环境管理协议(共8篇)
甲方:浙江恒友机电有限公司
法定代表人:吕志辉
住所地:浙江省武义县开发大道19号。
乙方:金华市江南保安服务有限公司
法定代表人:赵胜龙
住所地:金华市双溪西路309号。
经甲乙双方协商一致,双方同意解除之前签订的台州汽配城项目《商铺委托管理解除协议书》。原协议未曾对双方产生任何实质的权利义务约束,在本解除协议签订后,双方也无任何基于原《商铺委托管理解除协议书》协议而需履行的相关义务。
甲方:
乙方:
一、路由安全设计
1. 路由安全的重要性。
针对路由安全问题的重要性及其存在的问题, 相关的国际标准组织将路由安全研究提上了日程, 并积极制定和推动相关标准来实现路由的安全。IETF互联网架构组认为使用最小的代价达到最大破坏效果的攻击是对路由基础设施的高效攻击。由此可见路由安全在网络架构中的重要性。
2. 路由安全的研究目标。
路由协议在因特网中的地位十分关键且重要, 路由协议的安全是保证因特网稳定的重要基础。本研究的目标是根据路由协议的特点, 设计路由协议中的自动化密钥管理协议, 为路由协议的身份认证机制提供加密密钥。
3. 路由安全的具体工作。
具体的工作包括:分析路由协议的脆弱性及目前已有的安全机制, 找出路由协议目前安全机制部署的不足;研究IPsec协议族中使用的密钥管理协议IKEv2和GDOI, 考虑路由协议中所需的SA (安全联盟) 以及路由协议所处的网络架构的特点, 对这2种密钥管理协议进行扩展, 设计出针对路由协议的密钥管理协议。
二、路由协议中密钥管理协议的设计
1. 密钥管理协议的设计。
目前, IKEv2主要用于单播协议的密钥管理, GDOI主要用于组播协议的密钥管理。可以看出, 由于单播协议和组播协议的区别, 它们所需要的SA也存在着区别。因此, 针对不同的网络架构需要设计不同的密钥管理协议。在路由协议中, 既有发送单播报文的BGP协议, 又有发送组播报文的RIP协议, 还有既发送单播报文又发送组播报文的OSPF协议。考虑并不针对特定的路由协议来设计方案, 而是对所有的路由协议设计统一的方案。因此, 在设计时需要同时考虑到单播和组播的情况, 要分别设计出适用于单播和组播的密钥管理协议。
2. RPKMP。
由于重新设计一个新的协议过于复杂, 本文, 笔者提出的方案主要是在IKEv2和GDOI协议的基础上进行改动, 设计出适用于路由协议的密钥管理协议RPKMP。
三、RPKMP的设计
1. 基于单播的RPKMP的设计。
设计针对IKEv2的扩展包括2个部分工作:第一部分工作, 在IKEv2的原有SA载荷中增加与路由协议相关的字段;第二部分工作, 在IKEv2报头中的Exchange Type (交换类型) 字段中增加交换类型。基于单播的RPKMP的设计主要适用于点对点 (Point-to-point) 、非广播多点传送 (Nonbroadcast Multiaccess, NBMA) 和点到多点 (Point-to-multipoint) 等网络类型。
2. 基于组播的RPKMP的设计。
路由协议中密钥管理协议的设计不能仅考虑端对端密钥的协商, 还需要考虑组密钥的协商。只有当一个组共享一个会话密钥并在一端发起加密的组播报文时, 该组的其他成员才能使用该共享密钥验证加密报文。组密钥的协商是一个十分复杂的过程, 目前现有的组密钥管理协议大多是基于IETF msec工作组提出的组播组安全架构来设计的, 通过一个中心点控制器GC/KS (组控制器/密钥服务器) 向组员发送组密钥加密密钥和组会话密钥。由于重新设计一个协议较为复杂, 且需要较长的时间来测试该设计的可用性, 因此, 本文, 笔者所提出的基于路由协议组播报文发送的RPKMP的设计, 仍然使用现有的协议。
3. 路由协议中密钥管理协议RPKMP的设计。
主要包括路由协议密钥管理协议框架的设计, 基于单播的RPKMP的设计, 基于组播的RPKMP的设计等。基于组播的RPKMP的设计是在现有的组播密钥管理协议GDOI的基础上添加了1个GC/KS选举协议, 使得GDOI协议可以在路由协议所处的广播网络中使用。在本文中, 笔者对路由协议的实现使用了开源quagga软件包, quagga软件包也可以实现目前常用的路由协议, 由于它的开源性, 对其中路由协议的实现可做任何的改动。这就方便工作人员在路由协议中添加新的接口, 从而与RPSA数据库和KMP进程进行交互。
四、测试环境
1. 测试环境。
由于实验条件所限, 要在1台物理机上构造多个虚拟机来完成基本测试。每台虚拟机上都运行Free BSD8.0系统。在测试单播RPKMP系统时, 同时运行2台虚拟机, 一台虚拟机的IP地址设为192.168.64.128, 另一台虚拟机的IP地址设为192.168.64.129。在测试GC/KS选举模块时, 又添加了1台新虚拟机, IP地址设为192.168.64.130, 可使3台虚拟机运行在一个广播网络上, 实现一个基本的广播网络环境。
2. 基于单播RPKMP系统的测试。
通过配置文件可以看出, 此时OSPF协议运行在非广播网络中, 并配置邻居路由器的IP地址为192.168.64.128, 在配置中运行OSPF协议的路由器发送单播报文。
3. GC/KS选举模块的测试。
关键词:云服务 云SLA 生命周期管理 云服务质量
中图分类号: G255.76 文献标识码: A 文章编号: 1003-6938(2013)01-0051-07
1 引言
云服务是云计算技术将其自身展现给用户的具体实现形式,也是其自身价值得以实现的方式。对云服务提供商而言,他们以不同的云服务内容和形式相互竞争,Google、Amazon、IBM、Sun、Microsoft、HP和Salesforce等这些大型的IT厂商均推出不同的云服务,如应用程序服务、存储服务、架构服务和计算服务等。对用户而言,众多的云服务可以满足用户随时随地按需使用的需求,但用户在访问云服务的过程中会受到各种因素的制约,如一定费用的支付和预算的局限。因此,从云服务提供商角度来看,可以依据云SLA(Service Level Agreements,服务等级协议)来优化使用其基础设施以提供用户所需要的云服务。从用户角度来看,可以依据云SLA来确保自己能够享受到云服务提供商所承受的服务质量和服务等级,进而平衡成本的支出与所获得服务质量的水平,选择性价比较高的云服务。
2 服务等级协议
TMF GB917定义的SLA为:SLA是服务提供商(Service Provider, SP)和用户之间正式签订的一个协定,是存在于双方之间的一个合约。它是一个正式的、经服务提供商和用户协商的合约,包括双方对服务内容、优先权、责任和义务以及费用和赔偿问题的共识,同时包括对服务质量等级的规定。在现有云环境下,SLA能较稳定地支持对服务的正常运营,因此是信息服务双方不可或缺的一项协议[1]。云环境下的信息服务等级协议(Information Service Level Agreement, ISLA)是提供商关于如何实现提供给客户的信息服务的承诺、保证客户获得预定义的信息服务质量的协议。
随着市场竞争的加剧,电信服务、网络服务和云服务的提供商均面临着提高自身竞争优势和满足用户性能需求的双重压力。他们一方面致力于减少服务的成本,另一方面又必须努力改进云服务质量,从而使自己的服务/产品有别于其他的竞争者。由于网络服务提供商(Internet Service Provider, ISP)、通信服务提供商(Transmission Service Provider, TSP)、云服务提供商(Cloud Service Provider, CSP)、信息资源服务提供商(Information Resource Service Provider, IRSP)及终端用户(User)这些参与方、其角色具有多重性、用户需求具有多样化,使得成本和QoS之间的平衡尤为复杂和困难;同一个服务提供商,它的角色既可以是服务的提供方,也可以是服务的接收方。这种多重角色形成了一条复杂的关系链[2],如云服务提供商对于网络服务提供商是接受网络服务的客户(但不是终端客户),他们之间的服务等级协议是WSLA;对于信息资源服务提供商来说,云服务提供商是信息服务平台的提供者,因而他们之间的服务等级协议是ISLA(见图1)。
[图1 信息服务的业务关系模型]2.1 SLA的发展
SLA的应用经历了从电信到IP网络服务,在两者的基础上,SLA又被引入到云服务领域。因此,可以将SLA的发展归结为三个阶段,即电信服务阶段、网络服务阶段和云服务阶段。
(1) 电信管理论坛TMF将SLA应用于电信服务领域。TMF、ITU、IETF等部门分别制定各种SLA和QoS的标准与规范,如有关服务质量的术语定义、确定和应用QoS参数的框架和方法、SLA的框架、SLA的管理手册等,有利于统一规范SLA的应用,保证用户和提供商对SLA和QoS术语的统一理解。
(2) 在网络服务领域,各种在Web和Grid服务中签订的SLA逐渐形成,如HP的WSMF(Web Services Management Framework)[3]、IBM的WSLA(Web Service Level Agreement)[4]、WSPL[5]、WS-agreement[6]及其基于WS-Policy[7]的方法等。这些在Web服务领域中用以保证Web服务质量的协议,通过提供各种IT服务水平的参数、衡量实际服务水平与预先协定的偏差和失误、监测和管理Web服务的执行,从而确保Web服务的网络性能和质量得到应有的保证。
(3) 云服务领域,各云服务提供商制定各自的云SLA以保证云服务的质量。如Microsoft Azure云平台服务制定SLAs,从Storage、Compute、SQL、AppFabric和CDN等方面来明确服务双方的职责与义务;Amazon S3存储服务制定Amazon S3 SLA,从功能、可靠性和价格等方面来明确其存储服务;Google Apps制定Google Apps SLA,明确Apps产品提供的服务等级及违规情况。各种云SLA的实施使得云SLA成为目前云服务提供商们保证QoS的重要手段。
2.2 云SLA的需求及意义
云计算的本质是将资源虚拟化存储于云端,以互联网传播的方式为用户提供服务。因此,我们认为能通过网络实现的信息服务是实现云服务的前提条件之一。云SLA是对服务提供商所提供云服务的服务质量和服务等级进行阐述和明确的法律文本[8]。就云SLA而言,服务提供商或用户都会考虑与某项云服务相关的要素,如服务对象等级、双方职责、服务维护、数据存储位置、业务连续性或灾难恢复能力、系统冗余等,因此需要在SLA文本中明确或者满足以下几点需求[9]:
nlc202309031434
(1)对服务加以清晰的描述,以便用户能够容易地理解和完成对服务的操作。
(2)说明服务提供商所提供服务的服务等级。
(3)定义对服务参数进行监控的具体方式以及监控报告的格式。
(4)说明服务提供商不能提供服务时所需要承担的责任。
(5)说明计费等具体的业务参数等。
在关于云SLA的相关文本中,服务提供商和用户需要分别把各自的责、权、利阐述清楚,需要就双方均认可的服务提供商所提供服务的类型、所提供服务的等级参数、用户所需付费情况、关于所提供服务的相关保证措施以及关于服务提供商与用户违反文本中相关条款的惩罚措施等具体的文本条文明确下来。由于云计算在线服务模式的特殊性,对于云服务提供商可能出现的服务中断和不适时、数据损坏、用户隐私泄露等情况,要在云SLA文本中明确云服务提供商的责任以及一旦出现上述情况服务提供商所需承担的责任等。
3 云SLA管理的价值
为了服务质量水平以SLA预先定义的性能等级进行交付使用,需要对SLA中所有服务过程加以管理,即SLA管理(Service Level Agreement Management, SLAM)。TMF提出SLA生命周期管理和SLA参数框架两种SLAM管理工具。其中,SLA参数框架是对独立参数进行分类的有用工具。
云SLA定义了双方或者多方关于服务质量、优先权和职责等期望。传统的SLA是服务提供商和企业用户所签订的合同(见图2)。SP必须积极地管理所提供服务的质量以获得竞争优势。此外,其所提供的服务越是依赖于多个合作者,管理这些服务的云SLA在SP维持众多合作关系或用户关系中越具有重要的作用(见图3)。因此,云SLA及其管理在SP的用户关系管理(CRM)和供应关系管理(SRM)中起着重要作用,它对SP、用户和供应商均有着重要的价值。
4 云SLA的生命周期管理
TMF[10]在eTOM视图中定义了SLA的生命周期过程,云服务提供商同样需要eTOM商务过程框架来规范、集成并自动化云服务的商务运营过程,能高效地与其它实体或参与方开展商务,使通过网络实现的云服务能更多地关注客户、关注服务质量,实现其资源节约、资源共享、安全保障等基本特征。根据业务或参与方的性质,云SLA的类型包括云服务提供商内部的SLA、云服务提供商-客户的SLA、云服务提供商-供应商的SLA(见图4)。
目前云服务提供商向用户提供的云服务一般包括四种:基础设施即服务IaaS、软件即服务SaaS、平台即服务PaaS以及存储即服务。以上四种服务,在其服务等级协议的管理过程中都应该遵循SLA生命周期中各个阶段的管理。
4.1 云SLA开发阶段
云SLA的开发主要是支持服务计划及其活动,如预测市场的趋势、定义和构建可用的服务产品目录等活动。SP将其服务以不同的形式提供给云用户,服务产品是用其功能和特征加以描述的。在此阶段,首先,SP可以采用用户需求调查系统、用户评价系统、服务交互或监测程序等应用程序加以辅助支持,以做出服务开发阶段的一系列决策:如提供服务的类型、服务的水平、服务的质量等级,衡量每项服务水平及质量的参数、参数值的确定等。其次,由于市场需求、竞争压力、服务性能的变动预示着SP开发新服务及其新的SLA模板(见图5)。总之,此阶段的主要任务是:
(1)识别云用户需求。用户需求是开发新云SLA的主要依据。SP在将当前服务交付给用户使用时,需要不断地搜集用户在使用服务过程中所反馈的信息,从而分析用户的使用偏好、识别用户需求。此阶段中SP主要收集用户三个方面的需求:SLA中不存在的服务、SLA中没有定义的服务、超出当前SLA参数的定义。
(2)识别并描述与用户需求相称的服务特征(如服务水平、服务参数及参数值)。在服务的描述过程中,不仅要描述与服务相关的SLA参数,还要描述该SLA参数值是否可以由用户自己选择指定、某参数值是否依赖于已选择的某些参数。
(3)识别并描述网络、通信和云计算的性能。如现有网络和信息资源供给的技术所能提供的服务水平、质量等级等,有助于SP较好地认清当前的技术水平;同时需要将性能以可量化、可计算的参数及参数值的形式将其描述出来,以供用户选择和评价。
(4)准备标准的SLA模板。新服务的描述及其SLA模板是本阶段的结束标志及检验准则,为后阶段与用户的协商奠定基础。
本阶段结束的标志是获得服务的SLA模板。在SLA管理的过程中还应该对SLA模板的生命周期加以管理,使SLA模板尽可能地适应环境的变化。SLA模板的生命周期包括初始模板的生成、用户的反映/回馈、分析用户需求、改进模板和生成最终模板等。SLA模板是一个公用的服务模板,用户可以根据自身的个性化需求,在云SLA的协商阶段,与SP进行谈判、协商,从而形成适合自身需求的云SLA。
在此阶段,云服务提供中心(Cloud Service Provider Center, CSPC)持续不断地收集来自不同用户的请求,检查当前目录中是否有与用户需求相匹配或相近的服务,估计新服务潜在的用户量、预期利润和潜在的市场需求等,并将用户需求连同新服务的潜在市场价值及所估算的生命周期发送给云服务计划和开发中心(Cloud Service Planning and Development, CSP&D)。CSP&D将用户需求划分为业务需求和技术需求,咨询云服务质量管理中心(Cloud Service Quality Management, CSQM)当前网络、通信和云资源质量的情况,然后衡量提供新服务的可选架构,确定开发新服务所需的潜在技术或技术的优先级,并将技术需求发送给技术计划和开发中心(Technology Planning and Development, TP&D)。TP&D根据收到的技术需求,比较当前技术的性能和可靠性能力,分析其技术实现的可能性、更新或改进技术所需成本、实现新服务的时间跨度。如果TP&D认为支持服务可用性或QoS的某项技术尚未成熟,应给出使用其他特定技术的具体建议。TP&D将估计出来的成本和时间值返回给云服务计划和开发中心(Cloud Service Planning and Development, CSP&D)。CSP&D依据所有返回的成本和时间等信息,评估服务和技术的可行性,如果可行,则生成服务描述文档和SLA模板,并将其发送给相关中心。如CSPC负责服务的供给,服务配置中心根据与用户签订的SLA配置云服务,CSQM负责检测服务质量的执行情况等。
nlc202309031434
4.2 云SLA协商阶段
经过云SLA开发阶段,成型的服务及其描述文档和SLA模板即可发布。SLA的协商阶段始于用户与提供商双方对云服务的特征、功能、价格及双方的职责等信息经过多次协商、谈判后,签订包含一个或多个需要安装和使用服务实例的合同。因此,协商阶段包含的活动主要有协商服务的选项、服务参数的QoS水平、SLA模板中服务参数值,并要详细说明SLA合同的责任和义务(见图6)。总之,此阶段的主要任务是:
(1)为特定的服务实例选择合适的SLA参数值。用户协商主要是围绕服务的实例、质量水平以及用于衡量质量水平的参数值等内容展开的。
(2)确定签订SLA的用户成本,即确定用户购买服务的价格。
(3)确定发生SLA违规的SP成本,或当实现的服务水平超出SLA规定时SP所获得的奖励。
(4)定义与服务相关的使用报告。这与SLA参数的性质有关。
此阶段结束的标志是用户签订SLA合同。CSPC接受来自用户对云服务合同信息的咨询,将用户信息发送给订单处理中心(Order Handling,OH),然后其将订单细节提交给云服务配置和激活中心(Cloud Service Configuration & Activation,CSC&A)。CSC&A检查订单中各服务要素的可用性及可行性,如果涉及到外部提供商的服务要素,则咨询采购中心(Buying)。此外,CSC&A还需请求资源提供中心(Resource Provisioning,RP)检查支持该服务实例的能力及资源的可用性,并将核查的结果返回给OH,由OH来确定产品的可用性,并将结果返回给CSPC。CSPC向用户提供SLA模版,针对SLA的细节向用户提出报价,与用户谈判、协商,最后签订合同。合同中应包含经过双方同意的QoS和SLA参数。
4.3 云SLA实现阶段
云用户的请求在协商阶段转化为用户订单与SLA合同,而SLA合同在实现阶段被转化为可运行的实例。因此实现阶段即SLA实例化的过程,也是激活服务、对服务及服务实例进行配置、安装、启用的过程(见图7)。云SLA实现阶段的主要任务包括三个方面:
(1)配置和提供支付服务的资源。SP将提供给个体服务的实例化资源分配到生命周期的不同阶段;
(2)配置满足SLA的特定服务实例;
(3)激活云服务,将服务交付给用户使用,
此阶段结束的标志是产生实例化的、经过测试的、可接受的服务。CSC&A配置订单中所请求的服务实例,并将请求发送至恰当的部门。CSC&A执行对服务实例的测试,以检验其关键质量指标(Key Quality Indicator,KQI)是否达到SLA的标准,并在管理服务目录中更新服务实例及其KQIs。此外,CSC&A还需通知CSQM初始化监测新服务实例。一切准备就绪后,CSC&A通知服务OH,由OH负责通知用户及其他部门。
4.4 云SLA执行阶段
云SLA执行阶段即执行SLA合同中的各项规定,它涵盖了SLA服务的所有操作。此阶段主要的任务包括:
(1)正常执行和监测服务。其中正常执行的情况包括一切正常、无差错的执行以及出现中断但在SLA范围之内的执行。SP自身执行的服务与供应商/合作者执行的外部服务都需要进行全程监测。监测的目的,一方面是监测服务的性能数据,保证对服务的评价做到有据可依,有助于预测长期的服务能力;另一方面是保证服务的可用性及可靠性。
(2)即时报告服务执行的情况。报告记录的是服务执行和监测的情况,报告的时间和频率依服务的类型和特征而定。
(3)SLA违规的即时处理。SLA违规即服务的非正常执行。倘若SP首先发现服务中断,SP则会采取一系列的措施,确保中断的时间尽量不违反SLA的规定。因此,此处的SLA违规是指用户首先发现的服务中断,并且中断的时间超出了SLA的规定,从而造成SLA违规。
执行阶段结束的标志是用户使用了云服务,但执行的过程却存在正常执行和SLA违规的情况。正常执行是指执行的服务在SLA规定的范围内,或一切正常运行,或是曾出现过服务中断,但中断时间没超出SLA规定的范围。SLA违规的情况是指用户发现服务没有达到SLA规定的质量等级,并向SP提出相应的赔偿。
云服务在执行过程中,总是会出现超出或达不到SLA中明确规定的参数及参数值。换言之,在执行SLA的过程中会出现违反SLA规定的情况。而发现SLA违规的情况至少有两种,一种是SP首先发现违规,并采取相应的补救措施;另一种是用户首先发现违规,并向SP报告服务非正常执行的情况。
4.5 云SLA评估阶段
云SLA评估阶段的任务一方面是评估单个云用户的SLA与交付给云用户QoS的情况;另一方面是评估某一时期SP所有业务的整体质量水平,包括整体的质量目标、业务目标以及风险管理的过程,即SP内部业务评估的一部分。
4.5.1 单个云用户的阶段性评估
(1)SP实际交付给用户的QoS情况。QoS的评价存在不同视角:用户QoS需求、SP提供的QoS、SP实际交付、提供给用户的QoS以及用户所感知到的QoS。因此,在评估云SLA的阶段,必须要根据云服务在执行过程中所获得的监测数据为QoS的执行情况提供有力的证据,从而作为评价服务及其质量的依据。
(2)用户对服务质量的满意度。影响用户满意度的因素主要有两方面,一方面是SP实际交付给用户的QoS情况,另一方面是用户对QoS的期望。
(3)改进用户满意度的潜力。SP根据用户的满意度以及自身提供QoS的能力来确定自身提高QoS的潜力及改善用户满意度的潜力,从而保持用户的忠诚度。
(4)用户需求的改变。评估用户需求与发现用户需求的变化,进而分析其变化的因素及趋势,有利于SP改进服务及其SLA、开发新服务及新SLA、吸引用户和保持用户的忠诚度。
nlc202309031434
4.5.2 SP内部整体业务的质量水平评估
(1)向所有用户交付服务质量的整体情况。云服务的整体质量情况是SP服务实力的真实体现。因此,评估整体服务质量的情况也是SP衡量自身服务实力的依据。
(2)重新调整服务目标,使得服务实力与服务目标相匹配。
(3)重新调整服务运营。目标调整后,服务的执行和运营也需要同步协调。
(4)识别服务支持的问题。服务的执行和运营离不开支持性、辅助性的活动,如战略计划、风险管理、绩效管理、资金财产管理和人力支援管理等。
(5)创建不同SLA的服务水平。云服务提供商可以根据用户群的不同需求,创建SLA的不同服务等级。
云SLA评估的启动方式有三种,第一种是阶段性的评估,即根据SLA的规定,定期评估服务执行是否满足SLA的情况。第二是用户要求的重新评估,当用户对SP发送过来的评估报告存在质疑时,向SP提出重新评估或复查等需求。第三是用户退出服务时的评估,此时评估用户退出服务的相关影响因素。
4.6 云SLA撤销阶段
云SLA撤销阶段指的是SP因自身的问题,使得服务暂时撤销,其主要是解决与终止服务相关的用户端设备和线路问题。此阶段与云SLA相关的问题包括:
(1)规定设备或线路的拆除或搬迁的责任。
(2)承诺拆除或搬迁设备或线路的时间。
(3)规定SP有权使用用户的设备。设备或线路在拆除、搬迁的过程中,涉及到对用户设备的测试、拆除或搬迁,因此,SLA中应规定SP何时有权使用或有权访问用户的设备,以协助服务的关闭活动,减少关闭服务的时间。
总之,由于SP自身原因导致服务被关闭,对用户的行为产生的影响,用户对此应具有知情权。SP均应在SLA中明确规定并勇于承担其中的责任,从而提高用户的满意度和忠诚度。
5 结语
云SLA的管理是对云服务过程中涉及的SLA加以规划,使其服务质量与预先定义的性能相一致。云SLA的管理有利于高效地管理资源和服务,确保实现不同等级的服务质量。云SLA管理是SP从技术角度来衡量性能的一种方法。它通过量化性能指标获得和保留用户,监管性能和服务的实施,提供性能报告,并以惩罚的方式履行协议、管理供应链关系,有助于SP满足用户的需求、与用户保持良好的长期合作关系。本文对云SLA的生命周期管理加以分析,是为了展示基础设施即服务IaaS 、软件即服务SaaS、 平台即服务PaaS以及存储即服务这些云服务在实现过程中得以保证其服务质量的管理方式。从云SLA的生命周期管理角度分析各类服务要满足的基本管理模式仅仅是SLAM的一种工具,SLA参数框架的管理同样也是SLAM的一项重要工具,这将在后续的研究中加以详细阐述。
参考文献:
[1]邓仲华,喻越.云环境下的信息服务等级协议研究[J].图书与情报,2009,(4):57-60.
[2]McConnell J, Siegel E. Practice Service Level Management: Delivering High-Quality Web Based Services [M]. Cisco Press, 2004.
[3]Nicolas C, Pankaj K,Bryan M,et al.Web Service Management Framework-Overview Version 2.0[R]. Hewlett-Packard Development Company, 2003.
[4]Ludwig H, Keller A, Dan A, et al.Web Service Level Agreement(WSLA) Language Specification, Version 1.0[S].International Business Machines Corporation(IBM),2003.
[5]Anderson A. An Introduction to the Web Service Policy Language[J].IEEE Computer Society,2004:189-192.
[6]Audrieux A, Czajkowski K, Dan A, et al.Web Service Agreement Spcification(WS-agreement)[S].Grid Resource Allocation Agreement Protocol(GRAAP)WG,2007.
[7]Vedamuthu A S, Orchard D,Hirsch F, et all. Web Services Policy Framwork(WS-Policy),Version 1.5[S].World Wide Web Consortium,2007.
[8]邓仲华等. SLA研究及其在信息服务中的应用[A].胡昌平.信息资源研究进展[M].武汉:武汉大学出版社, 2010: 305-339.
[9]张健.云计算服务等级协议(SLA)研究[J].电信网技术,2012(2):7-10.
[10]TMF GB921. Business Process Framwork(eTOM) Enhanced Telecom Operations Map Concepts and Principles/ Version 8.1[R]. TeleManagement Forum, 2008.
作者简介:赵又霖,女,武汉大学信息管理学院博士研究生,研究方向:信息组织与系统开发、信息资源管理;邓仲华,男,武汉大学信息管理学院教授,博士生导师,研究方向:信息组织与系统开发、信息资源管理;黎春兰,女,武汉大学信息管理学院博士研究生,研究方向:信息资源管理。
总包单位:
北京市地铁14号线工程15标段项目经理部(以下简称甲方)(以下简称乙方)
为确保环境保护及文明施工,符合总公司《职业健康安全和环境管理体系》的相关要求,双方协定。
一、乙方应对其作业人员进行环境保护,节水宣传,材料堆放覆盖,避免砂石因天气原因造成的粉尘及扬尘,等方面教育.。
二、甲方根据环保部门要求制定出对工程及生活区产生的污水垃圾进行处理,如因乙方未按甲方要求处理工程及生活污水垃圾而造成环境污染,甲方将视情节严重程度、依据协议合同实施相应的制裁办法。
三、乙方应按甲方的相关要求进行节约用水,避免造成水资源浪费。甲方有权进行监督检查。
四、乙方在现场堆放各种材料,应按甲方要求分类码放整齐,做好标识 砂石应分类并覆盖防止扬尘。
五、乙方在对材料进行装卸时应按甲方指定的区域一次到位,避免二次搬运而产生环境污染。
六、乙方按照甲方要求的施工时间进行施工,避免产生噪音污染,噪音过大的机械,乙方应按照甲方指定地点摆放使用,并采取降噪音措施,如搭消音棚等。
七、乙方在作业面操作时,为避免在高处扬撒,作业同时应按照甲方的要求对作业面进行围挡。
八、乙方因按照甲方的要求对工程及生活上产生的固体废弃物进行分类堆放,并作好标识。甲方分类收集后,统一委托有处理资质的部门进行处理。
九、甲方有权对乙方施工全过程进行监督检查如有违反环境保护管理规定,甲方可根据情节严重给批评教育或经济处罚。
本协议一式两份、甲乙双方各执一份。
总包安全负责人施工单位负责人
甲方: 乙方:
为全面落实安全生产管理工作,坚持“安全第一,预防为主”的方针,根据《中华人民共和国安全生产法》,(厂)有限公司(以下简称甲方)与(以下简称乙方)结合双方实际情况,经共同协商,于 年月 日在 项目工程施工中的安全责任,达成如下协议,双方必须共同遵守。
一、安全目标
1.不发生轻伤及以上人身伤害事故; 2.不发生设备损坏事故; 3.不发生火灾; 4.不发生环境污染事故; 5.杜绝违章指挥、违章作业情况。
二、根据《中华人民共和国安全生产法》要求,甲方必须进行安全资质审查,乙方应缴纳安全风险抵押金:
(一)资质审查:
1.营业执照和资质证书,法人代表资格证书, 施工安全许可证书。2.施工简历和近三年的安全施工纪录。
3.施工负责人、工程技术人员和员工技术素质符合要求,特种作业人员必须持有政府主管部门颁发的有效证件。
4.具有两级机构的承包方,必须设有专职安全管理机构;施工队伍超过30人的设专职安全员;施工队伍30人以下的设兼职或专职安全员。
5.甲方要求提供的其他资料。
6.以上材料乙方应报甲方安全监督部门备案。
(二)安全风险抵压金
乙方缴纳给甲方工程款3%~10%的安全风险抵押金。
三、甲方应承担的安全责任 1.负责对乙方的资质进行审查。
2.开工前,甲方工程负责人和专业人员与乙方负责人和专业人员进行对口书面交底,并由双方签名的交底记录。
3.提供甲方安全管理方面的规章制度,并对乙方进行必要的安全培训。
4.乙方施工人员在施工过程中发生违章作业时,甲方有权制止,直至停止乙方的承包工作。
5.由于甲方原因给乙方造成的后果,按分析结论承担相应的责任。6.在保证安全的前提下,甲方应尽量向乙方提供工作方便,使工程圆满完成。
四、乙方应承担的安全责任: 1.乙方法人代表是本单位的安全第一责任人,乙方的施工代表(施工第一责任者)是本工程的安全第一责任者,应全面负责安全管理工作,切实履行安全职责。
2.乙方必须建立安全监察机制,并配备专(兼)职安全监察人员 ,认真开展安全监察工作,并随时和甲方互通情况。开工前应自上而下进行安全技术交底,使全体施工人员均掌握工程特点及施工安全措施。
3.特种(设备)作业人员必须取得政府主管部门颁发的有效资格证书才能上岗。4.乙方对所有工作人员的身体素质、精神状况、技能水平、作业中的安全行为及工期延误负责。
5.乙方开工前应组织全体施工人员认真学习《中华人民共和国安全生产法》、《电业安全工作规程》、《电力建设安全工作规程》、《电力设备典型消防规程》、甲方安全管理规章制度等规定中的相关部分,考试、体检合格方可进行工作,并将考试成绩书面报甲方安全监督部门审核备案。以后若发生人员变更,在进入现场前,保证遵照以上程序办理。
6.乙方负责所属工作人员着装整齐、佩戴工作标志,符合安规着装规定。乙方保证不使用未成年工和不适应现场安全施工的老、弱、病、残人员施工。
7.乙方每次开工前应对施工机械、工器具及安全防护设施、安全用具进行检查,确保符合安全规定并不超过检验周期。
8.在现场施工中,必须严格执行甲方安全、文明生产(施工)规定的有关部分。进入电力生产区域内施工,还必须按规定严格执行工作票制度。乙方对甲方安全监督部门提出的意见必须及时整改,并接受甲方安全监督部门和工程管理部门的监督和指导。
9.乙方必须接受甲方的监督、管理和指导。发生人身事故或危及生产运行的不安全情况,必须立即报告甲方安全监督部门。
10.乙方所承担的施工(检修)项目必须编制安全措施或作业指导书,复杂的和危险性较大的工程,乙方应制定专项施工方案,经甲方审查合格后实施。无安全措施和专项施工方案不允许开工。
11.当危及运行设备时,乙方立即停止所有工作,立即汇报甲方工程管理部门和安全监督部门。
12.工作中人身安全受到威胁时,乙方有责任立即处理并同时报告甲方安全监督部门和工程管理部门。
13.由于非甲方原因而造成的人身伤亡,工期延误、设备损坏由乙方负全部责任。14.其他应补充的条款。
五、因乙方原因造成甲方财产损失、员工人身伤亡,或者对第三方造成人身或财产损害的,乙方应承担所有损害赔偿责任。
六、乙方发生下列情况所产生的扣款,在72小时内交甲方财务部,否则每迟24小时加扣10%滞纳金。愈期不及时缴纳扣款及滞纳金的,甲、乙双方约定从安全风险抵押金中扣除或在 承包工程结束时从工程款中扣除。
1.乙方工作中造成人身轻伤的,每一人次扣罚人民币六万元,造成人身重伤的,每一人次扣罚人民币十万元,造成人身死亡的,每一人次扣罚人民币三十万元。
2.由于乙方责任造成设备损坏、环境污染事故,一切损失由乙方负责赔偿。
3.由于乙方责任发生特大、重大及火灾事故,每次扣罚人民币三十万元(当不足于弥补甲方损失时,以实际发生的损失额度计)。
4.由于乙方责任发生严重未遂事故,每次扣罚人民币五万元。5.甲、乙双方各自承担由自身原因引起的停工、工期延误责任和损失。
6.乙方人员发生下列严重违章情况,被甲方人员发现时,应立即予以制止,并令其立即整改,可根据情节每人次扣罚人民币(1-5)万元。
(1)进入生产(施工)现场未正确佩戴安全帽(不系下额带);(2)高空作业不按规定扎安全带;
(3)擅自拆除孔洞盖板、栏杆、隔离层未采取安全可靠措施;
(4)设备检修不按规定办理工作票或不执行工作监护制度,工作人员擅自扩大工作范围;(5)不填写操作票进行倒闸操作;(6)外包工程没有办理开工手续擅自开工;(7)安排未经培训并经考试合格的人员上岗;
(8)在生产现场(燃油、氢气、电子间区等重点防火部位)吸烟;(9)高处作业防护措施不当造成高空落物;(10)酒后作业。
7.乙方人员发生下列重点习惯性违章情况,被甲方人员发现时,应立即予以制止,并令其立即整改,可根据情节每人次扣罚人民币(0.5-2)万元。
(1)使用不合格的绝缘工具和电气工具;(2)高空作业搭设的脚手架不符合安全规定;(3)不具备相应资格的人员从事特种作业;
(4)电气倒闸操作不核对设备名称、编号、位置、状态;(5)在带电设备附近进行起吊作业,安全距离不够、无监护;
(6)使用的安全帽、安全带、绝缘工器具、起重工器具不合格或不进行定期试验;(7)盲目决定设备带病、超出力运行或让职工冒险作业而没有相应的技术措施和安全保障措施;
(8)制定的规程、措施、制度等不健全或与实际不符,使用中导致事故发生或延误事故处理;
(9)运行中将转动设备的防护罩打开,或将手伸入遮拦内,戴手套或用抹布对转动部分进行清扫或进行其它工作;不按规定运行中更换碳刷;
(10)在机械的转动、传动部分保护罩上坐、立、行走,或用手触摸运转中机械的转动、传动、滑动部分及旋转中的工件;(11)动火作业不办理动火工作票,氢油管道动火时不按规定接地线;(12)未履行有关手续即对有压力、带电、充油的容器及管道施焊;(13)未经批准,解除运行设备连锁、报警、保护装置;(14)电气设备检修,约时停送电。
8.乙方人员发生下列一般习惯性违章情况,被甲方人员发现时,应立即予以制止,并令其立即整改,可根据情节每人次扣罚人民币(0.2-1)万元。
(1)工作负责人在工作票所列安全措施未全部实施前允许工作人员作业或不向工作班成员交代工作内容和安全措施;
(2)搭乘载货吊笼或用吊头、抓头或其它载货设备输送人员;
(3)在金属容器内同时进行电焊、气焊、气割或进行其它工作,入口处无人监护或监护人员数量及所处位置不符合《电业安全工作规程》(热力和机械部分)的规定;
(4)锅炉水压试验时,无关人员在周围逗留,人员站在焊接堵头对面或法兰侧面;锅炉启动升压过程中,在承压部件上继续作业;
(5)现场滤油无人看管、无防漏防火的可靠措施;
(6)特殊岗位人员在工作过程中未按规定正确着装;(进入发电机内、锅炉汽包内、汽轮机汽缸内未穿专用工作服、布鞋或胶鞋;进入制氢室内未穿防静电服等);
(7)不按规定使用相应的安全工器具进行操作;
(8)设备检修完毕,未办理工作票终结手续就恢复设备运行;未采取可靠措施就进行试车工作;
(9)不走安全通道,从翻车机工作区域通行;
(10)没有使用或不正确使用劳动保护用品,如使用砂轮、车床不戴护目眼镜,使用钻床、打大锤时戴手套等;
(11)凭借栏杆、脚手架、瓷件、管道等起吊物件;
(12)使用金属外壳电动工具不接地、不装漏电保护器及不戴绝缘手套;(13)在易爆、易燃区携带火种、穿带铁钉的鞋等;(14)在氢、油区使用铁制工具又无防止产生火花的措施;(15)进入易造成人员窒息的环境或区域工作未采取防范措施;
(16)在地下维护室、沟道和金属容器内工作,使用非安全电压照明、无人监护;(17)装设接地线前不验电(不包括GIS等无法进行验电的设备),装设的接地线不符合《安规》要求。
9.其他应补充的条款:
10.未尽事项按甲方《安全生产奖惩规定》、《反违章管理标准》、《文明生产管理标准》等规定中条款执行。
七、其他
1.工程发生各种不安全情况时,属乙方责任,由乙方自己组织调查、分析和处理,甲方应给予配合,乙方应将结论书面报甲方安全监督部门。2.未尽事宜由甲、乙双方根据《中华人民共和国安全生产法》及甲方行业相关规定协商解决。本协议一式三份,甲方、乙方各执一份、甲方安全监督部门留存一份。
3.本协议作为合同附件,与合同具有同等的法律效力,随合同生效而生效,随合同终止而终止。
甲方:(章)乙方:(章)
甲方法人代表(签字): 乙方法人代表(签字):
甲方代理人(签字): 乙方代理人(签字):
甲方安全监督部门(签字):
隐名投资人(实际股东,以下简称“甲方“):
显名投资人(名义股东,以下简称“乙方”):
甲、乙双方约定,由甲方向_________________________公司(以下简称目标公司)投资,乙方则作为名义股东登记于公司的章程、股东名册或其他工商登记材料之中。公司的法定地址为:_________________________。公司的注册资本为人民币________万元,其中以乙方名义在公司的章程、股东名册、工商登记中登记的出资额为________万元,占投资比例________%,该项出资全部由甲方实际投入,乙方并不实际出资。
为明确甲、乙双方在公司中的权利义务,保障隐名股东的权利,经双方友好协商,兹签订该隐名股东协议,具体内容如下:
第一条 乙方的名义出资________万元全部由甲方实际出资。甲方的出资在____年____月____日全部到位并经____会计师事务所验资证明;甲方的出资方式为(现金 /实物)。公司注册资本的实际出资者为甲方。公司成立后,甲方不得抽回资金,逃避风险和责任。
第二条 甲方享有完全的公司管理参与权、股息和其他股份财产权益,并承担投资风险。乙方不享有公司管理参与权,也不享有股息及其他股份财产权益的分配,不承担投资风险。
第三条 乙方作为显名股东作如下承诺:未经甲方的书面同意不能单方面转让、出质股权,否则,乙方除向甲方返还资产、赔偿损失外,还须承担侵占甲方资产的相关刑事与民事责任。
第四条 乙方应向公司及其他股东披露甲方及本协议的存在,使公司认可甲方的实际股东身份行使权利。
第五条 甲、乙双方的利益分配方式:甲方享受公司全部股东权益,乙方不享受股东权益。
第六条 若公司与第三人出现纠纷时,由甲方承担实际的股东责任,乙方不承担实际股东责任。
第七条 乙方应积极配合办理公司登记设立及其他法定的相关手续,履行相应的义务。
第八条 如由于乙方的债务纠纷,而导致其名下的股权被他人通过司法途径强制处分时。乙方必须对由此给甲方造成的所有直接和可遇见的间接损失承担全部赔偿责任。
第九条 乙方对此协议负有保密义务。除经甲方同意或本协议约定外,乙方不得向任何第三方泄露本协议的任何内容,否则应承担由此造成甲方损失的赔偿责任。
第十条 乙方不得利用显名股东身份谋取私利,不得自营或者为他人经营与本公司同类的业务或者从事侵占公司财产和损害本公司利益的活动,否则,乙方除向甲方返还资产、赔偿损失外,还须承担侵占甲方资产的相关刑事与民事责任。
第十一条本协议的订立、效力、解释、履行和争议的解决均受中华人民共和国法律的管辖。因执行本协议而发生的争议,各方可协商解决,协商不能解决,由公司注册地人民法院管辖。
第十二条 本协议的修改、补充须经双方协商并签订补充协议,补充协议与本协议具有同等的法律效力。
第十三条 本协议一式二份,由甲、乙双方各执一份,均具有同等法律效力。
甲方:乙方:
身份证号:身份证号:
联系电话:联系电话:
随着车辆电子技术的不断发展,车辆电气系统中电控单元(ECU)的应用日益增多。不断增多的ECU和数据交互使得车载网络也越来越复杂,也给整车的静态功耗设计带来了挑战,为了保证车载网络的安全性和可靠性,同时为了更好的控制整车静态功耗,有必要建立一套管理机制对网络安全和故障进行监控处理。
网络管理的主要功能有:保证网络同步进入睡眠状态、网络启动后确定网络配置、运行过程中监控网络配置、提供网络状态信息以及对网络故障的处理。
2、网络管理的方案
目前比较典型的适用于汽车CAN总线网络管理协议有OSEK、AUTOSAR和SAEJ1939网络管理协议,下面就这些协议进行简要的介绍和对比分析。
2.1 OSEK网络管理
OSEK/VDX是用于分布式实时结构的一组标准,它包含四个标准:操作系统(OS)、通信(COM)、网络管理(NM)和OSEK实现语言(OIL),其网络管理部分的标准(OSEK NM)被广泛的应用于车载CAN总线的网络管理。
OSEK网络管理分为直接管理和间接管理两种。
2.1.1 OSEK直接网络管理
OSEK直接网络管理是一种分布式的网络管理,它通过逻辑环对网络进行监控,每个节点被其他节点监控的同时也根据各自的状态发送特定统一的网络管理报文。
OSEK网络管理为每个节点定义了不同的工作状态和状态间的转换关系,各个节点通过调用网络管理服务进行网络管理状态的迁移。节点的网络状态及迁移关系如图1所示:
图2所示为逻辑环机制,当网络处于NMOn状态时,连接在总线上的ECU需要按照各自地址的大小从小到大依次发送网络管理报文,从而形成虚拟的逻辑环。
OSEK网络管理在协议数据单元(NMPDU)中进行网络管理需求和状态信息的传递,各节点需要按照各自的网络管理状态发送对应的信息,并接收其他节点发送的状态信息。网络管理协议数据单元包含地址域、控制域和数据域,与CAN总线的帧格式按照如下方式对应:
OSEK直接网络管理报文有以下三种类型(通过控制域的配置):
●Alive报文:各节点声明自身将要加入到“逻辑环”的报文
·Ring报文:各节点向后继节点传递“令牌”的报文
·LimpHome报文:节点不能正常收发报文时,节点进入跛足LimpHome状态,之后节点周期性的发送此报文
对于网络的休眠同步管理,OSEK直接网络管理提供了一个协商机制:休眠由网络上的某个节点发起,在发送的Ring报文中将Sleep.Ind置1,其他节点根据各自的状态进行确认,如果满足休眠条件则同样将Sleep.Ind置1,否则将Sleep.Ind置0;当网络上所有节点的Sleep.Ind都为1时,发起休眠的节点发送休眠确认报文(Sleep.Ack=1),其他节点在接收到休眠确认报文后停止发送Ring报文,同时启动休眠定时;当休眠定时到时,所有节点同步休眠。整个过程如下图所示:
2.1.2 OSEK间接网络管理
OSEK间接网络管理的策略与直接管理不同,间接网络管理主要通过监控节点的应用报文来间接监控网络的状态,这就需要有一个主节点来统一监控网络上的其他报文,被监控的节点需要有周期性发送的应用报文,如果某个节点正常情况下只接收而不发送报文,那么它需要发送特定的报文使它可以被其他节点监测到。
在间接网络管理中,被监控的网络节点有两个状态:
●在线:主节点接收到节点A的被监控报文,则认为A在线
●离线:节点A的被监控报文发生超时,则认为A离线
OSEK间接网络管理的休眠和唤醒策略采用主从方式进行,主节点在其一条应用报文中预留一个标志位,置“1”表示请求网络休眠,如果不请求休眠则置“0”。当达到休眠条件时,主节点请求网络睡眠,各节点在收到请求后即进入休眠。唤醒的过程则相反,主节点将睡眠标志位置“0”,然后各节点通过网络进行唤醒。
网络睡眠过程:
2.2 AUTOSAR网络管理
AUTOSAR是Automotive Open SystemArchitecture (汽车开发系统架构)的缩写,是一个制定汽车电子软件标准的联盟,AUTOSAR规范主要包含3个领域:软件架构、应用接口以及方法论。与OSEK相比,AUTOSAR架构模块化更清晰、扩展性更强,有利于车辆电子系统软件的交互与更新,降低电子系统的开发成本提高开发效率。
在AUTOSAR的规范里专门针对CAN网络管理进行了定义。AUTOSAR网络管理采用分布式的直接网络管理机制,各节点网络状态的转换基于节点请求网络的状态及周期性网络管理报文的接收。
AUTOSAR定义的节点的网络状态转换如下图所示:
从图中可以看出,各状态及转换关系与OSEK直接网络管理基本相同,不同的是AUTOSAR没有在网络管理中进行总线错误的处理。这一点,AUTOSAR规范将总线错误管理放到通讯管理模块来实现。
在AUTOSAR网络管理中,网络管理报文的发送即表示节点对于网络通讯有需求,各节点需要周期性的发送网络管理报文直至不再需要总线通信为止。
在网络初始化状态(Repeat Message State)和正常工作状态(Normal Operation State),各节点都要按设定的周期进行网络管理报文的发送,同时各个节点都定义了各自的网络管理报文发送时间偏移以防止报文突发。
当有节点满足休眠条件时,停止发送网络管理报文,此时网络进入准备休眠状态(Ready Sleep State);当所有节点都停止发送网络管理报文并网络空闲达到设定值时(NM timeout),网络进入总线预休眠状态(Prepare Bus-Sleep),随后如果没有节点唤醒的话则进入总线休眠状态(Bus-Sleep)。
AUTOSAR中对网络管理协议数据单元和在CAN总线数据帧中的映射进行了定义,网络管理协议数据单元包括节点标识域和控制位向量,节点标识域是各节点独立特有的标识,控制位向量中定义了网络初始化请求位(Repeat Message Request Bit)用于表示网络初始化的报文。其余6个字节由用户定义,可以增加网络唤醒原因域等。
为了降低网络正常工作时的总线负载,AUTO SAR网络管理还提供了一个网络负载降低机制,即在正常工作状态下,每个节点各自定义一个独立的周期时间参数(Reduced cycle time),在整个网络同时只有周期时间参数最小的两个节点发送网络管理报文。通过这种机制,在节点较多的网络可以大大降低网络负载。
2.3 SAE J1939网络管理
SAE J1939协议是由美国汽车工程协会(SAE)基于CAN2.0B规范编制,目前被广泛应用在商用车领域。
SAE J1939中对网络管理的具体规定在SAE J1939-81中体现,网络管理提供了用来唯一地识别网络中CA (控制器软件)的定义和过程描述,实现了对地址分配和网络错误的管理,但是对网络错误的管理仅限于地址声明方面的错误管理,另外,也没有对唤醒和休眠同步进行管理。
在SAE J1939中,每个节点都有唯一的地址和名字,其中地址长度为8位,用来保证报文ID的唯一;名字长度为64位,用来提供对节点CA的功能描述。
在SAE J1939中规定了3个网络管理报文用于网络管理:
1、地址声明请求报文:请求网络上CA的地址和名字
2、地址声明报文:为CA声明一个地址/公告不能声明地址。
3、命令地址报文:命令其他CA使用新的地址。
3、各网络管理协议对比
4、总结
通过对上述四种网络管理协议的介绍和简单对比,可以看出:
1)SAE J1939网络管理由于其功能的局限性,并不太适合国内的开发情况。协议中主要针对节点的地址分配和管理机制进行了定义,但没有定义同步休眠和唤醒的机制。在国内现有的开发模式下,整车的配置需求、网络通讯矩阵、节点供应商都比较明确,对地址管理的需求程度则变得越来越小;
2)OSEK间接网络管理相对比较简单,对网络的监控和节点的同步唤醒和休眠都有定义,且实时性较强。由于采用了主从结构的设计,如果主节点失效则整个网络管理就同时失效,使得其在使用过程中不够灵活和安全,适合于配置固定简单、对网络安全性要求不高的网络;
3)OSEK直接网络管理功能比较全面,且扩展性很强,由于采用了逻辑环的管理策略,网络中不需要指定专门的监控节点对网络进行监控,使得单独的节点在开发时相对独立,机制统一。但是当总线中连接的节点数量增加以后,令牌环在总线中传递一周的时间就会变长,网络管理的实时性就会降低。另外,功能全面的网络管理协议也会给节点的协议栈开发增加一定难度。
4)AUTOSAR网络管理与OSEK直接网络管理一样属于功能全面且扩展性很强协议,其在实时性和复杂度上较OESK网络管理要好一些。虽然目前行业内基于AUTOSAR的开发还未普及,但可以预见的是,它是未来汽车电子电气发展的一个趋势。
参考文献
[1]熊毅,郭杏荣,张倪,基于OSEK规范的网络管理的研究与改进,计算机应用研究,Vol.24 No.9 Sept.2007.
[2]W.齐默尔曼R.施密特加尔,汽车总线系统,机械工业出版社.
[3]AUTOSAR,Specification of CAN Network Management V3.1.0R4.0Revl.
关键字:ARP协议;ARP攻击;MAC地址;防范策略
中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 06-0000-02
Attacks Principle& Preventive Measures of ARP Protocol Under Campus Network
Li Hui,Du Shanlin
Abstract:From the function of the ARP protocol to explain the working mechanism ARP.ARP works by analyzing the protocol,discuss the ARP protocol to the physical address from IP address resolution process in the presence of the security risk, given the same network segment and the process of inter-segment ARP cheating. Articles from the client and the network equipment side,puts forward the countermeasures,including the IP address and MAC address binding,switch port and MAC address binding,VLAN isolation techniques on the ARP spoofing attack,the security policy.
Keywords:ARP protocol;ARP attack;MAC address;Preventive measures
一、ARP工作原理
(一)ARP协议介绍
ARP在局域网中,实际传输的是“帧”,帧包括源MAC地址及目标的MAC地址。 在以太网中,一主机要和另一主机进行通信,必须要知道目标MAC地址。MAC是通过ARP地址解析协议获得的。“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
ARP协议规定每一个主机都设有一个ARP高速缓存,里面存有所在局域网上的各主机和路由器的IP地址到硬件地址的一张映射表。根据存储类型,ARP地址转换表可被分为动态和静态两种。
(二)ARP的工作流程
当主机A准备向B发送数据时,己知A明确B的IP地址IPB为192.168.1.101,MAC地址为BB-BB-BB-BB-BB-BB。通过比较IPB与子网掩码,判断A与B是否在同一网段。
1.A与B在同一个网段,A检查本机上ARP缓存区是否有B的MAC地址,如果有则直接发送信息给B,没有就以广播的形式向A所在本局域网内所有主机发送ARP请求报文,意思是本地主机大喊一声“谁的IP是192.168.1.101?请把你的MAC地址传过来!”。网络上其他主机并不响应ARP询问,只有B收到此广播帧后,向A返回ARP reply报文(含MAC地址),意思是对A说“我的IP是IPB,我的MAC地址是BB-BB-BB-BB-BB-BB,当A接收到应答后,更新本机上的ARP缓存,然后用该物理地址把数据包直接发送给B。
2.A与B不在同一网段, A若想要发送信息给B,就必须通过本地网关S1来转发,由本地网关通过路由将数据包发送到B所在网段中的网关S2,网关S2收到这个数据包发现是发送给B的,就会检查自己的ARP缓存,看是否有B的MAC地址,如果没有就使用ARP协议获得,如果有就用该MAC地址与主机B通信。
二、ARP病毒欺骗的实现
(一)ARP协议存在的安全隐患
由于ARP协议不对报文信息的真实性校验,而且没有被请求的ARP响应报文同样可以被目标主机所接受。目标主机刷新自己的缓存,把新的地址映射信息加入到ARP高速缓存中。这种缺陷使得伪造别人的IP地址或MAC地址实现ARP欺骗,进而影响系统报文通信成为一种可能。
(二)ARP病毒作用机理
ARP病毒工作时,首先在将安装有ARP机器的网卡MAC地址通过ARP欺骗广播至整个局域网,使局域网中的工作站误认为安装ARP的机器是该局域网的网关。由于局域网中的所有信息都必须通过网关来中转,当它伪装成网关时,由于物理地址错误,网络上的计算机发来的数据无法正常发送到网关,无法正常上网,造成这些计算机无法访问外网,而局域网中所有机器的数据却都可能流经它而被它窃取。
1.同一网段的ARP欺骗。
设在同一网段的三台主机:A,B,C。
假设A与B是信任关系,A欲向B发送数据包。攻击方C通过前期准备,收集信息,发现B的漏洞,使B暂时无法工作。然后C发送包含自己MAC地址的ARP应答给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP/MAC地址映射对,即B的IP地址对应C的MAC地址。这样,A就将发往B的数据包发向了C。
2.跨网段的ARP欺骗。
这种方式需要把ARP欺骗与ICMP重定向攻击结合在一起。假设A和B在同一网段,C在另一网段,其IP地址和物理(MAC)地址映射关系如表
跨网段IP/MAC地址映射关系
首先攻击方C修改IP包的生存时间,将其延长,以便做充足的广播。然后寻找B的漏洞,攻击此漏洞,使主机B暂时无法工作。此后,攻击方C发送B的IP地址和C的MAC地址的ARP应答给A。A接收到应答后,更新其ARP缓存。这样,在主机A上B的IP地址就对应C的MAC地址。但是,A在发数据包给B时,仍然会在局域网内寻找192.168.1.101的MAC地址,不会把包发给路由器,这时就需要进行ICMP重定向,告A“到192.168.1.101的最短路径不是局域网,而是路由,请主机重定向路由路径,把所有到192.168.1.101的包发给路由器”。主机A在接受到这个合理的ICMP重定向后,修改自己的路由路径,把对192.168.1.101的数据包都发给路由器。这样攻击方C就能得到来自内部网段的数据包。
基于ARP协议的这一工作特性,借助于一些黑客工具如网络剪刀手等,黑客向对方计算机不断发送有欺诈性质的ARP数据包和ARP恢复数据包,数据包内包含有与当前设备重复的MAC地址,使对方在回应时,由于简单的地址重复错误而导致不能进行正常的网络通信,这样就可以在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。
三、安全防范策略
(一)用户端计算机的防御策略
1.安装杀毒软件、防火墙。安装金山毒霸、瑞星、360安全卫士、金山ARP防火墙等杀毒软件,必须要定期升级更新病毒代码,每天定时对机器进行病毒扫描,及时更新补丁程序等。安装影子系统或其它还原系统,这样在受到ARP攻击后可以通过重启实现ARP病毒的清除。
2.网上玩游戏要注意安全。许多带有ARP病毒的木马程序往往都是隐藏在网络游戏的外挂中通过网络游戏私服进行传播的。
3.在用户端计算机上绑定交换机网关的IP和MAC地址。Windows用户可通过在命令行方式执行“arp –s 网关 IP 网关MAC 地址”命令来减轻中毒计算机对本机的影响。网关IP和网关MAC地址可在网络工作正常时通过命令行方式下的“arp -a”命令来得到。可以编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和网关的IP地址的绑定,并将这个批处理文件拖到“开始-程序-启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件。
4.安装常见的防范ARP欺骗攻击的工具软件。针对ARP欺骗攻击出现了一些可以保护客户端的网关MAC地址不被修改的工具软件,并且报警当前是哪个MAC地址在攻击网络。
5.计算机中了ARP病毒后的处理方法。一旦你的计算中了ARP病毒,各种防病毒软件或专杀工具很难完全清除,只有重装系统,并施加相关防护措施,才可以得到比较彻底的恢复。
(二)网络设备管理端的防御策略
1.在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。同时在三层交换机上实时检控用户的IP MAC对应表以及在二层交换机上限制用户端接口上最大可以上传的MAC数量。
(1)IP和MAC地址的绑定。
在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。
(2)MAC地址与交换机端口的绑定。
根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。
2.开启交换机上针对ARP的特定功能。在锐捷S21系列二层交换机上可以通过开启Anti-ARP-Spoofing功能,防止同一网段内针对用户的ARP欺骗攻击。其他厂家的设备也有类似功能,CISCO的可以使用ARP-Inspection,H3C的可以使用Anti-ARP-at2tack。
3.使用ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播。
4.对上网用户进行上网认证和地址绑定。通过在用户侧使用静态IP同时在汇聚交换机上进行IP-MAC对的绑定,同时开启帐号+密码+IP+MAC+接入交换机IP+接入交换机PORT的六元素绑定。由于用户名、密码、用户端IP、MAC和接入交换机IP、PORT都对应起来了,杜绝了同一MAC对应多个IP和用户MAC对应网关IP的ARP欺骗,因此通过地址绑定基本可以实现网络对于ARP欺骗攻击的完全性免疫。
四、结束语
本文通过分析ARP协议的工作原理,探讨了基于ARP协议漏洞的欺骗攻击的实现过程,提出了多种可行的安全防御策略,并分析了多种防御措施各自存在的局限性,对于彻底的防范ARP欺骗攻击,一般需要多种方案配合使用,特别是对用户上网进行认证"如果要从根本上解决这一问题,最好的方法将是重新设计一种安全的地址解析协议,已经在IPV6中已经考虑到了这个问题,采用了更安全的方式杜绝了来自底层的攻击。
参考文献:
[1]谢希仁.计算机网络.北京:电子工业出版社,2003,6
[2]傅伟,谢宜辰.基于ARP协议的欺骗攻击及安全防御策略.湘潭师范学院学报,2007,12
[3]邓清华,陈松乔.ARP欺骗攻击及其防范.微机发展,2004,14,8:126-128
[4]周增国.局域网络环境下ARP欺骗攻击及安全防范策略.计算机与信息技术
[5]潘锋.局域网中ARP欺骗的防范.Computer Era,2007,5
[6]黄少敏.校园网络ARP病毒攻击和对策.广东科技,2007,4
作者简介:李辉(1989-),男,辽宁盘锦人,本科在读。
【环境管理协议】推荐阅读:
环境保护押金的协议书04-07
人居环境保洁员协议书12-18
职业安全健康、环境保护协议书01-12
中国环境管理11-03
财务管理的环境包括哪些商业环境06-23
环境保护管理12-09
危险废物环境管理05-25
园区环境管理通知05-31
城市环境管理浅析10-21
环境管理方案免费02-26
