无线移动接入网络(精选10篇)
无线移动接入网络 篇1
0概述
进入21世纪, 随着科技水平和城市不断发展, 城市建筑呈现多样性的特点, 复杂, 高层住宅, 圆形密集的居住区、城市的村庄是一个难点规划的网络覆盖。在本文中, 通过分析广州市的实际无线环境和实际使用的每种类型的无线接入方式, 总结了六个访问计划是适合所有类型的室内场景。
1 研究背景
在2012年的上半年, 随着广州市的WCDMA网络用户的发展, 由于其高WCDMA网络使用谱是GSM, 覆盖了渗透差, 原通过GSM WCDMA站施工现场已无法满足用户的需求的封面。出现更多的弱室内覆盖、抱怨, 因为Tou Su Dian分布越来越此外, 保证网络质量的基础上, 进一步降低网络建设成本, 根据实际情况, 每个覆盖场景, 尝试各种各样的覆盖方案, 并总结了特点的各种场景和最有价值的覆盖解决方案。
2 各种场景下无线接入技术的应用分析
2.1 室内外综合覆盖技术应用
应用背景:由于部分建筑物群较为密集, 楼层较为平均。现有基站的功率、方向角、下倾角较为单一的原由, 信号不能多面墙体达到深度覆盖要求或者使用容量不够。使用传统室内分布方式进行覆盖又投资巨大。
2.1.1 技术分析
主要概念:通过室内分布系统、室外覆盖天线覆盖相结合的分散覆盖方式, 主要通过信号功分或单独设立 (光纤拉远) 的方法获得信号源, 以克服由于基站功率、方向角、下倾角无法灵活调整的缺点, 达到解决目标单体楼宇或者楼群的楼层深度覆盖问题。在日常的应用中主要采用美化天线尽可能减少物业投诉。
2.1.2 应用场景分析
室内外综合覆盖主要应用于大中型楼盘、城中村、校园、工业园区等。
2.2 毫微基站FEMTO技术应用
应用背景:由于部分区域宏蜂窝直接穿透室内很困难, 通过网络优化无法解决信号覆盖问题。较之用户对移动接入的质量和速度要求越来越高, 传统的室分分布方式在节省资源 (与固网相结合) 、信号质量上已无法满足高端用户群。
2.2.1 技术分析
1) Femto定义:一种小型、低功率3G基站接入技术, 面向家庭及办公室、会议室等室内场景使用;2) Femto作用:借助固定宽带接入为室内环境提供3G移动业务, 是3G网络在室内覆盖的补充手段。是固网宽带在3G的延伸, 是典型的固定、移动融合产品;能够在一定范围内进行精确定位, 推动内容服务, 对于商场、会所有很大的广告作用3) Femto特点:设备体积小巧, 覆盖半径一般为5-20米;其提供3G语音的成本接近于Vo IP的成本;提供3G数据比特成本接近固网宽带可在大网统一计费费率基础上提供基于家庭/企业等Femto覆盖区域的精确位置计费。
2.2.2 应用场景分析
高档小区、高级会所、大型商场、会议室。
2.3 室内型微型直放站应用
2.3.1 技术分析
应用背景:由于部分区域, 占地面积小, 位置较为偏僻但又具备一定的人流量。诸如此种鸡肋站点使用基站或者拉远进行覆盖设备和传输成本相应较高, 工程建设存在一种尴尬状态。
微型直放站, 具有无线转发, 双向放大基站上、下行链路信号, 有效扩展覆盖范围和填补移动通信覆盖盲区的功能。设备能有效放大带内载频信号, 滤除其它无关信号, 避免小区干扰, 提高话音质量并扩大覆盖范围。
尺寸小、重量轻、外型美观。类似于电视机顶盒大小, 鞭状外置天线, 应对不同的覆盖场地, 应用灵活;采用中频声表滤波, 能有效抑制带外信号;低噪声放大, 提高话音质量, 减少掉话现象;具有隔离度检测和自激消除的功能, 确保设备不会干扰基站。
2.3.2 应用场景分析
微型直放站的主要应用场景为咖啡厅、茶庄、小型饭堂、小型会议室、应急通信等。
2.4 PLC电力线传输技术应用
2.4.1 技术分析应用背景
PLC: (Power Line Communication) , 即电力线通信, 是指利用电力线传输数据信号的一种通信方式, 传输速率已达到500Mbps, 传输距离可达200米以上。数字通讯又分为宽带 (1Mbps以上) 和窄带 (1Mbp以下) 。宽带PLC技术主要应用于Internet的接入、WLAN传输、家庭视音频和数据传输、GSM、WCDMA室内覆盖等。窄带PLC技术主要应用于电力抄表、远程控制等。
●点到多点的网络模式
●电力猫上电后, 自动搜索局端电力网桥
●数据从局端电力网桥到以时分复用技术 (TDM) 广播到每个电力猫终端。
●上行数据采用时分多址接入技术 (TDMA) 和载波检测多路复用 (CSMA) 传输。
2.4.2 应用场景分析
主要应用于已完成装修或因物业问题室内线路无法布局的热点区域。与传统的网络布线相比, 施工周期短、系统投资少, 同时施工便利。
2.5 MDAS多业务数字分布式系统技术应用
应用背景:部分酒店无法布线, 使用传输的室分方式无法施工;由于人们对电磁信号较为敏感, 布放馈线的方式覆盖遇到较多的物业阻挠。这些场景使用传统覆盖方式无法进行深度覆盖和建设。
2.5.1 技术分析
MDAS:多业务数字分布式系统技术, 是一种多网融合传输技术, 可提供2G、3G、WLAN及宽带信号共网传输。用户入户线采用网线传输, 可新布放或利用家庭宽带线路。 (图2) 。
2.5.2 应用场景分析
酒店、公寓、城中村。
2.6 TADS三网接入分布式系统技术应用
应用背景:部分酒店、家庭无法进行布线的区域, 现有的资源如网线等又无法满足施工要求的区域要进行信号深度覆盖较为困难。
2.6.1 技术分析
TADS:Triple-Access Distribution System, 三网接入分布式系统。借助庞大且成熟的有线电视网络实现移动信号深度覆盖的一种解决方案。 (图3) 。
1) 确保CATV信号的无干扰传输;
2) 实现2G&3G信号的深度覆盖;
3) 实现网络信号的引入 (WIFI) 。
2.6.2 应用场景分析
主要适用于酒店、高档住宅等室内无线布放传统馈线及分布系统的区域, 满足深度覆盖需求。
3 结论
随着3G技术的不断发展和网络覆盖的不断完善, 3G业务的不断拓展, 现有传统的信号覆盖方式已无法满足用户的需求。为解决3G用户对联通信号的感知度和联通品牌的信心, 急需解决各类室内场景的深度覆盖问题, 以上6种方式可以从多个层面、多个角度为问题站点灵活地提供3G信号的覆盖方案。低成本有效地解决网络问题。
无线移动接入网络 篇2
随着Internet的迅速发展,人们越来越希望能够灵活、快速、低费用、随时随地地接入Internet,无线通信技术由于具备了这些特性,越来越广泛地应用在Internet接入中。而且在IMT-2000中已明确规定,第三代移动通信系统必须支持移动IP分组业务。
一.无线接入的方式及系统
无线通信技术大致可以分为移动电话系统、无线通信系统和卫星通信系统3类。移动电话系统目前主要有AMPS、GSM和IS-95几种。这些系统中,移动经营者分别提出了提供数据业务的方案。
在AMPS系统上开发的CDPD完全使用原有的频谱和设施,除了基站和天线与AMPS系统共用外,网管系统则是独立的,采用专用频率方式或者是跳频方式来传送数据。电路交换式蜂窝数据技术方式也是用于AMPS系统上的,只是它采用的不是CDPD方式的分组交换而是电路交换方式。
GSM系统的提供者利用1.9GHz的PCS网路提供移动数据业务,称为PCS1900。
此外,QUALCOMM公司提出的IS-95CDMA移动电话系统也计划提供数据业务。
1. 卫星通信系统利用卫星提供移动式和固定式无线Internet业务。
2. 无线通信系统是指主要用于ISM(工业、科研、医疗)频段和U-NII(国家信息基础设施未开放的)频段。ISM频段系统主要用于大楼内部和大学校园内的无线通信。U-NII频段的设备一律采用LBT(Listen-Before-Talk)无线通信协定。
二.移动IP技术
对于固定式无线通信接入的解决方案是比较容易的,只要在原有的通信系统的基础上略加改进就可以了,难就难在对于移动的无线用户如何接入Internet网,并且同时满足IMT-2000中提出的两个要求:
一、基于IP的无线话音(Wireless Voice Over IP)传输的时延不能超过CDMA及TDMA中语音帧的间隔20ms;
二、传输过程中,必须提供类似于传统无线通讯中的无缝切换的质量,具有最小的包丢失率。
IETF的网络工作组提出了RFC标准,详细阐述了移动IP的原理、实现以及各种细节问题。随后,又出现了阐述IP内的IP封装的RFC标准、IP内的最小封装的RFC标准、用于PPP IPCP的移动Ipv4配置选项的RFC2290标准。下面就详细介绍一下移动IP的相关技术。
传统IP技术的主机使用固定的IP地址和TCP端口号进行相互通信。在通信期间,它们的IP地址和TCP端口号必须保持不变,否则IP主机间的通信将无法继续。而移动IP主机在通信期间可能需要在网路上题动,它的IP地址也许会经常发生变化。若采用传统方式,IP地址的变化会导致通信终端。为解决这个问题,移动IP技术引用了处理蜂窝移动电话呼叫的原理,使移动节点采用固定不变的IP地址,一次登陆即可实现在任意位置上保持与IP主机的单一链路层连接,使通信持续进行。在介绍移动IP技术之前,先介绍以下几个重要概念:
移动代理(Mobility Agent):又分为归属代理和外区代理两类。归属代理是归属网上的移动代理,它至少有一个借口在归属网上。其责任是当移动节点移动到外区网时,截收发往该点的数据包,并使用隧道技术将这些数据包转发到移动节点的转交节点。外区代理位于移动节点所在的当前外区网上,它负责解除原始数据包的隧道封装,取出原始数据包,并将其转发到该移动节点。
移动IP地址:移动IP节点拥有两个IP地址。一个是归属地址,是移动节点与归属网连接时使用的地址,不管移动节点移至网络何处,其归属地址保持不变。二是转交地址,就是隧道终点地址,转交地址可能是外区代理转交地址,也可能是驻留本地的转交地址。通常用的是外区代理转交地址。在这种地址模式中,外区代理就是隧道的终点,它接收隧道数据包,解除数据包的隧道封装,然后将原始数据包转发到移动节点。
位置登记(Registration):移动节点必须将其位置信息向其归属代理进行登记,以便被找到。有两种不同的登记规程。一种是通过外区代理,移动节点向外区代理发送登记请求报文,然后将报文中继到移动节点的归属代理;归属代理处理完登记请求报文后向外区代理发送登记答复报文(接受或拒绝登记请求),外区代理处理登记答复报文,并将其转发到移动节点。另一种是直接向归属代理进行登记,即移动节点向其归属代理发送登记请求报文,归属代理处理后向移动节点发送登记答复报文。
代理发现(Agent Discovery):一是被动发现,即移动节点等待本地移动代理周期性的广播代理通告报文;二是主动发现,即移动节点广播一条请求代理的报文。
隧道技术(Tunneling):当移动节点在外区网上时,归属代理需要将原始数据报转发给已登记的外区代理。这是,归属代理使用IP隧道技术,将原始IP数据包封装在转发的IP数据包中,从而使原始IP数据包原封不动的转发到处于隧道终点的转交地址处。在转交地址处解除隧道,取出原始数据包,并将原始数据包发送到移动节点。当转交地址为主流本地的转交地址时,移动节点本身就是隧道的终点,它自身进行解除隧道,取出原始数据包的工作。RFC2003和RFC2004中分别定义了两种隧道封装技术,见图1。
移动IP协议工作原理大致如下:
1. 移动代理(即外区代理和归属代理)通过代理通告报文广播其存在。移动节点通过代理请求报文,可有选择的向本地移动代理请求代理通告报文。
2. 移动节点收悉这些代理通告后,分辨其在归属网上,还是在某一外区网上,
3. 当移动节点检测到自己位于归属网上时,那么它不需要移动服务就可工作。假如移动节点从登记的其他外区网返回归属网时,通过交换其随带的登记请求和登记答复报文,移动节点需要向其归属代理撤销其外区网登记信息。
4.当移动节点检测到自己已漫游到某一外区网时,它获得该外区网上的一个转交地址。这个转交地址可能通过外区代理的通告获得,也可能通过外部分配机制获得,如DHCP(一个驻留本地的转交地址)。
5.离开归属网的移动节点通过交换其随带的登记请求和登记答复报文,向归属代理登记其新的转交地址,另外它也可能借助于外区代理向归属代理进行登记。
6.发往移动节点归属地址的数据包被其归属代理接收,归属代理利用隧道技术封装该数据包,并将封装后的数据包发送到移动节点的转交地址,由隧道终点(外区代理或移动节点本身)接收,解除封装,并最终传送到移动节点。
在相反方向,使用标准的IP选路机制,移动节点发出的数据包被传送到目的地,无需通过归属代理转发。无论移动节点在归属网内还是在外区网中,IP主机与移动节点之间的所有数据包都是用移动节点的归属地址,转交地址仅用于与移动代理的联系,而不被IP主机所觉察。图2说明了移动节点在外区网上时,移动IP的工作过程。
1.IP主机经过标准的IP选路,发往移动节点的数据包抵达归属网。
2.数据包被归属代理接收,由注册表可知移动节点的关联地址。
3.采用“隧道技术”送到移动节点的转交地址,即外区代理。
4.外区代理解除隧道,取出原始数据包,并将原始数据包转发给移动节点。
5.移动节点发出的数据包通过标准的IP选路规程发送到目的地(本图中外区代理为移动节点的缺省路由器)。
三.不足与改进
由上述移动IP的原理简述可以看出,它的确能较好的解决移动节点在子网间漫游时的通信问题,但在寻径上却存在如下不足。现在我们考虑一个漫游至外地网的用户1,正与用户2进行通信,根据以上寻径方式,用户1的数据必将按照传统IP寻径方法,以某种最佳寻径方式达到用户2;而从用户2发出的数据,由于目的地址是用户1,数据必将先到达用户1的归属代理,在由归属代理传到外地代理,最后才到达用户1。这显然不是最佳路径,特别是当用户1漫游到用户2所在的归属网时,这种寻径方式的传输延迟很大,对实时语音、图像等会造成极大的损害;也增加了网络负担,数据包在网络中运行的时间大大增加。
为了解决这个不足,可以引入一种新的代理----通信代理,它是与移动节点通信的IP节点的路由器。新结构的工作过程如下:三个代理都发送代理通告报文声明自己的存在,不同的是,通信代理针对的是本范围内的所有用户。用户2要发数据给用户1,他并不知道用户1已移动,仍向用户1所在的子网发数据,被本地代理截获,本地代理一方面将该数据包转发到外区代理,一方面分析源地址,向数据包源端反向发送一条消息,该消息包括用户1目前的状态,如它的关联地址等等,用户2收到本地代理发来的消息后,得知用户1已移动,则向通信代理进行登记,告诉其关于用户1的关联地址,请求建立通信代理至外区代理的通道,建立成功后,由于这是通信两点直接建立的,所以路径最佳,然后用户2把发往用户1的数据包发给通信代理,通信代理截获后由“隧道”发往外区代理,再由外区代理发给用户1。示意图如图3。通过这种改进,大大减小了时延,更好的满足了第三代移动通信系统IMT-2000中对于时延的要求。
由于采用了IP隧道封装技术,使得封装后的数据包大于源路由数据包,这样不但增加了路由上的负担,还必然的增加了消息处理时延。为了解决这一问题,就要对数据包的包头进行合理的设计或是对包头进行压缩。此外,还存在一些不足之处:
1. 无线链路带宽低、误码率高。
2. 为了能够使用IP隧道封装技术,事先必须给隧道的出口节点(包括外区代理及移动节点本身)设立解除封装的功能。
3. 移动IP节点的成本要高于有线IP网的节点成本,而目前Internet上的大多数设备和ISP不支持移动IP业务。增设外区代理、归属代理、通信代理都需要更大的资金投入,且技术含量更高。
4. 移动IP的接入对Internet网的安全性提出了更高的要求;反过来,Internet网中的防火墙检验每个数据包的源地址时,当发现数据包的归属地址与外区网的网络地址不一样时,会阻截IP隧道数据包。
在第三代移动通信系统中采用的是Ipv6方案,它提供长达128比特位的地址。作者认为在地址资源极大丰富的情况下,甚至可以不采用代理地址,也就不会发生防火墙阻隔合法的数据包的通过的情况了。这样就减少了通信过程中的复杂度。而Ipv6方案在安全性方面也给予了一定的技术支持,原来的Internet安全机制只建立于应用程序级,如E-mail加密、SNMPv2网络管理安全、接入安全(HTTP、SSL)等,现在IP级的安全也得到了保证。具体由IP的AH(Authentication Header)和ESP(Encapsulating Security Payload)标记来保证分组的鉴权和私密特性。
四.结论
无线移动接入网络 篇3
关键词:无线传感器网络 移动锚节点 定位算法
0 引言
无线传感器网络(Wireless Sensor Network, WSN)是由大量的静止或移动的传感器以自组织和多跳的方式构成的无线网络,以协作地感知、采集、处理和传输网络覆盖地理区域内被感知对象的信息, 并最终把这些信息发送给网络的所有者。
无线传感器网络所具有的众多类型的传感器,可探测包括地震、電磁、温度、湿度、噪声、光强度、压力、土壤成分、移动物体的大小、速度和方向等周边环境中多种多样的现象。潜在的应用领域可以归纳为: 军事、航空、防爆、救灾、环境、医疗、保健、家居、工业、商业等领域。
传感器的准确定位既是监测目标位置信息的前提,也是实现网络拓扑管理、目标跟踪、目标轨迹预测等网络功能的基础。如何以较少的网络成本获得较多的锚节点位置信息,在网络成本与定位性能之间取得平衡是实际应用中值得研究的问题。目前比较实用的定位方式是利用一些带有GPS装置的移动锚节点按照有效规划的移动路径遍历整个监测区域,通过发送包含自身坐标的信标数据包来定位区域中的未知节点。该方法有效避免了无线传感器网络的资源浪费。对于该定位方式,移动锚节点的路径规划问题是需要解决的基本问题。
1 国内外研究现状
无线传感器网络移动锚节点定位技术领域主要集中在两个方面,即移动锚节点的路径规划问题以及移动锚节点的定位算法。
2 移动锚节点路径问题
移动锚节点的定位算法中,移动锚节点发送包含其自身位置信息的信标数据包,在其移动过的路径上形成多个虚拟锚节点,未知节点利用通信范围内的虚拟锚节点的坐标信息进行定位。有不少研究人员在移动锚节点路径方面做了研究,也取得了相应的成绩。移动锚节点路径问题大致可分为两类:静态移动锚节点路径和动态移动锚节点路径。
2.1 静态移动锚节点路径
静态移动锚节点路径是指:移动锚节点按照预先规划好的路径在网络中移动,研究正六边形移动路径的移动锚节点定位算法中,假设监测区域是正方形,移动锚节点在监测区域中按照正六边形的移动路径移动,移动锚节点每隔周期广播包含自身坐标信息在内的信标数据包。信标数据包的广播位置形成了若干个相邻的正三角形。未知节点接收通信范围内的移动锚节点信标信息,当收到满足条件的信标信息后,未知节点用相应的定位算法计算自身位置。以上提到的算法相对于动态路径规划简单易于实现,但是它们无法根据节点分布状态而灵活地变化。
2.2 动态移动锚节点路径
动态移动锚节点路径,即根据网络中节点的分布情况和移动锚节点当前位置来确定移动锚节点下一个位置。移动锚节点根据接收到的网络信息自适应调节移动路径。动态路径是不规则的图形,它利用未知节点分布信息动态调整,并且使移动路径较短,从而弥补了静态路径的短处。
3 移动锚节点的定位算法
移动锚节点的定位算法分为两类:一类是静态锚节点与移动锚节点定位未知节点,另一类只是移动锚节点定位未知节点。
3.1 静态锚节点与移动锚节点定位未知节点
MBAL和APP定位算法是典型的静态锚节点与移动锚节点的定位算法,移动锚节点通过未知节点发送的定位请求消息周期性地选择下一个移动位置,并广播包含自身坐标。未知节点通过RSSI测距方法并接收到三个以上不共线的锚节点坐标来计算出自身位置。然后,变换为静态锚节点与移动锚节点定位未知节点。
3.2 移动锚节点定位未知节点
利用移动锚节点发射信号的强度、位置信息和贝耶斯估计方法进行未知节点的位置估计。
4 小结
可以发现,尽管也有使用移动锚节点辅助定位的算法研究,但是大部分的研究主要停留在静态移动锚节点的路径规划上,并且路径规划大多针对单个移动锚节点,这种路径规划存在虚拟锚节点共线,移动路径较长和定位时间较长等问题。能精确定位的算法比较少且大多数研究都是假设在理想环境下,即没有障碍物的环境下,忽略了实际应用中存在障碍物的情况。因此障碍物环境下无线传感器网络多移动锚节点定位算法研究,使移动锚节点能在绕开障碍物的前提下,完成对网络中未知节点的精确定位,达到定位精确度高、定位覆盖范围广且定位时间短三个基本要求。
参考文献:
移动通信中的无线接入安全机制 篇4
在GSM/GPRS/EDGE系统中, 用户的SIM卡和归宿网络的HLR/Au C共享一个安全密钥Ki (128bit) , 基于该密钥, 网络可以对用户进行认证, 但用户无法认证网络, 另外基站和手机间可以对无线链路进行加密。
GSM/GPRS系统的认证和加密是基于 (RAND, SRES, Kc) 三元组实现的, 基本过程如下。
(1) 当需要对用户进行认证时, 服务网络的MSC/VLR (对电路域业务) 或者SGSN (对分组域业务) 会向用户归属的HLR/Au C请求认证向量。
(2) HLR/Au C首先产生一个随机数RAND, 然后基于这个RAND和用户的根密钥Ki根据A3算法计算出移动台应返回的认证响应SRES, 并基于RAND和用户的根密钥Ki用A8算法计算出后续用于加密的密钥Kc, HLR/Au C也可能产生多组这样的认证向量。
(3) HLR/Au C将一个或多个 (RAND, SRES, Kc) 三元组返回给服务网络的MSC/VLR或者SGSN。
(4) 服务网络的MSC/VLR或者SGSN通过NAS (非接入子层) 信令向用户的手机发起认证请求, 参数中包含步骤3中所收到的某个RAND。
(5) 手机将认证请求通过Run GSMAlgorithm指令转给SIM卡, SIM卡基于RAND和自己安全保存的根密钥Ki用A3算法计算认证响应SRES’, 同时基于RAND和Ki用A8算法计算加密密钥Kc。
(6) SIM卡将SRES’和Kc返回给手机, 同时也将Kc保存在卡上的一个可读文件EF (Kc) 中。
(7) 终端将SRES’返回给服务网络, 服务网络的MSC/VLR或者SGSN将它与在步骤3收到的SRES进行比较, 相同则用户认证成功, 否则失败。服务网络的MSC/VLR或者SGSN将Kc转发给基站。
(8) 当需要对空口通信进行加密时, 终端和服务地的接入网协商加密算法, 这通常称为A5算法协商。标准要求2G终端必须支持A5/1算法和推荐实现A5/3算法。
(9) 接入网从服务地的核心网获得加密密钥Kc, 终端从卡上读取Kc, 各自用它作为密钥, 用所协商的A5算法计算随机数, 然后用于空口消息/数据的加、解密。
2 3GUMTS系统的无线接入安全2G接入安全具有如下不足
(1) 只能实现网络对用户的认证, 无法实现用户对网络的认证, 可能存在恶意网络诱骗用户登陆/使用、然后盗取用户信息和传播垃圾/病毒信息的威胁。
(2) 通过PIN码校验 (而这是非常容易实现的) 后, 对所有的Run GSMAlgorithm指令, SIM卡都会根据指令中输入的随机数计算相应的SRES认证响应, 攻击者很容易利用它进行穷举攻击 (特别是结构性列举攻击) , 以反推用户密钥Ki。
(3) 没有完整性保护, 存在消息/数据在中途被拦截和篡改的威胁。
(4) 一些老算法可以被安全级别更高的新算法替换。
3G系统对以上不足进行了有针对性的改进, 在3GUMTS (包括WCDMA和TD-SCMDMA) 系统中, 用户的USIM卡和归宿网络的HLR/Au C共享一个安全密钥K (128bit) , 基于该密钥, 网络可以对用户进行认证, 用户也可以认证网络, 另外基站和手机间可以对无线链路进行加密和完整性保护。
3GUMTS系统的双向认证、加密和完整性保护是基于 (RAND, XRES, CK, IK, AUTN) 五元组实现的, 基本过程如下。
(1) 当需要对用户进行认证时, 服务网络的MSC/VLR (对电路域业务) 或者SGSN (对分组域业务) 会向用户归属的HLR/Au C请求认证向量。
(2) HLR/Au C首先产生一个随机数RAND和一个SQN, 然后基于这个RAND、SQN和用户的根密钥K按图1所示进行如下计算:用f2算法生成移动台应返回的认证响应XRES, 用f3算法生成加密密钥CK, 用f4算法生成完整性保护密钥IK, 用f1和f5算法生成网络对应的认证响应AUTN, HLR/Au C也可能产生多组这样的认证向量。
(3) HLR/Au C将一个或多个 (RAND, XRES, CK, IK, AUTN) 五元组返回给服务网络的MSC/VLR或者SGSN。
(4) 服务网络的MSC/VLR或者SGSN通过NAS (非接入子层) 信令和用户的手机/UISM卡执行AKA (认证和密钥协定) 过程。
(5) 当需要对空口通信进行加密或者完整性保护时, 终端和服务地的接入网 (RNC) 协商并激活安全模式。
(6) 接入网从服务地的核心网获得CK和IK, 终端从步骤4获得或者从卡上读取CK和IK, 各自用它们作为密钥, 然后用f8、f9算法进行加/解密和完整性保护。终端和接入网间也可以借完整性保护 (IK和f9算法) 实现简单的本地认证功能。
以上过程也可以用图2表示。
3 2G/3G互通时的无线接入安全
当2GSIM卡接入3G网络时, 为了避免要求2G用户必须换卡才能接入3G网络和使用3G业务, 运营商通常选择允许用户用2GSIM卡接入3G网络, 为此需要终端和网络支持如下附加功能。
(1) 3G终端能支持2GSIM卡接口。
(2) 3G服务网络的MSC/VLR与SGSN能和2GHLR/Au C互通, 能接受三元组认证向量。
(3) 3G终端和3G接入网支持Kc到CK和IK的密钥转换。
此时的认证过程和2G系统基本相同, 有区别的地方是:3G服务网络的MSC/VLR或者SGSN需要通过标准的转换函数将Kc转换为CK和IK, 然后将CK和IK传给3G服务基站;终端从SIM卡得到Kc后, 也需要通过同样的转换函数将Kc转换为CK和IK;后续终端和3G服务基站间可以用3G的f8、f9算法, 以及CK、IK进行加密和完整性保护。
当3GUSIM卡接入2G网络时, 为了利用2G对3G的覆盖补充和支持更广泛的漫游, 运营商也会选择允许用户用3GUSIM卡接入2G网络, 为此需要USIM卡和网络支持如下附加功能。
(1) 3GUSIM卡支持转换函数, 能将XRES’转为SRES’, 将CK和IK转为Kc。
(2) 3GUSIM卡支持2GSIM接口, 从而能被只支持SIM卡的2G终端使用, 这样的卡通常被称为USIM/SIM混合卡。混合卡上的SIM接口安全算法是基于USIM安全算法+转换函数实现的。
(3) 3GHLR/Au C能支持五元组到三元组的转换, 从而可以向服务地的2GMSC/VLR或者SGSN返回三元组认证向量。
(4) 服务网络如果采用2G接入网+3G核心网 (即BS是2G的, 但MSC/VLR与SGSN为3G的) 的组网方式, MSC/VLR与SGSN应支持CK+IK到Kc的转换。
当用户用的是3G/2G混合终端或者是支持USIM的高版本2G终端时, 此时使用的是混合卡上的USIM功能, 认证实现分以下两种情况。
(1) 当服务地的核心网是3G时, 认证过程和3GUMTS系统的描述基本相同, 有区别的地方是:服务网络的3GMSC/VLR或者SGSN需要通过标准的转换函数将CK和IK转换为Kc, 然后将Kc传给2G服务基站;除了CK和IK, 混合卡还会将用转换函数依据CK和IK生成的Kc也返回给终端。终端会忽略CK和IK, 而只用Kc;后续如果需要, 终端和服务地2G基站间能用所协商的A5算法和Kc进行加密传输, 但不能进行完整性保护。
(2) 当服务地的核心网是2G时, 认证过程和2G系统的描述基本相似, 有区别的地方是:收到服务地网络的认证向量请求后, 用户归属的3GHLR/Au C首先生成五元组, 然后将它们通过标准转换函数转为三元组, 再将三元组返回给服务网络;终端向卡发送的是带GSM安全上下文的Authenticate指令;混合UISM卡首先生成XRES、CK和IK, 然后将XRES转换为SRES’, 将CK+IK转换为Kc, 最后只将SRES’和Kc返回给终端。
当用户用的是不支持USIM的低版本2G终端时, 此时使用的是混合卡上的SIM功能, 认证实现也分为两种情况。
(1) 当服务地的核心网是3G时, 认证过程和2G系统相似, 有区别的地方是:收到服务地网络的认证向量请求后, 用户归属的3GHLR/Au C生成的是五元组, 返回的也是五元组;服务网络的3GMSC/VLR或者SGSN需要通过标准的转换函数将XRES转换为SRES、将CK和IK转换为Kc, 然后将Kc传给2G服务基站;服务网络用户认证请求消息中的AUTN参数会被2G终端忽略, 2G终端仅将RAND参数通过Run GSM Algorithm指令发给混合卡;混合卡用RAND和K首先生成XRES’、CK和IK, 然后将XRES’转换为SRES’, 将CK+IK转换为Kc, 最后只将SRES’和Kc返回给终端。
(2) 当服务地的核心网是2G时, 认证过程和2G系统基本相同, 有区别的地方是:收到服务地网络的认证向量请求后, 用户归属的3GHLR/Au C首先生成五元组, 然后将它们通过标准转换函数转为三元组, 再将三元组返回给服务网络;混合卡首先生成XRES’、CK和IK, 然后将XRES’转换为SRES’, 将CK+IK转换为Kc, 最后只将SRES’和Kc返回给终端。
4 3GPP2系统的接入安全cdma20001x系统的接入安全
在cdma20001x系统中, 用户的RUIM卡和归宿网络的HLR/AC会共享一个安全密钥A-key (64bit) , 基于该密钥, 网络可以对用户进行认证, 基站和手机间也可以对信令消息、语音和数据应用不同的加密方式。
cdma20001x系统支持两种认证触发方式。
(1) 通过层2功能实现的全局挑战 (Global Challenge) :服务网络可以将在寻呼信道上广播的接入参数消息中的AUTH字段置为‘01’, 从而要求所有终端在使用反向接入信道发送消息时 (Order消息、Authentication Challenge Response消息、Status Response消息和Extended Status Response消息除外) , 必须在消息的层2参数域携带基于SSD (共享安全数据) 的前64bit、随机数和消息中特定信息域计算的认证签名AUTHR。
(2) 通过层3功能实现的独特挑战 (U n i q u e Challenge) :当需要时, 服务网络可以向特定终端发送Authentication Challenge消息, 终端中的卡基于消息中的随机数RANDU, 用SSD的前64bit计算AUTHU, 再用Authentication Challenge Response消息返回, 网络然后检查终端返回的AUTHR或AUTHU是否正确。如果HLR/AC向服务网络共享了SSD, 这个检查由服务网络完成, 否则需请求HLR/AC进行。
SSD (128bit) 是cdma20001x认证中的一个特有设计, 引入SSD是为了避免过度使用用户的根密钥A-key和避免需要将A-key共享给服务网络。SSD的生成和后续更新只能在HLR/AC和RUIM卡之间进行, HLR/AC可以选择将某个SSD共享给服务网络并可以设定该SSD的生命周期, 但RUIM卡不会把SSD透露给终端。SSD更新过程通过网络向终端/卡发送SSDUpdate消息触发, 消息中包含一个随机数RNADSSD。为了防止虚假服务网络恶意更新SSD, 卡会产生一个随机数RANDBS然后由终端通过BSChallenge Order消息发送给网络, 仅当网络返回的AUTHBS响应是正确的, 卡才会用CAVE算法根据A-Key、RANDSSD、UIMID等计算出的值更新SSD。SSD的前64bit用于各种认证运算, 包括AUTHR/AUTHU/AUTHBS的计算和检验, 它们都使用CAVE算法根据相应的随机数输入计算得到。
基于SSD的后64bit可以用CAVE生成私有长码掩码 (Private LCM) 、消息加密密钥SMEKey和数据加密密钥。cdma20001x用私有长码掩码加扰的方式实现语音加密;用SMEKey密钥和CMEA (或者ECMEA) 算法实现信令消息加密;用数据密钥和ORYX算法实现用户数据加密。终端和服务网络间可以通过层3消息协商是否使用加密。
5 cdma20001x EV-DO系统的接入安全
为了支持标准的cdma20001x EV-DO接入认证, 用户需要用更高版本的RUIM卡 (至少是C.S0023Rev.B以后版本的卡) , 用户的RUIM卡和归属AN-AAA间会共享一个HRPD SS (HRPD共享密钥, 为可变长度, 常取128bit) , 卡还要能支持MD5算法和存储用户在EV-DO中的ID (称之为HRPD NAI) 。基于该HRPD SS, 网络可以对用户进行认证, 基站和手机间也可以对消息和数据进行加密。
当用户需要建立E V-D O会话时, 在终端和A N (即EV-DO基站) 进行PPP和LCP协商期间, AN会向终端发送CHAPChallenge, 消息中包含CHAPID和一个随机数, 终端把这个挑战转给RUIM卡, 卡用MD5算法根据HRPDSS和随机数计算响应, 响应被卡/终端通过CHAP Response返回给AN, AN再通过A12接口把它传给AN-AAA, AN-AAA基于自己存储的该用户HRPD SS验证这个响应是否正确。
终端通过了A12认证并建立了EV-DO会话后, 后续当终端需要请求EV-DO无线连接时, 可以仅执行较简单、快捷的EV-DO空口认证签名过程:终端和网络先通过DiffieHellman算法建立一个共享的会话密钥;终端利用SHA-1算法, 用该会话密钥和时间戳对接入信道上的分组进行签名。
EV-DO系统采用AES算法标准对用户数据和信令信息进行加密保护;用SHA-1算法实行完整性保护。EV-DO用基于时间、计数器的安全协议产生密码系统, 以产生变化的加密掩码。
6 1x/EV-DO互通时的接入安全用
当EV-DORUIM卡接入1x网络时, 支持DO接入认证的RUIM卡也会同时支持1x CAVE认证, 并且隐秘保存有A-key。EV-DORUIM卡在1x网络中将使用CAVE认证, 这如同1x RUIM卡在1x网络中一样。
当用1x RUIM卡接入EV-DO网络时, 为了让1x用户不需要换卡就能接入EV-DO网络和使用EV-DO服务, 需要EV-DO终端和网络支持如下附加功能。
为了计算CHAPResponse, 终端需要能向1x RUIM卡发送Run Cave指令, 即CHAP中实际使用的是CAVE认证算法。终端还要能根据卡中的1x ID信息生成HRPD NAI。
网络侧的AN-AAA能识别卡使用的是CAVE算法;提供附加的、连向卡所对应的HLR/AC的接口, 并能将自己模拟为VLR向HLR请求认证结果和/或SSD。
摘要:随着移动通信的普及以及移动互联网业务的迅猛发展, 移动网络成为黑客关注的目标, 窃听、伪装、破坏完整性、拒绝服务、非授权访问服务、否认使用/提供、资源耗尽等形形色色的潜在安全犯罪威胁着正常的通信服务。为了使人们随时随地享受便捷无线服务的同时能得到信息安全的保障, 无线接入网提出了认证、鉴权、加密等一系列安全措施加以应对。
无线移动接入网络 篇5
根据我国频率规划的基本原则和各类无线接入技术的特点,中国关于无线接入技术的频率规划如下:
460.5MHz~462.0MHz中心站发射/450.5MHz~452.0MHz终端站发射频段:用于FDD方式农村无线接入系统,采用模拟FDMA技术,但并不是农村无线接入系统专用频段,在该频段和各省、自治区、直辖市无线电管理委员会办公室有权指配的464.100MHz~467.075MHz中心站发射/454.100MHz~457.075MHz终端站发射频段内,在互不干扰的前提下,农村无线接入系统亦可与常规调频对讲机共用相同频段,鉴于这类系统的频谱利用率不高,且可用频率资源很少,所以适用于地广人稀、话务量小的农村地区。
1900MHz~1920MHz频段:用于TDD方式的公众网或专用网无线接入系统。在该频段内可使用DECT技术和PHS技术,为避免相互干扰,规定1900MHz~1915MHz频段用于PHS技术,1905MHz~1920MHz频段用于DECT技术。对于其它类似的TDMA/CDMATDD方式的无线接入技术及微功率(短距离)数字无绳电话接入技术,按信息产业部无线电管理局相关文件要求与DECT及PHS实现频率共用。
1800MHz~1805MHz频段:用于TDD方式的公众网或专用网无线接入系统。在该频段内可使用具有我国自主知识产权的SCDMA技术,
1960MHz~1980MHz中心站发射/1880MHz~1900MHz终端站发射频段:在底前,该频段可用于FDD方式公众网无线接入系统,用于固定无线接入业务,可采用数字TDMA或CDMA技术。为满足我国第3代移动通信系统的核心频段的频率需求,该频段仅作为临时过渡规划,该频段内的无线接入系统设备只能使用至20底。为避免市话运营企业经受设备改频或停用的损失和阻碍移动通信的发展,现在严格控制在该频段内设置无线接入系统。若确需设置,须报信息产业部无线电管理局审批。
3500MHz~3530MHz中心站发射/3400MHz~3430MHz终端站发射频段:在底前,该频段可用于FDD方式公众网无线接入系统,用于固定无线接入业务,可采用数字TDMA或CDMA技术。具体频率、台站管理办法将在近期公布。
由于该频段与C频段卫星扩展频段3400MHz~3600MHz重叠,可能会产生相互干扰,因此先以频率切块分配的方式,为无线接入系统分配2×30MHz的使用频段,解决其业务发展的燃眉之急。在~20底间,信息产业部无线电管理局将组织卫星通信系统与地面无线接入系统联合试验小组,经过技术试验和电磁兼容分析,确定C频段卫星扩展频段通信系统与地面无线接入系统的频率共用的可能性和共用条件后,由国家无线电管理机构作出相应的规定,使无线接入系统继续使用2×30MHz频段,并根据无线接入系统技术发展和市场需求,研究和确定无线接入系统在3400MHz~3600MHz内,适当地扩展一定的频段,实现卫星通信系统和无线接入系统更有效地共用频率。如果在此期间,经过技术试验和电磁兼容分析,证明无线接入系统对C频段卫星扩展频段通信系统产生不可接受的有害干扰,无线接入系统将于年底前退出3400MHz~3600MHz频段,另行规划使用其它频段。在此以前,为适应市场的紧迫需求而组建的上述无线接入系统对C频段卫星通信系统扩展频段进行最大限度的保护。
无线移动接入网络 篇6
1 GPRS技术的原理与特征
1.1 GPRS技术工作原理
GPRS技术是通过分组交换等技术来实现无线传输的, 即是以封装的形式将数据分为若干个独立封包, 再将其一个一个地传送出去, 这种传输形式只有在数据传输时, 才会占用到频宽。GPRS技术的数据编码是由GSM标准加以规定的, 编码形式的不同, 传输速率的提高也存在着差异[2]。GPRS技术将计算机网络同电信网络有机地联系在一起, 并以全IP网络平台为最终的发展目标。当GPRS开始工作时, 则通过路由管理的形式来建立数据连接, 具体而言, GPRS技术的路由管理包含三方面:发送数据终端、接收数据终端和漫游数据终端, 当处理好这三个终端就可将数据单元传送给GGSN, 之后再进行GGSN到SGSN、SNDC的数据单元传输, 最终通过LLC层的处理成为LLC帧单元, 传送至移动终端。
1.2 GPRS技术特点
GPRS技术是基于GSM系统的一种无线分组交换技术, 提供的是广域的、端到端的无线IP连接。其技术特点主要体现在四个方面:第一, GPRS技术有着多种的服务质量, 具有很好的灵活性, 可支持多种数据的应用, 其数据的传输速率最高可以达到171.2kbps;第二, GPRS技术具有很快的网络接入速度, GPRS技术本身是一个分组型的数据网, 支持IP/TCP协议, 可通分组数据网直接建立互通;第三, GPRS技术的使用更加方便, 计费也更加合理, 在GPRS网中, 只要用户同网络建立了一次连接, 就可实现实时在线, 并且只有在数据传输时才会占用到信道, 亦才会开始计费;第四, GPRS技术可以实现用户对网络点的随意移动和分布, 而无需担心在移机和在线路维护时所引起的通信中断[3]。
2 GPRS接入的传输方式和接入类型
辽宁移动公司设立了信道化专线 (电信DDN和基站时隙) , 包括64kbit/s或128kbit/s信道化专线, 主要用于一般营业厅;独立专线 (数据专线) , 其中2Mbit/s数据专线用于市内大型营业厅, 9.6kbit/s数据专线则用于乡镇营业厅;LAN方式 (延伸LAN和本地LAN) , 其中延伸LAN (速率2Mbit/s) 部分, 利用华为SDH设备LAN接口实现乡镇营业厅的局域接入, 本地LAN (速率10Mbit/s) 则利用超五类以太网线实现办公大楼营业厅的局域接入;在拨号方式 (PSTN拨号和GPRS拨号) 中, 手机拨号 (速率9.6kbit/s) 用于偏远乡镇营业厅, PSTN拨号 (速率56kbit/s) 用于偏远乡镇营业厅, GPRS拨号 (速率13kbit/s) 是利用GPRS网络资源实现市内营业厅的无线接入 (九江市正预备试点) 。
3 营业网点接入系统分析
3.1 GPRS接入网络环节
GPRS属于一种新型的GSM数据业务, 可供用户无线数据分组的接入。GPRS具有流量计费、永远在线、接入迅速的特点, 在突发性数据的远程传输中表现出其他业务所难以比拟的优势, 尤其是对于频发的小数据传输更加明显。GPRS接入网络是以GSM网络为基础来加以实现的, 是通过在GSM网络中进行一些节点的增加, 来做到网络多功能的实现。GPRS接入网络中, GSN是最重要的网络节点, 具有GPRS寄存器、多路由数据接入和路由管理功能, 可以实现各数据网络和移动台间的格式转换和数据传送。
3.2 报警主站环节
基于GPRS技术的营业厅数据在线监测系统是一个功能完善、完全开放式的系统, 由维护工作站、值班监视工作站、历史数据服务器、及值班主机等若个部分组成。其报警主站是以Windows NT操作系统为基础, 采用C++语言和程序设计方法, 同Oracle、SQL Server及Arcinfo等商用软件实现无缝连接, 使其故障的报警可通过图文报表的形式加以体现。报警主站是主要任务是对系统主机采集、计算、处理及保存数据等工作的监视, 当故障出现时, 故障主站通过GPRS移动接收器来向系统管理员下达通知, 以及时进行处理, 使系统的运行尽快地恢复正常。报警主站可向系统管理人员提供报警处理、界面监视、系统维护、报警查询等功能, 使值班系统中的报警信息通过GPRS的形式传递给监视工作站和值班人员。
3.3 数据采集系统环节
营业厅在线监测系统中的所有数据都是在通过数据采集装置后, 再以RS232C接口的形式接入到系统终端服务器当中。通过GPRS网络, 终端服务器同系统值班主机实现了相连, 其接受的数据主要包括以下几方面的内容:配网自动化、调动自动化等各类自动化系统的遥测、遥信;调动自动化系统的进程工况、厂站工况、主机工况;UPS工作告警及数据信息。
4 拟采用的接入方式
鉴于信道化专线接入方式不仅具有稳定性高、可靠性强、保密性好、节省传输线路和路由器串口板等优点, 而且投产时间较长, 建设规模较大, 为保护现有系统的投资, 建议自办营业厅采用信道化专线接入方式, 并且以基站时隙方式为主, 电信DDN方式为辅, 电信DDN方式应逐步过渡到基站时隙方式。同时, 传输速率以64kbit/s为主, 128kbit/s为辅。
大型自办营业厅和大型合作营业厅 (终端数量超过10台) , 可以考虑采用独立2Mbit/s专线方式接入。对于合作营业厅/委代办, 接入方式应以手机拨号方式为主 (终端数量在2台左右) , 信道化专线方式为辅 (终端数量在4台以上) 。由于延伸LAN和GPRS拨号接入方式正处于试用阶段, 稳定性有待观察, 在试点结束和正式验收后, 营业网点亦可考虑采用以上两种接入方式作为补充, 但是建议原则上乡镇营业网点采用延伸LAN接入方式, 而市内营业网点采用GPRS拨号接入方式。
5 结语
在用户服务需求个性化和多元化的今天, 为了贯彻中国移动通信业务运营支撑系统的战略, 提高业务运营支撑系统的服务质量, 确保在日益激烈的市场竞争中确立主导地位, 辽宁移动决定在现有计费结算系统、业务治理系统和客户服务系统的基础上, 结合自身特点和实践经验进行辽宁移动无线营业厅系统集中化改造, 经过试运营, 效果良好, 目前接入工作顺利。
摘要:现在, 很多的用户服务需求越来越个性化, 不只是像过去那样选择套餐业务, 为了能够在市场竞争中占主导地位, 移动公司对于组网进行集中化改造已经迫在眉睫。以辽宁营业厅GPRS接入方案为核心, 对于接入的改造过程, 接入的优势等进行了分析。
关键词:GPRS,移动无线营业厅,接入方案
参考文献
[1]李涛.基于GPRS无线通信的配变监测系统的设计与实现[J].继电器, 2009 (12)
[2]李芬华.GPRS技术在数据采集与监控系统中的应用[J].电子技术, 2008 (3)
无线移动接入网络 篇7
随着信息网络进程的发展,企事业信息化建设的日益进步,人们的工作模式发生了很大变化。无线网络让员工摆脱了依靠有线线缆连接主干网络的束缚,使他们能够在任何时间、任何地点对内部计算机网络信息资源进行访问和数据交换。但面对因特网的安全现状和无线网的安全缺陷,远程移动办公在提高工作效率、方便工作的同时,也给企事业的内部网络的信息安全带来了极大隐患。
二、安全问题分析
远程移动办公是利用移动计算机、借助无线网卡或劫持他人无线网接入内部网络的办公方式。目前,这种办公方式常以身份认证作为验证访问者及限制访问权限的重要控制手段,且倍受关注。一直以来,人们误以为身份认证机制是移动办公安全接入的唯一保证,而忽略了身份符合的用户系统也会对内部网络的信息安全构成威胁。
1、数字证书认证的安全局限
数字证书认证在远程接入方式中发挥了重要作用,所谓数字证书是一种由第三方机构(CA)用其私钥进行数字签名的电子文件,是各实体在网上的电子身份证。通过证书应用实现身份认证、信息传输中的加密及数字签名。通常,数字签名包含有用户身份、公开密钥、有效期等信息。身份认证实现对访问请求方和被访问方的双向身份有效性的认证;信息传输加密是指,信息发送方使用接收方的公钥,将要传输的信息按规定的加密算法进行加密并传给接收方,接收方用自己的私钥解密获得原文。数字签名完成了信息的不可抵赖性;信息传递加密解决了信息在传输中泄漏和被篡改的问题。这里的信息是广义的,它有可能夹杂着信息发送方不希望传递的信息。此外,采用这种单一认证手段时,还存在接入权限被盗用的风险。
由此可见,数字证书认证只是解决了计算机终端用户身份审核、确认以及信息传送中的加密,并没有对接入终端系统本身安全性进行验证,也没有对接入环境和人员操作进行有效的强制性控制,因此,数字证书认证只是移动办公安全技术措施的一种,而不是全部。
2、接入环境安全
远程移动办公无线接入,一般是通过缺乏安全设置的Wi-Fi(Wireless Fidelity)网络连接因特网而进入内部网络的,其安全因素涉及数据传输和接入控制两个方面。
因特网互联互通、资源共享的发展极大方便了人们的工作、学习和生活,但其开放性所代来的安全问题是不容忽视的,特别是蠕虫、木马、挂马、恶意程序、间谍软件、流氓网站、拒绝服务攻击等越来越猖獗。
无线网络起源于第二次世界大战,其应用扩展了网络用户的自由,提高了移动办公的效率。但由于远程移动办公无线接入所遵循的IEEE802.11标准存在安全缺陷,使得这种无线接入必须面对由此所带来的安全性挑战。从数据链路层看,无线网内所有流量很容易被攻击者嗅探并存储,攻击者对其管理帧、控制帧、数据帧的任何操作都有可能直接或潜在地威胁数据的机密性、完整性;从接入点看,其广泛的接入点给攻击侵入者提供了可乘之机,如伪装、会话劫持、中间人攻击等将破坏相互认证和可用性,所以,恶意攻击无时不在威胁着无线网络的安全。
3、移动计算机系统自身安全
一般情况下,远程移动计算机通过无线网卡访问内网资源时,可以同时访问因特网而形成“一机两网”状态。这种“一机两网”的连接为内网的恶意程序接通了与因特网间的回路,并为外来恶意程序提供了新的攻击目标,对内部敏感信息构成威胁。
经验表明,计算机无论以什么方式连接内部网络,只要接入成功,就已经具有了对该网络信息安全的潜在威胁。移动计算机作为无线接入终端,其系统的不安全状态对内网信息安全的威胁是显而易见的。系统不安全状态一般有三种情形:一是系统接入前存在安全漏洞;二是系统接入前曾遭受过恶意代码攻击,且事后未作安全恢复;三是系统接入后的“一机两网”。
在传统的移动无线接入过程中,上述三种不安全状态会使计算机遭受或再次遭受恶意攻击而感染病毒、木马等,或成为攻击内网系统的跳板,给内网安全带来新隐患,影响正常业务信息系统的安全、稳定运行。
4、接入周期安全
所谓接入周期是指,用户系统从接入成功,到完成访问退出连接时的一段时间,其安全主要涉及接入周期失控的问题。接科周期控制取决于用户的安全意识。当用户在完成访问后不及时退出内网连接并长时间保持通信状态的情况下,会给他人提供可利用的机会。
由于接入周期安全与用户安全意识紧密相关,基本上是处于一种不可控的状态,因而,在传统移动接入方式中,对内网所构成的安全威胁始终存在。
三、安全对策研究
远程移动办公是信息时代的高效工作模式,其能否维持长期适用和发展,关键要看其安全问题的解决。而其安全问题的解决不同于有线网络,此时,惯用的网络防火墙对通过无线电波进行的网络通讯不起作用,任何人在视距范围内都可以截获和插入数据。
从上述分析不难看出,远程移动办公的传统接入方式虽方便、灵活,但无安全可言。它所采用的数字证书认证虽十分必要,但其安全控制有限。因此,传统的远程移动办公方式在数据机密性、完整性、访问控制方面距实际接入的安全需求相差甚远。
1、关键问题的解决
为消除由远程移动办公所带来的各种安全威胁和隐患,设计安全接入方案时不仅要关注用户身份识别机制的建立,还要考虑数据的安全传输、“一机两网”现象的屏蔽、用户操作、接入环境、计算机本身安全状态和接入周期等关键问题的控制。
(1)以VPN技术为基础的数据安全传输
VPN(虚拟专网)是建立在公共网络之上的层叠网络,它能够利用加密通信协议由公众网络基础设施承载其流量,也能够由VPN服务提供商的专用网络承载流量达到保密通信的目的,它具有专用网络的多数安全特性,可以看成是内部网数据安全传输的扩展。因此,借助VPN通信协议通过因特网建立临时的、安全的虚拟专网,是移动计算机在因特网上建立安全数据隧道、实现安全接入的基础。
目前,安全VPN实现主要有两种,一是IPSec VPN,二是SSL VPN。IPSec协议包括安全协议和密钥协商两部分,它工作在网络层,提供使敏感数据在开放网络中传输的安全机制,实现数据加密和数据收发方的身份认证。SSL(Secure Socket Layer,安全套接层)协议是在因特网基础上提出的一种保证私密性的安全协议,保证两个应用间通信的保密性、完整性和可靠性。它通过握手协议描述建立安全连接过程,在客户和服务器传送应用层数据之前,完成加密算法和会话密钥的确定及通信双方的身份验证等,并通过记录协议定义数据传输格式。
两者相比,它们都定义了完整的安全机制,对用户数据的完整性和私密性都有完善的保护措施,但IPSec VPN工作在网络层、协议复杂,不仅被其管理的计算机要安装客户端软件,且其隧道配置也需要较高的专业知识,因而,它更适用于网对网互联。SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间的远程接入技术,它借助标准的Web浏览器对SSL协议的支持,在客户端不需安装软件,维护简单。
通过比较不难看出,SSL VPN适合应用于远程分散的用户,因而,远程移动办公的无线接入的数据安全传输应以SSL VPN为基础。
(2)杜绝“一机两网”保证接入环境安全
杜绝移动计算机与内网联通时对因特网的访问是远程移动办公安全接入技术方案的起码要求,其功能应能支持VPN隧道保持连通的同时,相应的安全网关应能保证用户计算机与因特网的隔离或屏蔽,形成VPN专有通道。只有这样,才能使来自因特网的恶意程序对用户主机的控制行为失效,避免恶意的主控端通过控制用户的主机而达到潜入内网的目的。
(3)提供移动计算机系统安全保证
远程移动计算机接入成功后,系统不安全状态将直接威胁内部网络,因此,要在SSL VPN基础上考虑增加安全检测功能,使其对接入计算机系统的安全状态能够进行检测。检测条件应能根据内网安全策略实现配置。检测条件应包括对主机安全防护软件安装和运行情况的检测,具体可以考虑以下各项:
①是否安装防病毒和桌面安全管理系统软件;
②防病毒引擎和病毒库是否更新;
③系统和应用程序安全补丁状况、是否存在高风险漏洞;
④其它必须安装的应用软件等。
检测系统安全状态的目的是要对终端接入加以控制,准许符合要求的连接,拒绝不符合要求的连接。若内部网络已建立了终端安全准入控制系统,则可考虑将其纳入统一管理,即对符合安全要求的准许访问,否则,拒绝访问并划入隔离区进行修复,直至符合要求才准许访问。
(4)超时连接的控制
远程移动接入周期缺乏控制问题的解决属行为规范控制,用户行为规范是实现信息安全的重要管理内容之一。人员行为规范要求与技术措施的相互融合对超时连接问题的解决更具强制性和控制力。因而,在SSL VPN安全网关中应引入活动检测引擎技术,以便对接入终端会话的活动状态进行检测,并对在指定时间内没有会话活动的连接,进行提示或自动超时关闭,使传统方式中不可控的行为操作变得可控。
2、其它安全对策
在远程移动办公的安全对策中,除要解决数据安全传输、接入环境安全、移动计算机系统安全及超时连接控制问题外,还应考虑多因素认证、安全审计、缓存清除等,以实现对移动办公安全的全面控制。
(1)用户合法性识别
用户合法性识别是移动计算机接入内网所要进行的重要安全屏障。基于SSL VPN的安全网关应具备对用户合法性识别的多因素认证机制。结合已有CA系统,选择标准用户名密码认证和数字证书相结合、数字证书与USB key硬件绑定、密码与移动计算机的绑定、用户帐号与手机的绑定、RSA动态令牌、图形码验证功能以及软键盘功能等认证识别技术。对接入系统用户进行分类控制,如内部移动办公用户和分散的第三方业务系统用户可采用不同的认证强度组合。
(2)安全审计
安全审计是事后取证的重要手段,远程移动接入的安全管理不能缺少安全审计功能。基于SSL VPN的安全审计应能实时监控远程用户接入的情况,包括登录用户、登录及登出时间,访问站点等。
(3)缓存清除
为了防止移动计算机内网资源访问结束后,系统缓存中信息的泄露,应在远程接入控制系统中考虑增加缓存清除功能。如自动清除Cookies、临时文件等,实现“零痕迹”的访问。
四、结束语
无线网实现远程移动办公是信息时代的一种行之有效的工作模式,但由于其所面对的因特网安全现状和无线接入所遵循协议标准的安全缺陷,其安全控制不容忽视。数字证书认证是保证远程移动办公安全的一种措施而不是全部。在对远程移动办公安全接入方案进行设计时,要针对其所面临的主要安全问题,综合考虑数据传输、接入环境、接入计算机安全检测、接入周期监测、身份认证、安全审计等各种因素,并对其实施必要的控制,方能使远程移动办公所带来的安全风险降到最低。
参考文献
[1]思科系统(中国)网络技术有限公司.下一代网络安全[M]北京.邮电电大学出版社2006.
[2]何小航数字证书-企业必备的身份证[EB/OL].www. e-work.net.cn.2004-07-17.
无线移动接入网络 篇8
无线网络结合了移动通信技术和网络技术, 在其发展过程中, 由于无线网络的逻辑链路层以上的各层对不同物理层有不同的要求, 所以有必要对无线网络的底层进行标准化。在常见的无线局域网标准中, 常用的有美国的IEEE 802.11标准、欧洲的Hiper Lan标准以及中国的WAPI标准等。
WLAN面临的安全威胁很多, 按照攻击者在安全威胁中的作用, 安全威胁可以分为安全攻击和被动攻击两种;按照攻击过程中是否需要密钥, 安全威胁又分为针对密钥、无需密钥两类。被动攻击方法只是对网络资源进行非授权访问, 并不会进行修改;主动攻击会修改网络消息的内容。被动攻击和主动攻击并不是完全孤立的, 两者往往会被深层次结合在一起, 此时无线网络安全面临着更严重的挑战。
整体上看, 无线网络面临的安全问题主要表现在如下方面[1]: (1) 移动设备的组网方式使得对无线网络的管理比较困难。 (2) 开放的无线通信信道会泄漏通信信号。针对上述问题, 在解决无线网络的安全性问题时, 可以提出对应的解决方案, 在具备认证、加密的基础上, 提供数据完整性和不可否认的功能。
2 无线网络中的安全机制
在传统的无线网络接入控制中, 无线网络被划分为可信和不可信两个部分, 无线接入控制系统由申请方 (客户端) 、认证方 (无线接入控制点) 和授权方组成。在无线网络发展过程中, 认证方和授权方是一个实体, 后来随着网络的复杂才独立出授权方。认证方式包括开放系统认证和共享密钥认证两类, 前者也叫空认证, 是默认的认证机制, 采用这种认证方式的客户端都可以认证成功;后者是可选认证, 需要WEP协议的支持。客户端首先向认证方 (AP) 发送认证请求, AP给客户端返回一个质询文本, 客户端利用WEP协议中的加密算法加密此文本, 并再次返回给AP;AP将被加密的质询文本解密后, 和发送给客户端的质询文本明文比对, 如果两者一致就认为客户端认证成功。
WEP协议在完整性保护、无线接入控制等方面尚存在一定缺陷, 802.11i标准中用AES算法代替了RC4算法, 为在用户接入网络时在网络入口处进行接入控制, 使用了802.1X标准。802.1X标准的正式名称是“基于端口的网络接入控制”, 其中端口并不仅仅限于实际的物理端口, 逻辑端口等都可以被看作是无线网络中的通信信道。802.1X标准的实体和传统的无线网络类似, 也包含申请者、认证者以及认证服务器三部分[2]。申请者一般是支持WLAN的客户端, 如手机以及PC等, 客户端上要安装IEEE 802.1X软件。认证方的作用是控制接入, 每个用户的认证方都有受控端和非受控端两个逻辑端口, 前者只有在认证通过后才打开, 后者一直打开, 目的是传输认证报文。认证服务器保存了所有需要认证用户的相关信息, 以决定用户是否可以接入无线网络。这三方都只是逻辑实体, 实际应用中可以对应多个物理设备, 也可以对应一个物理设备。
无线网络中安全机制的安全性能主要取决于三点:加解密算法的长度、密钥长度以及密钥的分配管理策略。密钥管理的目的是安全的维护密钥的生成、销毁等过程。密钥的分配过程如下[3]:认证方与认证服务器建立一个安全通道, 然后借助认证及密钥交换的方式产生会话主密钥 (MSK) ;接下来申请方及认证方会用MSK计算得到成对的主密钥 (PMK) , PMK被通过安全通道传送给认证方;然后申请方和认证方借助EAPo L-Key的四步握手机制确定密钥的有效性, 并得到用于完整性校验的临时密钥PTK;最后, 申请方和认证方协商得到组密钥, 用于保护广播数据。
3 无线接入点安全协议分析
我国的无线安全标准是基于WAPI协议的, WAPI协议和认证服务器共同完成用户认证过程。在鉴别及密钥协商方面, WAPI协议的过程主要是[4]:用户的无线设备和接入控制设备建立无线链路, 此过程完成后会触发对无线设备的认证过程;认证服务器认证接入点的身份, 并将认证结果发送给客户端, 认证成功的话就直接进入到密钥协商的过程, 并允许用户接入无线网络, 否则不允许用户接入。
WAPI协议借助数字证书验证双方身份, 每次客户端首次或重新连接到无线网络时、或者密钥更新时, 都会激活证书的鉴别过程。如果客户端和无线接入点的证书鉴别成功, 就会进入单播密钥协商阶段, 此时接入点向无线终端发送密钥协商请求报文, 对方生成对应的响应报文并发回接入点, 无线终端收到接入点的确认报文后, 开始进行数据传输。
单播密钥协商阶段完成后, 会进入组播密钥协商过程。单播密钥协商过程中生成的通告密钥 (NMK) 被用于对报文加密, 组播密钥的信息是利用交互组播密钥协商报文得到的。客户端和接入点都得到NMK后, 就能够用SHA算法计算得到长度为256位的组播密钥。
在经过身份认证、单播密钥协商以及组播密钥更新三阶段后, 就可以实现无线接入点的安全控制。正是因为其在无线接入点上的安全控制方案, WAPI才成为中国的自主无线安全标准。
摘要:虽然无线组网比较灵活, 但其开放的传输信道会产生各种安全问题。为解决无线网络中的安全问题, 并将安全协议用于无线接入点, 有必要深入研究安全机制在无线网络中的应用。
关键词:无线网,接入点,安全机制
参考文献
[1]白文远, 保承家.无线局域网络通信安全问题分析[J].电子技术与软件工程, 2014.
[2]陈玉霞.物联网安全问题之无线传感器网络安全研究[J].信息通信, 2014.
[3]徐勇.无线局域网安全保密管控技术研究[J].信息安全与技术, 2014.
无线移动接入网络 篇9
无线网络正在经历新的挑战,传统的架构正在受到冲击,移动高速接入互联网的需求正在日益增加。宽带无线接入技术是近年来发展较快的无线通信技术,其中基于IEEE 802.16的宽带无线接入技术尤其受到业界的关注。
2 无线宽带接入技术
Wi MAX(Worldwide Interoperability for MicrowaveAccess)即全球微波接入互操作性。WiMAX的另一个名字是802.16。WiMAX能提供面向互联网的高速连接,数据传输距离最远可达50km,而且具有QoS保障、传输速率高、业务丰富多样等优点。WiMAX的技术起点较高,采用了代表未来通信技术发展方向的OFDM/OFDMA、AAS、MIMO等先进技术,随着技术标准的发展,WiMAX将逐步实现宽带业务的移动化,而3G则将实现移动业务的宽带化,两种网络的融合程度将会越来越高。
3 WiMAX技术特点
(1)实现更远的传输距离。
Wi MAX所能实现的50km的无线信号传输距离是无线局域网所不能比拟的,网络覆盖面积是3G发射塔的10倍,只要少数基站建设就能实现全城覆盖,这样就使得无线网络应用的范围大大扩展。
(2)提供更高速的宽带接入。
Wi MAX所能提供的最高接入速度是70Mbit/s,这个速度是3G所能提供的宽带速度的30倍。对无线网络来说,这的确是一个惊人的进步。
(3)提供优良的最后一公里网络接入服务。
作为一种无线城域网技术,它可以将Wi-Fi热点连接到互联网,也可作为DSL等有线接入方式的无线扩展,实现最后一公里的宽带接入。
(4)提供多媒体通信服务。
由于Wi MAX比Wi-Fi具有更好的可扩展性和安全性,从而能够实现电信级的多媒体通信服务。
4 Wi MAX技术的应用
(1)结合中国移动目前的实际网络部署情况,3GPP网络的发展状况以及Wi MAX的商用进程,有两种互连方案。
方案一(见图1):
Wi MAX作为一个从属网络附加到WCDMA网络之上,两个网络需隶属于同一运营商Wi MAX的鉴权、认证、计费过程借助于WCDMA的AAA、HLR等网元完成Wi MAX网络的业务流量通过自身的AC(即AGW)直接连接到外部的PDN,用户的计费信息在AC(即AGW)处收集并上报给WCDMA的计费系统Wi MAX作为附加网络出现,对WCDMA网络的影响较少。
该方案适合于WCDMA网络建设完成的情况下,通过部署Wi MAX网络来增强数据业务的能力。
方案二(见图2):
Wi MAX网络作为一个附加网络叠加到WCD-MA系统上,Wi MAX用户通过WCDMA的HLR完成鉴权、认证的功能SGSN对Wi MAX的数据进行GTP封装并传递给GGSN,由GGSN负责路由至外部的PDN根据融合的实际部署,Wi MAX用户可以访问WCDMA网络的PS业务,实现较为紧密的业务融合。但是该融合方案涉及WCDMA所有核心网网元,对系统影响较大,融合风险也相对较大。
所以建议方案一作为网络建设初期的互联互通解决方案,随着业务的发展,可采取方案二,将WCDMA数据业务逐步对Wi MAX用户开放。
(2)应用基于Wi MAX技术的ExcelMAX宽带无线接入系统,建设农村宽带无线网络,具有建网成本低、一次性投入资金少、运营与维护成本低、建网速度快、高可靠性与超强的可扩展性特点,不仅可以为农民提供方便、快捷、费用低廉的宽带入户方式,也非常适应农村网络建设逐步发展的需求。
5 宽带无线网络技术的应用前景
Wi MAX的应用主要可以分成两个部分,一个是固定式无线接入,一个是移动式无线接入。802.16d(IEEE 802.16-2004)属于固定无线接入标准,而802.16e属于移动宽带无线接入标准。目前,Wi MAX已经得到广泛的应用。
(1)中国幅员辽阔,存在很多经济欠发达地区,在这些地方的信息化建设是非常落后的。应用低成本的Wi MAX技术则可以给那里架起一座信息高速公路,对当地的经济发展会有很大的促进作用。
(2)应用Wi MAX技术可以迅速部署完成一个高速数据通信网络。
(3)使用Wi MAX技术在大学校园内部署高速无线网络,Wi MAX使用很少的基站即可达到整个校园的无线信号无缝连接。
无线宽带数据接入市场上今后肯定会存在激烈的竞争。而且,Wi MAX、UMTS、TDD等技术都有可能引入Vo IP,届时竞争将扩散到移动话音业务。但是,未来的无线通信系统将是一个多种技术、标准互相融合的综合型网络,不同无线接入技术之间可以通过无缝切换支持话音和数据业务的漫游,最终形成无处不在的4G移动网络(见图3)。
摘要:本文主要介绍了宽带无线网络技术中WiMAX技术的特点及其应用,并对WiMAX技术在未来移动通信的发展进行展望。
关键词:宽带无线网络,WiMAX,应用,展望
参考文献
[1]吴骏.宽带无线技术的比较.IT世界网,2009,3
无线移动接入网络 篇10
随着无线通信技术的快速发展,在电力通信网络的应用优势也日益明显,如在恶劣环境下的电力设备工作信息采集、电网移动用户终端接入、多媒体信息系统无线交互及实时监控等。无线接入技术作为无线通信技术中,用户终端和网络联接的关键技术,解决了网络到用户最后“一百米”数据收发问题。其重要性正在逐步提升,与交换技术、传输技术、网络技术等核心技术共同成为构建安全、可靠、有效的电力通信网的重要组成部分。
相对有线通信,安全问题一直是困扰无线接入的重要问题,尤其是在电力通信系统这样保密等级高,安全可靠性要求严格的系统中,接入网标准不统一,接入终端复杂,安全问题和隐患较多,直接影响了接入的稳定性和可靠性。文章针对当前电力通信网络无线接入技术中存在的安全问题采取了相应的安全措施,并给出了适用于电力通信网的无线安全接入技术的典型应用案例,分析了该案例下安全措施实施的效果。
1 背景介绍
1.1 电力通信无线接入技术
目前,电力通信各主干网基本以异步传输模式(Asynchronous Transfer Mode,ATM)和同步数字体系(Synchronous Digital Hierarchy,SDH)为主。但对于接入网系统的建设却一直没有准确的定位,通常沿用通信领域的接入技术,分为固定无线接入和移动无线接入。常见无线接入技术包括无线本地环路系统(Wireless Local Loop,WLL)、全球移动通信系统(Global System for Mobile Communication,GMS)、第3代移动通信系统3G、卫星移动通信系统、无线局域网(Wireless Local Area Networks,WLAN)和无线以太网接入等。
根据电力通信的不同应用,采用的无线接入技术也不同。在专用的电力通信网络,包括调度网、二次系统等网络中,由于其专用性强无线局域网、无线以太网技术得到广泛应用。目前,无线局域网最流行的技术是射频识别(Radio Frequency Identification,RFID)技术。在移动用户接入应用中,最常用的技术是GMS技术、3G技术(包括码分多址(Code Division Multiple Access,CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、时分多址(Time Division Multiple Access,TDMA))、全球微波互联接入(Worldwide Interoperability for Microwave Access,Wi MAX)技术等[1]。多媒体监控领域常用的技术包括音频接入技术、视频接入技术(Moving Pictures Experts Group,MPEG)等。
1.1.1 无线接入系统整体结构
无线接入网络从终端到核心网络,按照应用不同网络层次结构也不相同,通常需要经过接入网和交换网才能进入核心网络,从而实现与其他网络的信息交互。无线接入系统位于终端节点和基站之间,起到用户节点和业务网络的数据传递作用。无线接入系统整体网络结构如图1所示。
无线接入系统是基站交换节点和用户终端节点之间的无线通信系统。主要连接控制器及操作维护中心、基站、固定用户节点及移动终端3部分。无线接入系统有3个接口,分别为用户网络接口(Users Networks Interface,UNI)、业务节点接口(Service Node Interface,SNI)、管理Q3接口。其中,Q3接口实现系统的配置和管理。无线接入系统内部功能模块分为核心功能模块、传输功能模块、用户口功能模块和业务口功能模块等。核心功能模块实现用户接入身份验证、信道侦听、路由选择等核心功能。传输功能模块实现用户和网络的信息传输,不作交换和其他网络处理。用户口和业务口功能模块分别为用户和接入业务提供接口。
1.1.2 无线接入技术分类和主要性能指标
无线接入技术通常按传输距离分为无线长距离接入和无线短距离接入。无线短距离接入常用于局域网、以太网等节点较少的低速接入网络,如电网厂站信息的无线采集和监控等。长距离无线接入主要用于多用户、接入信息量大的移动终端,如智能购电、移动办公等。常用的衡量性能指标如下。
1)有效性主要包括传输速率、带宽、吞吐率、传输时延、时延抖动等指标。
2)可靠性主要包括误包率、丢包率、平均意见(Mean Opinion Score,MOS)值[2]等指标。
3)可用性主要包括业务通道中断率和业务通道平均中断恢复时间等指标。
4)安全性主要包括非法用户接入识别率、攻击阻断率、拒绝服务的检测率等。
1.2 无线接入技术的特点和安全问题
相对于有线接入技术,无线接入技术具有的特点包括综合性强、技术种类多;拓扑结构多,组网能力大;频段资源有限;传输速率受限;稳定性、可靠性较差;新技术层出不穷。根据无线电力通信接入技术的优势和不足,分析可能存在的安全问题和隐患。
1)权限鉴别和数据保密性问题。由于无线接入终端接入连接的临时性特征,每个信道不是固定某个用户使用,所以每次通信都需要对用户的身份和权限进行鉴别。无线接入技术相对有线接入技术,其安全性、稳定性和可靠性较差,丢包和重传不可避免。如何保证较小的丢包率,以及在数据包丢失和被截获的情况下,避免造成信息泄露的风险,将是无线接入技术需要解决的首要问题。
2)抗干扰性问题。无线接入的干扰分为有针对性干扰和无针对性干扰。各种自然和人为无针对性干扰包括噪声干扰、码间干扰、单音干扰、多址干扰、天线干扰等。有针对性干扰主要用于军事和保密行业,如瞄准干扰、阻塞干扰、频带干扰等。电网实际应用中,大部分无线接入干扰是无针对性的,干扰信号不会影响发射源,只会影响接收源。如何让接收源去伪存真,准确辨别和接收发送源发送的信号是抗干扰的关键问题。
3)冲突多发和延时问题。由于信道有限,当多个发射源同时向同一空闲信道发送数据时,会发生数据冲突,最终导致通信阻塞,需重新建立检测信道和链路。该过程可能发生网络冲突、接收时延、网络拥塞、误传等问题。
1.3 研究目标
1)安全性、可信性目标。终端接入的安全性和可信性是无线接入技术的首要问题,其内容包括用户身份和权限鉴别、数据加密传输以及协议安全。
2)可靠性、稳定性目标。无线接入的不稳定性较强,易受外来信号源干扰,在移动用户接入过程中,接入的可靠性也面临很大挑战。在无线终端有效接入的前提下,提高其可靠性和确保信号的稳定性是无线接入系统优劣的衡量标准之一。
3)多协议兼容目标。无线接入技术的安全问题多发,与终端类型多、接入协议不统一有很大关系。有效实现多设备多协议兼容,避免接入过程中连接时间过长、冲突发生过于频繁、数据包丢包率过高等现象。
4)开放性目标。电力通信各现有协议多是已使用多年的成熟专用协议,其兼容性较差,而移动通信中无线接入协议是在快速发展进步中的新兴事物。使两者有限结合,建立一个开放式和多级化的系统,提升系统的兼容性和扩展性,将是一个历时长、解决难度大的问题,也是智能电网信息化建设最终要实现的目标。
2 主要安全措施
无线接入技术是一个不断发展演化的技术,伴随硬件设计工艺的不断完善、协议的不断规范、新技术和新标准的不断产生,自身的安全问题以及安全问题解决方案也在不断地发展变化。在当前电力通信领域,针对无线接入的安全隐患,通常采用的安全措施主要包括如下方面。
2.1 鉴别权限
通过身份认证和权限识别,允许合法用户接入网络,根据相应的权限提供相应的服务。
鉴别权限的方法包括口令信息认证、证书认证和第三方认证系统认证。其形式通常有软件认证、用户名口令认证、证书认证和硬件认证卡认证[3]。
与传统权限鉴别技术不同的是,当今的权限鉴别都是采用双向鉴别的方式,涉及数字签名、身份认证、无线通信网络的密钥协商管理与分配、密码安全协议分析等核心技术。鉴别用户的身份、权限和合法操作,并对违规操作进行跟踪、报警和阻断。
2.2 数据加密
提高传输数据的安全性是消除无线接入网安全隐患最根本的途径。电力通信典型的数据加密算法包括数据加密标准(Data Encryption Standard,DES)和公开密钥加密算法(RSA算法)[3]。
DES算法具有极高的安全性,到目前为止,除了用穷举搜索法对DES算法进行攻击外,还没有发现更有效的办法。
RSA算法是由Ron Rivest,Adi Shamirh和Len Adleman这3位科学家开发,基于将2个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难的数论事实,将乘积公开作为加密密钥,能够很好地保证数据安全。
另外还有Fertzza,Elgama加密[4]等。在这些安全实用的算法中,有些适用于密钥分配,有些可作为加密算法,还有些仅用于数字签名。
2.3 抗干扰和防截获技术
在密集、复杂多变的电磁干扰和有针对性或无针对性的通信干扰环境中,采取各种抗干扰措施以保持通信畅通。
1)直接扩频通信。直接扩频是以扩展带宽为基础的抗干扰解决办法,其最主要的缺点是牺牲了带宽,降低了通信效率。
2)跳频通信。跳频本质是扩频通信的一种,但不像直接扩频技术浪费过多的通信带宽。跳频算法的研究一直是抗干扰通信研究的热点领域,评价其抗干扰性能的好坏,主要取决于频率点的多少和变化速度的快慢。通过设计跳频图案、单位时间跳频跳数和跳频同步实现方法,利用频率不断变化以躲避复杂环境下的电磁和通信干扰。
3)自适应技术。采用自适应天线、自适应干扰抑制滤波器等方法,在自组织网络中广泛应用,主要适用于移动终端接入。
2.4 协议安全
利用加密的安全协议加强无线通信数据传输过程中的保密性,阻止攻击者的窃听。
通过安全协议进行实体之间的认证,在实体之间安全地分配密钥,确认发送和接收消息的非否认性、机密性、完整性、认证性、匿名性、公平性等。密码学需要解决的各种难题一直是困扰协议安全的核心问题[5]。
通常采用提高密码算法安全性的方法包括建立第三方可信认证平台、加强安全协议的角色控制等。
2.5 冲突解决
在无线局域网中,多节点同时接入收发数据时,容易发生冲突。这不仅影响了接入效率,导致数据包丢失,也影响了接入的安全性。
信道多路复用分配包括静态分配和动态分配。在负载较重的情况下通常采用动态分配。动态分配又分为随机争用机制和访问控制机制。随机争用机制是一种随机的信道分配方式。访问控制机制可按节点顺序规则轮换或按需求量预约信道。
动态信道监听是对载波信道进行监听,当信道空闲时才传输数据,避免多节点数据收发的冲突产生。建立优化的信道分配策略,保持随时对信道进行动态检测/监听,当检测到信道占用时,快速切换至下一信道,最小限度减少丢包和延时。
2.6 算法优化
1)调制算法优化的目的是合理分配有限的频谱资源,提高网络吞吐率,保证数据传输安全。在现有调制识别算法的基础上,根据电力通信数据的信息特征,提取合适的特征值,提高基带信号的识别和信号纠错的能力,确保接收源正确接收信号。
2)路由算法优化的主要内容是地址分配和路由规划,网络的拓扑设计遵循路由发现能力强、路由开销小的规律,保证任何单一节点设备或一条单一传输电路故障不会影响整个网络的运行。在路由发现和路由维护过程中,要设计损耗小、路由短、冲突发生概率小、综合评价优良的算法。
3 典型部署和应用
3.1 调度网GPRS接入卫星通信系统部署
卫星通信是在电力专网不能应对突发事件的情况下才启用的临时应急通信模式[6],在电力专网能正常工作时,卫星应急系统不启用。卫星通信系统由地面站和卫星转发器组成。地面站主要实现终端设备和用户节点与卫星通信系统之间的信息接收、处理和传递。无线接入网络包括终端节点和地面站的无线接入部分,实现厂站采集的调度数据从终端到地面站的无线传递。
由于卫星上的能耗、存储空间和计算能力有限,无法实现复杂的运算,很容易受到监听、伪造、篡改和非法访问非法监听信道、激发病毒、伪造虚假管控指令等威胁,尽管卫星系统具有一定的安全防护功能,但是主要的安全措施都是在地面实现。调度网通用分组无线服务技术(General Packet Radio Service,GPRS)接入卫星通信系统的部署如图2所示。
3.2 安全防护效果
调度网的安全防护遵循专网专用、纵向隔离与横向隔离、接入认证、数据加密等原则[7]。根据前文的实际应用,以及国家电网信息安全等级要求的不同等级安全标准,从终端节点到卫星发送天线这部分地面站接入网范围,可选用多层次多级别的安全防护措施。
以最基本的防护方案为例,在无线接入边界,网关防火墙位置部署安全措施,该方案的最大特点是针对接入系统边界把安全隐患杜绝在接入网的源头。网络通过加入安全措施,提高了接入系统的综合性能。首先,对接入终端节点进行安全性评估,对安全等级不达标的终端进行安全加固。其次,增加了接入认证和鉴权的功能,验证接入用户的身份,并给通信双方授权有效证书;进行角色权限鉴别,依次提供相应的服务和监管。最后,检测来自终端的非法操作和攻击行为,并对违规行为进行报警或阻断。
安全管理系统具有核心管控作用,提供冲突解决、抗干扰、安全协议以及优化算法等系统的综合管理。保证系统接入的安全性,提高了接入效率,改进了接入网的可靠性、有效性、可用性和安全性[8]。
此外,还能针对电力专网和卫星通信网络进行更有针对性的安全防护,可提高接入网的安全等级和实际业务适用性。
3.3 其他应用领域
1)电网设备管理。通常电网设备要求长期保持良好的工作状态,采集工作数据,监控设备信息,严格控制非计划停运,并对故障产生情况进行监控、预警和停运等应急处理。由于人力资源有限,尤其在晚间用电高峰期和大部分工作人员的非工作时间,电网设备的监管常常不到位。无线技术的应用能减少过多的人员投入,减少设备管理人员工作量,提高工作效率。
2)电网线路故障巡查。随着高压、特高压、长距离传输供电需求的不断扩大,电力线路的巡检工作将越来越繁重,存在大量的人力、物力和时间重复浪费的现象,利用RFID扫描技术、3G技术等,巡检人员可在无人情况下,通过无线设备采集线路信息、排除故障和及时传送数据,实现了工作现场的远程监控和维护,使故障巡检工作简化并提高效率。
3)电网多媒体监控。利用3G技术的音频和视频会议、网络传输功能,实现电网多媒体监控实时数据传输[9],将3G移动多媒体业务与电力系统已有的监控系统结合,实现语音、视频、网络多形式全方位的实时监控。监控维护人员可使用移动终端设备,全方位实时监控电网运行状况,及时汇报传送信息和故障诊断应对。
4 结语
电力通信无线网络安全是随着信息化和电力技术发展而进化的。其设计思想是将安全管理方法和安全技术视为相互约束、共同进步的整体,而不仅仅局限在技术层面,还需要配合市场分析、需求分析、服务管理、风险应对、综合评估等手段。最终实现技术、管理和服务不断改进,新成果逐步推广,更好地实现国家电网智能化的发展目标。
摘要:为了解决电力通信网络无线接入技术中的安全问题,文章分析了电力通信网络无线接入技术的种类、系统结构和存在的安全问题,以及明确了解决这些安全问题的具体研究目标。文章采取了身份认证、权限鉴别、数据加密、抗干扰、冲突解决,算法优化等安全措施,提高了网络安全性、稳定性、可靠性。最后,文章给出了无线安全接入技术的实际应用案例和安全措施实施的部署模式。本研究对电力通信网络无线接入技术安全问题的解决提供了一种参考方案。
关键词:电力通信,无线接入,安全措施,典型部署
参考文献
[1]黄朔.WiMAX标准下3G技术在智能电网中的运用分析[J].现代电子技术,2011,34(1):20–22.HUANG Shuo.Application of WiMAX—based3G technology in smart power grid[J].Modern Electronics Technique,2011,34(1):20–22.
[2]王雅娟,乔嘉赓.基于分层思想的电力通信网络综合评价模型[J].电力系统通信,2012,33(3):36–39.WANG Ya-juan,QIAO Jia-geng.A comprehensive evaluation model of the electric power communication network based on hierarchical thought[J].Telecommunications for Electric Power System,2012,33(3):36–39.
[3]吴岩.电力自动化通信技术中的信息安全分析[J].中国新技术新产品,2011(12):25.WU Yan.Electric power automation communication technology in information security analysis[J].China New Technologies and Products,2011(12):25.
[4]王乘恩,黄红忠.电力通信网监测系统的安全防御体系研究[J].信息系统工程,2011(10):74–75.WANG Cheng-en,HUANG Hong-zhong.Electric power communication network monitoring system security defense system research[J].Information System Engineering,2011(10):74–75.
[5]苗新,陈希.电力通信网的安全体系架构[J].电力系统通信,2012,33(1):34–38.MIAO Xin,CHEN Xi.Security architecture of electric power communication network[J].Telecommunications for Electric Power System,2012,33(1):34–38.
[6]王雅娟,张斌.卫星通信网与调度数据网互联的安全方案研究[J].电力系统通信,2010,31(5):21–24.WANG Ya-juan,ZHANG Bin.Research on the integration solution between satellite communication network and power dispatching data network[J].Telecommunications for Electric Power System,2010,31(5):21–24.
[7]朱世顺.信息安全等级保护在电力信息系统中的应用[J].电力信息化,2010,8(4):12–14.
[8]董勇,张浩,倪谷平,等.McWiLL宽带无线组网技术及其在黄山电力的应用[J].电力信息化,2012,10(2):40–43.DONG Yong,ZHANG Hao,NI Gu-ping,et al.McWiLL broadband wireless networking technology and its application in Huangshan power[J].Electric Power Information Technology,2012,10(2):40–43.