终端接入网(共7篇)
终端接入网 篇1
0 引言
“十二五”期间, 国家电网公司在加快部署智能化业务的同时, 提出了加强终端通信网建设, 努力提高专网覆盖比例, 将通信覆盖向低压侧业务终端延伸的目标。并且在配用电通信接入网试点建设的基础上, 针对不同的通信技术体制, 已逐渐形成了一些具有代表性的接入网典型建设方案和组网模式[1,2,3]。随着光纤覆盖的不断延伸, 以光纤接入方式为主, 电力线载波、无线专网和公网等其他接入方式为补充的多种通信手段融合互补将是未来电力终端通信接入网的技术发展方向[4]。
目前, 国家电网公司的运检、营销等业务部门根据自身需求, 分别建设了供自己业务使用的通信接入网。这种分散建设方式是各业务系统独享专用的通信资源, 不会出现业务间的冲突干扰, 业务接入的安全可靠性较高。但是, 分散建设的不足也是显而易见的。终端通信接入网呈现自成体系、条块分割的局面, 采用的通信技术种类繁多, 标准规范不完善、网络资源利用率低、系统可扩展性差、缺少统一的网络规划和接入网性能评价体系, 导致整个接入网的建设投资存在一定浪费。
基于终端通信接入网基本现状和业务需求, 本文提出了接入网统一建设的基本思路, 采用多业务承载与隔离技术予以实现。
1 建设思路
终端通信接入网统一建设的总体目标是, 在统一的物理网络上实现跨业务部门的多业务综合接入;在确保各类业务安全可靠接入的前提下, 充分提高网络的通信资源利用率, 降低接入网建设成本和运维管理难度, 提升电力终端通信接入网建设的标准化水平。
为实现上述目标, 首先要全面分析所建设接入网承载业务的通信需求。需求分析的准确性直接决定了接入网统一规划的可靠性。需求分析的内容主要包括:①业务的接入性能要求, 包括单节点传输带宽、端到端时延、丢包率、业务并发率、业务连通率等;②网络建设规模, 包括网络覆盖范围、接入终端数量以及与骨干网的接口需求等;③业务的安全可靠性要求, 包括业务安全隔离方式以及终端采取的身份认证措施等;④线路环境条件, 包括线路的光纤覆盖情况、无线信道环境特点和可用频谱资源等。
在选择接入网采用的具体通信体制和组网方式时, 既要确保配用电业务的通信质量, 如传输速率、实时性、误码率, 又要结合现有的线路环境资源, 如光缆, 可用的无线频谱, 从网络的经济性、灵活性、可扩展性、稳定性、安全可靠性等各个方面进行综合评估, 提出针对不同应用场景的典型建设方案。在不考虑公网接入的情况下, 典型的电力终端通信接入网建设方案包括:光纤专网统一建设模式、无线专网统一建设模式和光无线融合网络统一建设模式。
接入网统一建设的关键主要是如何解决接入侧的多业务统一承载与安全隔离的问题。现有配用电通信网络是通过采用不同的物理网络承载不同业务实现安全隔离。而统一建设模式则要求在一个物理网络上实现多业务的综合接入与资源共享。具体来说, 就是将配电自动化“三遥”、电能质量监测、用电营销、分布式能源等归属不同安全大区的业务通过同一个物理网络接入到子站系统, 再从子站设备的不同上联通道分别接入到骨干传输网络。
2 需求分析
2.1 业务终端接入现状
目前终端通信接入网的层次架构, 依据电压等级, 主要划分为10 k V、0.4 k V和入户终端通信接入网3个层面 (见图1) 。运检、营销、农电等业务部门根据各自的业务种类和特点、通信覆盖范围要求、终端数量以及线路环境条件等因素, 选择了光纤、无线、载波等不同通信方式建设独立承载自身业务的通信接入网并由各业务部门自行维护和管理所建网络。其中10 k V终端通信接入网主要服务配电自动化业务, 是配电主站、配电终端和配电子站之间实现信息传输的通信网络, 由运检部负责建设;0.4 k V终端通信接入网主要服务用电、营销业务, 是连接营销系统、台区集中器、智能电表等实现信息传输的通信网络, 由营销部负责建设。由于2张网承载的业务属于不同的业务部门, 因此在接入主站时采用了2套独立的通信网络设备来实现物理隔离。
2.2 终端承载业务安全隔离要求
按照电网生产、运行及企业管理、经营等特点, 电力通信网承载的业务类型划分为电网生产控制 (Ⅰ、Ⅱ区) 和管理信息 (Ⅲ、Ⅳ区) 两大类业务。10 k V终端通信接入网承载的业务属于Ⅰ、Ⅱ区, 包括电网调度电话、线路继电保护、输变电设备监测、配电自动化、配电运行监控、分布式电源接入、电能质量监测、移动作业等;0.4 k V终端接入网的业务属于Ⅲ、Ⅳ区, 包括物资管理和营销管理中的用电信系采集、智能营业厅、用户双向互动、故障抢修管理、需求侧管理、营销增值业务等。两大类业务之间要求物理隔离。
2.3 对网络接入性能的需求
这些接入业务中, 部分对传输带宽和实时性要求较高, 例如输变电设备检测、配用电视频监控;部分对传输带宽要求不高, 但对实时性、可靠性要求非常高, 例如配电自动化业务、配电运行监控、分布式电源监控等;还有些对实时性和传输速率要求不高但通信终端数量非常庞大, 如用电信息采集业务、物资管理等;部分业务需要接入网络支持终端的移动性和互动化通信能力。目前无线公网在上述业务的支撑上占据了较为重要的比例, 如移动作业、应急指挥通信、移动巡检等。
3 技术方案
为保证满足国家电网公司《电力二次系统安全防护总体方案》的要求, 本文提出接入网业务隔离基本原则:生产控制区 (Ⅰ、Ⅱ区) 业务和信息管理大区 (Ⅲ、Ⅳ区) 业务间采用物理隔离;生产控制区或者信息管理大区内的不同业务之间采用逻辑隔离。
此外, 根据承载的不同类型业务特点选择合适的通信方式建设统一接入网络, 例如, 对实时性、可靠性要求较高的业务优选光纤接入[5,6];对传输速率较低, 分布较为分散的业务优选无线或载波接入等[7]。下面以光纤专网和无线专网为例, 描述一种业务隔离的具体实现方法。
3.1 光纤专网多业务承载
在EPON系统中, 将不同类型业务终端接入不同的ONU, 或者在同一个ONU内为不同的接入业务终端建立对应的数据缓存队列, 利用上行时分复用的特点, 每个ONU在分配的时隙内上传某一种业务的数据包, 从而实现多业务统一承载与隔离。OLT侧的物理隔离采取GE上联口双隔离方式;逻辑隔离采用为划分VLAN方式实现。
EPON网络局端OLT与终端ONU普遍支持二层交换协议, 支持VLAN技术划分逻辑子网, 可用于区分不同的接入业务终端;对于具备三层交换功能的OLT设备, 支持三层VPN协议, 上联骨干网与业务主站之间可建立端到端的三层VPN隧道。因此, 基于EPON系统的终端通信接入网可以通过划分VLAN的方式实现不同业务的逻辑隔离。
图2给出了EPON系统基于VLA N的逻辑隔离网络架构。该方案中EPON网络同时承载了分布式能源接入、配电自动化、配变监控和电能质量监测4类业务。每个PON口下接入同类业务的ONU划分为1个VLAN;形成了4个承载不同业务的VLAN, 实现配网中多业务接入侧的逻辑隔离。
3.2 无线专网多业务承载
无线专网基于VPN的虚拟网解决方案主要包括以下2种。
1) 基于二层VPN的虚拟网方案。根据连接无线通信终端的业务终端种类, 将某一无线基站覆盖区域内接入同类业务的通信终端划分到一个VLAN内, 不同VLAN的终端在无线接入时共享信道资源, 不为各种业务分配单独的专享信道。根据业务实时性和传输带宽的要求, 在不同VLAN之间设置接入优先级, 同一个VLAN中的所有终端享有相同的接入优先级。基站接收到数据后, 解析终端的IP地址和所属的VLAN, 即可确定业务类型。该方案在系统扩容增加新的接入终端时, 不仅需要将新接入终端的地址重新添加进原有VLAN中, 而且需要考虑是否逼近系统容量上限。
2) 基于频段或子载波划分的虚拟网方案。基于频段或子载波划分的虚拟网实现方案如图3所示。在一个基站的覆盖范围内, 固定分配若干个子载波给不同业务终端使用, 各终端可以采用频分多址接入基站的射频拉远单元 (Radio Remote Unit, RRU) , 再通过光纤接入到基站的基带处理单元 (Base band Process Unit, BBU) , 最后通过不同的核心网接入配电自动化主站的业务系统中。由于子载波之间的正交性, 使得尽管频谱叠加的子载波在传输信号时不会产生干扰, 因而能够保证所有传输不同业务子载波的物理隔离。在BBU侧, 不同类型的业务通过独立的上联GE接口接入管理不同安全区业务的核心网, 再利用根据业务种类划分端到端的VPN机制, 保证不同业务从基站到主站的传输使用独立的传输通道, 达到物理隔离的要求。
以230 MHz的1 M带宽为例进行规划, 对于同一覆盖区域内的2种及以上业务, 可以将40个子载波中的20个子载波用于传输配电自动化业务, 另外10个子载波传输用电信息采集业务。子载波的选择可以根据实时的信道质量情况进行分配, 也可以根据业务需求的变化灵活的进行调度。基站对收到的基带信号进行处理时, 根据不同频率区分承载的业务数据类型, 进而通过基站不同的物理端口将业务上传到相应大区的主站系统中。
3.3 通信方式的选择
选择何种通信方式来建设统一的终端通信接入网需要综合考虑以下几方面因素:①网络覆盖范围内的终端数量和种类, 因为这决定了网络需要提供的上行带宽需求;②接入的业务类型, 这决定了业务的实时性、可靠性要求;③终端的分布特点以及现场的应用环境, 主要包括是否具备光纤资源, 建筑物是否过于密集, 不利于无线信号的传播, 基站是否便于架设等等。统一建设过程中, 需要综合考虑接入的所有业务特点, 选择最优的通信方式, 确保满足在一张网中承载的各类业务的通信需求。
4 配电业务通信网统一建设的经济性
为说明接入网统一建设能够显著降低网络投资, 以图2所示的EPON网络的典型建设方案为例进行投资成本分析。该案例中包含有4个虚拟网 (VPN) , 以一般承载分布式能源10个ONU、配电自动化10个ONU、配变视频监控20个ONU和电能质量监测5个ONU业务接入考虑。每条配电线路按照柱上开关15台, 开闭站2座, 环网柜8座, 箱式变电站30座, 杆上变压器50台计算, 共105个站点均需要实现配电自动化“三遥”业务, 共需要ONU终端105个;此外, 视频监测点2个, 电能质量监测点1个, 分布式电源监控点1个, 共需要ONU终端4个。即一条线路合计需要ONU终端109个。如果按照每个PON口带8个ONU技术计算, 再考虑一个VPN至少需要1个GE接口因素, 至少5个GE接口。因此, 按照此配置要求, 需要采购1台32PON接口的OLT设备。安全接入平台和安全模块的费用不计入估算范围。表1给出了该案例情况下配电业务通信接入网统一建设和不同业务单独建设所需设备数量的对比。按目前价格计算, 统一建设模式下网络设备投资总计约为141.06万, 而不同业务系统独立建设网络设备投资大约是这一数字的2倍。
5 结语
配用电业务智能化水平的不断提升对接入网的通信覆盖率、业务承载能力以及安全性等方面提出了更高的要求。为提高通信资源的利用率, 降低网络建设成本和网络运维管理难度, 本文从通信网络建设角度提出了统一建设的基本思路及总体技术方案, 并通过典型案例说明了接入网统一建设的经济性。统一建设作为未来接入网建设模式的一个探索方向, 其业务的安全隔离性能成为多业务承载的关键点和难点, 这将在今后的研究中进一步验证。
参考文献
[1]康恩婷, 侯思祖, 高宇.配网自动化无线通信方案的探讨[J].电力系统通信, 2005, 26 (2) :29–32.KANG En-ting, HOU Si-zu, GAO Yu, Discussion about communication schemes in the distribution automation[J].Telecommunications for Electric Power System, 2005, 26 (2) :29–32.
[2]林建华.电力线宽带载波通信在智能配网中的应用[J].电力系统通信, 2011, 32 (8) :74–77.LIN Jian-hua.The application of broadband power line carrier communication in smart distribution network[J].Telecommunications for Electric Power System, 2011, 32 (8) :74–77.
[3]李廷华, 黄铭, 施继红.基于WiMax的城市配网通信方案及其集抄应用[J].电力系统通信, 2010, 31 (8) :58–60.LI Ting-hua, HUANG Ming, SHI Ji-hong.Communication scheme for urban power distribution network and its application on meter reading based on WiMax[J].Telecommunications for Electric Power System, 2010, 31 (8) :58–60.
[4]毛弋, 蒋盈, 李宝玉.多种通信方式并存的配网自动化通信系统的研究[J].湖南师范大学自然科学学报, 2013, 36 (4) :31–36.MAO Yi, JIANG Ying, LI Bao-yu.Study on coexistence of multiple means of communication for distribution automation communication system[J].Journal of Natural Science of Hunan Normal University, 2013, 36 (4) :31–36.
[5]程远, 石丰琦, 樊强.基于EPON的配网自动化通信技术研究[J].电力系统通信, 2012, 33 (12) :6–11.CHENG Yuan, SHI Feng-qi, FAN Qiang.Research on distribution network automation communication technology based on EPON[J].Telecommunications for Electric Power System, 2012, 33 (12) :6–11.
[6]程远, 冯保, 樊强.基于EPON技术的用电信息采集系统分析研究[J].电力系统通信, 2012, 33 (9) :17–20.CHENG Yuan, FENG Bao, FAN Qiang.Analysis and research of power consumption information collection system based on epon technology[J].Telecommunications for Electric Power System, 2012, 33 (9) :17–20.
[7]徐律佳, 杨乐祥.利用无线宽带技术构建智能配网通信接入方式[J].电力系统通信, 2011, 32 (10) :73–77.XU Lv-jia, YANG Le-xiang.To build the transmission channel of intelligent distribution network by wireless broadband technology[J].Telecommunications for Electric Power System, 2011, 32 (10) :73–77.
终端接入网 篇2
蓝牙是一种支持设备短距离通信的无线电技术。它能在包括移动电话、PDA、数码相机、蓝牙耳机、笔记本电脑、相关外设 (包括打印机、鼠标、键盘及其他) 等众多设备之间进行无线信息交换。据市场研究机构IDC公布的数据, 2010年全球手机市场上将有68%的产品具备蓝牙技术, 而美国市场上将有80%的手机配有蓝牙模块。为了使移动设备诸如移动电话、个人数字助理等在一定范围内将这些设备互联接入局域网或Internet无缝共享网络资源, 提出了基于蓝牙技术的局域网安全接入方案并在移动设备上和接入点基于主机Windows系统上相应编程实现。
1 蓝牙技术和个人局域网原理
本文重点介绍个人局域网规范的应用, 采用BNEP网络封装协议, 在Symbian操作系统的智能手机平台上实现移动终端接入网络。
1.1 蓝牙网络封装协议BNEP
针对PAN应用而设计的BNEP协议, 它提供了构建蓝牙无线局域网的另一种应用模型, 在这种解决方案中, 网络层与L2CAP之间无须再插入PPP和RFCOMM层, 而由BNEP完成从IP层到L2CAP层的映射网络协议层次如图1所示。蓝牙个人局域网就是利用BNEP为蓝牙设备提供组网能力, 使两个或者多个蓝牙设备组成一个临时自组织网 (Group Ad-hoc Network, GN) , 或通过网络接入点 (Network Access Point, NAP) 访问远端网络。BNEP提供蓝牙协议栈和TCP/IP协议栈的转换, 是实现PAN的前提。它可以和IEEE802.3以太网封装支持同样的上层网络协议。BNEP净荷区的MTU定为1691个字节, 这样可保证网络层向下发送的以太层封包的一次性传送, 这种网络构建方案有效地提高了无线网络的通信效能。在数据传递方面, BNEP直接接收IP层向下发送的以太网封包, 并将以太网净荷区直接复制到BNEP净荷区, 加上BNEP头部之后发送到L2CAP层。
1.2 实现原理
1.2.1 网络接入拓扑结构
蓝牙技术应用于办公室等环境近距离无线上网拓扑结构如图2所示, 蓝牙无线网络接入点NAP采用Windows平台, 采用RJ45有线接入方式, 以获得较快速率。最多同时7个处于活动 (Active) 状态的从设备与网络接入点采用蓝牙实现无线连接。
1.2.2 实现原理和流程
NAP为个域网中的所有用户 (PANU) 提供所有连接设备借以太网封包转发服务和外部网络接入服务。NAP可被看作是具有蓝牙功能的网桥或是网关, 功能强大的NAP甚至可以是支持蓝牙设备的路由器, NAP的所支持的功能应符合802·1D标准。移动终端设备与服务器端利用BNEP协议实现互联和数据的传输。典型的NAP网络如图3所示。
PANU作为NAP网络的客户端出现在蓝牙网络中, 在服务器端 (NAP) 的支持下实现同步。NAP和PANU之间也使用BNEP交互数据。服务器端提供DHCP和同步等服务, PANU不提供DHCP和同步等服务。
PANU可以由带蓝牙功能模块的PC和PDA智能设备构成, 把蓝牙模块通过程序实现为蓝牙虚拟网卡, 相当于一块真实网卡的功能。如果是PC作为PANU, 那么本地网卡可以禁用或卸载。同样, NAP服务器端采用PC作为个人局域网接入点, 需要把蓝牙适配器通过程序设置为蓝牙虚拟网卡, 同时本地网卡连接到LAN上, 再配置网关代理软件实现蓝牙个人局域网和本地局域网不同网段数据转发。这样, 即可实现带有蓝牙终端设备接入Internet。
BNEP协议能够非常有数地承载IP, 可以传进、传出以及在蓝牙个域网中交换IP包。使用BNEP协议将完全未做改动的以太网负荷 (Payload) 在蓝牙设备间交换, 给蓝牙网络以更宽广、更开放的接口, 该协议对上层提供类似于以太网的接口。BNEP为蓝牙设备提供了类似以太网接口的IP层, 它在蓝牙协议栈中介于IP层与L2CAP之间。在这种PAN模型中, 网络层与L2CAP之间无须再插入PPP和RFCOMM层, 而由BNEP完成从IP层到L2CAP层的映射。个人局域网接入NAP客户端示意图如图4所示。
虚拟网卡BTNIC通过它就可以利用蓝牙个人局域网直接传输数据。物理网卡NIC是PC机上的物理网卡驱动程序, 通过这个驱动程序可以使用户访问外部网络。程序启动后, 多一个本地连接2, 增加一蓝牙网卡 (Bluetooth Pan Network Adapter) , 如图5所示。
1.2.3 防御蓝牙PIN码攻击改进算法
如果移动终端PANU和NAP是第一次通信, 此时两设备没有公共链路密钥可用, 则各自生成初始链路密钥作为公共链路密钥进行验证, 否则, 就用各自存储的公共链路密钥进行验证。鉴权之后, 两个蓝牙设备分别存储公共链路密钥以备下一次验证使用。公共链路密钥采用的是一个蓝牙设备的单元密钥, 或是两个蓝牙设备的组合密钥。经过鉴权身份确认成功之后就可以进行加密来传输数据。由通信流程可以看出, 验证过程的安全决定着后面数据通信的安全。
破解通过猜测PIN码, 并且像蓝牙手机输入方式非常不方便的设备, 人们往往采用较短的1-4位PIN值。所以, 这种用该方法对4位PIN码攻击在0.27s的时间就能获得正确PIN码。如何保证PIN码安全已经成为当前蓝牙网络安全不容忽视的问题。
有学者研究指出防御蓝牙PIN码攻击的方法是在PIN码进行E22算法之前, 通过增强PIN码的复杂度来抵御PIN码攻击的方法。比如PIN码长度设置为8、12、16位, 或者是当设备两端输入不同的小于8位的PIN码时, 将其修正成8位, 运用修正算法 (如复制) 将PIN码以8个字节为修正基准, 当PIN码小于等于8个字节时, 通过复制连接PIN码使其大于8个字节, 如12345, 得到1234512345, 当PIN码大于8个字节的PIN码, 取中间8个字节 (如果PIN码的字节数为奇数时, 取中间偏后的8个字节) , 最后得到一个新的8个字节的PIN。
由于上述方法各有优缺点, 在本系统中提出采用了对于PIN长度为4的密钥。在蓝牙设备每次配对时加密过程时间增加1秒。那么对于攻击来说, 它的每一次PIN的破译过程就需要增加一秒, 要想得到正确的PIN码, 对于PIN码长度为4的密钥, 就需要1*104/2*0.36*104=1小时时间, 8位的话就需要10000小时的时间, 对于移动的设备已经够用了, 并且双方配对等待时间为60s, 超过时间没有配对相应则实效, 即破译该密码的时间超过该信息有用的生命周期。
算法是在生成初始密钥之前, 通过在进行E22加密算法异或移位等运算之前增加一个MD5过程来增加加密的时间, 就是进行反复的运算, 来进行增加加密时间。实践证明该改进方案可以有效降低PIN码被攻击的机率。原产生初始密钥算法如图6所示, 改进后的初始密钥生产过程如图7所示。
2 系统开发实现
构建蓝牙无线局域网核心协议采用BNEP接入NAP网络接入点, 重点工作是移植到移动终端Symbian操作系统上以及蓝牙模块虚拟为蓝牙网卡驱动编写。
Symbian OS平台是智能手机平台中对蓝牙技术支持最完善的平台, 它涵盖了绝大多数的蓝牙剖面, 提供了详细的蓝牙SDK开发包和实用的开发实例, 使得开发人员在Symbian上开发蓝牙应用程序成为可能。
笔者完成的蓝牙PAN移动终端软件正是基于Symbian OS平台的蓝牙应用程序。它实现了与服务器端网络接入点构建了个人局域网并实现接入网络。
在客户端完成的工作是通过C++语言, 整个编码、编译、运行工作都可以在微软公司的VC++6.0下完成。需要在VC中链接Symbian提供的库函数即可实现, 而这些库函数可以通过安装Symbian OS的SDK得到。把BNEP协议移植到手机上, 在手机上实现蓝牙个人局域网接入网络NAP, 并把移动终端的蓝牙模块通过编写驱动程序虚拟为蓝牙虚拟网卡。
服务器端的实现基本与客户端类似, 也是在VC开发平台下完成, 把CSR公司的USB dongle蓝牙2.0适配器虚拟为蓝牙网卡, 构建蓝牙个人局域网服务器端。
通过程序算法设计实现了多个移动设备同时接入互联网, 服务器端无需人员值守, 还能实时监测移动设备的网络浏览情况和网络速度。
3 结束语
构建蓝牙无线局域网核心协议采用BNEP接入NAP网络接入点, 移植到移动终端各操作系统上 (Symbian、Windows Mobile、Palm OS等) 。蓝牙模块虚拟为蓝牙网卡驱动编写, 给出了解决方案, 具有较强的实用性。也希望本文能够带动更多的有志之士加入到研究开发蓝牙网络接入的行列中来。
摘要:在对蓝牙技术和无线个人局域网进行分析和研究的基础上, 详细地介绍了移动终端设备软件和蓝牙局域网接入点NAP在Windows系统上的实现过程。在防御蓝牙配对PIN码攻击方面提出了一种新的防御算法, 提高了蓝牙网络的安全性能。
关键词:蓝牙技术,个人局域网PAN,蓝牙网络封装协议,Symbian操作系统,网络访问点NAP
参考文献
[1]严紫建, 刘元安.蓝牙技术[M].北京:北京邮电大学出版社, 2001.
[2]金纯, 林金朝.蓝牙协议及其源代码分析[M].北京:国防工业出版社, 2006.
[3]王丽美, 费金龙.防御蓝牙PIN码攻击的研究与实现[J].计算机应用, 2009 (4) .
[4]李培源, 阮帮秋.基于BNEP的蓝牙PAN网络设计与构建[J].电力系统通信, 2002 (4) .
[5]过晓华.基于Symbian平台的Bluetooth网络聊天系统的研究[D].重庆:重庆大学, 2006.
终端接入网 篇3
2014年9月4日, 中国电机工程学会电力通信专委会通信接入网学组举办的“终端接入网支撑能源互联网”专题研讨会在杭州成功召开。电力通信专委会接入网学组成员与来自高校、通信厂商和系统内的专家学者就终端接入网支撑能源互联网主题展开讨论, 组员单位分别介绍了接入网建设情况, 并讨论了技术发展趋势, 会议议题包括能源互联网中的信息通信技术、接入网的安全技术研究、宽带接入技术和应用、大数据与云桌面以及无线技术在智能电网接入网的应用等。
终端接入网 篇4
企业办公网移动终端接入面临的安全威胁主要集中在数据传输链路、移动终端、应用系统等方面。如移动终端通过移动通信网络进行的各种攻击、入侵或病毒植入等威胁;如果移动终端安装不明来源的应用中植入的后门、漏洞等被不法分子启用, 将造成企业信息失控、终端设备故障, 或者通过移动通信设备实现内外勾结, 泄露企业内部重要信息等。因此, 如何保证在使用移动终端设备的条件下, 实现移动终端和企业办公网络之间数据共享和交换的安全性, 成为当前亟待解决的重要问题。
目前, 实现终端设备安全接入的主要思路是:移动终端设备在接入网络之前, 由接入控制系统根据企业预先设置的安全策略对其进行检查, 符合安全策略的允许接入, 不符合的则不允许接入, 这样就实现了部分防护功能, 及对非法接入设备的拦截, 除非设备提供合法的安全策略, 否则不允许接入。
目前针对移动终端安全接入的研究主要包括以下3种:微软的网络接入保护NAP (Network Access Protection) 技术、思科的网络准入控制NAC (Network Admission Control) 技术以及可信计算组织TCG (Trusted Computing Group) 的可信网络连接TNC (Trusted Network Connect) 技术。上述终端安全接入技术都会在终端接入网络之前对其进行身份认证和完整性度量, 只有终端可信并且遵循访问策略时才允许其接入网络。
本文将结合无线公开密钥体系 (WPKI) 认证技术和可信网络技术, 建设企业办公网移动终端安全接入系统, 着重描述安全接入系统的总体架构和实现方案。
1 安全接入系统关键技术研究
企业办公网移动终端安全接入系统是企业办公网安全保障体系的重要组成部分, 通过制定移动终端安全接入模式、方法和技术, 建立企业办公网移动终端安全接入系统, 为企业办公网安全保障体系的建立提供技术支撑, 从而确保访问企业资源的所有设备都是有效可控的, 以实现对各种安全威胁的抵御, 有效地阻止这些威胁对企业信息资源的影响。终端设备通过3G等移动通信网络访问企业网络, 必须达到系统规定的安全策略和规则条件, 所有的接入设备通过安全的接入点接入网络, 可以及时发现、预防和消除由移动终端设备带来的安全威胁, 从而大大减少木马和病毒等对企业网络造成的威胁和影响。
1.1 企业办公网移动终端接入工作模式
根据移动终端请求所访问的数据位置的不同, 企业办公网移动接入的工作模式可分为以下两类:
(1) 将移动终端设备应用所访问的数据和资源放在移动接入安全应用服务器上, 这些接入服务器在企业办公网信息资源之外, 只用于移动终端访问, 然后通过使用数据同步和数据交换机制实现接入服务器和企业网络信息资源服务器的数据同步。该模式下, 系统的响应性能很好, 但是数据时效性差, 会造成资源过时, 影响办公的正常进行。
(2) 通过代理的方式实现移动终端数据和资源的访问, 这种模式的实现方法是:将数据和资源统一放在企业办公网内, 移动终端向安全移动接入平台的代理服务器发出请求, 由代理向服务器发出请求, 并返回数据给移动终端设备。该模式下数据的更新和同步及时, 不影响正常的办公流程, 但是移动终端办公所需的资源和请求都要通过代理中转。
根据企业办公网的需求, 采用代理的方式实现移动终端设备接入的工作模式。
1.2 基于可信网络的移动终端安全接入
采用可信网络连接技术实现移动终端安全接入, 形成网络信任链模型M-TNC, 使用可信网络连接技术TNC (Trusted Network Connection) , 通过采用可信主机提供的终端技术, 在移动通信网络环境下实现移动终端访问控制。
M-TNC的权限控制规则采用终端的完整性校验来检查终端的“可信度”。M-TNC的架构分为3类实体:终端访问者AP (Access Point) 、规则判定者RJP (Rule Judge-ment Point) 、规则定义者RDP (Rule Defination Point) 。终端访问者就是移动终端访问设备, 请求服务器的资源;规则判定者和规则定义者就是移动终端安全接入控制系统。M-TNC将传统的接入方式“先连接, 后安全评估”变为“先安全评估, 后连接”, 能大大增强网络接入的安全性。
(1) 元素定义
定义1资源集R={ri|i=1…N}, 企业办公网络的资源集合。
定义2资源服务域RS={R, SDP, AP, ISP}, R是企业网络提供的资源集, RJP是绝对可信的规则判定者, RDP管理整个域的AP及协助网络服务提供者ISP (Internet Service Provider) 验证M-TNC的可信性, 同时受理其他域M-TNC的跨域服务请求消息。
(2) 移动终端可信接入算法
算法1移动终端可信接入算法
移动终端可信接入机制如图1所示。
(1) //RDP根据AP的可信度制定相应的ACL规则:
ACLPolicy←getACLPolicy () ;
(2) //AP请求接入:发出访问请求, 收集该终端的可信度评估值并发送给RJP, 等待RJP对终端设备的可信度判定:
APCredibility←CollectAPCredibility () ;
CredibilityResult←SendJudgeRequest () ;
(3) //RDP完成对MTAM (Mobile Terminal Access Module) 模块的完整性及真实性验证, 负责为MTAM中的移动终端设备颁发可信证书:
CredibilityCertificate←InRealityIntegrityCheck () ;
(4) //RDP负责制定和分发AP的可信度判定规则, 并对其证书进行验证, 以评估该接入设备的可信性:
CredibilityPolicy←RDPMakeAndAllocatePolicy () ;
对MTAM的身份进行鉴别, 验证AP证书的有效性, 校验AP设备的可信性:
VerifyAPValidity () ;
(3) 接入机制分析
MTAM向RDP注册服务, 申请RDP颁发的可信评估证书, 获得该证书后, MTAM即可与ISP进行交互, ISP通过验证可信评估证书的合法性完成对MTAM的可信度评估[2]。
RDP获得由移动终端可信判定中心CMJC签发的可信证书, 证书包含RDP的公钥及CMJC签名等信息, 并通过安全途径向移动终端等外部设备公布公钥, 每个移动终端的实体身份证书格式如下。
CertA={IDA, KPubA, DateA, LFA,
EKSCAC{IDA, KPA, DateA, LFA}}
其中KPubA是移动终端A的公钥, EKSCA是CMJC的私钥, DateA是证书的颁发日期, LFA是证书的有效期。
图2所示为MTAM与RDP建立连接, 申请由RDP颁发的可信证书。连接建立前MTAM基于RDP进行完整性度量, MTAM与RDP协商完成MTAM与RDP间身份认证, 该身份认证是双向的, 认证完成后RDP实现对MTAM平台的可信度判定。通过身份认证和可信度判定的MTAM可以获得RDP为其颁发的可信证书, 在证书的有效时间内, 终端用户持该证书就可以与ISP建立服务连接。
通过请求Message消息MTAM与RDP进行Session会话建立前的协商, Nonce包含随机数和时间戳, 用来验证发送的消息是否得到相应的回复, ID是MTAM的身份ID号, MTAMPK是MTAM的公钥;RDPPK是RDP的公钥, RRDP是RDP产生的用于MTAM签名的随机数。
MTAM首先对随机数RRDP进行签名, 并用RDP的公钥对Certattr和其完整性度量值加密。加密后的数据和签名值一起发送给RDP, 其中RMTAM是MTAM产生的用于RDP签名的随机数, SIG (RSDP) 是MTAM对随机数RRDP的签名值, Certattr是属性证书, PCRSMTAM是MTAM的完整性度量信息。
RDP首先验证MTAM签名的真实和可靠性。RDP对消息进行解密, 得到MTAM的相关信息, 然后实现对MTAM的可信度判定, 即验证MTAM持有的属性证书的合法性。判定通过后, RDP为MTAM颁发可信证书Certcredibility。其中SIG (RMTAM) 是RDP对随机数RMTAM的签名值, Certcredibility是RDP颁发的可信证书。MTAM验证RDP的证书及签名, 从而确定RDP的身份合法性。MTAM获得可信证书后, 就可以使用该证书向ISP申请服务, ISP通过验证证书的合法性, 完成对MTAM的可信性评估, 为可信的MTAM提供服务。
2 安全接入系统架构
企业办公网移动终端安全接入系统主要由WPKI系统模块、身份认证控制系统、可信安全接入控制系统和可信判定系统四部分组成, 如图3所示。
(1) WPKI系统模块
WPKI是企业办公网移动终端安全接入系统, 提供安全服务的基础, 通过对所有移动终端访问提供加密、证书颁发、证书管理等功能服务, 实现移动终端的证书管理体系, 及移动终端安全接入的可信证书的产生、管理、存储、分发和撤销等功能。
WPKI系统是企业办公网移动终端安全接入系统服务的基础, 其组成部件如图4所示。
其中WPKI各组成部件的主要功能分别为:
(1) Mobile Device:WPKI中的移动终端设备, 移动终端设备上安装的应用提交接入请求, 提供数字签名和可信证书, 并可以提交证书更新以及撤销等请求。
(2) WAP/3G网关:用于连接无线和有线网络, 此部分由公共通信提供商来完成。
(3) WPKI Portal:提供用户和CA之间的一个接口。
(4) CA (Certificate Authority) 是WPKI的信任基础, 是认证授权机构 (即认证中心) , 负责发放和管理数字证书的权威机构, 承担公钥体系中公钥的合法性检验的责任。
(5) 证书数据库:存放证书和证书失效清单以便证书的存取和查询[4]。
(2) 身份认证控制模块
采用MTAM的可信度判定规则, 验证终端的完整性校验, 检查终端的可信度, 并通过对接入的移动终端设备进行身份认证, 并按照预先制定的ACL策略, 保证只有合法的移动终端设备和终端应用才可以接入系统进行数据访问。
(3) 可信安全接入控制系统
安全接入控制系统主要研究基于可信接口的安全接入机制。按照接入点位置和功能, 系统中设计的可信接口包括:终端可信接口、网关可信接口和网络可信接口。
终端可信接口:终端可信接口是在移动终端设备上, 采集终端设备的属性信息, 向RDP提供证书等相关信息。
网关可信接口:完成设备定位, 终端设备监控以及规则下发, 与设备安全通信、安全应用信息交互等功能。
网络可信接口:完成数据的安全传输。
(4) 可信判定系统
对接入系统的移动终端设备进行可信度判定, 并在终端设备访问期间, 根据设备认证信息及属性信息, 对设备进行周期轮询, 对移动终端进行可信度重新判定, 确保移动终端访问的安全性和可信性。
本文主要针对企业办公网移动终端设备安全接入问题, 研究了移动终端的安全接入技术, 并构建了终端安全接入系统的总体架构。企业办公网移动终端安全接入系统由WPKI系统模块、身份认证控制模块、可信安全接入控制系统和可信判定系统四部分组成。通过该系统架构, 实现移动终端接入企业办公网的安全性, 为实现企业办公网向移动终端设备延伸提供安全保障, 为开放网络环境下的移动办公提供安全支撑。
摘要:针对企业办公网移动终端设备安全接入问题, 研究了移动终端的安全接入技术, 并构建了安全接入系统架构, 实现移动终端访问企业办公网的安全接入, 及企业办公网向移动终端设备延伸的安全保障机制, 为开放网络环境下的移动办公提供了安全支撑。
关键词:移动终端,安全接入,可信网络
参考文献
[1]PARK M.A new user authentication protocol for mobile terminals in wireless network[C].Proceedings of the 7th International Conference on Mobile Data Management (MDM’06) , 2006.
[2]姜建, 陈晨.基于多包接收的物理网络编码协同通信研究[J].电子技术应用, 2013, 39 (7) :109-110.
[3]DIETRICH K.An intergrated architecture for trusted computing for Java enabled embedded devices[C].STC′07.Alexandria, Virginia, USA.2007.
终端接入网 篇5
国家经济在不断的快速发展, 新兴的商业模式如在线订餐等对货品的传递也提出了新的要求, 传统的物流配送方式已不能满足市场需求。与大地理跨度的物流相比, 末端物流的地点数量庞大、线路情况复杂、配送时间受限。传统的配送方式多为企业派专人上门配送或通知用户到指定地点取货, 但受限于人力成本配送员数量远赶不上需求, 用户自取又使得用户体验变差。这阻碍了社会经济的发展和人民对舒适安逸生活的追求。面对这些问题, 各界在尝试各种解决方案:增加配送人员、使用无人机配送、在便利店设立自提点……但是这些方案不可避免地会增加可观的配送成本, 且不够灵活, 无法同时满足用户和企业的需求, 更无法解决末端物流的配送难题。尤其在现有的物流系统中, 所有的货品都需要经过层层的中转站, 即便是同城甚至同街区的短距离配送, 也需要一天甚至更多的时间, 这已远远跟不上时代的发展的速度。而与此同时, 大量的行人、私家车辆在各条道路上往返, 其运力并未得到充分利用。因此如果采用一定的路径规划方案, 实现对这些空闲运力的有效利用, 则可以在很大程度上解决末端物流的配送难题。而与传统的末端物流系统相比, 基于行人的物流配送系统具有成本低、覆盖广、响应迅速、配送快捷的特点, 可以降低企业成本, 提高顾客满意度, 具有十分重要的意义。
泛在网络具有多终端性、异构性、松耦合性等特征, 而泛在接入与信息配送系统可以在时间、空间以及同步上完全解耦[1]。因此完全可以将泛在接入与信息配送系统使用到末端物流的泛在网络环境中。由于不同用户对相同节点会有不同的感兴趣的订阅信息, 系统需满足对这些兴趣节点的请求具有足够的可表达性, 而基于内容的泛在接入与信息配送系统恰恰可以满足这些特征。因此, 本文提出的泛在网络环境的泛在接入与信息配送系统采用了基于内容的泛在接入与信息配送系统模型, 并在该模型的基础上进行了扩展。
1 泛在接入与信息配送模型
本文设计的基于内容的泛在接入与信息配送系统模型主要实现形式有两种:基于Map的系统模型和基于XML的系统模型。
(1) 基于Map的泛在接入与信息配送系统模型
基于Map的泛在接入与信息配送系统中, 事件的内容是<attribute, value>的结合, attribute是订阅的属性, value为订阅的值, 多个<attribute, value>组成的集合即为一个Map。该泛在接入与信息配送系统中, 必须对各个原子条件进行“and”与操作以获得用户的整体订阅信息, 每个原子条件均只涉及一个attribute属性。各Map项中的属性可分为两种:一种是描述某一实体的特性或状态;另一种是描述两个实体之间的某种关系。
若规定每个事件Map对应唯一的attribute属性, 且各个订阅条件均将该条件指定为各自对应属性的value集, 这称之为基于主题的泛在接入与信息配送系统, 该属性attribute的每一个取值即为一个theme主题。可以认为, 基于主题的泛在接入与信息配送系统是基于Map的泛在接入与信息配送系统的一种特例。
泛在接入与信息配送系统是一种特殊的基于Map的泛在接入与信息配送系统, 它定义为每个事件Map中均只对应一个attribute, 且系统的订阅条件均定义了attribute的值。
(2) 基于XML的泛在接入与信息配送系统模型
在基于XML的泛在接入与信息配送系统中, 主要将事件定义为一个XML文档。此外, XML泛在接入与信息配送系统在Map的基础上, 为事件增加了一个数据区, 用于存放系统不能理解的相关数据, 它比基于Map的泛在接入与信息配送系统具有更为优越的表现性能。
基于XML的泛在接入与信息配送系统, 可以表现为如下述图1表示的形式, 亦可表现为其他规定的XML表示形式。
XML具有较强的表达能力, 但不同的用户可能存有不同的XML Schema文档。若系统订阅者并不知道发布事件XML文档所遵从的XML文档规范, 将不能正确的匹配事件。因此, 为确保统一, 基于XML的泛在接入与信息配送系统中, 所有的事件和订阅都必须遵守系统预先制定的XML Schema文档。
若规定系统各事件的XML文档只有一个元素节点, 且该节点具有若干的属性, 则该事件将演变为一个基于Map的泛在接入与信息配送系统。因此, 我们可以认为基于Map的泛在接入与信息配送系统是一种特殊的基于XML的泛在接入与信息配送系统。
2 泛在接入与信息配送系统结构
移动节点则指那些随着时间或其他情况的变化, 改变其位置的相关人和设备等, 如i Pad、参与系统的人等。由于人会随时走动, 具有较大的移动性, 可将泛在网络环境的重要参与者——人, 作为一个移动节点来处理[2]。基于此, 可以将含有平台服务器、发布者 (固定节点及移动节点) 、移动代理和订阅者的泛在网络环境的泛在接入与信息配送系统的简图表现为如图2所示。
泛在网络泛在接入与信息配送结构中, 平台服务器 (Platform Server) 负责泛在接入与信息配送系统中Internet网络节点和移动代理间的消息传递 (如订阅信息和发布信息) ;移动代理 (Mobile Broker) 则负责平台服务器和与其相连的其他非Internet网络的泛在节点 (如用户) 进行消息传递。通常情况下, 可以采用移动智能终端作为移动代理, 收集不同的人或相关设备的数据[3]。一方面, 移动智能终端可以通过短信息、蓝牙或IEEE 802.15.4同其他非Internet网络的泛在节点进行连接;另一方面, 它采用3G或Wi-Fi网络连接上Internet网络节点[4]。
3 泛在接入与信息配送系统平台设计
在泛在接入与信息配送系统中, 系统订阅者是指订阅兴趣节点信息的Internet网络用户节点或移动智能终端用户;发布者则是指发布订阅数据信息的固定节点或移动节点等泛在节点[5]。为了实现与基于内容的泛在接入与信息配送系统的统一, 泛在网络环境的泛在接入与信息配送系统中, 将连接Internet网络和移动代理的平台服务器称为事件代理;移动代理则是在基于内容的泛在接入与信息配送系统上的延伸代理, 负责泛在节点 (固定节点和移动节点) 与事件代理之间进行订阅信息的交互, 事件代理和移动代理统称为代理节点。泛在网络环境的泛在接入与信息配送系统框架如图3所示, 包括用户接口模块、消息注册中心模块、消息订阅模块3个部分。
用户接口模块是连接泛在网络服务器和应用客户端的重要模块。模块中, 用户通过用户接口模块访问泛在网络提供的服务, 还可以访问其它用户终端的服务。用户接口模块提供了若干个用户终端节点, 每个节点都能为用户节点或服务节点提供功能。
泛在网络中, 用户和用户之间、用户和泛在网络之间通信有大量数据, 这些数据中有很多消息存在类似或相同构成, 所以需要对这些消息进行注册。消息注册中心由消息格式处理和注册数据库中心两部分组成。
消息订阅模块负责为消息请求者提供查询依据, 包含消息订阅和消息订阅库两个部分。
3.1 用户接口模块
用户接口模块中, 用户通过接口向泛在网络发布和订阅服务。当系统中消息的发送方发布信息时, 发布方创建一个发布者对象, 发送到移动代理中。同理, 当服务订阅者要订阅事件时, 一个服务订阅方可以订阅多个订阅消息。
如图4所示, 发布方用户建立一个发布消息后, 消息传送至移动代理。移动代理接收到发布事件后, 每隔一段时间判断该代理节点中是否存在该发布事件的订阅请求, 若存在, 则通过移动代理将发布信息转发给相应的用户;若不存在, 则将该发布信息暂存在移动代理中, 若超过预定的暂存时间, 则将该发布事件删除。
订阅者需要获得发布者提供的事件时, 订阅方向事件代理发布一个订阅请求, 事件代理接收到订阅者发布的订阅请求后, 将该订阅信息存储进本地内存中, 并监测移动代理发送过来的节点信息。若发现移动发送过来的节点信息与事件代理本地已存储的移动代理信息相同, 事件代理将存储订阅副本, 并将订阅方的订阅请求转发给移动代理。
3.2 消息注册中心模块
泛在网络中的用户首先需要加入成为泛在网络节点后, 才能参与到泛在网络环境的泛在接入与信息配送系统中。由于泛在网络充斥了大量的用户终端, 这些终端之间存在着大量的服务信息, 且类型众多, 用户难以分辨这些类似或相同的服务。因此, 需要采取相关技术对泛在网络环境的服务事件进行划分。为区分这些信息, 需要对消息进行注册。
在节点加入系统时, 用户向事件代理发送注册信息 (Register-Message, RMsg) , 事件代理一旦接收到用户发送过来的注册信息, 将向该用户反馈一个唯一的订阅ID号 (Sub ID) 。同时, 事件代理为用户建立一个空白的XML文件, 该XML文件存储泛在节点的Sub ID和IP地址, 维护事件代理和Internet网络用户的连接。之后, 订阅节点向事件代理发送“确认连接”信息, 便可与事件代理建立连接。当事件代理收到“确认连接”信息后, 便将订阅节点的Sub ID和IP地址存储到该订阅节点对应的XML文件中。
同理, 泛在网络环境中的移动代理需要通过向事件代理发送注册信息, 加入泛在接入与信息配送系统中。事件代理接收到移动代理发送过来的注册信息, 将向移动代理反馈一个临时ID (Temporary ID, TID) , 并在内存中为注册的移动代理创建一个XML文件。与泛在节点存储的XML文件类似, 每个XML文件中存储了泛在网络移动代理的当前位置信息。
用户或移动代理需要通过向系统中的事件代理发送订阅请求之后, 才能发送订阅请求或获得发布者发布的事件信息。如图6所示, 每个事件可以描述为一个三元组<位置, 时间, 约束>。其中, 事件的位置信息用loc={point, radius}, point和radius分别表示订阅请求所处的点和半径;进一步地, 可以通过订阅者订阅请求所处的经纬度来确定该订阅事件的point点位置信息, 时间间隔的信息则可用订阅请求的开始时间 (Begin-Time) 和结束时间 (End-Time) 来表示。约束部分则存储订阅请求的其他约束条件。
泛在网络环境的泛在接入与信息配送系统中, 移动代理节点能够在其通信的范围内转发订阅信息给与其相连的泛在节点。用户请求订阅信息时, 事件代理将订阅信息将请求的订阅通知转发给移动代理。事件代理若发送订阅信息给移动代理, 需要知道泛在接入与信息配送系统中的移动代理所处的位置。因此, 当移动代理的位置发生改变时, 需要及时将位置变化信息发送给事件代理。规定移动代理的参数Cupdate表示位置更新的时间间隔;发送的节点位置更新信息表示为LUpdate[TID, Loc], 其中TID为移动代理的ID号, Loc为移动代理当前的经纬度信息, 位置信息通过移动电话中自带的GPS定期取样获得。
3.3 消息订阅模块
泛在网络环境的泛在接入与信息配送系统具体流程如图7所示。
在泛在网络泛在接入与信息配送模型中, 消息订阅模块对发布者和订阅者之间的订阅消息汇总, 包含消息订阅存储和消息订阅库在内的一系列信息集合。消息订阅模块中, 用户首先向事件代理或移动代理发出事件查询申请, 接着消息订阅存储模块根据用户的请求消息 (req) 查询消息订阅, 最后将服务提供信息推送回用户。通过这种方式, 在订阅者和发布者之间重新建立了一条链路, 不必从头开始索取服务资源。
4 结论
移动终端的泛在接入与信息配送包括基于Map的泛在接入与信息配送系统和基于XML的泛在接入与信息配送系统, 主要包括发布者、事件代理、移动代理和订阅者四个部分。本文设计的模型框架包括用户接口模块、消息注册中心模块、消息订阅模块3个部分, 能够满足末端物流过程中的加入、更新和事件的发布、订阅等功能。
参考文献
[1]李千目, 张晟骁, 陆路, 等.一种Hadoop平台下的调度算法及混合调度策略[J].计算机研究与发展, 2013, 56 (S1) :361368.
[2]Lu M.Enhancing Project Evaluation and Review Technique Simulation through Artificial Neural Network-based Input Modeling[J].Journal of Construction Engineering&Management, 2002, 128 (5) :438445.
[3]李青, 徐振明.PERT技术在软件项目管理中的研究与实现[J].软件, 2012, 33 (9) :7073.
[4]陈彦武, 张学波, 高永明, 等.基于工作流的装备需求论证项目管理系统的设计与实现[J].软件, 2014, 35 (3) :2427.
[5]邱小军.影响软件项目管理关键因素的探讨[J].软件, 2013, 34 (7) :142145.
终端接入网 篇6
1终端接入通信的概况
1.1繁多的业务
在传统电网框架下, 终端接入通信系统具有独立性, 但在智能电网环境下, 不同配电网系统对通信系统的要求有所提高, 主要是由于通信范围更广、通信节点更多, 在此情况下, 为了实现统一管理, 要求终端接入通信系统应具有规范性与一致性, 在建设该系统时, 应考虑其通信性能、可靠性与安全性等问题, 以此满足繁多业务的使用需求。
通信性能, 对于不同配电网而言, 其承担的业务存在较大差异, 因此, 其对通信性能的需求也有所不同, 如:配电网自动化要求通信时延应具有较强的敏感性, 视频监控业务则对通信容量有较大的需求, 受复杂、多样业务的影响, 通信性能问题急需解决;可靠性, 不同配电网业务要求通信可靠性应具备不同的等级, 其中最高的为智能配电网自动化与分布式电源控制, 其次后用电信息采集;安全性, 对于不同的配电网业务而言, 其通信通道不能直接互联, 需要采取适合的隔离措施, 以此保证不同业务有效开展。
1.2广阔的范围
终端接入通信系统作为通信系统的一种, 其覆盖范围较广, 同时终端数量众多, 在构建此系统时, 需要投入大量的资金与设备, 在大规模建设, 其运行与维护量相对较大。
1.3复杂的环境
在我国, 不同地区的地理环境各异、经济发展水平差距明显, 因此, 终端接入通信系统的工作环境也有所不同, 如:多样的配电网、各异的拓扑结构等, 此时的各种非技术因素制约着终端接入通信系统的有效应用与顺利发展。
2智能电网下电力终端通信接入架构研究
当前, 电力通信接入网架构主要包括主站、调度数据网、综合数据网、无线公网与电力线载波等, 但现有构建模式中无线公网存在不足, 主要表现在较差的通信效果、较低的运维能力与较高的投入成本等方面, 同时, 调度数据网的主干网汇聚层面仍需不断完善, 以此满足接入网业务的需求。为了有效解决电力终端通信接入架构的相关问题, 本文提出了如下建议:
2.1制定总体规划
终端接入通信系统建设需要花费较长的时间, 为了保证电力终端通信接入架构的高效性与系统性, 需要制定完整的实施方案, 以此保证各项工作的有序推进。
2.2采用分层分布式网络架构方式
分层分布式作为网络架构方式的一种, 其保证了布网的灵活性, 满足了不同应用环境的需求, 此架构方式主要是由主站、骨干网络、中压与低压通信网络、用户终端构成, 其中骨干网络和中压通信网络采用汇聚型节点实现连接, 前者为汇聚层, 后者为接入层。
2.3划分数据网区块
智能电网承担着多样、复杂的配电业务, 为了确保各项业务的高效开展, 需要划分数据网区块, 根据分层分布式网络架构内容, 将各区块进行等级划分, 分别为电力通信调度汇聚网与中压接入网, 电力通信综合中压接入网与低压接入网。
2.4利用通信接入技术
智能电网不仅负责着较大的业务量, 还具备较广覆盖范围的特点, 为了充分发挥终端通信接入架构的作用, 应积极利用先进的技术, 如:通信接入技术。目前, 通信接入技术主要有无线技术、载波通信技术等, 各技术的综合运用, 弥补了单一技术的不足, 进而为电力终端接入架构建设提供了可靠的技术保障。
2.5完善运行维护体制
电力终端接入通信系统的运行与维护十分重要, 为了保证运行的稳定性与维护的有效性, 应为其提供针对性、科学的、全面的运行维护体制。随着智能电网的发展, 电力终端接入通信系统的应用将更加广泛, 因此, 应借鉴成熟的网络监管与维护体制, 并不断创新与完善, 以此保证智能网络的长足与持续发展。
虽然分层分布式网络架构满足了现有业务与管理的发展需要, 但随着智能电网的不断发展, 电力终端通信接入架构仍需不断完善。如:增加智能配用电功能、构建独立的电力专用网络、电力接入网络、视频监控与传感网络等。
3总结
综上所述, 智能电网发展过程中最为关键的环节便是电力终端接入通信系统, 为了保证电力终端通信接入架构的高效设计与构建, 本文探讨了目前终端接入通信的现状及特点, 为了适应复杂的环境、繁多的业务等, 要求终端接入通信系统应不断完善, 本文提出了几点建议, 相信, 在各项措施全面落实的基础上, 电力终端通信接入架构的设计质量将不断提高, 进而将为智能电网发展奠定坚实的基础。
参考文献
[1]权楠, 雷煜卿, 黄毕尧, 等.智能电网下的电力终端通信接入架构研究[J].电力系统通信, 2012, 01:74-77.
[2]林一凡, 权楠.智能电网下的终端接入通信网研究[J].华北电力技术, 2011, 11:21-23+26.
终端接入网 篇7
伴随着互联网用户的不断增长,宽带接入网服务成为IT产业的一个新的经济增长点。诸如VoIP(IP网络上传送语音)、IPTV(IP电视)、VOD(视频点播)和网络会议等网络应用对接入网的带宽能力提出了更高的要求。在中国,ADSL(非对称数字用户线)依然是大众主要的网络接入方式,它可以为终端用户提供几兆的带宽,但这显然已经不能满足用户日益增长的带宽需求。在这种情况下,新一代的光纤宽带接入网技术发展起来以提供更大的带宽和传输距离。EPON(以太网无源光网络)成为最有前景的光纤宽带接入网技术,它的低成本、对以太网的高兼容性以及良好的带宽和传输性能成为其广泛应用的保证。
近些年,IEEE802.11无线接入技术已广泛用于机场、办公室等环境,并取得了良好效果。由于无线接入具有高灵活性和易用性,它代表了未来接入方式的发展趋势。将无线接入与EPON系统融合起来,必将成为宽带接入网络的一种最佳解决方案。首先,EPON系统和WLAN(无线局域网)系统在带宽容量分配上具有良好的匹配性,例如,当一组32个ONU(光网络单元)共享EPON系统的1 Gbit/s带宽时,每个ONU可以获得平均30 Mbit/s的稳定带宽以满足WLAN接入系统的最大带宽支持。其次,两系统融合后,可以通过更加有效的整合带宽分配和分包交换机制大大提高系统的QoS(服务质量)和数据吞吐量,并简化系统的操作。另外,整合后的系统可以简化硬件设计结构,降低系统的总体成本以提供更高的商用价值。
1 系统总体结构
系统的总体结构如图1所示。本系统与标准EPON系统的主要区别在于使用了同时具有ONU和WLAN无线AP(接入点)功能的整合设备EPON无线接入多媒体终端(以下简称多媒体终端)来代替普通的ONU,同时为系统提供有线和无线服务。
IP数据包在本系统中的交换路由机制如下:上行方向,终端用户(包括有线和无线用户)发送数据到多媒体终端,相应多媒体终端收到数据后首先判断该数据是有线帧还是无线帧,若是无线帧,则将其帧格式转换成标准802.3有线帧格式,然后将数据转发给OLT(光线路终端)。下行方向,OLT采取广播的方式将数据发送到每个多媒体终端,多媒体终端判断数据的目的地址是否在自己的连接中,如果是,则进行转发,如果不是则丢弃。同样,对于目的地址是无线用户的,多媒体终端也要进行帧格式转换后再发送数据。
多媒体终端在单个设备上整合了ONU和无线接入AP的功能,在硬件实现上使用了两个CPU完成不同的功能。副CPU负责WLAN无线部分的控制和通信,主CPU除了完成EPON部分的功能外,同时作为中心控制负责协调EPON部分和WLAN无线部分的信息交换。图2所示为多媒体终端的系统功能模块。主CPU完成EPON部分的数据包调度、优先级队列和分包机制等功能,而副CPU则包含负责WLAN数据包调度和转换的WLAN AP功能的模块。
整合的系统结构相对于单独使用ONU和无线AP设备,可以大大简化设备结构和成本。同时,性能上的优化也大大加强。首先,在数据包转发方面,整合系统可以使用IEEE802.3D STP(生成树协议)引入二层交换机制,使得整合系统形成一个以OLT为根节点的单纯的生成树结构,以消除网络中的环路。这样的结构比单独使用ONU和无线AP设备形成的两级机制具有更小的系统开销,能最大限度地利用系统的有限带宽。通过引入对VLAN(虚拟局域网)(IEEE802.3Q)的支持,可以改善网络的安全机制。 另外,由于在单个设备上包含了EPON和WLAN系统诸如带宽需求、分配和数据存储等在内的全部信息,设备可以通过更有效的运行机制优化EPON系统的上行带宽分配和WLAN系统的下行数据转发。通俗地讲,多媒体终端能够根据无线用户的带宽需求,更为及时、有效地向EPON OLT申请带宽以满足无线用户的要求。
2 多媒体终端的设计
EPON技术是以太网和PON(无源光网络)的结合,而WLAN技术同样适用于以以太网为基础的数据交换应用环境。所以,将WLAN技术移植到EPON系统以提供具有无线接入功能的EPON平台在技术上已比较成熟。图3所示为多媒体终端
硬件框图,其硬件结构主要由交换芯片、RF芯片组和两个CPU(EPON ONU处理器,WLAN CPU)等组成。交换芯片负责处理数据包的交换转发。RF芯片组调制基带信号到2.4 GHz, 在ISM 频段上发送和接收无线信号。EPON ONU处理器包括EPON专用处理机和附属ARM9处理器,前者完成EPON系统远端侧接口的硬件逻辑处理功能,后者完成EPON部分的所有软件协议的处理,同时控制整个系统的运行。WLAN CPU是一块高集成度的片上系统(SoC)芯片,它整合了IEEE802.11g基带和MAC(媒体访问控制)处理单元以及片内存储器等,完成WLAN部分的所有软件协议处理。
3 系统无线传输性能试验及结果
限于条件,系统传输性能的测试仅针对WLAN空中接口的数据吞吐量,测试内容主要包括以下3个方面:(1) 单个无线用户接入的数据吞吐量,比较UDP(用户数据报协议)和TCP(传输控制协议)数据包的传输性能。(2) 多个无线用户同时接入的数据吞吐量以及由于多用户接入导致的系统总吞吐量的变化。(3) 多用户动态接入过程及对系统总体传输性能的影响。
3.1 单用户TCP和UDP数据传输性能比较
在这一部分的实验中,仅使一个无线用户通过多媒体终端与系统连接,同时发送和接收数据包。图4和5分别显示了TCP数据包和UDP数据包的传输吞吐量。当同时发送和接收TCP数据包时,下行数据吞吐量最小为15.001 Mbit/s,最大为16.370 Mbit/s,其平均值达到15.826 Mbit/s。而上行数据吞吐量的3个数值分别为4.42, 4.775和4.656 Mbit/s。 那么TCP数据发送和接收的总平均吞吐量为20.482 Mbit/s。对于UDP数据包的情况,下行数据吞吐量最小与最大值分别为8.794和10.174 Mbit/s, 其平均值达到9.852 Mbit/s。 上行数据方面,最小、最大和平均值分别为8.635、9.754和9.283 Mbit/s。那么UDP数据发送和接收的总平均吞吐量为19.135 Mbit/s。实验结果表明,当系统中只有一个用户连接运行时,其传输吞吐量能够达到802.11g协议的理论数据吞吐量20 Mbit/s左右。
3.2 多用户数据传输性能比较
这部分的实验中,分别进行了1个、两个和4个无线用户同时接收TCP数据时吞吐量的测试。结果显示,单个用户的平均吞吐量可以达到21.228 Mbit/s; 两个用户时,它们的平均吞吐量分别为8.268和10.478Mbit/s, 即总平均吞吐量为18.709 Mbit/s; 当4个用户同时接收数据时,其获得的平均吞吐量分别为4.926、3.981、2.693和6.119 Mbit/s,如图6所示。
实验结果表明,当系统并发用户数从1增加到4时,其总平均数据吞吐量则从21.228 Mbit/s下降到17.719 Mbit/s,这主要是由于802.11g协议本身的特点导致的。当用户数增加时,部分系统带宽被用于传输各用户的协调信息以避免用户在发送和接收数据时发生冲突而导致数据错误。在最大并发用户数≤4的情况下,每个用户依然可以得到足够的带宽来支持主要的网络应用,所以在实际的使用环境中,4是单个多媒体终端能提供较好无线接入服务的最大并发用户数。
3.3 多用户动态接入连接传输性能
图7显示的是当1个用户通过EPON无线接入多媒体终端接收TCP数据包时,其他3个用户动态建立连接的情况。3个用户分别在时间点0∶01∶30、0∶02∶45 和 0∶05∶36建立连接,可以看到在每个时间点上,TCP数据的吞吐量都有所下降,当第3个用户建立连接时,吞吐量下降了1 Mbit/s左右。这个测试体现了更为实际的应用环境,当1个用户使用网络时,其他用户有可能随时建立连接,而建立连接的过程会消耗系统带宽。不过根据实验的结果可以看到这种影响不大,系统仍然可以为用户提供足够的带宽资源。
4 结束语
本文提出的整合系统集成了EPON和WLAN系统的特性和优点。由于硬件上的整合,使得系统运行机制更为简单有效,特别是对用户的带宽分配和QoS提供了更为优化的支持。该整合系统为EPON提供了无线连接服务,使其应用前景更为广阔,也为无线宽带接入网络提供了一个行之有效的解决方案。
参考文献
[1]Gangxiang S.Fixed Mobile Convergence(FMC)Ar-chitecture for Broadband Access[A].Network Archi-tectures,Management,and Applications,APOC[C].Wuhan:SPIE,2007.678 403:1-13.
[2]Wu G,Liu D,Chang Y,et al.The i mplementation ofTDMservice in EPON system[A].Network Archi-tectures,Management,and Applications.APOC[C].Wuhan:SPIE,2007.67 843J:1-8.
[3]Luo Y.Integrating optical and wireless services in theaccess network[A].OPTICAL FIBER COMMUNI-CATION CONFERENCE/NATIONAL FIBER OP-TIC ENGINEERS CONFERENCE[C].WASHING-TON,DC USA:OPTICAL SOC AMERICA,2006.1 636 954:1-10.
[4] IEEE Std 802.3ah-2004, Ethernet in the First Mile [S].
[5] IEEE Std 802.1Q-2006, Virtual Bridged Local Area Networks [S].