自动组网(共6篇)
自动组网 篇1
0 引言
中压载波通信借助电力公司自身的10kV配电网进行数据传输,不需要投资敷设新的通信电缆或昂贵的无线数据传输系统,也不需要支付进行连接的费用,具有可靠性高、投资小、灵活性强等优点。因此,其可以成为城市配电自动化通信的首选方式之一。然而,电力线并不是专门用于传输通信数据的,在传输通信信号时,信道特性相当复杂,通信还存在传输线路阻抗不匹配,传输信号具有较高选择性衰落,传输距离很长需要考虑中继和电力信道噪声特性,以及专用的有线信道和无线信道噪声特性不同[1,2]等问题,此时一般会采用选频通信、中继通信和抑制噪声干扰等方法。其中,中继通信是提高配电线载波通信距离和可靠性的主要手段。
在中压载波通信中,必须采用主从式的通信方式,一台主载波器必须管理多台从载波器,这就决定了在使用中压载波通信时必须进行组网设计[3]。人工组网设计是按预先指定的方式固定路由,这种方式不能动态适应电力线环境的变化,很难有效可靠地进行通信,更不能满足规模日益扩大的载波电力线的通信。因此,中压电力线载波通信的自动组网研究具有十分重要的意义。
目前研究较多的通信组网方法有遗传算法(GA)[4]、模拟退火法(SA)[5]、禁忌搜索算法(TS)[6]、蚁群算法(ACO)[7]、粒子群算法(PSO)[8]等。这些仿生算法的研究,在理论和应用中不断发展,但也存在一些自身缺陷,其相关数学分析还比较薄弱,算法中涉及的各种参数设置一直没有确切的理论依据,通常都按照经验型方法确定,对具体问题和应用环境的依赖性比较大,需要不断改进。
本文提出一种较为简单的适合10kV电力线载波通信的,基于通信质量最优化的动态路由组网算法。这种算法是在非交叠分簇路由算法[9]和一种低压自动组网方案[10]上进行改进的动态路由算法。文献[9]中的算法简单易行,但是已经获得ID号的节点退出分簇过程中,初始路由表可靠性不高,抗毁性不强。文献[10]虽然加上了动态重构和优化的方法来克服上述缺点,但其初始分层方法与文献[9]基本相同,其耗时分析只包括逻辑分层及路由初始化时间分析,并未将优化的时间计算在内,而优化所采取的策略基本与初始分层相同,需要通信进行路径测试,所需要的时间不可忽略。本文采用的算法在初始分层时各子站间的路径便已经完备,优化时只需从路由表中进行操作,不再与各子站进行通信,因此其耗时很短,可以忽略。
1 基于通信质量最优化动态路由算法
1.1 通信协议设计
本文算法参考IEC 870-5-101协议[11]及循环远动协议定义相应的通信协议。信息以帧为基本单元传输,每帧由帧起始符、标志域、控制域、数据长度域、数据域、帧信息纵向校验域及帧结束域等组成,每个域由一定字节组成。其中,命令帧的数据格式如图1所示,响应帧的数据格式如图2所示。
在帧格式中,起始域标态一帧信息的开始。控制域表示报文传输方向及用户数据级数。二级功能代码根据DL/T 721—2000《配电网自动化系统远方终端》的基本功能要求制定。目的板号表示主站向子站发送的报文所要发送到的目的子站板号。中继板号表示用于中继通信的中继子站号,根据路由表变化实现自动中继。数据位记录主站发送M包数据中的成功次数s和失败次数f,且有s+f=M。根据数据位返回的噪声大小和信号大小,可计算出信噪比。通信频率表示当前通信的频率。循环冗余码校验(CRC)表示从起始位到通信频率进行奇偶校验的结果。结束符表示一帧信息的结束。
1.2 初始分层算法
设定有主站和n个子站,每个子站有自己的站号,记为1,2,…,n。任意子站至少与一个其他子站通信,即不存在通信孤立点,主站与子站完成一次完整通信不发生冲突的时间为Tm。组网过程中信道的通信质量不变。设定线路返回失败次数固定值FC,当线路返回失败次数f小于FC时,该路径为有效通信路径。
1)在时间Tm内,主站向所有子站发送数据,子站向主站返回响应帧,主站分析响应帧数据,若M包数据中失败次数f≤FC,则定义该子站逻辑层数为1,分配逻辑地址,并记录下噪声大小和信号大小,算出信噪比。若失败次数f>FC,则进行下一次的分层和逻辑地址分配。若有n1(1≤n1≤n)个子站有效通信,则逻辑1层子站数为n1,剩余子站数为n-n1,若n1=n,即逻辑1层包括所有子站,则分层结束,否则继续分层。
2)逻辑2层的分层中,以逻辑1层的子站为中继站,中继站按照逻辑地址从低到高依次分层。主站向剩余n-n1个子站发送数据,通过返回的数据分析有效通信路径,分配逻辑地址,记录信噪比。若有n2(1≤n2≤n-n1)个子站有效通信,则逻辑2层的子站数为n2,剩余子站数为n-n1-n2,若n1+n2=n,即逻辑1和逻辑2层包括所有子站,则分层结束,否则继续分层。
3)在逻辑i(i>1)层中,主站以已分层的子站为中继站向剩余的个子站发送数据,通过返回的数据分析有效通信路径,分配逻辑地址,记录信噪比。若有个子站有效通信,则逻辑i层有ni个子站。剩余子站数为,若,则分层结束,否则继续分层直至所有的子站终端都分配到逻辑地址。
图3为初始分层后的路由表示意图。
1.3 初始路由表的通信质量优化
初始分层的路由表结构较为复杂,通信质量不高,子站终端有多条路径,需要对其进行优化来提高通信质量,完成通信质量的最优化。设定优化后的子站终端与上层终端的通信路径最多为P条。初始分层的路由表优化具体步骤如下。
步骤1:设定组网过程中通信信道不变,因此,对已建立的初始路由表进行优化,首先对逻辑2层的所有子站终端进行路径优化,若终端只有一条路径则不改变,若终端有多条路径,则分析每条路径的信噪比,记录信噪比较大的不超过P条的通信路径。
步骤2:同理优化逻辑3层,在逻辑2层的基础上对逻辑3层的所有终端进行优化,记录信噪比较大的不超过P条的通信路径。
步骤3:继续相同的步骤,直到所有的路由都完成优化。
1.4 路由表的维护和重构
由于电力线信道环境的特殊性和时变性,必须对路由表进行维护和重构。路由表维护是指当已建立的路由表变得无效或为了寻找更加适合当前电力线通信的更优路由,对路由表进行动态更新的过程。
当主站按照路由表向某一子站终端发送命令时,若主站与该子站之间不止一条路径时,则优先选择信噪比较大的通信路径,若通信失败则选择信噪比次大的通信路径,直到通信成功。每一次通信主站将响应帧返回的信噪比代替原来的信噪比。
如果在一定时间内,该子站的所有路径都通信失败,则主站确认该子站路径不适合当前信道,删除其通信路径,对该子站进行路由局部重构。局部重构时,按照初始分层的方法,主站向该子站发送重构命令帧,若返回的响应帧显示通信无效,则以逻辑2层的子站为中继站向该子站发送数据:若通信成功则记录初始路径,并进行优化;若失败则继续使用二级中继进行分层,直至通信成功。如果逻辑n层以后都不能与该子站通信,则认为其已损坏或移出网络,主站删除该子站。
若主站按照路由表向多个子站终端发送命令的通信路径都失败,则所有子站重新建立路由表。
1.5 逻辑分层和初始化耗时分析
设定对各终端子站进行逻辑分层时,主站与一个子站之间的通信在Tm内完成,组网的总时间(即各逻辑层分层时间之和)为Ttotal。每一逻辑层需要的时间为上层每一个站点与未分层的子站通信时间之和。Ttotal计算公式如下:
式中:k为逻辑层数。
2 仿真与结果分析
2.1 仿真环境与参数
在MATLAB中模拟主站和n个子站,设定n=20,构建XY坐标系,坐标值均为-10~10,主站位于(-10,10)处,20个点均在该坐标内按图5所示物理拓扑结构图有序分布,并且不存在通信孤立点。以两点间的通信距离与最大有效通信距离D的大小判定代替实际项目中的失败次数f与FC的大小判定来确定通信路径是否有效。两点间的距离越小,表示两站间的通信失败次数越少,质量越好,信噪比越大,抗毁性越强。
2.2 MATLAB初始逻辑分层及优化仿真
图6(a)为D=6时初始逻辑分层通信结构图。图6(b)为P=1时路由表进行优化后的通信结构图。图6(c)为P=2时路由表进行优化后的通信结构图。图7为D=27时初始逻辑分层通信结构图。图中,2个标号分别为子站的站号和逻辑地址。
从上面仿真图可知,通过逻辑分层建立路由表可以实现电力线网络的中继功能,实现主站与任意子站的通信。
路由表优化后,整个网络得到了简化,当网络出现问题,P=1时需要进行重构,P=2时只需启用另外一条通信路径即可,将节省重构的时间,提高通信的实时性和整个网络的抗毁性。因此,综合考虑网络通信状况和通信的质量及抗毁性可以选择合适的P值进行组网优化。
2.3 初始逻辑分层及优化通信质量分析
图8给出了不同D值和P值下组网的平均通信距离变化。
从图中可看出,在相同D值下,路由表优化后的平均通信距离比初始分层的平均距离要小,即优化后通信质量得到了提高,抗干扰能力得到了加强。当D值达到一定值时,主站能与所有的子站直接通信,3种情况等效,通信质量相同。
2.4 逻辑分层及优化的耗时分析
图9为不同D值时的耗时情况(以Tm为基准进行了标幺化)。
结合图6(b)、图7和图9可知,一般情况下D值越大,通信质量越好,逻辑层数k相应越小。因此,逻辑分层和初始化时所消耗的时间也会相应减少。
3 结语
本文在非交叠分簇路由算法上进行改进,提出了一种适合10kV电力线载波通信的基于通信质量最优化的动态路由算法。
1)该算法对现有的通信协议进行相应改变,通过发送命令帧和响应帧,从返回的数据中使用动态路由算法进行自动组网。
2)本文使用MATLAB对算法进行仿真分析,证明该算法简单可行,可以实现电力线网络的中继功能,实现主站与任意子站的通信。
3)路由表优化后通信质量得到了提高,抗干扰性和抗毁性得到了加强。
4)耗时会随着通信质量的增加而减少,达到最优质量时稳定。
该算法将在实际项目中进行试验和改进,为中压电力线载波自动组网提供一种参考方案。
摘要:为了实现远距离传输,获取更高通信质量,提高通信的可靠性和抗毁性,提出了一种适合10kV电力线载波通信的改进动态路由自动组网算法,其以通信质量最优化理论和非交叠分簇路由算法为基础,并结合相应通信协议实现自动组网的目的。该算法以10kV电力通信网中的主站和子站终端为网络节点,按照通信方式进行逻辑分层,建立初始路由表,并对路由表进行基于通信质量的优化、更新及重构策略设定。在MATLAB环境下对该算法进行了模拟仿真,分析了通信质量和耗时。仿真实验证明,该算法能够实现中压电力线载波通信的自动组网,有效提高网络的可靠性和抗毁性。
关键词:电力线载波通信,自动组网,质量最优化,逻辑分层
参考文献
[1]邢志民,侯思祖,李晶,等.中压电力线信道特性的测量与研究[J].华北电力技术,2005(10):1-4.XING Zhimin,HOU Sizu,LI jing,et al.Measurement andresearch of channel characteristics for medium voltage power line[J].North China Electric Power,2005(10):1-4.
[2]RAMSELER S,ARZBERGER M,HAUSER A.MV and LVpowerline communications:new proposed IEC standards[C]//Proceedings of Transmission and Distribution Conference,April11-16,1999,New Orleans,LA,USA:235-239.
[3]王宏亮.基于中压电力线载波的通信技术研究[D].哈尔滨:哈尔滨工业大学,2006.
[4]徐晶,王成山,李晓辉,等.基于自适应遗传算法的配电网改造方案优化[J].电力系统自动化,2007,31(14):111-115.XU Jing,WANG Chengshan,LI Xiaohui,et al.Reconstructionscheme optimization of distribution network based on adaptivegenetic algorithm[J].Automation of Electric Power Systems,2007,31(14):111-115.
[5]LIAO G C,TSAO T P.Application of a fuzzy neural networkcombined with a chaos genetic algorithm and simulated annealingto short-term load forecasting[J].IEEE Trans on EvolutionaryComputation,2006,10(3):330-340.
[6]EL RHAZI A,PIERRE S.A tabu search algorithm for clusterbuilding in wireless sensor networks[J].IEEE Trans on MobileComputing,2009,8(4):433-444.
[7]DORIGO M,BIRATTARI M,STUTZLE T.Ant colonyoptimization[J].IEEE Computational Intelligence Magazine,2006,1(4):28-39.
[8]卢志刚,董玉香.基于改进二进制粒子群算法的配电网故障恢复[J].电力系统自动化,2006,30(24):39-43.LU Zhigang,DONG Yuxiang.Distribution system restorationbased on improved binary particle swarm optimization[J].Automation of Electric Power Systems,2006,30(24):39-43.
[9]戚佳金,刘晓胜,徐殿国,等.低压电力线通信分簇路由算法及网络重构[J].中国电机工程学报,2008,28(4):65-71.QI Jiajin,LIU Xiaosheng,XU Dianguo,et al.Simulation studyon cluster-based routing algorithm and reconstruction method ofpower line communication over lower-voltage distribution[J].Proceedings of the CSEE,2008,28(4):65-71.
[10]冉庆华,吴玉成,祁美娟.低压电力线载波通信网络自动组网方法研究[J].电力系统保护与控制,2011,39(10):53-58.RAN Qinghua,WU Yucheng,QI Meijuan.Research onautomatic routing method of low-voltage power line carriernetwork[J].Power System Protection and Control,2011,39(10):53-58.
[11]IEC 870-5-101远动设备及系统传输规约第101篇:基本远动任务配套标准[S].1995.
自动组网 篇2
随着无线局域网应用的日趋广泛,无线分配系统WDS[1]作为一种灵活的无线组网方式被普遍采纳。WDS可以让多个AP(Access Point)之间进行无线桥接的同时不影响无线AP覆盖的功能[2]。网络中AP通过MAC地址来相互识别,用一个无线信道进行通信。当由多个AP组成的WDS网络时,组网的配置工作是比较浪费人力和时间。若有新的AP想加入一个已经组建好的WDS网络当中,新成员AP不但自己要进行网络配置,WDS网络中的其他AP也要重新配置,这对于已经架设好的WDS网络来说实在太不方便了。针对于此提出一种自动协商构建WDS网络的设计方案,该方案包括无线网桥自动组网协议的设计和协议栈具体的应用两个方面。文中的无线网桥是指具有无线桥接功能的AP。
1 无线网桥自动组网协议设计(SBNP)
1.1 SBNP协议的功能设计
智能网桥(SmartBright):实现了WDS网络中无线网桥自动组网功能的AP。智能网桥作为AP的一种功能模式,主要用于方便地建立WDS 连接和防止WDS网络产生环路,只要具有相同的Smart_ID号的AP设备,就能自动建立WDS 网络连接,无须手动设定远端设备MAC地址和信道的选择。Smart_ID 是由用户在配置WDS网络过程中输入的长度小于16个字节的字符串。图1所示的是一个典型WDS网络拓扑构。
WDS网络内部的无线网桥(AP)数量一般在4-5个比较合适,这是受无线网络自身的带宽窄、信道间干扰强所限,太多会影响无线通信的质量。因此在SmartBright模式下规定一个无线网桥设备最多可以与8个无线网桥建立连接。把WDS网络中具有相同Smart_ID 的设备看作是一个工作组,那么一个工作组里面最多有9个无线网桥。如果此时有第10 个无线网桥想要加入这个工作组,即使它的Smart_ID 与这个工作组的Smart_ID 相同,也不能与这个工作组中的网桥建立连接。
1.2 SBNP协议帧的结构设计[3]
SBNP帧主要由SBNP帧头和SBNP消息体两部分组成:
SBNP帧头 主要包含协议的版本信息、帧头长度、帧类型等字段。针对下文可能用到SBNP帧头字段说明如下:
SBNP消息体 消息体承载着自动组网的相关信息,它是协议核心部分。SBNP消息体中主要字段如下:
根据帧头部字段Frame Type的定义,SBNP消息体可以包含三种类型的消息帧。文中重点介绍与无线自动组网关系密切的命令消息帧,SBNP协议定义了四种命令消息帧,其中第四种命令消息帧和SBNP消息体中的WGN字段是因为程序在测试阶段出现网络分裂现象而添加的协议补充:
1.3 SBNP协议隧道封装方法
为了让无线网桥自动组网协议帧在WDS网络中传输,因此设计一种隧道封装方法[4],,将SBNP帧封装到以太网V2标准帧结构中。DIX Ethernet V2标准规定的数据链层帧结构如下:
SBNP协议中定义了一种新类型的MAC层数据帧,使得SmartBright能够识别MAC层中的SBNP协议帧,802.3标准帧结构中的类型字段是两个字节,定义新的帧类型标识为0X0999,用来指示当前帧是无线网桥自动组网协议帧。采用隧道封装后SBNP帧结构如下:
1.4 命令帧的应用例子
图2是SBNP协议命令帧如何判断WDS网络中是否有伙伴 AP存在的过程。Smart_ID 不能由明码传播,采用了MD5(RN+ Smart_ID)产生的密钥方式[5],将密钥在无线网络中传输,接收的一方对密钥进行匹配,若匹配成功说明发送方和接收方是伙伴AP。RN在SBNP协议的帧头中已经定义,它是个随机数。其过程如图2所示。
通过如图2所示的四个步骤,AP1和AP2完成了互相识别。这一过程在SmartBright模式组网过程中将作为一个最基本的流程贯穿始终。
2 智能网桥的实现
2.1 智能网桥实现的方法
SBNP协议中规定了WDS在自动构建网络时需要传输的信息,如:Smart_ID、信道、MAC地址列表等,要实现无线网桥间的桥接,还需要确定一个无线通信信道。智能网桥的主程序要完成SBNP协议的传输和信道的确定[6,7]。
智能网桥主程序的实现采用了应用程序的设计方案,这样智能网桥功能更便于在无线网桥产品中移植。主程序利用Linux系统中提供SOCK_RAW(原始套接字)和PF_PACKET协议族实现对MAC层的数据进行捕获和发送,采用线程机制实现多任务的管理。智能网桥实现的软件结构如图3所示。
2.1.1 SBNP协议传输方法
AP在无线网络中接收到的数据包,传输路径一般情况下依次为无线网卡、设备驱动层、MAC层、IP层、传输层、最后到达应用程序。Linux系统提供了原始套接字可以直接对链路层数据进行操作,利用函数Recefrom()来读取MAC层的数据包,对数据包不做任何修改直接传递给智能网桥应用程序。应用程序通过对数据包的过滤,取出与SBNP协议相关的数据帧,完成了SBNP协议帧接收的工作。接下来智能网桥应用程序就可根据SBNP协议帧的内容进行信道的确定、工作组的加入工作组等操作。
无线数据包发送过程要利用PF_PACKET协议族提供的可重新定义MAC层的数据帧的方法,将SBNP协议帧利用隧道封装方法封装到Ethernet V2的数据帧中,传送到MAC层再由无线网卡发送到无线网络中。
2.1.2 确定信道方法
确定信道分为信道的扫描模块和信道的选择模块,这两个模块的设计是智能网桥实现自动组网重要的部分。AP设备上电后要做的第一件事情就是确定工作信道。通过AP自身扫描信道,发探测消息帧并接收探测响应消息帧,完成信道选择。 信道扫描从1信道开始,逐次递增直到最高信道。其作用是让AP预先知道哪些信道是可用的空信道、哪些信道受到干扰、哪些信道有自己该去的工作组,并把这些情况记录下来,以备扫描结束后抉择。 信道扫描过程中,AP在每个信道停留1秒,一方面以等间隔(如 100ms)发自己的探测消息帧,并等待回应的探测响应消息帧。另一方面,同时监听网络其他AP发出的探测消息帧,并随时做出响应。
2.2 智能网桥主程序功能模块的设计
智能网桥主程序主要包含以下功能模块:
2.3 信道自动扫描模块的设计[8]
信道自动扫描过程中,可能会出现以下几种情况:
(1) AP1收到Smart_ID不相同的AP2发出的探测消息帧或不能解读的电磁信号,说明该信道无线电环境不好或已被占用,将其情况记录,随后转入下一个信道。
(2) AP1没有收到任何消息,说明该信道未被污染,也没有伙伴AP存在,将其标注为“空闲态”,然后也转入下一个信道。
(3) AP1收到 Smart_ID相同的AP2发出的探测消息帧或探测响应消息帧,但AP2状态值是“扫描态” ,那么AP1就记下消息帧对应的 MAC 地址和状态信息,添加一个伙伴AP2,然后转入下一个信道。
(4) AP1收到Smart_ID相同的AP2发出的探测消息帧或探测响应消息帧,但AP2状态值是“连接态” ,说明该信道中有一个属于AP1应该加入的工作组,那AP1就记下该消息帧对应的 MAC 地址和状态信息。 然后转入下一个信道。如此重复,直到最高信道为止,完成信道扫描过程。信道扫描的流程如图4所示。
2.4 自动信道选择模块设计
信道扫描过后,AP1 对所有信道的状况已经有了清晰的认识,根据扫描记录就可以完成信道选择工作。有如下几种情况:
(1) 扫描记录中只有一个已连接的工作组,毫无疑问直接将自己绑定到该信道,发出申请加入该工作组的探测消息帧,加入该工作组,然后与其它成员进行信息交换。
(2) 扫描记录中没有任何已连接的工作组,AP1自身是工作组的创建者。于是把自己的状态设置为“连接态”,并选择信道号最大的那个空信道作为工作组信道进行绑定,从而建立工作组,并用随机数口令为工作组生成一个编号(WGN),这样标识工作组不仅要靠 Smart_ID,而且还有工作组编号。至此一个工作已经建立,现在AP1不必以等间隔时间发送探测消息帧,让探测消息帧进入随机退守模式,随机退守是一个定时器,随机退守时间是一个固定范围的随机数,在此时间内,AP 不发探测消息帧。随机退守时间结束后,AP发送一个探侧消息帧,然后定时器重新计算随机退守时间值,AP再次进入随机退守状态。
进入此随机退守模式后AP1自己主要是守候其他AP的探测消息帧并做应答。当随机退守时间一结束,AP1仍然必须发送探测消息帧,只不过这个事件的发生时间是随机的,而后紧接着还需回到随机退守模式。信道选择流程如图5所示。
2.5 工作组重组模块设计
工作组分裂的情况如图6所示。
A和B都无法检测到D的存在,它们分别在1信道和9信道建立了具有相同 Smart_ID的工作组1和工作组2,其中工作组1有两个成员A和B,工作组2只有一个成员D。C是在两个工作组形成后才开始扫描,此时C将起到一个“牵线搭桥”的角色,即不仅本身要选择一个工作组加入,同时还要通知其它信道的工作组和自身一起加入该工作组。C根据成员数目选择将要加入的工作组,然后逐个向其它工作组发出通知消息帧,通知消息帧中包括新工作组的信道号和工作组编号。收到通知消息帧的工作组通过C加入新工作组,并发探测消息帧告知新工作组所有成员。
由于在自动构建WDS网络时可能存在工作组分裂情况,因此要求在工作组形成后,AP仍然具有探测消息帧的随机退守和发送机制,确保即使在不同信道上形成了多个同一 Smart_ID的工作组,也可通过随后的信道扫描和探测重新组网。
工作组重组过程是指WDS工作组中的AP随机退守时间结束后,按信道逆向顺序(从高到低,一次蹲守一个信道),发出探测消息帧(或侦听别人的探测消息),等待探测响应。若无探测响应消息,则返回工作信道,重新进入随机退守状态。重复操作每次蹲守信道号减1,若在某信道接收了非工作组成员的探测消息帧或者是对自己探测消息帧的响应,只要 Smart_ID相同,则由先发探测消息帧的AP在收到响应后向网络中发出加入新工作组的邀请。收到邀请者,将信道调整到新的信道上绑定,然后根据新工作组信息生成新的密钥,加入新工作组。
3 捕获的SBNP协议帧分析
将AP1、AP2的Smart_ID都设置为Sbnp_test,通过无线抓包工具OmniPeek捕获AP1和AP2通信的数据帧。SBNP协议帧是被封装在以太网帧,再由无线驱动转成802.11协议的数据帧发送到无线网络中。802.11协议的数据帧可以采用两方式来封装上层协议,分别为RFC 1042 又称作IETF封装,802.1H又称作隧道封装。两者的封装格式相差很小,都是借鉴的802.2的子网接入协议SNAP(Sub-Network Access Protocol),因此SBNP协议帧就是由802.11协议的数据帧中子网接入协议来携带。下面来分析捕获的SBNP协议的探测消息帧。
由图7分析得知,在标题802.11MAC Header中标明了802.11数据帧的信息,Type字段说明该帧是数据帧,Source地址是00:19:70:84:10:14即设备AP1发出的探测消息帧,Destination地址是FF:FF:FF:FF:FF:FF说明是广播帧,还有无线网桥通信是通过四MAC地址的数据帧实现,另外的两地址作用已经在第四章介绍过。SBNP协议的探测消息帧就是在标题802.2 LLC Header中被传递,通过Vender ID字段可以得知,当前无线网桥是采用RFC1042协议封装上层协议的。前两个字段都是SNAP中定义值为0xAA,其中Protocol Type就是为了标识SBNP协议而定义的新的以太网类型0x999。Packet Data 字段长度是52个字节,具体SBNP协议内容就在这里,由于SBNP是私有协议,OmniPeek协议分析工具无法对它进一步解析,下面就手动详细分析下Packet Data 字段的具体内容,捕获的802.11数据帧十六进制格式如图7所示。
图8中的绿色区域和粉色区域都已经由OmniPeek协议分析工具给出详细的解释。深蓝区域就是SBNP协议探测消息帧的具体内容,黄色框内的是探测消息帧的控制帧头后面的就是消息体。
Packet Data字段的探测消息帧的控制帧头详细分析结果如表1所示,通过与SBNP协议帧格式具体字段的对比说明,就比较容易的理解Packet Data字段的具体含义,也可以检测SBNP协议帧的封装是否正确。探测消息帧的消息体的抓包分析这里就不再赘述。
4 结 语
通过对802.11和802.3协议的深入研究分析,设计了适应无线分配网络自动组网的协议,采用了隧道封装方法将协议帧在MAC层实现传输。对信道扫描、信道选择、工作组重组功能模块进行了详细阐述。无线分配网络自动组网的协议本身在设计时已经做了很多保留字段处理,为以后的协议功能的添加提供了接口。WDS网络自动协商组网过程中的加密方式有待改进,并将TKIP(Temporal Key Integrity Protocol)与AES(Advanced Encryption Standard)加密方法应用到智能网桥当中。
摘要:通过对无线分配系统WDS(Wireless Distribution System)的研究分析,提出一种基于无线分配系统自动协商构建无线网络的设计方案。该方案包括设计一种私有网络连接协议——无线网桥自动组网协议,以及协议栈在无线网桥中的实现。无线网桥自动组网协议的设计采取了逐步完善的策略,协议的实现采用了Linux线程机制,应用原始套接字直接对数据链路层操作,将无线网桥自动组网协议帧封装在DIX Ethernet V2帧中来完成协议通信。针对无线网络可能出现分裂的情况,采取了无线网络工作组重组的方法,确保无线分配网络整体性。
关键词:无线分配网络,无线网桥自动组网协议,无线网桥
参考文献
[1]谢希仁.计算机网络[M].4版.北京:电子工业出版社,2003:126-129.
[2]Matthew Gast.802.11.Wireless Networks The Definitive Guide[M].2nd ed.OReilly,2005.
[3]Forouzan B A.TCP/IP协议族[M].3版.谢希仁,等译.清华大学出版社,2006.
[4]谭邦,王能.无线局域网分布系统环境中无线网桥的研究与探讨[J].计算机应用研究,2003,20(5).
[5]Wireless LAN medium access control(MAC)and physical layer(PHY)specifications,IEEE 802.11[S].New York:Institute of Electrical and E-lectronics Engineers,Inc,1999.
[6]Calif,Contim,Gregorie.IEEE 802.11 wireless LAN:ca-pacity analysisand protocol enhancement:[C]//Proceeding of INFOCOM’98,1998.
[7]ZDC-std-apNego.pdf,v1.0.2004.
自动组网 篇3
在科学技术迅猛发展的今天, 各类新技术被应用在电网生产与管理中, 自动化技术更是独树一帜。本文所要研究的自动化报警系统主要包含以下几个系统:电量采集系统TMR、调度管理系统DMIS、UPS系统、调度自动化系统SCADA等[1]。传统系统中, 个体的工作量很大, 工作效率必然会十分低, 这样的方法无法满足当今社会的需求。为了提高对各个机房的监控能力, 很多组织与单位都对自动报警系统功能进行了研发, 但这种方法但产生了新的问题, 即各个子系统往往以自我为中心, 这对整体系统产生了很多的不便, 当子模块增多时, 这种矛盾就会越来越明显。
2 系统设计
目前, 根据各个地区实际发展的情况, 自动化综合报警系统的子系统主要有:调度培训系统DTS、电量采集系统TMR、调度自动化系统SCADA系统、调度管理系统DMIS、电源系统UPS等。在分配部署时, 按照“横向隔离, 安全分区”的防护方案进行物理地域上的隔离, 需要注意的是各个分区禁止直接使用网络进行连接。基于以上思想, 这种自动化系统主要有两种设计方案[2]。
1) 在控制大区中应用自动化综合报警系统, 则控制大区产生的警示信息直接通过TCP/IP协议进行传送。在应用反向隔离装置之后, 管理区的信息采用专业的传输软件对报警信息进行实时传送。在这种组网形式下, 管理区的信息需要传递给生产控制区, 根据之前的防护原则, 增加方向装置, 保证能够双向传输, 同时引用专用传输软件, 这种方式在一定程度上不利于自动化综合报警系统的推广。
2) 在管理区部署自动化综合报警系统, 并且得到的警示信息采用TCP/IP协议直接进行传输, 最终送达自动化综合报警系统中。生产区进行信息传送时, 采用专用的WEB发布系统, 使用现有的软件进行正向隔离。在传输信息时, 从控制区直接进行传输, 将信息直接传递给综合处理中心。在管理区部署自动化综合报警系统, 这样的部署方式对扩展自动化报警系统十分有利。
将两种组网方式进行对比, 综合考虑各方面的因素与实际情况, 采用第二种组网方式, 即在管理区实施自动化综合报警系统。
3 系统功能
自动化综合报警系统的主要任务是对各个子系统进行统一、高效的管理, 该综合系统收集各个子模块提供给控制中心的报警信息, 如监控信息等, 采集到的报警信息可以被实时发布, 具体的改进如下:采用统一的接口, 分类收集其他系统传递的信息, 这就需要接口必须要可靠、安全, 能够高效率地传递信息, 并且是可扩展的;可以收集到电话信息。这样收集到的信息可以实时地传送给指定人员;历史数据可以被长期存储, 供日后查询;即使在离线的情况下, 为了避免意外事故发生, 各个系统也能够传递警示信息, 进行危险预报[3]。此外, 需要强调的是, 自动化综合报警系统除了有上述所说的功能外, 仍需预留能够应用的接口, 以便将来可以进行功能扩展。
4 系统接口
自动化综合报警系统的报警方式可以分为两种, 主动获得与被动取得。将各个应用系统产生的警示信息传递给综合报警系统, 这是被动获取信息的方式, 这个时候综合系统只负责接受信息, 而不发布指令信息[4]。如果综合系统发布查询指令, 对各个子系统进行巡查, 这种自发获得信息的行为称为主动方式。为了使自动化综合报警系统更加有效地监控各个子系统, 需要发布查询指令, 得到各个子系统运行的实时情况以及报警信息。管理区将电子值班信息与收集到的报警信息存储在一起;生产区将这两种信息传送到WEB服务器上, 并在服务器上对这些信息进行存储[5]。
该系统对报警信息的查询分为以下两种: (1) 文件夹共享。将各个子系统保存信息的目录设置为共享模式, 这样各个系统就可以自发获取所需的报警信息。 (2) 网络服务方式。根据管理区提供的接口, 对服务进行调用, 获得相关的报警信息与电子值班信息。
通过分析上述两种方式, 可以看出, 第一种方式简单易行, 没用采用网络服务接口, 成本低;第二种方式, 需要引用十分规范的接口, 系统的功能强大, 可以更好地完成扩展工作。在实际情况中, 如果考虑制作系统的成本, 就采用第一种方式, 如果需要内部的接口达到标准接口, 并且需要对功能进行扩展, 则采用第二种方式。
需要注意的是, 自动化综合报警系统应当进行定期的维护扫描, 获取报警信息与电子值班信息, 一般的扫描间隔为10 s, 如果系统得不到正常的响应, 则自动产生报警信息进行查询。
摘要:自动化技术应用到报警系统是当下一门新颖的课题, 将自动化技术的应用领域进行了扩充, 使自动化系统更加具有可靠性、稳定性、可依赖性等。为了更好地完善这门技术, 对自动化综合报警系统的功能和组网形式进行了详细的剖析, 分析并了解该系统的主要功能。
关键词:制定报警系统,自动化技术,功能,组网,接口
参考文献
[1]邓旭聪.自动化综合报警系统的功能和组网探讨[J].中国新技术新产品, 2013 (1) :99-100.
[2]钟艳华.调度自动化综合报警系统的开发与应用[J].广西电力, 2013 (1) :29-31.
[3]张天和.自动化综合报警系统的功能和组网探讨[J].门窗, 2013 (5) :390.
[4]车权, 张建梅.自动化综合报警系统的功能和组网探讨[J].电力系统保护与控制, 2009 (19) :52-55.
自动组网 篇4
传统的人工定期巡视机房和各个系统的应用方法以及无法适应当前社会发展的要求, 原始方法工作量大而且繁重, 效能低, 那么工作效率也就无法得到提高, 这对电网本书的安全生产等方面产生了巨大影响。为了解决这些弊端, 从而进一步改善并加强对电网安全的控制协调能力, 提高自动化机房及各应用系统的运行监控能力, 很多系统生产单位都逐步开发了自动化综合报警系统功能模块。这在某些角度上确实也减少了当前的矛盾, 但是, 各模块的安装部署都以自己为重心, 对全盘的协调缺乏考虑, 这就给自动化专业系统的运行和管理带来了或多或少的不便利, 因为整个系统中小模块系统的数量不断增加, 矛盾就会更加被凸显, 管理也就显得混乱。为了解决这个矛盾, 我们需要建立一套全面的自动化综合报警系统, 这个系统中包括:空调系统、电源系统以及自动化机房环境监控系统等。所采用的报警输出接口为统一的数据接口标准。这样就有效地提高了电网的自动化管理运行的工作效率。
一、系统设计简介
自动化专业系统包括:调度自动化SCADA系统、电量采集TMR系统、调度管理DMIS系统、UPS系统等。电监会的电力二次系统的应用方案为“安全分区, 横向隔离”, 并且各个系统也是按照此方案的原则进行的, 其中, 在各个分区中禁止了网络进行直接连接, 值得一提的是在生产控制欲管理信息这两个分区的物理隔离, 我们通常都是采用单向物理隔离装置。拥有这样的技术前提就使得自动化综合报警系统分区定位和组网方式上升为关键问题。例如报警信息邮件发送功能, 如下图:
组网方式分为将自动化综合报警系统部署在生产控制大区和将自动化综合报警系统部署存管理信息大区两大类。第一种将自动化综合报警系统部署在生产控制大区的组网模式采用专用传输软件将报警信息传输到自动化综合报警系统中, 这是直接运用TCP/IP协议进行传送。这种组网模式在采用的同时要注意, 因为需要将管理信息的数据送到生产控制区域, 根据上文提到的安全防护方案, 在理论上是需要对反向物理隔离装置进行一定的增加并且要制作专门的数据传输软件。也正是如此, 给自动化综合报警系统的方案布置造成了极大的不便利, 也在某些程度上对自动化综合报警系统的应用功能产生了制约, 限制了其应用功能扩展。第二种将自动化综合报警系统部署存管理信息大区的组网模式是通过TCP/IP协议直接将管理信息大区的应用系统的报警信息传送到自动化综合报警系统中。因为生产控制大区向管理信息大区传送安全数据是经过正向的隔离装置进行的, 与第一种相反, 切传输软件为现有软件, 因此不必重新开发新的传输软件。也正是因为如此, 利用现有软件将生产控制大区的报警信息传送到自动化综合报警系统中这个过程是非常方便快捷的。而且这还有利于自动化综合报警系统功能的扩展, 正好补足了第一种方式的不足。
二、系统功能简介
目前来看, 自动化综合报警系统是主要运用在集中统一完成自动化各个应用系统模块的统一报警平台管理, 其主要工作内容是完成对机房环境监控系统、网管系统等各个应用系统产生的报警信息的收集。其主要的基本功能应具备:
接口形式要做到统一, 接口方式要利落、稳定和可靠, 也必须具备扩展能力。在完成对其他应用系统的报警信息收集的同时还要进行分类整理。
为了方便讲接收到的报警信息分类, 并在这个前提之下分别发送给制定好的工作人员, 还应该实现信息类别管理和人员电话薄统一管理的功能。
对报警信息要进行保存功能, 历史数据可以被进行分类查询。
各应用系统应具备离线诊断和自动报警的功能, 这是为了避免系统在离线时无法将报警系统发布出去的情况发生。
具备自我诊断的功能, 在报警信息发送失败时, 要能够进行重现发送功能, 这样才能保证报警信息传送出去的可靠性。
这些功能都是必须具备的, 同时, 在具备上述功能, 自动化综合报警系统还应该预留统一的功能接口, 具体情况可以根据将来各自需要逐渐扩展。最好采用模块化的方式来进行扩展。
三、系统接口介绍
自动化综合报警系统的报警信息获取方式有两种——主动获取和被动获取。这两种方式比较常用。主动获取顾名思义, 就是由自动化综合报警系统发起查询指令, 对个应用系统进行周期性的检查, 从而获得准确的个应用系统的报警信息等;被动获取从字面来看也不难理解, 即是由各个应用系统吧所产生的报警信息等主动传送到自动化综合报警系统中, 这样被动的接受就不会进行周期性的主动巡检。简单的说, 自动化综合报警系统在理论上是应该对各个心痛进行周期性的自动扫描的, 只有这样才能准确、实时的获取到完成的报警信息和电子值班信息, 扫描周期可视情况而定, 三秒到五秒不定。同时也可设置连续三次周期扫描失败, 就认定该系统已经离线, 自动化综合报警系统即时发出该系统已经离线的报警信息并尽快通知相关工作人员进行处理。
在自动化综合报警系统中任何一个应用系统出现故障, 都会直接导致报警信息的不准确不及时, 进而很大程度上影响到整个电网的安全有效稳定的运行, 因此来看, 一个完美的、先进的自动化综合报警系统设计上不仅仅是能够提供丰富强大的功能从而对各类报警信息进行处理, 还应该具有对异常情况发生自主诊断和报警的处理功能, 这就要求我们的设计人员在自动化综合报警系统系统设计时注意这些问题, 也对我们的专业水平提出了一个更高的要求。
结语
全文针对整个自动化综合报警系统进行了分析, 对系统的设计、功能、接口标准等进行了讲述, 这些都采用了现今最现今的计算机网络通信技术, 与此同时还满足了电力二次系统安全防护的原则和方案, 该方案在我国某些城市也已经建成并且投入到使用中, 目前来看运行状况良好, 未来发展势头也是较好的。此系统的推广, 是适应了自动化专业的进一步发展——智能自动化控制。能将所出现的问题及时发送给相关工作人员, 使他们尽快发现问题并及时处理, 这样, 在系统运营正常的情况下也提高了人员的工作效率。
科技是在高速发展的, 各项技术也随着科学的发展迅速腾飞, 自动化是所有科学技术发展的必然趋势, 自动化程度的提高就意味着未来自动化综合报警系统的功能应用一定会得到更加迅速的发展和广泛的推广。
参考文献
自动组网 篇5
关键词:配电自动化,通信,无线组网
长期以来, 我国电力形成了“重发轻供不管用”的局面, 配电网建设滞后, 问题日积月累。随着智能电网技术的发展, 中低压配电自动化的建设将成为智能电网建设的重点。而配电自动化的建设, 离不开通信系统的支撑, 稳健的通信网络是配电自动化的基础。
2013年, 新疆电力公司开始配电自动化系统建设。为配合配电自动化系统建设, 新疆电网公司大力发展、建设配电网环节通信光缆。然而, 敷设光缆涉及大量城市路面开挖工作, 光缆建设举步维艰。以光纤通信为主的建设方式, 受限于实施难度, 时间进度上严重影响着配电自动化系统的建设。因此, 需寻求安全、可靠的无线通信手段, 是新疆电网配电自动化系统建设的必然选择。
1 配电自动化系统结构
配电自动化是应用现代计算机、远动、自控、通信等先进技术, 实现配网远方监控和配电自动管理, 以达到配网安全、可靠、经济、优质高效运行的目的。由馈线终端、配电子站和主站构成的三层结构已得到广泛共识。
配电自动化系统主站 (即配电网调度控制系统, 简称配电主站) , 主要实现配电网数据采集与监控等基本功能和分析应用等扩展功能, 为配网调度和配电生产服务。
配电自动化系统子站 (简称配电子站) , 是配电主站与配电终端之间的中间层, 实现所辖范围内的信息汇集、处理、通信监视等功能。
配电自动化终端 (简称配电终端) 是安装在配电网的各类远方监测、控制单元的总称, 完成数据采集、控制、通信等功能。
2 配电自动化无线通信方式对比分析
随着技术进步, GPRS、3G等技术因为传输速率较低, 已逐步过渡到4G。4G技术共包含TD-LTE和FDD-LTE两种制式, 其中TD-LTE技术由中国主导, 代表着无线通信的最先进水平。值得注意的是, 按照《电力监控系统安全防护规定》 (发改委2014年14号令) 要求, 配电自动化系统等电力监控系统业务必须采用专网承载。TD-LTE在230MHZ及1.8GHZ频率处均存在未分配频段, 可以申请组建无线专网, 两个频段技术对比如表1。
从表1中可看出, 230MHZ频段的工作带宽已被无线电管理委员会授权使用, 组网时不用单独申请, 且其具有广覆盖的特点, 但其峰值速率要低于1.8GHZ频段。1.8GHZ频段的工作带宽需要单独申请, 可能会于民航等行业带宽需求冲突, 其覆盖半径也较小, 但其峰值速率要高于230MHZ频段。
两个频段在各有优缺点, 但却完美匹配城市配电网和农村配电网两个应用场景。在城市配电网, 用电负荷密度较大, 配电线路一般沿着城市干道分布, 配电自动化终端分布比较集中, 上行速率也需求较大, 可采用1.8GHZ频段组网。在农村配电网, 用电负荷密度小, 配电终端分布比较分散, 上行速率需求较小, 可采用230MHZ组网。
3 配电自动化无线通信组网方案
LTE网络通常由用户终端设备 (Customer Premise Equipment, CPE) 、基站组成。CPE配备以太网接口和UART接口, 可与配电终端通信, 即插即用。由于配电终端通常不具备无线模块, CPE可用来实现无线、有线业务数据的转换。基站是LTE系统的重要组成部分, 可通过空中接口与不同的CPE连接, 实现配电业务数据的收集及转发。
配电终端通过双绞线与CPE连接, 配电数据可通过CPE转换成无线数据, 进而上传给基站。基站通过光纤与连接至子站传输 (SDH) 设备, 数据由光纤环网可靠上传至配电自动化主站。
4 方案实施
新疆电力公司在乌鲁木齐、昌吉分别搭建了LTE网络, 乌鲁木齐供电公司采用1.8GHZ频段组网, 昌吉供电公司230MHZ频段组网。测试结果显示, 1.8GHZ频段无线网络覆盖范围可达3公里, 230MHZ频段无线网络覆盖范围可达16公里。在建筑物及树木遮挡、恶劣天气条件下, 两个频段均可保证信息可靠传输。
在乌鲁木齐供电公司抽取五城四线、北医一线、东普线、菊永线、红郊线的五个配电终端进行时延测试, 五个终端的时延在59~300ms之间。在昌吉供电公司抽取化二线、亚建线, 亚宁二线、亚北一线、亚延线的五个配电站终端进行时延测试, 五个终端的时延在200ms~800ms之间。从测试结果来看, 采用TD-LTE技术进行无线组网, 完全满足国网公司对配电终端实时性的要求。
5 结论
在疆配电通信网建设时, 采用TD-LTE技术的1.8GHZ频段在城市组网, 采用230MHZ频段在农村组网, 满足了配电自动化可靠性和实时性要求, 为光纤未覆盖区域的配电通信系统建设提供了解决思路, 具有很好的参考意义。
参考文献
[1]王敏, 容志能.TD-LTE系统在智能配电网通信中的应用研究[J].电力信息与通信技术, 2014, 12 (5) :103-107.
[2]杨新民.电力系统综合自动化[M].北京:中国电力出版社, 2008:215-216.
[3]蔡根, 张健明, 杨大成.TD-LTE电力专网230MHz与1.8GHz的研究[J].软件, 2015, 36 (12) :83-88.
自动组网 篇6
随着智能手机终端与平板电脑的发展, 原来不是很重要的WLAN需求突然呈现爆发式的增长。国内三家通信运营商为了满足用户数据通信的需求, 在热点区域大量部署了WLAN网络, 主要目的是分流2G/3G网络的数据业务, 提高用户感知。但是WLAN作为一种无线局域网技术, 从诞生那一刻就决定了其缺乏组建电信级网络的能力, 随着WLAN网络的建设, 暴露出了各种问题, 其中最严重的问题之一就是用户认证繁琐导致用户习惯难以形成。
本文主要介绍一种新的自动认证方法EAP-PEAP的原理及实现方案, 并与其它自动认证方式对比分析其优缺点。
2 EAP-PEAP的技术原理
PEAP (Protected Extensible Authentication Protocol) 是EAP (Extensible Authentication Protocol) 认证协议中的一种方法, 由CISCO, 微软和RSA Security联合提出的开放标准。PEAP类似EAP, 同样是一种可扩展的认证协议, 目前已有两个PEAP的子类型被WPA和WPA2标准批准, 分别是PEAPv0/EAP-MSCHAPv2与PEAPv1/EAP-GTC[1]。
根据PEAP协议, PEAP客户端与认证服务器间的认证分为两个阶段[2]。第一阶段首先PEAP客户端与身份验证AAA服务器之间建立安全通道, 客户端采用证书认证服务端完成TLS握手, 具体流程如图1所示。
AAA收到客户端发了的报文后, 用自己的证书对应的私钥对ClientKeyExchange进行解密, 从而获取到premaster-secret, 然后将pre-master-secret进行运算处理, 加上UE和Server产生的随机数, 生成加密密钥、加密初始化向量和hmac的密钥, 这时双方已经安全的协商出一套加密办法了, 至此TLS通道已经建立成功, 以后的认证过程将使用协商出的密钥进行加密和校验。Radius Server借助hmac的密钥, 对要在TLS通道内进行认证的消息做安全的摘要处理, 然后和认证消息放到一起。借助加密密钥, 加密初始化向量加密上面的消息, 封装在Access-Challenge报文中, 发送给UE。生成算法请参阅IETF RFC2246, The TLS Protocol Version 1.0[3]。
第二阶段利用第一阶段建立起来的EAP客户端与认证服务器之间的TLS安全通道进行身份验证, 验证采用的具体EAP子类型由内层EAP方式协商, 比如采用EAP-MS-CHAP-V2等, 访问点只会在客户端和RADIUS/AAA服务器之间转发消息, 由于不是TLS终结点, 访问点无法对这些消息进行解密, 具体认证流程如图2所示。
WPA单播密钥安装 (PTK) :AC和UE使用获取到的PMK进行WPA单播密钥安装. (四步握手) , 详细过程请参阅引用IEEE协议[4]。
3 EAP-PEAP的自动认证组网方案
对于运营商来说, 因为PEAP只是对EAP增加了保护隧道, 故在现网基础上实现EAP-PEAP认证的改造方案并不复杂。目前国内运营商的WLAN网络都支持EAP认证, 一个典型的支持EAP认证的WLAN系统图如图3所示。
如果要改造网络支持EAP-PEAP认证, 首先要对AC、BRAS进行改造, 一般通过软件升级或补丁包的方式, 使其支持PEAP认证识及数据包透传;其次需要改造或更换AAA服务器, 增加TLS证书, 并支持PEAP认证;第三, 对BOSS系统进行改造, 开通PEAP认证功能及相关套餐等业务;最后, 为了不影响目前大量使用的Portal Web认证, 可以新增一个SSID, 专门用于EAP-PEAP认证用户接入。
4 EAP-PEAP与其它WLAN自动认证方式的比较
目前国内运营商中比较有竞争力WLAN的自动认证方式主要有Portal自动认证、EAP-MAC及EAP-SIM。
根据对目前市面上主流的款终端的调查与测试, 各终端对自动认证的支持程度如表1所示。
从表1可以看出, 4种主流的自动认证方式只有EAP-PEAK与EAP-MAC被所有智能终端支持, 其它Portal自动认证与EAP-SIM认证都有不支持的终端。
从用户体验方面来讲, Portal自动认证只不过是对原有Portal web认证的改进, 用户第一次打开浏览器后仍然会被强制跳转到Portal网页, 只是不需要输入用户名与密码, 无法实现无感知认证;而EAP家族PEAP、MAC、SIM认证均可实现无需用户干预的自动认证, 但是其中PEAP与MAC需要首次认证时配置相关用户信息, 对于普通用户来说PEAP只需要输入用户名与密码, 配置难度小于MAC认证。另外, EAP-SIM认证无法机卡分离, 因此用户使用只有WIFI功能的平板电脑时无法接入。
从安全性方面来讲, EAP-SIM的安全性是最好, 因为直接与SIM卡绑定, 共用SIM卡的鉴权方式, EAP-PEAP次之, Portal自动认证第三, 可以通过copy cookies等方式窃取用户信息, 而EAP-MAC是最差的, 因为只需要伪造用户MAC地址既可接入, 而终端MAC地址属于半公开信息, 的窃取与伪造相当简单。
从改造成本来讲, EAP-SIM改造成本最高, 需要受制于2G/3G网络的HLR Licence的制约等影响。EAP-PEAP、EAP-MAC、Portal自动认证等方式改造成本相关不大, PEAP多出认证服务器证书的购买费用。
5 PEAP的技术优点小结
从PEAP的本身的特性及第四章的对比来看, PEAP与其它自动认证系统比较主要有几大优点:
第一, 高度的开放性。PEAP是一个开放标准, 由微软、思科及RSA Security联合提出, 是EAP家族中的新成员, 具有相当的行业影响力。
第二, 强大的安全机制。PEAP的认证机制主要就是在EAP的基础上增加了TLS安全隧道功能, 比传统的web Portal认证等更安全, 符合WLAN的应用特点。
第三, 兼容性较好。根据国内某运营高的调查, 目前市面上的主流智能手机操作系统Android2.0以上、iOS3以上、Windows phone 6.5以上、S60 v3/v、BlackBerry OS 5.0以上均支持PEAP认证方式, 无需单独开放认证客户端, 降低终端侧部署难度。
第四, 属于系统级认证。PEAP认证为智能终端系统级认证, 对应用程序透明, 所以现在的以应用程序为核心的主流智能终端均不受认证应响, 避免发生某些程序不兼容认证方式而带来的体验问题。
第五, 协议具有可演进性。PEAP是开放标准, 由微软、思科及RSA Security主导演进大方向, 整个开源设区积极参与, 共同开发, 后续升级演进会有极大的保障。
第六, 一次配置, 永久使用。PEAP属于自动认证协议, 用户只需在第一次使用时绑定用户名与密码, 以后系统会实现用户无感知的自动认证, 在高安全性的同时提高用户体验。
第七, 对现网影响较小。PEAP认证仅涉及到现网部分网元的升级或改造, 对现网影响较小, 改造成本较低, 并可以快速完成。
6 EAP-PEAP的技术缺点及改进方案
EAP-PEAP的其中一个特性为用户无鉴权, 只要拥有用户名及密码即可绑定接入。这种机卡分离的特性可以方便客户在多种终端接入系统的同时, 也带来了密码泄漏或忘记取消绑定造成其它人接入的风险。
针对这种风险, 可以通过改造BOSS系统, 实现在用户接入时通过短信的方式通知客户已经接入, 如果非本人接入可以通过回复短信的方式实现强制下线、锁定账户、修改密码等操作, 提高安全性。
7 结束语
本文主要介绍EAP-PEAP认证协议的工作原理及流程、EAP-PEAP组网建设方案, 并通过与其它可行的自动认证系统对比, 分析得出了EAP-PEAP自动认证协议的优缺点, 并针对缺点部分给出了改进方案。从分析中笔者认为, 运营商可以考虑大规模的部署EAP-PEAP认证方式, 并与其它自动认证协议比如EAP-SIM作为EAP-PEAP的共存, 提高用户的感知。
参考文献
[1] Wiki, http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol.
[2]袁建国, 朱恺, 方宁生等.802.1x/EAP-PEAP的研究与应用.计算机工程与设计, 2006 (10) :第1818-1820页.
[3] RFC, T.and C.Allen, The TLS Protocol Version 1.0.1999.