了。隧道主要應(yīng)用于主機(jī)到網(wǎng)關(guān)的遠(yuǎn)程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問(wèn)題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問(wèn)題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址或用合法的IP地址來(lái)替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT有三種類型：靜態(tài)NAT、動(dòng)態(tài)地址NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據(jù)協(xié)議的定義，我們知道IPSec和NAT兩個(gè)協(xié)議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對(duì)AH的影響IPSecAH進(jìn)行驗(yàn)證的時(shí)候，處理的是整個(gè)IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設(shè)備，NAT設(shè)備就會(huì)修改外層IP包頭的源地址并修改其校驗(yàn)和，這樣接收方會(huì)因認(rèn)證失敗而丟棄該包。2）NAT對(duì)ESP的影響TCP/UDP校驗(yàn)和地計(jì)算涉及一個(gè)虛構(gòu)的IP包頭，該包頭含有IP源和目的地址。因此，當(dāng)NAT設(shè)備改變IP地址時(shí)也需要更新IP頭和TCP/UDP校驗(yàn)和。如果采用ESP傳輸模式，IP包經(jīng)過(guò)NAT設(shè)備時(shí)，NAT設(shè)備修改了IP包頭，但是TCP/UDP校驗(yàn)和由于處于加密負(fù)載中而無(wú)法被修改。這樣，該信包經(jīng)過(guò)IPSec層后將因?yàn)門CP協(xié)議層的校驗(yàn)和的錯(cuò)誤而被丟棄。另外，由于TCP/UDP校驗(yàn)和只與內(nèi)層原始IP包頭有關(guān)，外層IP包頭的修改并不對(duì)其造成影響，因此采用ESP隧道模式和僅靜態(tài)或動(dòng)態(tài)NAT的情況下不存在TCP校驗(yàn)和的問(wèn)題。但是，在NAPT情況下，因?yàn)镹APT需要TCP/UDP端口來(lái)匹配出入信包，而端口號(hào)受到ESP加密保護(hù)，所以ESP分組通信將會(huì)失敗。3）NAT對(duì)IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經(jīng)過(guò)NAT后，會(huì)導(dǎo)致IKE協(xié)商的失敗。IKE協(xié)議使用固定目的端口500，當(dāng)NAPT設(shè)備后的多個(gè)主機(jī)向同一響應(yīng)者發(fā)起SA協(xié)商時(shí)，為了實(shí)現(xiàn)多路分發(fā)返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應(yīng)者應(yīng)該能處理端口號(hào)并非500的IKE協(xié)商請(qǐng)求，但往往NAPT對(duì)UDP端口的映射很快會(huì)被刪除，再協(xié)商的過(guò)程就將出現(xiàn)一些不可預(yù)見的問(wèn)題，很容易導(dǎo)致NAPT設(shè)備無(wú)法將協(xié)商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉(zhuǎn)換情況下才可以實(shí)現(xiàn)IPSec數(shù)據(jù)流的NAT穿越。這一方法既降低了IPSec協(xié)議的安全性，又限制了NAT的工作方式，因此在實(shí)際應(yīng)用中可行度較差。4IPSec與NAT的兼容性要求在現(xiàn)有的條件下，為了推動(dòng)基于IPSec的VPN的發(fā)展，IPSec和NAT兼容性解決方案需要滿足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個(gè)過(guò)渡的解決辦法必須比IPv6易于部署。應(yīng)該只需修改主機(jī)，無(wú)需改變路由器，在短時(shí)間內(nèi)能與現(xiàn)存的路由器和NAT產(chǎn)品協(xié)同工作。2）遠(yuǎn)程訪問(wèn)IPSec的一個(gè)重要應(yīng)用是遠(yuǎn)程訪問(wèn)公司的內(nèi)部網(wǎng)絡(luò)。NAT穿越方案必須考慮遠(yuǎn)程客戶端與VPN網(wǎng)關(guān)之間存在多個(gè)NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應(yīng)該避免對(duì)IKE或IPSec目的端口的動(dòng)態(tài)分配，使防火墻管理員進(jìn)行簡(jiǎn)單的配置，就可以控制穿越NAT的IPSec數(shù)據(jù)流。4）可擴(kuò)展性IPSec和NAT兼容性方案應(yīng)具有良好的擴(kuò)展性，必須保證在大規(guī)模遠(yuǎn)程訪問(wèn)的環(huán)境中，在大量遠(yuǎn)程接入的環(huán)境下，同一時(shí)間段多個(gè)主機(jī)和遠(yuǎn)程安全網(wǎng)關(guān)建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實(shí)現(xiàn)互操作。穿越方案應(yīng)該能自動(dòng)檢測(cè)是否存在NAT，能判斷通信對(duì)方的IKE實(shí)現(xiàn)是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來(lái)新的安全漏洞。5利用UDP封裝法實(shí)現(xiàn)NAT的穿透本文中的解決方案是采用UDP封裝法實(shí)現(xiàn)NAT的透明穿透，不需要修改現(xiàn)有的NAT網(wǎng)關(guān)和路由器。所以該方案具有簡(jiǎn)單且易于實(shí)現(xiàn)的優(yōu)點(diǎn)，缺點(diǎn)是由于添加了一個(gè)UDP報(bào)文頭，而加大了帶寬開銷，但相對(duì)于目前持續(xù)擴(kuò)大的傳輸帶寬來(lái)說(shuō)，這個(gè)UDP報(bào)文頭的帶寬開銷可以忽略不計(jì)。下面詳細(xì)討論其原理和實(shí)現(xiàn)過(guò)程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數(shù)據(jù)之間再封裝一個(gè)UDP頭，這樣封裝后的數(shù)據(jù)包端口值對(duì)NAT可見，就可以正確的實(shí)現(xiàn)端口轉(zhuǎn)換。UDP封裝格式如圖1所示。UDP封裝格式另外，由于IKE已經(jīng)使用了UDP的500端口，為了簡(jiǎn)化配置和避免多個(gè)端口帶來(lái)的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來(lái)區(qū)分端口500的數(shù)據(jù)包是IKE消息還是UDP封裝的ESP。為了區(qū)分兩者，我們采用在IKE報(bào)頭添加Non-ESP標(biāo)記。在確定存在一個(gè)中間NAT之后，支持IPSecNAT-T的對(duì)話方開始使用新的IKE報(bào)頭。5.2IKE協(xié)商過(guò)程IPSec通信實(shí)體雙方是否采用UDP封裝取決于對(duì)話對(duì)方是否支持該方法以及是否存在NAT設(shè)備，這個(gè)過(guò)程通過(guò)IKE協(xié)商來(lái)完成。在IKE協(xié)商過(guò)程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類型。1）新的NAT-Discovery(NAT-D)有效載荷這個(gè)新的有效載荷包含一個(gè)散列值，它整合了一個(gè)地址和端口號(hào)。在主模式協(xié)商期間，即IKE協(xié)商第一階段第三、四條消息中，IPSec對(duì)話方包括兩個(gè)NAT-Discovery有效載荷——一個(gè)用于目標(biāo)地址和端口，另一個(gè)用于源地址和端口。接收方使用NAT-Discovery有效載荷來(lái)發(fā)現(xiàn)NAT之后是否存在一個(gè)經(jīng)NAT轉(zhuǎn)換過(guò)的地址或端口號(hào)，并基于被改變的地址和端口號(hào)來(lái)確定是否有對(duì)話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個(gè)新的有效載荷包含IPSec對(duì)話方的原始地址。對(duì)于UDP封裝的ESP傳輸模式，每個(gè)對(duì)話方在快速模式協(xié)商期間發(fā)送NAT-OA有效載荷。接收方將這個(gè)地址存儲(chǔ)在用于SA的參數(shù)中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協(xié)商期間指定的，用于通知IPSec對(duì)話方應(yīng)該對(duì)ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來(lái)封裝IPSec分組的思想只解決了NAPT設(shè)備不支持AH和ESP通信的問(wèn)題。例如TCP校驗(yàn)和錯(cuò)誤、UDP端口映射的保持等問(wèn)題還需要輔助方法來(lái)解決。為保證校驗(yàn)和正確無(wú)誤，通信雙方需將自身的原始IP地址和端口發(fā)送給對(duì)方，即實(shí)現(xiàn)地址通告。地址通告的實(shí)現(xiàn)通過(guò)IKE第二階段的前兩條消息中的NAT-OA有效載荷。因?yàn)镹AT-OA有效載荷中包含IPSec對(duì)話方的原始地址，為此，接收方就擁有了檢驗(yàn)解密之后的上層校驗(yàn)和所需的信息。消息發(fā)起者在NAT中創(chuàng)建了一個(gè)UDP端口映射，它在初始主模式和快速模式IKE協(xié)商期間使用。然而，NAT中的UDP映射通常超過(guò)一定時(shí)間沒用就會(huì)被刪除掉。如果響應(yīng)者隨后向發(fā)起者發(fā)送IKE消息卻沒有提供UDP端口映射，那么這些消息將被NAT丟棄。這個(gè)問(wèn)題的解決辦法是通過(guò)定期發(fā)送Keepalive包，用于后續(xù)IKE協(xié)商和UDP封裝的ESP的UDP端口映射同時(shí)在NAT中得到刷新，從而保證通信的正常運(yùn)行。6結(jié)束語(yǔ)IPSec作為網(wǎng)絡(luò)層的安全協(xié)議，目前的應(yīng)用越來(lái)越廣泛,已成為構(gòu)建VPN的基礎(chǔ)協(xié)議之一。而由于IPv6取代IPv4將是一個(gè)漫長(zhǎng)的過(guò)程，NAT設(shè)備的廣泛存在極大地限制了IP層安全協(xié)議IPSec的推廣，因此在目前的條件下，UDP封裝方法無(wú)疑是一種在當(dāng)前環(huán)境下無(wú)需修改NAT網(wǎng)關(guān)和路由器、簡(jiǎn)單可接受的解決IPSec和NAT兼容性的方法，具有一定的現(xiàn)實(shí)意義。但是該方案還不完善，有待進(jìn)一步討論和研究。參考文獻(xiàn)[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

摘要網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)與IPSec在因特網(wǎng)上都是得到廣泛應(yīng)用的技術(shù)，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協(xié)議的基本原理，分析了兩者的不兼容性，然后討論了解決該問(wèn)題必須滿足的要求，最后給出了利用UDP封裝法實(shí)現(xiàn)NAT透明穿透的解決方案。關(guān)鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術(shù)的虛擬專用網(wǎng)（VirtualProfessionalNetwork，簡(jiǎn)稱VPN）是通過(guò)Internet平臺(tái)將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計(jì)算機(jī)用戶的一種成本效益極佳的方法。隨著網(wǎng)絡(luò)安全技術(shù)的飛快發(fā)展，越來(lái)越多大型企業(yè)利用互聯(lián)網(wǎng)采用IPSec技術(shù)建立VPN網(wǎng)絡(luò)，IPSec已逐漸成為VPN構(gòu)建的主流技術(shù)。IP安全協(xié)議（IPSecurityProtocol，簡(jiǎn)稱IPSec）是由互聯(lián)網(wǎng)工程工業(yè)組（InternetEngineeringTaskForce，簡(jiǎn)稱IETF）1998年底規(guī)劃并制定的網(wǎng)絡(luò)IP層標(biāo)準(zhǔn)。IPSec不僅可以為IP協(xié)議層以上所有的高層協(xié)議和應(yīng)用提供一致性的安全保護(hù)，而且除了可用于IPv4之外，也可用于下一代IP協(xié)議IPv6。另外，NAT（NetworkAddressTranslation）技術(shù)通過(guò)改變進(jìn)出內(nèi)部網(wǎng)絡(luò)的IP數(shù)據(jù)包的源和目的地址，把無(wú)效的內(nèi)部網(wǎng)絡(luò)地址翻譯成合法的IP地址在Internet上使用。該技術(shù)一方面可以把私有IP地址隱藏起來(lái)，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用；另一方面，它可以緩解由于IPv4先天設(shè)計(jì)上的不足，而導(dǎo)致的IP地址嚴(yán)重短缺的現(xiàn)狀。但是，被廣泛使用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備卻制約著基于IPSec技術(shù)的VPN的發(fā)展，這是因?yàn)镮PSec協(xié)議在VPN中承擔(dān)保護(hù)傳輸數(shù)據(jù)的安全性任務(wù)。在數(shù)據(jù)傳輸過(guò)程中，任何對(duì)IP地址及傳輸標(biāo)志符的修改，都被視作對(duì)該協(xié)議的違背，并導(dǎo)致數(shù)據(jù)包不能通過(guò)安全檢查而被丟棄。但在VPN中運(yùn)用NAT技術(shù)，則不可避免地要將私網(wǎng)地址映射為公網(wǎng)地址，即對(duì)IP地址要進(jìn)行修改。因此，在VPN網(wǎng)絡(luò)中如何使IPSec和NAT協(xié)同工作，實(shí)現(xiàn)NAT的透明穿透具有現(xiàn)實(shí)意義。2協(xié)議介紹2.1IPSecIPSec包括安全協(xié)議和密鑰管理兩部分。其中，AH和ESP是兩個(gè)安全協(xié)議，提供數(shù)據(jù)源驗(yàn)證、面向無(wú)連接的數(shù)據(jù)完整性、抗重放、數(shù)據(jù)機(jī)密性和有限抗流量分析等安全任務(wù)。為了能夠?qū)⑾鄳?yīng)的安全服務(wù)、算法和密鑰應(yīng)用于需要保護(hù)的安全通道，IPSec規(guī)定兩個(gè)通信實(shí)體進(jìn)行IPSec通信之前首先構(gòu)建安全關(guān)聯(lián)SA。SA規(guī)定了通信實(shí)體雙方所需要的具體安全協(xié)議、加密算法、認(rèn)證算法以及密鑰。IKE提供了用來(lái)協(xié)商、交換和更新SA以及密鑰的完整機(jī)制。IPSec定義了兩種類型的封裝模式——傳輸模式和隧道模式。傳輸模式只對(duì)IP分組應(yīng)用IPSec協(xié)議，對(duì)IP報(bào)頭不進(jìn)行任何修改，它只能應(yīng)用于主機(jī)對(duì)主機(jī)的IPSec虛擬專用網(wǎng)VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報(bào)頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來(lái)了。隧道主要應(yīng)用于主機(jī)到網(wǎng)關(guān)的遠(yuǎn)程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問(wèn)題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問(wèn)題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址或用合法的IP地址來(lái)替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT有三種類型：靜態(tài)NAT、動(dòng)態(tài)地址NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據(jù)協(xié)議的定義，我們知道IPSec和NAT兩個(gè)協(xié)議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對(duì)AH的影響IPSecAH進(jìn)行驗(yàn)證的時(shí)候，處理的是整個(gè)IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設(shè)備，NAT設(shè)備就會(huì)修改外層IP包頭的源地址并修改其校驗(yàn)和，這樣接收方會(huì)因認(rèn)證失敗而丟棄該包。2）NAT對(duì)ESP的影響TCP/UDP校驗(yàn)和地計(jì)算涉及一個(gè)虛構(gòu)的IP包頭，該包頭含有IP源和目的地址。因此，當(dāng)NAT設(shè)備改變IP地址時(shí)也需要更新IP頭和TCP/UDP校驗(yàn)和。如果采用ESP傳輸模式，IP包經(jīng)過(guò)NAT設(shè)備時(shí)，NAT設(shè)備修改了IP包頭，但是TCP/UDP校驗(yàn)和由于處于加密負(fù)載中而無(wú)法被修改。這樣，該信包經(jīng)過(guò)IPSec層后將因?yàn)門CP協(xié)議層的校驗(yàn)和的錯(cuò)誤而被丟棄。另外，由于TCP/UDP校驗(yàn)和只與內(nèi)層原始IP包頭有關(guān)，外層IP包頭的修改并不對(duì)其造成影響，因此采用ESP隧道模式和僅靜態(tài)或動(dòng)態(tài)NAT的情況下不存在TCP校驗(yàn)和的問(wèn)題。但是，在NAPT情況下，因?yàn)镹APT需要TCP/UDP端口來(lái)匹配出入信包，而端口號(hào)受到ESP加密保護(hù)，所以ESP分組通信將會(huì)失敗。3）NAT對(duì)IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經(jīng)過(guò)NAT后，會(huì)導(dǎo)致IKE協(xié)商的失敗。IKE協(xié)議使用固定目的端口500，當(dāng)NAPT設(shè)備后的多個(gè)主機(jī)向同一響應(yīng)者發(fā)起SA協(xié)商時(shí)，為了實(shí)現(xiàn)多路分發(fā)返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應(yīng)者應(yīng)該能處理端口號(hào)并非500的IKE協(xié)商請(qǐng)求，但往往NAPT對(duì)UDP端口的映射很快會(huì)被刪除，再協(xié)商的過(guò)程就將出現(xiàn)一些不可預(yù)見的問(wèn)題，很容易導(dǎo)致NAPT設(shè)備無(wú)法將協(xié)商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉(zhuǎn)換情況下才可以實(shí)現(xiàn)IPSec數(shù)據(jù)流的NAT穿越。這一方法既降低了IPSec協(xié)議的安全性，又限制了NAT的工作方式，因此在實(shí)際應(yīng)用中可行度較差。4IPSec與NAT的兼容性要求在現(xiàn)有的條件下，為了推動(dòng)基于IPSec的VPN的發(fā)展，IPSec和NAT兼容性解決方案需要滿足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個(gè)過(guò)渡的解決辦法必須比IPv6易于部署。應(yīng)該只需修改主機(jī)，無(wú)需改變路由器，在短時(shí)間內(nèi)能與現(xiàn)存的路由器和NAT產(chǎn)品協(xié)同工作。2）遠(yuǎn)程訪問(wèn)IPSec的一個(gè)重要應(yīng)用是遠(yuǎn)程訪問(wèn)公司的內(nèi)部網(wǎng)絡(luò)。NAT穿越方案必須考慮遠(yuǎn)程客戶端與VPN網(wǎng)關(guān)之間存在多個(gè)NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應(yīng)該避免對(duì)IKE或IPSec目的端口的動(dòng)態(tài)分配，使防火墻管理員進(jìn)行簡(jiǎn)單的配置，就可以控制穿越NAT的IPSec數(shù)據(jù)流。4）可擴(kuò)展性IPSec和NAT兼容性方案應(yīng)具有良好的擴(kuò)展性，必須保證在大規(guī)模遠(yuǎn)程訪問(wèn)的環(huán)境中，在大量遠(yuǎn)程接入的環(huán)境下，同一時(shí)間段多個(gè)主機(jī)和遠(yuǎn)程安全網(wǎng)關(guān)建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實(shí)現(xiàn)互操作。穿越方案應(yīng)該能自動(dòng)檢測(cè)是否存在NAT，能判斷通信對(duì)方的IKE實(shí)現(xiàn)是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來(lái)新的安全漏洞。5利用UDP封裝法實(shí)現(xiàn)NAT的穿透本文中的解決方案是采用UDP封裝法實(shí)現(xiàn)NAT的透明穿透，不需要修改現(xiàn)有的NAT網(wǎng)關(guān)和路由器。所以該方案具有簡(jiǎn)單且易于實(shí)現(xiàn)的優(yōu)點(diǎn)，缺點(diǎn)是由于添加了一個(gè)UDP報(bào)文頭，而加大了帶寬開銷，但相對(duì)于目前持續(xù)擴(kuò)大的傳輸帶寬來(lái)說(shuō)，這個(gè)UDP報(bào)文頭的帶寬開銷可以忽略不計(jì)。下面詳細(xì)討論其原理和實(shí)現(xiàn)過(guò)程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數(shù)據(jù)之間再封裝一個(gè)UDP頭，這樣封裝后的數(shù)據(jù)包端口值對(duì)NAT可見，就可以正確的實(shí)現(xiàn)端口轉(zhuǎn)換。UDP封裝格式如圖1所示。端口，為了簡(jiǎn)化配置和避免多個(gè)端口帶來(lái)的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來(lái)區(qū)分端口500的數(shù)據(jù)包是IKE消息還是UDP封裝的ESP。為了區(qū)分兩者，我們采用在IKE報(bào)頭添加Non-ESP標(biāo)記。在確定存在一個(gè)中間NAT之后，支持IPSecNAT-T的對(duì)話方開始使用新的IKE報(bào)頭。5.2IKE協(xié)商過(guò)程IPSec通信實(shí)體雙方是否采用UDP封裝取決于對(duì)話對(duì)方是否支持該方法以及是否存在NAT設(shè)備，這個(gè)過(guò)程通過(guò)IKE協(xié)商來(lái)完成。在IKE協(xié)商過(guò)程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類型。1）新的NAT-Discovery(NAT-D)有效載荷這個(gè)新的有效載荷包含一個(gè)散列值，它整合了一個(gè)地址和端口號(hào)。在主模式協(xié)商期間，即IKE協(xié)商第一階段第三、四條消息中，IPSec對(duì)話方包括兩個(gè)NAT-Discovery有效載荷——一個(gè)用于目標(biāo)地址和端口，另一個(gè)用于源地址和端口。接收方使用NAT-Discovery有效載荷來(lái)發(fā)現(xiàn)NAT之后是否存在一個(gè)經(jīng)NAT轉(zhuǎn)換過(guò)的地址或端口號(hào)，并基于被改變的地址和端口號(hào)來(lái)確定是否有對(duì)話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個(gè)新的有效載荷包含IPSec對(duì)話方的原始地址。對(duì)于UDP封裝的ESP傳輸模式，每個(gè)對(duì)話方在快速模式協(xié)商期間發(fā)送NAT-OA有效載荷。接收方將這個(gè)地址存儲(chǔ)在用于SA的參數(shù)中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協(xié)商期間指定的，用于通知IPSec對(duì)話方應(yīng)該對(duì)ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來(lái)封裝IPSec分組的思想只解決了NAPT設(shè)備不支持AH和ESP通信的問(wèn)題。例如TCP校驗(yàn)和錯(cuò)誤、UDP端口映射的保持等問(wèn)題還需要輔助方法來(lái)解決。為保證校驗(yàn)和正確無(wú)誤，通信雙方需將自身的原始IP地址和端口發(fā)送給對(duì)方，即實(shí)現(xiàn)地址通告。地址通告的實(shí)現(xiàn)通過(guò)IKE第二階段的前兩條消息中的NAT-OA有效載荷。因?yàn)镹AT-OA有效載荷中包含IPSec對(duì)話方的原始地址，為此，接收方就擁有了檢驗(yàn)解密之后的上層校驗(yàn)和所需的信息。消息發(fā)起者在NAT中創(chuàng)建了一個(gè)UDP端口映射，它在初始主模式和快速模式IKE協(xié)商期間使用。然而，NAT中的UDP映射通常超過(guò)一定時(shí)間沒用就會(huì)被刪除掉。如果響應(yīng)者隨后向發(fā)起者發(fā)送IKE消息卻沒有提供UDP端口映射，那么這些消息將被NAT丟棄。這個(gè)問(wèn)題的解決辦法是通過(guò)定期發(fā)送Keepalive包，用于后續(xù)IKE協(xié)商和UDP封裝的ESP的UDP端口映射同時(shí)在NAT中得到刷新，從而保證通信的正常運(yùn)行。6結(jié)束語(yǔ)IPSec作為網(wǎng)絡(luò)層的安全協(xié)議，目前的應(yīng)用越來(lái)越廣泛,已成為構(gòu)建VPN的基礎(chǔ)協(xié)議之一。而由于IPv6取代IPv4將是一個(gè)漫長(zhǎng)的過(guò)程，NAT設(shè)備的廣泛存在極大地限制了IP層安全協(xié)議IPSec的推廣，因此在目前的條件下，UDP封裝方法無(wú)疑是一種在當(dāng)前環(huán)境下無(wú)需修改NAT網(wǎng)關(guān)和路由器、簡(jiǎn)單可接受的解決IPSec和NAT兼容性的方法，具有一定的現(xiàn)實(shí)意義。但是該方案還不完善，有待進(jìn)一步討論和研究。參考文獻(xiàn)[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

AbstractThispaperconsistsoffourparts:(1)compatibility;(2)simplification;(3)reflections

oncompatibilityandsimplification;(4)conclusion.TheauthorholdsthatChinesegrammaticalstruc

turesrevealatendencyofsimplificationinformandatendencyofcompatibilityinsemanticimpl

ication.Simplificationsandcompatibilityareinterdependentinaccordancewithpragmaticprincip

les.

本文討論漢語(yǔ)語(yǔ)法結(jié)構(gòu)，用的是現(xiàn)代漢語(yǔ)的語(yǔ)料。

摘要網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)與IPSec在因特網(wǎng)上都是得到廣泛應(yīng)用的技術(shù)，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協(xié)議的基本原理，分析了兩者的不兼容性，然后討論了解決該問(wèn)題必須滿足的要求，最后給出了利用UDP封裝法實(shí)現(xiàn)NAT透明穿透的解決方案。

關(guān)鍵詞IPSec;NAT;IKE;UDP封裝

1引言

基于IP技術(shù)的虛擬專用網(wǎng)（VirtualProfessionalNetwork，簡(jiǎn)稱VPN）是通過(guò)Internet平臺(tái)將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計(jì)算機(jī)用戶的一種成本效益極佳的方法。隨著網(wǎng)絡(luò)安全技術(shù)的飛快發(fā)展，越來(lái)越多大型企業(yè)利用互聯(lián)網(wǎng)采用IPSec技術(shù)建立VPN網(wǎng)絡(luò)，IPSec已逐漸成為VPN構(gòu)建的主流技術(shù)。IP安全協(xié)議（IPSecurityProtocol，簡(jiǎn)稱IPSec）是由互聯(lián)網(wǎng)工程工業(yè)組（InternetEngineeringTaskForce，簡(jiǎn)稱IETF）1998年底規(guī)劃并制定的網(wǎng)絡(luò)IP層標(biāo)準(zhǔn)。IPSec不僅可以為IP協(xié)議層以上所有的高層協(xié)議和應(yīng)用提供一致性的安全保護(hù)，而且除了可用于IPv4之外，也可用于下一代IP協(xié)議IPv6。

另外，NAT（NetworkAddressTranslation）技術(shù)通過(guò)改變進(jìn)出內(nèi)部網(wǎng)絡(luò)的IP數(shù)據(jù)包的源和目的地址，把無(wú)效的內(nèi)部網(wǎng)絡(luò)地址翻譯成合法的IP地址在Internet上使用。該技術(shù)一方面可以把私有IP地址隱藏起來(lái)，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用；另一方面，它可以緩解由于IPv4先天設(shè)計(jì)上的不足，而導(dǎo)致的IP地址嚴(yán)重短缺的現(xiàn)狀。

但是，被廣泛使用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備卻制約著基于IPSec技術(shù)的VPN的發(fā)展，這是因?yàn)镮PSec協(xié)議在VPN中承擔(dān)保護(hù)傳輸數(shù)據(jù)的安全性任務(wù)。在數(shù)據(jù)傳輸過(guò)程中，任何對(duì)IP地址及傳輸標(biāo)志符的修改，都被視作對(duì)該協(xié)議的違背，并導(dǎo)致數(shù)據(jù)包不能通過(guò)安全檢查而被丟棄。但在VPN中運(yùn)用NAT技術(shù)，則不可避免地要將私網(wǎng)地址映射為公網(wǎng)地址，即對(duì)IP地址要進(jìn)行修改。因此，在VPN網(wǎng)絡(luò)中如何使IPSec和NAT協(xié)同工作，實(shí)現(xiàn)NAT的透明穿透具有現(xiàn)實(shí)意義。

摘要：簡(jiǎn)要介紹了通信開關(guān)電源的電磁兼容性要求、國(guó)內(nèi)外標(biāo)準(zhǔn)、電磁兼容性的成因、研究解決方法及國(guó)內(nèi)通信開關(guān)電源的電磁兼容性現(xiàn)狀。

關(guān)鍵詞：通信開關(guān)電源電磁兼容性標(biāo)準(zhǔn)

1引言

通信開關(guān)電源因具有體積小、重量輕、效率高、工作可靠、可遠(yuǎn)程監(jiān)控等優(yōu)點(diǎn)，而廣泛應(yīng)用于程控交換、光數(shù)據(jù)傳輸、無(wú)線基站、有線電視系統(tǒng)及IP網(wǎng)絡(luò)中，是信息技術(shù)設(shè)備正常工作的動(dòng)力核心。

隨著信息技術(shù)的發(fā)展，信息技術(shù)設(shè)備遍布大江南北，從發(fā)達(dá)的中心城市至偏遠(yuǎn)山區(qū)，為人與人之間的溝通交流及信息傳輸提供了極大的便利。由于城鄉(xiāng)間的差異，通信設(shè)備的供電網(wǎng)既有穩(wěn)定的大電網(wǎng)供電方式，也有獨(dú)立的小水電供電方式。在小水電站供電方式下，因水量的變化、用戶用電量的變化較大及發(fā)電設(shè)備工作的不穩(wěn)定，造成電網(wǎng)波形失真嚴(yán)重及電壓波動(dòng)大，同時(shí)因配電系統(tǒng)的接線不規(guī)范，對(duì)通信用開關(guān)電源形成了嚴(yán)峻的考驗(yàn)。

鐵路通信及電力通信正在發(fā)展壯大。由于電力機(jī)車經(jīng)過(guò)之處，產(chǎn)生很強(qiáng)的感應(yīng)電壓，使地線電壓產(chǎn)生很大的波動(dòng)，從而引起電網(wǎng)電壓的很大波動(dòng)，強(qiáng)大的電場(chǎng)容易引起開關(guān)電源設(shè)備工作的瞬時(shí)不穩(wěn)定。在高壓電網(wǎng)附近運(yùn)行的通信開關(guān)電源，雖然電網(wǎng)電壓穩(wěn)定，但容易受電網(wǎng)負(fù)載變化等引起的強(qiáng)電磁場(chǎng)的干擾影響。

摘要：本文的主要結(jié)論為財(cái)務(wù)數(shù)據(jù)是中小企業(yè)會(huì)計(jì)電算化推進(jìn)過(guò)程中的重點(diǎn)建設(shè)方面，通過(guò)“云+端”服務(wù)增強(qiáng)數(shù)據(jù)安全建設(shè)；中小企業(yè)應(yīng)順應(yīng)時(shí)展潮流積極由“核算型”向“管理型”轉(zhuǎn)型，實(shí)現(xiàn)財(cái)務(wù)會(huì)計(jì)和管理會(huì)計(jì)有機(jī)結(jié)合的全面會(huì)計(jì)電算化；加大對(duì)復(fù)合型人才的培養(yǎng)力度，只有人才的充實(shí)才能切實(shí)地解決現(xiàn)在所存在的問(wèn)題并強(qiáng)力地推動(dòng)中小企業(yè)會(huì)計(jì)電算化的發(fā)展。

關(guān)鍵詞：會(huì)計(jì)電算化；兼容性；復(fù)合型人才；中小企業(yè)

一、會(huì)計(jì)電算化兼容方面存在問(wèn)題

（一）各類財(cái)會(huì)軟件兼容性差

目前，企業(yè)所使用的財(cái)會(huì)軟件都來(lái)自于以下三種方式：1、直接外購(gòu)，成本費(fèi)用低，售后服務(wù)質(zhì)量較好，但可行性不足，不一定能滿足企業(yè)會(huì)計(jì)辦公所需；2、自行開發(fā)，在一定程度上能夠滿足企業(yè)實(shí)際業(yè)務(wù)所需、便于維護(hù)及技術(shù)升級(jí)，但內(nèi)部保密安全性存在風(fēng)險(xiǎn)，要有一定技術(shù)實(shí)力作支撐；3、委托第三方機(jī)構(gòu)開發(fā)，能夠滿足企業(yè)辦公所需，從業(yè)人員能得到培訓(xùn)與學(xué)習(xí)，但開發(fā)成本偏高，技術(shù)維護(hù)困難。綜上而論，中小企業(yè)選擇直接外購(gòu)比較現(xiàn)實(shí)可行，而且我國(guó)大部分的中小企業(yè)現(xiàn)階段都采取第一種方式：直接向第三方開發(fā)商購(gòu)買。部分公司的整個(gè)發(fā)展歷程中，其財(cái)會(huì)軟件的選擇相當(dāng)雜亂，速達(dá)、金算盤、博科、久其、管家婆、浪潮等軟件基本都用過(guò)，但隨著企業(yè)的發(fā)展至多進(jìn)行硬件的更新而忽略軟件平臺(tái)的更新，而開發(fā)商都強(qiáng)調(diào)突出自己軟件的特點(diǎn)，幾乎絕大部分財(cái)會(huì)軟件不兼容。更有甚者，同一軟件的財(cái)務(wù)系統(tǒng)往往也具有兼容性弱的缺陷。各個(gè)財(cái)會(huì)軟件公司缺乏溝通，政府也沒有統(tǒng)一規(guī)劃，沒有形成統(tǒng)一性的數(shù)據(jù)接口，造成數(shù)據(jù)共享難。

（二）軟件難以正常使用

摘要：系統(tǒng)地分析了TOPSwitchⅡ系列開關(guān)電源產(chǎn)生噪聲的主要原因及產(chǎn)生噪聲的回路和部件，給出了相應(yīng)的抗干擾措施，從而提高了開關(guān)電源的電磁兼容性。

關(guān)鍵詞：開關(guān)電源噪聲電磁兼容性

TOPSwitchⅡ開關(guān)電源具有單片集成化、外圍電路簡(jiǎn)單、效率高的優(yōu)點(diǎn)，在大多數(shù)的電子設(shè)備中得到了廣泛的應(yīng)用。然而，開關(guān)電源自身產(chǎn)生的各種噪聲卻形成了一個(gè)很強(qiáng)的電磁干擾源。這些干擾隨著開關(guān)頻率的提高、輸出功率的增大而明顯地增強(qiáng)，對(duì)電子設(shè)備的正常運(yùn)行構(gòu)成了潛在的威脅；同時(shí)，一些國(guó)家對(duì)此也有嚴(yán)格的指標(biāo)，不能滿足者將被拒之門外。本文以美國(guó)PI公司TOPSwitchⅡ系列為例，介紹開關(guān)電源的電磁干擾及其抑制。

1開關(guān)電源產(chǎn)生噪聲的原因

開關(guān)電源工作在高頻、高壓、大電流開關(guān)狀態(tài)，并以開和關(guān)的時(shí)間比來(lái)控制輸出電壓的高低。TOPSwitchⅡ系列器件工作頻率為100kHz，電源線路內(nèi)的dv/dt很大，產(chǎn)生的各種噪聲通過(guò)電源線以共模或差模方式向外傳導(dǎo)，同時(shí)還向周圍空間輻射噪聲。圖1給出了一種典型TOPSwitchⅡ系列的開關(guān)電源電路圖，下面以此為例分析其產(chǎn)生噪聲的主要原因。

1.1電源一次側(cè)回路的噪聲

摘要：作為網(wǎng)絡(luò)經(jīng)濟(jì)主要運(yùn)作模式的電子商務(wù),突出地體現(xiàn)了網(wǎng)絡(luò)經(jīng)濟(jì)的典型特征———融合。本文在分析網(wǎng)絡(luò)經(jīng)濟(jì)融合以及電子商務(wù)的各種特征的基礎(chǔ)上,就如何將融合理念貫穿于企業(yè)經(jīng)營(yíng)管理的整個(gè)過(guò)程提出了若干具體思路。

關(guān)鍵詞：網(wǎng)絡(luò)經(jīng)濟(jì)融合電子商務(wù)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)化和全球化已成為不可抗拒的世界潮流。網(wǎng)絡(luò)經(jīng)濟(jì)正漸漸取代傳統(tǒng)的工業(yè)經(jīng)濟(jì),人類社會(huì)正在邁向網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代,而電子商務(wù)則成為這個(gè)新經(jīng)濟(jì)時(shí)代的熱點(diǎn)。

一、融合是網(wǎng)絡(luò)經(jīng)濟(jì)的典型特征

比較工業(yè)經(jīng)濟(jì)和網(wǎng)絡(luò)經(jīng)濟(jì)這兩種經(jīng)濟(jì)的生產(chǎn)力發(fā)展方向,就會(huì)清楚地看到:前者的生產(chǎn)力發(fā)展總方向是“分化”,在分工產(chǎn)生財(cái)富的同時(shí),造成生產(chǎn)與消費(fèi)的分離,形成“迂回經(jīng)濟(jì)”;而后者的生產(chǎn)力發(fā)展總方向則相反,它借助網(wǎng)絡(luò)使生產(chǎn)與消費(fèi)“融合”在一起,通過(guò)產(chǎn)消融合造就財(cái)富,形成“直接經(jīng)濟(jì)”。這種生產(chǎn)與消費(fèi)的融合是通過(guò)技術(shù)融合、功能融合乃至產(chǎn)業(yè)與社會(huì)的融合而實(shí)現(xiàn)的。

(一)技術(shù)融合。融合首先起源于技術(shù)革命,突出表現(xiàn)在現(xiàn)代通訊技術(shù)與計(jì)算機(jī)技術(shù)的結(jié)合。計(jì)算機(jī)在通訊設(shè)備中的應(yīng)用,使通訊系統(tǒng)更加先進(jìn)、可靠和方便;而計(jì)算機(jī)之間的通信又有賴于通信網(wǎng)的支持,二者融合的結(jié)果,誕生了“信息高速公路”。它第一次使信息真正成為與工業(yè)力量對(duì)等的力量。與此同時(shí)隨著“網(wǎng)絡(luò)作為電腦的外圍”逐步轉(zhuǎn)向“電腦成為網(wǎng)絡(luò)的終端”,演繹出現(xiàn)代通信的時(shí)代意義:通信不只是作為信息傳遞的手段,它還能在信息存儲(chǔ)和轉(zhuǎn)換、處理和收發(fā)等方面擴(kuò)展著自身的功能,現(xiàn)代通信技術(shù)已成為信息技術(shù)的主導(dǎo)和基質(zhì)。現(xiàn)代通信的內(nèi)涵就是信息網(wǎng),它使得通信網(wǎng)與計(jì)算機(jī)應(yīng)用技術(shù)的分界越來(lái)越模糊。

一、制度兼容、演進(jìn)與經(jīng)濟(jì)績(jī)效

正式制度的目標(biāo)取向與組織中個(gè)人的利益偏好是否一致決定了正式和非正式制度是否兼容，兩者的兼容與否決定了組織和經(jīng)濟(jì)運(yùn)行的交易成本，而交易成本的大小最終決定了經(jīng)濟(jì)績(jī)效的影響，主要通過(guò)激勵(lì)、監(jiān)督費(fèi)用和強(qiáng)化成本三方面進(jìn)行。一是當(dāng)一個(gè)組織的正式規(guī)則與子群體中的成員的偏好和利益一致時(shí)，將會(huì)大大提高組織的經(jīng)濟(jì)績(jī)效。組織中的成員受到一種自我激勵(lì)，這種激勵(lì)通過(guò)正式制度的確立而更加明確。而當(dāng)博弈的正式和非正式的規(guī)則一致時(shí)，它們將相互強(qiáng)化。非正式與正式約束的一致性將導(dǎo)致較低的交易成本，因?yàn)楸O(jiān)督和強(qiáng)化機(jī)能以一種非正式的方式取得預(yù)期的效果。二是當(dāng)一個(gè)組織的正式規(guī)則與子群體中成員的偏好和利益有較大差異時(shí)，這種不一致性導(dǎo)致較低的績(jī)效。因?yàn)槭紫龋瑢?duì)立的規(guī)則與規(guī)范使經(jīng)濟(jì)行為者無(wú)所適從，缺乏激勵(lì)。其次，由于組織目標(biāo)與個(gè)人的利益偏好不一致，不能使個(gè)人自覺為組織的目標(biāo)工作，監(jiān)督成本高，從而導(dǎo)致正式制度的形式化、組織的沖突和摩擦。

用進(jìn)化博弈論的方法研究制度演進(jìn)中的兼容性問(wèn)題的結(jié)論：一是進(jìn)化過(guò)程不一定帶來(lái)最佳的傳統(tǒng)和制度。由于社會(huì)的歷史初期條件的原因，最佳反應(yīng)動(dòng)力的結(jié)果難以從帕累托劣勢(shì)的社會(huì)傳統(tǒng)中擺脫出來(lái)，即社會(huì)體制進(jìn)化的路徑依賴性。二是與正式制度相比，非正式制度的變遷更具演進(jìn)特點(diǎn)。且正式制度和非正式制度的變遷受不同之手——“劉易斯之手”和“斯更努之手”的指引。前者是指通過(guò)理性的共同知識(shí)、主觀的認(rèn)識(shí)和批判，來(lái)預(yù)設(shè)和推動(dòng)制度的變化；后者指人們只通過(guò)他們過(guò)去的行為觀察到其獲得的效用，并強(qiáng)化好的行為或繼承壞的行為。因此，在制度演進(jìn)過(guò)程中仍可能出現(xiàn)正式制度與非正式制度的不一致。進(jìn)化博弈論給出關(guān)于克服路徑依賴，實(shí)現(xiàn)制度演進(jìn)中的制度兼容的解決之道：一是通過(guò)引入較系統(tǒng)的突然變異，使社會(huì)脫離原有的低水平的均衡；二是通過(guò)政府政策性介入，將人們的行動(dòng)轉(zhuǎn)換到更高支付的戰(zhàn)略上；三是積極促進(jìn)低水平均衡的社會(huì)與具有不同習(xí)慣的高水平均衡的社會(huì)交流，提高原社會(huì)形成更佳習(xí)慣的可能性。據(jù)此達(dá)到新制度的正式制度和非正式制度在較高水平上的兼容，并使兩者以一種非正式制度的形成達(dá)到自我強(qiáng)化，通過(guò)互動(dòng)強(qiáng)化，使兩者結(jié)合得更加緊密，造成一種報(bào)酬遞增的機(jī)制，從而降低交易費(fèi)用，提高經(jīng)濟(jì)績(jī)效。（見表1）

總之，在其他條件相同的條件下，如果正式制度與非正式制度一致，則無(wú)論是從激勵(lì)角度還是從約束角度所需的交易成本都較低，從而導(dǎo)致較高的經(jīng)濟(jì)績(jī)效；反之則相反。

二、WTO規(guī)則與特區(qū)制度兼容、經(jīng)濟(jì)績(jī)效

加入WTO，中國(guó)面臨WTO規(guī)則與中國(guó)現(xiàn)存制度的兼容問(wèn)題。提高制度的兼容性，增強(qiáng)整個(gè)制度的經(jīng)濟(jì)績(jī)效已成為當(dāng)務(wù)之急，即使中國(guó)的經(jīng)濟(jì)特區(qū)也不例外。

摘要:通過(guò)高速磁浮列車電磁兼容技術(shù)系統(tǒng)策略的研究，針對(duì)高速常導(dǎo)磁懸浮列車電氣系統(tǒng)設(shè)計(jì)、整車結(jié)構(gòu)布局、電氣線路敷設(shè)及電氣裝置電磁兼容特性分析，基于車輛工序過(guò)程及作業(yè)單元，充分細(xì)化和分解技術(shù)標(biāo)準(zhǔn)和要求，明確高速磁浮車輛電磁兼容技術(shù)的工程化應(yīng)用方法及措施。

關(guān)鍵詞:高速磁浮車輛;電磁兼容;工藝技術(shù);工程化應(yīng)用

高速磁浮車輛與安裝于地面軌道的牽引供電、運(yùn)控通信系統(tǒng)，以及隨車裝載的大功率變頻、變壓逆變器，整流器和各種先進(jìn)的控制網(wǎng)絡(luò)、信號(hào)控制等設(shè)備，使整列車輛系統(tǒng)形成一個(gè)帶有復(fù)雜電磁能量的巨大移動(dòng)源。車輛設(shè)備和系統(tǒng)一旦發(fā)生電磁干擾問(wèn)題，輕則導(dǎo)致系統(tǒng)出現(xiàn)信號(hào)錯(cuò)誤，重則導(dǎo)致車輛無(wú)法正常運(yùn)營(yíng)。因此，通過(guò)高速磁浮車輛的工程化研制，充分研究其系統(tǒng)電磁兼容性要求，并通過(guò)各種措施明確其工程化應(yīng)用策略，針對(duì)作業(yè)過(guò)程制定有效的工藝方法，保證整車的電磁兼容性達(dá)到系統(tǒng)要求，從而保證軌道車輛產(chǎn)品電磁兼容性、系統(tǒng)性能的穩(wěn)定可靠。

1高速磁浮列車系統(tǒng)特性及電磁兼容性要求

高速磁浮列車采用電磁懸浮(EMS)方式，車輛與磁浮地面軌道系統(tǒng)具有電耦合，通過(guò)車載懸浮磁鐵模塊的激勵(lì)產(chǎn)生受控的電磁場(chǎng)。懸浮磁鐵與安裝在磁浮軌道上的直線電機(jī)定子鐵芯得電后產(chǎn)生吸力，將車輛整體提升，產(chǎn)生穩(wěn)定的懸浮。高速磁浮系統(tǒng)電磁兼容性(EMC)分為環(huán)境級(jí)、系統(tǒng)級(jí)、子系統(tǒng)級(jí)、部件級(jí)、設(shè)備(芯片)級(jí)等各個(gè)層級(jí)(見圖1)，以及各層級(jí)之間共同存在的EMC問(wèn)題，而且其寬頻譜、各種騷擾途徑(傳導(dǎo)、感應(yīng)、輻射)俱全的特點(diǎn)，也使軌道交通車輛的電磁兼容環(huán)境異常復(fù)雜。特別是磁浮列車在懸浮及高速運(yùn)行時(shí)，車輛與軌道之間沒有任何機(jī)械接觸，因此對(duì)整個(gè)系統(tǒng)的電磁兼容和接地系統(tǒng)采用特殊的系統(tǒng)設(shè)計(jì)策略和模式。

2高速磁浮列車電磁兼容技術(shù)工程化應(yīng)用