无线局域网的技术要点范文
时间:2023-12-07 18:02:15
导语:如何才能写好一篇无线局域网的技术要点,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
[关键词]VPN技术无线局域网SSL VPN
[中图分类号]TP3[文献标识码]A[文章编号]1007-9416(2010)03-0091-02
随着信息产业的飞速发展,通信技术和计算机技术的融合越来越快。无线通信已经成为我们生活不可缺少的一部分。但由于其无线通信设备采用的是无线信号的空中传输,使得在无线链路中传输的信息很容易被窃听,存在很不安全的因素。严重的话甚至导致整个网络的瘫痪。为此在一个企业当中建立一个无线局域网,安全性应是头号要解决的问题。VPN是无线网络建设当中解决无线通信安全问题的一个很好的方案。本文试图就VPN技术在无线局域网中的应用做出一定的探讨。
1 VPN技术概述
VPN (Virtual Private Network,虚拟专用网)是专用网络在公共网络如Internet上的扩展。VPN通过隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的,基于Internet的VPN也称为IP-VPN。所以从本质上说,虚拟专用网(VPN)是一种能够通过公用网络安全地对内部专用网进行远程访问的技术。其要点是在远程用户和VPN服务器之间建立一条加密隧道,将原始数据包加密,并在外面封装新的协议包头。这样只有知道密钥的通信双方能够解开数据包,保证了数据包在公共媒质上传送的时候,不会被非VPN 用户截取。
2 VPN技术在无线局域网中的应用分析
无线局域网因其传输介质、访问方式等原因,使得其很容易受到攻击。无线局域网常用的安全方式,如MAC地址过滤、服务区标识符(SSID)匹配等存在很多明显的弊端。利用VPN技术可以为无线局域网提供更可靠的安全解决方案。但是从目前现状来看,VPN在无线局域网中应用实现方式主要有两种,一种是基于IPSec 的无线VPN设计,另外一种是基于SSL的无线VPN设计。但是IPSec 的无线VPN设计是较早时期VPN在无线局域网中的实现方式,随着近年来无线局域网以及VPN技术的逐渐成熟,基于SSL的无线局域网实现技术已经成为主流,本文将重点探讨基于SSL的VPN技术在无线局域网中的应用。
2.1 SSL VPN在无线局域网中应用原理及功能特点
SSL(Secure Socket Layer,安全套接层)是一种在两台机器间提供安全通道的协议,它具有保护传输数据以及识别通信机器的功能。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。SSL VPN使用SSL协议和为终端用户提供基于HTTP, C/S和共享文件资源的认证和安全访问。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。SSL VPN的工作原理如图1所示:
SSL VPN的功能特点主要体现在以下几个方面:一是无需安装客户端软件。大多数执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件,只需使用标准Web浏览器即可访问到企业内部的网络资源。这样无论是从软件协议购买成本上,还是从维护、管理成本上都可以节省一大笔资金,从而大幅降低VPN网络的实施成本。二是适用于大多数设备及系统。由于Web方式的开放性,支持标准浏览器的任何设备都可以使用SSLVPN进行远程访问,包括非传统设备,如PDA等。三是适用于大多数操作系统。任何支持标准Web浏览器的操作系统都可以作为S SL VPN的客户端进行远程访问。不管用户使用的操作系统是Windows、Macintosh、UNIX还是Linux。都可以非常容易地访问到企业内部网站的资源。
2.2 SSL VPN在无线局域网中的具体应用
通过图1的示意图可以看出,SSL VPN在无线局域网网中应用的整个系统由SSL网关和Web服务器以及AP组成,其中最重要的是SSL网关。网关由多个服务器组成,LDAP服务器负责证书以及证书吊销列表的保存,RADIUS服务器负责访问控制策略,DHCP服务器负责为接入网关的局域网计算机分配IP地址,AD是证书验证服务器。
对于SSL VPN来说,要保证通信的安全,必须要做到保密性、消息完整性和端点的认证。保密性是指传输的数据必须经过加密,消息完整性是指传输的数据能够确认是没有被黑客或攻击者篡改过,端点认证是指客户端或者服务器端能够对另一方确认是否是正确的通信者。SSL协议通过SSL握手来确定密钥并用该对称密钥来对通信的数据进行加密。在握手期间通过公钥技术对双方进行认证,并用密钥交换技术交换通信使用的对称密钥,然后使用对称密钥加密通信数据。SSL的安全依赖于所使用的加密套件,每个加密套件使用四种算法,即:数字签名算法,消息摘要算法,密钥确立算法以及数据加密算法。
SSL VPN在无线局域网中具体应用需要重点解决以下几个方面的问题:一是客户端安全接入问题。对于SSL VPN服务器来说,有效地保证自身的安全和对客户端接入的控制是最重要的。应该具备一个专门的子系统来负责对客户端的认证,它的功能是针对不同的客户端选择相应的策略进行认证;二是有效的访问控制策略。当用户通过了系统的认证之后,如何有效而灵活控制客户的访问权限,是非常重要的问题,同时也是SSL VPN系统最具特色的特点之一。如何实施用户的集中化管理,通过SSL VPN控制台进行管理,更加有效的监控用户使用权限,如何做到能够基于内容的访问控制策略等等都需要更多的关注。三是传输性能问题。对于一个SSL VPN服务器来说,传输在整个SSL VPN系统中是一个性能的瓶颈点。
总之,随着我国网络用户的快速增长,无线网络作为有效网络的有效补充,在人们的网络生活中将会占据更加重要的地位。而VPN技术作为无线局域网的一种有效安全措施,在无线局域网中具有非常广泛的应用。
[参考文献]
[1] 刘乃安.无线局域网(WLAN)――原理、技术与应用[M].西安:电子科技大学出版社,2004.
[2] 周明.SSL VPN体系结构在无线局域网中的应用与设计[J].电子科技大学.2006(4).
篇2
无线局域网最为集中的应用还是在办公环境中。对于企业用户来说,无线局域网长时间以来一直是有线网络的扩充,并不能完全替代传统的有线网。除了在性能上逊色于有线局域网外,无线的安全性也是很多企业用户所顾忌的。
企业无线设备的特点
企业无线局域网通常会同时连入很多客户端,而保证网络中的用户都能获得良好的网速,就需要所布置的无线接入点具有较高的带宽。一般市场上最为便宜的是802.11g无线设备,802.11g无线设备的理论数据传输速率为54Mbps,而802.11g增强型无线设备则可以达到108Mbps或125Mbps。如果从实际数据传输速率比较,802.11b一般为5Mbps左右、802.11g为20Mbps,而802.11g增强型的实际数据传输速度能达到30Mbps左右。目前的802.11n网络连接速率有150M、300M、450M几种,其中300M连接速率是比较常见的产品。在一般的网络环境下,802.11n无线网络基本可以达到以往百兆无线网的数据传输速率,对于普通办公应用来说,足以替代有线网络。
无论是何种类型的无线接入点,在网络中都被每个客户端共享数据带宽,所连接的用户越多,每个人能够分配到的带宽就越少。在企业网络中,使用一个无线接入点覆盖所有应用环境是非常冒险的,而且在用户较多时其效果也不会很好。当建立多点覆盖的无线网络时,这些同处于2.4GHz的无线接入点之间往往会相互干扰,直接后果就是无线网络的性能下降。为了解决这个问题,很多无线接入点都提供了功率调整功能,管理员可以通过调整无线发射功率来设定信号的覆盖范围。如果你的应用环境需要使用单一无线接入点提供更大的信号覆盖范围,那么就应该选择可以外接高增益天线的产品,通过外置的天线来扩大无线覆盖范围。
在企业中可能会有某些特定用户需要独立的高速无线连接,那么你最好选择双频三模的无线接入点。这些产品都会同时提供802.11n/g/a三种接入能力,对于一般的用户可以使用基于2.4GHz的802.11b/g,而对于特定的用户则可以独享高速的802.11a无线网络。由于802.11a无线协议运行在5GHz波段,所以它可以很好地避免因2.4GHz网络相互干扰引起的网速下降,而且可以让管理员更轻松地将高速无线客户端独立出来。现在的2.4GHz+5GHz双频接入设备,其理论带宽可以达到300M+300M或者300M+450M,对于那些无线客户端有速率要求的环境,双频接入设备会为用户的网络带来较大的改善。
最初用户购买无线宽带路由器和接入点都是为了让笔记本能够无线上网。Intel的迅驰笔记本平台现在可以支持标准802.11a/ g/n无线协议,而以往的老产品则都是内置802.11g无线网卡。如果你购买无线宽带路由器只是为了能让笔记本内置的无线网卡做到物尽其用,那么目前标准的802.11n无线接入设备是最好的选择,而且价格已经足够便宜。
无线协议标准
老旧的标准802.11g无线局域网实际能够提供的数据传输速率只有20-25Mbps左右,如果你只是需要无线网络提供简单的Internet浏览、收发邮件、下载等服务,那么802.11g无线网络是足以支撑的。但是对于需要经常在无线网络中传输大文件的环境,那么802.11g网络会让你感到有些痛苦,毕竟其速度与有线网络相差很大。
除了标准802.11g外,你在市场上可以看到大量的802.11g增强型产品,比如标明了108M、125M速率的无线宽带路由器。这些路由器所能达到的最大数据传输速率多在30-40Mbps左右,比标准的802.11g设备高出许多。不过由于上述协议并不是标准的Wi-Fi规范,在笔记本中内置这种高速网卡的产品几乎没有。如果想充分发挥802.11g增强型无线路由器的性能,那么就需要你购买相同规格的网卡。在802.11n网卡已经成为笔记本电脑标配的今天,我们也没有必要在考虑这种 802.11g增强型接入设备,毕竟在标准协议下它只能作为802.11g接入点来使用。
802.11n无线设备是现在的主流,是WiFi联盟在802.11a/b/g后面的一个无线传输标准协议,为了实现高带宽、高质量的WLAN服务,使无线局域网达到以太网的性能水平,802.11 n应运而生。但是802.11n标准至2009年才得到IEEE的正式批准,但采用MIMO OFDM技术的厂商已经很多,包括D-Link,Airgo、Bermai、Broadcom以及杰尔系统、Atheros、思科、Intel等等,产品包括无线网卡、无线路由器等,而且已经大量在PC、笔记本电脑中应用。MIMO是2006年初开始推出的无线局域网产品。MIMO(Multiple Input Multiple output)的含义是多输入多输出,该技术是802.11n无线协议的特性之一。通过增加天线的数量,MIMO使得无线产品的信道容量得到线性提升。对于一般用户来说,通过MIMO能实际感受到无线数据传输速率的提高以及无线覆盖范围的增大。在我们的测试中,这些基于MIMO技术的无线局域网产品可以为用户提供40-45Mbps左右的数据传输速率,例如以往非标准802.11n规格的ASUS的240M MIMO产品的实际传输速率能达到约70Mbps,这要远高于普通的802.11品。
MIMO技术的发明者是著名的贝尔实验室。早在1985年,贝尔实验室的数位研究员就发表了一系列关于“Multiple Input Multiple Output”技术的文章,揭开MIMO的发展序幕。在技术论文中,研究人员详细阐述了MIMO系统的基本结构:无线设备的发射端和接收端均采用多个天线或者是矩阵式的阵列天线,工作时发送端的多个天线同时将不同的无线信号输出,而接收端的多个天线分别接收做相应的解码,最后再将多天线来源的信号进行合成。这也就是所谓“多输入、多输出”的概念,或者简洁翻译成“多进多出”。不过,无线通讯领域长年对此缺乏需求,MIMO概念提出后一直都没有得到实际应用,直到802.11无线局域网的兴起,MIMO才找到自己的舞台。
较以往的产品,MIMO的优势就在于其更高的速率以及更广的信号覆盖范围。很多时候我们都会遇到无线局域网信号覆盖不足的情况,尤其是在比较大的网络中。对于企业用户来说,解决无线覆盖不足的方法可以是多添加接入点数量,但是除了设备的购置成本外,多个无线接入设备的管理、合理布置也会是让人头疼的事情。如果使用MIMO型产品,我们可以很容易地使用一个无线宽带路由器来覆盖足够广的面积,而且能保证多用户使用时,无线网络也有足够高的带宽。
现在的802.11n产品能够提供300Mbps的连接速率,而实际的数据传输速率在70-100Mbps左右,这使它已经可以在很多环境中替代传统的有线局域网,也是目前兼容性最好的无线局域网协议。
无线网的安全
由于无线网是以空气作为媒介来进行数据传输的,不能像有线网那样方便地进行控制,所以安全就显得非常重要了。一般使用802.11b的产品中包括一些基本的安全措施,有无线网络设备的服务区域认证ID (ESSID)、MAC地址访问的控制以及WEP加密等安全技术。使用ESSID时会在每一个AP内设置一个服务区域认证ID,每当无线终端设备连上AP时,AP会检查其ESSID是否与自己的ID一致。只有当AP和无线终端的ESSID相匹配时,AP才接受无线终端的访问并提供网络服务。对于MAC地址访问的控制则是限制接入终端的MAC地址,以确保只有经过注册的设备才可以接入无线网络,由于每一块无线网卡拥有惟一的MAC地址,在AP内部可以建立一张“MAC地址控制表”,只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。但这样的设置比较麻烦,一般应用在对安全性要求不是特别高的中小型网络。
在这个道高一尺,魔高一丈的环境里,怎样保卫这些数据的安全?致力于无线局域网WLAN开发的各厂家及国际Wi-Fi联盟都纷纷提出新的方法来加固无线局域网,以使其广泛应用。2004年6月24日, IEEE 通过了802.11i 基于 SIM 卡认证和AES加密的方法为无线局域网提供安全保障,使得无线局域网拥有了更为广阔的应用空间。
安全性主要包括访问控制和加密两大部分。访问控制保证只有授权用户能访问敏感数据,加密保证只有正确的接收者才能理解数据。目前使用最广泛的 IEEE 802.11b 标准提供了两种手段来保证 WLAN 的安全——SSID服务配置标示符和 WEP无线加密协议。SSID提供低级别的访问控制,WEP是可选的加密方案,它使用RC4加密算法,一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密,包括软件手段和硬件手段。
另外,802.11b标准定义了两种身份验证的方法:开放和共享密钥。在缺省的开放式方法中,用户即使没有提供正确的 WEP密钥也能接入访问点,共享式方法则需要用户提供正确的WEP密钥才能通过身份验证。
WEP的缺陷和解决之道
WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。AT&T的研究员最先了WEP的解密程序,此后人们开始对WEP质疑,并进一步地研究其漏洞。现在,市面上已经出现了专门破解WEP加密的程序,其代表是WEPCrack和AirSnort 。
WEP加密方式本身并无问题,问题出在密钥的传递过程中——密钥本身容易被截获。为了解决这个问题,WPA( Wi-Fi Protected Access)作为目前事实上的行业标准,改变了密钥的传递方式。过去的无线局域网之所以不太安全,是因为在标准加密技术WEP中存在一些缺点。WEP是1997年IEEE采用的标准,到2001年,WEP的脆弱性充分暴露出来,具备合适的工具和中等技术水平的入侵者便能非法接入WLAN。WEP是一种在接入点和客户端之间以RC4算法对分组信息进行加密的技术,密码很容易被破解。WEP使用的加密密钥包括收发双方预先确定的40位(或者104位)通用密钥,和发送方为每个分组信息所确定的24位、被称为IV密钥的加密密钥。但是,为了将IV密钥告诉给通信对象,IV密钥不经加密就直接嵌入到分组信息中被发送出去。如果通过无线窃听,收集到包含特定IV密钥的分组信息并对其进行解析,那么就连秘密的通用密钥都可能被计算出来。
WPA解决了WLAN原先采用的安全认证WEP的缺陷。它的推出使802.11a和802.11g在内的无线设备的安全性得到保证。这是因为WPA用新的加密算法以及用户认证可满足 WLAN的安全需求。WPA是以软件方式实现的,安装它将提供高度可靠的安全保证。在实现WPA的情况下,企业可用无线方式为员工提供安全的网络连接,而无需部署VPN之类的附加安全解决方案。WPA还可以使家庭和SOHO用户的网络安全性大大增强。
WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。
WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
在802.11b中几乎形同虚设的认证阶段,到了WPA中变得尤为重要起来,它要求用户必须提供某种形式的证据来证明自己是合法用户,并拥有对某些网络资源的访问权——这是强制性的。
WPA的认证分为两种,第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现,在大型企业网络中通常采用这种方式。但是对于一些中小型的企业网络或者家庭用户,架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此WPA也提供一种简化的模式,它不需要专门的认证服务器。这种模式叫做WPA预共享密钥(WPA-PSK),仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合,客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP密钥来进行802.11预共享认证那样严重的安全问题。
WPA采用TKIP为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且,TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通讯数据报文。TKIP的密钥架构使WEP静态单一的密钥变成了500万亿个可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。
现在的802.11n产品能够提供300Mbps的连接速率,而实际的数据传输速率在70到100Mbps左右,这使它已经可以在很多环境中替代传统的有线局域网。我们所测试的802.11n无线设备目前都是草案型,目前还不知道IEEE组织何时会正式推出802.11n协议。对于需要使用无线网络替代传统有线局域网的场合,草案型的802.11n产品是目前性能最好的解决方案。
无线局域网广受青睐的首要因素就在于它良好的易用性,不仅是因为无线局域网使笔记本获得了更自由的使用环境,而且无线网络的布置过程也相对简单。对于一般用户来说,有线网络制作网线、布线等工作恐怕很难自己完成,而无线网络只需要用户懂得很简单的网络知识即可,主要工作都是集中在对设备以及软件的设置上。
在无线宽带路由器的默认设置下,只要正确安装了驱动程序和软件,用户的无线客户端就可以从路由器的DHCP服务器获得IP并连接入网络。现在的无线宽带路由器绝大多数都在设置界面中提供了“安装设置向导”,用户可以在向导的指点下一步步地完成基本的WAN以及WLAN设置。如果你并不清楚静态IP网、动态IP网、PPPoE网络的设置也不必担心,为了照顾家庭用户,一些产品还具备了宽带自动检测功能。将宽带网线或Cable/DSL设备连接到无线路由器的WAN端口后,启动自动检测功能就可以让设备自动识别出当前的宽带类型,用户可能只要准备好ISP提供的用户名和密码就行了。
在将客户端连接到无线宽带路由器后,我们就得到了一个最基础的无线局域网,但是不要忘记最重要的一点:网络安全。无线局域网自推广之初,其安全性就是被很多人所关注的要点。与传统有线局域网络不同的是,无线网络的数据发送是向着四面八方的,这使得网络中传送的数据更容易被他人截获。尤其是对于企业用户来说,昂贵的防火墙等设备只是在防止Internet上的攻击,而一个没有加密的无线局域网可以很容易让黑客轻松进入企业的内部网络。即便是在家庭网络中,恐怕你也不会愿意让邻居分享计算机中存储的文件或照片、影片。
802.11b所提供的WEP加密模式已经被证明是最容易被破解的,而自802.11g开始使用的WPA加密模式则有较高的安全性。我们这次所测试的所有无线产品都可以支持WPA加密模式,而一些比较高端的产品还可以提供WPA2模式。对于没有条件架设Radius服务器的环境,我们建议你使用WPA-PSK模式来保护自己的网络。这种模式只需要用户在网卡和无线宽带路由器中打开WPA-PSK加密,并在两端输入相同的8-64位密码即可,操作起来非常简单。
消息完整性校验(MIC),是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值,这和802.11对每个数据分段(MPDU)进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合,可以说没有任何安全性的功能。而 WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。
当然,WPA中也许存在其他安全方面的缺陷,只是目前尚未发现。对于确保无线局域网的安全性,目前利用WPA可以说已经足够了。如果你认为WPA-PSK模式使用起来过于复杂,那么还有其他的解决办法。为了让用户能够更轻松地完成无线网络的安全设置,Buffalo、Linksys等公司推出了一键式加密。以Buffalo公司的AOSS为例,支持该功能的无线接入设备上都会有一个AOSS按键,只要按住5秒后,设备就进入AOSS连接模式。此时你只需在无线客户端的网卡控制程序中点击AOSS图标就可以自动建立加密的无线连接,所使用的加密方式则是网卡和无线路由器间能使用的最高级别。
如果用户的网络环境还无法全面采用WPA模式,那么在规模较大的企业无线网中,RADIUS认证是非常必要的,而且实现起来也并不困难。一个具体做法是采用RADIUS服务器与客户机进行双向的身份验证,验证完成后,RADIUS服务器与客户机确定一个密钥(这意味着,这个密钥不是与客户机本身物理相关的静态密钥,而是由身份验证动态产生的密钥)。此后,RADIUS服务器通过有线网发送会话密钥到AP,AP利用会话密钥对广播密钥加密,把加密后的密钥送到客户机,客户机利用会话密钥解密。然后,客户机与AP激活WEP,利用密钥进行通信。另一种做法称作WEP Plus,它的机理是针对初始向量的缺点,以随机方式生成初始向量,使得上文中所提到的WEPCrack和AirSnort程序无法破解WEP密钥。
VPN
VPN(Virtual Private Network虚拟专用网络)是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet或Intranet。
对于企业用户来说,可能更关心利用宽带无线接入组建自己的VPN。安全性和实用性对用户来说是至关重要的。随着科技的发展,商务活动与互联网的关系日趋紧密,越来越多的商务活动需要以高质量、高速度的数据传输为技术依托。通过科学的方案设计、缜密的实地勘察、严格的施工与安装程序,无线接入技术与光纤技术可以竞相媲美。使用无线接入技术,用户将享受光纤般的服务,但价格可大大降低,得到服务的过程是非常快速的。因此,使用无线接入建立自己的VPN是企业用户的明智选择。无线VPN就是使用无线接入技术接入到公网上的VPN。
随着交流的日益增多,企业的不断发展,企业的分支机构也分布到全国乃至世界各地。为了加强企业内部的联系,越来越多的企业认识到建立内部网的重要性,开始组建企业内部网,把各分支机构及移动办公用户相连。目前已经建成的企业内部网,大多是靠租借电信部门的数据专线来组建的。从网络结构上看,一般是星型结构。这种接入方式极其昂贵,让大多数用户望而却步。而出差在外的人员如果需要与总部联系,往往需要通过拨号上网拨入企业内部网,这样又无法保证其安全性和可靠性。因此,它有许多缺点:网络运行维护费用高、可扩展性差、可靠性差。Internet的发展推动了基于公网的虚拟专用网的发展。虚拟专用网就是在Internet等共享式公共网络基础设施上提供安全可靠的连接,由于这些基础是共享式的,因此连接的成本低于现有的专用网络。用户使用虚拟专用网连接远程网站,整个广域网络的成本可以节省20%-47%以上。但如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网上的不同节点则成为大家关注的问题。虚拟专用网技术采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密信道,组建安全、低成本的企业内部网。
与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户,将VPN安全技术与IEEE802.11g安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案。
VPN是在不安全的Internet中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
1.认证技术
认证技术防止数据被伪造和篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。
2.加密技术
IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法,如DES、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。当然国外还有更好的加密算法,但国外禁止出口高位加密算法。基于同样理由,国内也禁止重要部门使用国外算法。国内算法不对外公开,被破解的可能性极小。
3.密钥交换和管理
VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单的网络环境。密钥交换协议采用软件方式动态生成密钥,适合于复杂的网络环境且密钥可快速更新,可以显著提高VPN的安全性。目前主要的密钥交换与管理标准有IKE(互联网密钥交换)、SKIP(互联网简单密钥管理)。
无线局域网的未来
在802.11n协议刚刚确定之时,下一代的无线局域网协议802.11ac,就已经被提出。802.11ac的核心技术主要基于802.11a,继续工作在5.0GHz频段上以保证向下兼容性,但数据传输通道会大大扩充,在当前20MHz的基础上增至40MHz或者80MHz,甚至有可能达到160MHz。再加上大约10%的实际频率调制效率提升,新标准的理论传输速度最高有望达到1Gbps,是802.11n 300Mbps的三倍多。
其实802.11ac项目早在2008年上半年就已经着手开始,当时被称为“Very High Throughput”(甚高吞吐量),目标直接就是达到1Gbps。到2008年下半年的时候,项目分为两部分,一是802.11ac,工作在6GHz以下,用于中短距离无线通信,正式定为802.11n的继任者,另一个则是802.11ad,工作在60GHz,市场定位与UWB类似,主要面向家庭娱乐设备。
目前市场上已经出现了基于802.11ac的产品,高速率是其最大的优势,但是由于目前的网络客户端还都处于802.11n阶段,恐怕我们还要等待一段时间才能见到802.11ac产品在市面上广泛出现。
无线广域网
与有线通讯技术相比,无线技术最大的优点就是使用方便,不受地点的限制,比如移动电话、无线键盘/鼠标、红外遥控器、蓝牙等等。不过在计算机领域,获得大范围应用的还是人所共知的IEEE802.11a/b/g无线局域网标准,这类标准构建了一个基于无线通讯技术的局域网,由此改变了计算机网络的应用形态,同时也创造出一个庞大的市场。
除了无线局域网外,我们还可以享受到无线广域网所带来的便利性。Wi-Fi领域的辉煌胜利让英特尔获利颇丰,作为新技术的领导者,它的目光并没有一直局限在这个领域,而是开始下一波无线技术的推广,它就是作为无线城域网标准的IEEE802.16,并专门组建了“WiMAX联盟”来推广这项技术。这个事件引起业界的巨大反响,IEEE802.16和WiMAX的字眼也都成为各大IT媒体的头条,不过,人们关注的大多是它们所创造的巨大市场而非技术本身。事实上,IEEE802.16的出现将无线技术从家庭、企业内部拉到了室外,它的有效距离高达50公里,并可提供比Wi-Fi高得多的传输速率。如果说Wi-Fi实现了局域网的无线连接,那么IEEE802.16或WiMAX就将把无线技术扩展到城域网。不难发现,无线技术的应用领域被大大拓展了。
为了推广IEEE802.16标准,同时保证接入设备的兼容性及互用性,一些主要的通信部件及设备制造商联合组成一个工业贸易联盟组织,它就是 “WiMAX论坛”(WiMAX是World Interoperability for Micro-wave Access的缩写,意思是全球微波接入互操作性)。WiMAX论坛成立于2002年4月,首批成员包括诺基亚、Harris、Ensemble Communication和Crosspan网络公司,不过这些厂商的影响力只是在后台的通信设备领域,对前端的应用层面并不在行,而没有应用的直接驱动,802.16要想普及是完全不可能的。不过,这种情况现在已经成为历史,前段时间WiMAX论坛大规模扩张,不仅吸收了Alvarion、Aperto和AirSpan等无线宽带接入厂商,而且将英特尔、Proxim和Fujitsu等鼎立支持IEEE802.11厂商也纳入其中,同时OFDM论坛也加入到WiMAX论坛,一时之间WiMAX实力大增。由于IEEE802.16标准拗口难记,业界干脆就把它称为WiMAX技术,一如Wi-Fi之于IEEE802.11。
与其他所有无线通讯技术一样,IEEE802.16使用的同样是载波通讯方式:待传输的二进制数据使用预先指定的调制技术调制在无线电载波上,经由载波传输至目标端,然后再由接收终端解调,将数据还原。不同的无线传输技术之所以会在数据传输速率、传输距离等方面存在差异,根本原因在于它们赖以工作的机制互不相同,这方面的要素包括工作频带、调制技术以及多址方式等等。
用户终端使用WiMAX网络可以有两种方式,一是通过专门的WiMAX接入设备来连接。该设备的功能类似ADSL MODEM或Cable MODEM,只不过它是以无线的方式接入到互联网中。如果要接入互联网的是有线以太网,那么对应的HUB、交换机就必须通过专用的线缆与WiMAX接入设备连接在一起。这样,整个局域网内的计算机都可以连上网络。同样,如果接入互联网的是802.11无线网络,那么同样只需借助专用线缆将802.11访问点与WiMAX接入设备连接起来即可,整个无线局域网内的计算机便可完全通过无线的方式接入互联网中;第二种方式就是用户终端直接连入WiMAX网络,这同样需要借助专门的WiMAX接入设备来实现。对台式机来说,这个设备可能是WiMAX MODEM,而对于笔记本电脑来说,可能只是一块支持802.16协议的PC卡而已。如此一来,用户要接入互联网就非常简单。这种接入方式完全可以让现在的Wi-Fi热点失去活力,众所周知英特尔为了推广Wi-Fi,花费巨资推动相关应用,在全球许多地方都建设了Wi-Fi热点,涉及到的热点包括机场、星级酒店、高档咖啡厅等场合,用户可以借助笔记本电脑内置的Wi-Fi功能实现无线上网。但和WiMAX相比,所谓的Wi-Fi热点马上黯然失色,打个形象的比喻,“Wi-Fi是用户拿着笔记本到处找热点,而WiMAX就好像是它开着探照灯寻找我们,只要用户一开机,它就主动提供服务。”显然,在这个应用领域,WiMAX的优势是Wi-Fi无法比拟的。
篇3
关键词:无线校园;WLAN;信息化
中图分类号:TP393.18
在线学习已经成为高等教育的重要工具,通过在线学习,大学可以为学生提供极高的灵活性,同时可以将他们的课程拓展到非传统性的和远程的学生。研究是大学的核心任务,互联网可以促进协作,帮助人们交流想法和信息。因此,越来越多的研究工作开始转移到网上进行。
1无线网络
所谓无线网络[1],既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。
2无线网络设计原则
2.1实用性和可靠性
网络担负着整个域中信息传输和服务的重任,其可用性和可靠性至关重要。所以要求设计的网络架构需要支持:硬件设备优良、支持热插拔、网络结构冗余、拥塞控制以及负载均衡。
2.2先进性和开放性
采用先进的网络概念,一定要考虑所运用的技术标准和通信协议是否符合国际规范或工业标准,以确保新设计的网络系统有良好的兼容性和扩展性。
选择的产品应具有好的互操作性和可移植性。
2.3安全性
信息安全目前已经成为世界性的课题,网络结构、网络设备应提供相应的安全控制:级别权限、用户认证、传输加密、访问控制。
2.4可扩展性
网络的扩展性影响着可靠性、管理性和安全性。良好的扩展性就意味着网络具备良好的持续改进能力。对于不断变化的接入用户数量、带宽使用,系统应具有一定灵活性,以满足网络规模、应用内容和网络容量的扩展。
2.5可管理性
早期的网络管理严重影响了用户业务的正常运行,不能使网络管理员站在全局的高度来感知全网的健康状况。而现在的网络管理不仅仅是及时发现故障,而且需要在故障没有发生之前探知到即将到来的瓶颈以及可能出现的故障。
因此,能实现对网络便捷管理的理念日益迫切,平台级的网管系统具备集中式管理的功能,能有效对全网的设备进行控制,可对整个网络的使用性能进行科学分析,实现对网络资源的合理分配。
3无线网络设计
无线网络采用层次化,如图,从下往上依次为:无线终端层(用户)、无线接入层(AP)、有线传输层、网络控制层、互联网层(外网)[2]。如图1所示:
图1无线校园网的层次模型
3.1无线终端层设计
数据终端一般包括笔记本、移动电话、无线办公设备(包括打印机、扫描仪、投影仪)等。
当接入的无线设备过多时,很难保证用户享受高速、安全、稳定的接入质量。针对接入设备,CISCO的CCX(Cisco Compatible Extensions Program)实现了无线终端产品设备能与思科无线网络系统兼容,CCX计划实现了cisco无线网络系统与无线终端厂商的无缝集成。
3.2无线接入层设计
接入层[3]由无线网卡、AP和L2Switch组成,按照宽带网络的定义,接入层的主要功能是完成用户流量的接入和隔离。用户终端通过无线网卡和无线接入点AP完成用户接入,无线接入层是各种传输的平台。
3.3环境与信号
办公区域环境复杂,建材就可以对无线信号进行干扰。不同环境考虑不同设计要点,主要针对覆盖和信噪比等技术参数来考虑。比如礼堂的环境比较空旷,但人员集中,如果在礼堂开会,人数将是最主要的考虑参数。
对于网络部署,应选用双频无线接入点,采用分集模式,采用顶部安装的方式避免复杂环境对信号衰减的影响。
3.4无线网络安全设计
(1)SSID的安全设计
基于cisco的无线网络架构使得无线接入点支持灵活的SSID管理,在无线接入点上开启的所有SSID信息包将被封装并转发到无线控制器上,由无线控制器根据每个信息包的所属SSID的将信息转成802.3以太网封装并传送到直连交换机的VLAN中。思科的AP-group技术更有效的隔离了广播域,提高了无线网络的性能。
(2)无线用户的认证和加密
基于cisco的无线用户的认证和加密有802.1X-EAP、TKIP和AES。其中TKIP提供结合信息完整性检查和重新按键机制的信息包密钥。AES是Wi-Fi®授权的高效加密标准。
(3)无线接入点的接入认证
思科无线控制器和无线接入点系统中,都内嵌了X.509证书,通过证书,无线控制器和无线接入点之间可以互相认证对方的合法性,保证网络中的设备的合法性。思科还能提供关于AP接入点更高级的特征-AP的802.1x认证。
(4)无线控制帧的安全管理(MFP)
在目前的无线网络技术的实现过程中,无线管理帧是没有经过认证、加密和签名的,所以相对来说还是会导致很多不安全因素。在思科的无线网络中,思科通过在网络管理帧内部插入MIC,可以及时的保护网络管理帧信息,防止黑客的恶意攻击。
(5)终端的安全接入保证(NAC)
在用户进行有效的鉴权以后,用户拥有了接入无线网络的先前条件,但是对于这个用户使用的终端设备,我们认为并不一定是完全安全可靠的。针对这些问题,思科采用NAC系统进行无线的终端安全接入保证。终端在鉴权以后,Radius 认证服务器会通过和第三方服务器进行交互以校验用户终端的操作系统、病毒库等方面的合法性。用户满足条件后,才可以通过整个认证过程,从而接入进无线网络系统。如果某些方面不满足安全要求,用户会被放入一个制定的隔离的网段进行相关软件和补丁的升级,升级完毕以后再进行校验,通过后则允许进入无线网络系统。
4结语
无线网络局域网给我们的生活带来了极大的方便,为我们提供了无处不在的、高带宽的网络服务,布局和设计出优秀的网络架构,引入良好的安全机制,使无线校园给教学科研添砖加瓦。
参考文献:
[1]魏权利.计算机网络技术与应用[M].北京:机械工业出版社,2013,4.
篇4
(1.中国人民武装警察部队山东总队训练基地,山东 济南 250000;2.武汉大学计算机学院,湖北 武汉 430072)
【摘 要】研究物联网技术在农业生产有机蔬菜生产与供应链质量安全管控中的应用,以传感网、视频分析、标签技术为基础,开发生产过程日志与档案系统,供应链质量安全追踪溯源系统和信息系统,在有机蔬菜基地布置无线传感网和监控网,利用组合RFID、条码和二维码实现有机蔬菜溯源,提供多样化的信息方式便于消费者查询。
关键词 农产品;质量追溯;物联网;无线传感网;视频分析
基金项目:本文部分得到武汉市科技局科技攻关项目(2013010602010217)、湖北省科技支撑计划项目(2014BAA153)的支持。
作者简介:孙奕敏(1976.12.26—),女,硕士,中国人民武装警察部队山东总队训练基地,讲师。
王玙璠(1991.12.14—),女,武汉大学,硕士研究生。
艾浩军(1972.10.08—),男,武汉大学,副教授。
0 引言
我国拥有数十亿人口,属于农业大国,农产品历来是政府关注的重要问题。近年来,农产品质量安全问题受到了前所未有的高度重视。2007年8月17日,中华人民共和国国务院办公厅宣布成立国务院产品质量和农产品安全领导小组。各个省市配合中央政府的工作,分别成立了省、市产品质量和农产品安全领导小组。2007年初,上海市产品质量和农产品安全领导小组12J出台一系列政府监督、控制政策。2007年10月,该小组启动“上海市产品质量和农产品安全专项整治”,在产品和农产品生产、加工、流通和消费所有节点宣传活动的内容。
农产品质量安全问题不仅关系到公众的身体健康,而且对农业发展、农民增收、农业贸易和农业现代化建设具有重大影响,成为新时期我国农产品生产和供给急需解决的一个重要课题。要达到提高农产品优质生产和消费安全目标,就要解决和实现对农产品“从生产到餐桌”的全程质量监控,治本之策是要建立完善的农产品质量安全体系。
近年来,农产品农药残留、兽药残留和其他有毒有害物质超标造成的餐桌污染和引发的中毒事件时有发生。解决“餐桌污染”问题,除了保护农业产地环境和完善农产品市场准入外,建立农产品质量安全信息系统,加快农产品质量安全信息的有效传播,是解决“餐桌污染”信息不对称问题的重要途径之一。
1 农产品质量管控的要点
为确保有机农业产品满足有机农产品的标准,保障食品安全必须从以下两个方面着手。
1.1 过程管控
为了保证食用农副产品质量安全信息平台提供消费者查询信息的可靠性,对于加入平台的企业要求使用专门的生产管理系统,采集农产品生产全过程数据。对农产品产前的水、气、土等环境检测数据记录,产中生产过程控制、饲料/肥料的使用、农药/兽药等的使用,产后对产品的药物/重金属残留等记录。实现对农产品供应链的全过程监控和管理。
1.2 供应链溯源
供应链的每个成员都应当能够追溯产品生产者以及产品成分、包装、来源等特征,也应当能够向前追踪产品成分、包装和产品的的每一项活动。要设计一个具有对整个价值链可追溯性的供应链,企业必须创建流程和基础架构来收集、集成、分析和传递关于产品来源和特征的可靠信息,贯穿于整个供应链的各个阶段(从农场到餐桌)。它将企业的技术解决方案整合起来,使物理供应链(商品的运动轨迹)和信息供应链(数据的收集、存储、组织、分析和访问控制)能够相互集成。有了这样的供应链可视性,企业就能保护和推广品牌、主动地吸引其他客户并降低安全事故的影响。
2 系统技术体系
物联网的农业生产基地现场管理与质量追溯系统涉及的技术体系包括以无线传感网为基础的环境检测技术,以视频内容分析为基础的视频摘要自动生成技术,以RFID、二维码标签为基础的产品溯源技术。
2.1 基于无线传感网的环境监测技术
通过无线网络,利用短程通信与远程通信技术相结合,采用Zigbee组网,Zigbee到IP通过传感网关接入到场区信息网,将传感器采集的环境数据,包括温度、湿度、敏感气体、菊酯类农药浓度等信息收集起来,形成无线传感网络,实现对有机会蔬菜基地的监测。有机蔬菜生产场地和加工车间的传感网如图1所示。
2.2 视频监控日志与摘要的自动生成技术
在有机蔬菜生产场地内的关键监控点部署摄像头,实现虚实结合可视化操作,采集视频证据数据,利用视频内容分析技术,分割感兴趣目标,提取视频特征,提取典型的视频事件,通过高级语义进行表达,自动生成事件的视频摘要和视频日志,将人从海量的视频数据中解放出来,提高视频监控的可用性,提高检索效率,降低存贮成本,同时便于日后查找和产品溯源。
2.3 组合RFID、条码和二维码的产品溯源技术
通过RFID、条码和二维码的组合识别码提供的信息,RFID具有容量大、寿命长、自动识别等特点可用于大行包装的标示,用于记录生产产地、生产单位、生产过程、农药化肥使用情况等信息,如图2所示。而条码和二维码成本低,能记录同一类商品的信息,可广泛应用于单个商品的标识,如图3所示。同时二维码可便于手机进行查询。当产品发生安全性等事故时,通过追溯信息系统可迅速回溯过程及查明原因所在,正确而迅速地回收产品,防止产品事故的再发生,也可确认业者的责任,从而有效促进对生产和流通过程的重视,保障农产品质量安全。
3 系统建设内容
3.1 系统基本结构
根据目前国内的实际情况,提出建设物联网有机农业的思路,系统建设内容主要包括建设基础信息网、生产过程日志与档案系统、有机农产品标签跟踪系统、有机产品销售系统和系统管理平台。智慧农业系统的结构可以采用物联网应用的一般结构,如图4所示。
3.2 建设基础信息网
3.2.1 场区信息网
场区信息网既要承载场区内的生态环境信息、视频信息和一般办公用途信息。同时还能接入互联网,实现内网与互联网(外网)的互联互通,这对场区的信息网建设提出了新的要求。一方面,办公楼要接入电信运营商宽带,另一方面,各基地要通过无线接入点(Wi-Fi AP)将信息传递到办公楼,实现信息互通。
需要考虑场区内各功能区的地理位置分布,在场区内部署局域网,各区之间通过网线连接,形成无线局域网,无线局域网采用IEEE 802.11n标准,标准速度达到150Mbps。按此方式组网的场区信息网,主干道的无线网络理论速度是300Mbps,实际运行可以达到150Mbps的速度,能满足场区信息化的要求。如图5所示。
3.2.2 无线传感网
场区无线传感网要承载场区内的种植基地、养殖基地和沼气池的生态环境信息,包括温度、湿度、照度和敏感气体浓度等,将这些信息通过无线自组网络传递到ZigBee网关,采用IEEE 802.15.4标准,再由LAN局域网传送到控制台服务器进行分析,实现传感网与互联网的互联互通。
场区内无线网络部署方案如图6所示。
在种植基地和养殖基地内都布置了大量传感器,这些传感器采用自组织的方式形成无线传感网进行信息传递与发送,最后通过一个无线传感网关搜集所有的传感节点信息,再将这些信息统一发送到控制台服务器进行处理。这种无中心的分布式控制网络,不需要类似基站或者访问服务点这样的中心控制设备,即不需要利用现有的网络基础设施同样能提供一种通信支撑环境。在任何时间、任何地点不需要现有的信息基础网络设施的支持,快速构建起一个移动通信网络。
3.2.3 无线视频监控网
视频监控的目的有两个,一是对生产过程监管,二是生产过程的展示。为保证设备的兼容性,所有摄像头均内置编码设备,即采用网络摄像机,并且尽量选用支持以太网供电(POE)的设备。
组网方式见图7:
在场区的种植基地、养殖基地和沼气池的重要监控点布置摄像设备,通过无线网络将实况录像发送至控制台服务器,服务器对这些视频数据进行处理和分析后,再通过光纤接入的大宽带上传至互联网,提供在线展现,让人们在家也能实时观看场区内的情况。
3.3 生产过程日志与档案系统
服务器对视频数据进行的处理和分析包括对冗余信息的剔除、将有用的信息保存。由于场区内视频信息量非常大,只靠人工处理这些信息变得不可能,因此可以引进计算机视觉的技术,通过有效的算法对智能处理这些视频,提取出人们感兴趣的视频摘要,对每天的生产情况提取视频日志,这样建成的日常视频档案可以有效地对场区进行科学地管理。
无线传感网与无线视频监控网并不是独立的,它们应当相互依存,将某个监测点的生态环境信息和视频监控信息应该绑定在一起,做到“虚实结合”,当查询产区内某一点的信息时,相关的环境与视频信息就都能同时显示出来,使得有机农产品的生产全过程可视化。
将无线传感网和视频监控网采集到的信息结合统一起来,构成生产过程日志与档案,构建管理这些信息的系统,可以作为后续质量安全管控的有力支持。
3.4 有机产品标签跟踪系统
蔬菜供应链和大多数农产品供应链一样,也包括生产、加工、仓储、运输和销售等几个环节,提交有机蔬菜供应链效率的关键也是如何协调几个环节及如何提高每个环节的效率。如图8所示。
从蔬菜供应链整体可以看到,通过使用RFID和条码、二维码的组合标签技术,能够方便地把整个供应链中各个环节的信息读入公共数据库,各个环节也可以便捷地增加相应环节的数据。消费者和相关主管部门也可以通过通信网络和终端进行查询与追溯。根据现有商业模式的使用习惯和使用成本,可以整箱使用RFID标签,内部小盒装使用条码或者二维码。
标签上要记录的信息包括:
(1)生产阶段的信息,包括品号、产地、电话、化肥明细、种植时间等。
(2)加工阶段的信息:小盒贴上条码,大盒贴上RFID标签,二维条码直接保存了产地、收割时间等重要信息,也能透过二维码访问中心数据库。
(3)仓储阶段记录的信息,包括入库时间、入库区位、货架货位和出库时间等。
(4)运输阶段的信息:gps+RFID标签,包括上车时间、途中温度状况、路线信息、下车时间等。
这些信息分别记录在RFID、条码和二维码标签上,根据这三种标签各自不同的特点和功能,采用不同的方式来标识包装,记录了有机农产品生产过程和供应链全程的信息,能够有效进行质量管理,既节约了成本又能在出现问题时方便消费者追踪溯源。二维条码包装过程和记录的信息如图9所示。
通过RFID、条码和二维码的组合识别码提供的生产产地、生产单位、生产过程、农药化肥使用情况等信息,当产品发生安全性等事故时,通过有机蔬菜标签跟踪系统可迅速回溯过程及查明原因所在,正确而迅速地回收产品,防止产品事故的再发生,也可确认相关的责任,从而有效促进对生产和流通过程的重视,保障农产品质量安全。
3.5 有机产品销售系统
记录销售阶段的信息,包括进入店面时间、销售时间、总量统计、过期数量等。该系统软件还需要与超市的营业网点的进销存系统对接。
最终消费用户可以使用自助式信息查询机,查询到小包蔬菜的所有信息。如图10所示。
该系统的成功投入使用可以促进有机蔬菜的透明化跟踪,提高销售量,让消费者“买的放心,吃的安心”。这样物联网不仅应用在农业生产与运输,也能应用于有机农产品的销售等服务当中,对物联网产业链的发展也起到积极地推动作用。
3.6 系统管理平台
可以通过局域网综合管理场区视频,查询生态环境信息,有机农产品跟踪信息。建立互联网网站,按照农产品的生产流程设计一个循环农业的体验平台,在互联网上展示农产品的生产全过程。为有机农业的发展提供了绝好的契机,不论是生产、运输还是销售全程供应链都实现可视化、透明化监控,有利于规范我国农产品生产和贸易行为,指导农产品生产并引导消费,保障农产品的有效供给和消费安全,增强我国农产品在国内外市场上的竞争力,实现农业增效、农民增收和农业可持续发展。
信息系统需要公开农产品生产过程信息和供应链管控信息,以保证食品安全,它提供多途径的便民查询,如通过12316便民平台,拨打热线电话查询;手机短信查询;通过手机拍摄二维码图片,再上传到网上查询;甚至利用卖场的直接读取设备,如触摸屏等查询该农产品的生产和供应链信息,对生产经营者形成有效的社会监督。
4 小结
要达到提高农产品优质生产和消费安全目标,就要解决和实现对农产品“从田头到餐桌”的全程质量监控,治本之策是要建立完善的农产品质量安全体系。通过信息化的手段,对农产品质量安全进行“数字化”管理,在生产过程中,可通过物联网进行环境监控,除可覆盖农业大棚,还可在畜牧养殖、水产养殖、生产环境监测、仓储环境监测等场景进行应用。通过多种传感器实现信息的收集与传递,农牧业生产各环节都可以控制,并且食品可以溯源。智慧农业通过过程管控和供应链溯源,从而有效保证食品质量安全,让人们吃的放心,吃的健康,吃的新鲜,完成从田间迅速到餐桌的快捷过程,通过物联网我们可以实现这一远景目标。
参考文献
[1]白红武,胡肄农,王立方,陆昌华.基于GIS的生猪及产品物流与追溯平台构件化设计[J].江苏农业学报,2008(5).
[2]侯春生,夏宁.RFID技术在中国农产品质量安全溯源体系中的应用研究[J].中国农学通报,2010(3).
[3]张欣露,王成,吴勇,乔晓军,侯瑞锋,王开义.集成传感器电子标签在农产品溯源体系中的应用[J].农业机械学报,2009(1).
[4]黄海龙,蒋平安,张霞,武红旗,李永,刘洪蓬.基于Web的农产品追溯系统的设计与开发[J].新疆农业科学,2010(9).
[5]彭剑,陈光仪.可追溯农产品供应链系统建模研究[J].农机化研究,2010(10).
[6]韩威威,郑业鲁,李泽,黄红星.农产品安全追溯信息系统设计与实现[J].广东农业科学,2010(10).
篇5
【关键词】 移动通信 密集市区 无线网络规划 数据业务
权威数据显示,近年来全球移动数据宽带使用量以每季度30%的速度突飞猛进,亚洲成为了全球增速最快的地区,增幅为36%。我国作为亚洲的重要国家,移动无线网络也迎来了飞速发展。值得注意的是,庞大的客户群体只对最终的服务能否相同感兴趣,对如何获得无线网络并不感兴趣。
在我国GSM、TD-SCDMA网络及WLAN是无线网络的主力军。但是无线网络的发展需要三网协同发展,但目前三网的协同发展还没有达到预期,尤其是在密集市区,三网业务的重叠较差比较严重。这就表面三网在前期建设规划中,业务分配不够科学合理,没有达到最优配比。因此在无线网络的规划、优化改造中要从网络覆盖、未来业务量等多个方面落实。
一、移动通信规划的重要性及移动通信网络简介
1.1规划重要性
从全球数据上来看,当前移动无线网络业务已成为拉动通信业务的重要力量,尤其是当前网络的发展不断呈多远化的趋势并发展迅猛,以GSM(2G)、TD-SCDMA(3G)网络及WLAN为助理三网协同的背景下,无线网络的发展拥有广阔前景,因此通信企业要想不断保持在市场中的占有率和竞争力,就必须不断优化自身网络质量并且有预期的扩充无线网络容量,走在市场的前面。
1.2主要的移动通信网络简介
当前我国的移动通信网络主要由核心交换与无线基站这两大系统组成。从网络结构上分析,现在的核心交换系统与传统的网络系统结构存在一致性。而无线基站系统则有较大差别,其传输主要依靠无线信号进行传播,因此其传输性能受环境影响较大,所以在无线网络规划当中,要重点考虑其环境因素。当前我国无线网络的主力军为GSM、TD-SCDMA网络及WLAN。
GSM数字移动通信无线网络主要由TRAU、BSC、BTS、OMC-R等组成。其主要完成无线操作与OMC-R专门对无线网络进行有效管理,其管理内容主要为软件下载、参数修改及系统配置等等。
TD-SCDMA是当前中国移动自主经营的系统,其主要由核心网和无线基站系统组成,其中RNC主要对无线基站上传的所有无线数据进行管控,而Node B主要功能是进行发射和接收无线信号。TD-SCDMA与GSM存在很大差异,两者关键技术不同。
WLAN即无线局域网系统,其主要由AP设备来发射无线点信号,其无线传输主要依靠无线信号在空中传输而不依靠有线的实际缆线。
二、移动通信密集市区无线网络特点
2.1 GSM的特点
GSM属于2G网络,其主要业务为语音业务,但同时也能够承载一定的数据业务。其主要特点为:
1、具有较高的容量;
2、语音质量高;
3、安全性能高;
4、具有较高的灵活性。
具体而言,GSM具有如下技术特点:首先是安全性,这类系统的加密采用空中接口方式,由网络AUC及SIM卡密钥共同决定。在安全保护方面,其利用加密、鉴权以及使用TMSI号码达到预期效果。之后为话音质量,在门限值以上程度时,由于其GSM规范中定义了话音编码以及空中接口,因此话音质量通常处于同一水平,不会受到无线传输质量影响。最后为容量方面,每个信道传输带宽的上涨让同频复用载干比必须调节到9dB以下,因此GSM系统可将同频复用模式调整到3/9或是4/12;加上话务自动分配与半速率话音编码,其系统容量效率相对于TACS而言将更高。
2.2 TD-SCDMA
TD-SCDMA属于3G网络。其主要特点为:
1、数据承载能力高;
2、网络覆盖范围大;
3、种类丰富、品质较高。
此外,TD-SCDMA还有很大的发展空间,例如其TD-SCDMA还能在市场服务导向及服务质量上有极大的发展。在这一系统中,通过自适应算法以及数字信号处理技术,基站系统能够让智能天线的覆盖动态化,在目标空间中形成定向波束(针对特定用户),提升下行信号能量利用率,同时尽可能将信号干扰程度降至最低。利用智能天线,基站能够在整个目标范围内对终端保持跟随,改善终端信噪比,提升系统质量。
2.3 WLAN
WLAN属于无线局域网络系统。其主要特点为:
1、建设成本低廉;
2、接入的速率高;
3、WLAN目前只能支持低速移动,难以适应市场需求;3、安全性较低;
4、移动管理能力较弱。
目前WLAN的使用体验程度差异较大,其技术要求需支持突发的、高速的数据业务,在室内使用过程中还需解决子网相互干扰以及多径衰落问题。
三、移动通信密集市区无线网络规划要点
随着无线移动业务不断增长,密集市区无线网络规划已成为当前移动通信规划工作中最为重要的内容。目前移动通信无线网络规划需要从总体目标、基础资料、基站设置等多个方面进行参考。
3.1无线网络规划的总体目标分析
在密集市区无线网络规划中,要充分考虑该地区移动用户对网络的需求,展开综合分析。其分析内容主要包括:容量分析、覆盖面分析、服务质量分析等。通过对上述内容进行细致分析后,针对相应问题制定科学的规划目标。
3.2基础资料分析
密集市区无线网络规划的基础资料主要包括人文资料、网络技术资料、网络运营资料三大方面。
人文资料。人文资料是密集地区最为重要的基础资料,密集地区的人口数量、经济状况、交通情况都决定了该地区业务量。只有充分掌握该密集区人口数量、人口流动情况,才能使掌握的基础资料更加详尽。尤其是掌握地区经济情况,能为无线网络规划做重要参考。
网络技术资料。在当前,已有许多基站分布在不同的网络规模中。优化密集市区无线网络,就必须对现有的基站容量及相应的技术参数进行全面统计。
网络运营资料。网络运营资料也是做好网络规划、优化的重要基础资料。网络运营资料主要包含当前密集市区话务容量、实际话务量、切换成功率、阻塞率等内容。尤其是对各基站忙和网络忙两个情况进行全面统计。在统计过程中,注意提取平均值,对节假日、突发事件等能引起话务或移动网络业务异常的情况要进行单独分析。
3.3基站设置
基站设置是整个无线网络规划的重要环节。基站的设置要以基础资料为基础,充分考虑密集市区人口、经济、交通等情况来解决网络容量,通过对网络技术资料、网络运营资料进行深入分析,来提升基站网络服务质量。
此外,在基站设置中要注意对现有网络进行有效挖掘,修复网络问题和缺陷,并做好相应的调整或改造来提升网络资源的利用率。对网络缺陷要进行细致分析并制定完善的解决方案。
四、当前无线网络整体的现状
4.1无线网络业务情况
当前无线网络数据业务量呈几何倍数攀升,语音话务量趋于平稳且有下滑趋势,当前网络的负荷不断上升,现有的网络资源日趋紧张。
GSM、TD-SCDMA与WLAN网络规模难以满足需求日益旺盛的无线网络市场。除GSM能在一定程度上对语音和数据业务进行分流外,TD-SCDMA与WLAN都不能良好分流。
当前我国城市化水平不断上升,加上各地区经济发展势头良好,城市内的密集市区越来越多,区域内的无线网络深度覆盖与容量难以满足当前发展需求,服务质量不断下滑,投诉越来越多。
4.2网络结构情况
在当前的无线网络格局中基本以900M频谱为主,为了确保区域的网络质量,区域的配置均设置在8dB以下,在现有的网络中,以降频来确保网络质量较为困难。而1800M的网络又难以实现连续覆盖,两者之间的切换和均衡效果比较差。目前网络结构中,新旧设备较为混杂,维修较为困难、能耗大、故障也较为频繁。目前密集市区的网络层次较为单一,基站配置智能随业务增加而扩大,属于“被市场牵着跑”,严重滞后。
4.3行业情况
无线网络行业重组到现在,在城市密集市区,市场覆盖率基本处于平衡状态。多网联合实现了配套资源共享共建,营运商之间已不存在资金优势,需要比的是技术和服务质量。目前4G后起之秀大有鲸吞整个市场的趋势,这对GSM、TD-SCDMA与WLAN的发展带来严峻挑战。
五、结束语
我国移动无线网络的发展形成以GSM网络、TD-SCDMA网络及WLAN网络三网的格局,囊括了我国境内绝大部分的语音及数据业务。GSM网络与TD-SCDMA网络均承担语音和数据业务,WLAN则主要以数据业务为住。随着当前无线网络业务不断增长,区域内的业务分流困境成了当前通信企业亟待改变的重要议题。文本以三网协同发展为原则,主要从用户需求、如何提升服务质量、市场情况来进行论述。并提出从预测业务量、优化频率资源、解决网络问题和缺陷、提升覆盖、提升安全性能等多个方面来对无线网络进行科学规划和优化。
参 考 文 献
[1]钱易. 江苏TD-SCDMA无线网络规划研究[D].南京邮电大学,2012.
[2]谢涛. 集群通信网络在我国的发展分析及无线网络规划方案[D].复旦大学,2009.
[3]刘哲. TD-SCDMA无线覆盖系统规划及设计[D].北京邮电大学,2009.
[4]单劲峰. 地理信息在3G网络规划及3G网络优化中的应用[J]. 信息通信,2009,05:71-76.
篇6
关键词:智能电网 通信管理系统 互联 数字用户
随着社会的发展,人们对电能的需求量越来越大,同时也对电网企业,尤其是智能电网通信管理系统的建立,提出了更高的要求。当下,在智能电网通信管理系统的使用工程中,存在一定问题。因此,对智能电网通信管理系统建设要点进行分析,意义深远。
1、智能电网通信管理需求
1.1系统互联以及保准应用需求
当下,对管理系统进行部署,需要站在去全局角度分析。因此,对通信管理系统标准体系进行建立,需要制定相应模型规范、规范命名,并且对建设作出科学规范,对各级单位进行科学指导[1]。将相应的数据交换和管理流程作为依托,从而对通信数据投入研究,实现专业信息数据共享。
1.2深化通信运行维护管理需求
为了使通信部门全方位管理需求得以满足,要对智能通信电网做出实时监视,注重资源管理和专业管理应用功能。采用分阶段演进方式,对应用做出深化。促使实时监视以及资源智能化管理水平得以提升。此外,对故障做出科学分析,确保电路能够自动分配。
1.3智能电网对通信管理系统的支撑需求
为了使电网中的六大环节得到有效支撑,尤其是配电、用电等环节。针对终端接入网管理系统加深研究和建设。对终端通信接入网中存在的管理系统,在应用功能上所持有的构架和部署模式等进行确定。
2、 智能电网通信管理系统中存在的问题
2.1网络运行技术和管理之间存在问题
当前,正在使用的系统在管理上存在多种技术类型,这就促使单一的管理难以满足所有企业需求。这种情况下,导致网络管理工作更加复杂,受到众多管理项目的影响,促使管理工作水平得不到有效提高。
2.2管理模式不够规范
在电网管理中,业务方面和时展相适应,企业也开始对通信网络系统提出了更高的要求。长期运行过程中,无论是安全性还是规范性,均属于电网管理工作中追求的重点内容。因此,在对电网进行管理过程中还存在着一定的滞后性。
2.3管理过程中缺乏专业人员
电网企业创新通信管理,同时引进大量设备。这些设备在使用过程中需要定期维护,并作出科学管理。如果将其转化成智能管理,需要有专业人员提供帮主。但是,专业人员不足,导致这一需求难以得到满足。
3、智能电网通信管理系统建设要点
3.1电力线通信的应用
电力线通信主要采用PLC技术,对已有电力线中的数据进行传输。借助电流,对含有数据信息的高频信号进行加载,将其传输到对面一端的适配器当中,然后对高频信号进行适当分离,进而实现信息的传达[2]。电力线和智能电表之间相互连接,这就使得电力线成为在郊区或者其他地区的最佳选择。当下,PLC所产生的传输效率能够达到3Mbit/s。电网当中,只能电穿过电线,对数据集中器进行接收,这时,数据集中器对蜂窝网络技术进行应用,最终将数据传输到数据中心。
3.2数字用户线路的应用
DSL就是人们常说的数字用户线路,其主要是将电话线作为传输载体,在使用过程中,不需要进行拨号,使用成本较低,并且具备高宽带数据传输特点。信号传输不需要经过交换机设备。DSL技术的发展受到阻碍,主要是因为断网,促使其难以对一些特定关键任务需求进行满足,在一些偏远农村等地区也不能实施。
3.3无线网状网的应用
无线网状网是当前被广泛使用的网络技术,与传统无线网相比具有较大差异。传统无线局域网也就是人们常说的WLAN中,用户从一个固定的接入点,和无线路由之间相互连接,进而对网络进行相应访问。要想实现相互通信,必须先访问一个接入点。这种结构被人们称作单跳网络。在无线网当中,所有的无线设备均能够当做AP和路由器使用,在这一网络当中,全部节点均能够对信号进行发送和接收。每个点均能够和一个或者几个点之间进行直接通信,下图为无线Mesh网络结构:
无线网状网中存在的网络容量、网络信号和衰减情况等不足,导致网络不能得到全面覆盖。对信息进行传送,需要对全部接点加密,确保对数据的安全传输,增加了系统的复杂度。同时,数据包能够从其他邻居节点中流通。因此,通信链路上需要做出较多的开销,促使环路情况减少。
3.4蜂窝网的应用
在电力企业中智能电网以及远程节点之间的通信工作,蜂窝网鼠疫最好的网络。目前,蜂窝网得到广大电网企业的广泛应用,新型技术有2G、3G、LTE和WiMAX。在蜂窝通信当中,具备的基础设施能够促使电网不需要支出更多的运营成本、操作时间,就能够顺利组件一个高质量通信网络。将蜂窝网当中一系列将解决方案作为依据,拓宽智能电表的使用环境。蜂窝网具备较为强大的控制性能,基于这一性能,能够确保数据传输的安全性得到保障。得到广泛使用的GIM技术,能够对相应身份做出准确验证,对信号提供保护功能,存在较强的匿名性,对用户中所存在的相关数据提供强有力的保护[3]。此外,这种技术的使用不需要支出较高的成本,价格低廉。促使蜂窝通信技术受到电网企业的广泛使用。
3.5 ZigBee的应用
通常情况下,在2.4CHZ的频带上,ZigBee存在频段数量为16,并且每个频段均存在5MHz带宽。成本部署较低、不需要对频段做出相应授权,并且对带宽的需求也较低。在使用过程中,具备系统检测功能、定时定价等。这些优点和功能的存在,促使其在水电事业中得到相对广泛的应用。 ZigBee使用范围有智能家居、电气能源监控等相关领域。其中存在 ZigBee智能电表联系,同时对其他 ZigBee集成设备等进行相应控制,将电量相关数据实时性的发送给用户。
结束语:
总而言之,电力通信网络是我国电网公司的基础支撑平台,在运行过程中,面临着各种新要求。从系统互联以及标准应用等方面对智能电网进行分析。认为,智能电网通信管理过程中存在一定问题,如网络运行技术和管理之间存在问题,管理模式不够规范,管理过程中缺乏专业人员。对此,要对智能电网通信管理平台进行进一步完善。
参考文献:
[1]方跃胜,姚宏亮.多Agent智能微电网能量管理系统的通信管理研究与设计[J].河北北方学院学报(自然科学版),2014,03(02):17-23.
篇7
【关键词】建筑工程;弱电智能化;应用
引言
建筑中弱电智能化系统不仅仅可以帮助建筑工程实现智能化的管理,也可帮助建筑工程实现功能性的拓展,让建筑在施工、使用、管理等方面实现智能化,因此应在工程中针对弱电智能化系统的特点进行针对性的监督与管理。
一、弱电智能化系统的简要概述
弱电智能化系统是随着电子技术发展而形成的,该技术和系统的出现将智能化技术引入到建筑设备中,并使之为建筑工程和建筑功能所用。其中包括计算机网络、防雷系统、楼宇自动控制系统、电子巡更系统、不简单电源系统、家具智能化等等,都是弱电智能化系统中的成员。弱电智能化系统不仅仅涉及到的是系统因素,还涉及到施工的材料、技术路线、设备等因素。在实际的应用中,系统为整个建筑所提供的是对建筑施工、设备管理、通信网络的综合性利用,其营造的是安全、高效、舒适、便利的建筑环境。
二、建筑工程弱电智能化系统中存在的不足
科学技术的革新,深刻的影响着我国建筑弱电智能化技术,从在改革开放以来,智能化系统的发展从无到有,从有到普遍,有了很大的进步,经过于我们努力的研究和实践,建筑实施的智能化水平得到了飞速发展。传统的建筑弱电智能化系统已经出现了很多的问题,为了适应新技术的应用,必须要与时俱进,随着新技术的发展改变而改变。但是在改变的过程中,我们也发现了很多的问题,主要有以下几方面:当前从整体上来看,不论从设计师再到施工人员,其专业素质都还较低,从事弱电智能化系统工程,必须要具备多方面的知识,其中涵盖了自动化控制、机械电子、通信技术和建筑技术等,因此对从事弱电自动化的人员要求很高,高的要求可以确保在施工过程中避免出现不必要的失误,或是出现问题可以合理的采取处理办法。一个重要的现实是,在我国从事弱电工程的人员还比较少,综合素质高或是具备专业素质的人更加的缺乏,造成了智能化建筑工程程施工质量层次不齐。没有高素质的人才,我们的施工质量就难以掌控,不能很好的将设计施工与网络通信等技术融合,以此来看,这样很容易出现工程漏洞,留下很大的安全隐患;现在的建筑设计讲究合理性、环保性,开发商对于建筑的实用性的关注度开始增加,但是也产生了一新的问题,那就是设计师在规划智能弱电设备中,只重视功能,以面盖篇的吸引消费者,真正谈到具体的智能化,可能就没有想象中的完美。弱电智能化得不到充分的发挥,但是还成为开发商宣传的嘘头,没有相关的智能化要求的指导,因此也导致了在施工过程中不能贯彻智能化设计思想,所以,当下,我们应该加大智能化技术的推广,建立合理的指导思想,不论从设计还是施工,保证专业、科学,实现真正的住宅弱电智能化。
三、弱电智能化系统在建筑工程中的应用
1、网络系统
接入宽带网络是目前楼宇办公中必不可少的环节,它承载着建设内外的网络连接和信息交换,同时也是目前智能建设的基础环节。网络技术成为建筑物或企业内部的信息传播的主要技术手段,都能大大降低人们信息通信、信息以及信息传播的成本,还能大大提高工作人员的工作效率和管理水平。应用智能建筑中的网络系统可以提高建筑物内人员相互之间的协调能力,同时还可以为建筑内提供必要的闭路视频监控等服务。无线局域网技术作为一种便捷的网络技术,逐渐成为网络系统中不可或缺的一环。其建设成本低廉,结构简单,却应用广泛,可用来连接笔记本、平板电脑、手机等多种智能终端。在目前的无线局域网中通常采用极高频或者甚高频的RF技术实现无线传输,其采用的通信技术涵盖了直接序列扩频技术DS、跳频扩频技术FH、红外技术IR、视频传输、漫射传输等。
2、有线电视系统
有限电视系统顾名思义既是运用线缆、分支器、分配器进行信号分配将电视信号均匀地分配到楼内各用户点。目前应用于智能建筑中的双向电视传输技术可以实现3种信号(即数字电视网络、因特网和电话网)在无相互干扰的状态下实现传输。通常情况下,构建有线传输网络时需要考虑到信号的上行与下行问题,即上行信号主要是用户端发出的请求指令,即一些常见的计算机信号,而下行信号则主要是来自于服务器的数字信号。目前的智能建筑双向有线电视传输网络可以为将来建筑内部实现电视、电话以及计算机等有线网络接入提供预留接口。而且,有线数字网络还支持数字电视的点播服务、交互式电子游戏以及宽带网络接入。
3、闭路监控系统
智能建筑内的闭路监控系统包括了与监控相关的监控器、传感器等防盗设备,同时在各个重点位置设置报警系统,以更好地提高智能建筑的整体安保效果。
4、楼宇自控系统
在计算机互联网络技术的推动下,建筑中的各种设备控制技术向着开放和互联的趋势发展,而且传统的基于现场控制的控制形式已经无法满足正常需要。在新型的楼宇自控系统中,主要采用了先进的传感器以及控制技术,通过对相关传感器数据的采集、分析获得自动控制指令,然后交由控制器进行相应的操作,整个过程中在无人状况下完成。同时,先进的楼宇自控技术还可以向着安防、报警以及其他相关联应用方向进行扩展,共同构成完整的楼宇自控系统。
5、楼宇消防系统
智能建筑消防报警系统主要分为火灾报警、信息广播以及对讲电话三个子系统。其中,火灾报警子系统主要是对相关的报警器和传感器的信息进行收集,并且在达到报警限度时触发报警装置;信息广播则主要是通过广播的形式对火灾信息进行播放,以达到疏散人群的目的;而对讲电话子系统则主要应用于后期的消防救援和人员救助,方便建筑内部人员与外部的联系。此系统联动控制消防设备(如消防泵、喷淋、正压风机、排烟风机等)的信号传输。消防广播系统用在火灾发生时指挥现场人员安全疏散。火警对讲电话系统用于现场消防人员指挥灭火工作。
6、安全防范系统
现代社会的智能住宅小区里的安全防范系统,包括了入口控制子系统、闭路电视子系统、周边防范的电子眼系统等等,这是一种自动化很高、可以从多层次立体化的进行安保工作的系统。家庭的安全防范内容包括入室盗窃和抢劫,或是防范火灾和燃气泄漏,如果遇到紧急情况,可以及时发出求救信号,针对居住环境的不同,采取不同的智能化防范措施。
结束语
综上所述,弱电智能化系统在建筑中的应用,可以提高我国建筑电气工程水平。同时也应注意的是在智能化系统应用中应重视对其施工环节与质量严格控制,保证弱电智能化系统在应用中起到应有的效果,帮助建筑工程实现更多的功能,并达到环保节能的效果。
参考文献
[1]高敏洁.刍议建筑工程弱电智能化的应用以及管理[J].通讯世界,2014(08):121-123.
[2]朱华荣.浅谈建筑弱电智能化系统工程应用[J].信息通信,2014(16):152-154.
篇8
关键词 医院;网络;多业务
中图分类号:TN948 文献标识码:A 文章编号:1671-7597(2014)10-0073-01
1 医院网络基础架构现状及问题
医院网络是办公和医院信息化系统(HIS)的主干网[1],医院传统的HIS系统、PACS、OA系统、MIS等逐渐由独立建设走向融合,网络基础平台也从简单的数据业务逐步发展到数据、音频等多业务承载,但传统医院网络存在诸多不足,网络的稳定性和可靠性欠佳;网络平台缺乏智能性,无业务识别能力;医院内网很少部署安全设备,网络的管理控制功能薄弱等。
2 医院网络建设目标
网络基础架构能够支持医院的各种办公、医疗和科研应用,也支持移动办公、信息、网上医疗与医学科研合作。骨干速率达到万兆同时具有向更高速率平滑扩容的能力。网络关键节点能够冗余热备保障系统连续稳定运行,为HIS、PACS等应用系统提供一个强有力的网络支撑平台。整合数据、语音和图像等多业务的端到端服务水平,支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理的一体化网络平台,要以网络基础平台作为数据存储安全的基础,特别是像网络安全,数据的备份都变得异常重要,任何的系统停机或数据丢失可能会引起医患纠纷、法律问题或社会问题[2]。
3 方案设计
3.1 本院信息量分析
根据医院实际情况,医院主要的诊疗业务主要有门急诊诊疗、临床诊疗、医技诊疗等,相应的医院各个业务系统的需求也不尽相同,比如门诊系统要求高可靠性、高带宽和Qos;住院要求高可靠性、Qos、安全存储、无线局域网、VoIP、视频会议系统;PACS则需要储量大、扩展性强、数据快速存储、数据容灾、高宽带;体检系统要求体检人员数据安全和网络安全;财务管理主要是人、财、物的管理,最大的需求是数据在服务器端和网络上的安全;区域医疗因为医院资源进行共享和整合,这需要稳定的广域网连接。
以上需求根据具体业务量来做决策依据,日信息量以本院为例:
系统日信息量(不包含影像系统),门诊信息系统页面流量统计(不包括影像信息的传输),以每接诊一个病人消耗系统35个页面,每个页面文件大小为2k计,一个病人需要约70k的网络流量。以门诊每日接诊8000人计,每日共消耗560000K的网络流量;住院信息系统页面流量统计,以每个住院病人消耗130个页面,每个页面文件大小为2k计,共计需要约260k的网络流量。以住院病人满员1800人计,每日共消耗468000k的网络流量;PACS数据流量9.5G/天,其他信息系统页面流量统计,按照门诊信息系统和住院信息系统的1/3计,每日共消耗206000k的网络流量,目标信息系统每日约消耗共计1234000k的网络流量。
业务数据 单据
数量 每单据数据量(字节) 网络负载流量(Mbit) 合计大小(Mbit)
门诊医嘱 8000 240kByte 8000*240*8*2/1000 30720
处方数量 4423 160kByte 4423*160*8*2/1000 11322
住院医嘱 53300 160kByte 53300*160*8*2/1000 136448
发票数量 6420 180kByte 6420*180*8*2/1000 18488
特检单数 19169 200kByte 19169*200*8*2/1000 61340
化验单数 22080 180kByte 22080*180*2/1000 7948
医学影像数量 1100 35.5M 360*35.5*2 25560
视频数量 5098 4M 5098*4*2 40784
财务记费 23980 180kByte 23980*180*8*2/1000 69062
小计: 401672M
3.2 设备要求
其中核心交换机在可靠性要求方面:控制与转发物理分离架构;冗余电源方面;冗余引擎/交换网;高性能方面:交换容量能满足端口线速转发,分布式处理,支持扩展;扩展性方面:有足够的扩展插槽及模块端口密度,满足接入及扩展需求;多业务方面:支持2/3/4层的交换,MPLS,IPv4/IPv6路由,组播,端口镜像;安全性方面:攻击防御、ACL访问控制列表。汇聚层交换机则要求足够的千兆端口(12-16个),支持万兆端口;端口线速转发能力;支持VLAN划分和子网汇聚,支持802.1q标准;三层交换功能 安全控制能力,ARP入侵防御,CPU保护等。接入层交换机要求满足支持2个以上的千兆上行端口,端口线速转发能力,支持VLAN划分和802.1q协议,端口安全达到IP+MAC+端口绑定、ARP欺骗过滤、802.1x、动态权限下发等。边界路由器要求具有卓越的可靠性、可用性、服务能力和性能;支持广泛的接口介质类型;高性能地址转换(NAT);有强大的路由处理能力和访问控制能力。无线网络要求能够支持802.11n技术,支持2.4GHz和5.8GHz双频段,可支持在较大范围内漫游,用户验证和安全机制,支持RFID等物联网应用。
3.3 网络设计的几个要点
拓扑结构:网络整体设计采用主流的核心层、汇聚层、接入层三层网络架构[3],关键位置设备冗余、适当引入环形结构、瘦AP架构。
网络带宽:主干采用万兆以太网技术、1000M到桌面、802.11n无线网络应用。
资源规划:根据不同业务分配带宽、VLAN划分、路由协议部署、二/三层可靠性技术。
网络安全:内外网物理分离、内外网采用异构防火墙、VPN应用、身份验证。
多媒体应用:远程医疗、远程会诊、手术示教、PACS承载。
网络管理:性能监控、告警管理、配置管理、拓扑管理、无线管理。
3.4 网络结构设计
图1 网络拓扑
原则上采用层次化的网络结构,其中核心层实现高速数据转发,路由分发,汇聚层做到终结二层报文,安全策略及路由策略,而接入层则实现终端接入,其中部分区域(如服务器区),汇聚层和接入层可以合并。现医院网络拓扑结构如图1。
4 结束语
新一代医院业务网络架构设计是以医院业务应用为主体,为医院用户提供端到端品质保证的融合数据、语音、视频等多业务的网络实体。其主要特点有:网络设备及链路资源利用率提升;可靠性极大提升,故障恢复时间从秒级降至毫秒级;在可靠性提升的同时,网络复杂度没有增加,管理难度降低;多业务承载能力提升,支持视频、图像等大数量实时业务;支持RFID等物联网应用,为医生、患者提供良好的新业务体验。
参考文献
[1]刘蔷,许红雁.医院网络的优化设计与实施[J].中国医疗设备,2013,28(04).
篇9
关键词:RADIUS;无线网;安全验证;MAC绑定
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)18-0047-02
1系统问题产生背景
1.1无线入网系统初期运行状态
1.1.1原有系统描述
我在前几年建设的安徽报业大厦一套可以辨别用户的优先保障正常工作附带安全管理的无线网络安全管控系统,具备安全高效低成本的特征。在安全管理上,避免了没有申报授权用户接入访问网络,即使有人可以破解无线网连接的秘钥等验证接入了无线网也不能访问内网资源,干扰不到其他无线终端;使用了绑定用户密码和MAC地址等措施,当一个用户在首次成功登录后即在服务器和设备上绑定,在我们的无线网中这台设备就用不了其他用户密码登录,这个用户密码也不能用在其他设备上了。在无线设备的选择上,对AP和终端也没有特别要求,只要是可配置的AP和支持wifi功能的终端都可以使用。在实用性上,配置简单快捷,利用原有设备,不需专业服务器,低成本实现,相比较以前无验证开放式连接而言快速高效地解决了前期无线网络安全管控问题。
1.1.2原有认证步骤流程
原有办法是我们的用户首先通过办公系统申请固定账号或者临时用户申请,通过秘钥连接无线信号后再使用用户名密码的方式认证,最终在服务器端通过并绑定。
1.2产生的主要问题
在整个系统搭建完成后,初期运行良好,所有移动办公和娱乐用户都按本系统设计预期连接并完成认证,效果很好,出现过一些认证页面和信号强度方面的问题,也都解决了。但是运行一年左右,随着应用方面的扩大,申请账号的增多,很多用户陆续产生了每天需要输入认证很多次或者连接报错的故障,重复输入给用户造成很大的使用困难往往是用户外出、经过电梯都会出现问题,还有用户直接连接不上,同时给管理人员带来很大的工作量。常见以下几种问题:
1)外出后常出现IP、地址mac不允许;
2)上下楼后经常发生Ip已登录;
3)待机后重新点亮移动设备的屏幕有时出现不允许多人同时登录。
如图2:
2 问题排查及方案选择
2.1故障问题测试
针对故障以上问题我们发现分布在不同的楼层,各种无线设备下均有发生,而且有越来越多的趋势,通过以下步骤:首先我们设定测试账号;准备不同系统的几台无线设备;每台设备通过测试账号登陆;新建测试无线信号新的ip段。
经过反复登陆注销,有几个发现:在原有无线ssid信号中不同时间设备获取地址会发生变化、登陆后在楼层间移动一段时间设备会断网并重新弹出认证、还有部分首次通过上网过几分钟后断开认证也弹不出入网页面,每台设备都出现这些问题。在我们新建ssid信号中设备连接后很稳定,移动、待机、重连之后都没有出现问题。
2.2定位故障找出解决办法
通过测试我开始考虑是不是信号源出了问题,检查配置和后来建立的测试完全一样,除了网段和网段里在线的IP地址,登录核心网关查看正在使用出问题的这个信号使用的IP数:
在这个网段中地址几乎使用完,测试的地址段不用看了,刚建立的,也就是测试的几台地址。
我们这个无线系统设计初衷是安全、快捷,绑定区分每位用户并隔离,开始一百多个用户,我们预定可分配网段地址是一个C类地址段,当使用几年后用户已经超过三百人,目前已设定账户的用户超过六百人,
在测试过程中发现的地址问题首先我们在绑定是用的mac地址绑定,但在网络转发时其实用的还是ip地址,如上图5在外网网关上显示的还是ip地址名称,当在设备上设定固定静态地址时,终端相对稳定的时间要长些,我们在交换机上设立的dhcp,在查看是发现一台设备地址分配的情况
可以确定的是由于用户地址发生变化导致一系列故障的产生,地址短缺发生地址变化和获取不到地址时自然就出现上面的故障了并且由于地址数小于账号数,不能设定长期的租约。最终问题明确了虽然没有ip地址绑定,但在账号数增长的情况下需要固定地址并保证长期不变。
2.3优化方案构思
我们的无线入网需要改变,一个必要的条件就是现有连接用户端尽可能不改变连接入网方式及习惯,还有我们没有大幅度调整设备的条件。
1)首先想到多增加几个网段,每个从vlan44-vlan48每个地址段分布1至2个楼层,如下
在考虑后发现,必须能够保证这些楼层的用户互相之间都不能跨太多楼层,不然同一个用户进入其他楼层进入不同vlan变了地址还是会重新入网一次,只能缓解基本静止状态的用户。
2)又想根据不同部门分配不同的地址段和无线信号,实际测试了一个楼层,工作量比较大,每台设备AP上都要登入全新配置,配置全部不同,在技术实施上也出现了问题,很多部门分散,有楼层部门超过5个,而有AP一个radio下只能绑4个信号源,直接就不能满足,不过在测试的楼层确实运行良好,在以后升级Ap,使用AC控制器瘦Ap方式下也是一个办法。
3)最后只有扩大地址段的办法,在企业网中用的多的都是C类地址段,扩大使用一个B了真怕有广播风暴,考虑最多1000个地址并且这些地址并不同时在线,在无线上做了无线隔离,无线ip互相不能访问,每个汇聚口都配置了广播抑制30%,再加上汇聚上行万兆上行,可以保障数据正常。先期增加地址办法采用的是直接在核心8512交换机上把DHCP地址池改大,
network 192.168.19.0 mask 255.255.255.0改为network 192.168.19.0 mask 255.255.254.0,并加入租约限制expired day 365,在进行现场模拟测试时发现认证不理想,用户更换手机及保留地址时设置管理很不方便,这是一项经常变动的配置在用户数多的情况下增加管理难度,后考虑操作采用微软自带DHcp服务器,在配置管理方面可视化选择配置方便管理;
4)还有账号增加的问题,前期设计系统时使用的是一个免费第三方Radius软件,账号权限管理和账号数量上在现在已经不再适用,考虑管理及兼容配置上采用windows配置Radius服务器。
3 改进系统设计及实施步骤
3.1总体设计流程
新改进的无线入网机制和前期基本原理一致,没有增加终端用户的配置难度,
移动终端输入正确的无线秘钥连接之后获取dhcp分配的地址,当第一次连接外部网络会打开验证,输入用户名和密码后连接到Radius服务器上验证,当验证无误绑定用户并提示通过访问外部网络。
3.2网段规划分配
在地址段规划上有两个方面的考虑,开始升级时考虑多个C类网段,通过在每两个楼层分配一个C类地址,在用户连接数量需求上可以满足,无线信号保持一致,连接便捷度上也不会有问题,分楼层实施后出现两个情况很少一部分用户长期在本楼层用后再到其他楼层使用,这个过程中绑定信息会重复,用户需要点确定在体验上会有操作的重复性;最后还是决定扩大地址段容量,使用一个B类地址,按照每用户2个移动终端可分配地址数大致两千左右,账号对固定IP地址的对应,不是同时在线,预先划分地址段vlan52,分配192.168.48.0/255.255.252.0子网,加入防火墙
并在核心上配置网关
interface Vlan-interface52
ip address 192.168.48.2 255.255.248.0
ip relay address 192.168.18.77
dhcp select relay
vrrp vrid 52 virtual-ip 192.168.48.1
vrrp vrid 52 priority 150
vrrp vrid 52 timer advertise 5
3.3验证加密设置
检查设备数据时发现,连接的无线设备的ip地址数量有时会大于认证账号,前几年为了一些陈旧终端的连接,所有无线AP设置的使用wep方式,只有信息中心使用的无线信号实现了wpa2方式,一直都有隐患,WEP是802.11 1999中提到的加密协议。是一种rc4算法 CRC进行效验和计算,弱IV和CRC机制的问题。不论是64还是128位加密的WEP密码,某些工具很有可能破解,我们决定采用WPA2方式,WPA2是WiFi联盟验证过的IEEE 802.11i标准的认证形式,WPA2实现了802.11i的强制性元素,安全性更强、更适合应用在无线局域网环境的加密协定,针对现有的几种设备配置如下:
无线Ap1208型号的配置
vlan 52
#
ssid phone
set vlan 52
bind domain system
encryption suite ccmp
encryption suite tkip
authentication psk ascii ******
security-mode wpa2
无线Ap2620的配置
vlan 52
#
wlan service-template 4 crypto
ssid phone
cipher-suite ccmp
security-ie rsn
service-template enable
#
interface WLAN-BSS14
port access vlan 52
port-security port-mode psk
port-security tx-key-type 11key
port-security preshared-key pass-phrase cipher *******
无线Ap6010的配置
vlan batch 52
#
interface Wlan-Bss2
port hybrid pvid vlan 52
port hybrid untagged vlan 52
#
wlan
wmm-profile name phonewmm id 2
traffic-profile name phonetraffic id 2
security-profile name phonesecurity id 2
security-policy wpa-wpa2
篇10
无线更便捷
用NEC NP-M230X+打造先进的无线会议室
对于初期未针对投影机预先布线,或者员工多采用笔记本电脑办公的企业来说,若能打造一个完全无线控制和传输的会议投影环境,将是最具效率的解决方案。这样既不用改动会议室的装修格局,又可以实现流用自己的笔记本电脑进行简报播放,将大大提升会议效率。而NEC近期最新推出的一款NP-M230X+投影机就是可以实现这一目标的无线投影解决方案之一。
NP-M230X+投影机(以下简称M230X+)在2010年底推出,提供支持IEEES02,11b/g/n规范的无线通信模块,用户如果希望实现无线画面数据传输功能,则需要选配一款型号为NP02LM2的USB接口无线局域网组件。这款组件不是用在用户的笔记本电脑,而是直接连接在投影机上,让投影机成为一个无线路由器。用户的笔记本电脑上则需要安装NEC提供的独有软件image Express Utility Life(uSB接口也可通过此软件进行数据传输),然后就可以通过该软件将需要演示的资料以无线方式实时传送到M230X+上投影显示出来。除了可以实现无线投影以外,它配备的网络RJ45接口配合NEC提供的PC Control UtilityPro4软件,可以让用户完成对投影机的远程控制和通信。
除了强大的无线,有线网络功能以外,M230X+的其他规格也是针对中高端商用领域而配备。它是一款基于3LCD投影技术的产品,标准分辨率为1024×768,配备了1,7倍变焦镜头,最近可以在1.11m的距离投射出25英寸的画面,最大则可以在13,78m的距离下投射出300英寸的画面,同时它还支持自动梯形校正功能,在不同空间的会议室中均具备较好的灵活性。M230X+的灯泡寿命(指灯泡亮度衰减至标称亮度一半时的平均时间间隔)也比较长,官方给出的普通模式寿命达到了5000小时(通常为3000小时),ECO模式下则为6000小时,降低了企业的后期使用成本。当然,本款机型的亮度相对较低,这虽然对延长灯泡寿命带来了正面的影响,但也因此让它更适合在低亮度的环境下使用。
M230X+投影机具备简单的USB直插演示功能,如果放在桌面使用时,可以无需连接电脑,直接读取USB存储盘/卡上的JPEG格式文件进行播放,这比较适合播放背景画面。它还内置了10W的扬声器,在没有音响设备的环境也能让演示文档中的背景声音正常发出,让与会者都能听清。特别值得一提的是NP・M230X+投影机具备的特别镜头滑盖设计,用户可以在演示中需要进行中断讨论或话题转换时,直接关闭镜头盖,其灯泡就会自动关闭待机,需要重新播放时,打开镜头盖即可恢复。最后,M230X+投影机还设计了屏蔽风扇噪音的静音模式,在需要安静的会议室中,可以将听众的注意力完全集中在演示内容上。
在实际测试中,M230X+投影机的平均亮度为707流明,相对偏低,不适合环境光强烈的会议室。但其色域范围达到了82.9%(色温通过分光色度仪校正为标准6500K),色彩表现十分出色,非常适合追求色彩准确度的广告,设计等行业。我们在投影机半米的范围内,风扇噪音很小,比较安静。其操作菜单和机身按键的设计也相当人性化,调节起来比较顺手,略有不足的是,其从开机到显示图像的时间达到了45秒,若要完全正常显示所需时间甚至达2分钟以上,相对较长。
高性价比优先用奥图码DMl28打造全能投影会议室
对于很多学校和中小企业来说,受预算限制,为会议室或教室选择投影机时往往追求高性价比。高亮度、多功能兼顾,良好的调节界面以及适合的价格成为选择时的要点。但真正能符合这所有要求的产品并不多见,而近期推出半价优惠之后的奥图码DMl28投影机正是其中难得的一员。
奥图码DMl28投影机是一款基于DLP投影技术的产品。相对来说,DLP技术的色彩表现比LCD技术的产品稍逊,为此,奥图码特别将其应用于家用机上的Truevivid影像技术加入到这款机型之中,使其可单独针对红,蓝,绿三原色的亮度,对比及使用者偏好的Gamma进行微调,还可以单独针对青绿,紫红和黄色进行色调调整,并可保存设定于投影机内,方便用户使用。此外,它还提供了±40°的数字垂直梯形校正功能,可以在机身处于较大的投影角度时,仍然保持方正的影像。对于5000元以下的机型来说,这样的菜单功能设定还是十分丰富和实用的。
奥图码DMl28投影机也支持通过RS232接口的多机控制功能,通过RS232接口与projector lD功能的结合,可以让企业和学校的IT管理人员在控制多台投影机时更加一目了然。而且它还提供了比普通机型更加智能化的开关机模式,例如支持送电直接开机功能,节省开机等待时间;提供自动关机定时器和倒数提醒,在无信号或信号源睡眠时自动关机,保证无人使用时自动关机,节省能源;不但如此,其特别的节能环保设计使得它的通电待机功率只有1W,对于投影机长期处于通电状态的学校来说,可以节省更多的能源;而10秒快速关机模式,更是大大提高企业用户的商务效率。更特别的是,奥图码还为选择DMl28投影机的用户提供2年或1000小时(以两者中先达到的为准,不含正常衰减)的灯泡质保服务,这样的售后服务在同类产品都是罕见的。
在实际测试中,奥图码DMl28的亮度高达2300流明,非常适合用于教室和环境光线较强烈的会议室,而它在经过分光色度仪校准后,标准6500K色温下的色域范围为57.4%,相对较低。用户可以根据自己的使用喜好,在菜单中进行适当的调整。当然了,这也意味着它不太适合广告业等对于色彩准确度要求较高的行业。而其迅捷的开关机速度(开机25秒,关机10秒)也让人满意,对于提升企业的会议效率有一定的帮助。
平衡之道
用三星SP-L305打造创意头脑风暴会议室
对于很多中小型设计企业来说,通过开展头脑风暴会议来迸发出新的灵感是十分常见的举措。与会者往往希望使用投影机与大家分享创意,此时我们不但希望画面更真实,同时操作也要简单。如何在色彩表现,亮度表现以及易用性中取得平衡,是lT管理者采购设备时的难点。而三星SP-L305正是符合这类需求的一款平衡型机型。
三星SP-L305是一款采用3LCD投影技术的产品,标准分辨率为1024×768,标称亮度为3000流明,是一款针对中小企业或学校的商用教育跨界机型。它采用1.2倍变焦镜头,在最小1m的距离可以投射出40英寸的画面,在10m的距离则可以投射出300英寸的画面。这款机型同样支持自动梯形校正,可以在±20°的范围内对画面进行调整;同时在控制菜单中也提供了对红,绿,蓝三原色的调整选项,菜单设计也很合理。
三星SP-L305的滑动镜头盖设计同样是关闭即自动进入降低亮度的节能状态,搭配独特的风道防尘滤网,可以较好地实现防尘功能。其接口设置也比较齐全,除了常见的D-Sub、S-Video和RS232接口以外,特别提供了支持HDCP的HDMI接口,更能适应用户对数字信号及音画同步输入等方面的需求,而内置的3W×2扬声器也让它在播放时可以真正实现立体声音效。另外,它同样也支持通过RS232接口进行的网络监控和控制功能。
- 上一篇:畜牧兽医的认识
- 下一篇:城市道路照明设计规范