关于数字家庭网络技术与发展概况

3.5 安全技术

通过家庭网关可为家庭网络提供一个全面的网络安全解决方案，包括用户验证、授权、数据保护等。家庭网关所采用的安全技术包括：多SSID和VLAN、802.1X认证、WEP和WPA、备份中心、AAA、CA技术、包过滤技术、地址转换、VPN技术、加密与密钥交换技术、ASPF、安全管理等。

（1）多SSID和VLAN技术

无线家庭网关可以通过802.11X进行家庭内部组网，家庭网关支持多SSID可以实现虚拟AP功能。不同的SSID可以采用不同的认证方式及访问权限，也可映射为不同的VLAN，实现公共热点与家庭内部网之间的网络隔离（2）802.1x认证

802.1X认证可以实现双向认证、动态密钥管理等安全特性。IEEE 802.1x是一种基于端口的认证方法，它为每个端口（物理端口/逻辑端口） 都定义了一个受控子端口和一个非受控子端口。非受控子端口主要用于认证消息包，而受控子端口在认证成功之前是关闭的，只有在认证成功之后才完全打开，用户从而可以进行正常的通信。802.1x解决的是用户与网络之间的鉴别机制问题，另外802.1x还定义了一套动态密钥协商管理机制，支持无线口组播和单播密钥的动态协商。802.1x具体认证协议由EAP方法决定，其体系结构非常灵活，EAP-TTLS，EAP-SIM，EAP-AKA，PEAP等EAP方法支持双向鉴权、用户账号信息匿名传输、动态密钥协商管理等机制。EAP-MD5等认证方式支持单向鉴权认证。

（3）WEP和WPA

WEP是802.11标准，定义了链路级安全机制，支持共享密钥方式鉴权和MAC层数据加密，密钥长度为40或104位，使用RC4对称流加密算法。WEP安全性非常脆弱，其密钥很容易破译，容易实施各种攻击如DoS、重放等。WPA V1.0采用802.1x认证或共享密钥认证，在加密算法上采用基于WEP算法的TKIP。TKIP在WEP基础上增加了一些新的辅助算法函数，以支持对MSDU的加密，分片，数据源的验证及防重播保护等功能。

（4）AAA认证

部分高端型号家庭网关具有认证点的功能，可以对接入家庭内部网络的用户进行验证、授权及记账功能。

（5）CA技术

CA技术是安全认证技术的一种，它基于公开密钥体系通过安全证书来实现。安全证书采用国际标准的X.509证书格式，主要包括证书的版本号、发证CA的身份信息、持证用户的身份信息、持证用户的公钥、证书的有效期以及其他一些附加信息。证书由发证CA数字签名，保证了证书不可伪造并且不能被更改。安全证书由CA中心分发并维护。家庭网关实现对CA中心的支持，包含两方面的内容。其一是针对CA中心的管理功能完成与CA中心的交互；其二即是家庭网关作为通信实体的认证功能。一般来说，安全证书的操作采取离线分发、本地验证的方式。

（6）包过滤技术

IP报文的IP报头及所承载的上层协议（如TCP）报头的每个域包含了可以由路由器进行处理的信息。包过滤通常用到IP报文的以下属性：

●IP的源、目的地址及协议域；

●TCP或UDP的源、目的端口；

●ICMP码、ICMP的类型域；

●TCP的标志域；

●表示请求连接的单独的SYN；

●表示连接确认的SYN/ACK；

●表示正在使用的一个会话连接；

●表示连接终断的FIN。

可以由这些域的各式各样的组合形成不同的规则。家庭网关提供了基于接口的包过滤，即可以在宽带上行口的进出两个方向上对报文进行过滤。同时还提供了基于时间段的包过滤，可以规定过滤规则发生作用的时间范围，比如上例中可设置每周一的8:00～20:00允许FTP报文进入以完成必要的服务，而其余时间则禁止FTP连接。在时间段的设置上，可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上具有极大的灵活性。并且这样的时间段可以方便地提供给其他的功能模块使用，如地址转换、IPSec等。

（7）VPN技术

虚拟私有网（Virtual Private Network）简称为VPN，是近年来随着Internet的发展而迅速发展起来的一种技术。主要分为Access VPN和Intranet VPN。远程用户可以通过Access VPN接入家庭网关，实现对家庭网络的安全远程访问和控制。家庭网关可通过Intranet VPN接入公司的VPN网关，实现Intranet。

（8）ASPF技术

ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。家庭网关提供基于报文内容的访问控制，即ASPF，能够对应用层的一部分攻击加以检测和防范，包括对于SMTP命令的检测、SYN flooding、Packet Injection的检测。

（9）IDS技术

入侵检测系统（IDS）可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。入侵检测系统全称为Intrusion Detective System，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。

3.6 QoS技术

家庭网络中需要共享和传送多种多样的媒体内容，有话音、视频、网上浏览、静态图片、文字、控制消息等，这些业务对于网络的服务质量有截然不同的要求。家庭网络中采用的组网技术是多种多样的，有无线、有线等，因此如何在这样的环境中保证每类业务的服务质量是一个重要的课题。QoS的实现首先需要在家庭网关上实现外部网络和家庭网络之间的带宽映射分配机制，将外部网络中业务流按照家庭网络情况进行重新映射分配，需要在家庭网关上实现带宽的动态预留和分配功能，家庭网关需要同时实现外部网络和家庭网络的服务质量机制，保证端到端的QoS；另外，需要对家庭中各个终端的QoS能力进行定义，制定终端设备和家庭网关之间的QoS信令机制。

（1）对数据流的分类和调度

具体的报文优先级有多种分类办法，但我们可将其中的划分为以下4类：

●最低的优先级：普通的数据业务流；

●语音优先级：交互式的语音业务流；

●视频优先级：视频业务流；

●控制报文优先级：网络控制报文数据。

在网络终端设备中，每种优先级的数据流都有相应的优先级队列。在终端产品内部需要根据优化的调度算法进行优先级调度。其基本的方法是：根据基本的优先级元组确定和区分不同的业务流，并将不同的业务流分配到不同的优先级队列中。优先级元组可根据具体的业务情况进行定义。在将不同优先级的数据分流到不同的优先级队列中后，需采用合理的队列调度算法来保证优先的数据先发送，也就是需要对队列进行优先级调度，具体的调度算法有很多，如PQ（绝对优先级）、WRR（按权重的优先级轮询）等。

（2）有线和无线QoS捆绑

在终端设备内部，需要将有线的QoS和无线的QoS捆绑起来，才能实现端到端的QoS。在WLAN接口中，最多有8个优先级队列，因此在有线侧也需要有相应数量的优先级队列，这些队列和无线接口中的队列是一一对应的。另外，同样的数据流分类标准要同时应用到有线接口和无线接口（3）客户化的优先级设置

手工设置QoS是非常麻烦的事情，因此需要有一种动态的下发QoS的机制，这样才能有效地管理网络。这种机制可有很多种，如：

●通过SNMP MIB下发动态的QoS策略；

●通过DHCP服务器回应选项中携带TFTP服务器和配置文件名，终端根据这些选
项到预定的TFTP服务器上获取制定的包含QoS定义的配置文件；

●通过用户认证过程中的认证返回信息，同时返回用户的QoS定义。

上述是一些动态QoS机制，从上述机制也可看出，合理的QoS机制必须有承载网络上的设备配合才能完成。

3.7 智能路由技术

在未来的家庭网络和FMC（固定移动融合）网络环境下，可能出现多个Internet接口、或一个设备有多种接入方式，设备的处理能力、设备的供电方式、设备的安全程度、通讯成本将导致不同的路由选择。

家庭网络或局域网多传送多媒体信息，对于带宽占用大，需要很好的QoS保证。例如：在家庭网络或局域网内部，集成WLAN模块的便携机可能同时有PLC的接入模块、内嵌WLAN模块的设备可能同时有GPRS的模块。因此，在一个网络内部设备可能有两个IP地址，而每种宽带接入手段对应的网络传送能力、网络传输效率、安全等级、耗电量等具体的技术指标不同、存在每种接入手段上的现存的网络流量也不同，仅仅通过传统的路由算法是无法最佳地满足业务可靠传送的需求。

4 未来数字家庭网络的发展

家庭网络存在的基础是宽带入户、终端的数字化和信息的共享。按照终端的功能，家庭网络由网关和四个子网组成，即娱乐子网，通信子网，工作子网，控制子网。

家庭网络与各子网的发展既相对独立又逐步走向融合，各子网间的通讯协议保持一致，但是子网内部的通讯协议可以相对独立，最大程度继承了各个领域的原来的基础标准。子网间通过逻辑上的子网关彼此连接。

家庭网络不是独立存在的，对外与宽带电信网连接、对内支撑各个子网设备的使用。家庭网络是电信网络由最后一公里向最后一公尺的延伸，凭借电信网络业务融合的优势可为家庭网络提供端到端的服务内容。

（1）从运营商角度

可以看出，家庭网络是传统电信网络延伸入家庭的部分，是电信多业务运营和管理的桥头堡。利用家庭网络，延续和保证传统电信运营商的端到端业务及新业务的的落地与运营。

（2）从用户角度

3C融合趋势过程中，保证家庭内IT、消费电子设备、电信终端设备的持续有效工作，和家庭内部3C设备的互联与信息共享。

传统的集中控制的典型网络对于家庭同样适用，而传统消费电子产品与带宽的限制使各终端采用对等通信的方式。集中控制可解决：网络管理问题、DRM问题、QoS问题、安全问题、操作便利性问题。对等通信可解决：带宽问题、单故障点问题、网络扩展问题