公共接入平台

公共接入平台（共5篇）

公共接入平台 篇1

摘要：随着智能移动终端以及移动互联网的飞速发展, 电网企业营销、办公、生产等传统业务范围也在不断向移动终端进行扩展, 如何保证电力企业移动终端远程接入电力信息内网时的信息安全成为电力企业移动信息化过程中亟待解决的问题。本文首先分析企业移动应用的现状, 针对电力企业移动安全接入的业务需求, 以及电力信息安全的特殊要求, 讨论并分析了南方电网移动安全接入平台的安全实现机制。系统从网络传输安全、终端安全、应用安全三个方面入手, 研究并解决移动终端接入过程的信息安全问题;对各种移动终端采取了有针对性的安全策略以提升移动终端安全性, 采用网络隔离和高强度的数据加密/解密接口保证内网的应用的安全。

关键词：移动终端,安全接入,APN,SSL,VPN

引言

目前, 随着移动互联网的发展, 在南方电网公司已经存在一批移动应用, 如移动办公、ITSM、基建作业、营销作业和电力抢修等。但由于各项业务终端和通信网络的不安全性, 为企业内网安全带来了巨大的风险, 主要体现在以下三个方面:

(1) 移动终端自身的安全性问题。由于移动终端接入电力信息内网后可能处于“一机两网”的状态, 即同时连接Internet和电力信息内网, 同时由于移动终端缺乏保护终端数据文件的有效手段, 因此存在电力信息内网敏感信息泄露等安全隐患。

(2) 通信过程中的安全性问题。在移动终端接入电力信息内网的过程中, 以及在接入后数据的传输过程中, 数据传输链路都面临着被攻击干扰、破坏、截获数据、篡改数据等威胁。

(3) 营销终端的访问控制问题。移动终端一经成功接入电力信息内网后就被看作是电力信息内部可信的用户来使用电力信息内网的资源, 一旦终端被挟持, 将会给整个电力信息内网带来不可控制的风险威胁。

因此必须加强企业移动应用的安全保证措施, 才能使个人和企业的数据安全得到保证。

概述

从实践的角度来看, 终端接入企业内网的问题通常涉及三个部分:传输通道的安全、内网应用的安全和终端设备的安全。这三个方面任何一方面出现问题, 都将导致远程接入过程的不安全。而传统的基于APN专网的接入方案都只关注于传输通道的安全, 虽然在某个方面上保证了远程接入的数据传输安全, 但缺乏对整个接入过程的完整保护, 无法保证移动终端在接入内网应用时的安全。

移动安全接入平台从技术的角度出发, 通过对企业应用环境的资产、威胁和脆弱性进行分析, 将整个安全架构在网络传输安全、终端安全、应用安全之上, 以多种技术手段和多重保障机制, 有效地保障企业的网络安全和数据安全。

一、企业移动应用发展现状

4G加速进入生活, 智能手机和平板已经成为我们生活中不可或缺的产品。甚至在工作中, 移动设备也是我们重要的工具和伙伴, 越来越多的人们在工作中使用移动设备。

针对企业员工进行的一项调查数据显示, 62%的员工日常工作中使用智能手机, 56%的员工使用平板电脑。

使用移动设备进行办公已经成为一种全新的工作方式。这种工作方式形式灵活, 不受时间地点限制, 办公效率得到提升, 同时节省了企业的办公成本。

与此同时, 移动设备易携带、易丢失、个人消费应用和企业应用混用等特点, 导致IT支持部门非常担心由此带来的安全风险。这些风险包括:

(1) 数据安全。智能终端易于携带、容易丢失, 会导致敏感商业信息的泄漏, 对数据安全构成极大威胁, 给企业带来法规遵从的风险。此外, 移动终端易被他人非授权使用, 产生拷贝、下载或打印企业内部敏感资料的风险。

(2) 网络安全。由于自携带设备的特殊性, 智能终端经常在不安全网络和企业网络之间来回切换, 因此更容易遭受木马或病毒的侵害, 从而将病毒或木马自动传播至企业网络, 对内部网络安全构成极大威胁。

(3) 应用安全。相当一部分移动设备来自于员工, 而非企业。员工可以任意下载和安装消费类应用, 这极大地降低系统的可靠性, 引入了安全风险, 造成企业数据丢失或设备功能失效。

南方电网为解决移动设备在企业办公中存在的安全问题, 早在2010年就实施了自己的移动安全接入平台, 并建立了《南方电网远程移动安全接入平台技术规范》, 对企业如何进行移动信息化以及移动安全方面做出了积极探索。

二、移动安全接入平台中的安全机制

本文将从网络传输安全、终端安全、应用安全三个方面介绍移动安全接入平台的安全机制。

2.1网络传输安全

网络传输安全通过以下技术手段来保证。

2.1.1 APN技术

APN (Anywhere Private Network) 是解决以动态IP接入Internet的局域网之间的互联, 并以较低成本接入, 以较低通信成本提供较高性能以及可靠的网络专网的计算机网络技术。

在移动安全接入平台中, 移动终端被强制要求通过企业APN来访问系统。终端用户需要经过准入申请和准入审核才可接入网络, 移动终端对企业内网的访问是完全可控的。

2.1.2设备绑定

UDID, 是用于区分设备的GUID唯一编码。由于操作系统厂商的限制, 获取设备物理编码 (IMEI) 变得不可能。因此移动安全接入平台根据一定的编码规则及设备的物理特性为每一台设备生成一个唯一的UDID码, 用于识别移动终端。同时将该编码和特定用户进行绑定。

移动安全平台支持对入网设备的MDN (手机号) 和UDID进行绑定。针对首次入网的设备, 系统将要求用户对该设备进行绑定。绑定是基于向该用户发送认证码短信来进行的, 而用户接收短信的手机号信息来自于平台登录数据库, 而短信的发送完全是由企业管理人员手动操作的。只有经过设备绑定的用户, 才会被系统准入。

一旦设备绑定完成, 该用户的注册账户和该设备的UUID将绑定到一起, 任一信息不符用户都将无法登入平台。从而最大限度地保证设备不被挟持和滥用, 降低资产脆弱性。

此外, 平台可对终端设备进行管理, 如用户的移动终端不慎遗失, 管理人员可通过管理后台的禁止该设备的登录。

2.1.3身份认证

此外, 用户在登录内网应用之前, 需要进行身份认证。平台认证的措施包括用户密码和动态口令。动态口令每次都会随机生成, 客户端不会进行缓存, 并以短信的方式发送到设备所绑定的手机上。

动态口令只在指定时间内有效, 一旦失效只能再次请求新的动态口令。平台管理人员可以指定动态口令的有效时间, 并随时查询动态口令的生成情况及有效状态。

2.1.4信息传输加密

对于在网络中传输的数据, 移动安全接入平台也提供了相应的安全加密措施, 包括客户端与平台之间的各种消息报文、交易信息和表单数据。对于这些高敏感数据, 移动接入平台提供了一种“非对称加密+对称加密”的复合网络传输加密机制。

顾名思义, 对称加密算法, 即加密与解密用的是同一把秘钥;而非对称加密算法, 加密与解密用的是不同的秘钥。

显然, 非对称加密比对称加密有着更高的安全性。因为对于对称加密, 由于加密与解密的秘钥是同一把, 通信的一方必须将秘钥和密文都传递过去, 对方才能解密。而非对称加密则不然, 只需传递密文与用于解密的公钥, 对方即可解密, 用于加密的私钥由己方保留不必传递给对方。目前公认的观点认为:只要钥匙的长度足够长, 使用非对称加密的信息永远不可能被解破。

当然, 由于非对称加密对CPU计算性能的依赖很大, 在使用相同秘钥的情况下, 非对称加密的运算速度比对称密码也要慢许多。此外, 非对称加密长度能够加密的信息的长度往往受限于密钥长度。

因此, 鉴于二者各自的特点, 移动安全接入平台将二者取长补短, 结合起来使用, 极大地保障了移动安全接入平台在网络中的传输的数据安全性和完整性。

2.2终端安全

终端安全技术包括:终端安全检查、代码签名技术、MDM (移动设备管理) 。

2.2.1终端安全检查

终端安全检查是检查终端状态是否合乎安全要求、用户的行为是否合法。移动终端在访问内网资源前, 需要进行安全性检查, 不符合安全检查策略的终端将被禁止访问内网资源。安全检查模块对终端的操作系统版本、系统是否越狱、锁屏密码是否合规、特殊位置的磁盘文件等进行严格检查。

根据检查策略, 系统在处理移动终端接入时会先检查终端是否具备上述一项或者几项特征参数, 依据检查结果判断是否允许该终端与安全接入网关建立连接, 彻底杜绝不健康的移动终端接入内网, 确保移动终端的安全, 从源头杜绝威胁的发生。

2.2.2代码签名技术

代码签名证书为软件开发商提供了一个理想的解决方案, 使得软件开发商能对其软件代码进行数字签名。通过对代码的数字签名来标识软件来源以及软件开发者的真实身份, 保证代码在签名之后不被恶意篡改。使用户在下载已经签名的代码时, 能够有效的验证该代码的可信度。

移动安全接入平台根据不同移动终端所用的平台 (i OS、Android、Windows) 及平台所对应的app商店, 采用不同的技术对app进行代码签名, 从而可让用户确信它来自已知来源, 且自最后一次签名之后未被修改。

2.2.3 MDM移动设备管理

移动安全平台通过MDM进行移动终端的管理。包括:

1) 移动设备访问控制

移动设备本身的访问控制不高, 通常没有安全保护 (如使用简单的滑动锁) 或仅有弱保护 (如使用9点屏幕锁) 。同时, 移动设备很容遗失或被盗。MDM通过锁屏、清除密码、下发策略强制加强密码强度等远程指令来操作设备的访问控制。

2) 数据自毁

通过MDM的“远程擦除”操作, 可以强制销毁移动设备上的所有用户数据。防止用户隐私或企业数据泄露。

3) 应用程序管理

对于“托管”设备, MDM可以检查设备上的应用安装情况, 存储空间大小, 操作系统版本以及是否越狱等状态, 一旦发现设备上安装可疑程序, 即可通过安装在设备上的MDM代理服务终止企业应用程序运行。

2.3应用安全

应用安全包括:应用数据加密、权限控制、企业应用商店。

2.3.1应用数据加密

数据的保密性要求我们对于企业中敏感数据进行必要的加密和访问控制。

移动安全接入对用户敏感数据, 例如用户密码、证书及密钥进行加密处理。此外, 对于缓存在客户端的企业机密数据, 包括移动办公系统中的各种内部文档、组织结构和企业通讯录, 也进行了加密处理。

2.3.2权限控制

对于移动安全接入平台系统来讲, 访问控制主要是基于角色进行访问的控制。基于角色访问控制也是在信息系统中使用比较广泛的访问控制机制。用户在通过了平台的身份认证后, 只能看到相应权限下才能查看数据, 以及使用相应权限才可操作的功能。

2.3.3企业应用商店

南方电网移动安全平台内置企业应用商店, 所有移动应用终端app均在企业应用商店内进行发布, 由企业代替操作系统厂商对应用进行管理。

同时, 对于企业应用商店中的应用, 可通过MDM进行企业应用的无线部署 (OTA) 或直接推送至终端桌面。通过企业应用商店这一有力工具, 无疑将极大地简化应用的安装和升级步骤, 改善用户体验, 并保证了移动应用来源的可靠性和安全性。

三、结论

企业办公移动化必将成为下一轮企业发展的新趋势。于此同时, 企业必将在IT安全和管理方面遭遇新的挑战。南方电网移动安全接入系统是南网信息化建设中的重要组成部分。

南网移动安全平台在分析总结企业移动应用接入现状的基础上, 以保证移动终端接入的安全性为目标, 深入研究了安全接入的关键技术, 从网络传输安全、终端安全、应用安全三个方面入手, 研究并解决移动终端接入过程的信息安全问题, 有效地保障了企业的网络安全和数据安全, 极大地推动南网移动信息化和“六加一”工程的建设, 符合南网“十二五”信息化规划的远景目标, 加快南方电网网内信息资源的整合及信息的规范化、一体化建设。

参考文献

[1钱煜明.BYOD企业移动设备管理技术[J].中兴通讯技术, 2013, 9 (6) .

[2]许丽萍.BYO来袭把握移动安全四大趋势[J].上海信息化, 2013, (6) .

[3]孙强强.BYOD在电力企业中的研究与应用[J].现代计算机, 2013, (4) .

[4]杨宏焱.企业级i OS应用开发实战[M].北京:机械工业出版社, 2013.

[5]杨宏焱.i Phone/i Pad企业移动应用开发秘籍[M].北京:海洋版社, 2013.

公共接入平台 篇2

为了确保VPN接入平台的安全，使用者须遵守以下安全保密管理规定，如因违反规定而造成安全或泄密事故的，使用者须负相应的责任。因用户原因造成的安全事故，市财政局、市机关信息网络中心、市财政信息中心不承担责任。

账号密码管理规定

使用者须自行妥善保管自己的账号和密码，避免外泄。使用者应避免在公用电脑上使用VPN平台；如果在公用电脑上使用，在离开电脑时须退出登陆，并清除浏览器的缓存。

公共接入平台 篇3

关键词：公共安全,软交换,无线电台,网关,综合接入,互联互通

1 引言

随着我国社会经济的不断发展以及国家建设和谐社会的要求,如何在有效、综合利用政府资源和行业资源的基础上,建立应对重大社会活动、自然灾害、紧急事故、突发安全事件的快速反应能力和抗风险的能力,提高公共服务部门工作效率和应急指挥能力,为公众提供更快捷高效的通信及其他社会服务,已经越来越成为政府部门以及各个行业的一个非常重要的工作课题。

而现有的基于传统电路交换的通讯调度系统中,绝大多数是单一通信方式的调度通信系统,其中大部分还是传统的电路交换的模拟电话网调度系统,只能实现电话网内调度,而且操作繁琐,成本高,灵活性差,可扩展性低;同时期,在电路交换的基础上,也发展出了能够部分实现跨网通信的互联互通调度系统,但是基于传统电路交换的固有缺点依旧不能避免,并且一般只能做到通而不能做到有效的跨网通信的调度和管理,同时随着互联网的迅速发展和CTI技术的不断发展,能够和IP网络实现互联互通将成为基本的需求。

2 综合接入设备系统原理

综合接入设备基于先进的IP软交换通信技术和DSP信号处理技术,将模拟的话音通信信号数字化,并进行压缩后经IP网络交换至目的地,再将IP数据分组其还原成话音信号经本地话音终端发出,从而实现IP话音通信,可以将不同频段的无线电台、模拟集群、数字集群、固定电话、无线手机、卫星电话等各类不同类型的通信设备组成一个统一的通信平台,为应急指挥系统提供必要的通信保障,实现各级节点与中心指挥室之间的分布式组网。

设备所采用的软交换技术是下一代网络的控制功能实体,为下一代网络(NGN)具有实时性要求的业务的提供呼叫控制和连接控制功能,是下一代网络呼叫与控制的核心。软交换的基本含义就是将呼叫控制功能从媒体网关(传输层)中分离出来,通过软件实现基本呼叫控制功能,包括呼叫选路、管理控制、连接控制(建立/拆除会话)和信令互通,从而实现呼叫传输与呼叫控制的分离,为控制、交换和软件可编程功能建立分离的平面。软交换主要提供连接控制、翻译和选路、网关管理、呼叫控制、带宽管理、信令、安全性和呼叫详细记录等功能[1]。与此同时,软交换还将网络资源、网络能力封装起来,通过标准开放的业务接口和业务应用层相连,从而方便地在网络上快速提供新业务。

3 综合接入设备技术实现

3.1 总体构成

系统采用先进的嵌入式技术,对外提供两路手机通道,两路无线电台通道和一路电话用户通道,并可以实现通道与网络及不同通道间的相互通话,总体设备主要由微处理器单元、DSP话音处理单元、FPGA逻辑控制单元以及电台接口单元、用户接口单元、移动接口单元组成。

3.2 主处理器单元

微处理器系统是综合接入设备的核心单元,是系统主体程序的载体,负责不同功能协议栈的正常运行和各分系统模块的管理控制。

本设计中选用的英飞凌ADM5120微处理器,基于MIPS 4Kc内核,主频达到175MHz运行时有227MIPS处理能力,8KB的数据Cache,8KB的指令Cache。支持SDRAM,SRAM,NOR Flash和NAND Flash的无缝连接。支持IEEE 802.3 Fast Ethemet标准;内嵌网络MAC层和10/100Mbit/s的以太网接口物理层芯片;支持5个LAN接口和一个WAN接口。是一款极具性价比的网络处理器。

系统采用2MB Flash作为程序与配置文件的存储空间。2×8MB SDRAM作为程序运行空间。对外提供一个LAN口,一个WAN口和一个DEBUG串口。

3.3 DSP话音处理单元

DSP话音处理单元是设备的核心单元之一,主要负责完成高带宽话音的压缩解压工作,将Codec编码后的PCM码流经过算法处理后变成带宽极小的压缩话音码流,同时将压缩后的话音流封装成适合网络传输的RTP分组交由主处理器处理;另外DSP单元还负责外围设备特殊话音信号的检测和产生,如DTMF的产生和检测,各种电话信号音的产生等。

本方案中选用了英飞凌公司的PEB3342芯片,该芯片属于英飞凌ATA系列DSP,是Vo IP专用的话音DSP,具备2路电话模拟话音信号输入,4路PCM信号输入输出。同时DSP内部还有DTMF收发器、CALLID收发器等电话信号收发模块,并支持G.711、G.723、G.729等多种压缩算法。PEB3342通过8位数据信号与主控制器相连,通过PCM接口与FPGA相连,收发话音流。

3.4 FPGA逻辑控制单元

FPGA模块主要负责中央处理器与外围电路间的逻辑与时序转换关系,具体实现下述功能。

PCM话音信号复分接:综合接入设备可以同时并发4路话音信号,而每路话音都是通过标准的64KPCM码流与DSP交互,这需要FPGA对Codec产生的PCM码流进行复接汇聚成一条2M的PCM码流提供给DSP处理,每路话音信号占用一个64kbit/s的时隙。

话音激活(VOX)功能:此功能主要针对对讲机设计,对讲机是半双工工作方式,设备需要根据外接对讲机的状态信号判断对讲机的通话状态,但一般的对讲机并不提供相关状态信号,这就需要设备根据对讲机产生的话音信号进行判断是否处于有效接收状态。FPGA根据Codec输入的话音值,与主控设置的灵敏度相比较,如果小于则视为噪声,大于则视为有效接收,这样防止了因噪声产生的误触发[2]。

手机模块的逻辑控制:手机模块主要通过串口进行相关操作控制,而主处理器的串口数量有限,FPGA将根据主处理器的控制字或手机模块的振铃信号来将有效的串口切换到合适的手机通道上。

主控信号逻辑转换:主要对各用户模块的各个参数配置进行统一编址,由CPU进行直接读写访问,包括灵敏度参数设置、COR延时时间等等。

3.5 Radio接口单元

电台接口模块主要实现两个功能:一是对电台/对讲机的话音信号实现匹配、放大、采样、编码功能,将模拟的话音信号变成适合处理传输的数字信号,编解码芯片采用了通用的PCM话音编解码芯片,采用8kHz时钟抽样频率,形成标准的2MHz基带PCM信号交给FPGA系统处理;相反由DSP系统出来的数字PCM信号经过FPGA的分接后经Codec的D/A重新形成模拟话音信号经运放输入到对讲机设备中发送出去。

电台接口模块另一个重要的功能是对对讲机的控制和状态信号实现操作,对讲机和传统电话不同,是一个开放式、半双工通讯系统,多个对讲机同时只能有一路处于发送状态,其他几路只能处于收听状态,这就需要根据对讲机的状态对对讲机进行有效的控制,对讲机主要的控制信号有PTT和COR两个,在对讲机端(相对对讲机网关而言),针对没有COR信号输出的手持对讲机设备,将由对讲机话音网关内部通过对话音信号的处理产生VOX信号,作为对讲机半双工通信方式的状态识别[3];在网络端,既可以通过对RTP数据流的处理产生VOX信号,也可以通过自定义SIP信令扩展头[4]直接传输对方COR信号。

3.6 用户接口单元

主要实现电话链路的二/四线转换,线路电平信号的检测和转换。主芯片采用INFINEON的SLIC-DC产品PEF4268T,是英飞凌SLIC产品家族的最新补充,为CPE应用提供了一个成本优化方案。由于使用一个集成DC/DC转换器,SLIC-DC仅需要一路电源来提供CPE设计所需的所有电压,使用独特的振铃模式以降低热散射因素。所有必要的POTS电源电压一般由片上DC/DC转换器来提供,该DC/DC转换器仅使用很少的外围器件。

3.7 移动接口单元

为用户提供手机链路通道,一路GSM通道,一路CDMA通道,模块统一由主处理器通过串口发AT指令进行控制,话音通道通过差分接口与Codec对接;具体的AT控制指令随不同的手机模块而定。由于此单元含有射频电路,因此在电路设计和PCB设计上特别需要注意射频对系统的干扰。

3.8 软件系统

考虑到系统的稳定性和实时性,软件平台选用了风河公司实时操作系统Vx Works,Vx Works是一个具有可伸缩、可裁减、高可靠性,同时适用于所有流行CPU平台的实时操作系统,为编程人员提供了高效的实时多任务调度、中断管理、实时的系统资源以及实时的任务间通信[5]。系统的软件部分主要分为APP、TEL、DSP、SIP、CONF等模块。各模块功能描述如下:

APP模块:此模块是系统中的中心控制模块,要协调各模块之间的动作,此模块相当于一个中央控制单元,所有模块之间的通信都通过此模块进行链路的建立和拆除。

TEL模块:即电话交换模块,主要完成Radio接口、用户接口和移动接口相关的配置。此模块是一个复杂的状态机结构,程序根据各端口的状态变化,报告给应用程序模块相应的事件,具体管理内容和DSP模块密切相关。

DSP模块:此模块主要完成对DSP芯片的驱动功能,完成Radio接口、用户接口和移动接口的状态检测和控制,并完成RTP分组的封装工作,另外上层程序通过此模块完成话音相关参数的配置。

SIP模块:完成SIP协议的处理,参考SIP协议规范RFC 3261[6]和RFC 2543[7],为应用提供SIP功能的接口,并且通过应用模块的回调函数报告SIP协议的处理情况。

CONF模块:此模块主要是对各模块数据进行保存和初始化读取工作。可以这样理解,用户使用CLI和Web对系统进行动态的配置,这些配置可以通过此模块保存起来,关机下次启动的时候,用户不需要重新配置设备了。此模块将从Flash中读取上次保存的信息,初始化各个模块。如果读取错误,系统将以默认方式启动。

此外设备利用Vx Works自带的协议栈实现了NAT、DHCP、PPPo E等各种网络方面的应用,极大丰富了系统的网络功能,方便用户的使用。

4 结论

根据本方案设计的综合接入设备是传统Ro IP网关的升级,除传统对讲机外,增加了手机链路和电话链路,更加方便用户的接入,也可以利用用户接口完成简单的调度功能。设备利用软交换原理,实现了各类型的话音设备在IP网上的有效传输,目前已广泛应用于消防、人防等公共安全领域。

参考文献

[1]张沙沙.基于软交换的VoIP信令协议研究与应用.武汉:武汉理工大学,2006

[2]陈亚芳.无线话音通信降噪技术的研究与实现.长沙:国防科学技术大学,2005

[3]白茹,刘熹,田畅.基于IP网的地空电台话音网关设计与实现.军事通信技术,2009,(01):7～10,31

[4]陈银星,周利清.SIP协议在VoIP终端的设计和实现.现代电信科技,2006,10(3)

[5]侯赛男,游思佳,勾学荣,宁帆.构建基于嵌入式的双重协议话音网关.第一届中国高校通信类院系学术研讨会论文集,2007

[6]RFC3261,SIP:Session Initiation Protocol.America:IETF,2002

数字校园统一安全接入平台的研究 篇4

然而,随着数字校园网的逐步深入、应用系统的增加、业务类型的日趋复杂、用户群体的迅速增长和活跃,数字化校园面临的安全和管理问题也日趋突出。例如:黑客的攻击、身份的冒名顶替、用户身份管理和权限管理的复杂性等。

因此,在各个高校向数字化校园的目标不断探索前进的条件下,一个能够集成校园内所有服务并且具有独立安全的身份认证、访问授权、单点登录、信息安全传输等功能的数字校园统一安全接入平台就成了当今数字化校园的研究热点。

1 系统的总体设计

1.1 系统模型

本文设计了一个基于PKI/PMI的数字化校园中的安全接入平台,它是一种应用层的系统。PKI作为信息安全基础设施,它提供的公钥证书为用户提供了强身份认证机制和网络数据的加密传输机制;而授权管理基础设施PMI为用户提供基于角色的访问控制,它负责收集属性证书中用户的角色,根据实际情况将部分角色激活并赋予权限,而属性权威可以在属性证书中绑定代表用户身份的公钥证书,实现PKI和PMI的关联,建立一个通用的安全平台。本设计将采用PKI提供身份认证和安全传输服务,在接入认证的基础上应用PMI进一步实现用户的访问控制;并应用LDAP目录服务器中存放用户的公钥证书、属性证书,对其进行统一管理,便于认证服务器的查找。同时为了解决安全接入平台和原有应用系统能够协同工作、容易移植的问题,在安全接入平台中设计了一个资源整合模块。系统设计模型如图1所示。

1.2 工作流程

统一安全接入平台的工作流程如图2所示。

1)用户使用客户端登录代理进行登录。

2)接入认证模块根据登录信息进行身份认证,并保证客户端与服务器端数据的安全传输。

3)传送身份认证信息至授权管理模块。

4)授权管理模块根据身份认证信息从LDAP目录服务器的属性证书库中取出用户角色信息。

5)授权管理模块的访问控制层通过Response消息传送用户角色信息。

6)资源整合模块接口根据传送来的角色信息,访问数据库。在数据库的资源/角色表中获取相应的资源ID。根据资源ID获取相应资源的属性,按用户或角色构建资源列表。

7)资源整合模块首先对各应用系统资源进行整合,然后传送用户角色相对应的资源。

8)获取资源列表后。根据角色生成展示界面,实现定制展示界面。

2 主要功能模块的设计与实现

2.1 接入认证模块

接入认证模块主要负责对用户进行统一的身份认证,同时还要为用户登录安全接入平台提供业务信息传输的安全接口。它是采用基于PKI的USB Key的身份认证技术进行身份认证。在本系统中,用户的数字证书存储在UsbKey中,它采用双因素和数字证书相结合的认证方法验证用户的身份。发送方和接收方能够通过数字证书来确认对方的身份;数字证书事先通过离线申请,并将其预置到USB Key中;当用户通过客户端请求登录校园内应用系统时,系统首先要求用户插入电子钥匙,同时输入电子钥匙的保护口令;通过后,认证服务器才通过检查客户端存储在USB Key中的数字证书来确定用户的身份,使系统有效避开传统身份认证过程的安全隐患,以高度安全的方式完成对网络用户的身份验证。同时,在用户通过身份认证后,客户和服务器端还可以通过身份认证后产生的会话密钥加密通讯信息来保证业务信息的安全传输。接入认证模块体系结构如图3所示。

2.2 授权管理模块

此模块将对合法用户进行基于角色的访问控制。基于角色的访问控制是将用户划分为不同的角色,再给角色授予相应的权限,通过角色用户就可以拥有一定的权限来访问授权资源,对资源进行合法操作。

本系统的授权机制是将用户与特定的一个或多个角色相联系,角色与一个或多个访问许可权相联系,建立用户———角色映射表和角色———权限映射表,授权模块将把两表的内容进行关联性融合,就形成了可以直接反映用户、角色、权限关系的访问控制表。基于角色的访问控制关系如图4所示。

2.3 系统整合模块

系统整合是程序、数据、标准的结合,它可以将两个或者多个分散的应用系统无缝地结合成为一个整体,实现各系统的功能控制和信息交互与共享。由于现有的每个应用系统的认证方式独立,资源表示各异,并且都有一套自己的用户信息库,一个用户可能在不同的应用系统中使用不同的登录方式和不同的账号。而安全接入平台系统就是要求用户只能使用统一的登录方式,且拥有唯一的用户帐号,这样就与原有应用系统相互矛盾。为了解决统一接入平台和原有应用系统能够协同工作的问题,必须使用一个统一登录界面。系统整合模块使用户的登录界面统一化,使各应用系统的信息传输、数据定义、访问模型等机制标准化,并且还可以与原有系统的账号绑定,有效地解决了统一安全接入平台与原有应用系统的无缝整合问题。

系统整合的方法很多,本系统采用Web Services进行系统整合。Web Services是一个能够通过Web进行调用的API,它是一个基于网络的、分布式的模块化组件,它不仅仅是异构数据的传输通道,更是数据的载体。它本身不属于应用程序部分,它是以服务提供者的身份出现在各应用系统中,使应用系统由紧耦合转向了松耦合,从而提高了各系统数据的通用性。

3 结束语

此系统以PKI/PMI技术为基础,通过数字证书、安全公证服务、角色访问控制等实现了数字校园各应用系统身份的统一安全认证,单点登录,资源的集中访问控制;同时,还可以利用PKI技术中的数据加密、数字签名等技术保证信息的机密性和信息的不可否认性,增强了网络信息系统的安全性;同时利用Webservice系统整合功能很好解决在校园网内部各系统的操作流程和工作平台由于独立开发而造成的互不兼容,无法实现互操作性的难题。

摘要：文章根据数字校园应用服务多、用户群体活跃、安全管理松散等特点,提出了一个基于PKI/PMI技术的统一安全接入平台的设计方案。文中给出了系统总体设计模型图和系统的工作流程,并对此模型图中的主要功能模块进行了设计。

关键词：数字校园,PKI,PMI,USB Key,Web Services

参考文献

[1](美)Andrew Nash,William Duane,Celia Joseph,Derek Brink.张玉清,陈建奇,杨波,等译.公钥基础设施(PKI)实现和管理电子安全[M].清华大学出版社,2002,12.

[2]周宏宇.校园网统一身份认证系统的研究和实现[C].大连理工大学硕士论文,2005.

[3]宋玲.基于证书实现多媒体会议安全身份认证的方案[J].计算机工程,2006,32(1):166-168.

[4]郑洲,蒋兴浩,杨树堂,等.LDAP目录服务在PKI/PMI中的应用[J].计算机工程,2004,30(18):49-51.

有线电视融合接入技术平台解析 篇5

为解决上述问题,MSO需要有密集型的边缘QAM设备,并在一个平台中融合各种有线、无线接入网络技术[2,4,9,10]。于是,Comcast、Cablevision、Charter、Cox、欧洲有线电视实验室、欧洲MSO等提出并发展了多业务融合接入平台(Converged Multiservice Access Platform,CMAP)方案[1,9,11],TWC提出了融合业务接入边缘路由器平台(Converged Edge Services Access Router,CESAR)方案[9]。CMAP与CESAR的功能基本相同,均是将视频、语音、数据融合到边缘QAM并能由此提高带宽利用率[12,13,14]。二者主要不同点在于[14]:CAMP可选实施视频内容加密,而CESAR不支持;CESAR只定义了集成式架构,而CMAP定义了集成式与模块化两种架构;CESAR可支持各种接入技术,而CMAP只支持同轴接入技术。设备供应商们认为同时生产两套系统设备很不方便[12,13],而MSO认为CAMP与CESAR两者是可以互为补充的[14]。于是,CableLabs于2011年6月14日在Cable Show 2011发布了“CCAP架构技术报告”[9,10,11,12,13,14,15]。有线电视融合接入技术平台(Converged Cable Access Platform,CCAP)合并了CMAP与CESAR的核心接口需求[9,10,11,12,13,14,15],集成了广播QAM、窄播QAM、DOCSIS 3.0上/下行接口,并可选支持10G-DPoE[7,9,15],将交换、路由、CMTS、QAM视频、DPoE等进行融合[8];可实现传统视频传输方式向下一代视频传输方式(通过DOCSIS或其他接入技术的可管理IP视频传输)的有效转换[7,8,9,15]。相对现有网络,CCAP可以节约一半的机房空间[4,7,10,15,16],50%～60%的电力消耗[4,7,8,10,15,16]和部分散热成本[4,7,15],使容量增大4倍[1,4,7,15],并可望减少3/4单位带宽成本[1,7,17]。

根据已部署的DOCSIS架构I-CMTS(Integrated CMTS)和M-CMTS(Modular CMTS),CCAP相应定义了集成式CCAP(Integrated CCAP,I-CCAP)和M-CCAP(Modular CCAP)两种参考架构[15]。I-CCAP与M-CCAP均支持[15]IPv4、IPv6、多协议标签交换(Multi-Protocol Label Switching,MPLS)、VPN组播、IP路由与转发功能;支持RIPv2,IS-IS,OSPFv2,BGPv4等路由协议和边缘QAM数字视频(广播、窄播)业务、DOCSIS业务;支持DPoE。

1 I-CCAP[2,7,15,18]

I-CCAP参考架构如图1所示,拥有多个视频信号输入接口,输入格式为以UDP/IP协议经以太网传输的MPEG单节目传输流(Single Program Transport Stream,SPTS)或者多节目传输流(Multi-Program Transport Stream,MPTS)。输入信号经处理后,从I-CCAP的射频接口输出。

1.1数字视频传输

边缘资源管理器(Edge Resource Manager,ERM)可以内置于I-CCAP,也可以是I-CCAP外部的一个控制接口,用于管理HFC网络中QAM端口及下行频率的使用,并向会话资源管理器(Session Resource Manager,SRM)报告拥有足够带宽且与STB服务组有连接的I-CCAP射频输出接口。

I-CCAP拥有多个视频信号输入接口,输入格式为以UDP/IP协议经以太网传输的MPEG SPTS或者MPTS。输入信号经处理后从I-CCAP的射频接口输出。

1.1.1窄播业务的传输

1)VoD业务的传输

当用户点播某一个节目时,STB上的VoD客户端便向位于有线电视前端的VoD SRM发送请求信息,当查询到视频资源后,视频流便以恒定码率(目前还不支持可变码率)的单播SPTS传送至I-CCAP,再通过UDP端口映射或者在ERM的控制下,找到有足够带宽的QAM端口与RF,将输入的多个SPTS进行复用(形成MPTS)、加扰、QAM调制、上变频等处理,然后从射频端口输出。

2)SDV业务的传输

当用户换台(切换到另一个频道)时,STB(支持SDV功能)向位于有线电视前端的SDV SRM发送请求信息,SRM将节目所在的多播组告知ERM,ERM再指配相应的I-CCAP。然后,交换式数字视频多播源便将预先处理好(如加密)的恒定码率SPTS传送至指定的I-CCAP,I-CCAP将输入的多个SPTS进行复用(形成MPTS)、QAM调制、上变频等处理,然后从射频端口输出。

1.1.2数字广播业务的传输

I-CCAP的每个下行线卡可支持多个频道(每个模拟频道里复用了多套数字广播节目)的视频传输。

1.2数据传输

I-CCAP能以同样的方式执行CMTS的所有功能:通过网络侧接口,从分布与汇聚网络接收来自Internet、视频源、PacketCable VoIP、DSG前端控制器的信号;并执行所有MAC层功能(信令功能、下行带宽调度、DOCSIS成帧)及所有与DOCSIS相关的初始化及运行程序。下行:I-CCAP为其覆盖的服务组建立DOCSIS QAM信道,经过调制后,通过QAM下行线卡输出,与模拟广播信号、OOB(Out-Of-Band,带外的)信号混合后馈入HFC网络。上行:来自CM的信号被分离成OOB(若有的话)及DOCSIS数据,分别馈入OOB服务器与I-CCAP。

在I-CCAP机架中插入DPoE系统线卡及DOCSIS适配模块(用于配置与管理DPoE网络),即可通过10G-EP-ON的网络-网络接口及DPoE网络提供HSI(High Speed Internet)服务。

ERM用于获取向服务组传输数据流所需的RF/QAM带宽与CCAP资源。

DTI(DOCSIS Timing Interface)服务器用于同步DOCSIS时钟及TDM时钟。

“包处理”用于用户管理、业务流管理、视频流处理(如PSI重构、PCR修正、MPTS生成等)、第3层路由、高层协议操控。

1.3 I-CCAP的输出

首先,I-CCAP QAM下行流与带外数据、模拟广播信号混合后通过HFC网络传送至MTA(Multimedia Terminal Adapter,多媒体终端适配器)/CM,提供PacketCable VoIP服务及HSI服务;网关接收以IP协议或MPEG TS传输的视频;STB对QAM视频进行处理,并通过内置的CM上行发送命令与控制数据(也可通过传统的带外通道发送)。紧接着,I-CCAP PON的输出通过ODN传送至DPoE(DOCSIS Provisioning of EPON)ONU。

2 M-CCAP[2,4,15,17]

如图2所示,M-CCAP将I-CCAP分解成在物理上与逻辑上相互独立的包处理部分与接入处理部分,分别对应PS(Packet Shelf)和AS(Access Shelf),1个AS可以支持一种或多种接入技术,也可被配置成只具有下行功能的边缘QAM(这种AS的部署是将现有的CMTS/边缘QAM架构替换为CCAP架构的关键)。PS与AS可以部署于同一位置,也可部署于不同位置。AS承担接入技术的PHY及MAC功能,对于DOCSIS接入,AS还执行I-CMTS中通用边缘QAM(Universal Edge QAM,UEQAM)的功能。PS承担MAC层以上的功能。

2.1 PS与AS

PS:1)提供运营支撑系统接口(Operations Support System Interface,DOCSIS OSSI);2)为PS及与其所覆盖的所有AS提供SNMP管理功能;3)为PS及与其所覆盖的所有AS提供配置接口;4)进行用户管理;5)支持IP路由协议与MPLS路由协议,支持L2 VPN与L3 VPN;6)支持L2 VPN的数据包封装与转发;7)提供通用的PA-SI(Packet to Access Shelf Interface)管理平面、控制平面、数据平面;8)提供IP/MPLS的QoS、整形、调度;9)支持PacketCable及PCMM(PacketCable Multimedia);10)提供有线宽带侦听及PacketCable监控功能;11)提供深度包检测功能。

不同的AS具有不同的功能,但具有共有功能:1)终结PASI管理平面、控制平面、数据平面;2)连接管理信息库(Management Information Base,SNMP MIB);3)响应来自PS的配置请求,处理AS配置对象;4)产生系统日志消息/SNMP Trap,并上报给PS或者DOCSIS OSS。

只支持DOCSIS接入的AS具有以下功能:1)CM测距;2)调制与解调;3)DOCSIS时钟;4)上行带宽分配与调度;5)下行数据的DOCSIS成帧及排列;6)信道绑定的调度。

2.2 PASI

PASI的定义为PS及AS产品提供了互操作性。

2.2.1管理平面

PASI管理平面以NETCONF协议进行管理:PS将来自OSS的SNMP查询请求消息以NETCONF协议转发到相应的AS,AS将应答消息以NETCONF协议传回PS,PS汇聚所有的应答消息后,再将其上报给OSS中的SNMP管理。配置信息的处理流程与上述的管理信息处理流程相同。

2.2.2控制平面

PASI控制平面以接入节点控制协议(Access Node Control Protocol,ANCP)这个实时协议用于PS与AS间的信息交流,如当对CM测距时,AS会以ANCP协议向PS通告这一事件;AS将线路性能及信道绑定配置情况以AN-CP协议告知PS,PS再进行QoS调度的调整。

2.2.3数据平面

若PS与AS并非直接相连(之间存在其他网络),则M-CCAP在发送数据之前先对其进行以太帧封装,并打上802.1 Q VLAN标记,中间网络将其转发到AS或PS。这种数据传输方式可利用之前部署的以太网及城域以太网的优势。

另一种数据传输方式可以利用现有网络中边缘路由器的转发能力:下行方向,PS先给数据包加上双层标记的MPLS头部,加上以太帧头部并打上VLAN标记,转发至AS,AS删除数据包中MPLS头部、以太帧头部、VLAN标记后,再将数据转发至DOCSIS接入网;上行方向,AS先给数据包加上双层标记的MPLS头部,加上以太帧头部并打上VLAN标记,转发至PS,PS删除数据包中MPLS头部、以太帧头部、VLAN标记后,再将数据转发至IP/MPLS汇聚网。

3 对DPoE的支持[2,15,19]

DPoE采用EPON的PHY、MAC与DOCSIS的上层协议,CCAP支持DPoE的全套标准。如图3,DPoE系统部署于I-CCAP机架或M-CCAP的AS机架,每个I-CCAP机架将至少可部署16个EPON接口,5 km以内可用1∶128分光、10 km以内可用1∶64分光、20 km以内可用1∶32分光、30 km以内可用1∶16分光、50 km以内可用1∶4分光。核心设备为DOCSIS适配器(可内置于DPoE系统,也可作为一个外部服务器),其在DPoE系统中分别为CCAP线卡中的OLT及用户端的DPoE ONU提供CMTS及CM MIB代理,通过逻辑接口(遵循DPoE OSSI标准,对DPoE网络进行配置与管理)与协议转换功能将EPON设备纳入DOCSIS OSSI框架。

4 配置与管理[15]

为了利用现有DOCSIS OSS,同时以最简洁的方式来部署CCAP,CCAP配置与管理的目标就是为不同的平台提供统一的配置方式,通过1个配置接口对所有业务进行配置。在网络管理方面,CCAP OSSI规范所定义的MIB包括DOCSIS MIB,SCTE MIB和IETF MIB。另外,配置文件的局部存储将有助于业务在更换故障设备时的快速恢复。

CCAP的配置可以通过多种方式进行:命令行界面、基于配置文件的处理、NETCONF协议、网络服务等。以这些方式为基础,可以建立“配置对象模型”来定义需要配置的参数及各参数间的关联。在CCAP中,这种配置对象模型语言被定义为UML,并将YANG作为配置数据对象模型语言。在YANG语言中,通过XML纲要来建立用于配置CCAP的XML文件,CCAP解析整个XML配置文件,并进行配置。

5 支持的规范[15]

CCAP支持的DOCSIS规范如表1[15]所示。

注:※表示面向EPON;M表示强制;P表示部分需求;O表示可选支持;NA表示不适用。

6 接口及部署

以下描述CCAP的HFC接口及网络侧接口。将来,CCAP将扩展工作频谱,支持其他接入网络技术(如EoC、同轴EPON、EPoC等)。

6.1 HFC接口[1,2,4,15,21]

6.1.1 下行射频接口

CCAP极大地增加了单个边缘设备的接入能力,一个大型CCAP机架可支持至少40～60个下行RF端口,一个小型CCAP机架可支持至少16～20个下行RF端口。每个端口最多可部署64个窄播QAM频道及96个广播QAM频道,图4给出了频谱安排的两个示例,数字广播/窄播频道可选64QAM或256QAM调制。下行RF端口以F头及75Ω微型同轴电缆连接到RF混合器,与模拟广播、带外管理数据混合后,馈入光发射机。

6.1.2 上行射频接口

一个大型I-CCAP机架可支持至少80～120个上行端口,一个小型I-CCAP机架可支持至少32～40个上行端口,每个UPIC(Upstream Physical Interface Card)可支持至少16个上行端口。每个上行RF端口可承载4～6个(推荐值为6个)DOCSIS上行频道。上行RF端口以F头及75Ω微型同轴电缆连接到上行光接收机。

对于北美,每个上行RF端口的频率范围为5～42 MHz或5～85 MHz,每个模拟频道的带宽可为1.6 MHz,3.2 MHz和6.4 MHz。对于欧洲,每个上行RF端口的频率范围为5～65 MHz,每个模拟频道的带宽可为1.6 MHz,3.2 MHz和6.4 MHz。

6.1.3 与现有网络架构的对比

如图5所示,CCAP上行RF端口数与下行RF端口数之比可变,但推荐值为2∶1。

6.2 网络侧接口[15]

CCAP的网络侧接口是多个标准化的可插拔10GbE(IEEE 802.3ae)光模块(未来可升级至IEEE 802.3ba所定义的100GbE光接口)。对于大型的CCAP机架,网络侧接口至少支持160 Gbit/s,对于小型的CCAP机架,网络侧接口至少支持80 Gbit/s。I-CCAP中,网络侧接口在路由交换线卡上。M-CCAP中,网络侧接口在PS的管理线卡上。网络侧接口支持IEEE 802.3以太帧(untagged)封装。

CCAP也支持将10G-EPON接口作为独立的网络—网络接口,以提供HSI服务。

6.3 网络部署[1,2,16,20,21,22,23]

CCAP的实现无需任何新的芯片。目前已经有了突发的解调芯片与相应的MAC芯片,下行则仍可利用现有的很多厂家都可提供的FPGA及数模转换器所组成的DDS技术,下行单芯片的处理能力在不断增强(可同时处理整个频谱内的QAM频道,甚至更多数量的QAM频道)。技术的进步可以进一步减小CCAP印刷电路板的体积、电力消耗、成本等。

北美、南美、欧洲的MSO都很看好CCAP,Comcast将于今年年末进行CCAP实验室测试及场测,2012年开始部署,TWC随后也将部署,Cox将于2012年末或2013年初部署CCAP。部署CCAP后,每个光节点覆盖200户左右,数据业务与广播业务在同一个平台上运行,这对有线电视从业人员的素质提出了更高的要求(之前,这两种业务是分开运维的)。图6所示为CCAP部署策略,最终实现有线电视网络向全IP网络的演进。

7 CCAP可靠性机制[15,22]

CCAP对上联接口、路由/交换引擎、电源、散热等进行1+1备份,对线卡、EPON接口等进行N+1备份。为降低故障的平均恢复时间,CCAP采用“一次布线”机制,只需更换发生故障的物理接口卡,而无需进行再次布线,还采用模块化的软件设计,以使某项业务出现故障后不影响其他业务,并对配置文件进行局部存储,以使业务在更换故障设备时能快速恢复。

摘要：CCAP(Converged Cable Access Platform,有线电视融合接入技术平台)是美国及欧洲有线电视技术体制的重要发展方向。介绍了CCAP的背景和I-CCAP、M-CCAP两种架构,描述了CCAP的多种配置方式、系统接口、网络部署和可靠性机制。CCAP可实现传统视频传输方式向下一代视频传输方式的有效转换,对视频IP化及网络DVR业务具有重要意义。