信息传输安全论文(精选12篇)
信息传输安全论文 篇1
进入21世纪以来, 全球进入了信息时代, 每时每刻都有大量的信息通过电脑或移动终端进行传播, 信息安全已经成为人们最关注的焦点。近年来, 我国的信息安全技术取得了长足的进步, 研发了一些防火墙、安全网关、安 全路由器 、防入侵检测等软硬件系统, 但是由于我国在信息安全领域由于起步较晚、投入较少、产品市场化较慢等一系列问题, 我国的信息安全与欧美发达国家相比, 仍处于落后的状态。
1 网络体系结构
网络的体 系结构指 的是通信 系统的整 体设计 , 为网络终端 进行相互 通信的层 次及各层 中的协议 和接口的 集合。计算 机网络体 系结构是 一个非常 复杂的系 统 , 为了解决 不同的问题 而采用分 层的思想 , 使得庞大 的问题分 为若干个小的问题。
1.1 OSI 模型
1978年, 国际标准化组织 (ISO) 提出了开放系统互联基本参考模型 (OSI), 大大推动了计算机网络技术的发展。
OSI模型相对比较复杂 , 实用价值也不高 , 但是清晰的概念成为众多网络体系结构参考的标准。OSI 7层模型的组成及通信如图1所示:
OSI模型由7层组成 , 分别是物理层、数据链路层、 网络层、传输层、会话层、表示层及应用层。 其中物理层的作用是传输比特流, 规定通信设备的电气、机械、功能、规程的特性; 数据链路层建立数据链路, 利用差错控制提供数据帧的无差错输; 网络层主要作用是选择交换结点和路 由结点 ;传输层的作用是获取全部信息; 会话层的作用是进行会话管理及访问验证; 表示层的作用是解决用户信息的语法表示问题; 应用层的作用是提供具体应用服务的接口。
1.2 TCP/IP 模型
TCP/IP模型由于不依赖于任何网络硬件及操作系统 , 当前该模型得到了全世界的承认, 但是该模型并不是完整的网络体系结构, 该模型与OSI模型相比较所对应的层次。整个TCP/IP模型主要由网络接口层、网络层、 传输层和应用层4层组成。其通信模型及各层相关所包含的协议如图2所示。
2 密码学原理
2.1 密码系统
网络信息在整个网络中进行传输, 由于所经过的中间环节比较多, 不可避免地被其他人员所截获, 从而造成不必要的损害。为了维护网络信息传输的安全, 对所传输的信息进行加密, 合法者收到信息后, 再通过对应的解密算法进行解密, 从而获取正常的信息; 而非法者无对应的解密算法则无法正常对所获取的信息进行读取。一般的信息加密/解密系统如图3所示。
明文X被发送以前, 密钥要由发送者和接收者之间通过安全通道进行协商和确定, 通过明文、密文及密钥之间的概率分布来确定条件分布和边际分布。
在密码学里, 信息的明文是确定的, 而密文则是不确定的, 随着对密文的不断分析研究, 可以使密文的不确定性逐步减少, 通过相同的密钥对不同的明文进行加密并进行分析,可以加速解密者进行解密。
因此, 对于整个密码体 制来说 , 为了保证 信息的安 全 ,无论是加密还是解密算法都要求进行保密, 同时密钥的传递过程也是充分考虑安全。
2.2 序列密码
商农提出并证明了一次 一密的密 码体制是 不可破解 的 ,这就使得若以某种方式产生一个随机序列密钥, 则被称为序列密钥体制。
假如以某数据为模的四则运算, 序列密钥的产生并不是完全不重复的, 它也有一定的周期, 为了保障信息的安全性,产生的密钥流的周期尽可能的大, 产生的密钥要大于或等于明文的长度, 并且使之具有随机性, 这样密码的确解者就无法对其进行分析和预测。但由于具有周期性, 在周期范围内,是不可能被破解的, 这种具有一定周期的序列密码也被称作是伪随机序列。
序列可以是数字和字母, 同时可以把图像、报文等信息利编码技术生成二进制序列。在序列密码中, 尽可能地使用长的密钥, 这样被破解的概率就会减小。但是, 密钥过长可能会给系统分配、存储带来一定的困难。在此基础上, 可以采用一个短的密钥通过某种算法来管理和控制长的密钥, 便于管理和存储。
序列密码的安全性与密钥序列密不可分, 当密钥序列是离散的无记忆性的随机序列时, 即一次一密, 那么该序列密码是不可破的。到目前为止, 密钥的产生基本上都是通过移位寄存器, 这是由于移位寄存器具有运行速度快且结构简单的特点, 能够便于系统的分配和存储。但是, 移位寄存器的数量是有限的, 不可能实现无限的序列密钥, 即该序列是伪随机序列密钥。这要求序列的具有极大的周期、充分大的序列线性不可预测性及良好的随机统计特性。
3 网络信息安全传输加密系统
3.1 系统设计
网络信息安全传输加密系统主要通过对网络中所传输的信息进行加密、解密的过程, 从而保证信息的安全性, 使得信息的非法获得者不能提取、识别原始的信息。
系统的设计利用MAX+PLUS的编程环境, 利用VHDL语言对加密和解密算法进行设计并写入相关的PLD器件中。其总体设计如图4所示。
整个系统是网络与网络用户的中介, 用户通过网口与系统相连接, 利用PLD器件中设计的加密系统对其发送的明文进行加密处理, 并利用网口与网络相连, 将其信息发送到网络, 传送到对应的接收者手中。
系统的软件实现要考虑网络的结构层次, 网络的数据发送都是通过网络的底层物理层发送出去的。物理层发送的比特流, 系统硬件收到的数据是比特数据, 因此, 系统的加密流程是: 首先进行数据的比特识别, 进行串-并变换, 查看数据的转换是否同步, 假如不同步, 则进一步转换, 同步则进行计数, 系统确认是否需要加密数据, 不需要加密则直接进行并-串变换, 然后输出数据; 需要加密则申请相关服务产生密钥, 利用密钥进行数据的变换和处理, 然后进行对变换的数据进行并-串变换处理, 并产生的数据通过串行口进行输出, 完成系统的加密工作。
3.2 系统实现
(1) 接口实现
常用的接口按照电气特性划分可以分为: TTL电平接口、CMOS电平接口、EIL电平接口、RS-232电平接口、差分平衡电平接口、光隔离接口及线圈耦合接口等。
串口设计分为异步串口和同步串口。无论是哪种类型的串口, 在较高速率传输时, 除了在板内或板间较短距离传输采用TTL电平接口外, 一般要求使用平衡电平接口。
并口设计需要注意: 首先系统线要具有足够的驱动能力,其次总线隔离挂接在不同单板之间时需要使用总线隔离器件,然后是延时问题, 由于总线有一个速率范围, 这使得元器件的时序一定要正确, 最后是防止线路互相干扰, 在板路的设计时, 尽可能地避免两条线长距离并行走线。
其核心代码如下:
(2) 输出实现
无论是发送还是接收, 无论系统对明文进行加密或对密文进行解密, 都需要将结果输出到网络或接收。
其核心代码如下:
4 结语
针对网络信息安全传输系统进行研究, 首先对网络体系结构进行分析, 其次描述了密码学的原理, 最后在两者基础上设计了网络安全传输系统。由于篇幅所限, 在对于系统的具体实现部分, 特别是系统的硬件, 由于选材的问题在设计部分描述的相对较少, 希望感兴趣的同仁共同努力, 为信息的安全做出自己的应有贡献。
摘要:针对当前网络信息在传输过程中泄露及丢失的问题,设计出网络信息安全传输系统来解决该问题。对OSI模型和TCP/IP模型进行了分析,详细描述了当前网络流行的体系统结构;对密码学原理进行了详细的论述,给出了序列密码的原理和工作过程;给出了网络信息安全传输系统的设计和部分实现。对于网络安全工作人员和密码学研究人员都具有一定的指导意义。
关键词:网络,安全,信息
信息传输安全论文 篇2
1光纤通信技术的特点
光纤通信技术的特点有:(1)频带极宽,通信容量大。(2)损耗低,中继距离长。(3)抗电磁干扰能力强。(4)无串音干扰,保密性好。
除以上特点之外,还有光纤径细、重量轻、柔软、易于铺设;光纤的原材料资源丰富,成本低;温度稳定性好、寿命长。
2我国光纤光缆发展的现状
为了适应网络发展和传输流量提高的需求,传输系统供应商都在技术开发上不懈努力。富士通公司在150km、1.3μm零色散光纤上进行了55x20Gbit/s传输的研究,实现了1.1Tbit/s的传输。NEC公司进行了132x20Gbit/s、120km传输的研究,实现了2.64Thit/s的传输。NTT公司实现了3Thit/s的传输。目前,以日本为代表的发达国家,在光纤传输方面实现了10.96Thit/s(274xGbit/s)的实验系统,对超长距离的传输已达到4000km无电中继的技术水平。在光网络方面,光网技术合作计划(ONTC)、多波长光网络(MONET)、泛欧光子传送重叠网(PHOTON)、泛欧光网络(OPEN)、光通信网管理(MOON)、光城域通信网(MTON)、波长捷变光传送和接入网(WOTAN)等一系列研究项目的相继启动、实施与完成,为下一代宽带信息网络,尤其为承载未来IP业务的下一代光通信网络奠定了良好的基础。
3光纤通信技术的发展趋势
(1)超大容量、超长距离传输技术波分复用技术极大地提高了光纤传输系统的传输容量,在未来跨海光传输系统中有广阔的应用前景。近年来波分复用系统发展迅猛,目前1.6Tbit/的WDM系统已经大量商用,同时全光传输距离也在大幅扩展。提高传输容量的另一种途径是采用光时分复用(OTDM)技术,与WDM通过增加单根光纤中传输的信道数来提高其传输容量不同,OTDM技术是通过提高单信道速率来提高传输容量,其实现的单信道最高速率达640Gbit/s。
仅靠OTDM和WDM来提高光通信系统的容量毕竟有限,可以把多个OTDM信号进行波分复用,从而大幅提高传输容量。偏振复用(PDM)技术可以明显减弱相邻信道的相互作用。由于归零(RZ)编码信号在超高速通信系统中占空较小,降低了对色散管理分布的要求,且RZ编码方式对光纤的非线性和偏振模色散(PMD)的适应能力较强,因此现在的超大容量WDM/OTDM通信系统基本上都采用RZ编码传输方式。WDM/OTDM混合传输系统需要解决的关键技术基本上都包括在OTDM和WDM通信系统的关键技术中。
(2)光孤子通信。光孤子是一种特殊的ps数量级的超短光脉冲,由于它在光纤的反常色散区,群速度色散和非线性效应相互平衡,因而经过光纤长距离传输后,波形和速度都保持不变。光孤子通信就是利用光孤子作为载体实现长距离无畸变的通信,在零误码的情况下信息传递可达万里之遥。
光孤子技术未来的前景是:在传输速度方面采用超长距离的高速通信,时域和频域的超短脉冲控制技术以及超短脉冲的产生和应用技术使现行速率10—20Gbit/s提高到100Gbit/s以上;在增大传输距离方面采用重定时、整形、再生技术和减少ASE,光学滤波使传输距离提高到100000km以上;在高性能EDFA方面是获得低噪声高输出EDFA。当然实际的光孤子通信仍然存在许多技术难题,但目前已取得的突破性进展使人们相信,光孤子通信在超长距离、高速、大容量的全光通信中,尤其在海底光通信系统中,有着光明的发展前景。
(3)全光网络。未来的高速通信网将是全光网。全光网是光纤通信技术发展的最高阶段,也是理想阶段。传统的.光网络实现了节点间的全光化,但在网络结点处仍采用电器件,限制了目前通信网干线总容量的进一步提高,因此真正的全光网已成为一个非常重要的课题。
全光网络以光节点代替电节点,节点之间也是全光化,信息始终以光的形式进行传输与交换,交换机对用户信息的处理不再按比特进行,而是根据其波长来决定路由。
目前,全光网络的发展仍处于初期阶段,但它已显示出了良好的发展前景。从发展趋势上看,形成一个真正的、以WDM技术与光交换技术为主的光网络层,建立纯粹的全光网络,消除电光瓶颈已成为未来光通信发展的必然趋势,更是未来信息网络的核心,也是通信技术发展的最高级别,更是理想级别。
参考文献
[1]@韦乐平.光纤通信技术的发展与展望.电信技术[J],,(11):13-17.
信息传输安全论文 篇3
关键词:计算机;网路;信息传输;安全;防护
中图分类号:TP393.08
20世纪以来,计算机技术突飞猛进,计算机在人们日常生活中也越来越成为不可分割的一部分,如电子邮件、网购、网上转账、QQ聊天以及网上炒股等。互联网的普及促进了计算机网络在生活、工作、娱乐等多方面的广泛应用。计算机信息系统也逐渐由单机系统转变为开放系统,这一方面为人们的生活提供了便捷,另一方面,也为计算机信息传输的安全带来了威胁。有些计算机系统常常会遭到网络病毒、黑客等的攻击,造成这些信息被他人随意利用、篡改或者删除。因此,对计算机及网络采取防护技术,保证计算机信息传输的安全性是非常有必要的。
1 对计算机信息安全构成威胁的因素
1.1 计算机信息在传输中被他人截获。这种信息威胁多存在于局域网之内,若传输中的信息被设置为共享文件,则很有可能被他人截取,其次,由于操作者自身的信息安全意识淡薄,在使用共享打印机或复印机时,不小心留下了相关的信息记录,这些信息一旦被他们获取,则很可能会对企业造成损失。此外,在互联网信息传输途中,由于计算机缺乏安全防护技术,使得信息在传输过程中被蓄意攻击或者截取。
1.2 网络本身存在漏洞。由于网络本身存在一定的漏洞问题,这让一些不法分子钻了空子,他们利用自己掌握的网络技术编译某种恶意程序,这些恶意程序就是我们通常所说的病毒,如木马病毒、熊猫烧香等,网络黑客把这些恶意程序植入网络,进而攻击在网络中传输的信息,网络信息被截取,不仅会给信息传输者带来一定的经济损失,有时一些隐私性的信息还会被不法分子公布在网络上,侵犯他人的隐私权。
1.3 个人操作不当。由于操作者个人对计算机信息安全的认识不到位,计算机缺乏任何安全防护,如在访问一些网站时,未开启防火墙,也不设置密码,尤其是浏览一些非法网站时,很容易无意中就触发了某种恶意程序,使其攻击操作者的电脑,使操作者的计算机信息被窃取。
2 计算机信息传输安全的保护措施
2.1 设置访问权限。访问权限一般是由系统管理员进行设置,通过设置口令、控制表等形式把计算机信息的访问授予指定的用户,这种保护措施一定程度上可以保证计算机信息传输的安全,使信息不被他人剽窃或被病毒侵入。
2.2 加密。设置密码对于信息安全行之有效。为进一步保证信息的安全性,可以设置多个密码,如设置计算机的开机密码、文件传输密码、文件接收密码等,只有知道密码才可查看。此外,在局域网的内部,还要注重信息的销毁,即在打印机、复印件、废纸以及网络中的废弃文件要做到及时恰当地销毁,避免信息的泄漏。
2.3 应用数字签名。数字签名通过借助非对称性密钥算法提供信息安全服务,经过签名的数据单元仅对用户提供使用和查看权限,第三方无权进入该区域,同时,也可以防止由于网络自身的漏洞导致的信息安全隐患的产生,一定程度上可以保证计算机信息传输的安全。
3 计算机信息传输安全防护技术
3.1 安装防火墙。防火墙在计算机信息传输安全防护技术中是最为常见的一种,它是设置在外网与内网间的一个保护屏障,通过对数据信息进行审核和过滤来防止计算机被入侵,安全系数比较高。目前,防火墙的类型也比较多,可以从防火墙的技术、结构、性能等方面进行分类,如我们常用的软件防火墙以及硬件防火墙,还有一些比较高级的,如芯片级防火墙等。每一种防火墙都能对信息进行过滤,防火墙也不是万无一失的,需要同其他防护技术一起来保证计算机信息传输的安全。
3.2 安装杀毒软件。安装杀毒软件对于防止计算机病毒入侵计算机非常必要。计算机病毒具有复制速度快、传播途径广、破坏性强等特点,计算机系统一旦遭遇病毒的入侵,则有可能会导致整个计算机系统的瘫痪,进而导致信息的泄漏或丢失。而安装了杀毒软件,则大部分的计算机病毒都可以被删除。常用的杀毒软件如360杀毒软件、金山杀毒软件,此外,小红伞等杀毒软件也受到人们的广泛青睐。且随着网络技术及相关软件的发展,杀毒软件也在进一步发展,其威力也与日俱增。
3.3 网络入侵监测。防火墙也并不能保证过滤掉所有的网络病毒,而进行网络入侵监测一定程度上弥补了防火墙的不足。对网络进行定时地网络入侵监测,当监测到网络不安全时,可以及时地采取措施,对网络进行安全防护,从而防止他人对网络的恶意攻击。网络入侵监测包括两种:一种是基于网络的入侵监测,一种是基于主机的入侵监测。其监测方法包括基于统计和基于规则两种。
3.4 建立网络监视系统。设立网盾监视系统,并将其与服务器相连接,从而能够拦截一些不安全网站。此外。还可以对聊天工具如QQ、下载工具如迅雷以及下载文件等进行监测,从而最大程度地保证信息传输的安全。此外,在我们浏览网页的过程中,页面常常会自动弹出一些对话框或者广告等,而网络监视系统恰恰能实现对这些信息的过滤和拦截,减少计算机中毒的风险系数。
3.5 增强网络安全意识。保证计算机信息传输的安全,从主观上来说,操作者要增强自身的网络安全意识,自觉地维护网络安全。计算机病毒基本上源自于网络欺骗,当操作者下载软件或者浏览一些安全系数较低的网站时,都存在被病毒攻击危险性。因此,操作者应该尽量避免浏览不良网站,下载资料或信息时,要进行病毒查杀。而对于一些陌生文件或程序,当不确定其安全性时,不可随意打开,要有安全意识,这样才能真正做到防范未然。
3.6 定期进行安全扫描。对计算机系统定期进行安全扫描,可以及时查补漏洞,排除潜在病毒,是一种很好的安全防护技术。当我们在一些网站上下载软件时,常常在用户不知名的情况下,也同时下载了一些软件附带的插件,而用户却浑然不知。这些插件若是有病毒的,则能够自动篡改用户的浏览器主页。因此,对系统进行定期的扫描是非常有必要的,及时查找到这些恶意软件,避免系统受到攻击。
4 结束语
互联网的功能越來越强大,用途也越来越广泛,资源的共享为我们提供了海量的知识,也给我们生活的方方面面都带来了便捷。但正因为如此,我们更不能计算机信息传输的安全,不能让一些不法分子有机可乘。一些不法分子恰恰是利用了网络病毒、木马等恶意程序对传输中的信息进行篡改和截取,严重损害用户的利益。要保证计算机信息传输的安全,我们必须做好安全防护工作,采取防护技术,如通过设置密码、安装杀毒软件、安装防火墙以及进行网络入侵监测等,将各种防护措施结合起来,从而最大程度上保证计算机信息传输的安全。
参考文献:
[1]温炽堂.浅析计算机信息传输安全及防护技术[J].信息与电脑(理论版),2011(06).
[2]黄伟.网络安全技术及防护体系分析[J].微型电脑应用,2005(12).
[3]张翀,石文静,陈文锋.计算机信息安全问题的研究探讨[J].计算机光盘软件与应用,2012(12).
作者简介:高增霞(1979.04-),女,山东沂南人,助理工程师,本科,研究方向:计算机科学与技术。
信息传输安全论文 篇4
客运专线中, 车载单元和RBC (无线闭塞中心) 、TCC (列控中心) 等地面设备之间使用开放式、非安全的网络 (GSM-R) 交换信息。GSM-R网络是在透明的公网 (GSM) 基础上增加一些方便指挥列车运行的功能, 如:调度命令传送, 车地信息传送, 车次号传送等等, 这些由RBC、TCC等产生用来控制列车运行的调制信息, 只有在被对应的列车正确地执行, 才是安全的。调制后的列控信息由无线GSM-R网络发射出去后, 很容易被路外终端截获, 解调并破译, 路外终端再根据破译信息的帧结构, 编写错误的列控信息, 发送到车载终端或地面设备, 将对高速运行中的铁路客运专线造成巨大的损失和管理的混乱。目前的高速客运专线, 对发送端、接收端以及数据完整性的认可, 只有建立在被本发送端和本接收端知道的某些秘密信息的基础上, 才能保证安全。所以, 在现有的GSM-R通信系统中, 加入密钥系统来保证列车控制信息的安全传输是十分必要的。本文通过对客专列控信息安全传输的研究, 提出密钥系统的工程设计方法和措施。
2 密钥的工作原理
2.1 对称式密钥
又称单钥密码, 是一种比较传统的加密方式, 其加密运算、解密运算使用的是同样的密钥, 信息的发送者与信息的接收者在进行信息的传输与处理时, 必须共同持有该密码 (称为对称密钥) 。因此, 通信双方都必须获得这把钥匙, 并保持钥匙的秘密。
2.2 公钥密钥
公钥体制的关键是如何确定公钥与私钥及加/解密的算法。假设在这种体制中, pk是公开信息, 用作加密密钥, 而sk需要由用户自己保密, 用作解密密钥。加密算法e与解密算法d也都是公开的。虽然sk与pk是成对出现, 但却不能根据pk计算出sk.它们须满足条件:
(1) 加密密钥pk对明文x加密后, 再用解密密钥sk解密, 即可恢复出明文, 或写为:
(2) 加密密钥不能用来解密, 即
(3) 在计算机上可以容易地产生成对的pk与sk;
(4) 从已知的pk实际上不可能推导出sk;
(5) 加密与解密的运算可以对调, 即
从上述条件可看出, 公开密钥密码体制下, 加密密钥不等于解密密钥。加密密钥可对外公开, 使任何用户都可将传送给此用户的信息用公开密钥加密发送, 而该用户唯一保存的私人密钥是保密的, 也只有它能将密文复原, 解密。虽然解密密钥理论上可由加密密钥推算出来, 但这种算法设计在实际上是不可能的, 或者虽然能够推算出, 但要花费很长的时间而成为不可行的。所以将加密密钥公开也不会危害密钥的安全。
3 客运专线密钥管理系统 (KMS) 的功能及结构
3.1 密钥管理系统主要的功能就是在保证密钥安全的基础上, 实现密钥的生成、注入、备份、恢复、更新、导出、服务和销毁等功能。同时, 密钥受到严格的权限控制, 不同机构或人员对不同密钥的生成、更新、使用等操作拥有不同的权限。通常, 系统会把不同的权限赋给系统定义的不同的角色再把角色与具体的人员关联。所有的注入、备份、恢复、更新、导出、更新和服务过程都需要保证密钥的高度安全, 不会外泄。密钥销毁原则上要求做到物理的清除密钥, 即保证无法再通过对残余介质的检测造成密钥的破解。
3.2 KMS的结构由两个平台组成, 每个平台的目的各不相同:
密钥管理中心 (KMC) , 为离线式平台, 组成部分包括:密钥生成中心 (KGC) , 专门用来生成对称式KMAC和KTRANS钥匙;用户系统 (CS) , 专门用来对对称式KMAC和KTRANS钥匙 (由KGC建立) 进行管理和提供密钥使用的分配媒介 (文档) 。
认证管理中心 (CMC) , 为在线平台, 专门用来管理对分配媒介进行保护和认可的数字证书。
这两个平台都符合要求的安全标准。
密钥管理中心 (KMC)
KMC执行如下功能:KMAC和KTRANS密钥的生成、文件归档、更新、撤消和删除。
其操作平台位于设置进入权限和控制的房间内, 所有的KMC功能包含使用授权盘都将通过专门软件来完成。
认证管理中心 (CMC)
认证管理的一个重要方面为加密数据的管理。
CMC平台通过一个公共权威认证 (CA) 来进行数字认证的管理同时用于KMC生成的信息代码管理。数字认证是保证密钥分配、KMC和终端用户鉴定全过程完整性和可靠保留的全现代化手段。
4 客运专线密钥工作过程
KMS操作的典型步骤如下:
KMAC向受托人的发放采用密码保护;KMAC钥匙的密码采用KTRANS键对称性加密方式;KTRANS密钥通过使用数字认证采用非对称性加密方式颁发;KTRANS密钥通过包含在特殊文件里的ASCII表的加密格式插入;这些文件为每个CTCS装置 (如TCC、RBC、车载设备, 联锁装置和CTC等) 生成并包含一个KMAC密钥 (与其他与CTCS设备相连的设备)
密钥更新方案。通过特殊的操作步骤, 可以对RBC内的KMAC密钥进行更新。这个步骤较更新车载设备的KMAC密钥容易。
由于车载设备的数量相当巨大, 对全部车载设备进行KMAC密钥更新难度很大。所以对每一个列车在RBC内可以有2个不同CTCS ID身份号用于与之相连的每个车载设备。这样RBC可通过两个CTCS ID身份验证 (和相关的KMAC密钥) 中的任一个与车载设备进行通讯。
因此KMC生成的RBC配置文件包含两套用于车载设备的KMAC密钥。
采用这种方式通过更新RBC KMAC密钥配置文件, 在不同的时间来更新车载设备KMAC密钥配置。
5 客运专线密钥工程实施
根据工程的实际需要, 我们可以在铁道部设立密钥管理中心KMS。KMS设置在有进入权限的房间, 以保证安全性。KMS是标准的TCP/IP协议以局域网, 密钥生成中心 (KGC) 的离线服务器、数据库、客户端 (根据需要设置其数量) 、网络打印机等设备均在局域网上。这些设备主要用来生成并管理密钥。离线服务器采用双机热备, 并对数据库数据采取定时备份措施。保证密钥数据的安全。每条客运专线设置一套在线服务器 (CMC) , 在线服务器为设备提供实时在线认证, 也为设备密钥的生成提供依据。在相应的用户终端 (如RBC、车载设备, 联锁装置和CTC等) 架设加密或解密的软件和硬件模块, 这些模块与GSM-R系统结合就在硬件上实现了列控信息的安全传输。
这样, 由KMS产生加密密钥和解密密钥。通过光盘或其他存储介质, 由铁道部许可, 分发到相应的终端用户设备上, 设备在启用前先经过登陆认证, 在线服务器识别该用户后, 用户便可以用加密密钥对列控信息加密并放心的发送至公网GSM-R了。
6 结论
快速铁路给人们的出行带来了方便和快捷, 但是安全仍然是一个永恒的话题。密钥系统在整个列车控制系统中投资很少, 却为列车安全运行起到至关重要的作用。因此, 我们很有必要深入研究并完善客运专线的密钥系统。
参考文献
[1]铁道部科学技术司铁道部运输局CTCS3级列控系统总体技术方案, 2008
[2]铁道部客运专线CTCS2级列控系统配置及运用技术原则 (暂行) 【铁集成 (2007) 124号】
[3]douglas r.stinson."密码学原理与实践北京:电子工业出版社, 2003
[4]钟章队, 李旭, 蒋文怡.铁路综合数字通信系统 (GSM-R) [M].北京:中国铁道出版社, 2003.
信息化项目传输施工建设标准规范 篇5
版 次:1.0 1.0 目的
为了规范全业务信息化工程传输线路施工标准,提升全业务信息化工程实施过程各层级的组织管理,加强对施工质量的管控,杜绝出现遗留问题,出台本施工规范。2.0 适用范围
适用于中国移动通信集团四川有限公司眉山分公司在信息化项目传输线路部分建设。3.0 职责
3.1市公司网络部职责
3.1.1负责组织设计单位完成信息化工程传输部分工程设计; 3.1.2负责光缆物资采购;
3.1.2负责制定相关施工规范,上报相关开挖或附挂手续;
3.1.3按月对施工现场质量进行检查和通报,并对整改结果进行复查。3.2 政企部职责
3.2.1 负责与业主进行沟通协调工作; 3.2.2 负责跨部门协调工作。3.2区县公司职责
3.2.1 负责定期/不定期对施工现场质量进行检查; 3.2.2 负责指导监理单位对现场施工进行照片存档;
3.2.3 负责指导监理单位对设计变更及隐蔽工程进行签证记录。4.0标准、规范 4.1管道光缆敷设 4.1.1塑料子管敷设
4.1.1.1塑料子管的规格、程式、盘长、材质均应符合设计要求:子管内径为光缆外径的1.5倍,多根子管的等效总外径宜小于塑料管孔内径的85℅。
4.1.1.2敷放子管的穿拉用力要均匀,敷切顺直,多根子管按颜色顺序排队放,全径路统一,备用子管在手孔端口应加帽,塑料子管在手孔内应在PVC管外露10cm。4.1.2光缆敷设
生效日期:2013年3月26日
全业务信息化项目传输施工指导意见
版 次:1.0 人员到位、通信工具齐全、穿拉光缆用力适度均匀,光缆在手孔内预留及弯曲半径应符合规定,每个手(人)孔内光缆均需挂标志牌,标志牌注明起点、终点及光缆芯数。4.1.3光缆续接
4.1.3.1接续环境要干净整洁,且有工作棚,接续工具齐全、完好,接续人员持证上岗。4.1.3.2接头两侧预留符合规定,接头两侧预留光缆应挂标志牌,并注明端别。4.1.3.3光纤熔接全部达标,双窗口、双向衰减平均值符合要求。4.1.3.4光纤的收容和盘绕应符合规定。
4.1.3.5接头套管或接头盒宜挂在人(手)孔壁上或置于电缆托架上,安装要牢固,并在密封前要放入防潮剂,预留光缆应有保护措施。4.1.4光缆防护及终端
4.1.4.1光缆在引入室内前应做绝缘节,其外侧金属护层和加强芯应接地保护。
4.1.4.2光缆在引入室内外的预留应符合设计要求,光缆引上应采用保护管(距地面大于2.5m)保护。
4.1.4.3光缆在室内的终端接头及连接器的安装位置应符合要求。4.1.5光缆中继测试
4.1.5.1中继段光纤线路衰减平均值必须符合设计的规定指标。4.1.5.2中继段放光纤后向散射信号曲线应符合要求。
4.2直埋光缆敷设 4.2.1直埋光缆路由复测
4.2.1.1核定光缆路由走向及地面距离, 光缆路由具体走向,敷设位置、接头位置应安全可靠,并便于施工和维护,核实路由实际长度。
4.2.1.2核定光缆穿越各种障碍物的位置及其防护措施, 光缆穿越铁路、公路、河流、沟流、沟渠、地下其他管线的具体位置及其保护处理措施。
4.2.1.3直埋光缆与其他通信管线、电力缆线、各种管道、树木等建筑物的平行、交越最小净距要符合规定。
4.2.2直埋光缆单盘检验及配盘
生效日期:2013年3月26日
全业务信息化项目传输施工指导意见
版 次:1.0 4.2.2.1光缆单盘检验,检查光缆外皮无破损、端头包封良好,光缆规格、程式符合要求,端别、盘长标志清晰,光纤几何、光学和机械物理性能、传输特性符合要求。
4.2.2.2光缆单盘检验,光纤衰减常数、长度、光缆护层对地绝缘电阻应符合出厂标准。4.2.2.3光缆配置,根据单盘测试结果和复制资料选配单盘光缆、尽量做到整盘敷放,减少中间接头,接头位置应选在地势平坦、地质稳定的地点。4.2.3直埋光缆敷设
4.2.3.1光缆沟开挖, 光缆沟应顺直,沟深符合设计或规范要求,沟底应平整无碎石,石质、半石质沟底应铺10cm厚的细土或沙土。
4.2.3.2直埋光缆敷设, 用机械牵引时应采用地滑轮,用人工抬放时,用力适宜均匀,光缆不能拖地,弯曲半径应符合规定,光缆必须平放沟底,不得腾空和拱起,坡度大于20度且坡长大于30米时宜采用S形敷设。
4.2.3.3直埋光缆防护, 直埋光缆在特殊地段埋深达不到要求或穿越各类障碍物或与其他建筑物的净距达不到要求时应采用钢管或水泥槽或砂砖防护。4.2.3.4直埋光缆防护,光缆线路的防雷措施必须符合设计规定。
4.2.3.5直埋光缆沟回填, 光缆沟回填土应先回填15cm厚细土或碎土,严禁用石块、砖头推入沟内,回填土应分层人工踏平并应高出地面10cm。
4.2.3.6直埋光缆线路标石埋设, 标石的结构、埋设位置、埋设深度编号等应符合设计、规范要求。
4.2.4直埋光缆接续与安装 4.2.4.1光纤接续
4.2.4.1.1接续人员持证上岗,接续工具齐全、完好,接续环境整洁,有工作棚。4.2.4.1.2光纤熔接全部达标,双窗口,双向衰减平均值符合要求,接头衰耗平均值符合要求。
4.2.4.1.3光纤的收容和盘绕应符合规范要求。4.2.4.1.4光缆在接头出的预留应符合设计规定。
4.2.4.1.5光缆接头套管(盒)应放在接头坑内,接头坑的坑底应平整无碎石,应铺10cm 厚生效日期:2013年3月26日
全业务信息化项目传输施工指导意见
版 次:1.0 细土或沙土并踏实。
4.2.4.1.6接头套管(盒)在封装前要放入防潮剂。4.2.4.1.7光缆护层对地绝缘电阻应符合规范规定。4.2.4.2直埋光缆引入及终端
4.2.4.2.1光缆在引入室内前做绝缘节,其外侧的金属护套和加强芯应接地保护。4.2.4.2.2光缆在引入室内处的预留应符合 要求,光缆沿墙引上时,距地2.5m应用钢管防护。
4.2.4.2.3光缆的终端接头及连接器的安装位置应符合要求。4.2.5光缆中继段测试
4.2.5.1光纤中继段衰耗平均值必须符合设计规定的指标。4.2.5.2光纤中继段后向散射信号曲线应符合要求。4.3架空光缆敷设 4.3.1架空杆路复测
4.3.1.1核对杆路具体走向、电杆、拉线、(撑杆)埋设位置、杆高、杆距、拉线程式,光缆接头具体位置及杆路实际长度。
4.3.1.2核定架空光缆线路与其他设施、建筑物、树木的水平、垂直最小净距及处理措施。4.3.2光缆单盘检验及配盘 4.3.2.1光缆单盘检验
4.3.2.1.1核对单盘光缆的规格、程式、制造长度。
4.3.2.1.2检查外皮、端头包装、端别标志是否完好无损,检查光纤几何、光学和传输特性、机械物理性能是否符合要求。
4.3.2.1.3测试光纤衰减常数、长度及光缆护层对几绝缘是否符合要求。4.3.2.1光缆配盘
4.3.2.1.1根据单盘测试结果和路由复测资料选配单盘光缆,应尽量做到整盘敷放,以减少中间接头。
4.3.2.1.2接头点应选在杆上或电杆两侧各0.5-1.5m范围内。
生效日期:2013年3月26日
全业务信息化项目传输施工指导意见
版 次:1.0 4.3.3架空光缆线路建设
4.3.3.1杆路器材检验,电杆、拉线、钢绞线、挂钩等线路器材运输到位、检查无损伤。4.3.3.2杆路建筑
4.3.2.1.2.1电杆、拉线埋设位置、埋设深度、杆高、杆距等符合规定。4.3.2.1.2.2钢绞线架设位置及其垂度符合要求。4.3.2.1.2.3光缆挂钩的卡挂距离为50±3cm。
4.3.3.3光缆敷挂, 光缆布放应用滑轮牵引,光缆垂度及在杆上的预留长度应符合要求。4.3.4架空光缆接续 4.3.4.1光缆接续
4.3.4.1.1光缆接续环境,光缆接续部位、工具、材料应保持清洁。
4.3.4.1.2光纤的熔接须在有遮盖物的环境中操作,光纤熔接完成并测量合格后应即做增强保护措施。
4.3.4.1.3光缆接头的平均衰耗值应符合要求。
4.3.4.1.4光缆接头套管(盒)封装前应放入防潮剂和接头责任卡,光缆接头套管交越出应用胶管在杆上或吊绳上的固定位置,固定方式及光缆预留(或伸缩弯)应符合规范规定。4.3.5架空光缆的防护 4.3.5.1光缆防护
4.3.5.1.1架空光缆线路的防强电、防雷措施应符合设计规定,与电力线交越处应用胶管或竹片做绝缘处理,与树木接触应用胶带或穿管保护。
4.3.5.1.2光缆在引入室内前应做绝缘节,其外侧金属护层和加强芯及钢绞线应接地保护,光缆引上应采用保护管(2.5m以上)保护。
4.3.5.1.3架空光缆在“三线交越”处,必须用塑料保护套管进行保护,并对保护套管进行绑扎固定,挂警示牌,保护两端必须超出交越范围水平距离1.5米。4.3.5.1.4架空光缆过路处必须悬挂警示牌,并穿反光警示管。4.3.5.2光缆防护
4.3.5.2.1光缆引入室外内的预留应符合设计或规范的规定。
生效日期:2013年3月26日
全业务信息化项目传输施工指导意见
版 次:1.0 4.3.5.2.2光缆在室外内的终端接头及连接器的安装位置应符合要求。4.3.6架空光缆线路中继段测试
4.3.6.1光纤中继段衰耗平均值必须符合设计规定的指标。4.3.6.2光纤中继段后向散射信号曲线应符合要求。4.4标签规范
4.4.1标签的规格及使用
4.4.1.1要求使用经过UL-969标准认证的标签。线缆专用标签还要满足UL969标准所规定的清晰度、磨损性和附着力的要求。4.4.2标签说明:
4.4.2.1配线架到配线架(图一)上排代码表示跳线起始端(字体为4)中间 TO 表示去向(字体为2)
图一 A-00-08U-01 TO A-01-09U-22 下排代码表示跳线中止端(字体为4)4.4.3标签张贴方法
4.4.3.1 将标签字体部分绕线缆一周裹在线上,如图A
4.4.3.2将标签对折,使标签字体部分竖立在线缆一侧, 如图B
4.5安装其他要求:
4.5.1机房应保持干净、整洁,地面不应有剪下的线扣和螺丝及其它杂物。作废的包装箱等杂物应清除,安装剩余的备用物品应整齐合理堆放。4.5.2机房内严禁存放易燃易爆等危险物品。
4.5.3拆卸包装、插拔、安装使用工具符合防静电操作规范。4.5.4未使用的插头应进行保护处理,加保护帽等。
图B
Xxxxxxxxxxxxxx
Xxxxx
xxxxxxxxxxxxxxxx Xxxxxxxxxxxxxx Xxxxx
xxxxxxxxxxxxxxxx
调度自动化信息传输方式探讨 篇6
[摘要]随着变电站自动化系统的发展,变电站已经实现了少人值班或无人值班。因此,变电站运动系统运行可靠性及信息接入方式成为一个重要内容。采用传统的模拟方式传输远动信息,可靠性差,效率低,文章针对变电站远动系统采用的接入方式,合理运用现有通信系统的资源来实现无人值班变电站的可靠运行进行了探讨。
[关键词]变电站自动化无人值班调度自动化信息传输
1概述
随着光纤通信技术和网络技术的发展和应用,国内大多数变电站均具备了信息的数字化、光纤化、网络化传输。如何在现有条件下,实现变电站监控系统信息的数字化、网络化传输,提高传输质量、增强可维护性,是一个既现实又有意义的问题。
由于对电能质量和降损的要求越来越高,无人值班站越来越多地投入运行,监控人员对各站电压参数的准确性和实时性要求也越来越高了,从而电力系统对调度自动化系统的要求越来越高。而且,随着电力工业体制改革的进一步深化,电力市场的进一步探索,对电网调度自动化不断提出新的要求,电网的运行和控制越来越依赖于完善、先进和实用的调度自动化系统。同时,现代科学技术日新月异,许多新理论、新方法、新器件不断出现,也为电网调度自动化技术的不断进步和设备的不断更新提供了技术和物质的保证。利用模拟通道实施调度自动化信息接入,一是通道故障率和误码率比较高,影响了电力系统的稳定性。二是故障点比较多,而且难以判断故障情况,浪费了大量的人力物力进行维护,严重的影响了通信质量。三是与光缆通讯传输的模式不协调,浪费资源。采用模拟通讯传输速率一般最大应用到1200bit/s,而在数字通信方式下,应用到9600bit/s,使自动化系统信息传输速率增长了8倍,大大地提高自动化信息传输速率,从而大大地增强了调度自动化系统的实时性。
2现状分析
目前,许多变电站监控系统接入调度自动化主站系统的方式普遍采用模拟通道:即模拟四线E/M(MODEM)方式(如图1)。
模拟通信方式下带来的通道故障率高、误码率高、信噪比高等一系列信息接入方式中成为调度自动化的瓶颈问题,由于中间设备和接线过多且过于复杂,从而增加了故障点和维护的工作量,对于检修工作带来了众多的困难。
在此体系中,日常故障多发生在诸如调制解调器、配线柜、PCM终端、模拟通道等环节,故障类型如下:
(1)调制解调器需要对波特率、中心频率、通道类型等进行设置,它的故障主要分硬件和人为的原因。
①软故障。软故障是指这些网络设备的程序安装不正确或者版本陈旧,以及在操作系统中没有进行正确没置等原因导致的故障。
②连接故障。设备必须正确连接才能正常使用,导致连接故障的原因有各种连接线插反、近接线损坏、连接端口损坏或者接触不良等。
③硬件损坏故障。导致此类故障的原因主要是网络设备内部硬件损坏,或者自身质量不过关等。
(2)PCM终端的通讯维护的难点和重点,主要故障类型为:
①软故障。某一PCM系统与对端的相应系统的连接中,由于单板配置、数据配置、虚焊、光路中断或其它原因而导致的传输故障。
②连接故障。某一PCM系统与对端的相应系统的连接中虚焊、光路中断、接错线、手法颠倒等故障。
④硬件损坏故障。导致此类故障的原因主要是设备内部硬什损坏,或者自身质量不过关等。
(3)配线柜主要故障经常发生模块卡线松动、配线断路、接线人为错误等现象,而且提高了信号的信噪比,不利于信号的可靠传输。
(4)模拟通道:模拟通道中经常伴有噪音,致使通道误码率高,此种现象在自动化系统日常运行中经常发生。
以上故障点为调度自动化系统故障多发点,此种情况均在模拟通信条件下产生。为了上述实际问题,必须采用新的接入方式,来提高输出速度和质量,研究利用数字化、网络化通道实施调度自动化信息接入,满足现在自动化发展要求,实现整个地区级电网自动化的安全稳定,对电网安全优质运行意义重大。
因此,在此种情况下,我们提出采用数字通信方式取代现有的模拟通信方式,将PCM终端、配线架、调制解调器用协议转换器替代,这样大大减少了自动化运行中的故障点,从而使自动化系统更加安全、稳定运行。3新方案模式分析
结合目前调度数据网建设(见图2)和数字接口转换技术组成双通道,为自动化系统保驾护航。调度数据网络传输的信息一般采用104规约,数字接口通道采用常规串行口模式,一般采用101规约,双通道、双规约组成不同的信息传输模式。
调度数据网方案作为自动化系统主通道,由SDH传输设备引出的(4×或1×)2M信号给外设的协议转换器,由其处理成10 Mbit/s以太网数据信号。目前,许多供电公司组建了变电站光纤网络系统,以两个独立的光纤网络实现了各变电站与调度自动化的SCADA系统、配网自动化系统的连接及与公司局域网MIS系统网络的连接,并采用分别组网的方式实现了物理隔离。这些完善的网络环境为IEC-104规约的实施建立了良好的基础,要求最终实施各变电站到集控中心;变电站到地调;集控中心到地调基于光纤以太网的IEC-104规约通信。
常规串行口的数字接口通道模式为备用通道,其充分利用RS232接口与E1接口互转和光纤通讯技术,厂站端将远动设备远动机与RS232/E 1协议转换器通过RS232接口互联,采用9600bit/s传输速度取代现有600/1200bit/s传输速度,RS232/El协议转换器采用El出口传输至通信设备,采用数字通道传输,结合数字通道的改造,充分利用光纤通讯技术简化自动化系统,监控中心增加一个155M的光端机,对上直接与通信光端机通信,对下分为64个2M的E1接口,主站端将输出的2M通信线缆接入至E1/RS232协议转换器的E1入口,E1/RS232协议转换器与串口服务器直接进行串口通信,从而接入前置系统。
4结束语
用数字化通信方式取代现有的模拟通信方式是大势所趋,是技术发展的一个必然的成果,为自动化系统解决了诸多的瓶颈问题。
(1)实现系统网络传输,提高工作可靠性,增加系统传输容量,增加安全可靠性,大大减少了通信传输中的误码率,从而使自动化信息更加准确。
(2)减少中间设备转接点,提高通信质量,增强信道传输稳定性。减少了信息接入过程中的故障点,并且是故障多发点,大大减少了自动化人员对于设备的维护量,使自动化信息传输更加稳定。
(3)便于自动化系统监测维护,使自动化系统故障分析更加准确、便捷、快速,为调度系统的安全运行提供保障,减少电力事故。
(4)提高了传输速率和通道利用率,由于采用数字通信方式,因此在传输速率上比起模拟通信方式将有成倍的增长,原始的模拟通信方式,传输速率最大应用到1200bit/s,而在数字通信方式下,可采用9600bit/s,使自动化系统信息传输速率增长了8倍,大大地提高自动化信息传输速率,从而大大地增强了调度自动化系统的实时性。
(5)减少了大量的设备和接线(甩开PCM、modem等设备),合理的使用了资源,有力的降低了资金的投入。
(6)有利于系统的可扩展性和增容性。
(7)光端机网管软件的开通,对网元的配置有利于通道的维护;对设备性能进行管理和统计,有利于设备的状态检修。
信息传输安全论文 篇7
1.1 模型的体系结构
模型的组成部分包括安全体制,网络安全连接及数据传输,密钥管理三部分。模型的体系结构如下图所示:
本模型的密钥管理采用自产生密钥的分布式KDC方案。在本方案中,密钥由工作站或用户自己产生,由KDC管理用户的公钥。给每一个局部网络用户群安排一个KDC,称为本地KDC,由它直接对用户群进行管理。当局域网与局域网相连时,对这些本地KDC又进一步组织,形成树型层次结构,如图2所示:
图2中,叶节点表示用户或称为工作站,每一个KDC可以包含下一级KDC和用户,下一级KDC对上一级KDC而言,和普通用户一样处理,有同一个上级的KDC称为同级KDC。
1.2 模型安全功能所在的网络层次
Internet采用TCP/IP协议。由上而下采用四层结构,分别为网络接口层、网络层、传输层和应用层。本模型的安全功能建立在传输层上、应用层下,基于TCP进行面向连接的传输,为其它应用程序提供一个安全接口,也就是说,独立于任何协议,在TCP层与应用层之间增加———“安全层”,如图3:
图3中,如果客户程序有服务请求,该请求先经安全层加密,再经TCP/IP网络传输到服务器,经安全层解密后,再由服务器响应请求。服务程序传送的有关数据也是先经安全层加密,到了客户端由安全层解密,然后才由客户程序接收。这样,上层的应用程序之间的通信还是采用原有的协议,无需修改协议本身,所有的加密/解密工作都由安全层来处理,实现了安全功能的平滑引入,同时,用户的所有操作都是透明和无缝的。
1.3 模型工作流程
(1)双方公钥的获得
用户A欲与B通信时,首先需要知道B的公钥,图4是具体描述模型在产生密钥的分布式KDC环境中获得公开密钥的过程。KDC的逻辑结构如图4所示:
A首先向本地KDC发送公钥申请报文,KDC在本工作站地址表中查找B的地址。如找到,说明A、B处于本地KDC管理的同一用户群中。此时,KDC向申请方A发送回复报文,给出B的公钥,同时也将A的公钥发给B。
如KDC在本工作站地址表中没有查找到B的地址,说明B为其它群的用户。此时,A获得B的公钥的过程描述如下:
(1)A向KDC1申请非本地通信;
(2)向KDC1查看公钥申请是否与本KDC同一上级的KDCi有关,无关则向上级KDC(KDC2)传递请求;
(3)KDC2收到下级的传递公钥请求,同(2)处理,例中找到KDC3则向其传递请求;
(4)KDC3收到请求后,查看B是否是直接管理,不是则找到相应的下级KDC4;
(5)KDC4收到请求,同(4)处理,发现B是直接管理,则把公钥信息发给KDC1,同时,KDC4把接收到的公钥申请报文中的A的公钥发给B;
(6)KDC1把B的公钥信息发给用户A,自此,A与B可相互通信。换行在以上的获得公钥的过程中,公钥申请在KDC之间逐层传递,一直找到直接管理欲通信对象的本地KDC为止。通信双方获得了对方的公钥后,就可以进行通信连接的建立和数据的传输了。
(2)安全连接的建立
为了进行双方的身份认证,发起方A和响应方B之间采用公开密钥体制传送认证信息,完成三次握手的认证过程。采用公开密钥体制的前提是双方都己获得了对方的公钥,通过上一步,正好完成了双方公钥的互递。发起方A和响应方B之间的三次握手过程如图5所示:
首先,发起方A产生随机数Rl,R2,用自己的私钥SKA对Rl加密得到ESKA(Rl),用B的公钥PBK对R2加密成EPKB(R2),发送ESKA(R1)和EPKB(R2)。
然后,收方B接收到ESKA(R1)和EPKB(R2)后,用A的公钥PKA解密ESKA(R1)成DPKA(ESKA(R1))=R1,用自己的私钥SKB解密EPKB(R2)成DSKB(EPKB(R2))=R2,产生随机数R3,用A的公钥PKA加密(R1⊕R2)成EPKA(Rl⊕R2),再用自己的私钥SKB加密R3成ESKB(R3),发送EPKA(Rl⊕R2)和ESKB(R3)。
最后,A方用私钥SKA解密EPKA(Rl⊕R2),再用B的公钥PKS解密ESKB(R3)成R3,检查解密EPKA(Rl⊕R2)的数值是否为(R1⊕R2),正确就用B的公钥加密R3成EPKB(R3),并发送EPKB(R3),否则说明B方出错或不是A真正想与之通信的B,报错并断开连接。B解密EPKB(R3),检查解密后的数值是否为R3,正确,说明A的身份正确,连接建立成功,否则,断开连接,释放套接字。
至此,A,B双方的身份认证完成。如双方认证成功,安全连接便随即建立。本模型采用两个随机数,一个用于加密,一个用于签名,实现既加密又签名。用对方公钥加密,保证只有合法的接收者才可用自己的相应私钥从密文还原出原文;而用私钥签名,对于接收方来说,又能确定消息的来源,因为私钥是签名方所专有的。通过以上的三次握手,从而能够将签名人与他声称具有的身份和公开密钥对应起来,完成双方的身份鉴别。双方的安全连接一旦建立,就可以进行数据的安全传输。
2. 本模型的实现
根据模型的体系结构和所要完成的功能,模型实现主要包括安全体制、数据传输和密钥管理三部份。
2.1 模型安全体制中的主要算法原理
本模型的安全体制是一个混合密码系统,它主要包括四个重要的密码单元,即双钥密码、单钥分组密码、单向杂凑函数和一个随机数生成算法。通过比较双钥体制和单钥体制自身的优点和缺点,以及双钥体制和单钥体制在实际运用当中的优势和劣势,在模型中采用混合密码系统,以便能使两种密码体制取长补短,优势互补。
基于对两种密码体制的综合考虑,在模型的实现中,公钥算法采用RSA算法,单钥加密算法采用DES的改进算法——三重DES,其工作模式均采用密码分组链接CBC模式,杂凑算法采用MD5(其中同时也保留了DES和MD2,MD4算法,这几种算法可在数据安全性要求不太高,而数据处理速度要求较快的时候选用)。这些算法都包装在一个动态链接库Crypto.dll中,形成一个安全算法库。
2.2 数据通信的实现
模型的另一主要部分是数据通信,对于数据通信,采用面向连接的TCP协议而不是面向非连接的UDP协议,这主要是因为采用的加密算法都是分组密码而不是序列密码。序列密码按单个字符(或位)处理,传输中的误码只会影响某一单个字符(或位),不会有错误扩展的情况,而分组密码在信道上传输时,一个信息错误就将直接导致一个分组的错误。基于这一考虑,应该选择能够提供通信可靠性的TCP协议。本安全传输系统基于Windows平台,所以采用windows Socket建立Windows环境与网络之间的编程接口也就理所当然了[1]。
在VC++环境中,实现数据通信主要利用MFC中的CSocket类,分别在客户端建立发送套接字,在服务器端建立侦听、接收套接字。当然,这里的发送、接收是相对于网络上传送的密文数据而言的,客户端服务器端的套接字实际上既可发送也可接收数据,客户端和服务器端的数据通信过程总体框架如图6所示:
在客户端,生成一个从CSocket类派生的CRequest Sock类,该类的主要作用是向服务器端发送密文数据以及接收服务器的反馈信息。
在服务端,生成一个从CSocket类派生的CListening So Ck类,该类的主要作用是侦听信道,为每一个客户端套接字的连接请求建立一个相应的接收套接字,并将它放入一个连接套接字队列中,再生成一个从CSocket类派生的CClient Sock类,接收从客户端发送……来的密文数据并加以处理。
传输数据文件时,发送方首先将用户的标识、加密本次数据文件一次性对称密钥及其初始向量、所发文件的名字、长度和属性等信息一起封装后发送。接受方在获得这些信息后,连续接受数据包,用事先接收到的数据文件长度作为判断数据接收完毕与否的依据。
2.3 密钥管理的实现
在模型工作流程中描述了KDC的结构和查询公钥的过程,并指出KDC的每个节点表示一个密钥管理中心,处理一个子域的用户公钥,负责存储、管理本地所有用户的公钥表。
接下来描述KDC的每个节点之间的寻址方法和注册、查询与注销公钥的实现。
每个KDC维护KDC地址表,供KDC之间寻址用,本地工作站还维护用户地址表和用户公钥表,用户地址表用来存放己经注册的本地用户地址表,用户公钥表用来存放本地用户的公钥,形成用户公钥数据库,供查询用。维护KDC地址表,可以采用管理员在系统初始安装时配入系统,实行固定路由的方案。用户地址表和公钥表由KDC收到相应的报文后动态维护。下面描述实现密钥管理功能所使用的报文类型,通过这些报文的发送和传递,KDC运行相应的操作从而完成整个密钥管理功能:
(1)用户注册:用户的第一次登记即注册很重要,需要采用比较严格的手段来进行第一次登记的身份鉴别。用户的合法性由用户第一次在KDC处登记所留的印签来保证,此过程由管理员来把关完成。
(2)查询公钥:A欲与B通信,需获取B的公钥,称A为发送方,B为接收方。A向本地KDC发送申请公钥报文。
(报文类型,EPKKDC(DSK(接收方标识,PK,T)))
EPKKDC表示用本地KDC的公钥加密,DSK表示用发送方的私钥签名,PK表示查询发送方的公钥,T为时戳。
(3)公钥回复:(报文类型,EPK(DSKKDC(接收方标识,PK,T/F,T)))EPK表示用KDC的公钥加密,DSK表示用发送方的私钥签名,PK接收方的公钥,T/F:查询成功与否的标志,T为时戮。
(4)注销报文:(报文类型,EPKKDC(DSK(T)))
EPKKDC表示用本地KDC的公钥加密,DSK表示用发送方的私钥签名,T为时戳。
(5)注销回复:(报文类型,EPK(DSKKDC(T/F,T)))
EPK表示用发送方的公钥加密,DSKKDC表示用KDC的私钥签名,T/F是查询成功与否的标志,T为时戳。
通信双方可以利用KDC进行公钥的传递。对于自己产生的私钥的保存,用户在本地用加密形式存储。难以记忆的RSA私钥用较为易记的加密密钥采用DES算法(或其改进算法)加密后存入硬盘。用户使用该密钥时,只需持较为易记的DES密钥,运行解密程序将其恢复,此DES密钥相当于用户口令,而其它无此口令的用户就不可能知道其私钥。自己的公钥和从KDC获得的其它用户的公钥可以统一保存在一公钥环中,此公钥环就象我们平时使用的钥匙环,从上面可以方便的找到需要的钥匙,这样的话,就相当于有了一个公钥CACHE,不用每次都从KDC查询,但同时要保证其中的公钥不被第三方所替换。
3. 模型特点
3.1 全高效的混合密码系统构成模型的安全体制
在模型安全体制中,RSA,DES和MD5的有机组合,安全高效地实现了数据加密,数字签名等功能。
通过DES和RSA这种对称和非对称算法的结合,用RSA方式加密和传递用于通信的DES方式密钥,不需要在通信前进行会话密钥的秘密发送;所有密钥的保密管理与RSA方式相同,只对一个解密密钥进行保密管理;加解密的处理速度大体上与DES方式相同,即用耗费时间的RSA方式处理的仅仅是OES方式的会话密钥,如通信数据很多,相对而言利用RSA方式处理数据耗费的时间可以忽略不计;由于利用然A方式发送会话密钥,所以也可以必要时用来对会话密钥进行数字签名。总之,这种结合兼有两种密码体制的优点:加解密处理速度快;不需要进行密钥秘密分配且保密管理的密钥量少。
3.2 简单、安全的一次会话密钥方式
一般的保密系统在数据传输之前,通常要执行交换会话密钥的握手协议,本模型中采用一次会话密钥方式,即每次对数据加密都随机产生不同的会话密钥跟随数据一起传输,这样就避免了执行交换密钥的握手协议,且即使会话密钥泄露也不会对以后的数据保密性构成威胁,从而提高了安全性。另一方面,当本次通信完毕后,会话密钥随即销毁,不必进行保存和管理,这样就简化了密钥的管理。
参考文献
[1]卢开澄.计算机密码学[M].北京:清华大学出版社,2007.
[2]Jess Garms,Daniel Somerfield.Java安全性编程指南[M].北京:电子工业出版社,2005.
[3]袁泉,吴静等译.Java安全解决方案[M].北京:清华大学出版社,2006.
信息传输安全论文 篇8
1 半自动闭塞站间控制信息传输方案的提出
现有单线铁路行车闭塞方式一般采用继电半自动闭塞, 相邻两站间的半自动闭塞控制信息传输通道采用架空明线 (或电缆) 传输通道虽然电路构成比较简单, 但是由于架空明线存在线路电阻大、容易遭受雷击、易断线混线等缺陷, 发生故障几率较大, 容易影响半自动闭塞系统的正常工作, 对行车运输安全影响很大, 干扰了铁路运输秩序。
利用光通信技术实现站间安全信息传输在铁路信号系统得到初步运用。2010年, 为规范产品结构和应用方式、统一技术标准, 保证信息传输的安全性及可靠性, 原铁道部特制定《基于光通信的站间安全信息传输系统应用技术条件 (暂行) 》 (运基信号[2010]537号) , 该技术条件明确提出适用于运行普速列车且列车时速为160公里及以下的半自动闭塞或自动站间闭塞区段、站间或场间联系的安全信息传输。
鉴于以上原因, 使我们研究站间安全信息传输设备有了依据和标准。随着光通讯技术的迅速发展, 安全信息传输设备控制系统的研制改进, 安全信息传输控制系统在铁路建设中得到了广泛的应用, 并且随着铁路建设的发展, 车站间的多通道光缆通讯已经形成, 为站间安全信息传输利用光通讯技术来实现提供了条件。为满足铁路运输安全可靠、提高效率的原则, 单线铁路应尽量采用先进技术, 构建安全、快捷、现代化铁路。
2 闭塞安全信息数字传输的技术条件
采用站间安全信息传输设备通过光纤通道来传输站间半自动闭塞控制信息需满足以下技术条件:
1) 应满足中华人民共和国铁道行业标准TB/T2615-94《铁路信号故障—安全原则》。
2) 应满足中华人民共和国铁道行业标准TB/T2497-94《铁路半自动闭塞技术条件》。
3) 应不改变半自动闭塞的办理方式。
4) 应满足《基于光通信的站间安全信息传输系统应用技术条件 (暂行) 》 (运基信号[2010]537号) 。
5) 安全信息的传输应满足原铁道部颁布的《铁路信号安全通信协议技术规范》 (运基信号[2010]267号) 的规定。
3 半自动闭塞站间控制信息传输方案的原理
3.1 半自动闭塞线路继电器电路原理
见图1所示。半自动闭塞的站间信息传输与交换是线路继电器电路利用架空明线 (或电缆) 中的两芯 (X1、X2) 来实现的。正线路继电器 (ZXJ) 和负线路继电器 (FXJ) 均为偏极继电器, 当甲站的正电继电器 (ZDJ) 吸起, 通过X1和X2将正脉冲信息传输至已站, 使乙站的正线路继电器 (ZXJ) 吸起;当甲站的负电继电器 (FDJ) 吸起, 通过X1和X2将正脉冲信息传输至已站, 使乙站的负线路继电器 (FXJ) 吸起。同理, 乙站利用正 (负) 电继电器传输正电脉冲信息使甲站的正 (负) 线路继电器吸起。
3.2 半自动闭塞控制信息数字传输原理
半自动闭塞站间改用光纤传输通道, 增加站间安全信息传输设备、通信接口转换设备。由于光纤传输通道传送的是光信号, 必须将模拟信号转化成数字信号才能实现通过光纤传输, 首先需要将半自动闭塞控制信息从模拟量转换为开关量, 站间安全信息传输设备采集开关量信息并转化成数字信号, 站间安全信息传输设备对此数字信号进行编码处理, 然后传送到邻站, 经过邻站站间安全信息传输设备进行译码后驱动继电器动作, 将模拟信号还原到邻站的半自动闭塞接收电路中, 从而完成站间信息的传递和电路控制。
见图2所示。传输设备采用双机热备冗余结构, 系统的主、备机同时工作并行输出, 共同驱动输出继电器, 站间传输通道采用专用光纤通道或专用2M通道, 提高系统的可用性。通过继电器接口或通信接口采集本地继电器条件, 通过两站间的通信通道将信息传输到对方站, 同时接收对方站传来的信息, 并通过继电器接口或通信接口输出接收到信息。
4 系统方案的实现
目前, 实现半自动闭塞站间控制信息的数字化传输的系统方案有两种。一种是闭塞外线取消;一种是原有闭塞外线保留作为光通道备用。
4.1 方案1
见图3所示。线路继电器电路中的正线继电器ZXJ和负线继电器FXJ仍保留。按照运基信号[2010]537号规定, 对于半自动闭塞控制信息传递, 安全信息传输设备采集ZDJ和FDJ吸起条件, 并通过站间光通道传送给邻站安全信息传输设备, 并直接驱动对应ZXJ或FXJ。完成闭塞控制信息电转光、光转电的传递。
4.1.1 传输设备需采集的信息
1) 采集同一个继电器的2组前接点, 当2组接点状态一致时, 判断继电器吸起状态正确。否则判断继电器为落下状态, 传输设备发出报警信息。
2) 采集由传输设备驱动的继电器前接点, 若回采的结果与传输设备驱动状态不一致时, 传输设备发出报警信息。
4.1.2 传输设备驱动
传输设备1和传输设备2分别驱动正线继电器ZXJ和负线继电器FXJ的2组线圈。
4.2 方案2
见图4所示。将原有闭塞外线保留, 增加通道切换装置, 当站间安全信息或通道故障, 可通过人工切换回闭塞外线, 保证半自动闭塞电路的正常工作。
见图5所示。在本站增加两个继电器 (LZDJ和LFDJ) , 即邻站正电继电器和邻站负电继电器, 站间安全传输设备通过对ZDJ/FDJ的接点状态进行采集并转换成数字信号, 经过信息编码后, 通过光纤数字通道传送到对方站的站间安全信息传输设备, 译码后驱动LZDJ或LFD继电器 (邻站正电继电器或邻站负电继电器) , 通过LZDJ或LFDJ的吸起, 将正极性电压或负极性电压使ZXJ或FXJ励磁吸起, 完成半自动闭塞站间信息传输过程。
5 站间通信采取安全措施
由于铁路信号联锁关系的正确与否直接关系到列车运行安全, 需要将利用实回线来传输半自动闭塞信息的方式改为数字化传输方式, 为保证数字化传输信息的准确性、可靠性, 对数字化传输设备提出更高的要求。
站间安全信息传输是基于站间光通信通道进行数据通信, 铁路站间光通道属于封闭式铁路专用网络。
5.1 封闭式传输系统中通信可能发生的问题
1) 数据帧重复;2) 数据帧丢失;3) 数据帧插入;4) 数据帧次序混乱;5) 数据帧错误;6) 数据帧传输超时。
5.2 接收方设计的保护算法必须对接收到的信息做出以下检查
1) 发送方的身份信息 (真实性) ;2) 信息帧的正确性 (完整性) ;3) 信息帧的时效性 (时限性) ;4) 信息帧序列的正确性 (次序性) 。
5.3 采用的安全防御技术
1) 采用时间戳技术;2) 超时检查措施;3) 源标识符SID识别技术;4) 接收错误时反馈消息;5) 32位CRC循环冗余校验码和32位系统检测字双重校验措施。
站间安全信息传输设备通信接口协议满足《铁路信号安全通信协议技术规范》 (运基信号[2010]267号) 中《铁路信号安全通信协议-I》的规定。保证了通过其传输的站间安全信息的准确、安全、可靠, 符合系统安全性的要求。
6 结束语
对既有运营铁路单线区段进行半自动闭塞传输方式进行改造, 是立足现实情况, 在保证安全的前提下, 提高运输效率, 适应运输需要的必然要求。基于光通信技术的站间安全信息传输取代了传统的以电缆来传输两站间安全信息的方式, 可提高系统的可靠性, 是铁路信号系统的一项新技术, 运用前景可观。
摘要:利用实现半自动闭塞控制信息的数字化传输是充分利用站间通信资源, 优化既有设备技术性能, 提高设备稳定性和扩展能力的创造性方案, 通过对既有半自动电路改造, 利用先进的光纤通信数字传输技术, 将传统的继电电路与数字通信有机结合, 实现控制信息的数字化传输。
关键词:站间安全信息传输,半自动,闭塞,数字化传输
参考文献
[1]王学军.站间安全信息传输实现方式浅析[J].科技传播, 2011.
[2]运基信号[2010]537号《基于光通信的站间安全信息传输系统应用技术条件 (暂行) 》[S].2011.
信息传输安全论文 篇9
在信息技术发展日新月异的今天, 移动信息设备在人们的生活之中得到广泛的普及, 因此无线网络 (WLAN) 随着移动信息设备的壮大而得到飞速发展。在教育、企业、医疗、军事、旅游等领域无线网络的出现在一定程度上提高了人们工作效率, 方便了人们生活。
1.1无线传输技术
无线传输中无线射频识别技术又称为自动ID识别技术, 通过无线射频自动准确的捕捉目标唯一标签ID, 并通过互联网云端数据处理分析, 获取准确、实时的信息, 数据标签在一定条件下不能被温度、湿度影响, 数据的更改存储较为方便快捷, 数据存储量大。
1.2 无线射频传输基本工作原理
链接读写器与标签之间的无线通信通道主要分为三种:数据交换;时序;能量。当读写器在工作范围内呗激活时, 数据能量通过电磁信号被读写器接收并双向作用于所存储的数据, 同时具备改写能力。
1.3无线传输的意义与内涵
信息产业在经历3次技术浪潮之后, 以感知为核心、实现物与物、人与人、物与人之间关联的综合信息系统——物联网出现使得数据感知、无线数据传输、信息智能化处理等技术得到迅猛的发展。其中, 国际上不少国家已经把无线传输技术提升到战略高度, 投入庞大资源来深入研究并普及, 无论国家政府, 还是学术、企业, 都涵括在区域化的信息之中。无线传输要通过传感器进行数据的收集、并通过与互联网相连进行信息处理, 讲一个个完整的小范围的网络进行识别。无线射频识别是无线传输的核心技术, 用来实现人机交互, 例如:防伪商品、身份识别、电子票证等有有应用到。
2 互联网无线网络的组成
互联网范围内的标签数据在互联网中相互“交流”, 得益于RFID技术。数据标签存储数据信息, 传感器工作自动接收存储至网络中央处理系统, 识别分析信号;另外还能通过网络共享和交换信息, 扩大云端计算处理, 以及信息存储能力, 更有利于互联网的发展壮大。无线网络依托互联网的拓展将系统分为物理、逻辑两个空间。
2.1 物理空间
互联网所谓的物理空间其实是有传感器、微型计算机等物理硬件组成的, 通过物理上的部件组成, 使得虚拟网络得意更生动形象的呈现, 同时虚拟网络以物理基础为支持进一步拓展功能, 人机交互也需要实体界面, 实现人工智能。
2.2逻辑空间
逻辑空间意义上属于互联网的虚拟网络端部分, 是链接数据与用户的桥梁, 离不开数据标签层、读写器层、应用层、互联网层与通信层的构成。
1) 无线射频的识别所接收的是物品所烙印的标签, 就比如物品的标价, 材料等物质信息都储存在标签多特定的标签当中;
2) 读写器层工作的运作以来数据无线射频模块和数字信息处理单元, 读写器工作包括信号解码, 在低误码率的传输过程中调整并处理, 通过云端网络计算能力处理所接收的信号;
3) 通信层是虚拟网络的实体化表现, 是数据标签层与读写接收层的桥梁, 是完成数据通信读取信息的基础;
4) 互联网层是读写接收层对数据的保存与应用的部分;
5) 应用层, 总的来说在数据透明化管理的条件下, 是任何数据的操作平台, 是用户反馈标签信息的系统。
3 无线传输网络安全分析与措施
随这信息技术的发展, 无线网络的应用不断涌现, 普及范围变广, 人工维护工作量加大, 智能化处理系统以及神经网络加入到互联网, 传统的网络安全措施已经无法满足现阶段的互联网信息安全需求, 在网络用户端隐私性的前提下, 攻击者通过非法跟踪标签信息, 对读写器进行非法通信。
3.1安全问题因素分析
1) 存储空间。标签的特定性, 导致标签容量单一且唯一。虽然一定程度上减少了数据计算的强度, 但标签本身不具备任何安全保障措施来保证自身安全, 导致标签数据信息遭到非法改写甚至删除。只有标签数据能保证安全完整、真实有效, 安全性才能得到保障;
2) 网络。网络自身的脆弱性在一定程度造成了整个互联网的安全隐患。在标签数据在虚拟网络中传输, 没有任何物理层构成, 使得作用范围、数据计算能力、节点能量受限, 工作强度一旦高于自身网路的负荷上线, 就会出现数据丢失。
传统互联网网络层与应用层相互独立, 但是互联网则恰恰相反, 二者相互依存, 一损俱损, 导致一旦任何问题出现, 互联网的安全都难以得到保障, 这也使信息隐私安全制约了互联网的发展。
3) 用户非法访问。无线网络的开放性是其优势之一, 同时也是其最容易收到网络非法攻击的一点。开放式的访问导致网络传输中的信息容易被第三方获取, 拦截、篡改, 三方用户访问网络资源同时也对无线信道资源进行了非法占用, 损害了其他用户正常访问的权益, 降低网络服务质量。
4) WEP加密协议破解。WEP作为叫基本的保密协议, 虽然能够阻挡低程度的非法访问, 但是在网络技术发展的同时, 较低级的保密协议无法完全保障用户数据, WEP密钥的回复较为简单, 进行少量数据收集、分析, 就能够解密WEP密钥。
5) 地址协议 (ARP) 攻击。第三方非法用户操作, 通过网络监听截获并篡改信息, 利用信息物理MAC地址, 对计算机发送错误的伪ARP答文来欺骗主机, 导致正确的信息无法到达目标主机出, 形成ARP欺骗。
6) AP服务攻击。AP端攻击是对网络进行巨大损害的攻击方式, AP服务为数据发送提供资源, 非法用户则通过不停对AP服务资源进行转发, 反复占用, 消耗资源, 使得AP无法对其他端进行服务发送。
7) 网络体系的攻击。在高程度的非法攻击面前, 不仅仅针对用户端口服务信息的截取与篡改, 高级攻击者通过各种安全漏洞, 打破整个区域无线网络体系与有线网络体系的有机结合, 阻碍局域网与互联网的信息交互, 甚至造成更严重的后果。
3.2安全优化措施
保证互联网稳定安全运行是互联网发展的前提, 因此目前针对信息传输安全的手段如:在网络基本指令中设立Kill指令、屏蔽除标签意外任何数据的传输;在安全协议层上通过信息加密、哈希锁进行用户协议保护。
1) 防标签频率检测。法拉第网罩模仿法拉第电磁笼将传导材料构成容器, 屏蔽容器外的电磁信号, 使得干扰信号无法进入, 将标签数据放入其中, 使得任何非法检测跟踪无法实现;设置干扰信号, 破坏对读写的操作;数据标签碰撞, 使得非法获取的标签数据都是靶数据, 保护真正数据标签;
2) 设定标签识读范围和强度。缩小读写器工作范围, 减少被攻击目标;
3) 安全协议认证。Hash-Lock协议能随机询问标签应答, 不断动态刷新标签, 交换信息, 还有双向认证协议、LCAP协议等, 创建随机伪函数认证, 另外还有密钥的保护Hash锁、Hash链;
4) 系统端口。读写器与数据处理系统借口采用相互认证的方式, 进行保护, 防止假冒接口;
5) 信息传输安全。互联网上储存了大量数据, 用户隐私、商业机密均在其中, 保证信息数据安全目前传统的方法是使用虚拟专用网络上的网络安全传输层协议来保证RFID上的相关信息的安全性。
4 总结
互联网所带来的信息浪潮, 暗流涌动, 互联网带领人们认识身边更广阔的世界, 拉近世界的距离, 帮助人们解决生活中的许多问题, 然而任何事物所具有的“两面性”在互联网身上鲜明的体现出来, 科学技术的发展, 人类生产方式的进步、社会组织形态的蜕变都在信息技术发展的环境中演变着, 在这样的前提下, 更加需要促进网络信息技术的健康发展。
参考文献
[1]孙培彦, 影响RFID数据安全的因素分析[J].电脑开发与应用, 2009, 22 (5) .
[2]马建峰, 吴振强.无线局域网安全体系结构[M].北京:高等教育出版社, 2008.
信息传输安全论文 篇10
做好设备维护工作是提高安全传输和技术指标的有效途径
目前多数广播电视台使用模拟和数字设备,其中设备都采用主备波道自动切换的方法,对正在传输的系统进行维护,同时还配合其他技术部门进行系统各项技术指标测试,随着电视技术的快速发展,新的设备不断出现。新设备的熟悉和维护需要定期对传输系统进行测试,并认真分析测试结果。这样才能找到新设备的优缺点,熟悉新设备的使用方法和各项性能,还要注重传输系统的技术改造工作。
广播电视播出系统维护方法
1定期维护。
定期维护的目的是把问题消灭于萌芽状态,防患于未然。要根据实际的工作情况对设备定时定点地进行检查和巡视。检测是这项工作的重点,要做好详细的检测结果记录,并同设计值相比较,从而对系统做出主观性的评价。
2不定期维护。
不定期维护是定期维护的补充,也是必不可少的维护手段,定期维护会导致维护时间之外的盲点,这就有可能发现不了一些可能发生的问题。而不定期维护可以一定程度上扫除定期维护的盲点,排除突发性的故障,并多这些故障及时进行检查处理。
传输设备的维护处理
1一般情况来讲,对于环境的要求,现代传输设备表现的更为苛刻。首先要确保设备运行环境的良好。包括机房环境的湿度、温度,供电设备质量的好坏以及防尘等设备是否同要求相符。现代传输设备的科技发达,性能良好,但是一般对环境的要求比较高,所以对新设备,要确保环境符合要求,操作符合规范。
2在定期、不定期检查中,光靠工作人员的感觉经验是不够的,要善于利用高科技手段的监测检查设备,不仅做到检测出问题,还要做到对可能出现的问题的预防和提早解决。
3在处理故障和检查设备时,很多工作需要工作人员亲手操作,有些工作是比较危险的,这就要求工作人员特别注意某些危险设备,特别是应对静电和不能带电拔插设备,在进行操作和检查时应先拔电源,工作中佩戴防静电工具。
4在经济条件允许的情况下,要备份易坏易损的插盘和插件。对于设备电路故障的处理的方法主要更换故障插盘和插件。机盘装配密集、集成度高、导线细,维修难度较大,所以在很多情况下无法自行修复,很容易会导致设备的损伤,在维修时要有专业的技术人员进行操作。
5广播电视传输设备的一些功能需要靠软件来加以实现,在传输设备当中软件技术的作用越来越重要,要充分发挥应对网络管理系统的作用。利用网络、软件的功能来进行故障检测、故障定位及故障类型判断等,可以有效的进行设备维护和故障处理。
设计规划,加强基础设施建设
为确保广播电视信息传输安全,党中央、国务院就加强广播电视设施建设管理做出了重要指示,必须采取以下措施:
1广电部门和建设部门要积极配合协调,共同做好城市有线广播电视传输覆盖网缆线入地工作,缆线敷设要逐步由架空方式改为管沟敷设或直埋方式。广电传输的建设和规划事关国家信息安全,同时也是基础建设的一部分,所以相关部门要积极沟通,协力合作。
2广播电视部门在建设当地有线广播电视传输覆盖网设施前,首先要编制本地有线广播电视传输覆盖网路由规划,报当地规划行政主管部门批准后,纳入本地有线广播电视传输覆盖网总体规划。
3城市规划行政主管部门要高度重视有线广播电视传输覆盖网的建设和有线广播电视传输安全,尽快批准本地有线广播电视传输覆盖网路由规划,同时在制定各类管线的专项规划中统筹考虑,合理安排。路由规划经批准后,各地城市规划局要将其纳入城市规划,对有线电视光缆、电缆的埋设位置予以保护。
4新建、改建和扩建城镇住宅小区,要按照当地有线广播电视传输覆盖网的要求配套设置有线电视设施,要将小区内的地下管孔、墙内暗管及配套电源等列入建设项目的设计文件,并与建筑主体工程同时施工。
5城镇住宅小区工程总体验收项目中应包括有线广播电视设施的验收。有线广播电视设施测试验收工作由当地广播电视部门组织,验收结论作为整个工程验收的一部分。验收合格后,向当地广播电视部门办理有线电视的入网手续后方可使用。
总而言之,广播电视行政管理部门和建设管理部门要高度重视有线电视网络安全工作,互相配合,切实保证广播电视的安全传输。
信息传输安全论文 篇11
关键词 传输 信息化 综合网管
1 概述
随着传输网络规模的逐年扩大,技术的不断更新,客户对传输网络通信质量的要求越来越严格。如何在故障发生后,能够快速抢通业务,恢复通信畅通,缩短故障历时,最大程度地减少损失,是目前传输维护管理的一个重要的课题。在新的形势下,我公司在2011年开始建设了传输综合网管,在系统中开发了故障应急倒代提示功能、传输故障自动派发工单、自动派发故障通知短信等功能。利用传输综合网管和电子运维系统的配合,实现了故障工单的快速派发,故障的闭环管理,改变了之前干线应急处置管理模式中存在的效率低、准确性差,受人为因素影响较大等不足,大大提高了企业应急处置管理水平,明显降低了故障处理历时。
2 传输应急处置工作现状分析
1、干线传输网络现状
我公司境内共有6条一级干线光缆,区内二级干线长途光缆线路总长度为14267.0公里,现已覆盖到全区各盟市的所有旗县及83%以上的乡镇、苏木。二级干线传输系统分为区内东部干线和西部干线两部分。全网现有20套系统,其中DWDM网元400个,SDH网元207个,286个DWDM中继段。由于地域广阔,造成干线传输网络规模庞大,故障处理难度较大。
2、应急处置管理模式现状
在发生干线传输故障时,根据故障情况,依据纸质应急预案的应对措施,采用电话通知方式进行故障处理。使用电子运维系统发送故障短息预警、手工填写电子故障单,派发至相关分公司由盟市分公司进行故障反馈。基于干线传输网规模庞大、结构复杂的特征,这种应急处置管理模式存在效率低、准确性差,受人为因素影响较大等不足。
3、运维网管支撑系统现状
我公司传输网络的传输设备类型较多,包括华为、中兴、烽火等国内厂商的传输设备和朗讯、西门子、阿尔卡特等国外厂家的传输设备。为实现全网传输网元的统一呈现,做好端到端的监控,建设了传输综合网管。维护人员通过一个控制操作台就可获得对各个子网的拓扑透视、对所管业务的了解及对故障定位和故障排除的支持。
同时利用了电子运维系统,实现管控和生产调度流程的统一规范。日常的维护,生产调度均通过电子运维系统完成。在提高运维管理水平,支撑市场业务需求,优化网络服务质量发挥重要的作用。
3 利用传输综合网管实施应急处置信息化的措施
(一)故障预案管理及应急倒代提示
在传输综合网管系统的基础上开发了故障应急倒代提示功能,该功能的实现大大提高了故障判断及故障处理的响应时间,维护人员可以通过该系统得到相关故障应急处理的方法。从面可以将传输网应急预案中的大部分指导性的内容纳入传输综合网管管理存储,在故障发生时给予维护人员以指导。
1、故障应急倒代提示功能结构
该功能基于告警管理及故障诊断功能基础上,整体功能实现方式如下:
2、故障应急倒代提示方案前台功能实现方式
·值班工作台(告警及故障信息实时呈现)
值班工作台分为3部分,下方告警信息监控窗口实时显示厂家网管告警信息,左上角实时显示及刷新线路及设备故障信息,右上角实时显示及刷新电路故障信息。当产生的告警与故障规则匹配后上方会及时刷新相关信息并伴随告警声音提示机房值班人员。
·故障信息详细界面
双击单条故障信息后,会显示该故障的详细信息包括与之匹配的倒带、割接、相关处理建议等信息,方便值班人员进行查看及定位故障信息。
·处理经验(倒代或割接方案录入)
在产生相关故障之前,按照故障规则定义的故障进行倒代、割接、处理建议的信息录入,该信息录入的准确及详细对故障发生时的判断及快速处理起到积极作用。
此功能可为各级维护人员在处置各种网络故障时提供丰富的信息资料,提出建设性的意见和建议,设置规范的处置程序,实现了从个性决策、拍脑袋决策、临时处置向预案决策、科学决策、规范处置的转变。
(二)利用传输综合网管系统实现故障自动派单功能
故障派单是作为故障处理一种辅助手段,目前在内蒙传输网管系统中已实现,并已经与电子运维系统进行互联将相关故障信息直接通过传输派工单的方式下发给地市分公司进行故障处理,同时电子运维系统以短信方式提示相关处理人员。
1、故障自动派单功能结构
该功能建立在故障诊断及故障倒代方案提示的基础上,当前台页面提示产生线路故障或设备故障时,查看故障信息详情时,即可将故障信息发送给电子运维系统对地市分公司进行派单处理。
2、故障自动派单前台页面实现
·值班工作台
该功能建立在值班工作台的基础上,在左上角实时显示并刷新线路及设备故障信息。选择某条故障记录点击派单按钮、鼠标右键选择二种方式中的一种进行操作。
·派单界面
在派单信息中,对故障主题、故障现象进行完善及说明,点击“派单”直接发送给电子运维系统,交由地市分公司进行处理。
通过电子运维系统与传输综合网管系统的接口采集告警,根据告警级别和内容进行自动派单,自动短信派发,实现故障流程的电子化管理。
(三)有效发挥调度功能,快速实现受影响电路的调度恢复
利用传输综合网管系统,制订相应流程实现电路调度,流程图如下:
电路调度人员进入传输综合网管,对由电子运维发来的电路申请进行处理,先后经过填写申请单、处理申请单、生成调度单、资源更新四个环节。传输综合网管接收到电子运维发来的电路申请单如下图所示。
点击单条申请单后进行申请单处理,对相应电路信息进行编辑,提交“处理申请单”环节。在处理申请单环节调用传输综合网管传输资源,形成电路通道,并以Excel附件附在电路调度单模块中。接下来,分配传输资源,如下图所示:
处理完申请单后,直接生成调单,修改其中的“调单标题”、“发送单位”、“调单正文”等相关信息,并进行调单发送,如下图所示:
综合网管将生成的电路调度单发送至电子运维的电路调度单中填写调度单环节。
电子运维按照流程发往各相关盟市及部门执行,工单执行完毕调度人员进行工单归档,电子运维将结单信息反馈给传输综合网管后,传输综合网管对资源进行更新,全部流程闭环结束。
这种处理模式,可快速响应故障处理时电路的调度工作,通过流程化的模式,网管系统可自动分配资源,维护人员根据分配的电路信息及时将受影响的电路调整到备用路由上,节省了人工查找电路再调整的时间,会大大综合业务恢复历时。
(四)结合电话会议系统、视频会议系统实现对故障处理过程进行管控
在发生网络故障时,相关单位及部门的人员迅速接入指定的电话及视频会议系统,实现语音指挥调度功能,可以实时了解现场情况,并通过传输综合网管将故障处理情况及时发送到网管界面上,各级抢修人员能及时根据情况开展应急工作,进一步使决策指令快速传达。
4 结束语
我公司于2011年实施了应急处置信息化管理,在有效的发挥传输综合网管各项功能的基础上,进一步完善了全省传输应急处置管理工作,使其达到标准化、信息化、规范化的标准,从每次故障发生、处理、结束,由系统跟踪监督每一张故障单的流转情况,大大提高了传输应急处置管理水平,明显缩短了故障处理历时。通过此项创新,我公司干线传输平均故障处理历时由原来的266.9分/次降到109.1分/次,降低了由于业务中断给公司造成的损失。
参 考 文 献
[1] 吕廷杰.电信运营支撑系统OSS:理论、策略与实践. 北京:人民邮电出版社,2003
信息传输安全论文 篇12
信息的安全传输技术是各种网络应用的一项基础工作,在很多领域具有举足轻重的地位。而传统的基于密码术的安全传输技术,容易暴露信息传递的存在,存在严重的安全隐患,很多人开始探索新的解决方案。数字密写技术不但可以弥补密码术的不足,还可以与密码术结合,获得更高的安全性,已逐渐成为相关领域的研究热点之一。目前,各国专家对数字密写进行了较为深入的研究,密写载体的格式不断扩展,可以是文本、图片、音频,也可以是视频、PE文件等,每种载体都有对应的密写算法,而且不断有新的算法被提出来。然而,目前可以实际应用的数字密写系统却很少见,因此本文以应用为目的,设计出一种基于数字密写的信息安全传输方案,并介绍其实现过程,以促进数字密写技术的进一步应用。
1 数字密写技术
密写术也称为隐写术、掩密术等,可以根据一定的算法和密钥将秘密信息嵌入到图像、音频或视频等数字信号中,要求秘密信息的嵌入不会引起第三方或信道监控者的怀疑。接收方在收到含有秘密信息的数字载体后,可以根据提取算法和提取密钥恢复出秘密信息,完成信息的安全传输[1]。
数字密写的一般框架如图1所示[2]。秘密信息W、密钥K和原始载体I为输入,通过嵌入算法Em将W在K的作用下隐藏到I中,形成含有秘密信息的载体I′,I′与I 非常相似,不会引起他人的怀疑。通常,I′在无噪信道中传输,但在一些特殊应用场合也会受到噪声N的干扰,即I′变为I″。对I″应用提取算法Ex,在密钥K的作用下,应能正确提取出秘密信息W。
2 传输方案设计
2.1 功能要求
方案应用数字密写技术,应满足如下的几个要求:
(1) 安全性要求 这是信息安全传输系统的基本要求,具体包括,采用较为成熟的数字密写算法,有密钥等。
(2) 隐秘性要求 数字密写相对于密码技术的优点就是隐秘性,含密载体混于普通载体中,不能引起怀疑。要求选取隐秘性好的数字密写算法。
(3) 更新性要求 由于数字密写技术还在不断的发展过程中,传输方案应该能够方便的修改,以支持新算法、新载体,同时放弃过时的算法。
(4) 常规要求 作为信息安全传输系统需要满足一些常规的要求,如运行稳定,速度快等。
(5) 可选要求 在某些应用场合可能对系统有特殊的要求,如实现数据压缩,进行数字签名等。
2.2 方案设计
考虑到计算机多以文件的形式记录各种信息,任何信息都可以采用文件的形式被记录和传输,本文主要研究如何利用数字密写技术进行数字文件的安全隐秘传输。方案由压缩软件、加密软件和密写软件组成,其主要处理过程如图2所示。
方案涉及消息的发送方和接收方,发送方包括如下几个处理过程:
(1) 选择需要传输的数字文件,如:电子工程图、电子合同等。具体就是将需要传输的数字文件整理到一个文件夹中,如果需要传递消息,可将消息写入文本文件中。
(2) 利用压缩软件对第一步的文件夹进行压缩,得到一个压缩文件。如果只需要传递一个文件,此步可以省略。如果想提高系统的安全性,可以利用压缩软件自带的加密技术进行加密,密钥用K2表示。推荐使用RAR压缩软件,进行此步操作。
(3) 利用加密软件对第二步得到的压缩文件进行加密或进行数字签名,得到加密文件。如果系统的安全性要求不高,可以省略此步。加密过程中,可以使用数字签名,完整性校验的技术。密钥用K1表示。推荐使用PGP软件,进行此步操作。
(4) 将加密文件利用密写软件隐藏在选择的载体中,得到含密载体文件。这里的密写软件也是方案的主要组成部分,详见第3节。
(5) 将含密载体通过公共网络传递给接收方。可以采用E_mail、网络文件传输等常用渠道。
接收方采用与发送方相同的压缩软件、加密软件和密写软件,在获得含密载体的基础上,还要获得发送方采用的密钥。提取密写文件的过程与嵌入过程相对。
(1) 收到含密载体。
(2) 根据密钥K0从载体文件中,提取含密文件。
(3) 验证含密文件的数字签名,并根据密钥K1解密得到压缩文件。
(4) 将压缩文件根据K2解压,得到发送方传递的数字文件。
该方案中使用了压缩软件、加密软件和密写软件,其中密写软件是方案的核心。下面就详细说明密写软件的设计实现过程。
3 密写软件设计
3.1 准备工作
在进行密写软件的设计开发之前需要先确定支持的载体格式和所采用的密写算法。所采用的载体文件格式,应具有较成熟的安全的算法。本文采用BMP数字图像,应用LHA算法[3]。
密写软件可以分为两个主要部分,嵌入部分和提取部分。嵌入部分将秘密文件隐藏在载体文件中,提取部分从载体文件中恢复秘密文件。
3.2 嵌入部分对加密文件的预处理
前面提到需要传输的数字文件可以经过压缩、加密,形成加密文件后隐藏到载体文件中。然而在密写软件的嵌入部分,为了能够恢复文件名和文件大小,首先需要一个预处理过程。
预处理过程首先以二进制方式读取加密文件,获得文件的二进制序列。再为文件二进制序列添加头部信息。带有头部的秘密数据的结构如图3所示。
全部的秘密数据包括头部信息和二进制文件数据。头部信息主要包括文件名字节数、文件名、长度比特数和文件长度数据。读取二进制文件数据的长度既可以获得文件长度数据(设为N),这部分数据的长度「log2N⎤既是长度比特数。其中文件长度数据部分占有「log2N⎤比特,长度比特数部分占有8个比特位。此时,可以计算出表示的最大文件长度为:2256>10G。足够满足通常的应用使用。头部信息还包括文件名和文件字节数。文件名即用来记录秘密文件的文件名。文件名字节数用来记录文件名的长度。
预处理过程除了添加头部信息外,还要对全部秘密数据进行置乱。即根据输入的密钥K1,应用数字图像置乱算法,改变秘密数据中二进制位之间的顺序。关于数字图像置乱算法及其应用可以参考[4]。
3.3 嵌入过程及界面
按文件名顺序依次读取载体文件,根据载体文件格式和对应的密写算法计算嵌入量,将全部载体的嵌入量之和与秘密数据的长度进行比较。如果秘密数据的长度大于全部载体的嵌入量之和,则提示需要增加载体;反之,将载体按文件名进行排序,按照对应载体的嵌入量依次截取等量秘密数据,将其隐藏在载体文件中,直到所有秘密数据都隐藏完毕。最后,将含密载体文件写入指定的文件夹中。
根据嵌入部分的功能设计了如图4所示的嵌入操作界面。
3.4 密写软件的提取部分
本密写软件的提取部分根据收到的载体文件,按文件名顺序和相应的提取算法,分别提取秘密数据。将提取的秘密数据连接在一起后,应用逆置乱算法,还原秘密数据。然后根据头部信息恢复文件名,和文件长度,将文件数据已二进制形式写入文件中,恢复传输的文件。
根据提取部分的功能设计了如图5所示的提取操作界面。
3.5 密写软件实现
考虑到数字密写技术还在不断的变化发展过程中,不断有人提出新的算法。为了加快新算法的应用进程,本系统综合采用VC++和Matlab设计实现。
Matlab是Mathworks公司推出的以数学模型为主的软件,它把数值分析、矩阵计算、信号处理和图形显示结合在一起,包含大量集成的函数可供调用,其计算功能十分强大,为科学研究、工程设计及众多领域提供了一种简洁、高效的编程工具。采用Matlab进行新算法的设计是方便、快速的。Visual C++是Windows平台下主要的开发环境之一,它能方便实现软件设计开发,开发的系统具有界面友好、执行速度快、易维护和升级等优点。但是在工程计算方面,和Matlab相比编程显得复杂的多。因此本软件采用Visual C++与Matlab混合编程,将两者结合起来,协同工作,以提高软件开发效率,使所开发的软件具有更高的性能,更大的应用范围,维护升级更方便。
在实现过程中利用Visual C++进行前台界面设计,利用Matlab进行后台处理。在通过Visual C++设计的界面选择完成后,通过接口调用Matlab编写的处理程序,将选择的文件、目录等信息传递给Matlab程序,由Matlab读取秘密文件信息,对载体文件排序,进行秘密数字嵌入(或提取),形成含密载体(或形成恢复的秘密文件)等工作。
4 实验及结果
为验证本方案,将AutoCAD2006安装目录下的sample/Hotel Model.dwg和Sample\VBA\attext.dvb、office 2003安装目录下的OFFICE11\ADDINS\CENVADDR.DOC作为需要秘密传输的文件。其中Hotel Model.dwg的文件大小为2172KB,attext.dvd大小为25 KB,CENVADDR.DOC大小为17KB。这三个文件分别代表了工程图文件,程序文件和电子合同,具有一定的代表性。
将以上文件复制到新建的文件夹data中,并用winrar压缩该文件夹。实验采用winrar 3.61版本,压缩得到的data.rar大小为1240KB。再用PGP 8.1版本进行加密和签名,得到文件data.rar.pgp,大小为1243KB。接着利用设计的密写软件将data.rar.pgp文件隐藏于图6所示的实验图片文件中。
获得含密图片与原图片非常相近(如图7所示),峰值信噪比均在50dB左右,而人类的视觉往往不能有效察觉峰值信噪比38dB以上的影响[6]。
将这些含密图片文件,通过公开网络发送给信息的接收方,接收方采用密写软件的提取功能,可以正确恢复出data.rar.pgp文件,利用PGP解密和校验得到data.rar,再利用winrar解密得到所有传输的文件。
实验表明,系统能够有效地将各种文件隐藏于载体中,信息的接收方可以正确地提取出秘密传输的文件。并且隐藏的效果较好,不易被人察觉。克服了密码技术的缺点,安全性更高。
5 结 论
通过分析基于数字密写技术信息安全传输方案的设计要求,设计实现了一种安全可靠的信息传输方案。该方案结合使用了压缩软件、加密软件和密写软件,分别完成数据压缩,加密和签名,数字密写的功能。其中的密写软件是本方案的核心,包含嵌入部分和提取部分,在嵌入部分先为二进制文件数字增加头部信息,再按照嵌入过程,隐藏在载体图片中。提取部分则可以有效地提取信息。密写软件采用面向对象开发语言与仿真语言结合实现,可以方便的扩充密写软件对新载体和新密写算法的支持。实验及结果表明,通过本方案可以有效地将信息隐藏在载体文件中,含密载体与普通文件没有区别,不会引起人的察觉,隐藏效果较好,安全性较只使用密码技术有所提高。
摘要:在信息安全传输领域,为弥补密码技术的不足,在分析功能要求的基础上,提出了压缩软件、加密软件和密写软件相结合的信息安全传输方案,给出方案的详细处理过程,并重点设计了密写软件,对其嵌入部分和提取部分的实现过程分别进行了设计说明。实验表明,该方案切实可行,安全性较只使用加密技术有所提高。
关键词:数字密写,信息隐藏,信息安全
参考文献
[1]Kalker T,Ro Y M,Cox I J.Digital Watermarking:Second InternationalWorkshopK[C]//Lecture Notes in Computer Science,2939.Springer-Verlag,2004.
[2]王朔中,张新鹏,张开文.数字密写和密写分析[M].北京:清华大学出版社,2005.
[3]Zhang X,Wang S,Zhang K.Steganography with the Least HistogramAbnormality[C]//Lecture Notes in Computer Science,2776.Springer-Verlag,2003:401-412.
[4]张瀚,王秀峰,李朝晖,等.一种基于混沌系统及Henon映射的快速图像加密算法[J].计算机研究与发展,2005,42(12):2137-2142.
[5]Kia Omid E,Doermann David S,Rosenfeld Azriel,et al.Symbolic Com-pression and Processing of Document Images[J].Computer Vision andImage Understanding,1998,70(3):335-349.