WATERBOX防水墻系統(tǒng)中硬件接口及設(shè)備管理設(shè)計實現(xiàn)分析

1、 - .- -可修編- -. z.隨著網(wǎng)絡(luò)時代的到來，互聯(lián)網(wǎng)的觸角已經(jīng)深入到中國的每一個角落。在網(wǎng)絡(luò)化的同時，有關(guān)網(wǎng)絡(luò)信息安全的問題也日益突出。絕大多數(shù)的企業(yè)、學(xué)校、政府機構(gòu)把網(wǎng)的安全重點放在防來自外部的攻擊，依賴于防火墻、防病毒軟件。然而對一系列計算機犯罪統(tǒng)計數(shù)字分析的結(jié)果，促使人們更多地關(guān)注來自部人員的安全威脅。其中計算機系統(tǒng)的外部設(shè)備泄密是信息泄露事件發(fā)生的一大重要根源。如今越來越多的敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在計算機里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，存貯在無保護的介質(zhì)里，外設(shè)的泄密隱患相當大，部員工可以通過光驅(qū)、軟驅(qū)、USB等外設(shè)非法拷貝敏感信息和涉密信息，這些行

2、為造成嚴重的后果和不可彌補的損失。本文旨在對主機設(shè)備管理技術(shù)進行研究，建立一個主機設(shè)備管理系統(tǒng)。該系統(tǒng)具有身份認證、在線主機掃描、主機設(shè)備監(jiān)控等功能。本文首先分析了現(xiàn)階段主機設(shè)備管理的研究背景及現(xiàn)狀，然后從需求分析入手，分析了系統(tǒng)的層次結(jié)構(gòu)，接下來結(jié)合現(xiàn)有的技術(shù)，設(shè)計了一個主機設(shè)備管理系統(tǒng)，最后對該系統(tǒng)進行了實現(xiàn)和測試。課題的最終成果為：設(shè)計了一個主機設(shè)備管理模塊，并依據(jù)該模塊實現(xiàn)了一個主機設(shè)備管理系統(tǒng)。實踐證明，該系統(tǒng)具備良好的實際應(yīng)用價值。關(guān)鍵詞：防水墻，主機設(shè)備管理，網(wǎng)絡(luò)安全，信息安全 - .-. z.AbstractNetwork has been popular in China w

3、hen the network age is ing, but the problem of information security bees more and more serious. Most of enterprises, schools and governments focus on e*ternal attack depending on fireware and anti-virus. While a series of statistic result of puter crime indicates that people should attend the securi

4、ty threat of interior personnel. The one of the reasons of blowing the gaff is the puter device, because more and more sensitive information、private data and archives are saved in the puter, a mass of files and datum are changed into magnetic medium and optical medium so that the possibility of blow

5、ing the gaff is big owing to interior personnel copying information through CD-ROM, floppy drive and USB.In this thesis, the conceptual architecture of such a system was described, and our e*perience with its initial implementation was addressed as well. This system consists of identity authenticati

6、on, on-line puter scan and device management.The achievements of this thesis include the design and implementation of a device management system. The requirement analysis was finished. Also the modules of the system and some key technologies were described. The system was implemented and tested as w

7、ell.In conclusion, the device management system has good performance and we can ensure that the information is not blabed through the device.Key words:WaterBo*, host device management, network security,information security - .-. z.目 錄 TOC o 1-4 h z u HYPERLINK l _Toc137610927第一章引言 PAGEREF _Toc137610

8、927 h 1HYPERLINK l _Toc1376109281.1背景以及國外現(xiàn)狀 PAGEREF _Toc137610928 h 1HYPERLINK l _Toc1376109291.2主要容 PAGEREF _Toc137610929 h 1HYPERLINK l _Toc1376109301.3論文章節(jié)安排 PAGEREF _Toc137610930 h 1HYPERLINK l _Toc137610931第二章需求分析 PAGEREF _Toc137610931 h 3HYPERLINK l _Toc1376109322.1系統(tǒng)需求 PAGEREF _Toc137610932 h

9、 3HYPERLINK l _Toc1376109332.2功能需求 PAGEREF _Toc137610933 h3HYPERLINK l _Toc1376109342.3性能需求 PAGEREF _Toc137610934 h 4HYPERLINK l _Toc1376109352.4硬件環(huán)境 PAGEREF _Toc137610935 h 5HYPERLINK l _Toc1376109362.5 軟件環(huán)境及開發(fā)環(huán)境 PAGEREF _Toc137610936 h 5HYPERLINK l _Toc1376109372.6 小結(jié) PAGEREF _Toc137610937 h 6HYPE

10、RLINK l _Toc137610938第三章總體設(shè)計 PAGEREF _Toc137610938 h 7HYPERLINK l _Toc1376109393.1 系統(tǒng)總體結(jié)構(gòu)簡介 PAGEREF _Toc137610939 h 7HYPERLINK l _Toc1376109403.2 子系統(tǒng)總體設(shè)計 PAGEREF _Toc137610940 h 8HYPERLINK l _Toc1376109413.2.1 驗證模塊模塊 PAGEREF _Toc137610941 h 9HYPERLINK l _Toc1376109423.2.2 系統(tǒng)主控平臺 PAGEREF _Toc13761094

11、2 h 9HYPERLINK l _Toc1376109433.2.3 掃描在線主機模塊 PAGEREF _Toc137610943 h 9HYPERLINK l _Toc1376109443.2.4 主機設(shè)備管理模塊 PAGEREF _Toc137610944 h 10HYPERLINK l _Toc1376109453.3 系統(tǒng)基本處理流程 PAGEREF _Toc137610945 h 10HYPERLINK l _Toc1376109463.3.1 主機設(shè)備管理系統(tǒng)的數(shù)據(jù)流設(shè)計6 PAGEREF _Toc137610946 h 10HYPERLINK l _Toc1376109473.

12、3.2 驗證模塊的流程圖 PAGEREF _Toc137610947 h 11HYPERLINK l _Toc1376109483.3.3 系統(tǒng)主控平臺的流程圖 PAGEREF _Toc137610948 h 12HYPERLINK l _Toc1376109493.3.4 在線主機掃描模塊的流程圖 PAGEREF _Toc137610949 h 13HYPERLINK l _Toc1376109503.3.5 主機設(shè)備管理模塊的流程圖 PAGEREF _Toc137610950 h 15HYPERLINK l _Toc1376109513.4 小結(jié) PAGEREF _Toc137610951

13、 h 18HYPERLINK l _Toc137610952第四章詳細設(shè)計 PAGEREF _Toc137610952 h 19HYPERLINK l _Toc1376109534.1 權(quán)限驗證模塊 PAGEREF _Toc137610953 h 19HYPERLINK l _Toc1376109544.1.1 權(quán)限驗證IPO圖 PAGEREF _Toc137610954 h 19HYPERLINK l _Toc1376109554.1.2 權(quán)限驗證模塊的界面設(shè)計 PAGEREF _Toc137610955 h 19HYPERLINK l _Toc1376109564.1.3 權(quán)限驗證模塊的實

14、現(xiàn) PAGEREF _Toc137610956 h 20HYPERLINK l _Toc1376109574.2 系統(tǒng)主控平臺 PAGEREF _Toc137610957 h 21HYPERLINK l _Toc1376109584.2.1 主控平臺界面設(shè)計 PAGEREF _Toc137610958 h 21HYPERLINK l _Toc1376109594.2.2 主控平臺的實現(xiàn) PAGEREF _Toc137610959 h 21HYPERLINK l _Toc1376109604.3 基于UDP的網(wǎng)段掃描模塊7 PAGEREF _Toc137610960 h 22HYPERLINK

15、l _Toc1376109614.3.1 設(shè)計思路 PAGEREF _Toc137610961 h 22HYPERLINK l _Toc1376109624.3.2 編程原理 PAGEREF _Toc137610962 h 22HYPERLINK l _Toc137610963 UDP與TCP簡介 PAGEREF _Toc137610963 h 22HYPERLINK l _Toc137610964 Csocket類中的UDP相關(guān)函數(shù) PAGEREF _Toc137610964 h 23HYPERLINK l _Toc137610965 事件函數(shù)和線程創(chuàng)建函數(shù) PAGEREF _Toc1376

16、10965 h 25HYPERLINK l _Toc1376109664.3.3 實例祥解 PAGEREF _Toc137610966 h 26HYPERLINK l _Toc137610967 初始化例程 PAGEREF _Toc137610967 h 26HYPERLINK l _Toc137610968 啟動掃描 PAGEREF _Toc137610968 h 27HYPERLINK l _Toc137610969 掃描線程 PAGEREF _Toc137610969 h 27HYPERLINK l _Toc137610970 獲得掃描結(jié)果 PAGEREF _Toc137610970 h

17、 28HYPERLINK l _Toc137610971 保存掃描結(jié)果 PAGEREF _Toc137610971 h 28HYPERLINK l _Toc137610972 雙擊動作 PAGEREF _Toc137610972 h 29HYPERLINK l _Toc137610973 退出掃描 PAGEREF _Toc137610973 h 30HYPERLINK l _Toc1376109744.4 主機設(shè)備的管理 PAGEREF _Toc137610974 h 30HYPERLINK l _Toc1376109754.4.1 概述 PAGEREF _Toc137610975 h 30H

18、YPERLINK l _Toc137610976 對于控制光驅(qū)接口,我們可以通過若干方法來實現(xiàn)2 PAGEREF _Toc137610976 h 30HYPERLINK l _Toc137610977 對于控制USB接口,我們可以通過若干方法來實現(xiàn)3 PAGEREF _Toc137610977 h 33HYPERLINK l _Toc137610978 其他設(shè)備的管理 PAGEREF _Toc137610978 h35HYPERLINK l _Toc1376109794.4.2 Client/Server模式 PAGEREF _Toc137610979 h 35HYPERLINK l _Toc

19、137610980 概述 PAGEREF _Toc137610980 h 35HYPERLINK l _Toc137610981 套接字調(diào)用的流程 PAGEREF _Toc137610981 h 36HYPERLINK l _Toc137610982 Winsock編程原理 PAGEREF _Toc137610982 h 40HYPERLINK l _Toc137610983 系統(tǒng)中C/S模式的實現(xiàn) PAGEREF _Toc137610983 h 45HYPERLINK l _Toc1376109844.4.3 控制主機設(shè)備的關(guān)鍵技術(shù) PAGEREF _Toc137610984 h 50HYP

20、ERLINK l _Toc137610985 簡述DDK4 PAGEREF _Toc137610985 h 50HYPERLINK l _Toc137610986 主機設(shè)備控制的實現(xiàn) PAGEREF _Toc137610986 h 50HYPERLINK l _Toc1376109874.5 小結(jié) PAGEREF _Toc137610987 h 55HYPERLINK l _Toc137610988第五章測試 PAGEREF _Toc137610988 h 56HYPERLINK l _Toc1376109895.1 系統(tǒng)集成測試 PAGEREF _Toc137610989 h 56HYPER

21、LINK l _Toc1376109905.2 主機設(shè)備模塊測試 PAGEREF _Toc137610990 h 57HYPERLINK l _Toc1376109915.2.1 測試環(huán)境 PAGEREF _Toc137610991 h 57HYPERLINK l _Toc1376109925.2.2 功能測試 PAGEREF _Toc137610992 h 58HYPERLINK l _Toc1376109935.2.3 性能測試 PAGEREF _Toc137610993 h 58HYPERLINK l _Toc1376109945.3 小結(jié) PAGEREF _Toc137610994 h

22、 59HYPERLINK l _Toc137610995第六章結(jié)論及展望 PAGEREF _Toc137610995 h 60HYPERLINK l _Toc137610996參考文獻 PAGEREF _Toc137610996 h 61HYPERLINK l _Toc137610997致 PAGEREF _Toc137610997 h 63HYPERLINK l _Toc137610998外文資料原文 PAGEREF _Toc137610998 h 65HYPERLINK l _Toc137610999翻譯文稿 PAGEREF _Toc137610999 h 67 - .-. z.第一章 引

23、 言1.1背景以及國外現(xiàn)狀本課題來源于省青年軟件創(chuàng)新工程資助項目WaterBo*防水墻系統(tǒng)”的子系統(tǒng)WaterBo*防水墻系統(tǒng)的主機設(shè)備管理，項目編號為621。WaterBo*是由Water”和Bo*”組成的合成詞，Water”得名于安全技術(shù)的一個名詞，它的意思和防火墻剛好相反，傳達出阻止外流的意思，Bo*”這個詞則是象征性地表達了安全的意義，整個詞意是為了防止部信息未經(jīng)授權(quán)的泄露。我們知道，防火墻、IDS 和漏洞掃描僅僅解決了網(wǎng)安全理論的一個方面，但不能解決部用戶攻擊和威脅?；诰W(wǎng)安全理論的防水墻Waterbo*，將會給出了政府、民營企業(yè)的網(wǎng)安全解決方案。在國外，spectore、Vontu

24、 Protect、employee-monitor的用途是提高員工工作效率，對員工的工作行為進行約束，這些產(chǎn)品的功能主要是通過網(wǎng)絡(luò)途徑來實現(xiàn)的。如：Email、Web、Web mail、Chat、Install Messaging、FTP、Telnet、POP、IMAP、P2P、SMB等方式。在國，也有一些公司做出了關(guān)于網(wǎng)安全的產(chǎn)品，比如中軟的WaterBo*、衛(wèi)士通的一key通等?？傊?，從目前國外研究現(xiàn)狀來看，還沒有一個完整有效的網(wǎng)安全解決方案，缺乏系統(tǒng)有效的網(wǎng)安全產(chǎn)品。1.2主要容作為WaterBo*防水墻系統(tǒng)的一個子系統(tǒng)主機設(shè)備管理”，其主要功能就是通過實現(xiàn)對光驅(qū)、軟驅(qū)、USB、口、打印

25、機等外設(shè)的監(jiān)控和管理，防止部用戶通過計算機或者計算機網(wǎng)絡(luò)的外部設(shè)備或終端設(shè)備將組織部的秘密信息有意識或無意識泄漏出去，堵住任何一個可能泄漏的途徑，保證信息能夠安全可靠地保存和管理，從而最大限度地降低信息泄密的風(fēng)險。1.3論文章節(jié)安排第一章 闡述課題背景、國外發(fā)展現(xiàn)狀、主要容以及論文的章節(jié)安排。第二章 簡單論述了系統(tǒng)的需求分析以及系統(tǒng)開發(fā)所需的環(huán)境，包括系統(tǒng)需求、功能需求和性能需求以及硬件環(huán)境、軟件環(huán)境和開發(fā)環(huán)境。第三章 在分析系統(tǒng)總體結(jié)構(gòu)的基礎(chǔ)上，討論了主機設(shè)備管理子系統(tǒng)的總體設(shè)計。第四章 實現(xiàn)了主機設(shè)備管理系統(tǒng)。具體是各個模塊的設(shè)計和實現(xiàn)，包括權(quán)限驗證模塊、系統(tǒng)主控平臺、掃描在線主機模塊以及

26、主機設(shè)備管理模塊。第五章 介紹了WaterBo*系統(tǒng)的測試方法以及主機設(shè)備管理系統(tǒng)的測試環(huán)境、測試方法和具體的測試結(jié)果。第六章 對全文和本人的工作做了總結(jié)，提出了未來的研究方向。-. z.第二章 需求分析本章簡要介紹了系統(tǒng)的需求分析以及系統(tǒng)開發(fā)所需的環(huán)境。首先是需求分析，包括系統(tǒng)需求、功能需求和性能需求，接下來介紹了系統(tǒng)開發(fā)所需的環(huán)境，包括硬件環(huán)境、軟件環(huán)境以及開發(fā)環(huán)境。2.1系統(tǒng)需求WaterBo*防水墻系統(tǒng)主要分為數(shù)據(jù)分析與查詢子系統(tǒng)、網(wǎng)監(jiān)管子系統(tǒng)、進程監(jiān)控子系統(tǒng)、認證與加密子系統(tǒng)、主機設(shè)備監(jiān)管子系統(tǒng)。其中主機設(shè)備監(jiān)管子系統(tǒng)開發(fā)時應(yīng)考慮以下需求：能夠保證系統(tǒng)的安全，防止非管理員非法使用該系

27、統(tǒng)；能夠獲得當前在線主機，并對其實現(xiàn)監(jiān)管；滿足對目標網(wǎng)用戶主機的CD-ROM、USB、1394接口等設(shè)備的禁用；滿足網(wǎng)用戶在授權(quán)的情況下合法使用主機的CD-ROM、USB、網(wǎng)卡接口等設(shè)備。2.2功能需求基于對主機設(shè)備監(jiān)管子系統(tǒng)的系統(tǒng)需求，該系統(tǒng)需要實現(xiàn)一下基本功能:身份認證：管理系統(tǒng)操作人員，設(shè)計管理員口令和權(quán)限。由于WaterBo*防水墻系統(tǒng)是一款保護用戶敏感信息不被非法泄露的系統(tǒng)，只有系統(tǒng)管理員才有權(quán)限使用其來監(jiān)控網(wǎng)的安全，所以只有輸入合法的防水墻用戶名和口令才可以登錄該系統(tǒng)。由于該功能不是系統(tǒng)的主要功能，所以暫時只有簡單的身份認證，還沒有添加用戶、修改密碼等功能。掃描在線主機：Water

28、Bo*防水墻系統(tǒng)是一款對局域網(wǎng)中的合法機器或非法機器進行監(jiān)控的系統(tǒng)，我們需要知道實時監(jiān)控時局域網(wǎng)中的客戶機是否在線，只有客戶機在線才能對其進行管理。當前掃描方法有多種，包括基于TCP的掃描、基于UDP的掃描、基于ICMP的掃描等等，但是在掃描在線主機這個模塊中，我們主要利用UDP協(xié)議的掃描技術(shù)來得到*一網(wǎng)段所有在線主機的IP、機器名、工作組、用戶名以及MAC地址，因為此模塊希望快速得到同網(wǎng)段機器的信息，而并不是需要特別可靠的連接確認機制,故采用UDP來實現(xiàn)。軟驅(qū)的禁用/啟動：計算機系統(tǒng)的外部設(shè)備泄密是信息泄露事件發(fā)生的一大重要根源。作為外設(shè)之一的軟驅(qū)，部人員完全可以憑借軟盤將信息拷走，造成一定

29、的損失，所以WaterBo*防水墻系統(tǒng)中要實現(xiàn)這個功能，即對軟驅(qū)能夠?qū)崿F(xiàn)控制，在授權(quán)的情況下客戶可以使用，否則禁止用戶使用。CD-ROM的禁用/啟動：計算機系統(tǒng)的外部設(shè)備泄密是信息泄露事件發(fā)生的一大重要根源。作為外設(shè)之一的CD-ROM，部人員完全可以憑借可察寫光盤將信息拷走，造成一定的損失，所以WaterBo*防水墻系統(tǒng)中要實現(xiàn)這個功能，即對CD-ROM能夠?qū)崿F(xiàn)控制，在授權(quán)的情況下客戶可以使用，否則禁止用戶使用。USB設(shè)備的禁用/啟動：部用戶還可以通過計算機的USB移動存儲器將敏感信息和重要資料拷貝出去。為防止這種情況的發(fā)生，WaterBo*需要對計算機的USB接口進行管理。部用戶還可以對個人

30、用戶數(shù)據(jù)加密，整個網(wǎng)的數(shù)據(jù)需有一定的訪問控制策略，重要信息也要加密。網(wǎng)卡的禁用/啟動：網(wǎng)絡(luò)是信息泄漏事件發(fā)生的又一根源，部員工可以通過網(wǎng)絡(luò)，包括、BBS等將信息泄漏出去。盡管WaterBo*防水墻系統(tǒng)有專門的模塊實現(xiàn)對網(wǎng)絡(luò)的監(jiān)控、的還原和網(wǎng)頁的還原，但是仍然需要對網(wǎng)卡進行監(jiān)控，一旦發(fā)現(xiàn)用戶通過網(wǎng)絡(luò)進行非法操作，就實行禁用網(wǎng)卡，最大限度地降低信息泄密的風(fēng)險。其他外設(shè)的禁用/啟動：計算機系統(tǒng)的外部設(shè)備泄密是信息泄露事件發(fā)生的一大重要根源。通過主機的其他設(shè)備，比如口、打印機等等，部人員完全可以泄漏部的重要信息，造成一定的損失，所以WaterBo*防水墻系統(tǒng)中要實現(xiàn)這個功能，即對其他外設(shè)能夠?qū)崿F(xiàn)控制，

31、在授權(quán)的情況下客戶可以使用，否則禁止用戶使用。2.3性能需求主機設(shè)備管理系統(tǒng)的優(yōu)點是能夠掃描在線主機，并對主機設(shè)備進行監(jiān)控，其主要性能指標如下：掃描在線主機性能規(guī)定能夠掃描在線主機，在主機臺數(shù)為4的情況下時間不高于1s；誤報率不高于1%；軟驅(qū)的禁用/啟用時間不超過3s；光驅(qū)的禁用/啟用時間不超過20s；USB的禁用/啟用時間不超過20s；網(wǎng)卡的禁用/啟用時間不超過20s；口的禁用/啟用時間不超過20s；打印機的禁用/啟用時間不超過20s。2.4硬件環(huán)境在最低配置的情況下，系統(tǒng)的性能往往不盡如人意，現(xiàn)在的硬件性能已經(jīng)相當出色，而且價格也非常便宜，因此通常給系統(tǒng)配置高性能硬件，包括CPU、存、硬盤

32、等。如表2-1所示：表2-1系統(tǒng)的硬件環(huán)境機器型號應(yīng)用名稱數(shù)量硬件配置PC SERVER數(shù)據(jù)庫服務(wù)器11個CPU，512M存，80G硬盤PC系統(tǒng)管理員機器11個CPU，512M存PC客戶端機器若干1個CPU，256M存2.5 軟件環(huán)境及開發(fā)環(huán)境WaterBo*防水墻系統(tǒng)由數(shù)據(jù)庫服務(wù)器、系統(tǒng)管理員機器、客戶端機器組成，操作系統(tǒng)為microsoft的Windows，包括Windows server 2000和Windows *P，數(shù)據(jù)庫是Microsoft SQL Server 2000。如表2-2所示：表2-2系統(tǒng)的軟件環(huán)境應(yīng)用服務(wù)器操作系統(tǒng)其它軟件及版本數(shù)據(jù)庫服務(wù)器Windows server

33、 2000Microsoft SQL Server 2000系統(tǒng)管理員機器WindowsMicrosoft SQL Server 2000客戶端機器WindowsMicrosoft SQL Server 2000為了統(tǒng)一開發(fā)平臺、開發(fā)語言，整個項目組統(tǒng)一在Windows *P使用Visual C+ 6.0作為界面開發(fā)，底層用純C開發(fā)，數(shù)據(jù)庫為Microsoft SQL Server 2000。如表2-3所示。表2-3系統(tǒng)的開發(fā)環(huán)境開發(fā)平臺Windows *P開發(fā)語言Visual C+ 6.0、C、WinDDK、MSDN數(shù)據(jù)庫管理系統(tǒng)Microsoft SQL Server 20002.6 小結(jié)

34、本章首先介紹了一下系統(tǒng)的需求，然后簡述了系統(tǒng)的功能需求、性能需求，最后概述了系統(tǒng)的硬件環(huán)境、軟件環(huán)境以及開發(fā)環(huán)境。下一章將介紹主機設(shè)備管理系統(tǒng)的總體設(shè)計，包括系統(tǒng)總體結(jié)構(gòu)簡介、子系統(tǒng)總體設(shè)計和基本設(shè)計概念即處理流程。-. z.第三章 總體設(shè)計本章在分析系統(tǒng)總體結(jié)構(gòu)的基礎(chǔ)上，討論了主機設(shè)備管理子系統(tǒng)的總體設(shè)計。然后根據(jù)第二章的功能需求，并結(jié)合實際的需求，設(shè)計了一個使用的主機設(shè)備管理系統(tǒng)，對該系統(tǒng)的各個模塊作了闡述和說明，同時介紹了系統(tǒng)的處理流程。3.1 系統(tǒng)總體結(jié)構(gòu)簡介首先介紹一下整個WaterBo*系統(tǒng)。WaterBo*系統(tǒng)是網(wǎng)絡(luò)監(jiān)控模塊、非法接入模塊、主機設(shè)備管理模塊、系統(tǒng)監(jiān)控模塊，其中網(wǎng)絡(luò)

35、監(jiān)控模塊主要是對網(wǎng)通過網(wǎng)關(guān)或代理服務(wù)器流向Internet的數(shù)據(jù)包，系統(tǒng)進行全面的截取、解析和過濾，系統(tǒng)按照網(wǎng)絡(luò)協(xié)議劃分，將部分數(shù)據(jù)包保存記錄在數(shù)據(jù)庫中，以便管理人員察看同時系統(tǒng)需要還原和文件；非法接入模塊對網(wǎng)中未經(jīng)授權(quán)的主機進行隔離，阻止它與其他主機的通，網(wǎng)中的每臺主機實時監(jiān)測與本機通信的其他主機的信息，發(fā)出身份認證請求，然后將非法主機的信息報告給系統(tǒng)管理服務(wù)器做后續(xù)處理；主機設(shè)備管理模塊對主機的CD-ROM、USB、口等設(shè)備進行管，網(wǎng)中的用戶在管理員授權(quán)的情況下才能使用這些設(shè)備；系統(tǒng)監(jiān)控模塊包括管理模塊、通信模塊和進程監(jiān)控模塊。系統(tǒng)總體結(jié)構(gòu)圖如圖3-1所示：網(wǎng)絡(luò)監(jiān)控模塊非法接入模塊設(shè)備管理

36、模塊系統(tǒng)監(jiān)控模塊截獲、解析模塊數(shù)據(jù)庫管理模塊驗證模塊通信模塊通信管理模塊過濾模塊還原、記錄模塊設(shè)備管理模塊硬件接口模塊進程監(jiān)控模塊通信模塊通信模塊管理模塊公共出錯信息處理模塊圖3-1系統(tǒng)總體結(jié)構(gòu)圖如上圖所示，系統(tǒng)管理實現(xiàn)方式為應(yīng)用程序，安裝在管理員計算機上。完成系統(tǒng)初始化、數(shù)據(jù)包監(jiān)控模塊管理、合發(fā)計算機信息表管理、遠程主機設(shè)備啟用認證、日志記錄功能。數(shù)據(jù)包監(jiān)控模塊管理調(diào)用數(shù)據(jù)庫管理實現(xiàn)管理員對數(shù)據(jù)包、文件、記錄的查看等功能。合法計算機信息表管理調(diào)用數(shù)據(jù)庫管理實現(xiàn)對信息表的增、刪、改、查等功能。同時作為整個系統(tǒng)的通信平臺的服務(wù)端完成通信規(guī)中定義的通信容。3.2 子系統(tǒng)總體設(shè)計本人主要負責(zé)主機設(shè)備

37、管理模塊，主要對主機的CD-ROM、USB、口等設(shè)備進行管，網(wǎng)中的用戶在管理員授權(quán)的情況下才能使用這些設(shè)備。其中管理員交互界面在系統(tǒng)的顯示層，設(shè)備管理以及C/S通信在系統(tǒng)的處理層，系統(tǒng)與機器的接口在系統(tǒng)層。根據(jù)第二章的功能需求，主機設(shè)備管理系統(tǒng)的總體結(jié)構(gòu)比較簡單，共分為驗證模塊、系統(tǒng)主控模塊、掃描在線主機模塊和主機設(shè)備管理模塊等。根據(jù)主機設(shè)備管理的基本要求，我們設(shè)計了一個系統(tǒng)總體結(jié)構(gòu)，如圖3-2所示：主機設(shè)備管理界面系統(tǒng)接口公共出錯信息處理模塊顯示層系統(tǒng)層處理層客戶端設(shè)備管理與客戶端通信USBCD-ROM軟驅(qū)本地驗證遠程驗證掃描在線主機界面系統(tǒng)主控平臺界面驗證模塊界面圖3-2主機設(shè)備管理總體結(jié)

38、構(gòu)圖如上圖所示，系統(tǒng)基本的流程是：管理員登陸-系統(tǒng)主控平臺界面-掃描在線主機-選擇對主機設(shè)備的禁用或啟用。下面將詳細闡述主機設(shè)備管理總體結(jié)構(gòu)。3.2.1 驗證模塊模塊此模塊主要用于限制非法人員操作系統(tǒng)。由于WaterBo*防水墻系統(tǒng)是一款保護用戶敏感信息不被非法泄露的系統(tǒng)，只有系統(tǒng)管理員才有權(quán)限使用其來監(jiān)控網(wǎng)的安全，所以只有輸入合法的防水墻用戶名和口令才可以登錄該系統(tǒng)。3.2.2 系統(tǒng)主控平臺此模塊主要是界面的顯示，主要功能包括：啟動掃描在線主機；啟動主機設(shè)備管理；充分考慮界面易于操作的系統(tǒng)需求，主控制平臺使用簡單和直觀的布局設(shè)計，提供菜單和工具欄兩種操作方式，其中下拉菜單和工具欄是一一對應(yīng)關(guān)

39、系。而且該界面還具有向后兼容的特點，并為整個WaterBo*防水墻系統(tǒng)其他子系統(tǒng)提供了接口，包括非法外聯(lián)子系統(tǒng)、通信子系統(tǒng)、網(wǎng)絡(luò)監(jiān)控子系統(tǒng)，為系統(tǒng)的集成打下了良好的基礎(chǔ)。3.2.3 掃描在線主機模塊此模塊主要掃描在線主機，并對在線主機準備監(jiān)控。當前掃描方法有多種，包括基于TCP的掃描、基于UDP的掃描、基于ICMP的掃描等等，但是由于此模塊希望快速得到同網(wǎng)段機器的信息，而并不需要特別可靠的連接確認機制在掃描在線主機這個模塊中，所以我們就選擇了UDP協(xié)議的掃描技術(shù)來得到*一網(wǎng)段所有在線主機的IP、機器名、工作組、用戶名以及MAC地址。而且該模塊是基于對話框的，所以需要添加必要的控件。首先要有IP

40、地址控件，用來輸入搜索的IP圍；還應(yīng)有List Bo*控件，用來顯示已經(jīng)查詢的IP情況；中間的是List Control控件，用來顯示對應(yīng)每個IP的機器信息，從左到右分別顯示IP地址、工作組、機器名、用戶名和Mac地址。在這個模塊中，主要由初始化例程、啟動掃描、掃描線程、掃描結(jié)果、雙擊動作、退出掃描等部分組成。在初始化例程中，主要將一些信息初始化，然后在啟動掃描過程中創(chuàng)建掃描線程，并把掃描結(jié)果顯示在列表框中，最后退出掃描，同時雙擊動作可以引出主機設(shè)備管理界面。3.2.4 主機設(shè)備管理模塊此模塊主要實現(xiàn)對主機設(shè)備的監(jiān)控，控制其是啟用還是禁用。當前幾乎所有企業(yè)對于網(wǎng)絡(luò)安全的重視程度一下子提高了，紛

41、紛采購防火墻等設(shè)備希望堵住來自Internet的不安全因素。然而，Intranet部的攻擊和入侵卻依然猖狂。事實證明，公司部的不安全因素遠比外部的危害更恐怖，尤其是通過主機外設(shè)泄漏。大多企業(yè)重視提高企業(yè)網(wǎng)的邊界安全，但是大多數(shù)企業(yè)網(wǎng)絡(luò)的核心網(wǎng)還是非常脆弱的。企業(yè)也對部網(wǎng)絡(luò)實施了相應(yīng)保護措施，如安裝動輒數(shù)萬甚至數(shù)十萬的網(wǎng)絡(luò)防火墻、入侵檢測軟件等，并希望以此實現(xiàn)網(wǎng)與Internet的安全隔離，然而，情況并非如此!企業(yè)中經(jīng)常會有人私自通過光驅(qū)、軟驅(qū)、USB等偷竊信息及資料，而這些機器通常又置于企業(yè)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅，從*種意義來講，企業(yè)耗費巨資配備的防火墻已失去意義。

42、實踐證明，很多成功防企業(yè)網(wǎng)邊界安全的技術(shù)對保護企業(yè)網(wǎng)卻沒有效用。于是網(wǎng)絡(luò)維護者開始大規(guī)模致力于增強網(wǎng)的防衛(wèi)能力。當前有多種方法可以禁用主機設(shè)備，包括在注冊表里修改選項、在BIOS中修改等等，但是都有一定的缺陷。我選擇了通過調(diào)用DDK函數(shù)控制設(shè)備使用，采用服務(wù)器/客戶端模式來共同來完成一個應(yīng)用任務(wù)，即主機設(shè)備管理。這種方法在*種程度上能夠有效的控制部員工對主機設(shè)備的訪問，并且能夠?qū)徲嬜粉?，一旦出現(xiàn)事故將追究相關(guān)人士的責(zé)任，包括刑事責(zé)任。3.3 系統(tǒng)基本處理流程在本節(jié)，首先簡單介紹一下主機設(shè)備管理系統(tǒng)的數(shù)據(jù)流設(shè)計，然后再分模塊詳細闡述各模塊的基本處理流程。3.3.1 主機設(shè)備管理系統(tǒng)的數(shù)據(jù)流設(shè)計6

43、數(shù)據(jù)流是軟件工程中的概念，它表示處于運動中的數(shù)據(jù)。數(shù)據(jù)流和數(shù)據(jù)流圖是無法分割的，軟件工程中利用數(shù)據(jù)流土描述系統(tǒng)的邏輯模型，任何軟件都可以用數(shù)據(jù)流圖表示。畫數(shù)據(jù)流圖的基本目的是利用它作為交流信息的工具，它通過簡單的圖形符號描述數(shù)據(jù)的運動情況，圖中*一任何具體的物理元素，只是描繪信息在系統(tǒng)中流動和處理的情況。特別要注意程序框圖和數(shù)據(jù)流圖的區(qū)別：程序框圖是從對數(shù)據(jù)進行加工的角度描述系統(tǒng)的，其箭頭是控制流，表示的是對數(shù)據(jù)進行加工的次序，它用于描述怎樣解決問題；而數(shù)據(jù)流圖則是從數(shù)據(jù)的角度來描述系統(tǒng)的，其箭頭是數(shù)據(jù)流，表示的是數(shù)據(jù)的流動方向，它用于描述是什么問題。主機設(shè)備管理系統(tǒng)的數(shù)據(jù)流如圖3-3所示：服

44、務(wù)器上層應(yīng)用程序客戶端上層應(yīng)用程序服務(wù)器網(wǎng)絡(luò)層客戶端網(wǎng)絡(luò)層監(jiān)控外設(shè)Udp數(shù)據(jù)控制信息規(guī)則庫響應(yīng)信息圖3-3 主機設(shè)備管理系統(tǒng)數(shù)據(jù)流程示意圖從圖3-3中我們可以得知，數(shù)據(jù)的主要流動為以下幾個方面。服務(wù)器向指定圍的IP發(fā)數(shù)據(jù)，首先它向一個IP發(fā)數(shù)據(jù)，然后等待響應(yīng)。收到響應(yīng)后，繼續(xù)對下一個IP發(fā)數(shù)據(jù)，如此循環(huán)?？蛻舳耸盏椒?wù)器的數(shù)據(jù)后，將響應(yīng)信息發(fā)回服務(wù)器。服務(wù)器從響應(yīng)信息中取出對應(yīng)的機器工作組、機器名、用戶名、MAC地址并顯示出來。服務(wù)器根據(jù)掃描結(jié)果，將控制主機設(shè)備的控制信息發(fā)給在線主機?？蛻舳耸盏叫畔⒑螅ヅ湟?guī)則庫，做出相應(yīng)的動作。3.3.2 驗證模塊的流程圖驗證模塊主要用于限制非法人員操作系統(tǒng)

45、。由于WaterBo*防水墻系統(tǒng)是一款保護用戶敏感信息不被非法泄露的系統(tǒng)，只有系統(tǒng)管理員才有權(quán)限使用其來監(jiān)控網(wǎng)的安全，所以只有輸入合法的防水墻用戶名和口令才可以登錄該系統(tǒng)。該模塊的流程圖如圖3-4所示：圖3-4 驗證模塊過程示意圖如上圖所示,當進入主機設(shè)備管理系統(tǒng)時,需要對用戶的身份進行驗證。若用戶名和密碼一致，則進入系統(tǒng)主控平臺，否則返回驗證模塊。3.3.3 系統(tǒng)主控平臺的流程圖系統(tǒng)主控平臺主要用于系統(tǒng)界面的顯示，以及用來啟動掃描在線主機和啟動主機設(shè)備管理。另外，該平臺還是WaterBo*防水墻系統(tǒng)中其它子系統(tǒng)包括網(wǎng)絡(luò)監(jiān)控子系統(tǒng)、非法接入子系統(tǒng)、系統(tǒng)監(jiān)控子系統(tǒng)等的系統(tǒng)接口，保持了很好的擴展及

46、兼容。所以充分考慮界面易于操作的系統(tǒng)需求，主控制平臺使用簡單和直觀的布局設(shè)計，提供菜單和工具欄兩種操作方式。該模塊的流程圖如圖3-5所示：圖3-5 系統(tǒng)主控平臺過程示意圖如上圖所示，若系統(tǒng)通過了驗證模塊的驗證，則進入系統(tǒng)的主控界面。在主控界面上有一些選項，若點擊掃描在線主機”則進入掃描在線主機模塊；若點擊主機設(shè)備管理”則進入主機設(shè)備管理模塊。3.3.4 在線主機掃描模塊的流程圖此模塊主要掃描在線主機，返回在線主機的一些信息，包括IP地址、機器工作組、機器名、用戶名、MAC地址等。在此模塊中，我們需要先設(shè)定系統(tǒng)的掃描圍，再把掃描結(jié)果存放在列表框中。由于此模塊希望快速得到同網(wǎng)段機器的信息，而并不是

47、需要特別可靠的連接確認機制,所以采用UDP來實現(xiàn)。該模塊的流程圖如圖3-6所示：圖3-6 掃描在線主機處理過程示意圖如上圖所示，在系統(tǒng)主控界面上點擊掃描在線主機”，則進入掃描在線主機界面。設(shè)置要掃描主機的IP圍，若IP圍不合法，則調(diào)用OnBtnE*it()退出掃描線程；否則SendTo()函數(shù)循環(huán)對要查詢的IP發(fā)數(shù)據(jù)。當客戶端接收到數(shù)據(jù)后，返回響應(yīng)信息。此時服務(wù)器則調(diào)用ReceiveFrom()接收響應(yīng)信息，將數(shù)據(jù)報保存在Buf，IP存儲在strIP中，并根據(jù)數(shù)據(jù)報規(guī)則取出相應(yīng)的信息存放在列表框中。若要進入下一模塊-主機設(shè)備管理模塊，則需調(diào)用OnDblclkListView()即雙擊列表框中的

48、*行。由于局域網(wǎng)的廣播特性，即在同一網(wǎng)段（IP地址的前三級地址一樣），若IP地址為1的計算機發(fā)送數(shù)據(jù)給2，該數(shù)據(jù)也同時被發(fā)送給了網(wǎng)段的其他計算機(192.168.0.*),只是它們接收到這些數(shù)據(jù)時發(fā)現(xiàn)不是發(fā)給自己的，而將其丟棄。因此，可以編程讓計算機不丟棄這些數(shù)據(jù)，而是接收它們，并將其解包，從而可以編制出功能更為強大的同時也是非?？膳碌木W(wǎng)段掃描器，它可以監(jiān)視網(wǎng)段其他計算機通過網(wǎng)絡(luò)傳輸?shù)乃行畔?。這正是該系統(tǒng)以后的努力目標之一。3.3.5 主機設(shè)備管理模塊的流程圖此模塊主要實現(xiàn)對主機設(shè)備的監(jiān)控，控制其是啟用還是禁用。作為整個系統(tǒng)最為主要的一個部分，該模塊的主要容就是通過實現(xiàn)對光驅(qū)、軟驅(qū)、USB、

49、口、打印機等外設(shè)的監(jiān)控，防止部用戶通過計算機或者計算機網(wǎng)絡(luò)的外部設(shè)備或終端設(shè)備將組織部的秘密信息有意識或無意識泄漏出去，堵住任何一個可能泄漏的途徑，保證信息能夠安全可靠地保存和管理，從而最大限度地降低信息泄密的風(fēng)險。由于現(xiàn)在越來越多的敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在計算機里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，存貯在無保護的介質(zhì)里，外設(shè)的泄密隱患相當大，一旦造成國家信息泄漏，將勢必造成嚴重的后果和不可彌補的損失，所以我們應(yīng)當努力做好這個模塊，在保護網(wǎng)不受外來攻擊破壞的同時，盡可能的保障網(wǎng)的安全，防止部用戶的泄密。該模塊的流程圖如圖3-7、3-8所示：圖3-7 主機設(shè)備管理中的C/S

50、通信過程示意圖圖3-8 主機設(shè)備管理中的客戶機處理過程示意圖如圖3-7所示，主機設(shè)備管理模塊可以有兩條進入路徑，一是直接有主控平臺進入，二是在掃描在線主機后進入。服務(wù)器端和客戶端分別定義消息和它的消息映射，再分別調(diào)用WSAStartup()函數(shù)初始化Windows Socket DLL，并檢查版本號?？蛻舳苏{(diào)用socket()建立套接字連接，然后調(diào)用WSAAsynSelect()函數(shù)，提名FD_CONNECT事件。再接著，獲得IP地址，調(diào)用connect()函數(shù)于服務(wù)器的*端口建立連接。最后收到消息UM_SOCK后，便按照定義的消息映射，調(diào)用OnRecv()進行處理。OnRecv()首先判斷該

51、消息是由什么網(wǎng)絡(luò)事件引起的，再做出不同的處理：如果是是由FD_CONNECT引起的，表明與服務(wù)器的連接已經(jīng)成功。于是將閥值編輯框中的值發(fā)送給服務(wù)器。然后調(diào)用WSAAsynSelect()函數(shù)，提名FD_READ和FD_CLOSE事件。當套接字可發(fā)送數(shù)據(jù)時以及當連接被關(guān)閉時，對話框會收到Winsock DLL發(fā)送的UM_SOCK消息。服務(wù)器端收到該閥值后，到規(guī)則庫中匹配規(guī)則，并進行相應(yīng)的處理，具體處理流程見圖3-8。如圖3-8所示，這個流程圖主要是當服務(wù)器收到客戶端發(fā)來的閥值后進行相應(yīng)的操作。首先我們從注冊表中得到主機設(shè)備包括CD-ROM、軟驅(qū)、USB、口、網(wǎng)卡、打印機等的guid，然后調(diào)用AP

52、I SetupDiGetClassDevs訪問系統(tǒng)的硬件庫，再調(diào)用SetupDiGetClassDevs()函數(shù)遍歷所有的硬件，最后我們調(diào)用函數(shù)ChangeStatus(DWORD NewStatus, DWORD SelectedItem, HDEVINFO hDevInfo) 來執(zhí)行改變控制來確定是啟用”還是禁用”，其中NewStatus有兩種情況，一種是DICS_ENABLE，表示啟用設(shè)備；一種是DICS_DISABLE，表示禁用設(shè)備，i代表所選的設(shè)備，hDevInfo是由SetupDiGetClassDevs()函數(shù)返回的句柄。在這個函數(shù)中，我們先通過SetupDiEnumDevice

53、Info(hDevInfo, SelectedItem, &DeviceInfoData)函數(shù)枚舉指定設(shè)備信息集合的成員，并將數(shù)據(jù)放在DeviceInfoData中，然后設(shè)置PropChangeParams結(jié)構(gòu)，再通過函數(shù)SetupDiSetClassInstallParams()為設(shè)備信息集設(shè)置或清空類安裝參數(shù)，最后通過SetupDiCallClassInstaller()函數(shù)調(diào)用ClassInstaller執(zhí)行改變控制來確定是啟用”還是禁用”。3.4 小結(jié)本章主要介紹了WaterBo*系統(tǒng)及其主機設(shè)備管理子系統(tǒng)的總體設(shè)計。首先概述了系統(tǒng)的總體結(jié)構(gòu)，然后介紹了子系統(tǒng)的總體設(shè)計，最后闡述了系統(tǒng)

54、的基本設(shè)計概念及處理流程。下一章將介紹主機設(shè)備管理系統(tǒng)的詳細設(shè)計，包括驗證模塊、系統(tǒng)平臺、掃描在線主機模塊和主機設(shè)備管理模塊的設(shè)計與實現(xiàn)。-. z.第四章 詳細設(shè)計基于系統(tǒng)需求分析與系統(tǒng)總體設(shè)計的結(jié)論，本系統(tǒng)采用Visual C+6.0實現(xiàn)各模塊的功能，下面按照模塊的劃分來闡述系統(tǒng)的詳細設(shè)計和實現(xiàn)。4.1 權(quán)限驗證模塊根據(jù)需求分析和總體設(shè)計，此模塊主要是根據(jù)用戶輸入的用戶名和密碼，驗證用戶身份并決定其操作權(quán)限。4.1.1 權(quán)限驗證IPO圖輸入：用戶名和密碼處理：管理員登陸對話框啟動；管理員輸入用戶名并輸入密碼；從系統(tǒng)中檢查是否有相應(yīng)的用戶名和密碼；如果用戶名或密碼錯誤，進行提示；如果輸入的用戶

55、名和相應(yīng)的密碼正確，則進入主控制平臺；輸出：主控制平臺4.1.2 權(quán)限驗證模塊的界面設(shè)計該模塊通過登陸對話框為用戶提供操作界面，界面的設(shè)計效果如圖4-1所示。圖4-1權(quán)限驗證模塊的界面設(shè)計圖4.1.3 權(quán)限驗證模塊的實現(xiàn)根據(jù)權(quán)限驗證的IPO圖，通過定義CLoginDlg類來實現(xiàn)權(quán)限驗證模塊的功能。下面介紹CLoginDlg類的設(shè)計和實現(xiàn)。處理過程：從系統(tǒng)中查找與所輸入的用戶名匹配的密碼，如果有則登陸主控制平臺，否則提示登陸錯誤信息。其代碼如下：void CLoginDlg:OnOK() / TODO: Add e*tra validation hereUpdateData(TRUE);/讀取輸

56、入信息if(m_strUser=admin)&(m_strPassword=admin)CDialog:OnCancel();Af*MessageBo*(密碼輸入正確，歡迎您！,MB_ICONINFORMATION);ElseAf*MessageBo*(密碼輸入錯誤，請重新輸入！,MB_ICONINFORMATION);m_strUser=;m_strPassword=;UpdateData(FALSE);4.2 系統(tǒng)主控平臺4.2.1 主控平臺界面設(shè)計充分考慮界面易于操作的系統(tǒng)需求，主控制平臺使用簡單和直觀的布局設(shè)計，提供菜單和工具欄兩種操作方式。主控平臺的界面設(shè)計如圖4-2所示。圖4-2

57、主控平臺圖4.2.2 主控平臺的實現(xiàn)主體框架：使用MFC AppWizard創(chuàng)建一個單文檔結(jié)構(gòu)的應(yīng)用程序工程，建立起系統(tǒng)主體框架，生成應(yīng)用程序類(CWaterBo*App)文檔類(CWaterBo*Doc)、視圖類(CWaterBo*View)和主框架類(CMainFrame)。菜單和工具欄：根據(jù)系統(tǒng)總體設(shè)計中功能模塊的劃分，使用資源編輯器創(chuàng)建系統(tǒng)菜單和工具欄。背景圖：通過修改系統(tǒng)視圖類Draw事件處理函數(shù)OnDraw()來實現(xiàn)加載背景圖。其具體代碼如下：int b=bmp.LoadBitmap(IDB_BITMAP_BG);/將位圖取出dcmem.CreatepatibleDC(pDC);/

58、創(chuàng)建兼容設(shè)備上下文dcmem.SelectObject(&bmp);dcmem.SetMapMode(pDC-GetMapMode();GetObject(bmp.m_hObject,sizeof(BITMAP),(LPSTR)&bm);/加載視圖到設(shè)備上下文中pDC-StretchBlt(RectBmp.left,RectBmp.top,RectBmp.right,RectBmp.bottom,&dcmem,0,0,bm.bmWidth,bm.bmHeight,SRCCOPY);dcmem.DeleteDC();/除設(shè)備上下文4.3 基于UDP的網(wǎng)段掃描模塊74.3.1 設(shè)計思路程序運行界面

59、如圖4-3所示：圖4-3 程序運行界面圖4.3.2 編程原理 UDP與TCP簡介 TCP和UDP是TCP/IP協(xié)議中的兩個傳輸層協(xié)議，它們使用IP路由功能把數(shù)據(jù)包發(fā)送到目的地，從而為應(yīng)用程序及應(yīng)用層協(xié)議（包括HTTP、SMTP、SNMP、FTP和Telnet）提供網(wǎng)絡(luò)服務(wù)。TCP提供的是面向連接的、可靠的數(shù)據(jù)流傳輸，而UDP提供的是非面向連接的、不可靠的數(shù)據(jù)流傳輸。面向連接的協(xié)議在任何數(shù)據(jù)傳輸前就建立好了點對點的連接。ATM和幀中繼是面向連接的協(xié)議，但它們工作在數(shù)據(jù)鏈路層，而不是在傳輸層。普通的音頻也是面向連接的?？煽康膫鬏攨f(xié)議可避免數(shù)據(jù)傳輸錯誤。其實現(xiàn)方式是：在構(gòu)造數(shù)據(jù)包時在其中設(shè)置校驗碼，

60、到達目的地后采用一定的算法重新計算校驗碼，通過比較，就可以找到被破壞的數(shù)據(jù)。因為需要重發(fā)被破壞的和已經(jīng)丟失的數(shù)據(jù)，所以在需要重發(fā)數(shù)據(jù)時，協(xié)議必須能夠使目的地給出源頭的一個確認信號。有些數(shù)據(jù)包不一定按照順序到達，所以協(xié)議必須能夠探測出亂序的包，暫存起來，然后把它們按正確的順序送到應(yīng)用層去。另外，協(xié)議還必須能夠找出并丟棄重復(fù)發(fā)送的數(shù)據(jù)。一組定時器可以用戶限制針對不同確認的等待時間，這樣就可以開始重新發(fā)送或重新連接。TCP不能在一個包以字節(jié)或位為單位構(gòu)造數(shù)據(jù)，它只負責(zé)傳輸未經(jīng)構(gòu)造的8位字符串。非面向連接的傳輸協(xié)議在數(shù)據(jù)傳輸之前不建立連接，而是在每個中間節(jié)點對非面向連接的包和數(shù)據(jù)包進行路由。非面向連接