安全智能无线网络-盘古文库

安全智能无线网络（精选12篇）

安全智能无线网络第1篇

随着信息化水平的提高,交通智能化程度的日益提高。成熟的智能交通可以应用于撞车预警,协同驾驶,交通流量优化和自动付费服务等方面,可极大改善行驶安全,提高交通效率,并可增加驾驶体验。

智能交通系统的通信包括车辆间通信以及车辆与道路设施间通信。无线标准的完善,上层协议效率的提高,以及协议体系的安全性,会改善交通网络的质量,并保障驾驶人员的人身安全。交通领域的无线网络研究日益增多,但大部分研究则集中于以车辆为节点的ad hoc无线网络(VANETs,Vehicular Ad hoc Networks)的研究。作为贯穿智能交通网络研究中的一个重要领域—智能交通无线网络的安全性研究,近年来呈现出快速上升趋势。对交通网络的安全性进行深入了解,分析VANETs网络中存在的攻击和威胁,设计安全的协议和应用,防范各种侵犯安全属性的攻击,有效管理网络中的车辆,正为各界所关心,成为其所注目的重要问题之一:学术界集中于安全无线协议本身的设计,车辆制造商集中于关注用户个人隐私和人身安全的无线终端应用,而国家政府部门则重视交通网络的管理和安全事件的监测。

研究VANETs的安全,必须首先了解VANETs的结构特性,如VANETs与普通ad hoc网络的异同,然后借鉴MANETs的研究成果,改进路由策略、认证机制等以适应VANETs的需求。本文试图通过对VANETs的结构分析和对2012年VANETs安全方面研究进展的总结,使更多的研究人员关注VANETs及其安全问题,了解该研究领域的进展,提出创新思想,实现理论突破。

本文第1部分介绍了智能交通无线网络,第2部分分别对VANETs中的安全机制,如车辆定位、安全路由、身份管理、隐私保护、安全应用和入侵检测等方面进行分析和讨论。第3部分介绍了VANETs中安全框架的设计,并给出了一个支持伪名机制的架构。最后对上述工作做以总结,对有待解决的问题和未来的研究重点提出前瞻性的建议。

1 智能交通无线网络安全的研究进展

在智能交通的环境中,每辆汽车均为一个节点,节点相连组成ad hoc无线网络VANETs。DSRC(Dedicated Short Range communication),即WAVE(Wireless Access for the Vehicular Environment),是为车辆和路面设施通信的中短距离通信协议,通信距离为1 000米以内,传输速度为6~27兆。1999年,美国联邦通信委员会为其分配了5.850-5.925GHz的频段。就费用和效率而言,DSRC在交通网络中的节点间通信中最具应用前景。可以预期,DSRC将会在智能交通环境下成为短距离无线通信中的标准。

在IEEE 802.11协议族的基础上,IEEE 802.11p WA-VE工作组正在制定适合交通领域的无线标准IEEE 802.11p,可支持高速行驶的车辆与设施之间的通信。IEEE 1609协议族定义了交通网络架构,通信模型,管理结构,安全机制和物理接入。其中的IEEE 1609.2标准定义了应用和管理服务安全,防止窃听,伪造等其他攻击。现今的发展表明,IEEE 802.11p将作为DSRC的基础,而IEEE 1609将成为DSRC的上层协议架构。

在商业上,欧洲的奥迪、宝马、克莱斯勒、雷诺和大众等厂商组成了Car2Car Communication Consortium,共同开发交通无线网络的工业标准,统一无线通信的接口和协议。NEC为其推出了开发包,为车辆和设施通信提供了协议栈实现。在管理上,美国交通部已经开始布设实验性质的设施VII。而在学术领域,美国、欧洲和日本均开展了大量研究,如VSC、No W、e Safety等项目的创立和问世。在国外,VANETs因其具有较好的前景,已引起广泛关注,但国内研究较少。

1.1 VANETs的模型

未来的交通网络VANETs体系架构存在三类实体,车载设备OBU(On-Board Unit)、路边设施RSU(Road-Side Unit)和服务应用设施SAF(Service Application Facilities),线下还有管理机构,如图1所示。

(1)OBU,装载于车辆上的设备,包括处理器、输入输出设备和传感器等。OBU带有GPS设备,可获知地理位置信息,定时广播其行驶信息Beacon,如经纬度、速度和方向等。在本文中,OBU,车辆和节点的意义相同。

(2)RSU,分布在路边的设施。通过以太网或Wi Max接入Internet。可提供认证、网络接入和入侵检测等服务。

(3)SAF包括认证设施和应用服务设施。认证设施有TA(Trusted Authority)和身份公开机构,TA管理密钥,身份公开机构由用户的签名回溯其身份。

此外还有一个行政机构,可定期检测车辆软硬件和证书更新,用法律手段保障车辆管理和实现对车辆攻击的惩罚。

在定义了VANETs信任模型的大部分研究中,给出了分层的信任关系。TA和身份公开机构假定是不可攻破的;RSU虽不容易被攻破,但可能存在小部分RSU被攻击者控制,管理机构会定时检查RSU,恢复异常RSU;OBU是不可信的,随时可能被攻破。

1.2 VANETs的特点和攻击类型

本质上,VANETs是MANETs(Mobile Ad hoc Networks)的一类特殊应用,保留了MANETs的属性,故VANETs的特点[1,2]有:高速移动性,频繁拓扑变化;极度时间敏感、短连接无握手;拓扑和通信方向限制;大规模、异构性和可扩展性;通信模型、设施支持和管理控制以及法律规章支持等。正因为VANETs是MANETs的一类子集,故也顺承了其缺陷。对MANETs的攻击,也同样适用于VANETs。

从攻击者的类型来分,可以将VANETs中的攻击分为主动攻击和被动攻击;从行为来分,可分为如下几类:非法接入、恶意路由、伪装顶替、侵犯隐私、控制硬件和拒绝服务等。不同攻击行为对应不同的攻击者,常见的攻击者有两类:

(1)非恶意攻击者。攻击通常不会引起严重后果,如企图破坏规则来获得不正当收益的贪心车主;试图截获邻居节点的消息来寻找有用信息的窥探者;熟悉车载设备和软件的弱点,可发送引发恶意指令的制造商内部人员;收集车辆数据,研究车主的习惯,骚扰用户的商业公司和单纯为乐趣而扰乱交通秩序的恶作剧者。

(2)恶意攻击者,如犯罪分子或恐怖分子。目标是攻击车辆或各类设施,一般已攻破某些节点,或拥有某些资源,这类攻击者发动的攻击更容易成功,危害更大,但是发生频率比上述其他几类攻击者低很多。

2 技术挑战和问题分析

在VANETs中的安全问题众多,可按攻击进行分类。首先,攻击者通过控制硬件,谎报自身的位置或伪造虚假节点,故需确定车辆真实位置;即使节点的位置真实,也可被伪装成其他节点,防范这类攻击,则需要建立身份认证体系。现有的证书管理体系使用单一固定的身份,攻击者通过对捕获数据包中的身份标识进行分析以发现车辆的行踪,确定车主的真实身份,故身份认证中需引入匿名支持;同时,上层应用程序也需考虑下层身份认证中匿名需求带来的影响,否则,攻击者可以通过对上层协议的标志进行分析来连接数据包。此外,节点间是短距通信,需要中间节点中继数据,恶意节点就可能抛弃或选择性转发消息,故消息路由的安全性就必须得到切实保证;当攻击者为合法的内部成员时,上述的安全机制很难见效,此时,入侵检测则是较好的方法。

上述攻击的条件依次增强时,对应的研究内容可相应划分为车辆定位、安全路由、身份管理、隐私保护、安全应用和入侵检测等方面,本文将逐一展开并加以介绍。

2.1 车辆定位

车辆的精确定位是VANETs安全通信的基础。MANETs中的SPA车辆定位[3]可无需借助路面设施而进行半自治的定位,但是没有考虑到安全需求。安全定位方法如下。

(1)卫星定位和车载雷达

车辆可依靠自身硬件进行定位。如在接收到GPS信号之后,定时通过行驶信息发送,其他车辆接收后可确定其位置。但GPS易受攻击,例如堵塞信号或被伪造信号源;另外GPS是被动的,节点发送的行驶信息是通过TPD计算得来,如果TPD被攻破,那么行驶信息就不再可信。此外,OBU可通过车载的雷达设备,使用距离边界(Distance Bounding)感知对方车辆的位置范围。但这种方法却是不安全的,原因是雷达只能被动地根据从消息请求到响应的时间差来估计双方距离,却不能获得对方所处方向。

(2)多边定位(Multilateration)

由于通信距离的限制可保证车辆处于某个探测点的范围内,三个探测点形成的范围区间可限制车辆的二维位置,四个探测点可限制车辆的三维位置。多边定位实现多个探测点的协调与协作,使得车辆的位置判断更为精确,即使被验证方有意延迟消息响应以伪造距离,但是总会存在其他一点能检测到与该车的距离过短。这样就保证了车辆的假信息一定能被检测出来。

(3)行踪分析

在文献[4]中,利用车辆历史记录进行分析。先根据雷达获得的数据和邻居报告的消息,计算余弦相似度,以过滤虚假的信息,之后建立对方车辆的行驶轨迹,从而防止恶意节点的欺骗和攻击。如果根据历史记录计算出来的位置在道路之外,或是在合理的范围之外的,都应该拒绝该车。

Sybil攻击是VANETs中一种重要的攻击手段,是指一个节点构造多个网络中的虚假节点,从而虚假节点可造成例如交通拥塞等假象,或伪造车祸,亦可发动Do S攻击。如果没有一个全局性的认证机构,Sybil攻击就总是可能发生的。通常,在无线传感器网络中,防范Sybil攻击的方法有无线电资源测试、注册、预设传播模型和位置验证。无线电资源测试中需假设节点不能同时收发数据,这与VANET冲突,故不可行。文献[2]提出了两种检测方法PASID和PASID-GD,其思路是Sybil攻击者很大概率会同时出现或消失,故可记录其他节点身份并建立相应档案,在每对节点之间计算亲和度函数,即能检测到攻击者;文献[5]使用VP-KI认证机制来解决Sybil攻击,但恶意节点可能获得多个身份,且严格的注册可能涉及个人隐私问题。

位置隐私也是安全定位中需要注意的一类问题。车辆的行踪和车主的身份联系密切,车主不希望被定位和跟踪;具体地说,对于任意两个签名,只有极小的概率能判定其出自同一辆车,该特性称为不可连接性(Unlinkability)。这就使得无法从消息直接推测出消息发送方的真实身份,与可验证定位冲突。为了实现在认证性和隐私性间的平衡,则需设计一种保留隐私的定位机制。这种机制可以经受全局被动监听者的分析而可确保不会暴露车主的行踪。实现不可连接性的最直接方法是引入伪名代替真实身份,并不定时更新车辆的伪名。当车辆M的伪名由A更改到B,意味着网络中消失了车辆A,增加了车辆B。如此,一方面M的位置能被确认,同时也不会泄露其真实身份。相关内容在隐私保护中具体介绍。

2.2 安全路由

遇到紧急情况或拥塞时,车辆会发送警告,中继节点会将相关消息转发到后面的车辆,避免损失;但若因攻击或异常引发路由信息出错,上层协议也会随之出现异常,安全路由则可为整个应用提供重要的保证。安全路由不仅能够保证路由信息的可靠性、完整性和有效性,还能够保证数据的安全性和隐私性。

常见的VANETs路由攻击与MANETs类似,有伪造、修改或重放路由信息、选择性的路由、Sinkhole攻击、Sybil攻击和伪造Ack等。但由于VANETs中车辆速度很快,网络拓扑变化迅速,加上系统自治分布,导致防范路由攻击存在很大的挑战。

VANETs中的传播模型可分为基于位置转发(PBF)和基于内容转发(CBF)两种,前者是点对点的单播,而后者是广播。考虑到VANETs中快速变化的拓扑,CBF的可靠性更高,因其可传播紧急消息。文献[6]基于AODC提出了AODC-SEC协议,将通过源认证和邻居认证的路由信息导入路由数据库中,并引入了PKI证书系统和基于证书的散列链签名,以保证消息传播经过的是可靠的路由,其缺点是路由发现过久,且不支持Geocast;同时存在可观的证书冗余。

2.3 身份管理

身份和密钥的管理是具有完备可信认证的智能交通应用中最基础的保障,管理机制因之成为一个重要研究方向。一方面需要建立完善的身份管理架构,另一方面要提供快速身份撤销机制。

首先,不同认证深度需要多个OBU身份标识。车辆在出厂之前,汽车制造商会为每辆车分配一个独一无二的标识,用作永久的身份凭证。仅依靠厂商实现可信身份是远远不够的,还需一个国家或区域性质的行政管理机构TA,但因各地法律法规对隐私的规定各异,可能存在不同的密钥管理策略。文献[5]中的认证设施VPKI将行政机构和车辆厂商作为TA颁发证书,彼此提供交叉认证。在使用中,车辆定时(如每年)在行政管理机构登记,分配一个证书,称为电子牌照。电子牌照可以方便驾驶,追查事故原因,但长时间采用固定证书,很容易被攻破。解决方法有两个:使用一个证书集合(约43 800个证书),随机选取一个证书作为该时间槽的临时身份,当证书失效或者异常时换下一个证书[7]。这种方法的缺点在于,如果车辆的身份被撤销,证书集合所有的证书都需设为无效,随着撤销证书数量的增加,CRL会变得极其庞大,导致证书查询时间过长。另一种设计延续使用单一证书的思路,RSU检查经过车辆的电子牌照后为其分配一个临时身份。两种方案中使用的临时身份一般称为伪名,这种永久身份-电子牌照-伪名的层次身份鉴别方式可防止身份攻击。详细的身份隐私将在下节中介绍。

然而,攻击者可能取出预装伪名集合的若干证书,同时作为多个伪名来发动Sybil攻击。文献[8]提出了一种匿名隐藏的防止Sybil攻击的方案P2DAP。

首先,TA一次产生足够大的伪名集合,使用粗颗粒散列函数和私钥将集合划分为若干小集合,进而用细颗粒散列函数和私钥将小集合划分为若干个更小集合。粗/细颗粒密钥分发给RSU以减轻认证机构的负担,两密钥可以扩展为集合,以减少被攻破的可能。

其次,公钥认证机制中,被撤销的证书信息需由TA及时发布,但RSU的部署并不完善,车辆很难及时获得CRL信息,如何使车辆尽快获知撤销证书列表是一个挑战。

针对CRL过大和TA单点失效的问题,文献[9]提出在TA下分布大量认证服务器(ICS),共同构成认证机构。OBU产生伪名,需要至少t个ICS联合为其签名;而在身份撤销时,也至少需要t个ICS才能完成操作。该方案需要多个认证点来公开匿名信息,且所有认证与信息公开均在服务器端完成,OBU无需实时更新CRL,节省了空间和带宽开销。但文中并未给出无RSU的区域OBU应如何识别失效的节点。

2.4 隐私保护

VANETs中的重要挑战是可认证性(Authentication)不可否认性(Non-repudiation)与隐私性(Privacy)之间的平衡,在其后的研究提出的条件隐私保留认证(Conditiona Privacy Preserved Authentication)中又增加了可跟踪性。这几个属性之间的平衡结果,应同时满足车主,认证机构和管理机构的需求。作为车主,希望隐私数据不会泄露,同时希望与之通信的车辆是合法的;作为认证机构,希望所有车辆得到认证;而作为管理机构,能根据一条签名消息跟踪到相关车辆。隐私性,认证性和可跟踪性(Traceability),三者之间是相互矛盾的,需要做以科学、合理的权衡。一种方法是将管理机构分为前台机构和后台机构,前者为OBU,不能获得车辆的身份,而后者为TA,可以与车辆建立信任关系。从而普通验证者和前台管理机构通过认证机构确认对方的合法性,但却不能获得对方的真实身份;而同时,后台管理机构又可以根据某条消息回溯到发送方,这称为条件隐私保留认证。节点隐私包括位置隐私和身份隐私,下面分别介绍。

2.4.1 身份隐私

节点不希望其证书泄露真实身份,故通过伪名隐藏节点的真实身份。但预置的匿名集需巨大的空间开销并产生增长过快的CRL,现研究一般基于加密算法动态获得某时刻的伪名。常用的算法有两种,分别是基于身份密码学(IDC,Identity-Based Cryptography)和组签名(GS,Group Signature)。

(1)基于身份密码学[10]是一类特殊的不对称加密方法。发送者用接收者的标识代替公钥进行加密,接收者从TA中获得私钥进行解密。该方法节省存储公钥空间,也无需额外的通信开销,是一种很好的加密算法。

(2)组签名是指存在一组节点的集合,集合外的节点只能识别某一消息出自该集合内的某一节点,但是无法确定出自具体的哪个节点,而组的管理者可找到相关的签名节点。组节点拥有随机地址和组密钥,随机地址用于根据消息跟踪到组领导,而组密钥可从组领导跟踪到具体的节点,随机地址的设置使得使外部观察者无法定位到准确的个体节点[1]。

由于VANETs的拓扑快速变换,故组的建立和维护很难,文献[1]提出了基于组的模式,包括组加入、组建立、组离开和组操作。文献[11]将地理上的区域映射为组,组领导在区域中心,组与组之间重叠,重叠区域内的节点充当中继节点。组的范围分为全局组和局部组,前者由中心身份管理机构完成组的分配,后者由RSU控制或由车辆自身进行协作。而文献[12]采用短组签名模式,使用双线性映射实现,通信开销小。

2.4.2 位置隐私

位置隐私和身份隐私是相关的。频繁变换伪名可隐藏车辆的行踪,但亦有漏洞,因为车辆发送的行驶消息中包括有位置、方向和速度等信息,即使更换了伪名,攻击者也能估计出车辆的大致方向,从而判断伪名的更换情况。反之,攻击者也可使用统计的方法,将车辆的伪名连接起来,从而建立车辆的行驶轨迹。

攻击者通过分析节点收发的消息,可通过两种方法来确定其位置:一为简单跟踪,即每个车辆收发消息的概率相同,随机选择车辆;另一种为关联跟踪,即通过速度、方向预测车辆下一时间的位置。在节点密集时,关联跟踪的效果好于简单跟踪,原因是协同驾驶的情况下,车辆的行驶信息很精确,车辆在短时间内不会改变方向和速度,全局的攻击者还可以根据附加信息跟踪车辆的匿名熵。

局部攻击者总有某些区域无法实现监听,该区域称为混合区域(mix-zone)[13]。车辆更换伪名的频率的最优值即取决于混合区域,而混合区域又取决于攻击者布设的监听区域,此种依赖性还需进一步研究。如果发送者距接收者很远,那么其位置信息可附加一个随机偏移距离进行模糊化[14]。但是这种方式不适于广播和发送紧急消息,容易误导正常的决策。

2.4.3 更换伪名的挑战

频繁更换伪名会增加丢包率,影响路由效率;此外,上下文环境使伪名可能被连接;如果协议栈其它层标识不变,即使更换伪名,也可能借助分析被联系起来;上层应用协议不一致,伪名变换造成程序认证困难;伪名使得底层的通信协议设计变得复杂。故在设计方案中需考虑更换伪名所带来的开销。

攻击者可分析伪名更换情况,特别会结合定时广播的明文和非易变数据,道路中的物理参数和限制。对此,可在道路交点建立混合区域(mix-zones)[15],此处车辆的速度和方向变化最大,易于更换伪名,然后作者通过分析模型将混合区域聚合为混合网络(mix-networks),增加位置的隐私度。

如果有规律地更换伪名,攻击者可根据时空关系连接两个伪名。车辆在更换伪名后在随机时间内保持沉默,沉默时间上限小于行驶信息的广播间隔时间[5]。同时,将若干车辆聚合为一个组,组首代表组进行通信,组中其余车辆在组内的扩展沉默时间内保持沉默。组领导在接收到组成员的消息之后,保留一段时间,乱序向接收方发送。最大的沉默时间依赖于行驶信息的广播间隔,易被猜出。解决办法是,当随机沉默时间增加时,行驶信息广播时间也增加,但是会影响紧急消息的实时性。当合并更换车道或多路口转弯时,车辆则会保持沉默。

2.5 入侵检测

即便是已认证的节点也可能进行内部攻击,分析节点和消息的上下文语义,通过异常数据和行为检测出恶意节点是最有效的方法。VANETs中有一个基本假设[11],即诚实的节点占据大多数。即使存在数据不一致性,也可通过协作找出恶意节点。但有文献[16]指出,即便假设成立,也无法完全保证检出恶意攻击,低密度道路中也不能完全保证恶意行为同时被多个节点检测到。

入侵检测系统Mob IDS[14]中,本地存在探测节点和监听节点,判断是否存在不正常转发的节点。协作评价某节点,如节点评价过低,则将其移出系统,向TTP汇报该节点,局部的IDS数据汇总为全局的数据。文献[17]介绍了分布式环境下识别恶意节点和检测恶意数据的感知器驱动技术,可以较精确地鉴别对方节点是否是恶意节点。由于节点的行为存在连续性,但VANETs中存在大量的短暂交互,节点信誉机制并不直接适于VANETs,故可将节点发送的数据本身作为中心,以其作为可信关系的属性,根据计算的信任熵进行判断[18]。

3 安全架构

全球的车辆数目大约为数十亿,将所有车辆都设计到同一个网络中并不现实。故需将网络分割为小规模,同时各子网能通过互联实现扩展。早在1998年,文献[19]已表明在VANETs中不适合使用集中式的管理,特别是存在大量的实时计算,故应考虑设计分布式的架构,其中每台车辆均为自治。此后的研究大都是基于此原则。

文献[14]提出了一个使用混合通信模型的安全架构,车辆定时广播行驶信息,如状态消息异常,其他车辆则产生并中继警告消息。该架构分为三层,底层为基本安全元素,如PKI和时间位置,中层为单跳安全,主要为状态消息服务;上层为多类服务,如路由位置服务,警告消息和高级服务等。除了传统的面向中心服务器的层次架构,也出现了面向车辆的新架构[20],利用P2P分布散列技术的设施通信方式,可建立一个分布式协作的系统。该系统需解决由P2P带来的系统负载,公平可靠性和网络聚合等问题。

在架构标准方面,VSCC提交给IEEE 1609.2的安全架构可认为是迄今为止交通网络中唯一的安全架构标准。该安全架构定义了基于PKI的V2V和V2R通信,支持椭圆曲线加密,WAVE证书和混合加密,但是没有提供隐私保护、证书撤销、多跳通信以及如何防止恶意的授权节点进行内部攻击。

4 结束语

作为下一代交通智能化网络部署的重要保证,VANETs的安全具有广泛的应用背景和重要的理论研究价值,尤其是如何保证在匿名的前提下实现认证和审计,同时提高效率,是当前研究的热点。然而,VANETs中异构、动态拓扑、高速移动和短连接等特性使VANETs的安全机制设计面临巨大的挑战。近年来相关研究从不同角度讨论了VANETs安全机制,但从本文的分析可看出,该领域的研究仅处于初步探讨的阶段,尚未建立成熟的理论体系和实践标准。另外,还需重点考察伪名更改对路由、会话效率的影响,协同设计支持变换临时身份的路由协议和应用层协议,对协议栈进行必要的修改,以支持伪名的注册回调机制,并且进一步完善安全架构设计。

摘要：无线网络通信将极大提高智能交通的安全和效率,在应用和协议设计中需要保障安全属性。介绍了VANETs中安全主要研究内容和研究现状,对近年来车辆定位、安全路由、身份管理、隐私保护、安全应用和入侵检测等方面取得的研究成果进行分析和总结,最后设计了一个支持伪名机制的层次安全架构。

安全智能无线网络第2篇

总书记强调，网信事业代表着新的生产力和新的发展方向，应该在践行新发展理念上先行一步，围绕建设现代化经济体系、实现高质量发展，加快信息化发展，整体带动和提升新型工业化、城镇化、农业现代化发展。全区网络安全和信息化工作会议强调，推动高质量发展，创造高品质生活，必须向信息化聚焦发力。区经济信息委坚持以习近平网络强国战略思想为指导，大力推进以大数据智能化为引领的创新驱动发展战略行动计划，全面推动数字产业化和产业数字化，构建智能产业、智能制造、智能化应用“三位一体”发展格局区。

一、大力发展大数据智能产业

围绕重庆市大数据智能产业十二大发展方向，结合xx实际，按照改造提升一批、培育壮大一批、招商引资一批思路发展大数据智能产业，争取大数据智能化产业发展有所突破。

二、加快传统产业智能化改造升级

牢牢把握智能化制造主攻方向，实施智能制造工程，围绕全区五大支柱产业，建成一批智能工厂和数字化车间。深入推进两化融合管理体系贯标试点示范。推动制造业与互联网融合发展，推进工业互联网发展，引导工业企业“上云”发展，推动企业向智能化、网络化、个性化、服务化转型，构筑发展“互联网＋先进制造业”新模式。推进企业经营管理智能化，引导企业通过大数据优化生产流程、管理体系、市场响应等关键环节，提升企业管理水平。

三、推进重点领域大数据智能化应用

做好大数据云计算中心建设和智慧园区试点建设申报，加快信息乡村工程建设，积极打造重庆市移动互联网村试点村，积极打造互联网小镇，助推智慧xx建设。

四、加快通信基础设施建设

千方百计完成全区通信盲点信号覆盖攻坚行动目标任务，实现主城区、主要景区、工业园区、高速公路等“三区一路”以及主城区电梯间、楼梯间、地下车库等“两梯一库”4G信号覆盖，通信不掉线，实现农村区域4G信号广覆盖。积极推进窄带物联网NB－IoT基站，提前谋划5G建设，推动千兆光纤入楼，万兆光纤入企。加快推进四面山5A级景区和城区主要公共区域免费无线局域网（WiFi）建设。

五、抓好工业信息化安全工作

安全智能无线网络第3篇

随着高校无线网络的逐步建设，覆盖范围以及使用人群的扩大，无线不再仅仅是一种简单的接入方式，其核心应该是可以随时随地使用任何设备，不论是自己的还是学校提供的设备接入校园网络。这必将带给学校网络“四多”的变化：

* 更多的设备需要连接到网络；

* 多种网络类型，包括有线、WiFi、VPN等；

* 多种设备类型；

* 多种操作系统。

上述变化不仅导致个人和网络之间的网络界限变得模糊，同时由于语音、视频、远程协作、多媒体文档或页面等应用在学校的日益丰富，加上移动接入的需求，要求网络资源的分布能够动态调整。但与之相比，网络安全问题却是学校网络管理者难题，网络管理者需要考虑如何能解决以下的问题：

* 能够掌控哪些用户、使用何种设备、在什么地方允许接入网络；

* 能够根据用户、设备、地方、环境等因素实现不同的授权，其中环境是指用设备上硬件、反病毒、操作系统等因素；

* 能够基于应用实现授权，例如，上课时间只允许PC访问校园网内部；

* 能够保持网络一致性，即整个网络各个部分实施的安全策略是一致的、集中的，而不是独自实施自己的安全策略，从而造成安全漏洞；

* 能够为丢失的数据采取措施。

这些问题的解决关键在于必须能够分辨到网络中的每一个元素，而做到这点的前提就是对设备和应用的识别。

二、终端智能识别

学校在部署大规模的无线网络方案，在考虑安全问题的同时以下几个功能必不可少：

* 注册：自带设备的首次连接和自注册；

* 识别：自带设备的识别；

* 认证：能够针对不同用户、设备类型采用不同的认证方式；

* 授权：基于用户、设备类型、接入时间、接入地点、设备环境的授权；

* 监控：网络中所有自带设备的状态、接入时长等要素的实时监控。

其中，对自带设备的类型识别，是实施安全、可管理无线校园网的关键

目前，终端类型多种多样，包括便携式电脑、笔记本电脑、掌上电脑、智能手机、电子阅读器、IP电子相机等等，网络管理员可以有选择地允许其中部分类型甚至是一些品牌的设备进入学校网络。通过识别终端的设备类型，管理员可以为不同的设备推送不同的终端软件，设置不同的认证方式，或者在Web认证方式下推送适合某种终端类型的页面，也可以限制其访问网络中的敏感数据，或者限制的应用类型等等。

对终端类型的识别，目前主要通过MAC地址的OUI、DHCP的选项，Web访问请求中的User-agent字段等信息中提取特征字段来进行。一般采取专门的设备或软件系统，从而方便整个网络实施一致的识别措施，根据终端类型采取相应的安全策略，也允许管理员能够根据终端的不断发展，制定新的终端类型识别方法。H3C是通过iMC软件系统来进行终端智能识别的。图1是H3C iMC系统中已定义的智能终端识别模板。

三、基于场景的策略授权

智能终端的发展催生了其上的应用层出不穷，我们势必要随时随地使用终端访问网络。管理员不仅需要能够控制用户所访问的目的网络，还需要进一步限制终端使用的场景。传统网络利用ACL五元组来实现对接入用户访问范围的授权。然而，要实现更加精细化的授权，ACL这种方式在一些情况下不能更为细致的区分各种场景。对于这种情况，必须精确管理用户的接入时间、地点、位置等多种元素，才能精细的管理，采取相应的策略。如图2，学校在大规模无线部署后常常有这样的疑问，如何以有限的资源（网络、带宽等）让学生能得到更好的体验，如何能平衡学生学习、娱乐的关系使之在特定的时间地点能更好的体验无线网络带来的便捷。例如学校要求学生在上课时间只允许使用自带的PC访问校内，而禁止手持终端访问无线网络以便学生能专注于学习、科研，更合理的使用无线网络。而下课时间则可以让学生使用任何终端（手机、PC等）访问校内和校外资源，尽情的体验无线带来的方便快捷。

四、结束语

随着智能终端的发展，校园无线网络必须适时应变，考虑如何与复杂多样的智能终端进行融合。在融合过程中，传统网络中基于用户角色的认证和授权已经不能满足网络安全的需要，需要实现基于用户、设备类型、接入时间、接入地点、设备环境的认证和授权，从而使得设备类型识别成为网络必不可少的功能部件之一。同样，对每个用户、每个设备的应用识别，让每个用户的网络活动处于被授权、记录之下，是最新校园无线方案更为详尽的安全需求，也是实施更为细致的QoS策略，更详尽地监控网络性能的需要。以此为契机，推动网络业务更为丰富化，更详细的应用识别或环境识别将成为高校无线网络的下一步需求。

（戴爽）endprint

一、智能终端识别技术的产生

* 更多的设备需要连接到网络；

* 多种网络类型，包括有线、WiFi、VPN等；

* 多种设备类型；

* 多种操作系统。

* 能够掌控哪些用户、使用何种设备、在什么地方允许接入网络；

* 能够根据用户、设备、地方、环境等因素实现不同的授权，其中环境是指用设备上硬件、反病毒、操作系统等因素；

* 能够基于应用实现授权，例如，上课时间只允许PC访问校园网内部；

* 能够保持网络一致性，即整个网络各个部分实施的安全策略是一致的、集中的，而不是独自实施自己的安全策略，从而造成安全漏洞；

* 能够为丢失的数据采取措施。

这些问题的解决关键在于必须能够分辨到网络中的每一个元素，而做到这点的前提就是对设备和应用的识别。

二、终端智能识别

学校在部署大规模的无线网络方案，在考虑安全问题的同时以下几个功能必不可少：

* 注册：自带设备的首次连接和自注册；

* 识别：自带设备的识别；

* 认证：能够针对不同用户、设备类型采用不同的认证方式；

* 授权：基于用户、设备类型、接入时间、接入地点、设备环境的授权；

* 监控：网络中所有自带设备的状态、接入时长等要素的实时监控。

其中，对自带设备的类型识别，是实施安全、可管理无线校园网的关键

三、基于场景的策略授权

四、结束语

（戴爽）endprint

一、智能终端识别技术的产生

* 更多的设备需要连接到网络；

* 多种网络类型，包括有线、WiFi、VPN等；

* 多种设备类型；

* 多种操作系统。

* 能够掌控哪些用户、使用何种设备、在什么地方允许接入网络；

* 能够根据用户、设备、地方、环境等因素实现不同的授权，其中环境是指用设备上硬件、反病毒、操作系统等因素；

* 能够基于应用实现授权，例如，上课时间只允许PC访问校园网内部；

* 能够保持网络一致性，即整个网络各个部分实施的安全策略是一致的、集中的，而不是独自实施自己的安全策略，从而造成安全漏洞；

* 能够为丢失的数据采取措施。

这些问题的解决关键在于必须能够分辨到网络中的每一个元素，而做到这点的前提就是对设备和应用的识别。

二、终端智能识别

学校在部署大规模的无线网络方案，在考虑安全问题的同时以下几个功能必不可少：

* 注册：自带设备的首次连接和自注册；

* 识别：自带设备的识别；

* 认证：能够针对不同用户、设备类型采用不同的认证方式；

* 授权：基于用户、设备类型、接入时间、接入地点、设备环境的授权；

* 监控：网络中所有自带设备的状态、接入时长等要素的实时监控。

其中，对自带设备的类型识别，是实施安全、可管理无线校园网的关键

三、基于场景的策略授权

四、结束语

安全智能无线网络第4篇

安全智能无线网络通信系统的建立与应用, 给我们的生活带来了极大地便利。比如:各种类型的无线网路系统的应用、使我们可以在各个地方进行网络的运用, 方便我们的生活。如:智能家居网络的应用、车载网络的应用、无线路由器的有效应用等等。其主要有智能终端、智能终端与无线节点之间通信技术、各个无线节点之间的通信三个部分组成。而我们想要更好的对于安全智能无线网络通信技术进行有效的利用, 需要对于其系统的设计与具体功能问题进行研究。

一、安全智能无线网络通信系统的设计

1.1 Ad hoc网络搭建技术的应用

Ad hoc网络搭建技术是一种多跳临时自治系统, 可以保障用户在静止状态或者是移动的状态下依然可以进行无线网络的有效运用。同时, Ad hoc网络搭建技术还具有无中心的网络结构以及分布性控制的运用特点, 具有极强的抗毁性与鲁棒性。但是, 在实践的运用过程中我们要根据需要对于Ad hoc网络搭建技术进行符合实际情况的调整。比如:第一, 修改IBSS标记, 使其可以更适应网络的运用需求。第二, 取消Ad hoc过滤, 也就是对于Ad hoc代码在文件events.c中进行删除或者是注释。第三, 添加及识别Ad hoc标识[1]。

1.2 VPN组网技术的应用

VPN组网技术的应用是进行安全智能无线网络通信系统设计的重要内容。其具体的操作可以通过以下几个步骤来完成。第一, 在两台主机之间的VPN连接运用TCP端口。第二, 实现C/S机构, 使得多台的client通过server实现互通互联。第三, 运用TLS/SSL实现加密技术保障传输的安全。第四, 进行科学有效的数据压缩, 对于数据传输的速度进行提高。表1 VPN组网技术的测试环境

二、安全智能无线网络通信系统实现的功能

2.1网络构建功能

网络构建的功能主要有四个方面的内容构成。

第一, 具备网络快速构建功能, 支持各种便携式手提设备。比如:手机、手提电脑等。

第二, 网路的拓扑支持分层, 形成有效的分簇式组网。

第三, 支持卫星网络的功能接入, 支持VPN技术。

第四, 便携式手提设备支持各种无线终端的接入[2]。

2.2信息收集与分析功能

信息的收集与分析功能也由两个方面的内容构成。

第一, 对于用户信息检索中的关键词进行有效的功能支持。

第二, 可以实时收集目标网络的传输信息, 保障无线网络通信系统的智能化与安全化。

2.3信息发布功能

信息发布功能主要由两个方面的内容进行构成。

第一, 具有自动发布Web信息的功能。

第二, 对于手机中各种各样的语音短信、短消息、多媒体消息等等具有良好的发布功能[3]。

2.4系统要达到的指标

安全智能无线网络通信系统设计需要达到以下几种设计的指标, 可以使其更好地为用户提供优质的无线网络通信服务。

第一, 利用Wi-Fi的无线覆盖功能可以实现三台手提式设备节点的有效连接。

第二, 无线传输的速度要大于64kbit/s。

第三, 实现网络开设时间小于5分钟。

第四, 节点掉线重组路由器的时间小于1分钟。

第五, 网络规模要大于256个各类的无线网络节点。

第六, Web信息发布的种类支持各种短信与彩信。

第七, 可以使目标网站进行有效的分类[4]。

结论:

对于安全智能无线网络通信系统设计与实现问题进行科学研究, 有利于无线网络通信系统的高效、安全运行, 为用户提供优质的无线网路服务。

参考文献

[1]何道敬.无线网络安全的关键技术研究[D].浙江大学, 2012.

[2]王敏.基于无线网络技术的智能家居系统设计与基本实现[D].电子科技大学, 2009.

[3]澹台建培, 刘文佳, 陈万成, 李斌.安全智能无线网络通信系统设计与实现[J].邮电设计技术, 2016, 01:26-31.

智能网络存储第5篇

它可广泛应用于大规模视频处理、INTERNET信息发布、数字资料库等海量数据存储领域。

关键词：网络存储 SAN MAS NAS服务器

计算机网络无疑是当今世界最为激动人心的高新技术之一。

它的出现和快速的发展，尤其是Intenet(国际互联网，简称因特网)的日益推进和迅猛发展，为全人类建构起一个快捷、便利的虚拟世界。

一、概述

目前，数字视音频网络的数据网络的大量应用成为电视行业发展的必然趋势，这就要求提供更大、更快、更有力的网络数据存储和共享途径。

网络存储技术无疑为我们提供了一个很好的选择。

二、网络存储技术的分类

目前的网络存储技术大致分为三类：1.直接依附存储系统(Di-reect Attached Storage)DAS)DAS又称为以服务器为中心的存储体系，如图一所示，其特征为存储设备为通用服务器的一部分，该服务器同时提供应用程序的运行，即数据访问操作系统、文件系统和服务有程序紧密相关。

当用户数据增加或服务器正在提供服务时，其响应速度会变慢。

在网络带宽足够的情况下，服务器本身成数据输入输出的瓶颈。

现在已渐渐不能满足用户的需求，不再为大家所采用。

2网络依附存储系统(Network Attached Storage,NAS)NAS的结构是以网络为中心，面向文件服务的。

在这种存储系统中，应用和数据存储部分不在同一服务器上，即有专用的应用服务器和专用的数据服务器。

其中专用数据服务器不再承担应用服务，称之为“瘦服务器”(Thin Server)。

数据服务器通过局域网的接口与应用服务器连接，应用服务器将数据服务器视做网络文件系统，通过标准LAN进行访问。

由于采用局域网上通用数据传输协议，如NFS、C1FS等，所以NAS能够在异构的服务器之间共享数据，如Win-dows NT和UNIX混合系统。

NAS系统的关键是文件服务器，一个经过优化的专用文件服务和存储服务的服务器是文件系统所在地和NAS设备的控制中心，该服务器一般可以支持多个I/O节点和网络接口，每个I/O节点都有自己的存储设备。

3存储区域网络(storage Area Network,SAN)SAN是一种以光纤通道(Fiber Channel，FC)实现服务器和存储设备之间通讯网络结构，如图三所示。

SAN的核心是FC，其中的服务器的存储系统各自独立，地位平等，通过高带宽(传输速率为800Mb/S，全双工时可达1.6Gb/S)FC集线器或FC交换机相连，可避免大流量数据传输时发生阻塞和冲突。

各应用工作站通过局域网访问服务器，在各存储设备之间交换数据时可以不通过服务器，这样就大大减轻了服务承受的压力。

三、NAS和SAN的比较

NAS、SAN与传统网络存储技术相比而言，无论是从网络传输带宽、数据共享性还是从存储容量的可扩充性、数据的一体化和安全性等各方面来说，其优越性是不言而喻的。

所以，现在众多的用户在对其存储方案进行选择时，实际上也就成为对NAS和SAN的选择了。

NAS和SAN有许多共同的特点。

它们都提供集中化的数据存储和整合优化，都能有效的存取文件，都允许在众多的主机间共享并支持多种操作系统，都允许从应用服务器上分离存储。

而且。

它们都提供数据的高可用性，都能通过冗余部件和RAID保证数据的完整性。

NAS和SAN也有着一些不同点。

首先，实施和维护的难易程度不同。

上面曾提到，NAS的存储设备与众多访问客户的连接是通过标准的LAN进行的，也就是说，直接将NAS存储设备接入LAN中就可以使用了，管理者所要做的只是来定义网络寸取权限或为每个用户定义磁盘限额。

而且由于NAS采用了热插拔和即插即用技术，所以在新设备接入时无需关闭数据服务器或进行重新配置，新增的存储空间可以立即为众多的应用服务和客户机所共享。

而SAN的存储设备与客户之间的联系是通过专用FC集线器和交换机来进行的，如果客户端增加，就要对交换机进行级连，这就大大增大了安装与设备难度。

其次，二者的设备管理难易程序不同。

由于NAS中每一个I/O节点都有自己的存储设备，而这些设备又没有一个统一的管理的界面，所以管理人员就必须逐一管理每个NAS设备，从使管理成本随网络上的NAS设备的增多而线性增加。

而SAN对整个网络中的存储设备的管理。

是采用SAN专用管理软件来进行集中式管理的，用户可以通过简单的图形界面来管理不同平台和介质上的数据，也就是说，在SAN中，其整个存储网络成为一个集中化的存储池，这样，管理人员管理起来也就非常简单了。

再者，NAS和SAN的管理对象也不相同。

SAN管理的是磁盘空间，而NAS管理的是文件，也就是说，SAN是个磁盘工厂，而NAS只是一个文件服务器。

最后，也是最重要的一点，那就是二者在性能上有所不同。

NAS是基于传统以太网络的存取设备。

虽然减轻了服务器所承担的压力，但势必严重增加网络的负荷。

而且无论存储磁盘的速度有多快，存储速度只可能与网络带宽所允许的速度一样快。

即NAS达到高性能的前提条件是网络带宽足够。

否则其性能将急剧下降。

而如果为了解决带宽问题而增设宽带网段，就势必丧失NAS价格较低、安装设备容易的优势。

与NAS不同，SAN构建于基于光纤的专用数据网络，可以提供极高的带宽(新的FC标准可使带宽达到4GB)，不必担心由于带宽不足而引起的性能下降。

可以说，NAS和SAN各有其长短之处，在实际应用中也各有不同之处。

对于经济实力不足，有传统以太网络，且急需扩充存储空间的用户，NAS无疑是一种便宜、快速的方案。

而对于拥有强大经济后盾，对网络性能要求较高及未来发展势头强劲的用户，则应该选择sAN。

四、SAN的现状和发展

1 现状

由于自身所具有的高速、集中化存储管理及几近无限的扩充能力这些特点，特别适合对海量数据的视音频数据进行存储、传输和实时处理，所以采用FC技术的SAN目前在很多电视台得到了推广，甚至已成为电视台运做的核心。

在视频处理领域里，SAN就像数字视频网络中的大本营，不但承担着视频数据的存贮、迁移、交换、共享，而且掌管着网络设备的登记、删除、查询、维护。

可以这么理解，SAN是电视台视频网络的主干，在SAN网上可以挂接诸如新闻生产系统、非线性编辑系统、广告非线性插播系统、数字化节目库系统等。

SAN在日益广泛的应用中也暴露了一些缺点和不足。

SAN网络仍然采用传统网络结构进行存储操作，网络结构主要由交换机与集线器构成。

将这些传统规范的硬件应用于新的存储结构中，并应用传统的网络管理技术进行存储管理。

最终导致了系统的匹配问题。

艾诺威推智能无线网络第6篇

“我们专注于企业级的Wi-Fi无线网络，有自己的核心技术和高质量的产品。而从技术角度看，与我们类似的公司不多。”艾诺威公司创始人、CTO刘长明说。

据介绍，该公司的无线网络具有如下特点：部署简单。由于AP采用分布式智能（co-operative control）组网，中央网络管理系统支持各类云设备，简化部署；高性能和高可靠性。可实现多达上千个AP自动组网，该网络并无中央控制器。在该网络下的AP能共享信息，能实现以前由控制器才能实现的诸如二、三层漫游的功能；控制简单。针对某些行业有独特的控制或应用软件，简化IT人员工作量；低成本。由于具有云管理和分布式智能组网的解决方案，节约用户的投资，并在后续投资中，可沿用之前的解决方案，最大程度保护用户资产。

刘长明说，艾诺威具有的网络管理系统是一个集中管理的解决方案，支持策略创建、固件升级和集中监控。因为具有这样的特点，所以具备自主AP和基于控制器两种解决方案的优势。

未来智能电网系统的网络安全趋势第7篇

当今电网不断融入新兴的智能网络化技术, 从而在公共网络上更加容易访问, 给电网带来了新的网络威胁。未来的智能电网模型, 不仅是电力输送, 同时也是基于贯穿整个网络架构的系统状态、用途、控制这些数据流的通信系统, 这也导致了新的安全威胁。随着SCADA系统 (数据采集与监视控制系统) 的广泛使用, 将电网暴露在DDOS (分布式拒绝服务) 、数据欺骗、数据篡改等黑客攻击的威胁下。从当前模型到未来模型的过渡已开始且快速发展中, 由此带来的安全挑战需关注并尽快解决。

1 智能电网和物联网

智能电网技术极大增强了公用设施运营者对电网运作状况的了解。这些系统同时将增强电网的可靠性和静默性, 比如电力能被很快地重引导以替代损坏部件, 公用设施能更快地检测和修复电网被影响的部分。智能电网技术也使得之前不能连接到电网中的家用电器、系统和工具可接入电网中。智能电网的用户就是物联网, 也就是包含用于与内部、外部物体进行通信、传感及交互的嵌入式技术的物理物体组成的网络。

物联网的增长远远超过人们原来的预料, 预计2020年将达到260×108台设备的规模。伴随着这些创新而来的是严重的安全挑战, 因为每个物联网上的设备都是恶意软件攻击的目标, 如何保证这些物联网设备的安全对智能电网的发展和普及至关重要。新可再生能源 (风能、太阳能等) 的逐步广泛使用是传统能源 (核能、天然气、煤炭等) 的有力补充, 同时智能电网管理和安全问题也显得比以前更加紧迫和重要。然而, 物联网不仅是亿万计的新连接物体, 且还有其产生的难以置信的数据量。无论是数量上和类型上, 互联设备的急剧增加无疑扩大了攻击的范围和威胁的多样性, 而这仅是物联网安全挑战的一部分。其它挑战则是企业组织内部现有IT网络和运作技术网络如何趋于一致的问题 (如制造车间、能源网络、运输系统及其它工业控制系统) [1]。

2 网络威胁

一般来说, 近些年来是这些威胁组成了网络威胁的全景图:信息战争、网络犯罪、破解、网络间谍、黑客行为主义。在网络攻击下保护国有电网系统是一项关键的国家安全议题。现有证据表明, 针对关键能源架构, 特别是电力系统的攻击, 无论是频率还是复杂程度都在不断增长。这些趋势正在敲响警钟, 因为一次成功的大规模网络攻击, 或网络和物理同时攻击, 都可能造成严重后果。

先前的电网故障表明, 任何导致大范围地区电力故障的事件不仅导致经济上的损失严重, 且影响数百万人的日常生活和基础生活服务, 包括通信、食物、水、医疗和紧急状况处理。还有网络威胁与对电网可靠性的传统威胁 (比如极端天气) 不同, 发生时间上更加难以预测, 问题更加难以定位, 一次网络攻击可从很多不同的地方发起, 且考虑到国家级电网规模, 电网中多个弱点都可能同时受到攻击。因此, 专家们认为一次成功攻击造成的风险是非常重大的, 电网系统和其运营者们应做好充足的准备, 把攻击造成的后果最小化。再者, 大量数据在智能电网网络中流动, 以智能、平衡、控制的方式连接能源分布起源和消费者。这个信息流有时能被公用网络访问, 将智能电网网络暴露在潜在的多层网络攻击下[2]。

3 网络安全防护措施

正确措施就是提供一种合适的网络安全解决方案, 定义一种整体、直观、可定制的措施, 能提供防御多层网络攻击, 包括零时攻击的安全网络。

3.1 多层措施

为了提供全方位和连续的防护, 必须在OSI (开放式系统互联) 模型7层中设计和部署防护机制, 第8层作为用户层。图1是智能电网防护的概念示意图。

3.2 DDOS防护

DDOS指的是处于不同位置的多个攻击者同时向1个或数个目标发起攻击, 由于攻击的发出点分布在不同地方, 这类攻击称为分布式拒绝服务攻击。智能电网必须采取合适的解决方案, 全方位保护网络中的应用程序不受到这样类型的攻击。

3.3 网络异常检测

描绘网络的正常行为, 监控可代表可疑活动的不明显偏离行为, 这项技术不要求用户定义输入 (比如自定义规则) 。作为输入, 当产生基于会话信息表明恶意代理的存在, 它从另一个IDS (入侵防御系统) 引擎接收镜像流量作为DPI (深包检测) 结果。

3.4 大数据

集中化机制, 用于收集来自分布式网卡和被管理设备的警报集合、规格化、相关性和优先性。网络管理系统记录模块应维护所有警报、事件的历史出现率。除非能将收集到的信息同步到一个单一的视图中, 然后描绘出潜在的安全缺口, 否则被管理设备的警报收集机制是没有用处的。

3.5 数据分析

先进的交叉数据规律逻辑分析, 用于辨别基于多产品和多层信息逻辑的缺口和威胁:a) 搜集任意网络元素的日志、数据库到数据湖;b) 指定算法用于辨别安全攻击;c) 基于数据多样性的交叉参考识别的工具。

3.6 机器学习

在已知的缺口上使用这种技术, 实现前瞻性安全防护 (如防御零时攻击) 和异常行为辨别。防御零时攻击的措施:a) 开发测量、预处理和学习的模型, 基于现有已知行为规律生成未来可能出现安全缺口的规律;b) 在优化流程之后, 人们可将这些规律载入到IDS/IPS (入侵防御系统/入侵防护系统) 网络引擎中, 提供前瞻性防护;c) 提供网络数据的异常行为辨别方法, 当可疑和可能的恶意活动发生时发出警报[3]。

4 SCADA防护

为了保证公用设施运作技术网络不被攻击, 有必要使用一种全面的方式, 由多种技术组成:SW/HW (软件/硬件) 用于单向的防护, FW (固件) 用于SCADA (数据采集与监视控制系统) 协议和SCADA深度数据包检测。

4.1 SW单向防护

一种对偶节点方法, 用于保护内部网络。推荐的做法是使用2层的部署架构, 由内部节点和外部节点组成。外部节点的角色是作为所有公共服务的前端, 这个节点保证了只有合法的会话能进入内部网络。它不需要外部的防火墙打开任何端口。内部节点的作用则是把外部节点的数据拖入内部网络, 使用多样的应用层安全技术扫描数据, 然后传递到目标应用程序服务器。

4.2 SCADA深度数据包检测

快速和优化的规律匹配机制:全状态发现。对每一个数据包进行深度检测, 快速辨别数据包内是否存在通用签名, 根据规则进行签名匹配, 能在运行时间内载入任意规则或签名而不影响数据带宽, 动态更新签名, 聚焦于MODBUS、DNP3、BACnet和其它的SCADA协议。

分析过程分为2个级别:a) 快速过滤无害的主要数据流量, 而被标记为可疑的数据则转发至进一步分析;b) 更加深入地检查数据包, 保持跟踪连接从而增强确定性, 同时减小误报。

4.3 SCADA单向防火墙

中央网络功能虚拟化网卡位于控制中心, 确保SCADA协议的第一线能处理, 如协议有效性, 用户和网络授权, 保证到位于运作网络边缘加密的其它网卡之间通道的安全。

位于子变电站的边缘网卡保证只有指定给子变电站的合法SCADA数据能通过:通过安全通道连接到主网络卡, 仅提取合法的会话进行处理, 然后执行一系列附加、严格的调查规则来校验会话的完整性。

5 结语

随着传统电网的逐步进化, 为了应对现代通信网络的发展带来安全问题, 引进一种合理的安全解决方案显然很关键, 这种解决方案需提供能快速检测和阻止的工具, 以便能应对来自多种来源的不同属性的各种各样的威胁。且这种解决方案不能与网络中任何设备过于紧密耦合, 从而不需升级电网中现有设备。网络防护解决方案应是灵活使用各种各样网络技术, 如防火墙、异常检测、大数据分析、机器学习及其它技术形成的智能组合。这样才能在恶意网络攻击下, 智能电网中的设备和应用程序能依然正常工作, 为消费者提供稳定可靠的服务。

摘要：叙述了智能电网和物联网, 分析了智能电网系统的网络威胁, 探讨了网络安全防护措施, 并提出了SCADA防护。

关键词：网络安全,智能网络,DDOS,大数据

参考文献

[1]李鹏, 刘成斌, 姜涛.智能电网下的电网安全性与稳定性[J].电网与清洁能源, 2013 (2) :33-37.

[2]林宇锋, 钟金, 吴复立.智能电网技术体系探讨[J].电网技术, 2009 (12) :8-14.

安全智能无线网络第8篇

目前, 大多数的楼宇安全防护系统采用的是报警方式, 在发现异常情况时, 安装在各个楼层的传感器会自动报警, 但存在安全设施的维护费时费工, 以及紧急情况发现滞后等缺点。随着电子科技的发展, 计算机技术的进步, 无线传感器网络的出现, 以及人们对于智能化楼宇安全防护系统的需求越来越强烈, 本文采用n RF905 无线数据通信收发芯片, 与控制器结合构建基于无线传感器网络楼宇安全防护系统。

2 系统整体设计

基于无线传感器网络的智能楼宇安全系统是由传感器、n RF905 无线通信模块、控制器以及上位机构成的。本文设计的系统采用的是无线传感器网络的树型网络拓扑结构, 总体分为三部分: 监控室上位机、汇聚节点和终端节点。系统运行过程如下:首先分布在各楼层的传感器将采集到的数据参数存储在对应的控制器中, 然后控制器通过携带的n RF905 无线通信模块将数据传输到各楼层的汇聚节点, 最后各楼层的汇聚节点通过GPRS模块将收到的数据发送至监控室的上位机, 工作人员可通过监控界面实时观察各楼层的安全状况。系统的总体框架如图1 所示。

3 系统硬件设计

3.1 控制器模块

本系统的控制器采用的是S T C 1 2 L E 5 6 1 6 A D单片机, 是高速、低功耗、超强抗干扰的新一代8051单片机, 指令代码完全兼容传统8051, 但速度快8-12 倍[1]。内部集成MAX810 专用复位电路, 4 路PWM, 8 路高速10 位A/D转换。STC12LE5616AD系列单片机还提供另一种高速串行通信接口---SPI接口。本系统主要利用控制器的A/D转换功能和SPI接口, 控制器将传感器采集到的的模拟信号转换成数字信号, 再通过SPI接口与无线通信模块进行数据传输。由于STC12LE5616AD的工作电压与本系统采用的无线传输模块的工作电压均为3 .3V, 从而简化了系统电源的硬件设计。

3.2 无线通信模块

本系统采用的是n RF905 无线数据通信收发芯片, 该芯片工作在免费的433/868/915MHz ISM频段, 其可通过SPI接口进行配置, 与本系统选择的控制器可以兼容。SPI接口由5 个内部寄存器组成, 分别是频率调制器、带解调器的接收器、功率放大器、晶体振荡器和调节器[2]。在本系统的设计中, 将控制器的P1.4、P1.5、P1.6 和P1.7 管脚分别于n RF905 的CSN、MOSI、MISO和SCK引脚连接实现对无线通信模的配置, 并进行数据传送。

3.3 汇聚节点硬件结构

本系统要求每个楼层设置一个汇聚节点, 收集本楼层的数据信息。汇聚节点由控制器、n RF905 无线模块、GPRS模块以及M A X 2 3 2 A E P E组成。每个楼层的终端节点将采集到的数据信息通过构建的无线传感器网络传送至汇聚节点的n RF905 无线模块, 此时汇聚节点的无线模块通过SPI接口将信息又发送到中心控制器, 中心控制器又通过串口 (P3.0、P3.1 通过MAX232AEPE与GPRS连接) 连接GPRS模块, 将数据传送到监控室上位机, 因此工作人员可以方便快捷的通过监控界面实时观察到各个楼层的安全情况。汇聚节点的电路组成框图如图2 所示。

3.4 终端节点硬件结构

本系统要求每个楼层根据实际情况安装数量不同的终端节点, 采集并传输各个楼层的数据信息。终端节点与汇聚节点的硬件结构基本一致, 唯一的区别在于终端节点没有设置与上位机进行数据传输用的G P R S模块, 同时增加了采集各种参数的传感器。本系统设计的目的是监控楼宇的安全, 因此所采用的主要传感器有温湿度传感器S H T 1 0、烟雾传感器M Q - 2 以及红外传感器SPS532CA等。传感器将感应到的数据信息转换成标准的模拟信号, 通过对应的控制器转换成数字量存储在控制器中, 控制器通过SPI接口将信息发送至无线模块。终端节点的电路组成框图如图3 所示。

4 系统软件设计

4.1 n RF905数据收发过程实现

本系统采用的n RF905 无线通信模块通过RFID无线通信网络进行数据的收发。n RF905 无线通信模块采用的是Shock Burst技术。n RF905 应用的这项技术不仅能够提供高速的数据传输, 而且不需要昂贵的高速微控制器来进行数据处理。有硬件部分可知, n RF905 芯片与控制器通过SPI接口进行数据传输的, 同时数据的传输速率也是由控制器自己设定的接口速度决定的。n RF905 通过Shock Burst工作模式以最大速率进行连接时, 通过降低数字应用部分的速度来降低在应用中的平均电流消耗。在Shock Burst RX模式中, 地址匹配AM信号和数据准备就绪DR信号通知所应用的控制器一个有效的地址和数据包已经各自接收完成。在Shock Burst TX模式中n RF905 自动产生前导码和CRC校验码, 数据准备就绪D R信号通知所应用的控制器数据传输已经完成。图4 和图5 分别是n RF905 收发数据的流程图。

4.2 无线传感器网络的建立

无线传感网络系统通常包括传感器节点 ( S e n s o r Node) 、汇聚节点 (Sink Node) 和管理节点。传感器节点监测的数据沿着其他传感器节点逐跳地进行传输, 在传输过程中监测数据可能被多个节点处理, 经过多跳后路由到汇聚节点, 最后通过互联网或卫星到达管理节点[3,4]。

对于建立的任意无线传感器网络来说, 设计一个良好的网络拓扑结构可以实现对传感器节点通信功率的控制, 保证网络的连通性, 同时可以减少节点间的通信干扰, 提高整个网络的通信效率[5]。本文根据楼宇的实际情况设计了树形的网络拓扑结构, 树形拓扑最值得注意的地方就是它保持了星形拓扑的简单性, 较少的上层路由信息, 较低的存储器需求, 这样成本必然也较低。这种新的“多跳”能力解决了由于低功耗RF收发器所带来的覆盖范围的问题, 它使得网络架构者和开发者不必采用大功率远距离的无线通信设备就可以覆盖大范围区域。

本系统设计的网络流程如下: 各个楼层根据实际情况安装有不同数量的烟雾传感器、温湿度传感器以及红外传感器, 每个传感器携带一片控制器和一片无线通信模块, 从而组成一个终端节点;在各个楼层是指一个汇聚节点, 各楼层的终端节点将实时采集到的数据信息传送至对应的汇聚节点, 汇聚节点通过G P R S模块将收集到的数据传送到监控室的上位机。系统的总体流程图如下图6 所示。

5 结束语

本文论述了一种基于无线传感器网络的智能楼宇安全防护系统的设计。本系统硬件设计中微控制器使用的是STC12LE5616AD单片机, 无线通信模块采用的是n RF905 无线收发芯片, 利用二者组成了树形的无线通信网络系统。

(1) 采用无线传感器网络组建的安全防护管理系统取代传统的楼宇报警系统, 避免了传统方式在发生紧急情况时存在报告滞后的缺点。

(2) 采用的树形网络结构, 汇聚节点集中收集各个传感器采集到的楼层信息, 有效并及时传递数据信息, 并将数据实时传送到监控室的上位机, 实现智能化的管理, 减少安全设施维护需要的人工和时间。

参考文献

[1]STC12LE5616AD系列单片机简介[Z].宏晶科技, 2012.

[2]Nordic Semiconductor ASA, Single chip 433/868/915 MHz Transceiver nRF905, [EB/OL], http://www.nordicsemi.no/files/Product/data_sheet/nRF905_rev1_4.pdf, 2004-6-10.

[3]于海斌, 曾鹏.智能无线传感器网络系统[J].北京:科学出版社, 2006:17-158.

[4]徐林.短距离无线通信技术的研究与实现[D].南京理工大学, 2003.

安全智能无线网络第9篇

随着智能建筑的发展, 无线传感器网络系统由于其自身的优点, 己开始向智能建筑应用渗透, 并逐渐成为这方面研究的一个热点。在智能建筑的应用中无线传感器网络的安全问题是必须首先考虑的, 如果网络的安全系统被破坏, 不仅会带来经济损失而且有时会威胁到人们的生命安全, 如在发生火灾时, 如果传感器网络受到破坏, 这时检测到的火灾的数据可能无法传输到控制中心。智能建筑中无线传感器网络面临的安全问题与其它传感器网络基本相似, 但是智能建筑中无线传感器网络自有的特点, 使得智能建筑中传感器网络面临的安全问题以及处理安全问题的方法也有所不同。

1 智能建筑中无线传感器网络的特点

无线传感器网络是一种应用相关很强的网络, 不同应用的传感器网络具有不同的特点。与在其它应用中相比, 智能建筑中的无线传感器网络具有以下的特点:

网络的使用寿命要长、节点的能量可以补充。建筑物中的无线传感器网络的使用寿命需要达到几十年, 而其它应用中无线传感器网络的使用寿命通常很短, 如用于战场信息收集的传感器网络的寿命只需几天或更短的时间。

网络可以人工维护。在智能建筑中不仅可以通过人工方法安装传感器节点, 而且也可以人工更换传感器节点的电池和对传感器节点进行维修。另外, 在智能建筑中部分传感器节点可以使用有线或其它的方式持续提供能量。

传感器节点的数目多。为了提供舒适、方便、节能和安全的工作和生活环境, 在智能建筑中需要部署大量的传感器节点来对周围的环境进行监测。特别是近年来, 随着人们对智能建筑的智能化程度要求的增加, 智能建筑中需要部署的传感器节数目也不断增多, 智能建筑 (或智能建筑群) 中的传感器节点可以达到几万甚至几十万个。

多种不同类型的传感器节点构成的异构网络。在智能建筑中, 传感器网络由分布的不同种类的传感器组成, 包括不同厂商、不同监测目标、不同型号、不同规格的传感器.这些不同的传感器协同工作, 对目标环境进行一种综合的监测。

与有线网络并存。有线网络具有传输稳定、抗干扰能力强的特点, 因此在智能建筑中控制网络的主干网络可以使用有线网络。

网络拓扑结构的不完全控制。虽然在智能建筑中无线传感器网络的是通过人工部署的, 但是传感器节点部署的位置通常要根据建筑物的物理环境来决定, 所以在智能建筑的无线传感网络中节点部署位置不可能完全符合人们的意愿。

2 智能建筑中无线传感器网络的拓扑结构

网络的拓扑控制是无线传感器网络中的一个基本问题, 良好的拓扑控制能够提高路由协议和MAC协议的效率, 为数据融合、时间同步和目标定位等很多方面提供基础, 有利于延长整个网络的生存时间。

2.1 无线传感器网络的拓扑结构

无线传感器网络的拓扑结构主要可以分为两类:平面结构和层次结构。

在平面结构中, 所有的网络节点处于平等地位, 不存在任何的等级和层次差异, 所以该种结构也被称为对等式结构。平面结构比较简单, 无需进行任何结构维护工作;网络节点的地位平等, 不易产生瓶颈效应, 不会因为某个节点故障而导致整个网络瘫痪, 具有较好的健壮性。平面结构网络的最大缺点是网络中无管理节点, 自组织协同工作算法复杂, 对网络动态变化的反应速度较慢, 只适用于小规模的无线传感器网络。

与平面节点对应的是层次结构。分层网络一般以“簇”的形式存在, 所谓簇, 就是具有某种关联的网络节点组成的集合, 相当于一个子网。在每个簇内, 有一个按某种规则选举的簇首节点, 多个簇首也可以形成高一级的网络, 在高一级的网络中, 又可以分簇, 再次形成更高一级的网络。在层次结构中, 簇首节点不仅管理或控制一个簇内的所有节点, 还负责簇间数据的转发。层次结构的特点是可扩展性好、便于管理, 适合于大规模的无线传感器的网络环境。层次结构的缺点是簇首节点的可靠性和稳定性对全网络的性能影响较大, 簇首选择算法复杂。

2.2 智能建筑中无线传感器网络的拓扑结构需求分析

由于智能建筑中传感器节点多, 传感器网络的规模较大, 因此不宜采用平面拓扑结构。但是在智能建筑无线传感器网络中直接使用层次的拓扑机构, 存在下列的问题:

为了使簇首节点之间能够之间通信, 簇首节点需要以大功率进行通信。虽然在智能建筑中可以较容易选择一些资源充足的节点作为簇首节点, 但是这会加剧节点之间的干扰, 降低通信效率, 并造成节点能量的浪费, 减少节点的生命周期。更重要的是, 室内无线信号传播的影响因素很多, 无线信号长距离传播不仅衰耗较大而且信号容易丢失。

现在智能建筑的面积较大, 而簇首节点的通信能力有限, 簇首节点与Sink节点之间无法直接通信, 需要经过其它簇首节点的中转。这样, 当传感器节点把采集到的信号通过簇首节点传向Sink节点时, 需要经过多个簇首节点中转, 这样不仅传输的数据包丢失的可能性增大, 而且也增加了数据包传输的时延。在智能建筑中传感器节点采集的许多数据的时效性很强, 在智能建筑无线传感器网络中, 从传感器节点到Sink节点之间的跳数不能太多。所有节点一般根据相对集中和就近原则被划分为若干簇, 每个簇拥有一个簇头和若干簇内成员, 簇头负责簇内信息的收集和融合处理, 再把聚集的数据传送给服务器节点, 簇头和若干簇内成员之间的通信属于微距离通信, 因此簇内通信功率可以很低, 从而降低了电磁辐射强度;也因为每个簇是簇头服务器节点通信, 减少了大功率节点数, 电磁辐射强度得到进一步减小。这种分簇技术, 增加了微距离通信节点的数量, 大部分节点工作在微功率状态, 达到了减小电磁辐射和能耗的目的。

2.3 智能建筑中无线传感器网络拓扑结构的设计

根据上述分析可知, 智能建筑的自身特点使其无法直接使用传感器网络的平面拓扑结构和层次拓扑结构。由于在建筑物传感器网络的自身特点, 某些传感器节点可以使用持续的电源提供能量, 一些传感器节点即使使用电池提供能量, 但是这些节点更换电池也可能比较方便。基于这些特点, 根据传感器节点的地理位置 (如楼层、房间等) 把传感器节点簇, 在每个簇中选取一个或几个可以持续提供能量或更换电池比较方便的传感器节点作为簇首。给出如图1所示的智能建筑中无线传感器网络拓扑结构。

3 无线传感器网络技术在建筑应用中的难点

随着无线传感器网络技术的不断成熟, 国内外无线传感器网络理论及应用的研究如火如茶, 应用化的步伐可谓一日千里, 并且应用范围不断拓广。但是, 目前无线传感器网络技术尚不成熟, 一些关键技术尚未解决, 没有成熟的通用标准协议, 尤其是在国内, 大部分应用都处于探索尝试的初级阶段, 无线传感器网络的实际应用还比较少, 特别是在复杂环境下的大规模应用几乎没有。无线传感器网络在建筑领域的应用具有如下难点:

无线信道具有不稳定性, 而且无线信号容易受到干扰, 需要多种保证通信可靠性的机制;

无线信号受到障碍物的阻挡时会产生严重而复杂的衰落效应, 而建筑内环境复杂, 使得无线传输具有复杂特性, 需要对应用环境进行电磁环境测试;

无线传感器节点发射功率小, 穿墙能力差, 传输距离短, 需要合理配置节点, 通过接力方式路由数据;

特殊的应用决定了网络的特殊结构, 而目前没有通用的无线传感器网络协议, 需要针对应用开发相关的适用性协议。

4 智能建筑中无线传感器网络的安全分析

在智能建筑的应用中无线传感器网络的安全问题是必须首先考虑的, 如果网络的安全系统被破坏, 不仅会带来经济损失而且有时会威胁到人们的生命安全, 如在发生火灾时, 如果传感器网络受到破坏, 这时检测到的火灾的数据可能无法传输到控制中心。

智能建筑中无线传感器网络面临的安全问题与其它传感器网络基本相似, 但是智能建筑中无线传感器网络自有的特点, 使得智能建筑中传感器网络面临的安全问题以及处理安全问题的方法也有所不同。由于智能建筑是一个开放的环境, 其中部署的传感器节点很容易被攻击者物理捕获, 因此在处理智能建筑中无线传感器网络的安全时需要特别关注来自内部的攻击。

另外, 智能建筑中传感器网络生存时间很长, 在设计安全方案时, 必须保证能够称长时间的提供安全保障。传感器网络由于部署环境和传播介质的开放性, 很容易受到各种攻击。但受无线传感器网络资源限制, 直接应用安全通信、完整性认证、数据新鲜性、广播认证等现有算法存在实现的困难。鉴于此, 研究人员一方面探讨在不同组网形式、网络协议设计中可能遭到的各种攻击形式;另一方面设计安全强度可控的简化算法和精巧协议, 以满足传感器网络的现实需求。

由于无线传感器网络受到的安全威胁和移动Ad Hoc网络不同, 所以现有的网络安全机制无法应用于本领域, 需要开发专门协议。目前主要存在两种思路简介如下:

一种思想是从维护路由安全的角度出发, 寻找尽可能安全的路由以保证网络的安全。如果路由协议被破坏导致传送的消息被篡改, 那么对于应用层上的数据包来说没有任何的安全性可言。一种方法是“有安全意识的路由 (SAR) ”, 其思想是找出真实值和节点之间的关系, 然后利用这些真实值, 去生成安全的路由。该方法解决了两个问题, 即如何保证数据在安全路径中传送和路由协议中的信息安全性。这种模型中, 当节点的安全等级达不到要求时, 就会自动的从路由选择中退出以保证整个网络的路由安全。可以通过多径路由算法改善系统的稳健性 (robustness) , 数据包通过路由选择算法在多径路径中向前传送, 在接收端内通过前向纠错技术得到重建。

另一种思想是把着重点放在安全协议方面, 在此领域也出现了大量的研究成果。假定传感器网络的任务是为高级政要人员提供安全保护的, 提供一个安全解决方案将为解决这类安全问题带来一个合适的模型。在具体的技术实现上, 先假定基站总是正常工作的, 并且总是安全的, 满足必要的计算速度、存储器容量, 基站功率满足加密和路由的要求。通信模式是点到点, 通过端到端的加密保证了数据传输的安全性。

总之, 无线传感器作为特殊的Ad Hoc网络, 具有其自身的特点, 同时对安全也提出了新要求, 安全是一个好的传感网络设计中的关键问题, 没有足够的保护机密性、私有性、完整性和其它攻击的措施, 传感器网络就不能得到广泛的应用, 它只能在有限的、受控的环境中得到实施, 这会严重影响传感器网络的应用前景。

参考文献

[1]李平, 林亚平, 曾玮妮.传感器网络安全研究.软件学报, 2006, 17 (12) :2577~2588.

[2]赖昨江, 王漫, 尹京苑.无线传感器网络安全研究综述.电子测量技术.2010, 33 (12) :72~78.

[3]S.T.Bushby.Expanding BACnet's horizons.HPAC Heating, Piping, AirConditioning Engineering, 2001, SPEC.ISS:28~30.

[4]闫丽丽, 彭代渊, 高悦翔.传感器网络安全协议的分析和改进.通信学报.2011, 32 (5) :139~145.

[5]Jianmin Zhang, Wenqi Yu, Xiande Liu.CRTBA:Chinese Remainder Theorem-Based Broadcast Authentication in Wireless Sensor Networks.International Symposium on Computer Network and Multimedia Technology, 2009.CNMT 2009.Hubei:IEEE CS.2009.12.848-851.

基于智能防火墙的网络安全设计第10篇

随着Internet的迅速发展和广泛应用,网络安全已成为影响网络技术进一步发展和应用的关键因素之一。防火墙技术是一种非常有效的网络安全模型,也是一种行之有效的广泛使用的网络安全技术。它可以监控进出网络通信量,仅让安全、核准了的信息进入,同时又抵制了对企业构成威胁的数据。但是,由于防火墙是一种被动技术,它假设了网络边界和服务,所以适合于相对独立的网络,而对内部的非法访问,难以有效地控制。

目前,网络技术的普及虽然提高了网络应用水平,但也使网络攻击更加频繁,攻击手段更加高明,网络被黑客攻破事件时有发生。因此,传统防火墙技术有待于进一步改进和提高,本文基于防火墙的内部网络安全问题进行研究与探讨,并提出了一种基于智能防火墙网络安全的模型和实现方法。

2. 传统的防火墙技术

2.1 防火墙与网络安全

网络的安全性主要包括:网络服务的可用性、网络信息的保密性和网络信息的完整性等。

防火墙的功能在于:其一,制止非法入侵者进入内部网络,过滤掉不安全的服务和非法用户;其二,防止非法入侵者接近用户的防御体系;其三,限定用户访问特殊站点;其四,为监视网络应用提供有效的手段。

因此,根据传统防火墙实现安全的工作方式,可将其分为两种类型:信息包过滤防火墙和代理防火墙。

2.2 包过滤防火墙

包过滤防火墙位于网络层(IP层),它一般由包检查模块实现,该模块工作在网络层和数据链路层之间,也就是TCP层IP层之间,它要抢在操作系统和TCP层之前对IP包进行处理。即根据系统预先设定好的过滤策略,检查数据流中的每个数据包,再根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该数据包通过。

包过滤防火墙是基于数据包过滤的防火墙,其安全性非常好,它最大的优点就是对于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护,通常作为第一道防线。然而其弊端也是很明显的,就是缺乏审计功能,它通常没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录,而一个单纯的包过滤式的防火墙比较容易被黑客攻击的。同时,包过滤式的防火墙还具有配置繁琐的缺点。它阻挡别人进入内部网络,但却不告诉您何人进入您的系统,或者何人从内部进入互联网络。它可以阻止外部对私有网络的访问,却不能记录内部的访问。其另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址盗用。

2.3 代理防火墙

基于应用代理的防火墙源于人们对越来越迫切的网络安全的需求。由于包过滤防火墙可以按照IP地址禁止未授权者的访问,但却不适用于控制内部网络用户访问外部的网络,因此,对于内部网络来说应用代理服务是更好的选择。

所谓应用代理服务,是通过防火墙外的计算机系统应用层与应用代理服务的链接来实现的,这样便成功地实现了防火墙内外计算机系统的隔离。代理服务设置在内部防火墙网关上,是在网络管理员授权下特定的应用程序或者特定服务,同时,还可应用实施较强的数据流监控、过滤、记录和报告等功能。

应用代理服务通常由独立的服务器承担,作为网络与外部世界的连接者,可提供更为安全的选项。当应用代理服务器接受到用户的请求后会检查用户请求的站点是否符合设定要求,如果允许用户访问该站点,应用代理服务器会到那个站点取回所需信息再转发给用户。

应用代理服务器通常拥有高速缓存,缓存中存有用户经常访问站点的内容,在下一个用户要访问同样站点时,其服务器就用不着重复地去比对同样的内容,既节约了时间也节约了网络资源。但是,随着媒体服务的增多,应用代理服务的各种不便显得越来越明显,若增加一种新的媒体服务,必须对应用代理服务器进行设置,这说明应用代理的防火墙不够灵活。应用代理的防火墙另一个显著缺点是在处理通信量方面比包过滤防火墙慢得多,存在瓶颈。

2.4 传统防火墙存在的主要问题

从上述分析可知,传统防火墙存在以下主要问题:

其一,防火墙系统不能利用网络状态和网络信息自动调整规则;

其二,包过滤防火墙效率高,但规则难以制定,应用代理防火墙规则针对性强,但是工作效能低;

其三,包过滤防火墙过滤时使用的信息单一,不能与其他应用过滤信息相互利用;

其四,防火墙工作方式比较被动,对于未列出的网络攻击不能及时制止,防火墙被攻破后,不能及时发觉并控制。

为了解决上述问题,本文将探讨网络与应用层信息在防火墙安全策略制定过程中综合应用的方法,研究防火墙过滤对内路由器规则自动产生与配置的途径,并提出一种基于被屏蔽子网的混合智能防火墙(下面简称智能防火墙)模型及其实现方法。

3. 智能防火墙的结构体系

3.1 智能防火墙的结构描述

通过上述分析可知,传统的包过滤防火墙与代理防火墙形式单一,若是被外来入侵者突破,整个内部网络就会完全暴露,而智能防火墙采用一种组合结构,其结构由内外路由器、智能认证服务器、智能主机和堡垒主机组成。其体系结构如图1所示。

内外路由器在内部网络和外部网络之间构筑出一个安全子网,称为非军事区(DMZ)。信息服务器、堡垒主机、Modem,以及其它公用服务器布置在DMZ网络中,智能认证服务器安放在内部网络中。

3.2 智能防火墙中的内外路由器

由于TCP/IP协议安全机制不健全并潜在着安全漏洞,互联网上的黑客往往趁虚而入,入侵用户的内部网络。因此,必须采用一系列的安全技术,进行网络安全性管理与建设。外部路由器用于防范通常的外部攻击,例如,源路由攻击、源地址欺骗等,并管理内网到DMZ的访问。在缺省情况下,它只允许外部合法系统访问堡垒主机指定端口。而内部路由器则用于DMZ与内网之间的IP包过滤等,保护内网不受DMZ和内部的侵害,防止在内部网上广播的数据包流入DMZ的网络。在缺省情况下,内部路由器允许任意主机的请求可以到达堡垒主机,不允许未经认证的外部主机的访问到达内网。

4. 智能防火墙的工作原理及其实现方法

内部网络主机向外网主机连接时,使用同一个IP地址,相反地,外网主机向内网主机连接时,必须通过网关映射到内网主机上。它使外网网络看不到内网网络,从而隐藏了内网网络。网络地址转换器也称为地址共享器或地址映射器,初衷是为了解决IP地址不足,现多用于网络安全。无论何时,DMZ上堡垒主机中的应用过滤管理程序可通过安全隧道与内网中的智能认证服务器进行双向保密通信,智能认证服务器可以通过保密通信修改内外路由器的路由表及过滤规则。整个防火墙系统的协调工作主要由专门设计的应用过滤管理程序和智能认证服务程序来控制执行,其分别运行在堡垒主机和智能服务器上。下面将分别对它们作详细讨论。

4.1 智能防火墙的堡垒主机及其实现方法

堡垒主机是外部与内部网络的连接点。这个连接点的地位不但重要,而且易受攻击,因此,必须保证较高的系统安全性,对源代码公开的Linux操作系统作严格的安全化处理,选用安全化的Linux系统作为堡垒主机的操作系统。

安全化的具体实现方法是:对保留的一些基本网络服务,如:HTTP、FTP、POP3、SMTP等,对其代码进行了改写,把其中的过滤功能从这些服务中分离出来。专门建立了一个称为应用过滤管理器的模块,该模块运行在堡垒主机上,对净化后的所有网络应用代理服务进行统一调度管理。

应用过滤管理器主要的工作是对到达堡垒主机的信息包在协议最低层完全截取,其后从低层协议到高层协议逐层分析信息包,从中提取与安全策略相关信息,并且加密地传送到智能认证服务器进行分析;同时,负责接收智能认证服务器加密回传的应用代理过滤信息。而应用过滤管理器就负责对相关应用代理过滤功能进行配置,并激活相应代理进行工作。

4.2 智能防火墙的智能认证服务器及其实现方法

智能认证服务器是智能防火墙的安全决策控制中心。该服务器上保存有多个与安全决策有关的数据库,即过滤策略数据库、网络安全知识库与网络安全数据库等。每个数据库可以通过统一的人机接口由具有相应权限的网络管理员查阅与修改。

各网络数据库功能应有几种。

其一,过滤策略数据库是存放推理机产生过滤策略的内部形式,供过滤原文发生器对照前后的过滤策略,产生过滤指令。

其二,网络安全知识库中保存网络专家判断和处理各类网络攻击的经验性知识,例如口令探询攻击、专家对IP地址欺骗、邮件攻击、外网蠕虫攻击等的判断处理方法。同时还储存一些用于处理当前通信状态异常但不能肯定是攻击的策略性知识。

其三,安全数据库中除存有用户权限数据外,主要保存应用过滤管理器收集的与数据有关的通信状态、应用状态和通信信息等方面的数据,供推理机比较前后数据包状态,获取更充分、更可靠的网络信息用于安全过滤决策。

智能认证服务器的核心是智能认证服务程序以及网络数据库,该系统主要通过堡垒主机中的应用过滤管理保密传送的信息驱动运行。若外部主机要访问内部网络,其数据包必须得到外部路由器的放行,才能进入DMZ网络;而内部路由器保证内部网络上的任何请求都能进入DMZ网络;然后到达堡垒主机指定端口。

其次,要看数据包的前方路由器是否有针对该数据包的过滤规则,若有规则不允许传输,该数据包就被弃掉;如果有规则允许传输,该数据包就直接通过防火墙。若是数据包不满足路由器上的任何规则,其堡垒主机上的应用过滤管理器就对该数据包在协议最低层完全截取,然后从低层协议到高层协议逐层分析数据包,再从中提取与安全策略相关的各种信息,并把提取的信息保密送给智能认证服务器分析。

在实施上述分析基础上,智能认证服务器上的通信数据接收器把接收到的信息存入网络安全数据库,通过网络安全数据库中数据的变化激活推理机进程工作。推理机运用安全知识库中安全专家的经验和知识,对刚刚进入网络安全数据库的信息进行分析,找出与它相关的各种数据,再比较、分析与推断,从而得出过滤策略,如有必要还可通过人机接口向网络管理员报警。

网络管理员接到报警后,并作适当处理。这时,过滤器的原文发生器对刚刚产生的过滤策略内部代码进行形式转换,再根据具体情况作出相应决定:由路由列表分配器通过保密通道修改指定路由器路由表和过滤规则,让内外主机进行直接通信;或者是由代理过滤配置分配器将过滤规则通过安全隧道保密送往DMZ上的堡垒主机,由应用过滤管理器负责对相关应用代理的过滤功能进行配置,同时,激活相应应用代理进行工作。

由此可见,智能防火墙中的内外路由器可以根据具体应用自动让内网和外网主机进行直接通讯,也可以让应用代理服务程序进行代理服务。因此采用此方案,既可发挥包过滤的高效率,可进行应用代理更严格更全面的安全控制。

5. 结束语

本文分析了传统防火墙存在的缺点,讨论了内部的网络层与应用层信息在防火墙安全策略制定过程中综合应用的方法,研究了防火墙过虑规则自动产生与自动配置的途径,提出了一种基于智能防火墙内部网络安全的方案及其模型和实现方法;它采用了过滤规则的自动产生与自动配置技术,从而极大减轻了内部管理人员的劳动强度,避免了因人工修改过虑规则造成的错误,是一种非常有效的防火墙系统模型。

制定适当完备的网络安全策略及其模型是实现内部网络安全的前提,高水平的网络安全技术队伍是保证,严格的管理落实与方案实施是关键。但是,网络安全涉及的范围非常广泛,防火墙仅仅只是网络安全的开端,它只能减轻安全的危害,并不能清除漏洞。用户仍需要部署其它的安全防御体系,并对系统及设备实施必要的安全加固,极大地将攻击和破坏时间调整为最为合理的水平。

参考文献

[1]MarcusConcalves.《防火墙技术指南》[M].宋书民等译.北京:机械工业出版社,2000.

[2]贾贺,张旭等.《防火墙原理与实用技术》.北京,电子工业出版社,2002.

基于无线传感网络技术的智能农业第11篇

关键词：智能农业；监控系统；无线传感网络

中图分类号：TP277 文献标识码：A 文章编号：1674-7712 （2014） 16-0000-01

一、背景分析

传统的农业需要花费大量的劳动力进入到田间地头劳作，浇水施肥，耕地等等。不能更合理化的利用有限的资源创造更大的财富，很多时候反而浪费了资源。智能农业产品通过实时采集温室内温度、土壤温度、CO2浓度、湿度信号以及光照、叶面湿度、露点温度等一系列环境参数，自动开启或者关闭指定设备。可以根据用户的需求，随时进行处理，为农业综合生态信息的自动监测、对环境进行自动控制和智能化的管理提供了科学依据。方便人们对农田里的作物进行科学化管理，在第一时间了解它们的需求，极大的提高了资源利用率。传感技术为传统农业带来了革新与飞跃发展，成为了未来新型农业发展的必然趋势。

二、智能农业监控平台功能需求

为了方便管理人员对传感器传输过来的数据进行实时的监控，分析。具体功能：

（1）实现对农田里温度、湿度、光照、主要生长营养素等的数据采集。

（2）实现对传感器传来的数据进行实时采集、监测、查看。

（3）对超过设定阀值的异常数据进行报警，并能将数据发送到手机，方便远程管理。

（4）对所有采集的数据进行存储，生成曲线图，方便管理和分析。

（5）可以随意调用查看历史数据，并进行分析，根据分析结果实现自动灌溉。

三、无线网络的组成及其实现的核心技术

传感器网络系统通常包括传感器节点、网关/汇聚节点Router和管理节点。

（一）网关节点。负责对各节点传感器数据的采集、处理以及和外网通信，作为数据采集的传感器节点响应相应的网关请求，搜集周围信息，如温度、湿度，光照等；同时还要兼具有路由功能，依据一定的路由协议直接或者通过作为多跳中转的节点中传输到sink节点，再借助临时建立的sink链路把整个区域内所监控的數据传输到远程中心。

（二）传感器节点。采集的监测数据沿着其他传感器节点逐跳地进行传输，在传输的过程中监测数据被多个节点处理，经过多跳后路由到汇聚节点，最后通过互联网到达管理节点。传感器节点之间通信采用的是基于Zigbee技术的CC2530芯片实现。ZigBee是基于IEEE802.15.4标准的一种短距离的无线通信技术，具有低功耗、低速率、低成本、低复杂度等一系列特点。Zigbee遵循开放系统互连参考模型，协议栈包括物理层、媒质访问控制层、网络层和应用层，支持自组织网络技术。CC2530是TI公司生产的一款基于具有SOC，支持IEEE802.15.4、ZigBee、ZigBee PRO和ZigBeeRF4CE标准，具有较高的无线接收灵敏度以及抗干扰性能，其传输的距离大于75m，最高传输速率可达250Kbps。

（三）管理节点。用于动态的管理整个无线传感器网络。传感器网络的所有者通过管理节点访问无线传感器网络的资源。

（四）监控系统软件。采用模块化设计，VC++6.0软件编写，采用数据库方式实现数据存储以及读取，并相应的对参数进行控制。系统可分为登陆模块、通信模块、数据显示模块、数据库修改及管理及查询模块、专家决策系统和控制模块（主要用于控制自动灌溉等技术的实现）。

四、参数设置

农业中检测的参数主要有土壤温度、土壤湿度、光照度、CO2、土壤水分、土壤养分以及各种被控对象的开关量等。不同情况下不同，具体如下所示：

（一）温、湿度节点：用于温、湿度监测，温度传感器选用DS18B20，测温范围为-55℃～+125℃，分辨力最高达±0.0625℃，精度±0.5℃，响应时间<1s。湿度传感器的选择频率输出湿度模块HF3226（用湿敏电容HS1101制造），宽量程：10～95%RH，体积小，性能稳定，工作温度范围–40～80℃，精度±5%RH，比例线性的频率输出。

（二）光照度、CO2节点：传感器采用PD-LL，精度：±2%，测量范围0-20000lux。CO2传感器选择TGS4160（固态电化学型气体敏感元件），测量范围：0～5000ppm；加热器电流：250mA；加热器电压：5.0±0.2VDC；加热器功耗：1.25W；温度：-10～+50℃。

（三）土壤温度、养分、水分节点：土壤水分传感器选择AQUA-TEL，测量各种土壤的单位体积含水量，测量范围：0-100%，误差<3%，重复性误差<1%；土壤养分测定包括土壤有机质、pH值、氮、磷、钾pH值以及交换性钙、镁的检测，可采用离子、生物传感器。

五、结束语

无线传感器网络技术融合了传感器技术、计算机技术和网络通信技术。各传感器分工合作，自主组网，网络拓扑动态变化。具有随机部署、分布式结构、自组织、智能型、成本低、环境适应性强等等特点。将无线传感网络技术应用于农业经过近几年的研究已经接近成熟，并且将在以后的飞速发展下为世界带来更多好处。如果对传感器节点加以修改，按照自己的需求重新配置，可将其应用于更多方面，如环境监测、医疗事业、工业自动化等领域。

参考文献：

[1]李慧，刘毅.温室控制技术的发展方向[J].林业机械与木工设备，2004（05）：78-80.

[2]陆志平，秦会斌，王春芳.基于多传感器数据融合的智能火灾预警系统[J].杭州电子科技大学学报，2006（05）：123-125.

[3]于海斌，曾鹏.智能无线传感器网络系统[M].北京：科学出版社.2006.

安全智能无线网络第12篇

1 VPN发展现状

目前,VPN主要有两种技术:IPSec VPN和SSL VPN。SSL VPN是一种新兴的VPN技术,与传统的VPN技术不同的是SSL VPN是一种工作在用户空间的VPN技术。因为工作在用户空间,它的适用范围更广,成本更低,同时也可以方便地与现有应用集成。SSL VPN使用SSL/TLS技术构建VPN隧道。SSL/TLS是工业级的安全通信标准,它是一个框架协议,框架中的加密算法的实现是开放的,因此基于SSL/TLS的VPN技术也是一种具有良好扩展性的VPN技术。

SSL VPN正快速发展成为新一代分布式用户的远程安全访问技术。通过该技术的应用,可真正实现“在任何时候、任何地点、通过任何设备安全地接入公司内部网”的目标。这使得部门员工出差时仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便,同时很好地解决了安全性问题。

2 SSL VPN技术

SSL(Secure Sockets Layer)是由Netscape公司开发的一套Internet数据安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通信提供安全支持。SSL VPN的应用结构如图1所示。

3 基于SSL VPN和智能卡的多级安全网络研究

SSL VPN能够从2、3层解决网络通信的安全问题,为应用创建一个安全的网络通信环境。但是,它在认证和访问控制等环节的处理过于单一,不能满足复杂应用的需求。因此本节提出基于智能卡认证的SSL VPN模型来实现安全网络以解决这一问题。

3.1 引入用户信息管理

SSL VPN技术能够很好的解决数据加密和完整性保护的问题,这时候,可以建立一个用户信息管理服务器,可以让SSL VPN接受统一的用户信息管理服务器管理。当系统添加或删除用户时,系统管理员只需在管理服务器中进行修改便可。所有的认证过程均由用户信息管理服务器完成。而且,管理服务器支持将应用程序划分为不同的资源组别,可直接确定用户的身份及其相关可用资源。

身份和访问管理技术可以使组织降低因扩大对其信息系统的访问而产生的风险。由于可以对访问权限及特权进行精确控制,从而可以确保数字信息的安全并保护隐私。修改权限和终止访问的能力可以进一步增强这种保护的灵活性和一致性。

3.2 引入智能卡技术

智能卡的英文名称是“SmartEard”,也称集成电路卡或叫IC卡(IntegratedCircuit Card)。它将一个集成电路芯片镶嵌于塑料基片中,封装成卡的形式,其外观与磁卡大小是一致的。IC卡芯片具有写入数据和存储数据的能力,IC卡存储器中的内容根据需要可以有条件地供外部读取,以及供内部信息处理和判定之用。

3.3 多级安全网络模型

3.3.1 广域网VPN网络

用户位于广域网中,通过SSL VPN方式与中心通信。该网络内的主要网络节点功能:连接了读卡器的远程终端使用SSL VPN客户端连接广域网VPN服务器。用户必须使用含有自己密钥的智能卡才能跟VPN服务器建立连接。

3.3.2 内部网VPN网络

该网络内的主要网络节点功能如下:该节点使用VPN客户端连接广域网VPN服务器。用户接入的流程如图2所示。

(1)用户向中心SSL VPN服务器发出请求,VPN服务器访问身份信息管理服务器来对用户身份进行认证。如果用户身份为无效,用户将被拒绝接入。

(2)用户信息管理服务器执行认证访问权限的策略来确定本次认证是否被接受。如果此次认证无法通过认证策略,用户将被拒绝接入。

(3)用户信息管理服务器认证成功后,将为SSL VPN服务器分配唯一标识此次会话的ID。

(4)SSL VPN服务器获得有效的会话ID后,将接受远程的连接请求,并保存此ID。

(5)客户机与服务器开始正常的通信会话。

4 结语

基于SSL VPN和智能卡认证的安全网络是一种以SSL VPN的应用为基础,加入身份信息认证技术和智能卡技术的安全网络。在系统进行身份信息认证时,还能按照事先制定的策略为不同的身份分配不同的访问权限,从而实现分级访问。该多级安全网络丰富了SSL VPN在认证和访问控制等环节处理的多样性,在现代企业组织不断扩大的情况下,既能满足其复杂的应用需求,又能降低因扩大对其信息系统的访问而产生的风险。

摘要：SSL VPN是解决远程用户访问敏感公司数据最简单、最安全技术。目前,在实际网络环境中,SSL VPN在认证和访问控制等环节的处理过于单一,不能满足飞速发展的复杂应用的需求。针对这一问题,提出了一种基于SSL VPN和智能卡的安全网络模型,阐述了该模型的应用结构。

关键词：SSL VPN,智能卡,身份认证

参考文献

[1]王达,等.虚拟专用网(VPN)精解.北京:清华大学出版社.

[2]周敬利,曾海鹏.SSL VPN服务器关键技术研究.计算机工程与科学,2005.

[3]夏涛,周敬利,余胜生.一种面向SSL VPN的新型应用层访问控制模型.计算机科学,2006.

[4]杨振野.IC卡技术及其应用.北京:科学出版社,2006.

安全智能无线网络

安全智能无线网络第1篇

安全智能无线网络第2篇

安全智能无线网络第3篇

安全智能无线网络第4篇

智能网络存储第5篇

艾诺威推智能无线网络第6篇

未来智能电网系统的网络安全趋势第7篇

安全智能无线网络第8篇

安全智能无线网络第9篇

基于智能防火墙的网络安全设计第10篇

基于无线传感网络技术的智能农业第11篇

安全智能无线网络第12篇

安全智能无线网络

猜你喜欢

栏目

最近更新

热门标签

安全智能无线网络

安全智能无线网络 第1篇

安全智能无线网络 第2篇

安全智能无线网络 第3篇

安全智能无线网络 第4篇

智能网络存储 第5篇

艾诺威推智能无线网络 第6篇

未来智能电网系统的网络安全趋势 第7篇

安全智能无线网络 第8篇

安全智能无线网络 第9篇

基于智能防火墙的网络安全设计 第10篇

基于无线传感网络技术的智能农业 第11篇

安全智能无线网络 第12篇

安全智能无线网络

猜你喜欢

栏目

最近更新

热门标签

安全智能无线网络第1篇

安全智能无线网络第2篇

安全智能无线网络第3篇

安全智能无线网络第4篇

智能网络存储第5篇

艾诺威推智能无线网络第6篇

未来智能电网系统的网络安全趋势第7篇

安全智能无线网络第8篇

安全智能无线网络第9篇

基于智能防火墙的网络安全设计第10篇

基于无线传感网络技术的智能农业第11篇

安全智能无线网络第12篇