时间:2022-07-03 00:20:14
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇通信网络安全论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1网络安全协议在计算机通信技术当中的作用
1.1网络安全协议的安全性检测
目前,信息技术得到快速发展,各类网络安全协议不断应用于计算机通信中,对于信息传递和数据的传输具有重要意义。然而,在网络安全协议过程中,设计者未能全面了解和分析网络安全的需求,导致设计的网络安全协议在安全性分析中存在大量问题,直接导致一些网络安全协议刚推出便由于存在漏洞而无效。对于网络安全协议的安全性检测,通常情况下证明网络安全协议存在安全性漏洞比网络安全协议安全更加简单和方便。目前,对于网络安全协议安全性的检测主要是通过攻击手段测试来实现网络安全协议安全性风险。攻击性测试一般分为攻击网络安全协议加密算法、攻击算法和协议的加密技术以及攻击网络安全协议本身,以便发现网络安全协议存在的安全漏洞,及时对网络安全协议进行改进和优化,提升网络安全协议安全性。
1.2常见网络安全协议设计方式
在网络安全协议设计过程中,较为注重网络安全协议的复杂性设计和交织攻击抵御能力设计,在确保网络安全协议具备较高安全性的同时,保证网络安全协议具备一定的经济性。网络安全协议的复杂性主要目的是保障网络安全协议的安全,而网络安全协议的交织攻击抵抗力则是为了实现网络安全协议应用范围的扩展。在网络安全协议设计过程中,应当注重边界条件的设定,确保网络安全协议集复杂性、安全性、简单性以及经济性于一身。一方面,利用一次性随机数来替换时间戳。同步认证的形式是目前网络安全协议的设计运用较为广泛的方式,该认证形式要求各认证用户之间必须保持严格的同步时钟,在计算机网络环境良好的情况相对容易实现,然而当网络存在一定延迟时,难以实现个用户之间的同步认证。对此,在网络安全协议设计过程中可以合理运用异步认证方式,采用随机生成的验证数字或字母来取代时间戳,在实现有效由于网络条件引发的认证失败问题的同时,确保网络安全协议的安全性。另一方面,采用能够抵御常规攻击的设计方式。网络安全协议必须具备抵御常见明文攻击、混合攻击以及过期信息攻击等网络攻击的能力,防止网络击者从应答信息中获取密钥信息。同时,在设计网络安全协议过程中,也应当注重过期消息的处理机制的合理运用,避免网络攻击者利用过期信息或是对过期信息进行是该来实现攻击,提升网络安全协议的安全性。此外,在设计网络安全协议过程中,还应当确保网络安全协议实用性,保障网络安全协议能够在任何网络结构的任意协议层中使用。在网络通信中,不同网络结构的不同协议层在接受信息长度方面存在一定差异,对此,在设置网络安全协议秘钥消息时,必须确保密钥消息满足最短协议层的要求,将密码消息长度设置为一组报文的长度,在确保网络安全协议适用性的同时,提升网络安全协议的安全性。
2计算机网络安全协议在CTC中的应用
近年来,随着计算机通信技术、网络技术以及我国高速铁路的不断发展,推动了我国调度集中控系统(CentralizedTrafficControl,检测CTC系统)的不断发展,使得CTC系统广泛应用于高铁的指挥调度中。CTC系统是铁路运输指挥信息化自动化的基础和重要组成部分,采用了自动控制技术、计算机技术、网络通信技术等先进技术,同时采用智能化分散自律设计原则,是一种以列车运行调整计划控制为中心,兼顾列车与调车作业的高度自动化的调度指挥系统。同CTC系统的路由器与交换机之间装设了防火墙隔离设备,能够有效确保CTC系统中心局域网的安全。CTC系统的车站系统的局域网主干主要由两台高性能交换机或集线器构成,并在车站调度集中自律机LiRC、值班员工作站以及信号员工作站等设备上配备两个以太网口,以实现与高速网络通信。为实现车站系统与车站基层广域网之间的网络通信和高速数据传输,车站系统配备了两台路由器。车站基层广域网连接调度中心局域网通过双环、迂回的高速专用数字通道实现与各车站局域网的网络通信,其中,该数字通道的带宽超过2Mbps/s,且每个通道环的站数在8个以内,并采用每个环应交叉连接到局域网两台路由器的方式来确保其数据传输的可靠性。CTC系统在网络通信协议方面,采用TCP/IP协议,并在数据传输过程中运用CHAP身份验证技术和IPSEC安全保密技术,在有效实现数据高速传递的同时,确保的网络通信的安全。
3结语
网络安全协议在计算机通信技术的应用,能够有效确保数据信息的完整性和安全性,同时也能够有效提升计算机网络通信的安全,有利于计算机数据信息的处理。对此,应当不断完善和改进网络安全协议,提升网络安全协议的网络安全协议的安全性和可靠性。
作者:石全民 何辉 单位:兰州工业学院信息中心
〔论文摘要〕铁路运输的主题是安全问题,通常我们把铁路信号比作人的“眼睛”说明铁路信号的重要意义,并针对计算机网络在铁路信号中的重要作用,对规划建设,构筑网络的基本要点进行详细论述。
随着铁路信号技术的发展,计算机及计算机网络己得到广泛应用。很多 信号设备脱离了传统的机电技术和早期独立的一站一点的概念,以具有计算机 特性的电子产品和设备取而代之,而且具备网络连接的基本功能。如dims, 微机监测,计算机联锁,智能电源屏等设备。但是要使这些新技术设备在运输 生产中充分发挥作用,就必须将其有机地连接在一起。在数字信息时代,随着 铁路运输对计算机、计算机网络的依赖,充分认识计算机网络的重要性,尽快 加强这方面的工作就显得尤为重要。
1概述
1. 1我国铁路通信网的特点
沿铁路线分布;用户比较单一;通信资源较为丰富。
1.2铁路信号通信网络建设的基本要求
建设铁路信号通信网络客观上己具备条件,但在网络建设时,应有一个系统全面的规划安排。既要畅通高效、安全可靠,还不能造成通信资源的浪费及维修成本过大。实际上,这是一项涉及计算机、通信及信号安全于一体的综合性技术。目前,我国铁路各类专业设备组网较多,如tims系统、dims系统、票务系统、车辆红外系统、电力远动系统、医疗保险系统、电务微机监测系统及办公自动化系统等,从建设情况看,一般是建设一个项目便组建一个网络,组网一般也是以“通”为基本要求。
2铁路信号通信网络结构时,应着重考虑的因素
针对不同的传送信息及线路连接方式,在选择铁路信号通信网络结构时,应着重考虑以下几个因素。
2. 1综合考虑网络功能、运用成本及建设投入。
首先网络结构应满足系统对传输带宽、传输速率、误码率及网络安全等功能的要求,同时留有发展空间。有条件时尽可能选用光通信传输,通信传输应遵从国际通用的通信协议规则(如tcp/工p)。其次在设计阶段必须考虑网络建成后的运营成本。一般来说串型连接方式较星型连接方式运维成本低,主要原因是串型连接方式所占有的通信端口、时隙数量及长途话路相对较少。按目前通信收费标准计算,1个专用2 mb/s端口,月使用费一般为4000元至1万元,网络中连接的节点越多,其端口越多,费用也就越高。但串型连接方式所需要的接口转换设备相对较多,即初期建设投入相对高些。综合考虑,若无特殊要求时应尽可能选用串型连接方式。在铁路信号系统中,目前使用的dims和微机监测2大网络系统,其基层网点的连接均选用了串型连接方式。另外在计算机接口和通信传输设各间的转换设各,应尽可能选用具有可扩展功能的、满足通信协议的转换器、路由器等设各。
2. 2网络建设应是一个独立的系统工程,井不依附于任何一个系统
构筑一个网络不仅需要硬件,还需要软件,应根据各系统信息传输要求,对网络进行统一的规划设计,留出发展空间,确定网络的容量、速率、误码率等技术条件及相应的网络设备。各系统信息传输必须满足网络通道的要求,实现一网多用途、一网多平台,充分发挥网络功能。建设一个网络通道是非常不容易的,其工程投资较尤建设时间较长,参加施工单位较多,协调工作难度较大。而且网络一旦建成,要想改动是比较困难的。故此网络建设应谨小慎微,切忌各自为政。当然一个完整的网络必然有其网管系统,便于实现自身的管理维护。
2. 3实现特定范围内信息共享,应成为组网时的基本思路
即在同一个网络通道中传输多个不同系统的数据,并在一个或多个计算机设备上接收处理,其最大优点是可节省工程投资及运维成本。就目前信号设备技术发展而言,微机监测、dmis、计算机联锁、智能电源屏、以及正在开发的智能型控制台、半自动光传输设备及机车信号黑匣子等具有计算机特性的设备和器材,都可以共用同一网络,使我们可直接了解掌握设备的运用情况,开展维修管理工作。
2. 4加强网络管理,建设具有较强网络安全性能的防护休系
在网络建设时必须考虑网络安全,这关系到传输数据的安全性。在网络安全上可考虑采用以下几种方式:①建成封闭型的信号通信网络。铁路信号通信网络有别于互联网、办公网等公共网,其专用性较强,涉及行车安全,故对网络传输的安全、准确、稳定及实时性等方面要求较高,不应同外界有任何联系,防止网络病毒侵袭。②对安全级要求较高的设备采取增设隔离设备的方式,即专用通信方式。网络中传输的信号信息大致可分为3类,即管理信息、监测信息和诊断信息,其中第3类信息由于直接来自行车控制设备,因此对安全级要求较高,组网时可考虑采用增设隔离设备等措施,即利用通信前置机与网络连接,遵从公网通信协议;采取专业通信方式和专用通信协议与行车控制设备连接以确保安全。对于其他类信息,组网时可采取分级、分层设置防火墙,确保网络安全。
3铁路信号通信网络结构的选择及运用
关键词:电力 无线网络 漏洞 自动化 解决方案
中图分类号:TN915 文献标识码:A 文章编号:1672-3791(2014)10(c)-0084-02
1 研究背景
近年来,全球的数据网络正以令人惊奇的速度发展,为信息的交流和经济的发展提供了高效的工具和便利的平台。随着电力建设的飞速发展,电力自动化数据网络也迅速扩大,正在向全面覆盖所有的电力企业迈进,电力系统数字化已是大势所趋。电力调度自动化系统、配电自动化系统、电量计费系统、电力市场技术支持系统及交易系统、电力客户服务中心系统、变电站自动化系统、发电厂监控系统、MIS 系统等,无一不是以高速的数据传输与交换为基本手段而建设的。电力自动化数据通信网络利用因特网、无线网等的工具和平台,在提高数据传输效率、减少开发维护工作量的同时,也带来了新的问题,这就是内部机密信息在网络上的泄密、以及被攻击破坏等。
随着计算机运算性能的提高,通信技术的不断发展,电力通信协议也在不断的改进,以适应通信数据类别、流量和实时性的要求。IEC60870规约系列规定了电力远动、继电保护数据、电能计费等多个方面的通信协议,甚至出现了104网络通信规约,以适应网络RTU在电力系统中的应用。各项信息安全技术也开始得到广泛的应用,但是仍然是以以下观点为基础开展的,电力数据网络的信息安全研究应该有所突破:
(1)电力通信网络的两个隔离。物理隔离作为国家的明文规定是建立在网络条件不如人意,网络威胁依然严重的情况下的,需要看到电力信息系统的开放性将是主流方向,基础研究应该突破这个框架开展一些前瞻性的工作。(2)重点防护监控系统,对通信数据网络的信息安全重视不足。虽然通信网络的安全威胁相比而言较小,但是由于电力通信对实时性和可靠性的要求,使得通信数据网络与电力监控系统的信息安全同等重要。(3)认为电力自动化通信没有安全问题,或者认为还不值得深入研究,电力信息使得任何安全研究都不能不重视其实时性的要求,因此自动化通信的信息安全研究开展不多,还需要进行大量的研究。
2 电力系统无线通信对于信息安全的需求
电力自动化管理系统无线网络中传输的数据非常混杂,从加密的技术角度来区分,可分为实时数据和非实时数据两类。
2.1 实时数据的数据特点
无线网络中传输的实时数据,其通信规约对时间的要求很严格,不允许较大的传输延迟;另一方面,实时数据的数据量相对较小,且数据流量比较稳定。主要包括:
(1)下行数据。包括遥控、遥调和保护装置及其他自动装置的整定值信息等。这类数据与设备状态相关,直接影响到电网的安全运行。安全要求和实时要求都很高。(2)上行数据。包括遥信、重要遥测、事件顺序记录(SOE)信息等。这类数据是电网稳定运行的判据,也是调度决策的依据,实时性要求很高。管理数据。如负荷管理、停电计划等管理信息系统(MIS)的重要管理数据。这类数据对保密性有一定要求。实时数据其数据流量稳定且时效性快,但是要求实时性高、可靠性高,其保密性和数据完整性的要求也高,因此对实时数据加密必须慎之又慎。
2.2 非实时数据的数据特点
无线网络中传输的非实时数据,其数据量一般较大,但时效性不高,可以允许一定的传输延迟。它主要包括电力设备的维护日志、电力用户的电能质量信息等。非实时数据实时性要求不高,但是对数据完整性和保密性有一定的要求,在数据加密中要注意选择合适的算法。
3 电力自动化系统的安全漏洞及解决方案
电力自动化应用系统,不论是电力负荷管理系统、电能量管理系统或是其它的应用系统,它的网络结构框图都可以归纳成图1所示。
3.1 中心站的安全隐患及解决方法
应用系统都有一个中心站,它包括前置机、服务器等硬件设备及配套的管理软件,它负责接收各个子站上传的数据并通过管理软件对数据进行分析、归纳和管理;另一方面,它也维护各个子站正常运行,并以下发命令的方式对子站进行操作管理;而且中心站还是本应用系统与其它的电力自动化应用系统进行数据共享和管理的一个数据接口。一般来说,中心站和子站之间以及中心站和其它应用系统之间的数据传输都是通过有线传输(如光纤)进行的。
中心站既是内部通信子站数据集中的一个节点,也是应用系统与外部进行数据收发的一个接口。只要攻击者侵入了该节点,整个系统的数据就相当于暴露在了入侵者的面前。而且一旦中心站出现了故障,即使其它的通信子站均运行正常,整个系统也无法正常工作了。正由于它的重要性和脆弱性,因此对于中心站就更是要进行重点防护。防火墙就是一种有效的网络安全保护措施,它可以按照用户事先规定好的方案控制信息的流入和流出,监督和控制使用者的操作。防火墙大量的应用于企业中,它可以作为不同网络或网络安全域之间的信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它能有效地监控内部网和 Internet之间的任何活动,保证内部网络的安全。
防火墙的目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet 等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。可见,防火墙处于可信网络和不可信网络边界的位置,是可信网络和不可信网络数据交换的“门户”,用来防止未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略,其性能、可用性、可靠性、安全性等指标在很大程度上决定了网络的传输效率和传输安全。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,从总体上来看,防火墙的基本功能有两个:一是隔离,使内部网络不与外部网络进行物理直接连接;二是访问控制,是进出内部网络的数据包按照安全策略有选择地转发。围绕这两个基本功能,大量与安全有关的网络技术和安全技术被综合进防火墙设备中,使防火墙地功能不断扩展,性能不断提高。概括地说,功能较完善的防火墙采用了以下安全技术:
3.1.1 多级的过滤控制技术
一般采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
3.1.2 网络地址转换技术(NAT)
利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的拓扑信息,同时允许内部网络使用自己编的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
3.1.3 用户鉴别与加密
为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。
3.1.4 审计和告警
对网络事件进行审计,如果发现入侵行为将以发出邮件、声响等多种方式报警。为了加强自动化应用系统的安全水平,需要在系统与其它网络的接口之间设置一套防火墙设备。这样既能防止外来的访问者攻击系统,窃取或者篡改系统数据;同时也能防止内部数据未经允许流向外部网络。如图1所示,在公网通信中,除了自动化系统与其它应用系统的接口外,子站采集自终端的数据要发送到中心站,也要通过 Internet网络进行传输,这就给攻击者提供了一个侵入的端口。因此要在这两处均安装防火墙设备,来保证系统的安全运行。在专网通信中,由于整个通信网络是一个相对独立的网络,因此中心站了通信子站之间就不必加装防火墙了。
3.2 无线终端的安全防护手段
无论是哪种无线网络,都有若干数量的无线终端,它们是通信系统的最基本的组成结构,通过通信子站与中心站进行通信。因为无线终端的数据众多,也使它们往往成为系统安全漏洞所在。对于应用系统而言,保护系统信息安全与保护系统业务正常是同等重要的。保护系统信息安全首先必须保证信息访问的安全性,要让不该看到信息的人不能看到,不该操作信息的人不能操作。这方面,一是要依靠身份认证技术来给信息的访问加上一把锁,二是要通过适当的访问控制模型显式地准许或限制访问能力及范围。这就引出了两种信息安全技术:身份认证技术及访问控制技术。通过这两种技术手段,就能有效的解决以上的两个安全问题。对于自动化应用系统来说,系统内的终端用户只是采集电力用户数据并上传给服务器,并不存在越权访问系统信息的问题。因此采用身份认证技术就足以解决无线终端的信息保护问题了。
身份认证是指被认证对象向系统出示自己身份证明的过程,通常是获得系统服务所必须的第一道关卡。身份认证需要证实的是实体本身,而不是象消息认证那样证实其合法性、完整性。身份认证的过程一般会涉及到两方面的内容识别和验证。识别,就是要对系统中的每个合法注册的用户具有识别能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。验证是指访问者声明自己的身份后,系统还必须对它声称的身份进行验证。标识符可以是非秘密的,而验证信息必须是秘密的。
身份认证系统有两方认证和三方认证两种形式两方认证系统由被认证对象和认证方组成,被认证对象出示证件,提出操作要求,认证方检验被认证对象所提供证件的合法性和有效性三方认证系统除了被认证对象和认证方外,还有一个仲裁者,由双方都信任的人充当仲裁和调节。建立一个身份认证系统的应满足的是:1)可识别率最大化:认证方正确识别合法被认证对象身份的概率最大化;2)可欺骗率最小化:攻击者伪装被认证对象欺骗认证方的成功率最小化;3)不可传递性:认证方不可以用被认证对象提供的信息来伪装被认证对象;4)计算有效性:实现身份认证所需的计算量要小;5)安全存储:实现身份认证所需的参数能够安全的存储;6)第三方可信赖性:在三方认证的系统中,第三方必须是双方都信任的人或组织或可信安全性身份认证系统所使用的算法的安全性是可证明和可信任的。
电力自动化系统内部使用身份认证技术,在每一个无线终端的实体上增加了一道安全防护,如图2 所示。在进行数据传输之前,验证对方是否是系统内的合法用户。可以防止入侵者伪装成内部用户,获取系统数据。
3.3 保护系统信息安全的常用方案-算法加密
除了以上的信息安全技术之外,算法加密技术是一种被普遍应用的安全技术。它在发送方将要发送的数据根据一定的算法进行加密,变成不可识别的密文;而在接收方通过对应的解密算法再将密文转化为明文。从而保证数据在传输过程中的保密性。
4 结论
该文研究了电力自动化无线通信系统中的信息安全问题。随着电力自动化无线通信技术的快速发展,对网络信息安全的要求也不断提高。无线通信技术有着其自身的特点,要求的安全解决方案也与其他不同。需要既保证无线信道的带宽,又要有效地提高系统的安全防护强度。
参考文献
[1] 孙毅,唐良瑞,杜丹.配电自动化中的通信网解决方案[J].燕山大学学报,2004,5(28):423-426.
[2] 宋磊,罗其亮,罗毅,等.电力系统实时数据通信加密方案[J].电力系统自动化,2004,28(14):76-81.
关键词:移动通信;语音加密;RPE-LTP
1 引言
手机保密通信是在确保可靠通话质量的前提下,为移动通信网络中的用户提供端到端的信息加密。文献[1-2]提出了一种采用手机软件加密技术实现的方案,该技术无需硬件投入,但若该系统被入侵,其安全性将无法保证;文献[3-4]提出了采用VPN技术解决移动通信保密问题,实现难度大;本文针对以上问题,提出一种外置式语音加解密系统,在保证语音质量的前提下,采用抗RPE-LTP压缩编码的加解密算法[5],在保证语音质量的前提下,实现较高强度的加密功能。
2 移动终端语音加密系统设计
整个语音加密通信主要由密钥协商模块、语音加密模块和同步算法模块三部分组成。加密时,语音信号经过密钥协商模块,生成语音加密密钥;接着经过语音加密模块,对语音信号按照特定方式进行加密处理;最后经过同步算法模块,将加密后的语音信号加上同步信息后输出。其中,语音加密模块结合了语音信号处理和分组密码加密运算的特点,对移动通信系统的语音压缩编码具有很高的恢复性。解密系统为加密系统的逆过程。总体架构如图1所示:
系统工作流程如下,双方经过密钥协商后,建立加解密通道:(1)加密过程:输入端的语音信号进入麦克风后经过数字模拟转换模块转换,再通过语音加密模块加密,并经过同步模块置入同步信息,进入通信信道传输;通过模拟数字模块转换后输入手机,在经手机的声码器压缩后射频输出。(2)解密过程:由声码器解压后的加密语音信号,通过耳机插口输出到数字模拟转换模块,经过回声抑制进入同步检测模块,判断同步信息后送到解密模块,最后由数字模拟转换模块转换并输出原始语音信号给耳机。
3 抗RPE-LTP压缩编码的语音加解密算法
算法根据PRE-LTP压缩编码的原理,利用其主要特性,对通信网络中传输的语音信号进行编码压缩,转变成较难破解的加密声音信息,完成语音加密过程;我们必须保证接收方在收到加密信息时,能够根据RPE-LTP编码原理,通过解码器正确解密,还原为最初的语音信号从而完成整个语音加解密过程,达到语音安全通信的设计要求。
3.1 算法设计思路
主要设计思路如下:(1)首先需要将输入语音信号进行分解切片,分解切片这一操作必须满足RPE-LTP的编解码要求,分解切片的结果是将语音信号转变为单位帧;(2)其次构建符合要求的加密矩阵对切片单位帧依次进行FDMA频分乱序和TDMA时分乱序;(3)最后将乱序后的语音信号重新拼合成语音信号实现加密操作,合成的加密语音信号通过RPE-LTP编码后经过手机发射给相应基站进行传输,接收端在接到加密信号后,通过加解密装置进行逆向解密。
完整的加密操作包括了语音切片分解操作、FDMA频分乱序操作、TDMA时分乱序操作和加密语音合成操作四部分。如图2所示:
与此相对应,解密操作主要由加密语音切片分解、TDMA时分正序解密、FDMA频分正序解密和原始语音合成四部分组成。解密过程是加密过程的逆操作,其中每一个模块的功能都与加密模块相对应。下面介绍本设计中FDMA频分乱序和TDMA时分乱序的算法与参数设计。
3.2 FDMA频分乱序
在进行TDMA时分乱序前先进行FDMA频分乱序,这将极大的提高加密强度,增加破解难度。具体的设计如下:首先对输入语音信号进行N点快速傅立叶变换(FFT),得到一个频谱序列,并找出这个序列中语音频率在300~3400Hz内的符合人声频率的M个点,形成一个M行矩阵X,接着对X进行乱序操作,等同于X乘以一个M行M列的置乱矩阵P,将置乱后的序列为Px,并对Px求快速傅立叶逆变换(IFFT)。
令M为原始语音明文信息,k1、r为算法密钥,那么加密矩阵记为Pk1、r,解密矩阵记为Qk1、r,密文C可表示为:
C=Pk1、r(M)(1) (1)
M=P(C)=Qk1、r(C) (2)
置乱矩阵P必须符合一定的要求:(1)能够确保乱序后的序列进行IFFT后得到实序列;(2)只针对人声频率(300~3400Hz)范围内的语音点进行乱序;(3)乱序后得到的语音的可懂度要尽可能的低。
根据以上的要求,得到的P矩阵有很多,我们选取形式较简单的一组,以方便后续的加解密运算,其形式如下:
(3)
公式(3)中M表示符合人声频率300~3400Hz范围内的人声点数,其数量为N*(3400-300)/fs=3100N/fs。(N表示样本长度,fs表示采样频率),称为有效FFT点数。k1和r都是密钥,k1为小于M并与M互质的自然数,r为小于M的自然数。
我们将满足条件的k1的个数记为K',那么算法的加密强度可以表示为M*K'。
3.3 TDMA时分乱序
令M为原始语音明文信息,k2为算法密钥,那么加密矩阵记为为Pk2',解密矩阵记为Qk2'为密文记为C,则:
如果分组长度记为T,则TDMA时分乱序的加密强度应为T!。本算法的整体加密强度可以记为M*K'*T!。
3.4 参数的择优选择
经过一系列的测试,我们发现对加密结果有较大影响的参数是:语音分解切片尺寸和数据分组长度。
实验中发现在语音以20ms进行切片分解时,语音加密解密具有较好的操作性,语音还原的可懂度满足人类声音的识别要求,语音加解密速度较快,解密准确度较高。同时单位帧长度控制在20ms左右能够很好的保持语音信号自身的特性,所以在此算法中,我们将语音切片分解的长度定为20ms。
从公式中可以看到,加密强度与分组长度T有密切的关系,T越大加密强度就会越大,但是随之带来的问题是整个加密解密过程会变得漫长,考虑到语音传输对时效的要求较高,通过仿真测试,决定T取值在20左右可以在兼顾加密强度与语音时效中达到平衡。
结束语
本文针对移动终端语音加密通信中的关键技术展开研究,提出一种抗RPE-LTP压缩编码的语音加解密算法。该设计方案不需要改变现有手机硬件设计、网路基站设备和通信网络核心架构,具有声音实效性高,延迟小,语音加密强度大,解密速度快,可懂度高,可信度好等优点。
参考文献
[1]王经星,孔维祥,高一,任其然.面向移动通信网络的语音安全传输系统[J].信息网络安全,2013.
[2]王育民,刘建伟编著.通信网的安全-理论与技术[M].西安电子科技大学出版社.1999
[3]侯雪梅.一种SVM多类分类算法用于抗噪语音识别[J].西安邮电学院学报,2009.
1.集群通信网络的概念
集群通信系统是共享资源、分担费用、向用户提供优良服务的多用途、高效能而又廉价的先进无线调度指挥系统。对于指挥调度功能要求较高的企、事业、工矿、油田、农场、公安、武警以及军队等部门都十分适用,集群通信采用单工或半双工方式,要求接续时间小于500毫秒,具有调度级别控制等。同时对于集群通信还提出了传输集群、准传输集群和信息集群的定义。
随着集群通信的发展和用户的需求,集群通信也从原来的模拟集群向数字集群过渡。但这种过度并不是简单的将原来的模拟话音转换为数字话音和提供数据传输功能就可以称为数字集群了。其实,综观国际上提出的数字集群来看,数字集群的标准都是围绕着用户的需求而发展起来和提出的。
2.数字集群移动通信网络的运行
数字集群通信是继手机、小灵通之后的第三大战场,正在成为电信领域开发的新重点,运营商、设备商正在展开一场新的角逐。在设计中针对了专业无线用户的需求,特别适合在政府和商业领域的专网使用。
2.1数字集群通信的标准
TETRA(陆地集群无线电)系统在指挥调度方面应用的比较多,可完成话音、电路数据、短数据消息、分组数据业务的通信及以上业务的直通模式,并可支持多种附加业务。在大区制条件下最大覆盖半径56公里。TETRA扩容可以逐步增加模块化,适用于小、中、大型调度系统;设计组网灵活,既适应于专用调度网,也适应于共用调度网。TETRA话音编码方式采用代数结构码本激励线性预测编码,具有良好的话音质量,即使在强背景噪声干扰下也可听清,话音质量并不像调频系统那样随场强减弱而降低。大量实验证明,TETRA系统的话音质量比GSM系统好。因此,大量应用于应急、调度、指挥等专网应用系统。
iDEN(集成数字增强型网络)系统是基于TDMA多址方式的调度通信/蜂窝双工电话组合系统。它在传统大区制调度通信基础上,大量吸收数字蜂窝通信系统的优点,如采用双模手机方式,增强了电话互联功能;采用小区复用蜂窝结构,提高了网络覆盖能力。选用这种编码是先进的,但技术公开性不好,价格较贵。但通话质量和保密性都较好。
2.2数字集群系统设备安全
设备是网络的基础,设备的安全是保障网络安全的基础,只有保证网络的物理可靠性,才能保证网络功能、信息的安全性,因此基础设备的可靠性至关重要。
对于交换机,硬件上应实现关键部件的热备份。软件上,关键的用户数据、配置数据应当及时、定期进行备份。对于基站系统要考虑其抗外界干扰的能力,如射频干扰、雷击、抗震性能等。基站系统的备用电源应根据基站覆盖区的重要程度适当配备,以应变突发事件。系统主备用倒换能力是系统可靠性的一个重要指标,如倒换时间、倒换过程对正在进行的业务的影响等。完善的监控告警机制可大大提高网络的可靠性,如系统部件可自我诊断和修复、系统可隔离故障模块、及时产生告警信息。此外,调度台、终端存储了用户的重要信息,这些设备由用户控制,应由专人维护,以保证相关用户信息不被外界窃取。
数字集群通信系统是一种特殊的专用通信系统,在应对突发事件时,对社会稳定和人民生命财产的安全起着及其重要的作用,因此数字集群通信系统的安全要求要大大高于公众移动通信系统,所以数字集群通信系统运营者必须从各方面考虑如何增强系统的抗灾变能力,如何使系统更安全可靠的传递信息。只有全面的重视数字集群通信系统的安全问题,才能使数字集群系统发挥其应有的作用。
3.未来数字集群通信技术发展方向
3.1高安全性
数字集群在基站与手机之间,信息完全依靠无线电波的传输,很容易被人们从空中拦截,在通话状态、待机状态都会泄密,即使关闭电台,利用现代高科技,仍可遥控打开,继续窃听,从中截取、破坏、调换、假冒和盗用通信信息。
3.2高抗毁性
专业移动通信在使用过程可能遇到恶意破坏的人为因素或雨雪灾害的自然因素等影响,导致网络不能正常工作,因此,未来PPDT系统要求可靠、准确地提供业务,具有高的抗毁性和可用性。通常情况下,系统以集群方式工作;在遭遇危害的极端情况下,系统以故障弱化方式或直通方式工作,保证系统能满足基本的集群业务需求。
3.3高环境适应性
专业移动通信由于它是用于全球的表层和空间,会遇到各种恶劣的气候、地形和环境;因此,要求通信装备必须能抗拒酷暑、严寒、狂风、暴雨等恶劣气候条件;必须适应山岳、丛林、沙漠、河海、高空等三维空间的不同地形环境条件;既可车载船装,又能背负手持,要经得起各种移动体的安装机械条件;在嘈杂的噪声环境,要具有背景噪声滤除功能,使通话对方听不见噪声干扰,话音清晰;在高速行驶时,通信不能中断,质量不能下降,可支持500km/h的高速运行。
论文摘要:21世纪移动通信技术和市场飞速发展,在新技术和市场需求的共同作用下,未来移动通信技术将呈现以下几大趋势:网络业务数据化、分组化,移动互联网逐步形成;网络技术数字化、宽带化;网络设备智能化、小型化;应用于更高的频段,有效利用频率;移动网络的综合化、全球化、个人化;各种网络的融合;高速率、高质量、低费用。这正是第四代(4G)移动通信技术发展的方向和目标。
一、引言
移动通信是指移动用户之间,或移动用户与固定用户之间的通信。随着电子技术的发展,特别是半导体、集
成电路和计算机技术的发展,移动通信得到了迅速的发展。随着其应用领域的扩大和对性能要求的提高,促使移动通信在技术上和理论上向更高水平发展。20世纪80年代以来,移动通信已成为现代通信网中不可缺少并发展最快的通信方式之一。
回顾移动通信的发展历程,移动通信的发展大致经历了几个发展阶段:第一代移动通信技术主要指蜂窝式模拟移动通信,技术特征是蜂窝网络结构克服了大区制容量低、活动范围受限的问题。第二代移动通信是蜂窝数字移动通信,使蜂窝系统具有数字传输所能提供的综合业务等种种优点。第三代移动通信的主要特征是除了能提供第二代移动通信系统所拥有的各种优点,克服了其缺点外,还能够提供宽带多媒体业务,能提供高质量的视频宽带多媒体综合业务,并能实现全球漫游。现在用的大多是第二代技术,第三代技术还不太成功,但已有了第四代技术的设想。第四代移动通信系统(4G)标准比第三代具有更多的功能。
二、4G移动通信简介
第四代移动通信技术的概念可称为宽带接入和分布网络,具有非对称的超过2Mbit/s的数据传输能力。它包括宽带无线固定接入、宽带无线局域网、移动宽带系统和交互式广播网络。第四代移动通信标准比第三代标准拥有更多的功能。第四代移动通信可以在不同的固定、无线平台和跨越不同的频带的网络中提供无线服务,可以在任何地方用宽带接入互联网(包括卫星通信和平流层通信),能够提供定位定时、数据采集、远程控制等综合功能。此外,第四代移动通信系统是集成多功能的宽带移动通信系统,是宽带接入IP系统。目前正在开发和研制中的4G通信将具有以下特征:
(一)通信速度更快
由于人们研究4G通信的最初目的就是提高蜂窝电话和其他移动装置无线访问Internet的速率,因此4G通信的特征莫过于它具有更快的无线通信速度。专家预估,第四代移动通信系统的速度可达到10-20Mbit/s,最高可以达到100Mbit/s。
(二)网络频谱更宽
要想使4G通信达到100Mbit/s的传输速度,通信运营商必须在3G通信网络的基础上对其进行大幅度的改造,以便使4G网络在通信带宽上比3G网络的带宽高出许多。据研究,每个4G信道将占有100MHz的频谱,相当于W-CDMA3G网络的20倍。
(三)多种业务的完整融合
个人通信、信息系统、广播、娱乐等业务无缝连接为一个整体,满足用户的各种需求。4G应能集成不同模式的无线通信——从无线局域网和蓝牙等室内网络、蜂窝信号、广播电视到卫星通信,移动用户可以自由地从一个标准漫游到另一个标准。各种业务应用、各种系统平台间的互联更便捷、安全,面向不同用户要求,更富有个性化。而且4G手机从外观和式样上看将有更惊人的突破,可以想象的是,眼镜、手表、化妆盒、旅游鞋都有可能成为4G终端。
(四)智能性能更高
第四代移动通信的智能性更高,不仅表现在4G通信的终端设备的设计和操作具有智能化,更重要的是4G手机可以实现许多难以想象的功能。例如,4G手机将能根据环境、时间以及其他因素来适时提醒手机的主人。
(五)兼容性能更平滑
要使4G通信尽快地被人们接受,还应该考虑到让更多的用户在投资最少的情况下轻易地过渡到4G通信。因此,从这个角度来看,4G通信系统应当具备全球漫游、接口开放、能跟多种网络互联、终端多样化以及能从2G、3G平稳过渡等特点。
(六)实现更高质量的多媒体通信
4G通信提供的无线多媒体通信服务将包括语音、数据、影像等,大量信息透过宽频的信道传送出去,为此4G也称为“多媒体移动通信”。
(七)通信费用更加便宜
由于4G通信不仅解决了与3G的兼容性问题,让更多的现有通信用户能轻易地升级到4G通信,而且4G通信引入了许多尖端通信技术,因此,相对其他技术来说,4G通信部署起来就容易、迅速得多。同时在建设4G通信网络系统时,通信运营商们将考虑直接在3G通信网络的基础设施之上,采用逐步引入的方法,这样就能够有效地降低运营成本。
三、4G移动通信的接入系统
4G移动通信接入系统的显著特点是,智能化多模式终端(multi-modeterminal)基于公共平台,通过各种接技术,在各种网络系统(平台)之间实现无缝连接和协作。在4G移动通信中,各种专门的接入系统都基于一个公共平台,相互协作,以最优化的方式工作,来满足不同用户的通信需求。当多模式终端接入系统时,网络会自适应分配频带、给出最优化路由,以达到最佳通信效果。目前,4G移动通信的主要接入技术有:无线蜂窝移动通信系统(例如2G、3G);无绳系统(如DECT);短距离连接系统(如蓝牙);WLAN系统;固定无线接入系统;卫星系统;平流层通信(STS);广播电视接入系统(如DAB、DVB-T、CATV)。随着技术发展和市场需求变化,新的接入技术将不断出现。
不同类型的接入技术针对不同业务而设计,因此,我们根据接入技术的适用领域、移动小区半径和工作环境,对接入技术进行分层。
分配层:主要由平流层通信、卫星通信和广播电视通信组成,服务范围覆盖面积大。
蜂窝层:主要由2G、3G通信系统组成,服务范围覆盖面积较大。
热点小区层:主要由WLAN网络组成,服务范围集中在校园、社区、会议中心等,移动通信能力很有限。
个人网络层:主要应用于家庭、办公室等场所,服务范围覆盖面积很小。移动通信能力有限,但可通过网络接入系统连接其他网络层。
固定网络层:主要指双绞线、同轴电缆、光纤组成的固定通信系统。
网络接入系统在整个移动网络中处于十分重要的位置。未来的接入系统将主要在以下三个方面进行技术革新和突破:为最大限度开发利用有限的频率资源,在接入系统的物理层,优化调制、信道编码和信号传输技术,提高信号处理算法、信号检测和数据压缩技术,并在频谱共享和新型天线方面做进一步研究。为提高网络性能,在接入系统的高层协议方面,研究网络自我优化和自动重构技术,动态频谱分配和资源分配技术,网络管理和不同接入系统间协作。提高和扩展IP技术在移动网络中的应用;加强软件无线电技术;优化无线电传输技术,如支持实时和非实时业务、无缝连接和网络安全。
四、4G移动通信系统中的关键技术
(一)定位技术
定位是指移动终端位置的测量方法和计算方法。它主要分为基于移动终端定位、基于移动网络定位或者混合定位三种方式。在4G移动通信系统中,移动终端可能在不同系统(平台)间进行移动通信。因此,对移动终端的定位和跟踪,是实现移动终端在不同系统(平台)间无缝连接和系统中高速率和高质量的移动通信的前提和保障。
(二)切换技术
切换技术适用于移动终端在不同移动小区之间、不同频率之间通信或者信号降低信道选择等情况。切换技术是未来移动终端在众多通信系统、移动小区之间建立可靠移动通信的基础和重要技术。它主要有软切换和硬切换。在4G通信系统中,切换技术的适用范围更为广泛,并朝着软切换和硬切换相结合的方向发展。
(三)软件无线电技术
在4G移动通信系统中,软件将会变得非常繁杂。为此,专家们提议引入软件无线电技术,将其作为从第二代移动通信通向第三代和第四代移动通信的桥梁。软件无线电技术能够将模拟信号的数字化过程尽可能地接近天线,即将A/D和D/A转换器尽可能地靠近RF前端,利用DSP进行信道分离、调制解调和信道编译码等工作。它旨在建立一个无线电通信平台,在平台上运行各种软件系统,以实现多通路、多层次和多模式的无线通信。因此,应用软件无线电技术,一个移动终端,就可以实现在不同系统和平台之间,畅通无阻的使用。目前比较成熟的软件无线电技术有参数控制软件无线电系统。
(四)智能天线技术
智能天线具有抑制信号干扰、自动跟踪以及数字波束调节等智能功能,能满足数据中心、移动IP网络的性能要求。智能天线成形波束能在空间域内抑制交互干扰,增强特殊范围内想要的信号,这种技术既能改善信号质量又能增加传输容量。
(五)交互干扰抑制和多用户识别
待开发的交互干扰抑制和多用户识别技术应成为4G的组成部分,它们以交互干扰抑制的方式引入到基站和移动电话系统,消除不必要的邻近和共信道用户的交互干扰,确保接收机的高质量接收信号。这种组合将满足更大用户容量的需求,还能增加覆盖范围。交互干扰抑制和多用户识别两种技术的组合将大大减少网络基础设施的部署,确保业务质量的改善。
(六)新的调制和信号传输技术
在高频段进行高速移动通信,将面临严重的选频衰落(frequency-selectivefading)。为提高信号性能,研究和发展智能调制和解调技术,来有效抑制这种衰落。例如正交频分复用技术(OFDM)、自适应均衡器等。另一方面,采用TPC、Rake扩频接收、跳频、FEC(如AQR和Turbo编码)等技术,来获取更好的信号能量噪声比。
五、OFDM技术在4G中的应用
若以技术层面来看,第三代移动通信系统主要是以CDMA为核心技术,第四代移动通信系统技术则以正交频分复用(OrthogonalFreqencyDivisionMultiplexer,OFDM)最受瞩目,特别是有不少专家学者针对OFDM技术在移动通信技术上的应用,提出相关的理论基础。例如无线区域环路(WLL)、数字音讯广播(DAB)等,都将在未来采用OFDM技术,而第四代移动通信系统则计划以OFDM为核心技术,提供增值服务。
在时代交替之际,旧有系统之整合与升级是产业关心的话题,目前大家谈的是GSM如何升级到第三代移动通信系统;而未来则是CDMA如何与OFDM技术相结合。可以预计,CDMA绝对不会在第四代移动通信系统中消失,而是成为其应用技术的一部份,或许未来也会有新的整合技术如OFDM/CDMA产生,前文所提到的数字音讯广播,其实它真正运用的技术是OFDM/FDMA的整合技术,同样是利用两种技术的结合。因此未来以OFDM为核心技术的第四代移动通信系统,也将会结合两项技术的优点,一部份将是以CDMA的延伸技术。
六、结束语
对于现在的人来说,未来的4G通信的确显得很神秘,不少人都认为第四代无线通信网络系统是人类有史以来最复杂的技术系统。总的来说,要顺利、全面地实施4G通信,还将可能遇到一些困难。
首先,人们对未来的4G通信的需求是它的通信传输速度将会得到极大提升,从理论上说最高可达到100Mbit/s,但手机的速度将受到通信系统容量的限制。据有关行家分析,4G手机将很难达到其理论速度。
其次,4G的发展还将面临极大的市场压力。有专家预测,在10年以后,2G的多媒体服务将进入第三个发展阶段,此时覆盖全球的3G网络已经基本建成,全球25%以上的人口使用3G,到那时,整个行业正在消化吸收第三代技术,对于4G技术的接受还需要一个逐步过渡的过程。
因此,在建设4G通信网络系统时,通信运营商们将考虑直接在3G通信网络的基础设施之上,采用逐步引入的方法,使移动通信从3G逐步向4G过渡。
参考文献:
1、谢显忠等.基于TDD的第四代移动通信技术[M].电子工业出版社,2005.
关键词:分层体系 移动核心网 设计
1. 前言
信息通信网络发展到今天,已形成固定电话网、移动通信网、有线电视网、Internet网等多个相对独立的网络,这些网络由特定的网络资源组成,承载和疏通特定的业务。这种“一种业务,一种网络”的网络格局已逐渐暴露其固有的弊端:多种复杂的协议、复杂的网络共存;网络管理和维护成本很高;不利于网络资源尤其是传输资源的共享不便于跨网络多功能综合业务的提供。目前,在2G移动通信网络中逐步引入分层体系结构的软交换设备组网,可提高传输效率与组网的灵活性,减少设备占地面积,降低运营成本,以实现移动网络向3G网络的平滑演进。
2. 交换网络建设总体原则
结合对某运营商交换网络现状分析的结果,本着“从市场出发,以服务、效益为目标”的前提,遵循以下建设原则。
1. 构建合理网络结构,提升网络安全能力:原则不再对TDM端局进行扩容和新建。从满足业务需求、节省投资和利于网络演进的角度出发,考虑引入软交换设备,传统交换局替换为软交换,提升软交换比重;考虑重要网络容灾,提升网络安全水平。
2. 充分根据MSC, VLR等网络的实际负荷,利用历史发展数据和相关资料合理预测市场话务需求,准确分析网络性能需求,解决现网急迫问题。
3. 对于新建端局,采用软交换设备。要求软交换设备采用和R4软交换同一平台及架构的设备,能够通过简单软件升级和增加硬件板卡支持IP化和R4。并能够平滑升级支持3G。
4. 对于新建软交换设备,须支持2G/3G互操作。
5. MSC Server的设置原则:为“大容量、少局所;集中放置、区域管理”,原则上集中设置在省会城市,对于业务量较大的中心城市,也可考虑设置,全网MSC Server的设置要统一规划。 对于非省会城市设置的MSC Server,如果同时负责管理本省内其它本地网的MGW该城市必须处在二干传输中心节点的位置,并且要确保其具备相应的维护技术力量。
6. MGW的设置原则:MGW设置在有业务需求的各个本地网,尽量放置在传输节点上,尽量考虑与BSC同局所,节省A接口传输资源。初期,MGW单系统承载的最忙时话务量建议不超过8000ERL,中后期,可以适当考虑上调。MGW要求能同时支持TDM端口和IP端口,并支持IP入+TDM出、TDM入+TDM出、TDM入+IP出,采用IP承载时能够支持IP入+IP出。
7. 网络结构应尽量简单、清晰,便于实施。网络结构应具有较大的灵活性,便于以后网络的发展。 3. 交换网络建设方案设计
针对现网交换核心存在系统负荷高的问题,根据网络性能需求分析,考虑到网络演进,通过引进软交换设备,设计规划软交换网络架构。采用传统交换机与软交换设备混合组网的方式,解决系统容量问题。实现交换网络MSC增容,一般有两种手段,最直接的方式,就是现有MSC扩容;另外一种方式就是新建MSC。现有局扩容方式,优势是工程周期短,投产快,网络分区不必做较大规模调整,有利于保持网络稳定,电源配套等项目增加投入不大;劣势是解决增容相对有限,议标方式扩容单位成本相对较高,并且需要核定处理机的处理能力是否满足,如果再需要升级处 理机,则扩容的成本将会进一步提高。
新建局方式,则可以满足各种规模的扩容,并目可以采用招标方式,有效单位造价;其不利的方面主要是,工程周期相对较长,网络分区要做较大规模调整,电源配套等项目增加投入较大。但新建局方式还有一项很重要的优势就是,可以采用更新的技术,更新的产品,从而保证投资的长效性。
结合对两种建设方式的分析、交换处理能力需求预测及容量需求预测,提出交换端局建设方案。本期工程不考虑对传统交换局进行建设。从网络向3G演进的方向考虑,对于有新增容量需求的传统交换局均采用新建软交换方式建设,新建软交换局管辖区域需要结合BSC划分方案确定,应尽量避免新建局与原有交换局间出现频繁切换从而影响网络质量,考虑到今后3G业务发展需求软交换局优先考虑管辖市区。提出以下建设方案: 城市A业务区:新建软交换MGW 1与MGW2,进行管辖区域调整,管辖部分市区BSC;
城市B业务区:新建软交换MGW2,管辖部分市区BSC;
城市C-F业务区:新建软交换MGW,管辖部分市区或郊区BSC。
软交换组网布局如图1所示。
4. 结论
本章是论文的核心部分,根据某运营商核心网现状分析的结果,本着“从市场出发,以服务、效益为目标”的前提,提出了建设总体原则:即引进R4结构的软交换设备;网络结构要简单、灵活,便于向3G平滑过渡。通过对网络资源利用情况数据的分析,重点解决各业务区系统容量不足与资源利用率高问题。通过话务量预测,确定系统性能需求。经过方案论证,设计了采用软交换设备的分层体系结构的移动核心话路网与信令网网络组网方案。
参考文献:
论文摘要:在通信行业中,人们通常把电源比喻为通信系统的心脏。近年来,电信网全方位快速发展,同时也给从事电源维护管理工作的人员提出了许多新的问题。由于电源设备正处在新老并存、逐步更新换代的时期。基于此,本文就通信电源的维护和管理方面谈几点想法。
引言
由于历史发展的原因,当前通信电源供电体制基本上是以集中放置、集中供电方式为主,有人值守、故障维修为主。而电源的负载,如传输、交换、数据、移动等专业的维护方式正朝着集中监控、集中维护、少人或无人值守方向发展。通信基站是通信网络系统中的重要组成部分,保证任何情况下的正常供电,是保证通信网络安全运行的重要环节。为此各通信基站内均配备了较先进的电力电源供电系统,包括开关整流设备、免维护蓄电池、油机等。这些设备是保障供电稳定和连续性的重要设备,对这些设备维护的好坏,不仅影响电源系统设备的寿命和故障率,而且直接涉及通信网络的平稳运行。
一、通信电源概述
从远古时代以来,阳光、空气、食物和水一直是人们赖以生存的必需品,而今在科学技术飞跃发展的时代,电也已成为人们的必需品。因为有了电,我们的生活才有了欢乐。正是由于通信系统的安全优质运转,无处不在的通信电源则是坚实的基础和根本保障。实施集中监控管理是网络技术发展的必然趋势,是现代通信网的要求,也是企业减员增效的有效措施。各种电源设备要智能化、标准化,符合开放式通信协议。若电源系统不能输出规定电流,电压超出允许波动范围,杂音电压高于允许值时间并持续10s以上者均判定为系统故障。原交流系统中的电压、频率或波形畸变超出规定范围持续时间大于60s者均判定为故障。为此,要保证通信电源系统的可靠性,有条件的通信部门应尽量从两个不同的地方引入2路市电输入,并设置2路市电电能自动倒换装置;所用设备要选用可靠性高的高频开关整流设备,采用模块化、热插拔式结构以便于更换,并合理配置备份设备。任何新技术、新设备未经充分验证、试运行前均不得进入供电系统。供电方式要大力推广分散供电,使用同一种直流电压的通信设备采用两个以上的独立供电系统,这也是今后通信网络容量和规模不断扩大、各种新业引入的新要求。为了尽量缩短设备的平均故障修复时间,要经常分析运行参数,预测故障发生的时间并及时排除。还要提高技术维护水平,采用集中维护、远程遥信、遥测维护。在实施过程中,三遥点的设置要合理,绝不是越多越好,要以可靠性、实用性为基本原则,宜简勿繁。
二、电源系统使用中应重视的问题
电源系统目前广泛使用高频开关电源系统设备,其智能化程度高,电池采用了免维护蓄电池,这虽给用户带来了许多便利,但在使用过程中还应在多方面引起注意,确保使用安全。
2.1按电源系统的使用要求和功率余量大小来分,在使用中要避免随意增加大功率的额外设备,也不允许在满负载状态下长期运行。工作性质决定了电源系统几乎是在不间断状态下运行的,增加大功率负载或在基本满载状态下工作,都会造成整流模块出故障,严重时将损坏变换器。自备发电机的输出电压、波形、频率和幅度应满足电源系统对输入电压的要求,另外发电机的功率要大于开关电源设备的额定输入功率,否则,将会造成电源系统设备工作异常或损坏。
2.2电池应避免大电流充放电,理论上充电时可以接受大电流,但在实际操作中应尽量避免,否则会造成电池极板膨胀变形,使得极板活性物质脱落,电池内阻增大且温度升高,严重时将造成容量下降,寿命提前终止。在任何情况下都应防止电池短路或深度放电,因为电池的循环寿命和放电深度有关。放电深度越深循环寿命越短。在容量试验或放电检修中,通常放电达到容量的30%-50%就可以了。
2.3铅酸蓄电池的容量和电解液的比重是线性关系,通过测量比重可以了解电池的存储能量情况。阀控式密封蓄电池是贫液电池,且无法进行电解液比重测量,所以如何判定它的好坏,预测贮备容量已成为当今业界的一大难题。用电导仪测电池的内阻是判定蓄电池好坏的一种有参考价值的方法,但尚不能准确测定电池的好坏程度。目前,最可靠的方法还是放电法。在可靠性、经济性、可使用性、维护性等方面综合比较,应选用四冲程油机为原动机发电机组。四冲程油机结构简单,采用多缸均衡做功、增压等一系列成熟技术适合于大容量机组的要求。其噪音小、污染小、性价比高。使用中把机组产生的热量排到室外,保证机组周围环境湿度不超过指标要求。
三、电源系统的维护与检修
当电源系统出现故障时,应先查明原因,分清是负载还是电源系统,是主机还是电池组。虽说开关电源系统主机有故障自检功能,但它对面而不对点,对更换配件很方便,但要维修故障点,仍需做大量的分析、检测工作。另外如自检部分发生故障,显示的故障内容则可能有误。对主机出现击穿、断保险或烧毁器件的故障,一定要查明原因并排除故障后才能重新启动,否则会接连发生相同的故障。再好的设备也有寿命期,也会出现各类故障,但维护工作做得好可以延长寿命并减少故障的发生,不要因为高智能、免维护而忽略了本应进行的维护工作,预防在任何时候都是安全运行的重要保障。高频开关电源设备在正常使用情况下,主机的维护工作量很少,主要是防尘和定期除尘。特别是气候干燥的地区,空气中的灰粒较多,灰尘将在机内沉积,当遇空气潮湿时会引起主机控制紊乱造成主机工作失常,并发生不准确告警。另大量灰尘也会造成器件散热不好。一般每季度应彻底清洁一次。其次就是在除尘时检查各连接件和插接件有无松动和接触不牢的情况。由于整流器对瞬时脉冲干扰不能消除,整流后的电压仍存在干扰脉冲。蓄电池除有存储直流电能的功能外,其等效电容量的大小与蓄能电池容量大小成正比。因此,维护检修蓄电池的工作是非常重要的,虽说蓄电池组目前都采用了免维护电池,但这只是免除了以往的测比、配比、定时添加蒸馏水的工作。但因工作状态对电池的影响并没有改变,不正常工作状态对电池造成的影响没有变,所以蓄电池的工作全部是在浮充状态,在这种情况下至少应每年进行一次放电。放电前应先对电池组进行均衡充电,以达全组电池的均衡。放电过程中如有一只达到放电终止电压时,应停止放电,继续放电须先排除落后电池后再放。核对性放电不是追求放出容量的百分比,而是关注并发现和处理落后电池,经对落后电池处理后再作核对性放电实验。这样可防止事故,以免放电中落后电池恶化为反极电池。平时每组电池至少应有8只电池作标示电池,作为了解全电池组工作情况的参考,对标示电池应定期测量并做好记录。在日常维护中需经常检查的项目有:清洁并检测电池两端电压、温度;连接处有无松动腐蚀现象,检测连接条压降;电池外观是否完好,有无壳变形和渗漏;极柱、安全阀周围是否有酸雾逸出;主机设备是否正常等。免维护电池要做到运行、日常管理周到、细致和规范,保证设备保持良好的运行状况,从而延长使用年限;保证直流母线经常保持合格的电压和电池的放电容量;保证电池运行和人员的安全可靠。这是电池维护的目的,也是电池运行规程中包括的内容和运行规则。当电池组中发现电压反极、压降大、压差大和酸雾泄漏的电池时,应及时采用相应的方法恢复和修复,对不能恢复和修复的电池要换掉。但不能把不同容量、不同性能、不同厂家的电池联在一起,否则可能会对整组电池带来不利影响。对寿命已过期的电池组要及时更换,以免影响到电源系统和设备主机。
参考文献:
【关键词】 二滩水电站 二次系统 安全防护
1 概述
二滩水电站地处中国四川省西南边陲攀枝花市盐边与米易两县交界处,雅砻江下游,坝址距雅砻江与金沙江的交汇口33公里,距攀枝花市区46公里,系雅砻江水电基地梯级开发的第一个水电站,上游为官地水电站,下游为桐子林水电站。水电站最大坝高240米,水库正常蓄水位1200米,总库容57.9亿立方米,调节库容33.7亿立方米,装机总容量330万千瓦,保证出力102.8万千瓦,多年平均发电量170亿千瓦时,两回500kV出线接入攀枝花电网,三回500kV出线接入四川主网,并担当四川电网主力调峰、调频任务。
随着网络技术、信息技术在电力系统的广泛应用,网络与信息系统已经成为电力系统生产、运营和发展的基础设施。信息安全风险作为电力企业信息安全风险管理的基本内容,是电力系统各级单位信息安全保障体系的重要内容,其中二次系统安全更是重中之重。
2 二滩水电站二次系统安全防护的必要性
二滩水电站生产控制系统在可靠性方面已经采取了防电磁干扰、冗余等措施,但是随着2011年12月实现成都集控中心远程控制二滩水电站,在通信链路上冒充、篡改、窃收、重放等类型的网络威胁也不断增加,严重影响到电力生产信息的完整性、真实性和一致性。同时随着设备老化,消缺及改造的增加,生产控制系统在调试及维护阶段,厂家人员以及相关班组通过移动工作站进入电力生产控制系统,出于安全意识薄弱、商业竞争或政治目的会置入逻辑炸弹、蠕虫等恶意代码,破坏电力生产控制系统的正常稳定运行的风险也不断增大,二次系统安全问题日益凸显。因此,二滩水电站于2011年8月启动集控边界二次安防系统建设。
3 二滩水电站二次系统安全防护系统的构成
二滩水电站按照《电力二次系统安全防护规定》和《全国电力二次系统安全防护规定》,根据电力二次系统安全防护总体原则“安全分区、网络专用、横向隔离、纵向认证”的要求,二滩水电站二次系统安全防护按安全等级划分为两个大区,即:生产控制大区和管理信息大区。生产控制大区划分为安全Ⅰ区(实时控制区)和安全区Ⅱ(非控制生产区);管理信息大区划分为安全Ⅲ区(生产管理区)。安全Ⅰ区主要包括计算机监控系统和稳定监录装置,安全Ⅱ区主要包括安控信息、保护信息和能量计费系统,安全Ⅲ区主要包括工业电视系统。二次安防系统图如图1。
3.1 二滩水电站二次系统安全Ⅰ区安全防护措施
二次系统安全Ⅰ区的计算机监控系统为整个电站的核心,一旦遭受网络攻击、恶意代码等网络安全威胁,对于电站自身安全生产乃至四川电网安全都构成严重威胁,必须采用最为严格的技术手段来确保其安全。二滩水电站稳定监录系统为四川省电网稳定性监录系统的重要监测点之一,为四川省电网稳定性监录系统提供实时数据,为电网的安全稳定运行提供分析依据设,其信息安全直接关系到四川电网的稳定性,必须作为安全防护的重点。避免网络威胁的最直接办法就是减少与外部网络的连接,并在网络边界处采取严格防侵入措施。如图1所示,二滩水电站安全I区的主要防护措施如下:
(1)安全I区内系统在本站范围内不与任何外部网络连接,确保其网络的独立性。
(2)在安全I区与省调的纵向通信网络边界处装设卫士通SJW77电力专用纵向加密认证装置。该装置采用国密办批准的专用密码算法以及电力系统安全防护专家组制定的特有封装格式,在协议IP层实现数据的封装、机密性、完整性和数据源鉴别等安全功能。
(3)在安全I区与成都集控中心纵向通信网络边界处装设南瑞NetKeeper-2000纵向加密认证网关。该设备采用国密码办批准的电力系统专用加密芯片实现网络层数据的加密,所有密钥协商和密文通信均采用专用的安全协议。提供长度高达128位加密算法,抗攻击性强,破解难度高,充分保证数据的机密性。提供长度高达160位密钥散列算法,抗攻击强度高,严格防止用户篡改数据,保证数据的完整性。
(4)配置一套安全审计TDS管理系统。其针对站内监控系统网络及监控系统与省调、集控中心网络边界,可通过全面漏洞扫描探测、操作系统信息采集与分析、日志分析、木马检查、安全攻击仿真、网络协议分析、系统性能压力、渗透测试、安全配置检查、进程查看分析、数据恢复取证(定制)、网络行为分析等多个维度对网络安权检测分析,一旦发现网络威胁,系统会迅速通过网络备份与灾难恢复系统进行快速恢复。
(5)监控系统主服务器采用UNIX操作系统,降低病毒风险。
(6)在每台操作员站及工程师站装设杀毒软件,并及时更新数据库。
(7)移动工程师站接入安全I区时,必须通过硬件防火墙
通过上述多项安全防护措施,二滩水电站安全I区能有效防止恶意攻击、数据篡改及数据窃取等网络威胁,符合二次系统安全防护的整体要求。
3.2 二滩水电站二次系统安全Ⅱ区安全防护措施
二次系统安全防护Ⅱ区包括电站侧能量计费系统、安控信息、及保护信息。其数据通信使用电力调度数据网的非实时子网,数据采集频度是分钟级或小时级,为非控制网,其二次安防按照远程拨号访问生产控制大区的防护策略,设防等级低于安全Ⅰ区。如图1所示,安全Ⅱ区的防护措施如下:
(1)安控装置与保护信息装置之间装设华为USG2000型防火墙,能有效起到入侵防御、防病毒等安全防护,确保安控装置的安全性。
(2)二滩水电站安全Ⅱ区与省调网络边界装设华为USG2000型防火墙,确保站内安全Ⅱ区不受来自外网络的网络入侵、病毒等网络威胁。
(3)安全Ⅱ区网络除省调边界外,与外网隔离,不采用WEB服务器,保证专网专用,避免来自其他网络的网络安全威胁。
通过上述多项安全防护措施,二滩水电站安全Ⅱ区能有效防止来自内部及外部的网络威胁,符合二次系统安全防护的整体要求。
3.3 二滩水电站二次系统安全Ⅲ区安全防护措施
二次系统安全Ⅲ区主要是工业电视系统。工业电视系统作为全站设备辅助监视的一个重要手段,能很好地为雅砻江公司集控中心在电站无人值班时,及时监控现场设备运行情况,大幅提升电站运行的可靠性。其安全防护特点虽不如安全Ⅰ区、Ⅱ区严格,但也不能忽视。二次系统安全Ⅲ区同样采用专网专用,不与Ⅰ区、Ⅱ区相连,在与雅砻江公司集控中心网络边界处装设华为USG2000型防火墙,保证安全Ⅲ区免受网络入侵和控制。
4 二滩水电站二次系统安全防护系统运行管理
安全管理是电力系统安全的重要保障,二滩水电站的二次系统分布广,不易管理,所以“三分技术,七分管理”中管理亦不能忽视。二滩水电站是国内首座通过NOSCAR认证的大型水电站,其对安全的重视尤为突出,针对二次系统安全防护的重要性,通过制度管理来保证其安全运行。
(1)实行安全责任追究制度,出现问题严格按照制度进行责任追究和考核。
(2)借助电站NOSA安全体系建设,强化员工安全意识,明确二次安防系统的重要性。
(3)加强用户权限管理,运行人员仅具备查看、操作权限,参数配置、修改,系统维护等权限由检修监控班统一管理。
(4)针对系统维护、消缺等工作制定严格工序卡,专业人员必须按照工序卡来执行。
(5)系统数据提取采用光盘刻录方式进行,杜绝其他移动储存设备的接入。
(5)建立机房管理制度并严格执行。
(6)制定应急预案,确保二次系统故障后能迅速、有效处置,限制、减小影响范围。
5 结语
随着水电站自动化水平的不断提升,遥测、遥信、遥控和遥调设备的不断增加,网络安全威胁的不断多元化,二次系统的安全足以影响整个电站的安全生产,所以二次系统安全防护需要技术不断升级,管理不断加强,保证电力生产安全。
二滩水电站二次系统安全防护工作按照国家电力二次系统安全防护的总体原则,结合电站自身情况,通过加密认证技术、防火墙技术、入侵检测技术和网络防病毒技术,对站内二次系统进行了有效防护,能有效保证其安全、稳定运行。
参考文献:
[1]王群,潘亮.紫平铺水力发电厂二次系统安全防护简介[J].机电技术,2012,(5):57-59.
[2]电力二次系统安全防护规定(电监会5号令)[S].2004.
关键词:无线网络;军队;安全;物理层安全;可见光通信
中图分类号:TN 929.3
文献标识码:A
DOI: 10.3969/j.issn.1003-6970.2015.08.004
0 引言
进入二十一世纪的第二个十年以来,信息已经成为人类社会文明进步的要素资源,成为现代社会持续发展的基本条件。信息网络空间已经成为继陆、海、空、天之后的第五大国家疆域,成为世界各国战略竞争的重要领域。信息安全已成为与国防安全、能源安全、粮食安全并列的四大国家安全领域之一。
近些年来,以美国为代表的信息技术强国利用自身所垄断的全球信息技术优势,加紧构建信息安全保障和攻击体系,以进一步巩固其在网络空间的统治地位。在美国现有的国家信息安全体系中,政府、IT企业和社会团体分工协作,相互配合,共同推进美国国家和军队的信息安全体系建设。当前,美国政府部门作为信息安全战略制定、网络和信息安全项目策划、网络情报侦查、网络防御以及网络进攻的主导者,引领了整个美国信息安全领域的发展和规划。其主要部门包括国土安全部、国防部、美军网电司令部、商务部、联邦调查局以及中央情报局;美国的IT企业则是网络攻防的具体实施机构和重要支撑单位,是美国政府和军队海量情报数据的来源,同时也是实施网络作战的实施主体;而美国及其盟国中一些非营利性团体和学术组织则为美国政府和军队提供了舆论和技术层面的支持,同时进行了人才的输出,以支撑日益强大的美国信息作战部队。
随着无线与移动通信技术的高速发展,抛开有线束缚的无线通信技术为国家和军队的指挥和作战带来了极大的便利性,然而也埋下了极大的安全隐患。截至2014年年底,美国情报和军队相关部门在无线网络中侦收和攻击获得的情报已经占到美国情报总量的约57.6%,凸显了当前国家和军队无线网络安全的严峻态势。美军网电司令部2015年战略规划指南显示,未来美军网电部队将把无线领域作为网络攻防作战的重点,这对我国国防和军队网络安全体系和技术提出了新的考验。本论文从历史出发,对交换技术进行了简要的回顾,指出了当前交换网络发展的瓶颈以及问题,并基于前沿的下一代智能网络以及大数据交换网络提出了展望和设想。
1 军队无线网络安全现状
我国的互联网、电信网、广电网和各类专网(包含军网)组成的国家基础网络是国家和军队信息安全防护的重要对象,但是这些基础社会建设过程中普遍存在着重建轻防,甚至只建不防的问题,造成网络信息安全体系构建的极大障碍。
当前,我军无线网络通信手段主要包含战场卫星通信、短波电台通信、水下潜艇长波通信等战时通信手段,以及军队日常办公所使用的蜂窝网移动手机通信、单位无线局域网(Wi-Fi)以及家庭使用的宽带及家庭无线局域网等非战时通信手段。由于战时通信技术具有较强的应用层加密以及物理层跳频和扩频保障,传统的窃密和攻击手段并不能很快奏效,反而是和平时期工作用无线局域网、个人手机、家庭Wi-Fi等上网和通话极易被侦听和窃密,导致无意识泄密。据不完全统计,2014年以来军队、军工企业等军事相关单位因手机、家庭宽带/Wi-Fi等被攻击及窃听的事件约470起,造成不可估量的军事、经济以及国家核心技术损失。
美国凭借其在信息领域的绝对优势,不断将其技术和设备输出到中国,而国产化设备的低性能、高价格等不足进一步导致了党政军系统中日常无线网络通信设备国产化程度极低,使得日常无线网络的安全防线处于近乎失灵的状态。在美国IT跨国公司和美国网络部队等诸如“棱镜”项目面前,我军的基础网络和重要信息系统几乎完全处于不设防状态。诸如思科、微软、英特尔、IBM等IT企业几乎完全控制了我国高端IT产品的生产及应用。据Gartner数据显示,Windows系列操作系统在我国市场占有率超过9成,英特尔在微处理器市场上占有率也超过8成,谷歌的安卓操作系统在我国市场占有率达到8成。即使是国产的联想、酷派等手机,其核心芯片和操作系统也多是国外生产,使得我国无法从技术层面根除安全隐患。
2 解决方案:物理层安全技术和可见光通信技术
针对目前日常军队无线网络安全性的问题,本文提出了两种可行的改进方案,能够在现有技术的基础上,从防止无线信号被侦收和泄漏的角度实现日常状态下部队营区无线通信的安全保密。
在现有的通信系统中,通信的保密性主要依赖于基于计算密码学的加密体制,早在20世纪初就已有人提出将传输的信息与密钥取异或的方法来增强信息传递的安全性。这种基于密钥的加密方法首次由Shannon于1949年给出了数学的理论分析。假设发送者希望把信息M秘密地发送给接收者,称M为明文信息。则加密的过程为,在发送端,发送者通过密钥K以及加密算法f对所要传输的明文M进行加密,得到密文S。在接收端,接收者通过密钥K以及与加密算法相应的解密算法,我们用f-1标记,来进行解密,从而得到明文M。通过对加解密过程的观察,可以得知,有两个方法防止窃听者从窃听到的S中获取明文M: 一个是窃听者不知道密钥K,另外一个是解密算法非常困难,窃听者难以在有限的时间用有限的资源进行解密。基于这两个方法,延伸出了现代通信系统中非常常见的两种加密形式,一个是对称密钥加密,一个是非对称密钥加密。
现代密码学的加密体制主要是在物理层之上的几层来实现的,譬如MAC层、网络层、应用层等等,故有时也称基于现代密码学的安全为上层安全。物理层对于现代密码学加密体制来说是透明的,即物理层安全与上层安全是独立的。下面分别介绍物理层安全的两个基础知识,分别是:窃听信道模型和安全传输速率。窃听信道模型是物理层安全所研究的基本信道模型,安全传输速率是衡量物理层安全系统性能的重要指标。
物理层安全主要是利用特殊的信道编码和无线信道的随机特性使得秘密通信得以进行,它与现代密码学不同之处在于,其安全程度并不依赖于Eve的计算强度,而是依赖无线信道环境的随机特性。但是,从保密环节上来说,物理层安全与传统的计算密码学的安全却有着本质的相似之处。如图1所示。物理层安全中的编码调制环节和信道的随机性是安全通信的必要条件,正如现代密码学体制中的加密算法和密钥。编码调制环节是指Alice根据Alice-Bob和Alice-Eve信道的信道条件,通过独特的信道编码来保证Alice与Bob之间安全又可靠的通信。从安全的角度来说,编码调制环境可以被看作现代密码学中的加密过程,信息加密后生成的密文记为Xn。密文经过无线信道和解调译码可以等同为现代密码学中的解密环节,其中信道信息{h,g}可以看作公共密钥,而Bob接收端的噪声可以看作Bob的私钥,Eve是没有办法获得的。因此密文通过Bob的无线信道和解调译码,可以被Bob正确地译码解密;而此密文通过Eve的无线信道和解调译码,Eve是不能获得任何信息的。由此可见,虽然物理层安全与传统的基于现代密码学的加密原理是完全不同的,但是它们在实现框架上却也能够找到共同点。物理层安全可以看作是以调制编码等发送端的技术为“加密算法”,充分利用Alice-Bob和Alice-Eve之间无线信道的差异性,把无线信道看作“加密密钥”,从而使得Alice与Bob之间形成了安全可靠的通信。
物理层安全技术由于可以独立于上层而单独实现秘密通信,因此在无线通信系统中,可以在保证现有上层安全措施不变的情况下,补充物理层传输的安全。这使得通信系统的安全性能得到额外一层的保护。另一方面,将物理层安全用来传输现代密码学中的密钥,也是增强系统的安全性的一种方法。
从实现的角度讲,当前传统的无线路由器等均使用了全向天线进行传输,有可能导致无线信号泄漏至营区外部造成泄密。由于物理层安全技术方案的存在,除了进行传统的上层密码和传输加密以外,考虑利用物理层定向天线和波束赋形技术使得无线信号定向的向营区内部辐射,使得窃听者获取的信息量近乎为0,从而进一步降低失泄密的风险,这是物理层安全技术在现有无线网络中的应用改进。
根据香农公式,假设发射端信号表示为:y=hx+z,那么正常接收者bob收到的信号可以表示为:
此时人造噪声设计对Bob没有产生干扰的方向上均匀分布,从而实现了对目标用户的正常信号发送,但是使得窃听用户获得的干扰最大化,可用信息最小。
可见光通信(Visible Light Communications)是指利用可见光波段的光作为信息载体,不使用光纤等有线信道的传输介质,而在空气中直接传输光信号的通信方式,简称“VLC”。
普通的灯具如白炽灯、荧光灯(节能灯)不适合当作光通信的光源,而LED灯非常适合做可见光通信的光源。可见光通信技术可以通过LED灯在完成照明功能的同时,实现数据网络的覆盖,用户可以方便地使用自己的手机、平板电脑等移动智能终端接收这些灯光发送的信息。该技术可广泛用于导航定位、安全通信与支付、智能交通管控、智能家居、超市导购、灯箱广告等领域,特别是在不希望或不可能使用无线电传输网络的场合比如飞机上、医院里更能发挥它的作用。可见光通信兼顾照明与通信,具有传输数据率高、安全性强、无电磁干扰、节能、无需频谱认证等优点,带宽是Wi-Fi的1万倍、第四代移动通信技术的100倍,是理想的室内高速无线接人方案之一。
据美国DAPRA报道,美军已经生产出军用可见光网络及相关设备,用于国防部等军事机关和设施的高速无线网络通信。由于可见光室内传输光源直接指向用户且传输距离远小于传统的微波无线通信,在不考虑人为主动泄密的情况下,可见光通信信号是无法截获的,从技术上为通信的有效性和可靠性提供了强有力的支撑。
图2给出了微波无线通信和可见光通信之间的比较。对于手机、Wi-Fi等微波无线通信手段,除了目标用户能够接收到无线信号以外,由于无线电波是全向发射的,窃听者完全可以收到相同的信号,从而进行破译或者攻击,带来安全隐患;而可见光通信依赖于室内的LED灯具,通常灯具会直接部署在工位上方,而照明具有定向发射的特点,因此位于营区外部的窃听者无法收到任何信号,不能进行窃听。从实现上讲,可见光通信可以方便的利用LED台灯、屋顶灯等照明灯具,通过加装调制解调模块即可使得灯具具有高速数据传输功能,可供营区内台式机、笔记本电脑、平板电脑等高速无线上网,满足高清视频会议等高带宽需求。
目前,关于可见光通信在室内外各种复杂环境下的信道测量与建模的工作还很欠缺,只有少量的研究结果。尤其是在有强光干扰、烟雾和灰尘遮挡的环境下的信道干扰模型,更是需要亟待解决的问题。
3 结论
军队作为国家的武装力量,其信息安全问题尤为重要。在和平时期,如何从技术手段保证军队手机、Wi-Fi等无线通信安全,防止和平时期敌对势力进行的无线网络信号侦收和网络攻击,是当前要重点关注的问题。
论文摘要:随着计算机网络的不断发展和普及,计算机网络带来了无穷的资源,但随之而来的网络安全问题也显得尤为重要,文章重点介绍了局域网安全控制与病毒防治的一些策略。
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,因此计算机网络和系统安全建设就显得尤为重要。
1.局域网安全现状
广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、ids等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络人口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进人网络,形成极大的安全隐患。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
2.局域网安全威胁分析
局域网(lan)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:
1欺骗性的软件使数据安全睦降低;
2服务器区域没有进行独立防护;
3.计算机病毒及恶意代码的威胁;
4局域网用户安全意识不强;
5.ip地址冲突。
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全胜低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
3.局域网安全控制与病毒防治策略
3.1加强人员的网络安全培训
3.1.1加强安全意识培训,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。
3.1.2加强安全知识培训,使每个计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。
3.1.3加强网络知识培训,通过培训掌握一定的网络知识,能够掌握ip地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
3.2局域网安全控制策略
安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威肋最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。
3.2.1利用桌面管理系统控制用户人网。人网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制用户人网的时间和在哪台工作站人网。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略,强制计算机用户设置符合安全要求的密码,包括设置口令锁定服务器控制台,以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据,提高系统安全行,对密码不符合要求的计算机在多次警告后阻断其连网。
3.2.2采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵人,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。
3.2.3封存所有空闲的ip,启动ip地址绑定采用上网计算机ip地址与mca地址唯一对应,网络没有空闲ip地址的策略。由于采用了无空闲ip地址策略,可以有效防止ip地址起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
3.3病毒防治
病毒的侵人必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
3.3.1增加安全意识和安全知识,对工作人员定期培训。首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前进行查杀等,都可以很好地防止病毒在网络中的传播。这些措施刘利:绝病毒,主观能动性起到很重要的作用。
3.3.2小使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外。
3.3.3挑选网络版杀毒软件。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相当不错,能够熟练掌握瑞星杀毒软件使用,及时升级杀毒软件病毒库,有效使用杀毒软件是防毒杀毒的关键。
关键词:校园无线网络;802.11标准;网络安全
一、概述
随着信息技术的发展和教育信息化进程的推进,无线局域网技术在高校校园网中的应用也逐渐普及。校园无线局域网表现出方便、灵活的组网方式和广泛的适用环境等优点,由于无线局域网技术其传输介质的开放性,使得数据在通信传播过程中,极有可能被一些非法的接收设备所接收,这就给入侵者有了可乘之机。加之校园无线网络自身的特殊性,无线局域网更易遭受黑客攻击和泄密;此外由于高校网络本身所具有的应用范围广、使用群体复杂、管理难度大等众多特点,致使网络本身更具脆弱性,致使网络本身更具脆弱性,因此如何保障高校校园无线局域网通信的安全,成为使用高校校园无线局域网过程中必须解决的问题。
二、无线网络存在的安全威胁
无线网络一般受到的攻击可分为两大类:
一类是关于网络访问控制、数据机密性保护以及数据完整性保护而进行的攻击;一类是无线通信网络的设计、部署以及维护的独特方式而进行的攻击。
对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
(一)保密机制的弱点
1、过于简单的加密算法
WEP中的IV向量由于位数太短和初始化复位的设计,经常出现重复使用现象,从而轻易的被他人所破解。而对于其中的加密的RC4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。而且,对明文完整性校验的CRC循环冗余校验码只能确保数据正确传输,并不能保证其是否被修改,因而也会出现安全的问题。
2、密钥管理复杂性
在WEP使用的密钥的过程中需要接受一个外部密钥管理系统的控制。网络的安全管理员可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大减少。
3、用户安全意识不强
许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。
(二)类型繁多的网络攻击
1、探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网络。通常,软件工具(例如探测器和扫描器)被用于了解网络资源情况,寻找目标网络、主机和应用中的潜在漏洞。例如,有一种专门用于破解密码的软件。这种软件是为网络管理员而设计的,管理员可以利用它们来帮助那些忘记密码的员工,或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但是,这种软件如果被错误的人使用,就将成为一种非常危险的武器。
2、访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件帐号、数据库和其他保密信息。
(三)拒绝服务攻击
1、信息泄露威胁与网络欺骗
泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具来监听和分析通信量,从而识别出可以破解的信息。欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC地址。
2、用户设备安全威胁
由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥,因此只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。[3]
三、无线校园网络安全解决方案
(一)身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现
上文中提到的 MAC 地址认证和共享密钥认证都还有一定的安全隐患。在无线网络进入校园以后, MAC地址认证需要进行维护和数据管理的问题。例如EAP-TLS、EAP-TTLS、LEAP和PEAP。[4]在无线网络中,设备认证和用户认证都应该实施,以确保最有效的无线网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS或PEAP。针对校园多用户群体的特点,可以对不同用户使用不同的认证方法,以此来确保无线校园网络的安全性。
(二)访问控制:网络用户的访问控制主要通过AAA服务器来实现
这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。
一般来说,无线校园网络可分为境内网和境外(下转第122页)(上接第120页)网两大类。境内网是指学校内部访问数据和资源的过程,教师和学生可根据需要随时在校园内访问网络。例如研究成果、研究资料以及论文等都要求有较好的安全性。这些用户可以采用802.1x 进行认证。也就是先由用户向认证服务器发出接入申请,在未通过认证的情况下,用户无法访问网络,也无法获取IP 地址。设立证书服务器,以数字证书的形式达到双向认证的目的,能够有效避免用户接入非法 AP 以及非法用户使用网络,只有在通过双向认证之后,用户方可访问网络,保证校园网资源的安全性。境外网指从学校外部访问数据和资源的过程,主要是针对来学校进行学术交流、培训等用户,这些用户关注的是能够方便、快捷的接入网络,已进行相关的文件传输、浏览网站等工作。因此,他们不能访问校园网内部如学校公共数据库、图书馆期刊全文数据库以及一些学校内部资源的一些受限资源。如果用户是境外网需要访问校园网以外的数据,要先通过强制 Portal 认证之后方可访问网络。[5]根据不同网络区分的需要采用不同的认证方法,将 802.1x 认证和强制 Portal 认证这两种认证方式相结合是解决目前无线校园网络安全问题的有效途径,并有极强的现实意义。
(三)可用性:无线网络有着与其它网络相同的需要,这就是要求最少的停机时间
不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在校园的操场、食堂等场合,如不能给用户提供无线访问只会给用户带来不便而已。当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QOS。另外应该设置本地认证作为备用,可以在AAA服务器不能提供服务时对无线客户端进行认证。
(四)审计:审计工作是确定无线网络配置是否适当的必要步骤
保护WLAN的第一步就是完成网络审计,实现对内部网络的所有访问节点都做审计,确定欺骗访问节点,建立规章制度来约束它们,或者完全从网络上剥离掉它们。从短期来看,校园网络中心管理员应该使用一些能检测WLAN网络流量(以及WLAN访问节点)的网络监控产品或工具,例如SnifferTechnologies和WildPackets厂家的产品。不过,采取的这些措施能达到的安全程度毕竟还是有限的,因为它要求网络管理员要根据WLAN的信号来检测网络流量,知道网络内部的数据流量情况。现在,WLAN的提供商们(例如3Com,Avaya,Cisco,Enterasys和Symbol)将会开发出新的能够检测远程访问节点的网络管理工具。校园网络中心管理者应该形成一个管理政策,保证网络审计成为一个规范化的行为(至少每三个月检测一次),来限制具有欺骗访问行为的站点恣意进入WLAN。