我國發展道路的一個鮮明特征，就是通過對外開放，促進思想解放和改革創新，利用兩個市場、兩種資源，提高資源配置效率，提升競爭能力。只有開放兼容，國家才能富強。過去5年是改革開放和全面建設小康社會取得重大進展的5年，開放型經濟進入新階段。我們應繼續保持踏實理性、學習借鑒、兼收并蓄、互利共贏的開放心態，更加自信和自覺地推進對外開放，拓展對外開放廣度和深度，提高開放型經濟水平。

“開放也是改革，開放兼容才能強國。”總理在不久前閉幕的第十一屆全國人大一次會議上所作的《政府工作報告》（以下簡稱《報告》），高度評價了改革開放**年的偉大成就和過去5年對外開放的新進展，強調堅定不移繼續推進改革開放，并全面部署了今年的對外開放工作。這里，從對外開放的角度談談學習《報告》的體會。

對外開放使我國發生了歷史性巨變

我國改革開放已經走過近**年歷程。《報告》強調指出了改革開放的重大歷史意義：改革開放使中國發生了歷史性的巨大變化，改革開放是決定當代中國命運重大而關鍵的抉擇。

對外開放近**年成績巨大。我國發展道路的一個鮮明特征，就是通過對外開放，促進思想解放和改革創新，利用兩個市場、兩種資源，提高資源配置效率，提升競爭能力。**年來，我國對外開放成績巨大。一是擴大對外貿易和吸引外資。****年，我國對外貿易總額僅為****億美元，居世界第二十二位；吸收外資和對外投資都不到****萬美元。****年，我國對外貿易總額已達****萬億美元，居世界第三位，其中出口居第二位；吸收外商直接投資和對外直接投資分別達到****億美元和****億美元，均居發展中國家第一位。二是帶動經濟增長。****年―****年，我國國內生產總值年均增長****%，同期對外貿易年均增長****%，吸收外資年均增長****%，對外投資年均增長****%。****年與1985年相比，按不變價計算，我國國內生產總值、貿易總額、出口、吸收外資和對外投資分別增長了****倍、****倍、****倍、****倍和****倍。對外開放各項指標均高于國內生產總值增長速度，表明開放是增長的重要源泉。三是擴大就業和提高收入。目前外商投資企業的就業人員已達42**萬人，再加上非外資出口企業的就業和勞務輸出等，涉外經濟中的直接就業人數超過8***萬。我國出口就業密度遠遠高于進口就業密度，特別是加工貿易，大部分是進口國外資源和資金密集產品經再加工后出口的，這實質上是勞動力的間接出口。涉外就業崗位的收入水平也相對較高，外商投資企業員工的工資水平在2**3年以前是各類企業中最高的，近幾年也僅略低于少數國有中央企業。四是提升產業結構和出口商品結構。國內企業進口了大量先進技術設備，外資企業大多數引進使用先進和比較先進的技術，在華外資研發中心已超過11**家。在高技術產業產值中，外資企業所占的比重超過一半。****年我國機電產品和高技術產品出口額中，外資企業所占的比重分別達到73%和87%。國內企業通過與出口企業和外商投資企業的競爭與合作，學習到先進經營理念、技術、管理和營銷模式。最近幾年，人力資源較多地在國內外企業之間流動，帶動大量知識和技術流動。在外向度較高的行業中，已有一些國內企業成長起來，開始具有全球競爭力和重要市場地位。五是緩解資源環境壓力。****年，我國初級產品凈進口達到****億美元，緩解了資源約束。通過進口資源密集型產品，我們還間接進口了不可貿易的短缺資源。據聯合國糧農組織測算，以糧食貿易為載體間接交易的淡水量，相當于全球糧食生產用水的13%。國內有關研究表明，2**6年我國進口大豆3150萬噸，如果在國內種植約需要耕地****萬公頃，相當于黑龍江省大豆種植面積的5倍。六是推動體制改革和制度創新。改革開放以來設立的4個經濟特區和以后陸續增加的開放城市和地區，在建立社會主義市場經濟體制方面先試先行，提供了豐富經驗。對外開放還推動著政企關系、企業治理結構、外貿和外匯管理等方面體制的變革，促進商品和各類生產要素市場的形成和完善。涉外經濟法律法規成為社會主義市場經濟法律體系的重要內容。

過去5年開放邁出重大步伐。《報告》指出，過去5年是改革開放和全面建設小康社會取得重大進展的5年，開放型經濟進入新階段。一是對外貿易快速增長，結構進一步改善。****年與****年相比，進出口總額增加了2.5倍，世界排名上升3位；機電產品、高技術產品占出口總額的比重分別提高了9.2個百分點和7.7個百分點。通過調整出口退稅、出口關稅和加工貿易等政策，控制“兩高一資”商品出口和促進加工貿易轉型升級取得明顯成效。二是跨境投資雙向加速。過去5年，我國服務業開放速度加快。****年服務業（含金融業）實際吸收外資達4**億美元，占吸收外資總額的52%，比****年的比重提高近1倍。利用外資渠道不斷拓寬，****年國內企業通過海外上市融資近4**億美元。對外投資由****年的25億美元上升到****年的****億美元，增長6.5倍，我國成為最大的發展中海外投資母國。三是對外開放領域制度建設達到新的水平。貿易和投資自由化、便利化程度進一步提高。按照世貿組織規則的要求，不斷完善涉外法律法規體系，特別是對主要知識產權法律法規進行了修訂。

摘要網絡地址轉換技術(NAT)與IPSec在因特網上都是得到廣泛應用的技術，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協議的基本原理，分析了兩者的不兼容性，然后討論了解決該問題必須滿足的要求，最后給出了利用UDP封裝法實現NAT透明穿透的解決方案。關鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術的虛擬專用網（VirtualProfessionalNetwork，簡稱VPN）是通過Internet平臺將局域網擴展到遠程網絡和遠程計算機用戶的一種成本效益極佳的方法。隨著網絡安全技術的飛快發展，越來越多大型企業利用互聯網采用IPSec技術建立VPN網絡，IPSec已逐漸成為VPN構建的主流技術。IP安全協議（IPSecurityProtocol，簡稱IPSec）是由互聯網工程工業組（InternetEngineeringTaskForce，簡稱IETF）1998年底規劃并制定的網絡IP層標準。IPSec不僅可以為IP協議層以上所有的高層協議和應用提供一致性的安全保護，而且除了可用于IPv4之外，也可用于下一代IP協議IPv6。另外，NAT（NetworkAddressTranslation）技術通過改變進出內部網絡的IP數據包的源和目的地址，把無效的內部網絡地址翻譯成合法的IP地址在Internet上使用。該技術一方面可以把私有IP地址隱藏起來，使外界無法直接訪問內部網絡，對內部網絡起到保護作用；另一方面，它可以緩解由于IPv4先天設計上的不足，而導致的IP地址嚴重短缺的現狀。但是，被廣泛使用的網絡地址轉換（NAT）設備卻制約著基于IPSec技術的VPN的發展，這是因為IPSec協議在VPN中承擔保護傳輸數據的安全性任務。在數據傳輸過程中，任何對IP地址及傳輸標志符的修改，都被視作對該協議的違背，并導致數據包不能通過安全檢查而被丟棄。但在VPN中運用NAT技術，則不可避免地要將私網地址映射為公網地址，即對IP地址要進行修改。因此，在VPN網絡中如何使IPSec和NAT協同工作，實現NAT的透明穿透具有現實意義。2協議介紹2.1IPSecIPSec包括安全協議和密鑰管理兩部分。其中，AH和ESP是兩個安全協議，提供數據源驗證、面向無連接的數據完整性、抗重放、數據機密性和有限抗流量分析等安全任務。為了能夠將相應的安全服務、算法和密鑰應用于需要保護的安全通道，IPSec規定兩個通信實體進行IPSec通信之前首先構建安全關聯SA。SA規定了通信實體雙方所需要的具體安全協議、加密算法、認證算法以及密鑰。IKE提供了用來協商、交換和更新SA以及密鑰的完整機制。IPSec定義了兩種類型的封裝模式——傳輸模式和隧道模式。傳輸模式只對IP分組應用IPSec協議，對IP報頭不進行任何修改，它只能應用于主機對主機的IPSec虛擬專用網VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來了。隧道主要應用于主機到網關的遠程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問題，而且能使得內外網絡隔離，提供一定的網絡安全保障。它解決問題的辦法是：在內部網絡中使用內部地址，通過NAT把內部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內的地址或用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT有三種類型：靜態NAT、動態地址NAT、網絡地址端口轉換NAPT。其中靜態NAT設置起來最為簡單，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而動態地址NAT則是在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡。NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據協議的定義，我們知道IPSec和NAT兩個協議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對AH的影響IPSecAH進行驗證的時候，處理的是整個IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設備，NAT設備就會修改外層IP包頭的源地址并修改其校驗和，這樣接收方會因認證失敗而丟棄該包。2）NAT對ESP的影響TCP/UDP校驗和地計算涉及一個虛構的IP包頭，該包頭含有IP源和目的地址。因此，當NAT設備改變IP地址時也需要更新IP頭和TCP/UDP校驗和。如果采用ESP傳輸模式，IP包經過NAT設備時，NAT設備修改了IP包頭，但是TCP/UDP校驗和由于處于加密負載中而無法被修改。這樣，該信包經過IPSec層后將因為TCP協議層的校驗和的錯誤而被丟棄。另外，由于TCP/UDP校驗和只與內層原始IP包頭有關，外層IP包頭的修改并不對其造成影響，因此采用ESP隧道模式和僅靜態或動態NAT的情況下不存在TCP校驗和的問題。但是，在NAPT情況下，因為NAPT需要TCP/UDP端口來匹配出入信包，而端口號受到ESP加密保護，所以ESP分組通信將會失敗。3）NAT對IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經過NAT后，會導致IKE協商的失敗。IKE協議使用固定目的端口500，當NAPT設備后的多個主機向同一響應者發起SA協商時，為了實現多路分發返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應者應該能處理端口號并非500的IKE協商請求，但往往NAPT對UDP端口的映射很快會被刪除，再協商的過程就將出現一些不可預見的問題，很容易導致NAPT設備無法將協商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉換情況下才可以實現IPSec數據流的NAT穿越。這一方法既降低了IPSec協議的安全性，又限制了NAT的工作方式，因此在實際應用中可行度較差。4IPSec與NAT的兼容性要求在現有的條件下，為了推動基于IPSec的VPN的發展，IPSec和NAT兼容性解決方案需要滿足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個過渡的解決辦法必須比IPv6易于部署。應該只需修改主機，無需改變路由器，在短時間內能與現存的路由器和NAT產品協同工作。2）遠程訪問IPSec的一個重要應用是遠程訪問公司的內部網絡。NAT穿越方案必須考慮遠程客戶端與VPN網關之間存在多個NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應該避免對IKE或IPSec目的端口的動態分配，使防火墻管理員進行簡單的配置，就可以控制穿越NAT的IPSec數據流。4）可擴展性IPSec和NAT兼容性方案應具有良好的擴展性，必須保證在大規模遠程訪問的環境中，在大量遠程接入的環境下，同一時間段多個主機和遠程安全網關建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實現互操作。穿越方案應該能自動檢測是否存在NAT，能判斷通信對方的IKE實現是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來新的安全漏洞。5利用UDP封裝法實現NAT的穿透本文中的解決方案是采用UDP封裝法實現NAT的透明穿透，不需要修改現有的NAT網關和路由器。所以該方案具有簡單且易于實現的優點，缺點是由于添加了一個UDP報文頭，而加大了帶寬開銷，但相對于目前持續擴大的傳輸帶寬來說，這個UDP報文頭的帶寬開銷可以忽略不計。下面詳細討論其原理和實現過程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數據之間再封裝一個UDP頭，這樣封裝后的數據包端口值對NAT可見，就可以正確的實現端口轉換。UDP封裝格式如圖1所示。UDP封裝格式另外，由于IKE已經使用了UDP的500端口，為了簡化配置和避免多個端口帶來的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來區分端口500的數據包是IKE消息還是UDP封裝的ESP。為了區分兩者，我們采用在IKE報頭添加Non-ESP標記。在確定存在一個中間NAT之后，支持IPSecNAT-T的對話方開始使用新的IKE報頭。5.2IKE協商過程IPSec通信實體雙方是否采用UDP封裝取決于對話對方是否支持該方法以及是否存在NAT設備，這個過程通過IKE協商來完成。在IKE協商過程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類型。1）新的NAT-Discovery(NAT-D)有效載荷這個新的有效載荷包含一個散列值，它整合了一個地址和端口號。在主模式協商期間，即IKE協商第一階段第三、四條消息中，IPSec對話方包括兩個NAT-Discovery有效載荷——一個用于目標地址和端口，另一個用于源地址和端口。接收方使用NAT-Discovery有效載荷來發現NAT之后是否存在一個經NAT轉換過的地址或端口號，并基于被改變的地址和端口號來確定是否有對話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個新的有效載荷包含IPSec對話方的原始地址。對于UDP封裝的ESP傳輸模式，每個對話方在快速模式協商期間發送NAT-OA有效載荷。接收方將這個地址存儲在用于SA的參數中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協商期間指定的，用于通知IPSec對話方應該對ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來封裝IPSec分組的思想只解決了NAPT設備不支持AH和ESP通信的問題。例如TCP校驗和錯誤、UDP端口映射的保持等問題還需要輔助方法來解決。為保證校驗和正確無誤，通信雙方需將自身的原始IP地址和端口發送給對方，即實現地址通告。地址通告的實現通過IKE第二階段的前兩條消息中的NAT-OA有效載荷。因為NAT-OA有效載荷中包含IPSec對話方的原始地址，為此，接收方就擁有了檢驗解密之后的上層校驗和所需的信息。消息發起者在NAT中創建了一個UDP端口映射，它在初始主模式和快速模式IKE協商期間使用。然而，NAT中的UDP映射通常超過一定時間沒用就會被刪除掉。如果響應者隨后向發起者發送IKE消息卻沒有提供UDP端口映射，那么這些消息將被NAT丟棄。這個問題的解決辦法是通過定期發送Keepalive包，用于后續IKE協商和UDP封裝的ESP的UDP端口映射同時在NAT中得到刷新，從而保證通信的正常運行。6結束語IPSec作為網絡層的安全協議，目前的應用越來越廣泛,已成為構建VPN的基礎協議之一。而由于IPv6取代IPv4將是一個漫長的過程，NAT設備的廣泛存在極大地限制了IP層安全協議IPSec的推廣，因此在目前的條件下，UDP封裝方法無疑是一種在當前環境下無需修改NAT網關和路由器、簡單可接受的解決IPSec和NAT兼容性的方法，具有一定的現實意義。但是該方案還不完善，有待進一步討論和研究。參考文獻[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

摘要網絡地址轉換技術(NAT)與IPSec在因特網上都是得到廣泛應用的技術，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協議的基本原理，分析了兩者的不兼容性，然后討論了解決該問題必須滿足的要求，最后給出了利用UDP封裝法實現NAT透明穿透的解決方案。關鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術的虛擬專用網（VirtualProfessionalNetwork，簡稱VPN）是通過Internet平臺將局域網擴展到遠程網絡和遠程計算機用戶的一種成本效益極佳的方法。隨著網絡安全技術的飛快發展，越來越多大型企業利用互聯網采用IPSec技術建立VPN網絡，IPSec已逐漸成為VPN構建的主流技術。IP安全協議（IPSecurityProtocol，簡稱IPSec）是由互聯網工程工業組（InternetEngineeringTaskForce，簡稱IETF）1998年底規劃并制定的網絡IP層標準。IPSec不僅可以為IP協議層以上所有的高層協議和應用提供一致性的安全保護，而且除了可用于IPv4之外，也可用于下一代IP協議IPv6。另外，NAT（NetworkAddressTranslation）技術通過改變進出內部網絡的IP數據包的源和目的地址，把無效的內部網絡地址翻譯成合法的IP地址在Internet上使用。該技術一方面可以把私有IP地址隱藏起來，使外界無法直接訪問內部網絡，對內部網絡起到保護作用；另一方面，它可以緩解由于IPv4先天設計上的不足，而導致的IP地址嚴重短缺的現狀。但是，被廣泛使用的網絡地址轉換（NAT）設備卻制約著基于IPSec技術的VPN的發展，這是因為IPSec協議在VPN中承擔保護傳輸數據的安全性任務。在數據傳輸過程中，任何對IP地址及傳輸標志符的修改，都被視作對該協議的違背，并導致數據包不能通過安全檢查而被丟棄。但在VPN中運用NAT技術，則不可避免地要將私網地址映射為公網地址，即對IP地址要進行修改。因此，在VPN網絡中如何使IPSec和NAT協同工作，實現NAT的透明穿透具有現實意義。2協議介紹2.1IPSecIPSec包括安全協議和密鑰管理兩部分。其中，AH和ESP是兩個安全協議，提供數據源驗證、面向無連接的數據完整性、抗重放、數據機密性和有限抗流量分析等安全任務。為了能夠將相應的安全服務、算法和密鑰應用于需要保護的安全通道，IPSec規定兩個通信實體進行IPSec通信之前首先構建安全關聯SA。SA規定了通信實體雙方所需要的具體安全協議、加密算法、認證算法以及密鑰。IKE提供了用來協商、交換和更新SA以及密鑰的完整機制。IPSec定義了兩種類型的封裝模式——傳輸模式和隧道模式。傳輸模式只對IP分組應用IPSec協議，對IP報頭不進行任何修改，它只能應用于主機對主機的IPSec虛擬專用網VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來了。隧道主要應用于主機到網關的遠程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問題，而且能使得內外網絡隔離，提供一定的網絡安全保障。它解決問題的辦法是：在內部網絡中使用內部地址，通過NAT把內部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內的地址或用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT有三種類型：靜態NAT、動態地址NAT、網絡地址端口轉換NAPT。其中靜態NAT設置起來最為簡單，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。而動態地址NAT則是在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡。NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。根據不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據協議的定義，我們知道IPSec和NAT兩個協議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對AH的影響IPSecAH進行驗證的時候，處理的是整個IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設備，NAT設備就會修改外層IP包頭的源地址并修改其校驗和，這樣接收方會因認證失敗而丟棄該包。2）NAT對ESP的影響TCP/UDP校驗和地計算涉及一個虛構的IP包頭，該包頭含有IP源和目的地址。因此，當NAT設備改變IP地址時也需要更新IP頭和TCP/UDP校驗和。如果采用ESP傳輸模式，IP包經過NAT設備時，NAT設備修改了IP包頭，但是TCP/UDP校驗和由于處于加密負載中而無法被修改。這樣，該信包經過IPSec層后將因為TCP協議層的校驗和的錯誤而被丟棄。另外，由于TCP/UDP校驗和只與內層原始IP包頭有關，外層IP包頭的修改并不對其造成影響，因此采用ESP隧道模式和僅靜態或動態NAT的情況下不存在TCP校驗和的問題。但是，在NAPT情況下，因為NAPT需要TCP/UDP端口來匹配出入信包，而端口號受到ESP加密保護，所以ESP分組通信將會失敗。3）NAT對IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經過NAT后，會導致IKE協商的失敗。IKE協議使用固定目的端口500，當NAPT設備后的多個主機向同一響應者發起SA協商時，為了實現多路分發返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應者應該能處理端口號并非500的IKE協商請求，但往往NAPT對UDP端口的映射很快會被刪除，再協商的過程就將出現一些不可預見的問題，很容易導致NAPT設備無法將協商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉換情況下才可以實現IPSec數據流的NAT穿越。這一方法既降低了IPSec協議的安全性，又限制了NAT的工作方式，因此在實際應用中可行度較差。4IPSec與NAT的兼容性要求在現有的條件下，為了推動基于IPSec的VPN的發展，IPSec和NAT兼容性解決方案需要滿足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個過渡的解決辦法必須比IPv6易于部署。應該只需修改主機，無需改變路由器，在短時間內能與現存的路由器和NAT產品協同工作。2）遠程訪問IPSec的一個重要應用是遠程訪問公司的內部網絡。NAT穿越方案必須考慮遠程客戶端與VPN網關之間存在多個NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應該避免對IKE或IPSec目的端口的動態分配，使防火墻管理員進行簡單的配置，就可以控制穿越NAT的IPSec數據流。4）可擴展性IPSec和NAT兼容性方案應具有良好的擴展性，必須保證在大規模遠程訪問的環境中，在大量遠程接入的環境下，同一時間段多個主機和遠程安全網關建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實現互操作。穿越方案應該能自動檢測是否存在NAT，能判斷通信對方的IKE實現是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來新的安全漏洞。5利用UDP封裝法實現NAT的穿透本文中的解決方案是采用UDP封裝法實現NAT的透明穿透，不需要修改現有的NAT網關和路由器。所以該方案具有簡單且易于實現的優點，缺點是由于添加了一個UDP報文頭，而加大了帶寬開銷，但相對于目前持續擴大的傳輸帶寬來說，這個UDP報文頭的帶寬開銷可以忽略不計。下面詳細討論其原理和實現過程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數據之間再封裝一個UDP頭，這樣封裝后的數據包端口值對NAT可見，就可以正確的實現端口轉換。UDP封裝格式如圖1所示。端口，為了簡化配置和避免多個端口帶來的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來區分端口500的數據包是IKE消息還是UDP封裝的ESP。為了區分兩者，我們采用在IKE報頭添加Non-ESP標記。在確定存在一個中間NAT之后，支持IPSecNAT-T的對話方開始使用新的IKE報頭。5.2IKE協商過程IPSec通信實體雙方是否采用UDP封裝取決于對話對方是否支持該方法以及是否存在NAT設備，這個過程通過IKE協商來完成。在IKE協商過程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類型。1）新的NAT-Discovery(NAT-D)有效載荷這個新的有效載荷包含一個散列值，它整合了一個地址和端口號。在主模式協商期間，即IKE協商第一階段第三、四條消息中，IPSec對話方包括兩個NAT-Discovery有效載荷——一個用于目標地址和端口，另一個用于源地址和端口。接收方使用NAT-Discovery有效載荷來發現NAT之后是否存在一個經NAT轉換過的地址或端口號，并基于被改變的地址和端口號來確定是否有對話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個新的有效載荷包含IPSec對話方的原始地址。對于UDP封裝的ESP傳輸模式，每個對話方在快速模式協商期間發送NAT-OA有效載荷。接收方將這個地址存儲在用于SA的參數中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協商期間指定的，用于通知IPSec對話方應該對ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來封裝IPSec分組的思想只解決了NAPT設備不支持AH和ESP通信的問題。例如TCP校驗和錯誤、UDP端口映射的保持等問題還需要輔助方法來解決。為保證校驗和正確無誤，通信雙方需將自身的原始IP地址和端口發送給對方，即實現地址通告。地址通告的實現通過IKE第二階段的前兩條消息中的NAT-OA有效載荷。因為NAT-OA有效載荷中包含IPSec對話方的原始地址，為此，接收方就擁有了檢驗解密之后的上層校驗和所需的信息。消息發起者在NAT中創建了一個UDP端口映射，它在初始主模式和快速模式IKE協商期間使用。然而，NAT中的UDP映射通常超過一定時間沒用就會被刪除掉。如果響應者隨后向發起者發送IKE消息卻沒有提供UDP端口映射，那么這些消息將被NAT丟棄。這個問題的解決辦法是通過定期發送Keepalive包，用于后續IKE協商和UDP封裝的ESP的UDP端口映射同時在NAT中得到刷新，從而保證通信的正常運行。6結束語IPSec作為網絡層的安全協議，目前的應用越來越廣泛,已成為構建VPN的基礎協議之一。而由于IPv6取代IPv4將是一個漫長的過程，NAT設備的廣泛存在極大地限制了IP層安全協議IPSec的推廣，因此在目前的條件下，UDP封裝方法無疑是一種在當前環境下無需修改NAT網關和路由器、簡單可接受的解決IPSec和NAT兼容性的方法，具有一定的現實意義。但是該方案還不完善，有待進一步討論和研究。參考文獻[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

伴隨科技的發展，電子產品的使用已經涉及到了人們生活的多個方面，在方便了人的生活的同時但也使得電磁環境變得更加復雜，人們在使用中會偶爾出現這樣那樣的問題，為了提升電子產品的性能、提高人們的體驗，電子產品的設計者也在不斷的改進產品，讓其在復雜的電磁環境中有更好地適應能力。而電子產品的研究設計中它的電磁兼容性是個無可避免的問題。為了實現電子產品的電磁兼容，使電子產品達到相關標準，本文針對電磁兼容設計進行了簡要的分析，對其設計要素和測試方式進行了研究。

1.電磁兼容定義其重要性

1.1電磁兼容概念。電磁兼容，就是指電子產品在使用的環境中能夠正常運轉的同時不干擾其他電子，具體來說就是一方面電子產品在工作運行期間產生的電磁干擾不足以影響別的電子設備的正常運行，不會對其他電子設備造成損害或保證這一損害在一定的可接受的區間內，另一方面電子，電子產品應當具備一定的抗干擾性，能夠隔絕使用環境中其他電子設備的電磁干擾，或是讓這種干擾不能影響到電子產品自身的正常運行。電磁兼容的主要研究的就是電磁干擾。可以分為兩類：抗干擾技術和電磁輻射控制。電磁兼容在研究設計的過程中主要考慮到電磁環境的評價、EMI耦合路徑、抗干擾技術、電磁頻譜利用和管理、電磁場生態環境。1.2電磁兼容的重要性。隨著科學技術的發展，人們對電子產品的電磁兼容也有了更多的認識，也越來越重視電磁兼容的設計和測試方面的研究。當今電子產品的電磁兼容不僅是針對產品本身內部的結構更加小巧、復雜，還包括了對周邊干擾、輻射方的影響，比如，在某些電子產品使用中引發起爆裝置從而發生了爆炸威脅了生命財產的安全，還有一些電磁干擾使得廣播無法正常接收、數據傳播的中斷和丟失等現象，甚至有些電磁干擾或輻射會對生命體產生一定的影響。因而，研究電磁兼容對于電子產品來說顯得尤為重要。當前電磁兼容涵蓋到的頻率范圍從0到400GHz，幾乎囊括了人們工作生活所需的各個方面。通過對電磁兼容的進一步研究，首先可以制定出相關行業的電子兼容標準，促進電子產品健康可持續的發展；其次可以提升產品的可靠性和安全性，不干擾其他設備的正常工作；第三，電子兼容作為電子產品的重要標準，關系產品的質量如何以及是否達標，是電子產品進入市場所必須經受檢驗，為了提高電子產品的市場占有，就必須對電磁兼容進行深入的研究；第四，加強產品的電磁兼容研究可以有效的避免產品在后期出現不兼容的問題，降低后期出現不兼容現象的相關費用，也使得系統風險得到有效的降低；第五，電磁現象是一個無法避免的問題，也與人類現代生活是密切相關的，如何降低電磁環境對人體的潛在影響也是電磁兼容所研究的重要意義之所在。

2.電子產品兼容設計要素

電子產品的電磁兼容設計的目的是力求設計出來的產品可以在共存的電磁環境中正常工作，互不影響。首先要依據相關標準，把電磁兼容指標分為產品級別的、模塊級別的、電路級別的、元件級別的指標要求，然后，根據實際產品需要逐級進行設計。2.1電子產品兼容設計應遵循的原則。為了改善電子產品的兼容性能，在電磁兼容設計中通常要遵循以下幾項原則：一是電磁兼容要以產品為核心，既要保證電子產品的電磁兼容復合國家標準，又要滿足產品的基本要求，使得設計的產品符合系統的相關技術指標。二是電磁兼容設計要進行加固設計，不能把電磁兼容準則教條化，要依據產品特點進行加固，確保產品可以穩定的運行，在設計的時就要留有設計余量，確保可靠。三是兼顧經濟因素，為達到統一的兼容目標，電子兼容的設計參數是靈活的，選擇的手段也是多樣化的，設計者要從整體出發考慮到經濟成本因素。四是考慮到電子產品內部干擾，抑制產品內部產生寄生耦合公共電抗的寄生參數，在同一電磁空間秉持強弱電分開、不同頻率的傳輸線分開的原則。五是產品在強磁場的地線不可以形成閉合回路，避免環路電流干擾。六是電路的電磁干擾一般較難消除，可以考慮降低噪聲強度，或進行小范圍屏蔽，使其不致形成干擾。2.2設計要素分析。電子產品的電磁兼容設計要素主要包括耦合通道的抑制、空間分離、時間分隔、頻率管理、電氣隔離等。其中，耦合通道抑制可以通過屏蔽技術、濾波技術、布線、搭接、接地來實現；空間分離可以從地點、地形的控制管理以及電場矢量方向進行控制；時間分隔可以通過雷達脈沖同步、主動和被動的時間分離來實現；頻率的管理主要包括了頻率的管理和調制、數字和光電的傳輸以及濾波；電氣隔離主要是進行變壓器的隔離、光電的隔離、DC\DC變換、繼電器的隔離等。

3.電磁兼容測試技術

摘要：電磁兼容一般指電氣及設備在共同的電磁環境中能執行各自功能的共存狀態，即要求在同一電磁環境中的上述各種設備都能正常工作又互不干擾，達到“兼容”狀態。現在電磁兼容工作者又進一步探討電磁環境對人類及生物的，學科范圍已不僅限于設備與設備間的，而進一步涉及到人類本身，因此某些國內外學者也把電磁兼容學科稱作環境電磁學。由于試驗技術是電磁兼容學科中的一項重要支撐技術，本文將就此作些扼要介紹。

關鍵詞：電磁兼容試驗技術現狀需求

一電磁兼容試驗技術現狀及發展需求

我國運用電磁兼容試驗技術，多起始于60年代前后，當時試驗室條件簡陋，測量設備多半是國內自行研制的簡易測量設備，測量手段也比較落后。1966年船舶先行一步，制訂了自己的行業測量標準JB-854-66《船用電氣設備工業無線電干擾端子電壓測量及允許值》。

改革開放后，國際交往增多，國際先進的電子測量設備大量涌進市場。國內一些重要科研單位、大型生產廠家及某些高校先后興建電磁兼容試驗室，引進了成套的測量設備。

眾所周知，電磁兼容領域與其它專業相比，要更多地依賴于測量，而且電磁兼容測量對試驗條件的要求又很嚴格。因此，隨著國際電磁兼容標準的與轉化，我國高標準的試驗室陸續建成，專業技術隊伍不斷擴充壯大，這為電磁兼容試驗技術的發展帶來了機遇和條件保證。

內容提要：與交易營銷相比，關系營銷是市場營銷學研究范式的根本轉變。但關系營銷的應用在獲得收益的同時，也要充分考慮其成本。關系營銷與交易營銷并不是絕對對立的，兩者各有適用條件，并在一定條件下可以演化和兼容。

進入20世紀末，市場營銷學理論發生了一些顯著變化，其中影響最大的是營銷學中的“關系”范式的出現。“關系”范式以關系營銷(或關系性交易)理論為代表，關系營銷的概念是Berry于1983年最先提出的，80年代末至90年代迅速發展，在西方市場營銷學理論界掀起一場革命，對市場營銷持“關系”觀點的學者對交易導向的營銷理論進行了批判，被稱為“營銷學研究范式的轉變”(koffer，1991)。交易營銷與關系營銷是兩種截然不同的研究范式：前者以產品為中心，采用4Ps營銷組合為手段，著眼于單次交易活動收益的最大化；后者以長期關系為導向，采取關系方法(Relationshipapproach)，注重新價值的創造和雙方關系中的交互作用，以構建企業持久競爭優勢。不少學者就此認為：關系營銷理論的提出標志著傳統的交易營銷范式的終結。但關系營銷理論在實踐中遠不如理論者鼓吹的那樣具有影響力，很多企業不愿介入關系，營銷實踐仍然以4Ps營銷組合作為基本手段，營銷理論的主流仍然以4Ps組合的運用為主要特征。因此筆者認為，關系營銷與交易營銷雖然是兩種對立的營銷范式，但兩者適用于不同的交易類型和環境，不是完全對立而是可以并存、融合的。

一、關系營銷理論的提出和營銷范式從交易向關系的轉變

在關系營銷出現以前的營銷理論以交易或者交換為研究的中心，早期重點研究營銷渠道的效率，其后消費者行為逐漸成為研究的中心，其中以4Ps營銷組合作為主要手段。關系營銷的思想出現很早，Magarry在20世紀50年代提出了營銷的6項功能，其中的“契約功能”(contractualfunction)指的就是發展市場伙伴中的相互依賴的合作關系。60年代和70年代的兩篇論文催發了關系營銷理論的建立：其一，AdlerLee(1996)發現，企業之間的象征關系與傳統的營銷者——中介關系沒有直接聯系；其二，JohnArndt(1979)指出，企業趨向于與關鍵顧客和供應商建立持久關系而非僅僅只關注一次性的交易，并把這種現象定義為“內部市場化”。這兩篇論文在歐洲和北美產生很大影響。在他們提出的關系營銷思想基礎上，許多學者從不同的角度對關系營銷進行研究。其代表性的研究有諾丁學派(Nordicschool)，從服務營銷的研究出發，研究企業如何進行流程再造、實施內部營銷以對外部顧客提供良好的服務及價值增加，IMP學派(IndustrialMarketingandPurchasingGroup)，研究的重點是產業市場的關系和網絡；社會交換學派，從社會交換的角度研究企業與顧客、供應商、競爭者，內部雇員、政府等關系。

關系營銷各學派從不同的角度入手，采取不同的方法研究關系營銷，因此對關系營銷的定義也不同，主要有狹義和廣義之分。狹義的如Bickert(1992)認為，關系營銷就是數據庫營銷；Jackson(1985)認為“關系營銷是與關鍵客戶建立牢靠、持久的關系的一個營銷導向”；Gronroos(1990)認為“營銷就是建立、保持和加強與顧客以及其他合作者的關系，以此使各方面的利益得到滿足和融合。這個過程是通過信任和承諾來實現的”。Gummesson(1990)從關系與互動的角度定義關系營銷，認為“關系營銷是市場被看作關系、互動與網絡”。有些學者從更寬廣的角度認識關系營銷，如Morgan和Hunt(1994)認為“關系營銷是指所有的旨在建立、發展和保持成功的關系的一切活動”。本文的研究建立在Morgan和Hunt對關系營銷的定義基礎上。

關系營銷與交易營銷是兩種對立的營銷方式，主要體現在以下幾個方面：

摘要：本文開展電磁兼容測試系統設計分析，首先解析民用電磁兼容測試系統標準，由單一設備組成復雜測試系統，通過理論推導計算，驗證系統可實現性。基于前期設計內容，對設計系統進行不確定因素評估，驗證測試系統設計可行性。優化解決系統理論推導計算問題，包括EMS測試干擾限值推導問題，保證不同等級對功率放大器放大增益值。通過前期系統設計理論推導，保證系統設計時全套設備利用率。

關鍵詞：民用電子電氣設備；電磁兼容測試系統；系統設計

電磁兼容性測試研究電子電氣設備適用中獨立工作的電磁抗干擾能力，隨著無線電設備大量出現，各類無線電收發設備相互電磁干擾情況嚴重。20世紀中期后，電子設備內部元器件小型化，各電子元器件占用空間擁擠，頻譜資源占有率增加，需要提高頻譜資源利用率。與EMC相關法律有很多，發達國家相關組織有相關規定。我國電磁兼容測試為3C強制認證，電子電氣產品EMC為法律規定要求，電子電氣設備進入市場前需通過EMC。本文設計科學高效的民用電子電氣設備EMC系統，滿足工程應用實踐分析。設計系統可實現EMI發射騷擾測試，可實現子系統分為RE輻射發射等。

1民用電磁兼容測試標準分析

設計符合標準規范的民用電磁兼容測試系統，需要了解對應測試方法要求等。EMI接收機是電磁騷擾測試重要儀表，測試干擾信號有間發行等特點，EMI接收機通常采用掃頻測試進行逐點掃描測試[1]。GB/T6113.101標準對EMI測量接收機有明確指標要求。測量接收機內部放大器幅度特性需比測正弦信號有較大動態范圍儲備。應注意區分檢波器功能與測試接收機上輸出指示的意義，采用正弦波等效RMS進行校準。測試CE傳導發射騷擾電壓時，需在被測試設備間增加規定人工電源網絡。人工電源網絡作用點包括將外部供電電路與被測設備電路隔離，電源供電端子提供測試阻抗。系統選用人工電源網絡為耦合非對稱電壓V型網絡[2]。電探頭在CE傳導發射騷擾電流測試使用，不需改變被測設備原有電路，適合測試復雜接線電路系統。系統設計使用高阻電壓探頭，可使用高阻電壓探頭測試優點是不影響供電網絡下測試，缺點是需避免被測電路阻抗較高。高阻電壓探頭由電阻與電容組成，接地端子需良好接到參考地。EMI天線接收空間強信號后，場強值與電壓值比為天線系數。電磁兼容無線電騷擾測量要注意具有可復現性，物相互作用。測量裝置運行條件作出明確規定，需測量電平上有足夠信噪比，掃頻接收機測量適當考慮設備特殊工作特性。非源于EUI產生騷擾，需在實驗報告中記錄[3]。測試EMI干擾電平時需較長測試時間，EMI接收機使用峰值檢波器捕捉信號，僅對發射幅值接近的關鍵頻率測量最大值。RE輻射發射測試目的是針對機箱端口輻射騷擾測試，對多種電子電氣產品，需測試輻射騷擾電磁場干擾，電場干擾需測試水平極化。輻射騷擾測量需考慮實驗環境，環境噪聲電平滿足低于極限值6dB要求。通用EMI測試流程圖如圖1所示。

2民用電磁兼容測試系統設計

AbstractThispaperconsistsoffourparts:(1)compatibility;(2)simplification;(3)reflections

oncompatibilityandsimplification;(4)conclusion.TheauthorholdsthatChinesegrammaticalstruc

turesrevealatendencyofsimplificationinformandatendencyofcompatibilityinsemanticimpl

ication.Simplificationsandcompatibilityareinterdependentinaccordancewithpragmaticprincip

les.

本文討論漢語語法結構，用的是現代漢語的語料。

【摘要】德育教育在整個的教育體系之中占據著極其重要的位置，德育教育的成效不但關系到學生的綜合素質水平，還關系到德育教育工作的發展。在我國，職業教育是培養職業技術人才的重要教育方式，近年來，我國的職業教育也得到了迅速的發展，職業教育院校的規模也越來越大，教學的特色也逐漸的彰顯了出來。中職學生升學的壓力比較小，思維處于活躍的狀態，管理難度越來越大，各職校都在想方設法的提高教學的質量和創新教學的方式，力圖將學生的學習能力和職業技能全面的提高和發展。目前，我國的中職院校也越來越重視德育思想教育工作，在培養和提高學生們專業技能的同時提高學生們的道德素質標準，本文就中職學生專業技能培養與德育教育的兼容做了相關的論述。

【關鍵詞】中職學生；德育；專業技能；培養；服裝；勞動者素質

中職院校德育教育水平的高低不但影響著學生們的綜合素質水平，也影響著中職院校整體的教學質量和水平，是尤為重要的。近年來，中職教育發展速度迅猛、成就突出毋容質疑，但中職校園普遍地仍存在諸如：學生上課說話、睡覺、玩手機，課余抽煙、打架、談戀愛，周末酗酒、賭博、趕派對等禁而不止、規而不范的問題行為。中職院校的學生由于學習負擔較輕，精力過剩，也就導致了很多學生對自己行為的約束力不夠，做出一些叛逆的行為，這種情況是必須加以引導和修正的，如果不想方設法地把學生的全部精力吸引到專業學習能力的培養和專業技能的訓練上面來就會導致一部分心存上進的學生流失，這就要求教師必須理論聯系實際，將德育教育有效的兼容于專業教學中，從而為社會培養大批優秀的職業技術人才。

一、加強思想教育，樹立學習信念

長期以來，職業教育在整個教育體系的認同度一直是比較低的。很多學生選擇職業教育院校也是因為成績不佳的無奈之舉，這也就導致了學生們在進入了中職院校之后，學習的情緒和思想的情緒都很不穩定，學習的積極性也不是很強，這時候，就需要通過科學合理的思想教育的來進行引導并加以改善。科學合理的思想教育工作應該以集中教育為主，逐步的滲透到各個學科之中。首先，要讓學生們了解我國教育體系的機構，讓學生們對職業教育有一個全新的認識，了解職業教育的重要性，這樣就能夠樹立起學生們學習的堅定信心和信心，其次，要和學生們講解職業教育在國家建設中起到的重要作用，職業教育和綜合素質水平之間的聯系，讓學生們慢慢的走出思想上的誤區，能夠重新的審視對職業教育的認識，最后，還可以讓學生們了解職業教育的發展前景，逐步的加深職業教育在學生們心目中的分量，使學生們從自身的角度去感悟職業教育的理念，逐步的形成主觀的學習意識，從而提高專業技能的學習積極性，全面的提高個人的綜合素質水平。

二、制定專業目標，樹立學習信心

摘要網絡地址轉換技術(NAT)與IPSec在因特網上都是得到廣泛應用的技術，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協議的基本原理，分析了兩者的不兼容性，然后討論了解決該問題必須滿足的要求，最后給出了利用UDP封裝法實現NAT透明穿透的解決方案。

關鍵詞IPSec;NAT;IKE;UDP封裝

1引言

基于IP技術的虛擬專用網（VirtualProfessionalNetwork，簡稱VPN）是通過Internet平臺將局域網擴展到遠程網絡和遠程計算機用戶的一種成本效益極佳的方法。隨著網絡安全技術的飛快發展，越來越多大型企業利用互聯網采用IPSec技術建立VPN網絡，IPSec已逐漸成為VPN構建的主流技術。IP安全協議（IPSecurityProtocol，簡稱IPSec）是由互聯網工程工業組（InternetEngineeringTaskForce，簡稱IETF）1998年底規劃并制定的網絡IP層標準。IPSec不僅可以為IP協議層以上所有的高層協議和應用提供一致性的安全保護，而且除了可用于IPv4之外，也可用于下一代IP協議IPv6。

另外，NAT（NetworkAddressTranslation）技術通過改變進出內部網絡的IP數據包的源和目的地址，把無效的內部網絡地址翻譯成合法的IP地址在Internet上使用。該技術一方面可以把私有IP地址隱藏起來，使外界無法直接訪問內部網絡，對內部網絡起到保護作用；另一方面，它可以緩解由于IPv4先天設計上的不足，而導致的IP地址嚴重短缺的現狀。

但是，被廣泛使用的網絡地址轉換（NAT）設備卻制約著基于IPSec技術的VPN的發展，這是因為IPSec協議在VPN中承擔保護傳輸數據的安全性任務。在數據傳輸過程中，任何對IP地址及傳輸標志符的修改，都被視作對該協議的違背，并導致數據包不能通過安全檢查而被丟棄。但在VPN中運用NAT技術，則不可避免地要將私網地址映射為公網地址，即對IP地址要進行修改。因此，在VPN網絡中如何使IPSec和NAT協同工作，實現NAT的透明穿透具有現實意義。