時間:2022-07-03 00:20:14
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇通信網(wǎng)絡(luò)安全論文,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
1網(wǎng)絡(luò)安全協(xié)議在計算機通信技術(shù)當(dāng)中的作用
1.1網(wǎng)絡(luò)安全協(xié)議的安全性檢測
目前,信息技術(shù)得到快速發(fā)展,各類網(wǎng)絡(luò)安全協(xié)議不斷應(yīng)用于計算機通信中,對于信息傳遞和數(shù)據(jù)的傳輸具有重要意義。然而,在網(wǎng)絡(luò)安全協(xié)議過程中,設(shè)計者未能全面了解和分析網(wǎng)絡(luò)安全的需求,導(dǎo)致設(shè)計的網(wǎng)絡(luò)安全協(xié)議在安全性分析中存在大量問題,直接導(dǎo)致一些網(wǎng)絡(luò)安全協(xié)議剛推出便由于存在漏洞而無效。對于網(wǎng)絡(luò)安全協(xié)議的安全性檢測,通常情況下證明網(wǎng)絡(luò)安全協(xié)議存在安全性漏洞比網(wǎng)絡(luò)安全協(xié)議安全更加簡單和方便。目前,對于網(wǎng)絡(luò)安全協(xié)議安全性的檢測主要是通過攻擊手段測試來實現(xiàn)網(wǎng)絡(luò)安全協(xié)議安全性風(fēng)險。攻擊性測試一般分為攻擊網(wǎng)絡(luò)安全協(xié)議加密算法、攻擊算法和協(xié)議的加密技術(shù)以及攻擊網(wǎng)絡(luò)安全協(xié)議本身,以便發(fā)現(xiàn)網(wǎng)絡(luò)安全協(xié)議存在的安全漏洞,及時對網(wǎng)絡(luò)安全協(xié)議進(jìn)行改進(jìn)和優(yōu)化,提升網(wǎng)絡(luò)安全協(xié)議安全性。
1.2常見網(wǎng)絡(luò)安全協(xié)議設(shè)計方式
在網(wǎng)絡(luò)安全協(xié)議設(shè)計過程中,較為注重網(wǎng)絡(luò)安全協(xié)議的復(fù)雜性設(shè)計和交織攻擊抵御能力設(shè)計,在確保網(wǎng)絡(luò)安全協(xié)議具備較高安全性的同時,保證網(wǎng)絡(luò)安全協(xié)議具備一定的經(jīng)濟性。網(wǎng)絡(luò)安全協(xié)議的復(fù)雜性主要目的是保障網(wǎng)絡(luò)安全協(xié)議的安全,而網(wǎng)絡(luò)安全協(xié)議的交織攻擊抵抗力則是為了實現(xiàn)網(wǎng)絡(luò)安全協(xié)議應(yīng)用范圍的擴展。在網(wǎng)絡(luò)安全協(xié)議設(shè)計過程中,應(yīng)當(dāng)注重邊界條件的設(shè)定,確保網(wǎng)絡(luò)安全協(xié)議集復(fù)雜性、安全性、簡單性以及經(jīng)濟性于一身。一方面,利用一次性隨機數(shù)來替換時間戳。同步認(rèn)證的形式是目前網(wǎng)絡(luò)安全協(xié)議的設(shè)計運用較為廣泛的方式,該認(rèn)證形式要求各認(rèn)證用戶之間必須保持嚴(yán)格的同步時鐘,在計算機網(wǎng)絡(luò)環(huán)境良好的情況相對容易實現(xiàn),然而當(dāng)網(wǎng)絡(luò)存在一定延遲時,難以實現(xiàn)個用戶之間的同步認(rèn)證。對此,在網(wǎng)絡(luò)安全協(xié)議設(shè)計過程中可以合理運用異步認(rèn)證方式,采用隨機生成的驗證數(shù)字或字母來取代時間戳,在實現(xiàn)有效由于網(wǎng)絡(luò)條件引發(fā)的認(rèn)證失敗問題的同時,確保網(wǎng)絡(luò)安全協(xié)議的安全性。另一方面,采用能夠抵御常規(guī)攻擊的設(shè)計方式。網(wǎng)絡(luò)安全協(xié)議必須具備抵御常見明文攻擊、混合攻擊以及過期信息攻擊等網(wǎng)絡(luò)攻擊的能力,防止網(wǎng)絡(luò)擊者從應(yīng)答信息中獲取密鑰信息。同時,在設(shè)計網(wǎng)絡(luò)安全協(xié)議過程中,也應(yīng)當(dāng)注重過期消息的處理機制的合理運用,避免網(wǎng)絡(luò)攻擊者利用過期信息或是對過期信息進(jìn)行是該來實現(xiàn)攻擊,提升網(wǎng)絡(luò)安全協(xié)議的安全性。此外,在設(shè)計網(wǎng)絡(luò)安全協(xié)議過程中,還應(yīng)當(dāng)確保網(wǎng)絡(luò)安全協(xié)議實用性,保障網(wǎng)絡(luò)安全協(xié)議能夠在任何網(wǎng)絡(luò)結(jié)構(gòu)的任意協(xié)議層中使用。在網(wǎng)絡(luò)通信中,不同網(wǎng)絡(luò)結(jié)構(gòu)的不同協(xié)議層在接受信息長度方面存在一定差異,對此,在設(shè)置網(wǎng)絡(luò)安全協(xié)議秘鑰消息時,必須確保密鑰消息滿足最短協(xié)議層的要求,將密碼消息長度設(shè)置為一組報文的長度,在確保網(wǎng)絡(luò)安全協(xié)議適用性的同時,提升網(wǎng)絡(luò)安全協(xié)議的安全性。
2計算機網(wǎng)絡(luò)安全協(xié)議在CTC中的應(yīng)用
近年來,隨著計算機通信技術(shù)、網(wǎng)絡(luò)技術(shù)以及我國高速鐵路的不斷發(fā)展,推動了我國調(diào)度集中控系統(tǒng)(CentralizedTrafficControl,檢測CTC系統(tǒng))的不斷發(fā)展,使得CTC系統(tǒng)廣泛應(yīng)用于高鐵的指揮調(diào)度中。CTC系統(tǒng)是鐵路運輸指揮信息化自動化的基礎(chǔ)和重要組成部分,采用了自動控制技術(shù)、計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)等先進(jìn)技術(shù),同時采用智能化分散自律設(shè)計原則,是一種以列車運行調(diào)整計劃控制為中心,兼顧列車與調(diào)車作業(yè)的高度自動化的調(diào)度指揮系統(tǒng)。同CTC系統(tǒng)的路由器與交換機之間裝設(shè)了防火墻隔離設(shè)備,能夠有效確保CTC系統(tǒng)中心局域網(wǎng)的安全。CTC系統(tǒng)的車站系統(tǒng)的局域網(wǎng)主干主要由兩臺高性能交換機或集線器構(gòu)成,并在車站調(diào)度集中自律機LiRC、值班員工作站以及信號員工作站等設(shè)備上配備兩個以太網(wǎng)口,以實現(xiàn)與高速網(wǎng)絡(luò)通信。為實現(xiàn)車站系統(tǒng)與車站基層廣域網(wǎng)之間的網(wǎng)絡(luò)通信和高速數(shù)據(jù)傳輸,車站系統(tǒng)配備了兩臺路由器。車站基層廣域網(wǎng)連接調(diào)度中心局域網(wǎng)通過雙環(huán)、迂回的高速專用數(shù)字通道實現(xiàn)與各車站局域網(wǎng)的網(wǎng)絡(luò)通信,其中,該數(shù)字通道的帶寬超過2Mbps/s,且每個通道環(huán)的站數(shù)在8個以內(nèi),并采用每個環(huán)應(yīng)交叉連接到局域網(wǎng)兩臺路由器的方式來確保其數(shù)據(jù)傳輸?shù)目煽啃浴TC系統(tǒng)在網(wǎng)絡(luò)通信協(xié)議方面,采用TCP/IP協(xié)議,并在數(shù)據(jù)傳輸過程中運用CHAP身份驗證技術(shù)和IPSEC安全保密技術(shù),在有效實現(xiàn)數(shù)據(jù)高速傳遞的同時,確保的網(wǎng)絡(luò)通信的安全。
3結(jié)語
網(wǎng)絡(luò)安全協(xié)議在計算機通信技術(shù)的應(yīng)用,能夠有效確保數(shù)據(jù)信息的完整性和安全性,同時也能夠有效提升計算機網(wǎng)絡(luò)通信的安全,有利于計算機數(shù)據(jù)信息的處理。對此,應(yīng)當(dāng)不斷完善和改進(jìn)網(wǎng)絡(luò)安全協(xié)議,提升網(wǎng)絡(luò)安全協(xié)議的網(wǎng)絡(luò)安全協(xié)議的安全性和可靠性。
作者:石全民 何輝 單位:蘭州工業(yè)學(xué)院信息中心
〔論文摘要〕鐵路運輸?shù)闹黝}是安全問題,通常我們把鐵路信號比作人的“眼睛”說明鐵路信號的重要意義,并針對計算機網(wǎng)絡(luò)在鐵路信號中的重要作用,對規(guī)劃建設(shè),構(gòu)筑網(wǎng)絡(luò)的基本要點進(jìn)行詳細(xì)論述。
隨著鐵路信號技術(shù)的發(fā)展,計算機及計算機網(wǎng)絡(luò)己得到廣泛應(yīng)用。很多 信號設(shè)備脫離了傳統(tǒng)的機電技術(shù)和早期獨立的一站一點的概念,以具有計算機 特性的電子產(chǎn)品和設(shè)備取而代之,而且具備網(wǎng)絡(luò)連接的基本功能。如dims, 微機監(jiān)測,計算機聯(lián)鎖,智能電源屏等設(shè)備。但是要使這些新技術(shù)設(shè)備在運輸 生產(chǎn)中充分發(fā)揮作用,就必須將其有機地連接在一起。在數(shù)字信息時代,隨著 鐵路運輸對計算機、計算機網(wǎng)絡(luò)的依賴,充分認(rèn)識計算機網(wǎng)絡(luò)的重要性,盡快 加強這方面的工作就顯得尤為重要。
1概述
1. 1我國鐵路通信網(wǎng)的特點
沿鐵路線分布;用戶比較單一;通信資源較為豐富。
1.2鐵路信號通信網(wǎng)絡(luò)建設(shè)的基本要求
建設(shè)鐵路信號通信網(wǎng)絡(luò)客觀上己具備條件,但在網(wǎng)絡(luò)建設(shè)時,應(yīng)有一個系統(tǒng)全面的規(guī)劃安排。既要暢通高效、安全可靠,還不能造成通信資源的浪費及維修成本過大。實際上,這是一項涉及計算機、通信及信號安全于一體的綜合性技術(shù)。目前,我國鐵路各類專業(yè)設(shè)備組網(wǎng)較多,如tims系統(tǒng)、dims系統(tǒng)、票務(wù)系統(tǒng)、車輛紅外系統(tǒng)、電力遠(yuǎn)動系統(tǒng)、醫(yī)療保險系統(tǒng)、電務(wù)微機監(jiān)測系統(tǒng)及辦公自動化系統(tǒng)等,從建設(shè)情況看,一般是建設(shè)一個項目便組建一個網(wǎng)絡(luò),組網(wǎng)一般也是以“通”為基本要求。
2鐵路信號通信網(wǎng)絡(luò)結(jié)構(gòu)時,應(yīng)著重考慮的因素
針對不同的傳送信息及線路連接方式,在選擇鐵路信號通信網(wǎng)絡(luò)結(jié)構(gòu)時,應(yīng)著重考慮以下幾個因素。
2. 1綜合考慮網(wǎng)絡(luò)功能、運用成本及建設(shè)投入。
首先網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)滿足系統(tǒng)對傳輸帶寬、傳輸速率、誤碼率及網(wǎng)絡(luò)安全等功能的要求,同時留有發(fā)展空間。有條件時盡可能選用光通信傳輸,通信傳輸應(yīng)遵從國際通用的通信協(xié)議規(guī)則(如tcp/工p)。其次在設(shè)計階段必須考慮網(wǎng)絡(luò)建成后的運營成本。一般來說串型連接方式較星型連接方式運維成本低,主要原因是串型連接方式所占有的通信端口、時隙數(shù)量及長途話路相對較少。按目前通信收費標(biāo)準(zhǔn)計算,1個專用2 mb/s端口,月使用費一般為4000元至1萬元,網(wǎng)絡(luò)中連接的節(jié)點越多,其端口越多,費用也就越高。但串型連接方式所需要的接口轉(zhuǎn)換設(shè)備相對較多,即初期建設(shè)投入相對高些。綜合考慮,若無特殊要求時應(yīng)盡可能選用串型連接方式。在鐵路信號系統(tǒng)中,目前使用的dims和微機監(jiān)測2大網(wǎng)絡(luò)系統(tǒng),其基層網(wǎng)點的連接均選用了串型連接方式。另外在計算機接口和通信傳輸設(shè)各間的轉(zhuǎn)換設(shè)各,應(yīng)盡可能選用具有可擴展功能的、滿足通信協(xié)議的轉(zhuǎn)換器、路由器等設(shè)各。
2. 2網(wǎng)絡(luò)建設(shè)應(yīng)是一個獨立的系統(tǒng)工程,井不依附于任何一個系統(tǒng)
構(gòu)筑一個網(wǎng)絡(luò)不僅需要硬件,還需要軟件,應(yīng)根據(jù)各系統(tǒng)信息傳輸要求,對網(wǎng)絡(luò)進(jìn)行統(tǒng)一的規(guī)劃設(shè)計,留出發(fā)展空間,確定網(wǎng)絡(luò)的容量、速率、誤碼率等技術(shù)條件及相應(yīng)的網(wǎng)絡(luò)設(shè)備。各系統(tǒng)信息傳輸必須滿足網(wǎng)絡(luò)通道的要求,實現(xiàn)一網(wǎng)多用途、一網(wǎng)多平臺,充分發(fā)揮網(wǎng)絡(luò)功能。建設(shè)一個網(wǎng)絡(luò)通道是非常不容易的,其工程投資較尤建設(shè)時間較長,參加施工單位較多,協(xié)調(diào)工作難度較大。而且網(wǎng)絡(luò)一旦建成,要想改動是比較困難的。故此網(wǎng)絡(luò)建設(shè)應(yīng)謹(jǐn)小慎微,切忌各自為政。當(dāng)然一個完整的網(wǎng)絡(luò)必然有其網(wǎng)管系統(tǒng),便于實現(xiàn)自身的管理維護(hù)。
2. 3實現(xiàn)特定范圍內(nèi)信息共享,應(yīng)成為組網(wǎng)時的基本思路
即在同一個網(wǎng)絡(luò)通道中傳輸多個不同系統(tǒng)的數(shù)據(jù),并在一個或多個計算機設(shè)備上接收處理,其最大優(yōu)點是可節(jié)省工程投資及運維成本。就目前信號設(shè)備技術(shù)發(fā)展而言,微機監(jiān)測、dmis、計算機聯(lián)鎖、智能電源屏、以及正在開發(fā)的智能型控制臺、半自動光傳輸設(shè)備及機車信號黑匣子等具有計算機特性的設(shè)備和器材,都可以共用同一網(wǎng)絡(luò),使我們可直接了解掌握設(shè)備的運用情況,開展維修管理工作。
2. 4加強網(wǎng)絡(luò)管理,建設(shè)具有較強網(wǎng)絡(luò)安全性能的防護(hù)休系
在網(wǎng)絡(luò)建設(shè)時必須考慮網(wǎng)絡(luò)安全,這關(guān)系到傳輸數(shù)據(jù)的安全性。在網(wǎng)絡(luò)安全上可考慮采用以下幾種方式:①建成封閉型的信號通信網(wǎng)絡(luò)。鐵路信號通信網(wǎng)絡(luò)有別于互聯(lián)網(wǎng)、辦公網(wǎng)等公共網(wǎng),其專用性較強,涉及行車安全,故對網(wǎng)絡(luò)傳輸?shù)陌踩?zhǔn)確、穩(wěn)定及實時性等方面要求較高,不應(yīng)同外界有任何聯(lián)系,防止網(wǎng)絡(luò)病毒侵襲。②對安全級要求較高的設(shè)備采取增設(shè)隔離設(shè)備的方式,即專用通信方式。網(wǎng)絡(luò)中傳輸?shù)男盘栃畔⒋笾驴煞譃?類,即管理信息、監(jiān)測信息和診斷信息,其中第3類信息由于直接來自行車控制設(shè)備,因此對安全級要求較高,組網(wǎng)時可考慮采用增設(shè)隔離設(shè)備等措施,即利用通信前置機與網(wǎng)絡(luò)連接,遵從公網(wǎng)通信協(xié)議;采取專業(yè)通信方式和專用通信協(xié)議與行車控制設(shè)備連接以確保安全。對于其他類信息,組網(wǎng)時可采取分級、分層設(shè)置防火墻,確保網(wǎng)絡(luò)安全。
3鐵路信號通信網(wǎng)絡(luò)結(jié)構(gòu)的選擇及運用
關(guān)鍵詞:電力 無線網(wǎng)絡(luò) 漏洞 自動化 解決方案
中圖分類號:TN915 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2014)10(c)-0084-02
1 研究背景
近年來,全球的數(shù)據(jù)網(wǎng)絡(luò)正以令人驚奇的速度發(fā)展,為信息的交流和經(jīng)濟的發(fā)展提供了高效的工具和便利的平臺。隨著電力建設(shè)的飛速發(fā)展,電力自動化數(shù)據(jù)網(wǎng)絡(luò)也迅速擴大,正在向全面覆蓋所有的電力企業(yè)邁進(jìn),電力系統(tǒng)數(shù)字化已是大勢所趨。電力調(diào)度自動化系統(tǒng)、配電自動化系統(tǒng)、電量計費系統(tǒng)、電力市場技術(shù)支持系統(tǒng)及交易系統(tǒng)、電力客戶服務(wù)中心系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠監(jiān)控系統(tǒng)、MIS 系統(tǒng)等,無一不是以高速的數(shù)據(jù)傳輸與交換為基本手段而建設(shè)的。電力自動化數(shù)據(jù)通信網(wǎng)絡(luò)利用因特網(wǎng)、無線網(wǎng)等的工具和平臺,在提高數(shù)據(jù)傳輸效率、減少開發(fā)維護(hù)工作量的同時,也帶來了新的問題,這就是內(nèi)部機密信息在網(wǎng)絡(luò)上的泄密、以及被攻擊破壞等。
隨著計算機運算性能的提高,通信技術(shù)的不斷發(fā)展,電力通信協(xié)議也在不斷的改進(jìn),以適應(yīng)通信數(shù)據(jù)類別、流量和實時性的要求。IEC60870規(guī)約系列規(guī)定了電力遠(yuǎn)動、繼電保護(hù)數(shù)據(jù)、電能計費等多個方面的通信協(xié)議,甚至出現(xiàn)了104網(wǎng)絡(luò)通信規(guī)約,以適應(yīng)網(wǎng)絡(luò)RTU在電力系統(tǒng)中的應(yīng)用。各項信息安全技術(shù)也開始得到廣泛的應(yīng)用,但是仍然是以以下觀點為基礎(chǔ)開展的,電力數(shù)據(jù)網(wǎng)絡(luò)的信息安全研究應(yīng)該有所突破:
(1)電力通信網(wǎng)絡(luò)的兩個隔離。物理隔離作為國家的明文規(guī)定是建立在網(wǎng)絡(luò)條件不如人意,網(wǎng)絡(luò)威脅依然嚴(yán)重的情況下的,需要看到電力信息系統(tǒng)的開放性將是主流方向,基礎(chǔ)研究應(yīng)該突破這個框架開展一些前瞻性的工作。(2)重點防護(hù)監(jiān)控系統(tǒng),對通信數(shù)據(jù)網(wǎng)絡(luò)的信息安全重視不足。雖然通信網(wǎng)絡(luò)的安全威脅相比而言較小,但是由于電力通信對實時性和可靠性的要求,使得通信數(shù)據(jù)網(wǎng)絡(luò)與電力監(jiān)控系統(tǒng)的信息安全同等重要。(3)認(rèn)為電力自動化通信沒有安全問題,或者認(rèn)為還不值得深入研究,電力信息使得任何安全研究都不能不重視其實時性的要求,因此自動化通信的信息安全研究開展不多,還需要進(jìn)行大量的研究。
2 電力系統(tǒng)無線通信對于信息安全的需求
電力自動化管理系統(tǒng)無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)非常混雜,從加密的技術(shù)角度來區(qū)分,可分為實時數(shù)據(jù)和非實時數(shù)據(jù)兩類。
2.1 實時數(shù)據(jù)的數(shù)據(jù)特點
無線網(wǎng)絡(luò)中傳輸?shù)膶崟r數(shù)據(jù),其通信規(guī)約對時間的要求很嚴(yán)格,不允許較大的傳輸延遲;另一方面,實時數(shù)據(jù)的數(shù)據(jù)量相對較小,且數(shù)據(jù)流量比較穩(wěn)定。主要包括:
(1)下行數(shù)據(jù)。包括遙控、遙調(diào)和保護(hù)裝置及其他自動裝置的整定值信息等。這類數(shù)據(jù)與設(shè)備狀態(tài)相關(guān),直接影響到電網(wǎng)的安全運行。安全要求和實時要求都很高。(2)上行數(shù)據(jù)。包括遙信、重要遙測、事件順序記錄(SOE)信息等。這類數(shù)據(jù)是電網(wǎng)穩(wěn)定運行的判據(jù),也是調(diào)度決策的依據(jù),實時性要求很高。管理數(shù)據(jù)。如負(fù)荷管理、停電計劃等管理信息系統(tǒng)(MIS)的重要管理數(shù)據(jù)。這類數(shù)據(jù)對保密性有一定要求。實時數(shù)據(jù)其數(shù)據(jù)流量穩(wěn)定且時效性快,但是要求實時性高、可靠性高,其保密性和數(shù)據(jù)完整性的要求也高,因此對實時數(shù)據(jù)加密必須慎之又慎。
2.2 非實時數(shù)據(jù)的數(shù)據(jù)特點
無線網(wǎng)絡(luò)中傳輸?shù)姆菍崟r數(shù)據(jù),其數(shù)據(jù)量一般較大,但時效性不高,可以允許一定的傳輸延遲。它主要包括電力設(shè)備的維護(hù)日志、電力用戶的電能質(zhì)量信息等。非實時數(shù)據(jù)實時性要求不高,但是對數(shù)據(jù)完整性和保密性有一定的要求,在數(shù)據(jù)加密中要注意選擇合適的算法。
3 電力自動化系統(tǒng)的安全漏洞及解決方案
電力自動化應(yīng)用系統(tǒng),不論是電力負(fù)荷管理系統(tǒng)、電能量管理系統(tǒng)或是其它的應(yīng)用系統(tǒng),它的網(wǎng)絡(luò)結(jié)構(gòu)框圖都可以歸納成圖1所示。
3.1 中心站的安全隱患及解決方法
應(yīng)用系統(tǒng)都有一個中心站,它包括前置機、服務(wù)器等硬件設(shè)備及配套的管理軟件,它負(fù)責(zé)接收各個子站上傳的數(shù)據(jù)并通過管理軟件對數(shù)據(jù)進(jìn)行分析、歸納和管理;另一方面,它也維護(hù)各個子站正常運行,并以下發(fā)命令的方式對子站進(jìn)行操作管理;而且中心站還是本應(yīng)用系統(tǒng)與其它的電力自動化應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)共享和管理的一個數(shù)據(jù)接口。一般來說,中心站和子站之間以及中心站和其它應(yīng)用系統(tǒng)之間的數(shù)據(jù)傳輸都是通過有線傳輸(如光纖)進(jìn)行的。
中心站既是內(nèi)部通信子站數(shù)據(jù)集中的一個節(jié)點,也是應(yīng)用系統(tǒng)與外部進(jìn)行數(shù)據(jù)收發(fā)的一個接口。只要攻擊者侵入了該節(jié)點,整個系統(tǒng)的數(shù)據(jù)就相當(dāng)于暴露在了入侵者的面前。而且一旦中心站出現(xiàn)了故障,即使其它的通信子站均運行正常,整個系統(tǒng)也無法正常工作了。正由于它的重要性和脆弱性,因此對于中心站就更是要進(jìn)行重點防護(hù)。防火墻就是一種有效的網(wǎng)絡(luò)安全保護(hù)措施,它可以按照用戶事先規(guī)定好的方案控制信息的流入和流出,監(jiān)督和控制使用者的操作。防火墻大量的應(yīng)用于企業(yè)中,它可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它能有效地監(jiān)控內(nèi)部網(wǎng)和 Internet之間的任何活動,保證內(nèi)部網(wǎng)絡(luò)的安全。
防火墻的目的是在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。一般的防火墻都可以達(dá)到以下目的:一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過濾掉不安全服務(wù)和非法用戶;二是防止入侵者接近你的防御設(shè)施;三是限定用戶訪問特殊站點;四是為監(jiān)視Internet安全提供方便。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù),因此更適合于相對獨立的網(wǎng)絡(luò),例如Intranet 等種類相對集中的網(wǎng)絡(luò)。防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法。事實上,在Internet上的Web網(wǎng)站中,超過三分之一的Web網(wǎng)站都是由某種形式的防火墻加以保護(hù),這是對黑客防范最嚴(yán),安全性較強的一種方式,任何關(guān)鍵性的服務(wù)器,都建議放在防火墻之后。可見,防火墻處于可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)邊界的位置,是可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)數(shù)據(jù)交換的“門戶”,用來防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制強化內(nèi)部網(wǎng)絡(luò)的安全策略,其性能、可用性、可靠性、安全性等指標(biāo)在很大程度上決定了網(wǎng)絡(luò)的傳輸效率和傳輸安全。防火墻是網(wǎng)絡(luò)安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理,從總體上來看,防火墻的基本功能有兩個:一是隔離,使內(nèi)部網(wǎng)絡(luò)不與外部網(wǎng)絡(luò)進(jìn)行物理直接連接;二是訪問控制,是進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包按照安全策略有選擇地轉(zhuǎn)發(fā)。圍繞這兩個基本功能,大量與安全有關(guān)的網(wǎng)絡(luò)技術(shù)和安全技術(shù)被綜合進(jìn)防火墻設(shè)備中,使防火墻地功能不斷擴展,性能不斷提高。概括地說,功能較完善的防火墻采用了以下安全技術(shù):
3.1.1 多級的過濾控制技術(shù)
一般采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應(yīng)用級網(wǎng)關(guān)一級,能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級,實現(xiàn)內(nèi)部主機與外部站點的透明連接,并對服務(wù)的通行實行嚴(yán)格控制。
3.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)
利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)湫畔ⅲ瑫r允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
3.1.3 用戶鑒別與加密
為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險,鑒別功能必不可少,防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對郵件的加密。
3.1.4 審計和告警
對網(wǎng)絡(luò)事件進(jìn)行審計,如果發(fā)現(xiàn)入侵行為將以發(fā)出郵件、聲響等多種方式報警。為了加強自動化應(yīng)用系統(tǒng)的安全水平,需要在系統(tǒng)與其它網(wǎng)絡(luò)的接口之間設(shè)置一套防火墻設(shè)備。這樣既能防止外來的訪問者攻擊系統(tǒng),竊取或者篡改系統(tǒng)數(shù)據(jù);同時也能防止內(nèi)部數(shù)據(jù)未經(jīng)允許流向外部網(wǎng)絡(luò)。如圖1所示,在公網(wǎng)通信中,除了自動化系統(tǒng)與其它應(yīng)用系統(tǒng)的接口外,子站采集自終端的數(shù)據(jù)要發(fā)送到中心站,也要通過 Internet網(wǎng)絡(luò)進(jìn)行傳輸,這就給攻擊者提供了一個侵入的端口。因此要在這兩處均安裝防火墻設(shè)備,來保證系統(tǒng)的安全運行。在專網(wǎng)通信中,由于整個通信網(wǎng)絡(luò)是一個相對獨立的網(wǎng)絡(luò),因此中心站了通信子站之間就不必加裝防火墻了。
3.2 無線終端的安全防護(hù)手段
無論是哪種無線網(wǎng)絡(luò),都有若干數(shù)量的無線終端,它們是通信系統(tǒng)的最基本的組成結(jié)構(gòu),通過通信子站與中心站進(jìn)行通信。因為無線終端的數(shù)據(jù)眾多,也使它們往往成為系統(tǒng)安全漏洞所在。對于應(yīng)用系統(tǒng)而言,保護(hù)系統(tǒng)信息安全與保護(hù)系統(tǒng)業(yè)務(wù)正常是同等重要的。保護(hù)系統(tǒng)信息安全首先必須保證信息訪問的安全性,要讓不該看到信息的人不能看到,不該操作信息的人不能操作。這方面,一是要依靠身份認(rèn)證技術(shù)來給信息的訪問加上一把鎖,二是要通過適當(dāng)?shù)脑L問控制模型顯式地準(zhǔn)許或限制訪問能力及范圍。這就引出了兩種信息安全技術(shù):身份認(rèn)證技術(shù)及訪問控制技術(shù)。通過這兩種技術(shù)手段,就能有效的解決以上的兩個安全問題。對于自動化應(yīng)用系統(tǒng)來說,系統(tǒng)內(nèi)的終端用戶只是采集電力用戶數(shù)據(jù)并上傳給服務(wù)器,并不存在越權(quán)訪問系統(tǒng)信息的問題。因此采用身份認(rèn)證技術(shù)就足以解決無線終端的信息保護(hù)問題了。
身份認(rèn)證是指被認(rèn)證對象向系統(tǒng)出示自己身份證明的過程,通常是獲得系統(tǒng)服務(wù)所必須的第一道關(guān)卡。身份認(rèn)證需要證實的是實體本身,而不是象消息認(rèn)證那樣證實其合法性、完整性。身份認(rèn)證的過程一般會涉及到兩方面的內(nèi)容識別和驗證。識別,就是要對系統(tǒng)中的每個合法注冊的用戶具有識別能力,要保證識別的有效性,必須保證任意兩個不同的用戶都不能具有相同的標(biāo)識符。驗證是指訪問者聲明自己的身份后,系統(tǒng)還必須對它聲稱的身份進(jìn)行驗證。標(biāo)識符可以是非秘密的,而驗證信息必須是秘密的。
身份認(rèn)證系統(tǒng)有兩方認(rèn)證和三方認(rèn)證兩種形式兩方認(rèn)證系統(tǒng)由被認(rèn)證對象和認(rèn)證方組成,被認(rèn)證對象出示證件,提出操作要求,認(rèn)證方檢驗被認(rèn)證對象所提供證件的合法性和有效性三方認(rèn)證系統(tǒng)除了被認(rèn)證對象和認(rèn)證方外,還有一個仲裁者,由雙方都信任的人充當(dāng)仲裁和調(diào)節(jié)。建立一個身份認(rèn)證系統(tǒng)的應(yīng)滿足的是:1)可識別率最大化:認(rèn)證方正確識別合法被認(rèn)證對象身份的概率最大化;2)可欺騙率最小化:攻擊者偽裝被認(rèn)證對象欺騙認(rèn)證方的成功率最小化;3)不可傳遞性:認(rèn)證方不可以用被認(rèn)證對象提供的信息來偽裝被認(rèn)證對象;4)計算有效性:實現(xiàn)身份認(rèn)證所需的計算量要小;5)安全存儲:實現(xiàn)身份認(rèn)證所需的參數(shù)能夠安全的存儲;6)第三方可信賴性:在三方認(rèn)證的系統(tǒng)中,第三方必須是雙方都信任的人或組織或可信安全性身份認(rèn)證系統(tǒng)所使用的算法的安全性是可證明和可信任的。
電力自動化系統(tǒng)內(nèi)部使用身份認(rèn)證技術(shù),在每一個無線終端的實體上增加了一道安全防護(hù),如圖2 所示。在進(jìn)行數(shù)據(jù)傳輸之前,驗證對方是否是系統(tǒng)內(nèi)的合法用戶。可以防止入侵者偽裝成內(nèi)部用戶,獲取系統(tǒng)數(shù)據(jù)。
3.3 保護(hù)系統(tǒng)信息安全的常用方案-算法加密
除了以上的信息安全技術(shù)之外,算法加密技術(shù)是一種被普遍應(yīng)用的安全技術(shù)。它在發(fā)送方將要發(fā)送的數(shù)據(jù)根據(jù)一定的算法進(jìn)行加密,變成不可識別的密文;而在接收方通過對應(yīng)的解密算法再將密文轉(zhuǎn)化為明文。從而保證數(shù)據(jù)在傳輸過程中的保密性。
4 結(jié)論
該文研究了電力自動化無線通信系統(tǒng)中的信息安全問題。隨著電力自動化無線通信技術(shù)的快速發(fā)展,對網(wǎng)絡(luò)信息安全的要求也不斷提高。無線通信技術(shù)有著其自身的特點,要求的安全解決方案也與其他不同。需要既保證無線信道的帶寬,又要有效地提高系統(tǒng)的安全防護(hù)強度。
參考文獻(xiàn)
[1] 孫毅,唐良瑞,杜丹.配電自動化中的通信網(wǎng)解決方案[J].燕山大學(xué)學(xué)報,2004,5(28):423-426.
[2] 宋磊,羅其亮,羅毅,等.電力系統(tǒng)實時數(shù)據(jù)通信加密方案[J].電力系統(tǒng)自動化,2004,28(14):76-81.
關(guān)鍵詞:移動通信;語音加密;RPE-LTP
1 引言
手機保密通信是在確保可靠通話質(zhì)量的前提下,為移動通信網(wǎng)絡(luò)中的用戶提供端到端的信息加密。文獻(xiàn)[1-2]提出了一種采用手機軟件加密技術(shù)實現(xiàn)的方案,該技術(shù)無需硬件投入,但若該系統(tǒng)被入侵,其安全性將無法保證;文獻(xiàn)[3-4]提出了采用VPN技術(shù)解決移動通信保密問題,實現(xiàn)難度大;本文針對以上問題,提出一種外置式語音加解密系統(tǒng),在保證語音質(zhì)量的前提下,采用抗RPE-LTP壓縮編碼的加解密算法[5],在保證語音質(zhì)量的前提下,實現(xiàn)較高強度的加密功能。
2 移動終端語音加密系統(tǒng)設(shè)計
整個語音加密通信主要由密鑰協(xié)商模塊、語音加密模塊和同步算法模塊三部分組成。加密時,語音信號經(jīng)過密鑰協(xié)商模塊,生成語音加密密鑰;接著經(jīng)過語音加密模塊,對語音信號按照特定方式進(jìn)行加密處理;最后經(jīng)過同步算法模塊,將加密后的語音信號加上同步信息后輸出。其中,語音加密模塊結(jié)合了語音信號處理和分組密碼加密運算的特點,對移動通信系統(tǒng)的語音壓縮編碼具有很高的恢復(fù)性。解密系統(tǒng)為加密系統(tǒng)的逆過程。總體架構(gòu)如圖1所示:
系統(tǒng)工作流程如下,雙方經(jīng)過密鑰協(xié)商后,建立加解密通道:(1)加密過程:輸入端的語音信號進(jìn)入麥克風(fēng)后經(jīng)過數(shù)字模擬轉(zhuǎn)換模塊轉(zhuǎn)換,再通過語音加密模塊加密,并經(jīng)過同步模塊置入同步信息,進(jìn)入通信信道傳輸;通過模擬數(shù)字模塊轉(zhuǎn)換后輸入手機,在經(jīng)手機的聲碼器壓縮后射頻輸出。(2)解密過程:由聲碼器解壓后的加密語音信號,通過耳機插口輸出到數(shù)字模擬轉(zhuǎn)換模塊,經(jīng)過回聲抑制進(jìn)入同步檢測模塊,判斷同步信息后送到解密模塊,最后由數(shù)字模擬轉(zhuǎn)換模塊轉(zhuǎn)換并輸出原始語音信號給耳機。
3 抗RPE-LTP壓縮編碼的語音加解密算法
算法根據(jù)PRE-LTP壓縮編碼的原理,利用其主要特性,對通信網(wǎng)絡(luò)中傳輸?shù)恼Z音信號進(jìn)行編碼壓縮,轉(zhuǎn)變成較難破解的加密聲音信息,完成語音加密過程;我們必須保證接收方在收到加密信息時,能夠根據(jù)RPE-LTP編碼原理,通過解碼器正確解密,還原為最初的語音信號從而完成整個語音加解密過程,達(dá)到語音安全通信的設(shè)計要求。
3.1 算法設(shè)計思路
主要設(shè)計思路如下:(1)首先需要將輸入語音信號進(jìn)行分解切片,分解切片這一操作必須滿足RPE-LTP的編解碼要求,分解切片的結(jié)果是將語音信號轉(zhuǎn)變?yōu)閱挝粠唬?)其次構(gòu)建符合要求的加密矩陣對切片單位幀依次進(jìn)行FDMA頻分亂序和TDMA時分亂序;(3)最后將亂序后的語音信號重新拼合成語音信號實現(xiàn)加密操作,合成的加密語音信號通過RPE-LTP編碼后經(jīng)過手機發(fā)射給相應(yīng)基站進(jìn)行傳輸,接收端在接到加密信號后,通過加解密裝置進(jìn)行逆向解密。
完整的加密操作包括了語音切片分解操作、FDMA頻分亂序操作、TDMA時分亂序操作和加密語音合成操作四部分。如圖2所示:
與此相對應(yīng),解密操作主要由加密語音切片分解、TDMA時分正序解密、FDMA頻分正序解密和原始語音合成四部分組成。解密過程是加密過程的逆操作,其中每一個模塊的功能都與加密模塊相對應(yīng)。下面介紹本設(shè)計中FDMA頻分亂序和TDMA時分亂序的算法與參數(shù)設(shè)計。
3.2 FDMA頻分亂序
在進(jìn)行TDMA時分亂序前先進(jìn)行FDMA頻分亂序,這將極大的提高加密強度,增加破解難度。具體的設(shè)計如下:首先對輸入語音信號進(jìn)行N點快速傅立葉變換(FFT),得到一個頻譜序列,并找出這個序列中語音頻率在300~3400Hz內(nèi)的符合人聲頻率的M個點,形成一個M行矩陣X,接著對X進(jìn)行亂序操作,等同于X乘以一個M行M列的置亂矩陣P,將置亂后的序列為Px,并對Px求快速傅立葉逆變換(IFFT)。
令M為原始語音明文信息,k1、r為算法密鑰,那么加密矩陣記為Pk1、r,解密矩陣記為Qk1、r,密文C可表示為:
C=Pk1、r(M)(1) (1)
M=P(C)=Qk1、r(C) (2)
置亂矩陣P必須符合一定的要求:(1)能夠確保亂序后的序列進(jìn)行IFFT后得到實序列;(2)只針對人聲頻率(300~3400Hz)范圍內(nèi)的語音點進(jìn)行亂序;(3)亂序后得到的語音的可懂度要盡可能的低。
根據(jù)以上的要求,得到的P矩陣有很多,我們選取形式較簡單的一組,以方便后續(xù)的加解密運算,其形式如下:
(3)
公式(3)中M表示符合人聲頻率300~3400Hz范圍內(nèi)的人聲點數(shù),其數(shù)量為N*(3400-300)/fs=3100N/fs。(N表示樣本長度,fs表示采樣頻率),稱為有效FFT點數(shù)。k1和r都是密鑰,k1為小于M并與M互質(zhì)的自然數(shù),r為小于M的自然數(shù)。
我們將滿足條件的k1的個數(shù)記為K',那么算法的加密強度可以表示為M*K'。
3.3 TDMA時分亂序
令M為原始語音明文信息,k2為算法密鑰,那么加密矩陣記為為Pk2',解密矩陣記為Qk2'為密文記為C,則:
如果分組長度記為T,則TDMA時分亂序的加密強度應(yīng)為T!。本算法的整體加密強度可以記為M*K'*T!。
3.4 參數(shù)的擇優(yōu)選擇
經(jīng)過一系列的測試,我們發(fā)現(xiàn)對加密結(jié)果有較大影響的參數(shù)是:語音分解切片尺寸和數(shù)據(jù)分組長度。
實驗中發(fā)現(xiàn)在語音以20ms進(jìn)行切片分解時,語音加密解密具有較好的操作性,語音還原的可懂度滿足人類聲音的識別要求,語音加解密速度較快,解密準(zhǔn)確度較高。同時單位幀長度控制在20ms左右能夠很好的保持語音信號自身的特性,所以在此算法中,我們將語音切片分解的長度定為20ms。
從公式中可以看到,加密強度與分組長度T有密切的關(guān)系,T越大加密強度就會越大,但是隨之帶來的問題是整個加密解密過程會變得漫長,考慮到語音傳輸對時效的要求較高,通過仿真測試,決定T取值在20左右可以在兼顧加密強度與語音時效中達(dá)到平衡。
結(jié)束語
本文針對移動終端語音加密通信中的關(guān)鍵技術(shù)展開研究,提出一種抗RPE-LTP壓縮編碼的語音加解密算法。該設(shè)計方案不需要改變現(xiàn)有手機硬件設(shè)計、網(wǎng)路基站設(shè)備和通信網(wǎng)絡(luò)核心架構(gòu),具有聲音實效性高,延遲小,語音加密強度大,解密速度快,可懂度高,可信度好等優(yōu)點。
參考文獻(xiàn)
[1]王經(jīng)星,孔維祥,高一,任其然.面向移動通信網(wǎng)絡(luò)的語音安全傳輸系統(tǒng)[J].信息網(wǎng)絡(luò)安全,2013.
[2]王育民,劉建偉編著.通信網(wǎng)的安全-理論與技術(shù)[M].西安電子科技大學(xué)出版社.1999
[3]侯雪梅.一種SVM多類分類算法用于抗噪語音識別[J].西安郵電學(xué)院學(xué)報,2009.
1.集群通信網(wǎng)絡(luò)的概念
集群通信系統(tǒng)是共享資源、分擔(dān)費用、向用戶提供優(yōu)良服務(wù)的多用途、高效能而又廉價的先進(jìn)無線調(diào)度指揮系統(tǒng)。對于指揮調(diào)度功能要求較高的企、事業(yè)、工礦、油田、農(nóng)場、公安、武警以及軍隊等部門都十分適用,集群通信采用單工或半雙工方式,要求接續(xù)時間小于500毫秒,具有調(diào)度級別控制等。同時對于集群通信還提出了傳輸集群、準(zhǔn)傳輸集群和信息集群的定義。
隨著集群通信的發(fā)展和用戶的需求,集群通信也從原來的模擬集群向數(shù)字集群過渡。但這種過度并不是簡單的將原來的模擬話音轉(zhuǎn)換為數(shù)字話音和提供數(shù)據(jù)傳輸功能就可以稱為數(shù)字集群了。其實,綜觀國際上提出的數(shù)字集群來看,數(shù)字集群的標(biāo)準(zhǔn)都是圍繞著用戶的需求而發(fā)展起來和提出的。
2.數(shù)字集群移動通信網(wǎng)絡(luò)的運行
數(shù)字集群通信是繼手機、小靈通之后的第三大戰(zhàn)場,正在成為電信領(lǐng)域開發(fā)的新重點,運營商、設(shè)備商正在展開一場新的角逐。在設(shè)計中針對了專業(yè)無線用戶的需求,特別適合在政府和商業(yè)領(lǐng)域的專網(wǎng)使用。
2.1數(shù)字集群通信的標(biāo)準(zhǔn)
TETRA(陸地集群無線電)系統(tǒng)在指揮調(diào)度方面應(yīng)用的比較多,可完成話音、電路數(shù)據(jù)、短數(shù)據(jù)消息、分組數(shù)據(jù)業(yè)務(wù)的通信及以上業(yè)務(wù)的直通模式,并可支持多種附加業(yè)務(wù)。在大區(qū)制條件下最大覆蓋半徑56公里。TETRA擴容可以逐步增加模塊化,適用于小、中、大型調(diào)度系統(tǒng);設(shè)計組網(wǎng)靈活,既適應(yīng)于專用調(diào)度網(wǎng),也適應(yīng)于共用調(diào)度網(wǎng)。TETRA話音編碼方式采用代數(shù)結(jié)構(gòu)碼本激勵線性預(yù)測編碼,具有良好的話音質(zhì)量,即使在強背景噪聲干擾下也可聽清,話音質(zhì)量并不像調(diào)頻系統(tǒng)那樣隨場強減弱而降低。大量實驗證明,TETRA系統(tǒng)的話音質(zhì)量比GSM系統(tǒng)好。因此,大量應(yīng)用于應(yīng)急、調(diào)度、指揮等專網(wǎng)應(yīng)用系統(tǒng)。
iDEN(集成數(shù)字增強型網(wǎng)絡(luò))系統(tǒng)是基于TDMA多址方式的調(diào)度通信/蜂窩雙工電話組合系統(tǒng)。它在傳統(tǒng)大區(qū)制調(diào)度通信基礎(chǔ)上,大量吸收數(shù)字蜂窩通信系統(tǒng)的優(yōu)點,如采用雙模手機方式,增強了電話互聯(lián)功能;采用小區(qū)復(fù)用蜂窩結(jié)構(gòu),提高了網(wǎng)絡(luò)覆蓋能力。選用這種編碼是先進(jìn)的,但技術(shù)公開性不好,價格較貴。但通話質(zhì)量和保密性都較好。
2.2數(shù)字集群系統(tǒng)設(shè)備安全
設(shè)備是網(wǎng)絡(luò)的基礎(chǔ),設(shè)備的安全是保障網(wǎng)絡(luò)安全的基礎(chǔ),只有保證網(wǎng)絡(luò)的物理可靠性,才能保證網(wǎng)絡(luò)功能、信息的安全性,因此基礎(chǔ)設(shè)備的可靠性至關(guān)重要。
對于交換機,硬件上應(yīng)實現(xiàn)關(guān)鍵部件的熱備份。軟件上,關(guān)鍵的用戶數(shù)據(jù)、配置數(shù)據(jù)應(yīng)當(dāng)及時、定期進(jìn)行備份。對于基站系統(tǒng)要考慮其抗外界干擾的能力,如射頻干擾、雷擊、抗震性能等。基站系統(tǒng)的備用電源應(yīng)根據(jù)基站覆蓋區(qū)的重要程度適當(dāng)配備,以應(yīng)變突發(fā)事件。系統(tǒng)主備用倒換能力是系統(tǒng)可靠性的一個重要指標(biāo),如倒換時間、倒換過程對正在進(jìn)行的業(yè)務(wù)的影響等。完善的監(jiān)控告警機制可大大提高網(wǎng)絡(luò)的可靠性,如系統(tǒng)部件可自我診斷和修復(fù)、系統(tǒng)可隔離故障模塊、及時產(chǎn)生告警信息。此外,調(diào)度臺、終端存儲了用戶的重要信息,這些設(shè)備由用戶控制,應(yīng)由專人維護(hù),以保證相關(guān)用戶信息不被外界竊取。
數(shù)字集群通信系統(tǒng)是一種特殊的專用通信系統(tǒng),在應(yīng)對突發(fā)事件時,對社會穩(wěn)定和人民生命財產(chǎn)的安全起著及其重要的作用,因此數(shù)字集群通信系統(tǒng)的安全要求要大大高于公眾移動通信系統(tǒng),所以數(shù)字集群通信系統(tǒng)運營者必須從各方面考慮如何增強系統(tǒng)的抗災(zāi)變能力,如何使系統(tǒng)更安全可靠的傳遞信息。只有全面的重視數(shù)字集群通信系統(tǒng)的安全問題,才能使數(shù)字集群系統(tǒng)發(fā)揮其應(yīng)有的作用。
3.未來數(shù)字集群通信技術(shù)發(fā)展方向
3.1高安全性
數(shù)字集群在基站與手機之間,信息完全依靠無線電波的傳輸,很容易被人們從空中攔截,在通話狀態(tài)、待機狀態(tài)都會泄密,即使關(guān)閉電臺,利用現(xiàn)代高科技,仍可遙控打開,繼續(xù)竊聽,從中截取、破壞、調(diào)換、假冒和盜用通信信息。
3.2高抗毀性
專業(yè)移動通信在使用過程可能遇到惡意破壞的人為因素或雨雪災(zāi)害的自然因素等影響,導(dǎo)致網(wǎng)絡(luò)不能正常工作,因此,未來PPDT系統(tǒng)要求可靠、準(zhǔn)確地提供業(yè)務(wù),具有高的抗毀性和可用性。通常情況下,系統(tǒng)以集群方式工作;在遭遇危害的極端情況下,系統(tǒng)以故障弱化方式或直通方式工作,保證系統(tǒng)能滿足基本的集群業(yè)務(wù)需求。
3.3高環(huán)境適應(yīng)性
專業(yè)移動通信由于它是用于全球的表層和空間,會遇到各種惡劣的氣候、地形和環(huán)境;因此,要求通信裝備必須能抗拒酷暑、嚴(yán)寒、狂風(fēng)、暴雨等惡劣氣候條件;必須適應(yīng)山岳、叢林、沙漠、河海、高空等三維空間的不同地形環(huán)境條件;既可車載船裝,又能背負(fù)手持,要經(jīng)得起各種移動體的安裝機械條件;在嘈雜的噪聲環(huán)境,要具有背景噪聲濾除功能,使通話對方聽不見噪聲干擾,話音清晰;在高速行駛時,通信不能中斷,質(zhì)量不能下降,可支持500km/h的高速運行。
論文摘要:21世紀(jì)移動通信技術(shù)和市場飛速發(fā)展,在新技術(shù)和市場需求的共同作用下,未來移動通信技術(shù)將呈現(xiàn)以下幾大趨勢:網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)化、分組化,移動互聯(lián)網(wǎng)逐步形成;網(wǎng)絡(luò)技術(shù)數(shù)字化、寬帶化;網(wǎng)絡(luò)設(shè)備智能化、小型化;應(yīng)用于更高的頻段,有效利用頻率;移動網(wǎng)絡(luò)的綜合化、全球化、個人化;各種網(wǎng)絡(luò)的融合;高速率、高質(zhì)量、低費用。這正是第四代(4G)移動通信技術(shù)發(fā)展的方向和目標(biāo)。
一、引言
移動通信是指移動用戶之間,或移動用戶與固定用戶之間的通信。隨著電子技術(shù)的發(fā)展,特別是半導(dǎo)體、集
成電路和計算機技術(shù)的發(fā)展,移動通信得到了迅速的發(fā)展。隨著其應(yīng)用領(lǐng)域的擴大和對性能要求的提高,促使移動通信在技術(shù)上和理論上向更高水平發(fā)展。20世紀(jì)80年代以來,移動通信已成為現(xiàn)代通信網(wǎng)中不可缺少并發(fā)展最快的通信方式之一。
回顧移動通信的發(fā)展歷程,移動通信的發(fā)展大致經(jīng)歷了幾個發(fā)展階段:第一代移動通信技術(shù)主要指蜂窩式模擬移動通信,技術(shù)特征是蜂窩網(wǎng)絡(luò)結(jié)構(gòu)克服了大區(qū)制容量低、活動范圍受限的問題。第二代移動通信是蜂窩數(shù)字移動通信,使蜂窩系統(tǒng)具有數(shù)字傳輸所能提供的綜合業(yè)務(wù)等種種優(yōu)點。第三代移動通信的主要特征是除了能提供第二代移動通信系統(tǒng)所擁有的各種優(yōu)點,克服了其缺點外,還能夠提供寬帶多媒體業(yè)務(wù),能提供高質(zhì)量的視頻寬帶多媒體綜合業(yè)務(wù),并能實現(xiàn)全球漫游。現(xiàn)在用的大多是第二代技術(shù),第三代技術(shù)還不太成功,但已有了第四代技術(shù)的設(shè)想。第四代移動通信系統(tǒng)(4G)標(biāo)準(zhǔn)比第三代具有更多的功能。
二、4G移動通信簡介
第四代移動通信技術(shù)的概念可稱為寬帶接入和分布網(wǎng)絡(luò),具有非對稱的超過2Mbit/s的數(shù)據(jù)傳輸能力。它包括寬帶無線固定接入、寬帶無線局域網(wǎng)、移動寬帶系統(tǒng)和交互式廣播網(wǎng)絡(luò)。第四代移動通信標(biāo)準(zhǔn)比第三代標(biāo)準(zhǔn)擁有更多的功能。第四代移動通信可以在不同的固定、無線平臺和跨越不同的頻帶的網(wǎng)絡(luò)中提供無線服務(wù),可以在任何地方用寬帶接入互聯(lián)網(wǎng)(包括衛(wèi)星通信和平流層通信),能夠提供定位定時、數(shù)據(jù)采集、遠(yuǎn)程控制等綜合功能。此外,第四代移動通信系統(tǒng)是集成多功能的寬帶移動通信系統(tǒng),是寬帶接入IP系統(tǒng)。目前正在開發(fā)和研制中的4G通信將具有以下特征:
(一)通信速度更快
由于人們研究4G通信的最初目的就是提高蜂窩電話和其他移動裝置無線訪問Internet的速率,因此4G通信的特征莫過于它具有更快的無線通信速度。專家預(yù)估,第四代移動通信系統(tǒng)的速度可達(dá)到10-20Mbit/s,最高可以達(dá)到100Mbit/s。
(二)網(wǎng)絡(luò)頻譜更寬
要想使4G通信達(dá)到100Mbit/s的傳輸速度,通信運營商必須在3G通信網(wǎng)絡(luò)的基礎(chǔ)上對其進(jìn)行大幅度的改造,以便使4G網(wǎng)絡(luò)在通信帶寬上比3G網(wǎng)絡(luò)的帶寬高出許多。據(jù)研究,每個4G信道將占有100MHz的頻譜,相當(dāng)于W-CDMA3G網(wǎng)絡(luò)的20倍。
(三)多種業(yè)務(wù)的完整融合
個人通信、信息系統(tǒng)、廣播、娛樂等業(yè)務(wù)無縫連接為一個整體,滿足用戶的各種需求。4G應(yīng)能集成不同模式的無線通信——從無線局域網(wǎng)和藍(lán)牙等室內(nèi)網(wǎng)絡(luò)、蜂窩信號、廣播電視到衛(wèi)星通信,移動用戶可以自由地從一個標(biāo)準(zhǔn)漫游到另一個標(biāo)準(zhǔn)。各種業(yè)務(wù)應(yīng)用、各種系統(tǒng)平臺間的互聯(lián)更便捷、安全,面向不同用戶要求,更富有個性化。而且4G手機從外觀和式樣上看將有更驚人的突破,可以想象的是,眼鏡、手表、化妝盒、旅游鞋都有可能成為4G終端。
(四)智能性能更高
第四代移動通信的智能性更高,不僅表現(xiàn)在4G通信的終端設(shè)備的設(shè)計和操作具有智能化,更重要的是4G手機可以實現(xiàn)許多難以想象的功能。例如,4G手機將能根據(jù)環(huán)境、時間以及其他因素來適時提醒手機的主人。
(五)兼容性能更平滑
要使4G通信盡快地被人們接受,還應(yīng)該考慮到讓更多的用戶在投資最少的情況下輕易地過渡到4G通信。因此,從這個角度來看,4G通信系統(tǒng)應(yīng)當(dāng)具備全球漫游、接口開放、能跟多種網(wǎng)絡(luò)互聯(lián)、終端多樣化以及能從2G、3G平穩(wěn)過渡等特點。
(六)實現(xiàn)更高質(zhì)量的多媒體通信
4G通信提供的無線多媒體通信服務(wù)將包括語音、數(shù)據(jù)、影像等,大量信息透過寬頻的信道傳送出去,為此4G也稱為“多媒體移動通信”。
(七)通信費用更加便宜
由于4G通信不僅解決了與3G的兼容性問題,讓更多的現(xiàn)有通信用戶能輕易地升級到4G通信,而且4G通信引入了許多尖端通信技術(shù),因此,相對其他技術(shù)來說,4G通信部署起來就容易、迅速得多。同時在建設(shè)4G通信網(wǎng)絡(luò)系統(tǒng)時,通信運營商們將考慮直接在3G通信網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上,采用逐步引入的方法,這樣就能夠有效地降低運營成本。
三、4G移動通信的接入系統(tǒng)
4G移動通信接入系統(tǒng)的顯著特點是,智能化多模式終端(multi-modeterminal)基于公共平臺,通過各種接技術(shù),在各種網(wǎng)絡(luò)系統(tǒng)(平臺)之間實現(xiàn)無縫連接和協(xié)作。在4G移動通信中,各種專門的接入系統(tǒng)都基于一個公共平臺,相互協(xié)作,以最優(yōu)化的方式工作,來滿足不同用戶的通信需求。當(dāng)多模式終端接入系統(tǒng)時,網(wǎng)絡(luò)會自適應(yīng)分配頻帶、給出最優(yōu)化路由,以達(dá)到最佳通信效果。目前,4G移動通信的主要接入技術(shù)有:無線蜂窩移動通信系統(tǒng)(例如2G、3G);無繩系統(tǒng)(如DECT);短距離連接系統(tǒng)(如藍(lán)牙);WLAN系統(tǒng);固定無線接入系統(tǒng);衛(wèi)星系統(tǒng);平流層通信(STS);廣播電視接入系統(tǒng)(如DAB、DVB-T、CATV)。隨著技術(shù)發(fā)展和市場需求變化,新的接入技術(shù)將不斷出現(xiàn)。
不同類型的接入技術(shù)針對不同業(yè)務(wù)而設(shè)計,因此,我們根據(jù)接入技術(shù)的適用領(lǐng)域、移動小區(qū)半徑和工作環(huán)境,對接入技術(shù)進(jìn)行分層。
分配層:主要由平流層通信、衛(wèi)星通信和廣播電視通信組成,服務(wù)范圍覆蓋面積大。
蜂窩層:主要由2G、3G通信系統(tǒng)組成,服務(wù)范圍覆蓋面積較大。
熱點小區(qū)層:主要由WLAN網(wǎng)絡(luò)組成,服務(wù)范圍集中在校園、社區(qū)、會議中心等,移動通信能力很有限。
個人網(wǎng)絡(luò)層:主要應(yīng)用于家庭、辦公室等場所,服務(wù)范圍覆蓋面積很小。移動通信能力有限,但可通過網(wǎng)絡(luò)接入系統(tǒng)連接其他網(wǎng)絡(luò)層。
固定網(wǎng)絡(luò)層:主要指雙絞線、同軸電纜、光纖組成的固定通信系統(tǒng)。
網(wǎng)絡(luò)接入系統(tǒng)在整個移動網(wǎng)絡(luò)中處于十分重要的位置。未來的接入系統(tǒng)將主要在以下三個方面進(jìn)行技術(shù)革新和突破:為最大限度開發(fā)利用有限的頻率資源,在接入系統(tǒng)的物理層,優(yōu)化調(diào)制、信道編碼和信號傳輸技術(shù),提高信號處理算法、信號檢測和數(shù)據(jù)壓縮技術(shù),并在頻譜共享和新型天線方面做進(jìn)一步研究。為提高網(wǎng)絡(luò)性能,在接入系統(tǒng)的高層協(xié)議方面,研究網(wǎng)絡(luò)自我優(yōu)化和自動重構(gòu)技術(shù),動態(tài)頻譜分配和資源分配技術(shù),網(wǎng)絡(luò)管理和不同接入系統(tǒng)間協(xié)作。提高和擴展IP技術(shù)在移動網(wǎng)絡(luò)中的應(yīng)用;加強軟件無線電技術(shù);優(yōu)化無線電傳輸技術(shù),如支持實時和非實時業(yè)務(wù)、無縫連接和網(wǎng)絡(luò)安全。
四、4G移動通信系統(tǒng)中的關(guān)鍵技術(shù)
(一)定位技術(shù)
定位是指移動終端位置的測量方法和計算方法。它主要分為基于移動終端定位、基于移動網(wǎng)絡(luò)定位或者混合定位三種方式。在4G移動通信系統(tǒng)中,移動終端可能在不同系統(tǒng)(平臺)間進(jìn)行移動通信。因此,對移動終端的定位和跟蹤,是實現(xiàn)移動終端在不同系統(tǒng)(平臺)間無縫連接和系統(tǒng)中高速率和高質(zhì)量的移動通信的前提和保障。
(二)切換技術(shù)
切換技術(shù)適用于移動終端在不同移動小區(qū)之間、不同頻率之間通信或者信號降低信道選擇等情況。切換技術(shù)是未來移動終端在眾多通信系統(tǒng)、移動小區(qū)之間建立可靠移動通信的基礎(chǔ)和重要技術(shù)。它主要有軟切換和硬切換。在4G通信系統(tǒng)中,切換技術(shù)的適用范圍更為廣泛,并朝著軟切換和硬切換相結(jié)合的方向發(fā)展。
(三)軟件無線電技術(shù)
在4G移動通信系統(tǒng)中,軟件將會變得非常繁雜。為此,專家們提議引入軟件無線電技術(shù),將其作為從第二代移動通信通向第三代和第四代移動通信的橋梁。軟件無線電技術(shù)能夠?qū)⒛M信號的數(shù)字化過程盡可能地接近天線,即將A/D和D/A轉(zhuǎn)換器盡可能地靠近RF前端,利用DSP進(jìn)行信道分離、調(diào)制解調(diào)和信道編譯碼等工作。它旨在建立一個無線電通信平臺,在平臺上運行各種軟件系統(tǒng),以實現(xiàn)多通路、多層次和多模式的無線通信。因此,應(yīng)用軟件無線電技術(shù),一個移動終端,就可以實現(xiàn)在不同系統(tǒng)和平臺之間,暢通無阻的使用。目前比較成熟的軟件無線電技術(shù)有參數(shù)控制軟件無線電系統(tǒng)。
(四)智能天線技術(shù)
智能天線具有抑制信號干擾、自動跟蹤以及數(shù)字波束調(diào)節(jié)等智能功能,能滿足數(shù)據(jù)中心、移動IP網(wǎng)絡(luò)的性能要求。智能天線成形波束能在空間域內(nèi)抑制交互干擾,增強特殊范圍內(nèi)想要的信號,這種技術(shù)既能改善信號質(zhì)量又能增加傳輸容量。
(五)交互干擾抑制和多用戶識別
待開發(fā)的交互干擾抑制和多用戶識別技術(shù)應(yīng)成為4G的組成部分,它們以交互干擾抑制的方式引入到基站和移動電話系統(tǒng),消除不必要的鄰近和共信道用戶的交互干擾,確保接收機的高質(zhì)量接收信號。這種組合將滿足更大用戶容量的需求,還能增加覆蓋范圍。交互干擾抑制和多用戶識別兩種技術(shù)的組合將大大減少網(wǎng)絡(luò)基礎(chǔ)設(shè)施的部署,確保業(yè)務(wù)質(zhì)量的改善。
(六)新的調(diào)制和信號傳輸技術(shù)
在高頻段進(jìn)行高速移動通信,將面臨嚴(yán)重的選頻衰落(frequency-selectivefading)。為提高信號性能,研究和發(fā)展智能調(diào)制和解調(diào)技術(shù),來有效抑制這種衰落。例如正交頻分復(fù)用技術(shù)(OFDM)、自適應(yīng)均衡器等。另一方面,采用TPC、Rake擴頻接收、跳頻、FEC(如AQR和Turbo編碼)等技術(shù),來獲取更好的信號能量噪聲比。
五、OFDM技術(shù)在4G中的應(yīng)用
若以技術(shù)層面來看,第三代移動通信系統(tǒng)主要是以CDMA為核心技術(shù),第四代移動通信系統(tǒng)技術(shù)則以正交頻分復(fù)用(OrthogonalFreqencyDivisionMultiplexer,OFDM)最受矚目,特別是有不少專家學(xué)者針對OFDM技術(shù)在移動通信技術(shù)上的應(yīng)用,提出相關(guān)的理論基礎(chǔ)。例如無線區(qū)域環(huán)路(WLL)、數(shù)字音訊廣播(DAB)等,都將在未來采用OFDM技術(shù),而第四代移動通信系統(tǒng)則計劃以O(shè)FDM為核心技術(shù),提供增值服務(wù)。
在時代交替之際,舊有系統(tǒng)之整合與升級是產(chǎn)業(yè)關(guān)心的話題,目前大家談的是GSM如何升級到第三代移動通信系統(tǒng);而未來則是CDMA如何與OFDM技術(shù)相結(jié)合。可以預(yù)計,CDMA絕對不會在第四代移動通信系統(tǒng)中消失,而是成為其應(yīng)用技術(shù)的一部份,或許未來也會有新的整合技術(shù)如OFDM/CDMA產(chǎn)生,前文所提到的數(shù)字音訊廣播,其實它真正運用的技術(shù)是OFDM/FDMA的整合技術(shù),同樣是利用兩種技術(shù)的結(jié)合。因此未來以O(shè)FDM為核心技術(shù)的第四代移動通信系統(tǒng),也將會結(jié)合兩項技術(shù)的優(yōu)點,一部份將是以CDMA的延伸技術(shù)。
六、結(jié)束語
對于現(xiàn)在的人來說,未來的4G通信的確顯得很神秘,不少人都認(rèn)為第四代無線通信網(wǎng)絡(luò)系統(tǒng)是人類有史以來最復(fù)雜的技術(shù)系統(tǒng)。總的來說,要順利、全面地實施4G通信,還將可能遇到一些困難。
首先,人們對未來的4G通信的需求是它的通信傳輸速度將會得到極大提升,從理論上說最高可達(dá)到100Mbit/s,但手機的速度將受到通信系統(tǒng)容量的限制。據(jù)有關(guān)行家分析,4G手機將很難達(dá)到其理論速度。
其次,4G的發(fā)展還將面臨極大的市場壓力。有專家預(yù)測,在10年以后,2G的多媒體服務(wù)將進(jìn)入第三個發(fā)展階段,此時覆蓋全球的3G網(wǎng)絡(luò)已經(jīng)基本建成,全球25%以上的人口使用3G,到那時,整個行業(yè)正在消化吸收第三代技術(shù),對于4G技術(shù)的接受還需要一個逐步過渡的過程。
因此,在建設(shè)4G通信網(wǎng)絡(luò)系統(tǒng)時,通信運營商們將考慮直接在3G通信網(wǎng)絡(luò)的基礎(chǔ)設(shè)施之上,采用逐步引入的方法,使移動通信從3G逐步向4G過渡。
參考文獻(xiàn):
1、謝顯忠等.基于TDD的第四代移動通信技術(shù)[M].電子工業(yè)出版社,2005.
關(guān)鍵詞:分層體系 移動核心網(wǎng) 設(shè)計
1. 前言
信息通信網(wǎng)絡(luò)發(fā)展到今天,已形成固定電話網(wǎng)、移動通信網(wǎng)、有線電視網(wǎng)、Internet網(wǎng)等多個相對獨立的網(wǎng)絡(luò),這些網(wǎng)絡(luò)由特定的網(wǎng)絡(luò)資源組成,承載和疏通特定的業(yè)務(wù)。這種“一種業(yè)務(wù),一種網(wǎng)絡(luò)”的網(wǎng)絡(luò)格局已逐漸暴露其固有的弊端:多種復(fù)雜的協(xié)議、復(fù)雜的網(wǎng)絡(luò)共存;網(wǎng)絡(luò)管理和維護(hù)成本很高;不利于網(wǎng)絡(luò)資源尤其是傳輸資源的共享不便于跨網(wǎng)絡(luò)多功能綜合業(yè)務(wù)的提供。目前,在2G移動通信網(wǎng)絡(luò)中逐步引入分層體系結(jié)構(gòu)的軟交換設(shè)備組網(wǎng),可提高傳輸效率與組網(wǎng)的靈活性,減少設(shè)備占地面積,降低運營成本,以實現(xiàn)移動網(wǎng)絡(luò)向3G網(wǎng)絡(luò)的平滑演進(jìn)。
2. 交換網(wǎng)絡(luò)建設(shè)總體原則
結(jié)合對某運營商交換網(wǎng)絡(luò)現(xiàn)狀分析的結(jié)果,本著“從市場出發(fā),以服務(wù)、效益為目標(biāo)”的前提,遵循以下建設(shè)原則。
1. 構(gòu)建合理網(wǎng)絡(luò)結(jié)構(gòu),提升網(wǎng)絡(luò)安全能力:原則不再對TDM端局進(jìn)行擴容和新建。從滿足業(yè)務(wù)需求、節(jié)省投資和利于網(wǎng)絡(luò)演進(jìn)的角度出發(fā),考慮引入軟交換設(shè)備,傳統(tǒng)交換局替換為軟交換,提升軟交換比重;考慮重要網(wǎng)絡(luò)容災(zāi),提升網(wǎng)絡(luò)安全水平。
2. 充分根據(jù)MSC, VLR等網(wǎng)絡(luò)的實際負(fù)荷,利用歷史發(fā)展數(shù)據(jù)和相關(guān)資料合理預(yù)測市場話務(wù)需求,準(zhǔn)確分析網(wǎng)絡(luò)性能需求,解決現(xiàn)網(wǎng)急迫問題。
3. 對于新建端局,采用軟交換設(shè)備。要求軟交換設(shè)備采用和R4軟交換同一平臺及架構(gòu)的設(shè)備,能夠通過簡單軟件升級和增加硬件板卡支持IP化和R4。并能夠平滑升級支持3G。
4. 對于新建軟交換設(shè)備,須支持2G/3G互操作。
5. MSC Server的設(shè)置原則:為“大容量、少局所;集中放置、區(qū)域管理”,原則上集中設(shè)置在省會城市,對于業(yè)務(wù)量較大的中心城市,也可考慮設(shè)置,全網(wǎng)MSC Server的設(shè)置要統(tǒng)一規(guī)劃。 對于非省會城市設(shè)置的MSC Server,如果同時負(fù)責(zé)管理本省內(nèi)其它本地網(wǎng)的MGW該城市必須處在二干傳輸中心節(jié)點的位置,并且要確保其具備相應(yīng)的維護(hù)技術(shù)力量。
6. MGW的設(shè)置原則:MGW設(shè)置在有業(yè)務(wù)需求的各個本地網(wǎng),盡量放置在傳輸節(jié)點上,盡量考慮與BSC同局所,節(jié)省A接口傳輸資源。初期,MGW單系統(tǒng)承載的最忙時話務(wù)量建議不超過8000ERL,中后期,可以適當(dāng)考慮上調(diào)。MGW要求能同時支持TDM端口和IP端口,并支持IP入+TDM出、TDM入+TDM出、TDM入+IP出,采用IP承載時能夠支持IP入+IP出。
7. 網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)盡量簡單、清晰,便于實施。網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有較大的靈活性,便于以后網(wǎng)絡(luò)的發(fā)展。 3. 交換網(wǎng)絡(luò)建設(shè)方案設(shè)計
針對現(xiàn)網(wǎng)交換核心存在系統(tǒng)負(fù)荷高的問題,根據(jù)網(wǎng)絡(luò)性能需求分析,考慮到網(wǎng)絡(luò)演進(jìn),通過引進(jìn)軟交換設(shè)備,設(shè)計規(guī)劃軟交換網(wǎng)絡(luò)架構(gòu)。采用傳統(tǒng)交換機與軟交換設(shè)備混合組網(wǎng)的方式,解決系統(tǒng)容量問題。實現(xiàn)交換網(wǎng)絡(luò)MSC增容,一般有兩種手段,最直接的方式,就是現(xiàn)有MSC擴容;另外一種方式就是新建MSC。現(xiàn)有局?jǐn)U容方式,優(yōu)勢是工程周期短,投產(chǎn)快,網(wǎng)絡(luò)分區(qū)不必做較大規(guī)模調(diào)整,有利于保持網(wǎng)絡(luò)穩(wěn)定,電源配套等項目增加投入不大;劣勢是解決增容相對有限,議標(biāo)方式擴容單位成本相對較高,并且需要核定處理機的處理能力是否滿足,如果再需要升級處 理機,則擴容的成本將會進(jìn)一步提高。
新建局方式,則可以滿足各種規(guī)模的擴容,并目可以采用招標(biāo)方式,有效單位造價;其不利的方面主要是,工程周期相對較長,網(wǎng)絡(luò)分區(qū)要做較大規(guī)模調(diào)整,電源配套等項目增加投入較大。但新建局方式還有一項很重要的優(yōu)勢就是,可以采用更新的技術(shù),更新的產(chǎn)品,從而保證投資的長效性。
結(jié)合對兩種建設(shè)方式的分析、交換處理能力需求預(yù)測及容量需求預(yù)測,提出交換端局建設(shè)方案。本期工程不考慮對傳統(tǒng)交換局進(jìn)行建設(shè)。從網(wǎng)絡(luò)向3G演進(jìn)的方向考慮,對于有新增容量需求的傳統(tǒng)交換局均采用新建軟交換方式建設(shè),新建軟交換局管轄區(qū)域需要結(jié)合BSC劃分方案確定,應(yīng)盡量避免新建局與原有交換局間出現(xiàn)頻繁切換從而影響網(wǎng)絡(luò)質(zhì)量,考慮到今后3G業(yè)務(wù)發(fā)展需求軟交換局優(yōu)先考慮管轄市區(qū)。提出以下建設(shè)方案: 城市A業(yè)務(wù)區(qū):新建軟交換MGW 1與MGW2,進(jìn)行管轄區(qū)域調(diào)整,管轄部分市區(qū)BSC;
城市B業(yè)務(wù)區(qū):新建軟交換MGW2,管轄部分市區(qū)BSC;
城市C-F業(yè)務(wù)區(qū):新建軟交換MGW,管轄部分市區(qū)或郊區(qū)BSC。
軟交換組網(wǎng)布局如圖1所示。
4. 結(jié)論
本章是論文的核心部分,根據(jù)某運營商核心網(wǎng)現(xiàn)狀分析的結(jié)果,本著“從市場出發(fā),以服務(wù)、效益為目標(biāo)”的前提,提出了建設(shè)總體原則:即引進(jìn)R4結(jié)構(gòu)的軟交換設(shè)備;網(wǎng)絡(luò)結(jié)構(gòu)要簡單、靈活,便于向3G平滑過渡。通過對網(wǎng)絡(luò)資源利用情況數(shù)據(jù)的分析,重點解決各業(yè)務(wù)區(qū)系統(tǒng)容量不足與資源利用率高問題。通過話務(wù)量預(yù)測,確定系統(tǒng)性能需求。經(jīng)過方案論證,設(shè)計了采用軟交換設(shè)備的分層體系結(jié)構(gòu)的移動核心話路網(wǎng)與信令網(wǎng)網(wǎng)絡(luò)組網(wǎng)方案。
參考文獻(xiàn):
論文摘要:在通信行業(yè)中,人們通常把電源比喻為通信系統(tǒng)的心臟。近年來,電信網(wǎng)全方位快速發(fā)展,同時也給從事電源維護(hù)管理工作的人員提出了許多新的問題。由于電源設(shè)備正處在新老并存、逐步更新?lián)Q代的時期。基于此,本文就通信電源的維護(hù)和管理方面談幾點想法。
引言
由于歷史發(fā)展的原因,當(dāng)前通信電源供電體制基本上是以集中放置、集中供電方式為主,有人值守、故障維修為主。而電源的負(fù)載,如傳輸、交換、數(shù)據(jù)、移動等專業(yè)的維護(hù)方式正朝著集中監(jiān)控、集中維護(hù)、少人或無人值守方向發(fā)展。通信基站是通信網(wǎng)絡(luò)系統(tǒng)中的重要組成部分,保證任何情況下的正常供電,是保證通信網(wǎng)絡(luò)安全運行的重要環(huán)節(jié)。為此各通信基站內(nèi)均配備了較先進(jìn)的電力電源供電系統(tǒng),包括開關(guān)整流設(shè)備、免維護(hù)蓄電池、油機等。這些設(shè)備是保障供電穩(wěn)定和連續(xù)性的重要設(shè)備,對這些設(shè)備維護(hù)的好壞,不僅影響電源系統(tǒng)設(shè)備的壽命和故障率,而且直接涉及通信網(wǎng)絡(luò)的平穩(wěn)運行。
一、通信電源概述
從遠(yuǎn)古時代以來,陽光、空氣、食物和水一直是人們賴以生存的必需品,而今在科學(xué)技術(shù)飛躍發(fā)展的時代,電也已成為人們的必需品。因為有了電,我們的生活才有了歡樂。正是由于通信系統(tǒng)的安全優(yōu)質(zhì)運轉(zhuǎn),無處不在的通信電源則是堅實的基礎(chǔ)和根本保障。實施集中監(jiān)控管理是網(wǎng)絡(luò)技術(shù)發(fā)展的必然趨勢,是現(xiàn)代通信網(wǎng)的要求,也是企業(yè)減員增效的有效措施。各種電源設(shè)備要智能化、標(biāo)準(zhǔn)化,符合開放式通信協(xié)議。若電源系統(tǒng)不能輸出規(guī)定電流,電壓超出允許波動范圍,雜音電壓高于允許值時間并持續(xù)10s以上者均判定為系統(tǒng)故障。原交流系統(tǒng)中的電壓、頻率或波形畸變超出規(guī)定范圍持續(xù)時間大于60s者均判定為故障。為此,要保證通信電源系統(tǒng)的可靠性,有條件的通信部門應(yīng)盡量從兩個不同的地方引入2路市電輸入,并設(shè)置2路市電電能自動倒換裝置;所用設(shè)備要選用可靠性高的高頻開關(guān)整流設(shè)備,采用模塊化、熱插拔式結(jié)構(gòu)以便于更換,并合理配置備份設(shè)備。任何新技術(shù)、新設(shè)備未經(jīng)充分驗證、試運行前均不得進(jìn)入供電系統(tǒng)。供電方式要大力推廣分散供電,使用同一種直流電壓的通信設(shè)備采用兩個以上的獨立供電系統(tǒng),這也是今后通信網(wǎng)絡(luò)容量和規(guī)模不斷擴大、各種新業(yè)引入的新要求。為了盡量縮短設(shè)備的平均故障修復(fù)時間,要經(jīng)常分析運行參數(shù),預(yù)測故障發(fā)生的時間并及時排除。還要提高技術(shù)維護(hù)水平,采用集中維護(hù)、遠(yuǎn)程遙信、遙測維護(hù)。在實施過程中,三遙點的設(shè)置要合理,絕不是越多越好,要以可靠性、實用性為基本原則,宜簡勿繁。
二、電源系統(tǒng)使用中應(yīng)重視的問題
電源系統(tǒng)目前廣泛使用高頻開關(guān)電源系統(tǒng)設(shè)備,其智能化程度高,電池采用了免維護(hù)蓄電池,這雖給用戶帶來了許多便利,但在使用過程中還應(yīng)在多方面引起注意,確保使用安全。
2.1按電源系統(tǒng)的使用要求和功率余量大小來分,在使用中要避免隨意增加大功率的額外設(shè)備,也不允許在滿負(fù)載狀態(tài)下長期運行。工作性質(zhì)決定了電源系統(tǒng)幾乎是在不間斷狀態(tài)下運行的,增加大功率負(fù)載或在基本滿載狀態(tài)下工作,都會造成整流模塊出故障,嚴(yán)重時將損壞變換器。自備發(fā)電機的輸出電壓、波形、頻率和幅度應(yīng)滿足電源系統(tǒng)對輸入電壓的要求,另外發(fā)電機的功率要大于開關(guān)電源設(shè)備的額定輸入功率,否則,將會造成電源系統(tǒng)設(shè)備工作異常或損壞。
2.2電池應(yīng)避免大電流充放電,理論上充電時可以接受大電流,但在實際操作中應(yīng)盡量避免,否則會造成電池極板膨脹變形,使得極板活性物質(zhì)脫落,電池內(nèi)阻增大且溫度升高,嚴(yán)重時將造成容量下降,壽命提前終止。在任何情況下都應(yīng)防止電池短路或深度放電,因為電池的循環(huán)壽命和放電深度有關(guān)。放電深度越深循環(huán)壽命越短。在容量試驗或放電檢修中,通常放電達(dá)到容量的30%-50%就可以了。
2.3鉛酸蓄電池的容量和電解液的比重是線性關(guān)系,通過測量比重可以了解電池的存儲能量情況。閥控式密封蓄電池是貧液電池,且無法進(jìn)行電解液比重測量,所以如何判定它的好壞,預(yù)測貯備容量已成為當(dāng)今業(yè)界的一大難題。用電導(dǎo)儀測電池的內(nèi)阻是判定蓄電池好壞的一種有參考價值的方法,但尚不能準(zhǔn)確測定電池的好壞程度。目前,最可靠的方法還是放電法。在可靠性、經(jīng)濟性、可使用性、維護(hù)性等方面綜合比較,應(yīng)選用四沖程油機為原動機發(fā)電機組。四沖程油機結(jié)構(gòu)簡單,采用多缸均衡做功、增壓等一系列成熟技術(shù)適合于大容量機組的要求。其噪音小、污染小、性價比高。使用中把機組產(chǎn)生的熱量排到室外,保證機組周圍環(huán)境濕度不超過指標(biāo)要求。
三、電源系統(tǒng)的維護(hù)與檢修
當(dāng)電源系統(tǒng)出現(xiàn)故障時,應(yīng)先查明原因,分清是負(fù)載還是電源系統(tǒng),是主機還是電池組。雖說開關(guān)電源系統(tǒng)主機有故障自檢功能,但它對面而不對點,對更換配件很方便,但要維修故障點,仍需做大量的分析、檢測工作。另外如自檢部分發(fā)生故障,顯示的故障內(nèi)容則可能有誤。對主機出現(xiàn)擊穿、斷保險或燒毀器件的故障,一定要查明原因并排除故障后才能重新啟動,否則會接連發(fā)生相同的故障。再好的設(shè)備也有壽命期,也會出現(xiàn)各類故障,但維護(hù)工作做得好可以延長壽命并減少故障的發(fā)生,不要因為高智能、免維護(hù)而忽略了本應(yīng)進(jìn)行的維護(hù)工作,預(yù)防在任何時候都是安全運行的重要保障。高頻開關(guān)電源設(shè)備在正常使用情況下,主機的維護(hù)工作量很少,主要是防塵和定期除塵。特別是氣候干燥的地區(qū),空氣中的灰粒較多,灰塵將在機內(nèi)沉積,當(dāng)遇空氣潮濕時會引起主機控制紊亂造成主機工作失常,并發(fā)生不準(zhǔn)確告警。另大量灰塵也會造成器件散熱不好。一般每季度應(yīng)徹底清潔一次。其次就是在除塵時檢查各連接件和插接件有無松動和接觸不牢的情況。由于整流器對瞬時脈沖干擾不能消除,整流后的電壓仍存在干擾脈沖。蓄電池除有存儲直流電能的功能外,其等效電容量的大小與蓄能電池容量大小成正比。因此,維護(hù)檢修蓄電池的工作是非常重要的,雖說蓄電池組目前都采用了免維護(hù)電池,但這只是免除了以往的測比、配比、定時添加蒸餾水的工作。但因工作狀態(tài)對電池的影響并沒有改變,不正常工作狀態(tài)對電池造成的影響沒有變,所以蓄電池的工作全部是在浮充狀態(tài),在這種情況下至少應(yīng)每年進(jìn)行一次放電。放電前應(yīng)先對電池組進(jìn)行均衡充電,以達(dá)全組電池的均衡。放電過程中如有一只達(dá)到放電終止電壓時,應(yīng)停止放電,繼續(xù)放電須先排除落后電池后再放。核對性放電不是追求放出容量的百分比,而是關(guān)注并發(fā)現(xiàn)和處理落后電池,經(jīng)對落后電池處理后再作核對性放電實驗。這樣可防止事故,以免放電中落后電池惡化為反極電池。平時每組電池至少應(yīng)有8只電池作標(biāo)示電池,作為了解全電池組工作情況的參考,對標(biāo)示電池應(yīng)定期測量并做好記錄。在日常維護(hù)中需經(jīng)常檢查的項目有:清潔并檢測電池兩端電壓、溫度;連接處有無松動腐蝕現(xiàn)象,檢測連接條壓降;電池外觀是否完好,有無殼變形和滲漏;極柱、安全閥周圍是否有酸霧逸出;主機設(shè)備是否正常等。免維護(hù)電池要做到運行、日常管理周到、細(xì)致和規(guī)范,保證設(shè)備保持良好的運行狀況,從而延長使用年限;保證直流母線經(jīng)常保持合格的電壓和電池的放電容量;保證電池運行和人員的安全可靠。這是電池維護(hù)的目的,也是電池運行規(guī)程中包括的內(nèi)容和運行規(guī)則。當(dāng)電池組中發(fā)現(xiàn)電壓反極、壓降大、壓差大和酸霧泄漏的電池時,應(yīng)及時采用相應(yīng)的方法恢復(fù)和修復(fù),對不能恢復(fù)和修復(fù)的電池要換掉。但不能把不同容量、不同性能、不同廠家的電池聯(lián)在一起,否則可能會對整組電池帶來不利影響。對壽命已過期的電池組要及時更換,以免影響到電源系統(tǒng)和設(shè)備主機。
參考文獻(xiàn):
【關(guān)鍵詞】 二灘水電站 二次系統(tǒng) 安全防護(hù)
1 概述
二灘水電站地處中國四川省西南邊陲攀枝花市鹽邊與米易兩縣交界處,雅礱江下游,壩址距雅礱江與金沙江的交匯口33公里,距攀枝花市區(qū)46公里,系雅礱江水電基地梯級開發(fā)的第一個水電站,上游為官地水電站,下游為桐子林水電站。水電站最大壩高240米,水庫正常蓄水位1200米,總庫容57.9億立方米,調(diào)節(jié)庫容33.7億立方米,裝機總?cè)萘?30萬千瓦,保證出力102.8萬千瓦,多年平均發(fā)電量170億千瓦時,兩回500kV出線接入攀枝花電網(wǎng),三回500kV出線接入四川主網(wǎng),并擔(dān)當(dāng)四川電網(wǎng)主力調(diào)峰、調(diào)頻任務(wù)。
隨著網(wǎng)絡(luò)技術(shù)、信息技術(shù)在電力系統(tǒng)的廣泛應(yīng)用,網(wǎng)絡(luò)與信息系統(tǒng)已經(jīng)成為電力系統(tǒng)生產(chǎn)、運營和發(fā)展的基礎(chǔ)設(shè)施。信息安全風(fēng)險作為電力企業(yè)信息安全風(fēng)險管理的基本內(nèi)容,是電力系統(tǒng)各級單位信息安全保障體系的重要內(nèi)容,其中二次系統(tǒng)安全更是重中之重。
2 二灘水電站二次系統(tǒng)安全防護(hù)的必要性
二灘水電站生產(chǎn)控制系統(tǒng)在可靠性方面已經(jīng)采取了防電磁干擾、冗余等措施,但是隨著2011年12月實現(xiàn)成都集控中心遠(yuǎn)程控制二灘水電站,在通信鏈路上冒充、篡改、竊收、重放等類型的網(wǎng)絡(luò)威脅也不斷增加,嚴(yán)重影響到電力生產(chǎn)信息的完整性、真實性和一致性。同時隨著設(shè)備老化,消缺及改造的增加,生產(chǎn)控制系統(tǒng)在調(diào)試及維護(hù)階段,廠家人員以及相關(guān)班組通過移動工作站進(jìn)入電力生產(chǎn)控制系統(tǒng),出于安全意識薄弱、商業(yè)競爭或政治目的會置入邏輯炸彈、蠕蟲等惡意代碼,破壞電力生產(chǎn)控制系統(tǒng)的正常穩(wěn)定運行的風(fēng)險也不斷增大,二次系統(tǒng)安全問題日益凸顯。因此,二灘水電站于2011年8月啟動集控邊界二次安防系統(tǒng)建設(shè)。
3 二灘水電站二次系統(tǒng)安全防護(hù)系統(tǒng)的構(gòu)成
二灘水電站按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》和《全國電力二次系統(tǒng)安全防護(hù)規(guī)定》,根據(jù)電力二次系統(tǒng)安全防護(hù)總體原則“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的要求,二灘水電站二次系統(tǒng)安全防護(hù)按安全等級劃分為兩個大區(qū),即:生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)劃分為安全Ⅰ區(qū)(實時控制區(qū))和安全區(qū)Ⅱ(非控制生產(chǎn)區(qū));管理信息大區(qū)劃分為安全Ⅲ區(qū)(生產(chǎn)管理區(qū))。安全Ⅰ區(qū)主要包括計算機監(jiān)控系統(tǒng)和穩(wěn)定監(jiān)錄裝置,安全Ⅱ區(qū)主要包括安控信息、保護(hù)信息和能量計費系統(tǒng),安全Ⅲ區(qū)主要包括工業(yè)電視系統(tǒng)。二次安防系統(tǒng)圖如圖1。
3.1 二灘水電站二次系統(tǒng)安全Ⅰ區(qū)安全防護(hù)措施
二次系統(tǒng)安全Ⅰ區(qū)的計算機監(jiān)控系統(tǒng)為整個電站的核心,一旦遭受網(wǎng)絡(luò)攻擊、惡意代碼等網(wǎng)絡(luò)安全威脅,對于電站自身安全生產(chǎn)乃至四川電網(wǎng)安全都構(gòu)成嚴(yán)重威脅,必須采用最為嚴(yán)格的技術(shù)手段來確保其安全。二灘水電站穩(wěn)定監(jiān)錄系統(tǒng)為四川省電網(wǎng)穩(wěn)定性監(jiān)錄系統(tǒng)的重要監(jiān)測點之一,為四川省電網(wǎng)穩(wěn)定性監(jiān)錄系統(tǒng)提供實時數(shù)據(jù),為電網(wǎng)的安全穩(wěn)定運行提供分析依據(jù)設(shè),其信息安全直接關(guān)系到四川電網(wǎng)的穩(wěn)定性,必須作為安全防護(hù)的重點。避免網(wǎng)絡(luò)威脅的最直接辦法就是減少與外部網(wǎng)絡(luò)的連接,并在網(wǎng)絡(luò)邊界處采取嚴(yán)格防侵入措施。如圖1所示,二灘水電站安全I(xiàn)區(qū)的主要防護(hù)措施如下:
(1)安全I(xiàn)區(qū)內(nèi)系統(tǒng)在本站范圍內(nèi)不與任何外部網(wǎng)絡(luò)連接,確保其網(wǎng)絡(luò)的獨立性。
(2)在安全I(xiàn)區(qū)與省調(diào)的縱向通信網(wǎng)絡(luò)邊界處裝設(shè)衛(wèi)士通SJW77電力專用縱向加密認(rèn)證裝置。該裝置采用國密辦批準(zhǔn)的專用密碼算法以及電力系統(tǒng)安全防護(hù)專家組制定的特有封裝格式,在協(xié)議IP層實現(xiàn)數(shù)據(jù)的封裝、機密性、完整性和數(shù)據(jù)源鑒別等安全功能。
(3)在安全I(xiàn)區(qū)與成都集控中心縱向通信網(wǎng)絡(luò)邊界處裝設(shè)南瑞NetKeeper-2000縱向加密認(rèn)證網(wǎng)關(guān)。該設(shè)備采用國密碼辦批準(zhǔn)的電力系統(tǒng)專用加密芯片實現(xiàn)網(wǎng)絡(luò)層數(shù)據(jù)的加密,所有密鑰協(xié)商和密文通信均采用專用的安全協(xié)議。提供長度高達(dá)128位加密算法,抗攻擊性強,破解難度高,充分保證數(shù)據(jù)的機密性。提供長度高達(dá)160位密鑰散列算法,抗攻擊強度高,嚴(yán)格防止用戶篡改數(shù)據(jù),保證數(shù)據(jù)的完整性。
(4)配置一套安全審計TDS管理系統(tǒng)。其針對站內(nèi)監(jiān)控系統(tǒng)網(wǎng)絡(luò)及監(jiān)控系統(tǒng)與省調(diào)、集控中心網(wǎng)絡(luò)邊界,可通過全面漏洞掃描探測、操作系統(tǒng)信息采集與分析、日志分析、木馬檢查、安全攻擊仿真、網(wǎng)絡(luò)協(xié)議分析、系統(tǒng)性能壓力、滲透測試、安全配置檢查、進(jìn)程查看分析、數(shù)據(jù)恢復(fù)取證(定制)、網(wǎng)絡(luò)行為分析等多個維度對網(wǎng)絡(luò)安權(quán)檢測分析,一旦發(fā)現(xiàn)網(wǎng)絡(luò)威脅,系統(tǒng)會迅速通過網(wǎng)絡(luò)備份與災(zāi)難恢復(fù)系統(tǒng)進(jìn)行快速恢復(fù)。
(5)監(jiān)控系統(tǒng)主服務(wù)器采用UNIX操作系統(tǒng),降低病毒風(fēng)險。
(6)在每臺操作員站及工程師站裝設(shè)殺毒軟件,并及時更新數(shù)據(jù)庫。
(7)移動工程師站接入安全I(xiàn)區(qū)時,必須通過硬件防火墻
通過上述多項安全防護(hù)措施,二灘水電站安全I(xiàn)區(qū)能有效防止惡意攻擊、數(shù)據(jù)篡改及數(shù)據(jù)竊取等網(wǎng)絡(luò)威脅,符合二次系統(tǒng)安全防護(hù)的整體要求。
3.2 二灘水電站二次系統(tǒng)安全Ⅱ區(qū)安全防護(hù)措施
二次系統(tǒng)安全防護(hù)Ⅱ區(qū)包括電站側(cè)能量計費系統(tǒng)、安控信息、及保護(hù)信息。其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng),數(shù)據(jù)采集頻度是分鐘級或小時級,為非控制網(wǎng),其二次安防按照遠(yuǎn)程撥號訪問生產(chǎn)控制大區(qū)的防護(hù)策略,設(shè)防等級低于安全Ⅰ區(qū)。如圖1所示,安全Ⅱ區(qū)的防護(hù)措施如下:
(1)安控裝置與保護(hù)信息裝置之間裝設(shè)華為USG2000型防火墻,能有效起到入侵防御、防病毒等安全防護(hù),確保安控裝置的安全性。
(2)二灘水電站安全Ⅱ區(qū)與省調(diào)網(wǎng)絡(luò)邊界裝設(shè)華為USG2000型防火墻,確保站內(nèi)安全Ⅱ區(qū)不受來自外網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵、病毒等網(wǎng)絡(luò)威脅。
(3)安全Ⅱ區(qū)網(wǎng)絡(luò)除省調(diào)邊界外,與外網(wǎng)隔離,不采用WEB服務(wù)器,保證專網(wǎng)專用,避免來自其他網(wǎng)絡(luò)的網(wǎng)絡(luò)安全威脅。
通過上述多項安全防護(hù)措施,二灘水電站安全Ⅱ區(qū)能有效防止來自內(nèi)部及外部的網(wǎng)絡(luò)威脅,符合二次系統(tǒng)安全防護(hù)的整體要求。
3.3 二灘水電站二次系統(tǒng)安全Ⅲ區(qū)安全防護(hù)措施
二次系統(tǒng)安全Ⅲ區(qū)主要是工業(yè)電視系統(tǒng)。工業(yè)電視系統(tǒng)作為全站設(shè)備輔助監(jiān)視的一個重要手段,能很好地為雅礱江公司集控中心在電站無人值班時,及時監(jiān)控現(xiàn)場設(shè)備運行情況,大幅提升電站運行的可靠性。其安全防護(hù)特點雖不如安全Ⅰ區(qū)、Ⅱ區(qū)嚴(yán)格,但也不能忽視。二次系統(tǒng)安全Ⅲ區(qū)同樣采用專網(wǎng)專用,不與Ⅰ區(qū)、Ⅱ區(qū)相連,在與雅礱江公司集控中心網(wǎng)絡(luò)邊界處裝設(shè)華為USG2000型防火墻,保證安全Ⅲ區(qū)免受網(wǎng)絡(luò)入侵和控制。
4 二灘水電站二次系統(tǒng)安全防護(hù)系統(tǒng)運行管理
安全管理是電力系統(tǒng)安全的重要保障,二灘水電站的二次系統(tǒng)分布廣,不易管理,所以“三分技術(shù),七分管理”中管理亦不能忽視。二灘水電站是國內(nèi)首座通過NOSCAR認(rèn)證的大型水電站,其對安全的重視尤為突出,針對二次系統(tǒng)安全防護(hù)的重要性,通過制度管理來保證其安全運行。
(1)實行安全責(zé)任追究制度,出現(xiàn)問題嚴(yán)格按照制度進(jìn)行責(zé)任追究和考核。
(2)借助電站NOSA安全體系建設(shè),強化員工安全意識,明確二次安防系統(tǒng)的重要性。
(3)加強用戶權(quán)限管理,運行人員僅具備查看、操作權(quán)限,參數(shù)配置、修改,系統(tǒng)維護(hù)等權(quán)限由檢修監(jiān)控班統(tǒng)一管理。
(4)針對系統(tǒng)維護(hù)、消缺等工作制定嚴(yán)格工序卡,專業(yè)人員必須按照工序卡來執(zhí)行。
(5)系統(tǒng)數(shù)據(jù)提取采用光盤刻錄方式進(jìn)行,杜絕其他移動儲存設(shè)備的接入。
(5)建立機房管理制度并嚴(yán)格執(zhí)行。
(6)制定應(yīng)急預(yù)案,確保二次系統(tǒng)故障后能迅速、有效處置,限制、減小影響范圍。
5 結(jié)語
隨著水電站自動化水平的不斷提升,遙測、遙信、遙控和遙調(diào)設(shè)備的不斷增加,網(wǎng)絡(luò)安全威脅的不斷多元化,二次系統(tǒng)的安全足以影響整個電站的安全生產(chǎn),所以二次系統(tǒng)安全防護(hù)需要技術(shù)不斷升級,管理不斷加強,保證電力生產(chǎn)安全。
二灘水電站二次系統(tǒng)安全防護(hù)工作按照國家電力二次系統(tǒng)安全防護(hù)的總體原則,結(jié)合電站自身情況,通過加密認(rèn)證技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)和網(wǎng)絡(luò)防病毒技術(shù),對站內(nèi)二次系統(tǒng)進(jìn)行了有效防護(hù),能有效保證其安全、穩(wěn)定運行。
參考文獻(xiàn):
[1]王群,潘亮.紫平鋪水力發(fā)電廠二次系統(tǒng)安全防護(hù)簡介[J].機電技術(shù),2012,(5):57-59.
[2]電力二次系統(tǒng)安全防護(hù)規(guī)定(電監(jiān)會5號令)[S].2004.
關(guān)鍵詞:無線網(wǎng)絡(luò);軍隊;安全;物理層安全;可見光通信
中圖分類號:TN 929.3
文獻(xiàn)標(biāo)識碼:A
DOI: 10.3969/j.issn.1003-6970.2015.08.004
0 引言
進(jìn)入二十一世紀(jì)的第二個十年以來,信息已經(jīng)成為人類社會文明進(jìn)步的要素資源,成為現(xiàn)代社會持續(xù)發(fā)展的基本條件。信息網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大國家疆域,成為世界各國戰(zhàn)略競爭的重要領(lǐng)域。信息安全已成為與國防安全、能源安全、糧食安全并列的四大國家安全領(lǐng)域之一。
近些年來,以美國為代表的信息技術(shù)強國利用自身所壟斷的全球信息技術(shù)優(yōu)勢,加緊構(gòu)建信息安全保障和攻擊體系,以進(jìn)一步鞏固其在網(wǎng)絡(luò)空間的統(tǒng)治地位。在美國現(xiàn)有的國家信息安全體系中,政府、IT企業(yè)和社會團體分工協(xié)作,相互配合,共同推進(jìn)美國國家和軍隊的信息安全體系建設(shè)。當(dāng)前,美國政府部門作為信息安全戰(zhàn)略制定、網(wǎng)絡(luò)和信息安全項目策劃、網(wǎng)絡(luò)情報偵查、網(wǎng)絡(luò)防御以及網(wǎng)絡(luò)進(jìn)攻的主導(dǎo)者,引領(lǐng)了整個美國信息安全領(lǐng)域的發(fā)展和規(guī)劃。其主要部門包括國土安全部、國防部、美軍網(wǎng)電司令部、商務(wù)部、聯(lián)邦調(diào)查局以及中央情報局;美國的IT企業(yè)則是網(wǎng)絡(luò)攻防的具體實施機構(gòu)和重要支撐單位,是美國政府和軍隊海量情報數(shù)據(jù)的來源,同時也是實施網(wǎng)絡(luò)作戰(zhàn)的實施主體;而美國及其盟國中一些非營利性團體和學(xué)術(shù)組織則為美國政府和軍隊提供了輿論和技術(shù)層面的支持,同時進(jìn)行了人才的輸出,以支撐日益強大的美國信息作戰(zhàn)部隊。
隨著無線與移動通信技術(shù)的高速發(fā)展,拋開有線束縛的無線通信技術(shù)為國家和軍隊的指揮和作戰(zhàn)帶來了極大的便利性,然而也埋下了極大的安全隱患。截至2014年年底,美國情報和軍隊相關(guān)部門在無線網(wǎng)絡(luò)中偵收和攻擊獲得的情報已經(jīng)占到美國情報總量的約57.6%,凸顯了當(dāng)前國家和軍隊無線網(wǎng)絡(luò)安全的嚴(yán)峻態(tài)勢。美軍網(wǎng)電司令部2015年戰(zhàn)略規(guī)劃指南顯示,未來美軍網(wǎng)電部隊將把無線領(lǐng)域作為網(wǎng)絡(luò)攻防作戰(zhàn)的重點,這對我國國防和軍隊網(wǎng)絡(luò)安全體系和技術(shù)提出了新的考驗。本論文從歷史出發(fā),對交換技術(shù)進(jìn)行了簡要的回顧,指出了當(dāng)前交換網(wǎng)絡(luò)發(fā)展的瓶頸以及問題,并基于前沿的下一代智能網(wǎng)絡(luò)以及大數(shù)據(jù)交換網(wǎng)絡(luò)提出了展望和設(shè)想。
1 軍隊無線網(wǎng)絡(luò)安全現(xiàn)狀
我國的互聯(lián)網(wǎng)、電信網(wǎng)、廣電網(wǎng)和各類專網(wǎng)(包含軍網(wǎng))組成的國家基礎(chǔ)網(wǎng)絡(luò)是國家和軍隊信息安全防護(hù)的重要對象,但是這些基礎(chǔ)社會建設(shè)過程中普遍存在著重建輕防,甚至只建不防的問題,造成網(wǎng)絡(luò)信息安全體系構(gòu)建的極大障礙。
當(dāng)前,我軍無線網(wǎng)絡(luò)通信手段主要包含戰(zhàn)場衛(wèi)星通信、短波電臺通信、水下潛艇長波通信等戰(zhàn)時通信手段,以及軍隊日常辦公所使用的蜂窩網(wǎng)移動手機通信、單位無線局域網(wǎng)(Wi-Fi)以及家庭使用的寬帶及家庭無線局域網(wǎng)等非戰(zhàn)時通信手段。由于戰(zhàn)時通信技術(shù)具有較強的應(yīng)用層加密以及物理層跳頻和擴頻保障,傳統(tǒng)的竊密和攻擊手段并不能很快奏效,反而是和平時期工作用無線局域網(wǎng)、個人手機、家庭Wi-Fi等上網(wǎng)和通話極易被偵聽和竊密,導(dǎo)致無意識泄密。據(jù)不完全統(tǒng)計,2014年以來軍隊、軍工企業(yè)等軍事相關(guān)單位因手機、家庭寬帶/Wi-Fi等被攻擊及竊聽的事件約470起,造成不可估量的軍事、經(jīng)濟以及國家核心技術(shù)損失。
美國憑借其在信息領(lǐng)域的絕對優(yōu)勢,不斷將其技術(shù)和設(shè)備輸出到中國,而國產(chǎn)化設(shè)備的低性能、高價格等不足進(jìn)一步導(dǎo)致了黨政軍系統(tǒng)中日常無線網(wǎng)絡(luò)通信設(shè)備國產(chǎn)化程度極低,使得日常無線網(wǎng)絡(luò)的安全防線處于近乎失靈的狀態(tài)。在美國IT跨國公司和美國網(wǎng)絡(luò)部隊等諸如“棱鏡”項目面前,我軍的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)幾乎完全處于不設(shè)防狀態(tài)。諸如思科、微軟、英特爾、IBM等IT企業(yè)幾乎完全控制了我國高端IT產(chǎn)品的生產(chǎn)及應(yīng)用。據(jù)Gartner數(shù)據(jù)顯示,Windows系列操作系統(tǒng)在我國市場占有率超過9成,英特爾在微處理器市場上占有率也超過8成,谷歌的安卓操作系統(tǒng)在我國市場占有率達(dá)到8成。即使是國產(chǎn)的聯(lián)想、酷派等手機,其核心芯片和操作系統(tǒng)也多是國外生產(chǎn),使得我國無法從技術(shù)層面根除安全隱患。
2 解決方案:物理層安全技術(shù)和可見光通信技術(shù)
針對目前日常軍隊無線網(wǎng)絡(luò)安全性的問題,本文提出了兩種可行的改進(jìn)方案,能夠在現(xiàn)有技術(shù)的基礎(chǔ)上,從防止無線信號被偵收和泄漏的角度實現(xiàn)日常狀態(tài)下部隊營區(qū)無線通信的安全保密。
在現(xiàn)有的通信系統(tǒng)中,通信的保密性主要依賴于基于計算密碼學(xué)的加密體制,早在20世紀(jì)初就已有人提出將傳輸?shù)男畔⑴c密鑰取異或的方法來增強信息傳遞的安全性。這種基于密鑰的加密方法首次由Shannon于1949年給出了數(shù)學(xué)的理論分析。假設(shè)發(fā)送者希望把信息M秘密地發(fā)送給接收者,稱M為明文信息。則加密的過程為,在發(fā)送端,發(fā)送者通過密鑰K以及加密算法f對所要傳輸?shù)拿魑腗進(jìn)行加密,得到密文S。在接收端,接收者通過密鑰K以及與加密算法相應(yīng)的解密算法,我們用f-1標(biāo)記,來進(jìn)行解密,從而得到明文M。通過對加解密過程的觀察,可以得知,有兩個方法防止竊聽者從竊聽到的S中獲取明文M: 一個是竊聽者不知道密鑰K,另外一個是解密算法非常困難,竊聽者難以在有限的時間用有限的資源進(jìn)行解密。基于這兩個方法,延伸出了現(xiàn)代通信系統(tǒng)中非常常見的兩種加密形式,一個是對稱密鑰加密,一個是非對稱密鑰加密。
現(xiàn)代密碼學(xué)的加密體制主要是在物理層之上的幾層來實現(xiàn)的,譬如MAC層、網(wǎng)絡(luò)層、應(yīng)用層等等,故有時也稱基于現(xiàn)代密碼學(xué)的安全為上層安全。物理層對于現(xiàn)代密碼學(xué)加密體制來說是透明的,即物理層安全與上層安全是獨立的。下面分別介紹物理層安全的兩個基礎(chǔ)知識,分別是:竊聽信道模型和安全傳輸速率。竊聽信道模型是物理層安全所研究的基本信道模型,安全傳輸速率是衡量物理層安全系統(tǒng)性能的重要指標(biāo)。
物理層安全主要是利用特殊的信道編碼和無線信道的隨機特性使得秘密通信得以進(jìn)行,它與現(xiàn)代密碼學(xué)不同之處在于,其安全程度并不依賴于Eve的計算強度,而是依賴無線信道環(huán)境的隨機特性。但是,從保密環(huán)節(jié)上來說,物理層安全與傳統(tǒng)的計算密碼學(xué)的安全卻有著本質(zhì)的相似之處。如圖1所示。物理層安全中的編碼調(diào)制環(huán)節(jié)和信道的隨機性是安全通信的必要條件,正如現(xiàn)代密碼學(xué)體制中的加密算法和密鑰。編碼調(diào)制環(huán)節(jié)是指Alice根據(jù)Alice-Bob和Alice-Eve信道的信道條件,通過獨特的信道編碼來保證Alice與Bob之間安全又可靠的通信。從安全的角度來說,編碼調(diào)制環(huán)境可以被看作現(xiàn)代密碼學(xué)中的加密過程,信息加密后生成的密文記為Xn。密文經(jīng)過無線信道和解調(diào)譯碼可以等同為現(xiàn)代密碼學(xué)中的解密環(huán)節(jié),其中信道信息{h,g}可以看作公共密鑰,而Bob接收端的噪聲可以看作Bob的私鑰,Eve是沒有辦法獲得的。因此密文通過Bob的無線信道和解調(diào)譯碼,可以被Bob正確地譯碼解密;而此密文通過Eve的無線信道和解調(diào)譯碼,Eve是不能獲得任何信息的。由此可見,雖然物理層安全與傳統(tǒng)的基于現(xiàn)代密碼學(xué)的加密原理是完全不同的,但是它們在實現(xiàn)框架上卻也能夠找到共同點。物理層安全可以看作是以調(diào)制編碼等發(fā)送端的技術(shù)為“加密算法”,充分利用Alice-Bob和Alice-Eve之間無線信道的差異性,把無線信道看作“加密密鑰”,從而使得Alice與Bob之間形成了安全可靠的通信。
物理層安全技術(shù)由于可以獨立于上層而單獨實現(xiàn)秘密通信,因此在無線通信系統(tǒng)中,可以在保證現(xiàn)有上層安全措施不變的情況下,補充物理層傳輸?shù)陌踩_@使得通信系統(tǒng)的安全性能得到額外一層的保護(hù)。另一方面,將物理層安全用來傳輸現(xiàn)代密碼學(xué)中的密鑰,也是增強系統(tǒng)的安全性的一種方法。
從實現(xiàn)的角度講,當(dāng)前傳統(tǒng)的無線路由器等均使用了全向天線進(jìn)行傳輸,有可能導(dǎo)致無線信號泄漏至營區(qū)外部造成泄密。由于物理層安全技術(shù)方案的存在,除了進(jìn)行傳統(tǒng)的上層密碼和傳輸加密以外,考慮利用物理層定向天線和波束賦形技術(shù)使得無線信號定向的向營區(qū)內(nèi)部輻射,使得竊聽者獲取的信息量近乎為0,從而進(jìn)一步降低失泄密的風(fēng)險,這是物理層安全技術(shù)在現(xiàn)有無線網(wǎng)絡(luò)中的應(yīng)用改進(jìn)。
根據(jù)香農(nóng)公式,假設(shè)發(fā)射端信號表示為:y=hx+z,那么正常接收者bob收到的信號可以表示為:
此時人造噪聲設(shè)計對Bob沒有產(chǎn)生干擾的方向上均勻分布,從而實現(xiàn)了對目標(biāo)用戶的正常信號發(fā)送,但是使得竊聽用戶獲得的干擾最大化,可用信息最小。
可見光通信(Visible Light Communications)是指利用可見光波段的光作為信息載體,不使用光纖等有線信道的傳輸介質(zhì),而在空氣中直接傳輸光信號的通信方式,簡稱“VLC”。
普通的燈具如白熾燈、熒光燈(節(jié)能燈)不適合當(dāng)作光通信的光源,而LED燈非常適合做可見光通信的光源。可見光通信技術(shù)可以通過LED燈在完成照明功能的同時,實現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)的覆蓋,用戶可以方便地使用自己的手機、平板電腦等移動智能終端接收這些燈光發(fā)送的信息。該技術(shù)可廣泛用于導(dǎo)航定位、安全通信與支付、智能交通管控、智能家居、超市導(dǎo)購、燈箱廣告等領(lǐng)域,特別是在不希望或不可能使用無線電傳輸網(wǎng)絡(luò)的場合比如飛機上、醫(yī)院里更能發(fā)揮它的作用。可見光通信兼顧照明與通信,具有傳輸數(shù)據(jù)率高、安全性強、無電磁干擾、節(jié)能、無需頻譜認(rèn)證等優(yōu)點,帶寬是Wi-Fi的1萬倍、第四代移動通信技術(shù)的100倍,是理想的室內(nèi)高速無線接人方案之一。
據(jù)美國DAPRA報道,美軍已經(jīng)生產(chǎn)出軍用可見光網(wǎng)絡(luò)及相關(guān)設(shè)備,用于國防部等軍事機關(guān)和設(shè)施的高速無線網(wǎng)絡(luò)通信。由于可見光室內(nèi)傳輸光源直接指向用戶且傳輸距離遠(yuǎn)小于傳統(tǒng)的微波無線通信,在不考慮人為主動泄密的情況下,可見光通信信號是無法截獲的,從技術(shù)上為通信的有效性和可靠性提供了強有力的支撐。
圖2給出了微波無線通信和可見光通信之間的比較。對于手機、Wi-Fi等微波無線通信手段,除了目標(biāo)用戶能夠接收到無線信號以外,由于無線電波是全向發(fā)射的,竊聽者完全可以收到相同的信號,從而進(jìn)行破譯或者攻擊,帶來安全隱患;而可見光通信依賴于室內(nèi)的LED燈具,通常燈具會直接部署在工位上方,而照明具有定向發(fā)射的特點,因此位于營區(qū)外部的竊聽者無法收到任何信號,不能進(jìn)行竊聽。從實現(xiàn)上講,可見光通信可以方便的利用LED臺燈、屋頂燈等照明燈具,通過加裝調(diào)制解調(diào)模塊即可使得燈具具有高速數(shù)據(jù)傳輸功能,可供營區(qū)內(nèi)臺式機、筆記本電腦、平板電腦等高速無線上網(wǎng),滿足高清視頻會議等高帶寬需求。
目前,關(guān)于可見光通信在室內(nèi)外各種復(fù)雜環(huán)境下的信道測量與建模的工作還很欠缺,只有少量的研究結(jié)果。尤其是在有強光干擾、煙霧和灰塵遮擋的環(huán)境下的信道干擾模型,更是需要亟待解決的問題。
3 結(jié)論
軍隊作為國家的武裝力量,其信息安全問題尤為重要。在和平時期,如何從技術(shù)手段保證軍隊手機、Wi-Fi等無線通信安全,防止和平時期敵對勢力進(jìn)行的無線網(wǎng)絡(luò)信號偵收和網(wǎng)絡(luò)攻擊,是當(dāng)前要重點關(guān)注的問題。
論文摘要:隨著計算機網(wǎng)絡(luò)的不斷發(fā)展和普及,計算機網(wǎng)絡(luò)帶來了無窮的資源,但隨之而來的網(wǎng)絡(luò)安全問題也顯得尤為重要,文章重點介紹了局域網(wǎng)安全控制與病毒防治的一些策略。
隨著信息化的不斷擴展,各類網(wǎng)絡(luò)版應(yīng)用軟件推廣應(yīng)用,計算機網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率,實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用,因此計算機網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)就顯得尤為重要。
1.局域網(wǎng)安全現(xiàn)狀
廣域網(wǎng)絡(luò)已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、ids等網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界方面的防御,重要的安全設(shè)施大致集中于機房或網(wǎng)絡(luò)人口處,在這些設(shè)備的嚴(yán)密監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反來自網(wǎng)絡(luò)內(nèi)部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動進(jìn)人網(wǎng)絡(luò),形成極大的安全隱患。目前,局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點,而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴(yán)重程度。
2.局域網(wǎng)安全威脅分析
局域網(wǎng)(lan)是指在小范圍內(nèi)由服務(wù)器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過交換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦,因此局域網(wǎng)內(nèi)信息的傳輸速率比較高,同時局域網(wǎng)采用的技術(shù)比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類:
1欺騙性的軟件使數(shù)據(jù)安全睦降低;
2服務(wù)器區(qū)域沒有進(jìn)行獨立防護(hù);
3.計算機病毒及惡意代碼的威脅;
4局域網(wǎng)用戶安全意識不強;
5.ip地址沖突。
正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨特的特點,造成局域網(wǎng)內(nèi)的病毒快速傳遞,數(shù)據(jù)安全勝低,網(wǎng)內(nèi)電腦相互感染,病毒屢殺不盡,數(shù)據(jù)經(jīng)常丟失。
3.局域網(wǎng)安全控制與病毒防治策略
3.1加強人員的網(wǎng)絡(luò)安全培訓(xùn)
3.1.1加強安全意識培訓(xùn),讓每個工作人員明白數(shù)據(jù)信息安全的重要性,理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責(zé)任。
3.1.2加強安全知識培訓(xùn),使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數(shù)據(jù),保證本地數(shù)據(jù)信息的安全可靠。
3.1.3加強網(wǎng)絡(luò)知識培訓(xùn),通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識,能夠掌握ip地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識,樹立良好的計算機使用習(xí)慣。
3.2局域網(wǎng)安全控制策略
安全管理保護(hù)網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分,對網(wǎng)絡(luò)的安全運行威肋最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題,才可以排除網(wǎng)絡(luò)中最大的安全隱患,對于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個方面進(jìn)行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。
3.2.1利用桌面管理系統(tǒng)控制用戶人網(wǎng)。人網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用,是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制用戶人網(wǎng)的時間和在哪臺工作站人網(wǎng)。用戶和用戶組被賦予一定的權(quán)限,網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略,強制計算機用戶設(shè)置符合安全要求的密碼,包括設(shè)置口令鎖定服務(wù)器控制臺,以防止非法用戶修改。設(shè)定服務(wù)器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù),提高系統(tǒng)安全行,對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。
3.2.2采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨的計算機上,與網(wǎng)絡(luò)的其余部分隔開,它使內(nèi)部網(wǎng)絡(luò)與internet之間或與其他外部網(wǎng)絡(luò)互相隔離,限制網(wǎng)絡(luò)互訪,用來保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵人,執(zhí)行安全管制措施,記錄所有可疑事件。它是在兩個網(wǎng)絡(luò)之間實行控制策略的系統(tǒng),是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。
3.2.3封存所有空閑的ip,啟動ip地址綁定采用上網(wǎng)計算機ip地址與mca地址唯一對應(yīng),網(wǎng)絡(luò)沒有空閑ip地址的策略。由于采用了無空閑ip地址策略,可以有效防止ip地址起的網(wǎng)絡(luò)中斷和移動計算機隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。
3.3病毒防治
病毒的侵人必將對系統(tǒng)資源構(gòu)成威脅,影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡(luò)傳播的計算機病毒,能在很短的時間內(nèi)使整個計算機網(wǎng)絡(luò)處于癱瘓狀態(tài),從而造成巨大的損失。因此,防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關(guān)鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的,主要從以下幾個方面制定有針對性的防病毒策略:
3.3.1增加安全意識和安全知識,對工作人員定期培訓(xùn)。首先明確病毒的危害,文件共享的時候盡量控制權(quán)限和增加密碼,對來歷不明的文件運行前進(jìn)行查殺等,都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施劉利:絕病毒,主觀能動性起到很重要的作用。
3.3.2小使用移動存儲設(shè)備。在使用移動存儲設(shè)備之前進(jìn)行病毒的掃描和查殺,也可把病毒拒絕在外。
3.3.3挑選網(wǎng)絡(luò)版殺毒軟件。一般而言,查殺是否徹底,界面是否友好、方便,能否實現(xiàn)遠(yuǎn)程控制、集中管理是決定一個網(wǎng)絡(luò)殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當(dāng)不錯,能夠熟練掌握瑞星殺毒軟件使用,及時升級殺毒軟件病毒庫,有效使用殺毒軟件是防毒殺毒的關(guān)鍵。
關(guān)鍵詞:校園無線網(wǎng)絡(luò);802.11標(biāo)準(zhǔn);網(wǎng)絡(luò)安全
一、概述
隨著信息技術(shù)的發(fā)展和教育信息化進(jìn)程的推進(jìn),無線局域網(wǎng)技術(shù)在高校校園網(wǎng)中的應(yīng)用也逐漸普及。校園無線局域網(wǎng)表現(xiàn)出方便、靈活的組網(wǎng)方式和廣泛的適用環(huán)境等優(yōu)點,由于無線局域網(wǎng)技術(shù)其傳輸介質(zhì)的開放性,使得數(shù)據(jù)在通信傳播過程中,極有可能被一些非法的接收設(shè)備所接收,這就給入侵者有了可乘之機。加之校園無線網(wǎng)絡(luò)自身的特殊性,無線局域網(wǎng)更易遭受黑客攻擊和泄密;此外由于高校網(wǎng)絡(luò)本身所具有的應(yīng)用范圍廣、使用群體復(fù)雜、管理難度大等眾多特點,致使網(wǎng)絡(luò)本身更具脆弱性,致使網(wǎng)絡(luò)本身更具脆弱性,因此如何保障高校校園無線局域網(wǎng)通信的安全,成為使用高校校園無線局域網(wǎng)過程中必須解決的問題。
二、無線網(wǎng)絡(luò)存在的安全威脅
無線網(wǎng)絡(luò)一般受到的攻擊可分為兩大類:
一類是關(guān)于網(wǎng)絡(luò)訪問控制、數(shù)據(jù)機密性保護(hù)以及數(shù)據(jù)完整性保護(hù)而進(jìn)行的攻擊;一類是無線通信網(wǎng)絡(luò)的設(shè)計、部署以及維護(hù)的獨特方式而進(jìn)行的攻擊。
對于第一類攻擊在有線網(wǎng)絡(luò)的環(huán)境下也會發(fā)生。可見,無線網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。
(一)保密機制的弱點
1、過于簡單的加密算法
WEP中的IV向量由于位數(shù)太短和初始化復(fù)位的設(shè)計,經(jīng)常出現(xiàn)重復(fù)使用現(xiàn)象,從而輕易的被他人所破解。而對于其中的加密的RC4算法,在其頭256個字節(jié)數(shù)據(jù)中的密鑰存在弱點,容易被黑客攻破。而且,對明文完整性校驗的CRC循環(huán)冗余校驗碼只能確保數(shù)據(jù)正確傳輸,并不能保證其是否被修改,因而也會出現(xiàn)安全的問題。
2、密鑰管理復(fù)雜性
在WEP使用的密鑰的過程中需要接受一個外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的安全管理員可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量,使無線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過程非常復(fù)雜,且需要手工進(jìn)行操作,所以很多網(wǎng)絡(luò)的部署者為了方便,使用缺省的WEP密鑰,從而使黑客對破解密鑰的難度大大減少。
3、用戶安全意識不強
許多用戶安全意識淡薄,沒有改變?nèi)笔〉呐渲眠x項,而缺省的加密設(shè)置都是比較簡單或脆弱的,經(jīng)不起黑客的攻擊。
(二)類型繁多的網(wǎng)絡(luò)攻擊
1、探測式攻擊實際上是信息采集活動,黑客們通過這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù),用于以后進(jìn)一步攻擊網(wǎng)絡(luò)。通常,軟件工具(例如探測器和掃描器)被用于了解網(wǎng)絡(luò)資源情況,尋找目標(biāo)網(wǎng)絡(luò)、主機和應(yīng)用中的潛在漏洞。例如,有一種專門用于破解密碼的軟件。這種軟件是為網(wǎng)絡(luò)管理員而設(shè)計的,管理員可以利用它們來幫助那些忘記密碼的員工,或者發(fā)現(xiàn)那些沒有告訴任何人自己的密碼就離開了公司的員工的密碼。但是,這種軟件如果被錯誤的人使用,就將成為一種非常危險的武器。
2、訪問攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議(FTP)功能等網(wǎng)絡(luò)領(lǐng)域的漏洞,以訪問電子郵件帳號、數(shù)據(jù)庫和其他保密信息。
(三)拒絕服務(wù)攻擊
1、信息泄露威脅與網(wǎng)絡(luò)欺騙
泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計算機通信的電子形式,它是以被動和無法覺察的方式入侵檢測設(shè)備的。即使網(wǎng)絡(luò)不對外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具來監(jiān)聽和分析通信量,從而識別出可以破解的信息。欺騙這種攻擊手段是通過騙過網(wǎng)絡(luò)設(shè)備,使得它們錯誤地認(rèn)為來自它們的連接是網(wǎng)絡(luò)中一個合法的和經(jīng)過同意的機器發(fā)出的。達(dá)到欺騙的目的,最簡單的方法是重新定義無線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。
2、用戶設(shè)備安全威脅
由于IEEE802.11標(biāo)準(zhǔn)規(guī)定WEP加密給用戶分配是一個靜態(tài)密鑰,因此只要得到了一塊無線網(wǎng)網(wǎng)卡,攻擊者就可以擁有一個無線網(wǎng)使用的合法MAC地址。也就是說,如果終端用戶的筆記本電腦被盜或丟失,其丟失的不僅僅是電腦本身,還包括設(shè)備上的身份驗證信息,如網(wǎng)絡(luò)的SSID及密鑰。[3]
三、無線校園網(wǎng)絡(luò)安全解決方案
(一)身份認(rèn)證:對于無線網(wǎng)絡(luò)的認(rèn)證可以是基于設(shè)備的,通過共享的WEP密鑰來實現(xiàn)
上文中提到的 MAC 地址認(rèn)證和共享密鑰認(rèn)證都還有一定的安全隱患。在無線網(wǎng)絡(luò)進(jìn)入校園以后, MAC地址認(rèn)證需要進(jìn)行維護(hù)和數(shù)據(jù)管理的問題。例如EAP-TLS、EAP-TTLS、LEAP和PEAP。[4]在無線網(wǎng)絡(luò)中,設(shè)備認(rèn)證和用戶認(rèn)證都應(yīng)該實施,以確保最有效的無線網(wǎng)絡(luò)安全性。用戶認(rèn)證信息應(yīng)該通過安全隧道傳輸,從而保證用戶認(rèn)證信息交換是加密的。因此,對于所有的網(wǎng)絡(luò)環(huán)境,如果設(shè)備支持,最好使用EAP-TTLS或PEAP。針對校園多用戶群體的特點,可以對不同用戶使用不同的認(rèn)證方法,以此來確保無線校園網(wǎng)絡(luò)的安全性。
(二)訪問控制:網(wǎng)絡(luò)用戶的訪問控制主要通過AAA服務(wù)器來實現(xiàn)
這種方式可以提供更好的可擴展性,有些訪問控制服務(wù)器在802.1x的各安全端口上提供了機器認(rèn)證,在這種環(huán)境下,只有當(dāng)用戶成功通過802.1x規(guī)定端口的識別后才能進(jìn)行端口訪問。
一般來說,無線校園網(wǎng)絡(luò)可分為境內(nèi)網(wǎng)和境外(下轉(zhuǎn)第122頁)(上接第120頁)網(wǎng)兩大類。境內(nèi)網(wǎng)是指學(xué)校內(nèi)部訪問數(shù)據(jù)和資源的過程,教師和學(xué)生可根據(jù)需要隨時在校園內(nèi)訪問網(wǎng)絡(luò)。例如研究成果、研究資料以及論文等都要求有較好的安全性。這些用戶可以采用802.1x 進(jìn)行認(rèn)證。也就是先由用戶向認(rèn)證服務(wù)器發(fā)出接入申請,在未通過認(rèn)證的情況下,用戶無法訪問網(wǎng)絡(luò),也無法獲取IP 地址。設(shè)立證書服務(wù)器,以數(shù)字證書的形式達(dá)到雙向認(rèn)證的目的,能夠有效避免用戶接入非法 AP 以及非法用戶使用網(wǎng)絡(luò),只有在通過雙向認(rèn)證之后,用戶方可訪問網(wǎng)絡(luò),保證校園網(wǎng)資源的安全性。境外網(wǎng)指從學(xué)校外部訪問數(shù)據(jù)和資源的過程,主要是針對來學(xué)校進(jìn)行學(xué)術(shù)交流、培訓(xùn)等用戶,這些用戶關(guān)注的是能夠方便、快捷的接入網(wǎng)絡(luò),已進(jìn)行相關(guān)的文件傳輸、瀏覽網(wǎng)站等工作。因此,他們不能訪問校園網(wǎng)內(nèi)部如學(xué)校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫以及一些學(xué)校內(nèi)部資源的一些受限資源。如果用戶是境外網(wǎng)需要訪問校園網(wǎng)以外的數(shù)據(jù),要先通過強制 Portal 認(rèn)證之后方可訪問網(wǎng)絡(luò)。[5]根據(jù)不同網(wǎng)絡(luò)區(qū)分的需要采用不同的認(rèn)證方法,將 802.1x 認(rèn)證和強制 Portal 認(rèn)證這兩種認(rèn)證方式相結(jié)合是解決目前無線校園網(wǎng)絡(luò)安全問題的有效途徑,并有極強的現(xiàn)實意義。
(三)可用性:無線網(wǎng)絡(luò)有著與其它網(wǎng)絡(luò)相同的需要,這就是要求最少的停機時間
不管是由于DOS攻擊還是設(shè)備故障,無線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決于保證無線網(wǎng)絡(luò)訪問正常運行的重要性。在校園的操場、食堂等場合,如不能給用戶提供無線訪問只會給用戶帶來不便而已。當(dāng)一個客戶端試圖與某個特定的AP通訊,而認(rèn)證服務(wù)器不能提供服務(wù)時也會產(chǎn)生可用性問題。這可能是由于擁塞的連接阻礙了認(rèn)證交換的數(shù)據(jù)包,建議賦予該數(shù)據(jù)包更高的優(yōu)先級以提供更好的QOS。另外應(yīng)該設(shè)置本地認(rèn)證作為備用,可以在AAA服務(wù)器不能提供服務(wù)時對無線客戶端進(jìn)行認(rèn)證。
(四)審計:審計工作是確定無線網(wǎng)絡(luò)配置是否適當(dāng)?shù)谋匾襟E
保護(hù)WLAN的第一步就是完成網(wǎng)絡(luò)審計,實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的所有訪問節(jié)點都做審計,確定欺騙訪問節(jié)點,建立規(guī)章制度來約束它們,或者完全從網(wǎng)絡(luò)上剝離掉它們。從短期來看,校園網(wǎng)絡(luò)中心管理員應(yīng)該使用一些能檢測WLAN網(wǎng)絡(luò)流量(以及WLAN訪問節(jié)點)的網(wǎng)絡(luò)監(jiān)控產(chǎn)品或工具,例如SnifferTechnologies和WildPackets廠家的產(chǎn)品。不過,采取的這些措施能達(dá)到的安全程度畢竟還是有限的,因為它要求網(wǎng)絡(luò)管理員要根據(jù)WLAN的信號來檢測網(wǎng)絡(luò)流量,知道網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)流量情況。現(xiàn)在,WLAN的提供商們(例如3Com,Avaya,Cisco,Enterasys和Symbol)將會開發(fā)出新的能夠檢測遠(yuǎn)程訪問節(jié)點的網(wǎng)絡(luò)管理工具。校園網(wǎng)絡(luò)中心管理者應(yīng)該形成一個管理政策,保證網(wǎng)絡(luò)審計成為一個規(guī)范化的行為(至少每三個月檢測一次),來限制具有欺騙訪問行為的站點恣意進(jìn)入WLAN。
