安全接入平台范文(精选10篇)
安全接入平台 第1篇
中国人民银行重庆营业管理部 (以下简称“重庆营管部”) 在深入调研小微机构业务需求的基础上, 主动构建安全可靠的小微机构接入平台 (以下简称“接入平台”) , 积极为重庆市小微金融的健康发展提供技术管理支撑。
一、构建接入平台
(一) 接入原则
根据人民银行网络管理的要求, 重庆营管部接入平台建设遵从集中接入原则、安全性原则和可靠性原则。重庆辖区小微机构集中接入由重庆营管部提供的统一网络接入点;接入小微机构须具备必要的信息安全措施, 如安全管理制度、网络有效隔离、访问控制、身份认证以及防信息泄露等;人民银行端、小微机构的设备和线路需保证可靠性和可用性, 确保业务的连续性。
(二) 接入方式
重庆营管部综合比较了专线直联接入、运营商MPLS VPN网络和第三方机构间联接入这3种接入方式。
在统筹考虑安全、效率和成本等因素下选定了MSTP数字专线直联接入方式, 即小微机构通过数字专线独立、直接地接入重庆营管部的网络接入点。
(三) 平台硬件环境
接入平台硬件环境由网络设备、安全设备和电信运营商汇聚节点3部分组成。
1. 网络设备方面。
由于小微机构接入数量较多 (本批次接入近100家, 后续数量或将继续增长) , 外联网络设备确定为一款数据中心级高性能路由器。
2. 安全设备方面。
为加强系统和数据安全, 配置了安全认证网关, 实现用户身份认证和数据加密。
3. 运营商汇聚节点方面。
协调3家电信运营商 (电信、联通、移动) 在重庆营管部建设小微机构传输汇聚节点, 实现重庆辖区3家主要的运营商的全接入。接入平台硬件环境如图1所示。
二、平台技术管理
为进一步提高系统、网络、业务的安全性和可靠性, 重庆营管部主要采取以下技术管理措施。
(一) 网络防护
1. 小微机构端。
一是要求小微机构接入网络与其内部网络和互联网有效隔离;二是接入网络须部署硬件防火墙与重庆营管部核心网络的逻辑隔离;三是严格限制接入网络网关路由, 有效控制网络数据流向;四是接入网络防火墙需配置端口级的访问控制策略, 严格控制协议类型和进出网络流量。
2. 人民银行端。
利用异构安全设备实现网络域分区和多层安全隔离, 同时在网络设备和安全设备上利用访问控制策略严格限制网络数据流, 配套部署入侵检测系统等安全设备实时监控网络异常流量。
(二) 通信传输
一是利用数据封装, 针对不同小微机构实现网关间一对一的协议封装, 有效隔离和保护不同小微机构的数据流。二是采取应用加密, 利用安全认证网关, 采用IPSEC VPN加密实现小微机构业务终端到重庆营管部安全认证网关的数据传输加密。
(三) 身份认证
身份认证采用UKey数字证书的方式, 为每家接入小微机构签发数字证书并配发UKey, 小微机构访问业务系统须插入加载数字证书的UKey, 从而实现小微机构身份认证。
(四) 业务终端
一是小微机构业务终端须安装正版操作系统和应用软件, 并及时升级操作系统补丁。二是业务终端须安装防恶意代码系统并及时升级。三是严格控制业务终端VPN客户端版本, 仅合规版本可通过安全网关认证。四是VPN客户端严格控制业务终端网络访问, 连入VPN后业务终端无法进行非授权网络访问。
三、建设成效
(一) 接入平台安全可靠
重庆营管部接入平台采取专线接入、协议封装、路由限制、协议控制、应用加密、身份认证等多种安全措施, 从通信传输、网络安全、边界安全、应用安全、终端安全等多个层面, 构筑了立体安全防护体系, 有效保障了网络、系统以及数据的安全。
(二) 平台架构易于扩展
重庆营管部接入平台的扩展性较强, 能够较好地适应业务需求变化, 主要体现在以下2个方面。
1. 业务应用扩展。
接入平台选择了端到网关的IPSEC VPN加密方式, 较之SSL VPN, 可兼容更多应用协议, 便于业务应用的进一步扩展。
2. 架构冗余扩展。
目前, 在综合考虑业务连续性和平台建设成本的情况下, 重庆营管部接入平台暂未实现全冗余体系架构。但现有体系架构设计可支持线路、设备、协议、应用等各环节的冗余扩展, 后期可根据业务发展需要迅速、平稳地过渡至冗余体系架构。
(三) 网络接入灵活多样
短信服务平台接入申请函 第2篇
尊敬的XXX:
由我单位XXX为XXX承建的“XXXX管理平台”,已于2018年1月15日上线试运行;该平台计划于2018年6月15日进行运维移交。
在试运行期间,该平台的短信息发送通信传输服务,需通过贵中心现有的短信平台服务才可实现。
因此我单位特向贵中心提出,申请使用贵中心短信平台服务并支付因此产生的相关费用。本次申请增续短信服务一万条,具体内容详见附件:《短信服务协议》。
请贵中心予以支持,谢谢!
申请单位名称:XXXXXXXXXXXXX 日
安全接入平台 第3篇
信息网络安全接入平台通过对信息网络安全接入技术的研究, 为智能电网各环节业务应用提供安全接入与传输通道, 满足电力公司对各种业务终端通过各类传输通道的安全接入需求, 为构建智能电网主动安全防御体系奠定了坚实的基础。为满足电力公司对统一视频平台的需求, 需开展电网统一视频监视平台的推广建设工作。推广建设电网统一视频监控平台, 需要统一标准接口、协议、信令, 实现前端视频系统集中接入和业务集成应用, 整合视频资源, 提高电力公司视频监控系统应用和管理水平。因此, 视频监控系统的提供商就面临一个问题, 即如何将视频流数据安全高效的接入统一视频监控平台, 而这就是本文研究的重点。
1 视频监控系统
输电线路视频监控系统的一般架构为监控前端, 服务器以及客户端。前端完成视频数据采集编码发送等;服务器实现整个系统的控制, 完成视频数据的转发, 控制指令的传递以及所有前端系统的管理等;客户端则是直接呈现输电线路现场情况。
图1为具有安全接入平台的视频监控系统架构。通过安全接入平台将整个系统隔离为两个网络, 即VPN网和内网。安全接入平台是指指数数据据从从外外网网到到内内网网传传输输必必须须进进行行的数据检测与与管管控控, , 只只有有在在装装有有安安全全接接入入平平台台的服务器上, 才才能能传传输输数数据据到到内内网网。。在在VVPPNN网网络中, 包含监监控控前前端端、、VVPPNN网网络络代代理理服服务务器器及VPN客户端端。。内内网网中中包包含含主主站站系系统统、、内内网网代代理服务器及内内网网客客户户端端。。主主站站系系统统是是专专指指部部署署在电力公司内内网网侧侧的的系系统统组组成成部部分分, , 包包括括线线路CAG (状态态接接入入网网关关) ) 、、集集中中数数据据库库、、数数据据服务、数据加加工工以以及及电电力力公公司司一一侧侧管管理理系系统统中中状态监测功能能模模块块。。
服服务务器器作作为为整整个个系系统统的的枢枢纽纽, 需要对各种种应应用用的的视视频频进进行行分分发发, , 主主要要包包括括外网客户端和内网客户端。针对以上两种环境, 需要实现两种服务器架构:
1) 外网VPN客户端。前端可作为IP摄像头, 客户端直接连接IP摄像头获取视频。
2) 内网客户端。内网客户端不能直接与视频监控前端通信, 需要通过代理服务器转接。
与普通的监控系统相比, 电力系统对于数据安全的要求更为严苛, 本系统的数据需经过电力公司统一安全接入平台才能进入电力公司内网。视频数据需要在内网客户端即视频统一监控平台展示, 因此, 本文的工作重点就是解决电力系统内部网络接入问题。
2 模拟前端
电力公司内网管理系统的视频模块采用的是电网视频统一平台, 此平台采用SIP协议进行信令通信, 使用RTP[9]协议传输视频流。SIP (Session Initiation Protocol, 会话发起协议) 是一个应用层的信令控制协议。RTP (Real-time Transport Protocol, 实时传输协议) 是一个网络传输协议。
如图1所示, 监控前端处于VPN网络, 不能直接与内网服务器进行网络通信。要与部属在电力公司内网的电网视频统一平台服务器进行网络通信, 需在电力公司内网模拟出监控节点, 模拟节点可以直接和电网视频统一平台服务器系统进行通信, 也可以间接和视频监控前端进行通信。本系统的视频模拟节点应用了SIP和RTP网络传输技术, 与电网视频统一平台服务器系统进行了协议对接。包含模拟前端的系统架构如图2所示。
客户端展示视频的操作流程如下:
1) 电网视频统一平台视频客户端向电网视频统一平台发出邀请视频指令;
2) 视频统一平台接收到指令后, 发送获取视频指令至模拟前端;
3) 模拟前端受到视频邀请指令向视频服务器邀请视频;
4) 模拟前端收到视频流后发送至视频统一平台;
5) 视频统一平台发送视频流到电网视频统一平台视频客户端;
6) 电网视频统一平台视频客户端收到视频数据后解码显示。
3 系统信令接入
系统信令接入采用SDP[10] (Session Description Protocol:会话描述协议) 标准。系统信令接入主要包含:注册、资源上报、资源信息获取、调阅实时视频、云镜控制等。
注册
实现前端系统接入平台的连接注册, 主要包括注册、刷新注册、认证、注销等。注册过程采用SIP协议中的REGISTER方法, 认证数字摘要算法采用MD5。MD5 (MessageDigest Algorithm 5, 信息-摘要算法第五版) , 用于确保信息传输完整一致。
系统注册的接口流程见图3, 主要功能流程如下:
a) F1:前端系统向平台发送注册请求;
b) F2:平台发送401响应, 提示注册需鉴权;
c) F3:前端系统携带鉴权信息, 重新发送注册请求;
d) F4:平台认证通过, 发送200 OK响应。
资源上报
资源上报, 实现前端系统将在线前端设备的资源和状态信息上报给平台。资源上报过程采用SIP协议中的NOTIFY方法, 消息体用XML封装。资源上报流程类似注册流程, 主要功能流程如下:
a) F1:前端系统向其注册平台发送上报资源信息的SIP消息;
b) F2:平台确认, 发送200 OK响应。
资源信息获取
资源信息获取, 实现平台对前端设备的资源信息进行查询, 如摄像机表、告警设备表等。资源查询应采用SIP协议中的会话外MESSAGE方法, 消息体采用应XML封装。主要功能流程如下:
a) F1:用户向前端系统首次请求资源信息;
b) F2:前端系统返回200 OK, 携带前端系统的资源信息。
调阅实时视频
调阅实时视频, 实现平台调阅前端设备的实时视频数据, 建立及释放实时连接功能。为保证会话安全, 连接采用RTCP安全检测机制。调阅实时视频采用SIP协议中的INVITE方法, 采用SDP描述进行媒体协商, 采用RTP/RTCP封装和传输媒体数据。图4为实时视频接口流程, 具体细节表述如下:
a) F1:用户发送INVITE消息, 携带SDP内容通过平台转发到前端设备;
b) F2:按照SIP要求, 如前端系统在0.5s内未能处理该请求, 则先发送1xx临时响应通过平台转发到用户;
c) F3:前端系统接受了调阅请求的操作, 则发送携带SDP的200 OK响应通过平台转发到用户;
d) F4:用户发送ACK通过平台转发到前端设备;
e) 视频流从前端系统传输经平台转发到用户;
f) F5:用户结束会话, 发送BYE消息到通过平台转发到前端系统;
g) F6:前端系统发送确认, 将媒体通道拆线。
云镜控制
在视频浏览的过程中实现云镜控制。云台控制包括云台的上、下、左、右转动, 轮巡设置以及调用, 预置位的设置及调用, 云台转动的步长设置等。镜头控制包括变倍、调焦、光圈控制。云镜控制采用SIP协议的会话外MESSAGE方法, 采用XML封装消息体。主要流程如下:
a) F1:系统1的用户发送MESSAGE消息, 请求对系统2的前端设备发起云镜控制请求, 请求的消息体中包括控制码等参数;
b) F2:系统2依据相应指令, 操作云镜设备, 成功后, 返回200 OK响应。
4 视频流接入
系统视频流接入国家电网视频统一平台采用RTP/RTCP标准, 将视频流数据打包成PS格式的RTP包, 发送至视频统一平台。
RTP本身只负责传输实时数据, 并不能按序列传送数据包以及提供安全可靠的数据传输机制, 也不提供拥塞控制或流量控制, 但是它可以依靠RTCP提供这些服务。RTCP (Realtime Transport Control Protocol, 实时传输控制协议) , 负责传输当前应用进程间的控制信息。在RTP会话期间, 各个参与者定时地传送RTCP包, 此数据包含有已发送的RTP包的数量、丢失的数据包序列以及数量统计资料, 因此, 服务器可以根据这些RTCP包信息动态地调整传输速率, 甚至改变有效载荷类型以适应网络带宽来提高数据传输效果。
RTP和RTCP协同工作, 能够以最小的网络开销和有效的信息反馈得到最佳的传输效率, 因而特别适于传送音视频数据。
视频流接入视频统一平台结构如图5所示, 具体流程如下:
1) 视频统一平台客户端查看视频, 发送查看视频指令至视频统一平台;
2) 视频统一平台收到查看视频指令, 发送指令到模拟前端节点;
3) 模拟前端节点收到视频查看指令, 发送查看视频指令至视频转发服务器;
4) 视频转发服务器检测到有视频查看指令, 转发此指令至视频监控前端;
5) 视频监控前端收到视频查看指令, 发送实时视频流至视频转发服务器;
6) 视频转发服务器转发视频流至模拟前端节点;
7) 模拟前端节点收到实时视频流, 打包视频流为PS格式的RTP包, 发送此包至视频统一平台;
8) 视频统一平台收到RTP包, 转发至视频统一平台客户端;
9) 视频统一平台客户端收到视频流, 解码显示。
视频接入工作主要在模拟前端节点完成, 模拟前端节点在Linux平台上实现。Linux平台上已经有一些开源的库, 如JRTPLIB[11]、LIBRTP等。本文使用JRTPLIB提供的接口来进行软件设计。JRTPLIB是一个面向对象的RTP库, 由C++语言实现, 可在多种操作系统上使用。
在使用JRTPLIB库进行实时流媒体数据传输之前, 首先实例化RTPSession类, 初始化如时间戳等参数, 设置本地数据传输端口, 调用Create () 方法创建此次会话。调用RTPSession类的Add Destination () 方法设定目标地址和端口, 并设定承载音视频的类型和时间戳增加值。指定目标地址之后, 调用RTPSession类的Send Packet () 方法发送数据。向目标地址发送流媒体数据。电力公司视频统一平台客户端查看视频实例如图6所示。
5 结束语
随着国家加快智能电网建设的速度, 对视频应用的要求越来越高, 电力公司开展了电网统一视频监视平台的试点建设, 基本实现视频资源整合和业务功能集成应用等预期目标。本文通过对电力公司视频统一监控平台和安全接入平台的研究, 实现了信令和视频的数据接入工作, 解决了视频流数据的安全管控问题, 为安全接入平台的进一步推广打下了基础。
参考文献
[1]余贻鑫, 栾文鹏.智能电网的基本理念[J].天津大学学报, 2011, 44 (05) :377-384.
[2]辛清影.智能电网构建智慧未来[R].中国电力报, 2014-01-01 (6) .
[3]陈安伟.智能电网技术经济综合评价研究[D].重庆大学, 2012.
[4]《支撑智能电网信息安全防护的安全接入平台产业化》项目启动会召开[J].信息安全与通信保密, 2012 (11) :11.
[5]于翔.扬州智能电网信息平台的安全防护研究[D].华北电力大学, 2012:14-20.
[6]张钊, 洪功义, 朱斌等.统一视频监控平台在梯级水电站集控中心的设计与应用[J].电力信息化, 2012, 10 (11) :63-68.
[7]周伟才, 谭卫成.高压架空输电线路视频在线监测系统研究[J].广东电力, 2011, 24 (07) :41-44.
[8]王国胜, 张声圳.输电线路防外力破坏监测系统的研究[J].陕西电力, 2013 (08) :64-67.
[9]褚典, 江春华, 郝宗波等.基于SIP、RTP/RTCP和RTSP协议的视频监控系统[J].计算机与现代化, 2013, (11) :139-142.
[10]王荣生.SDP协议在视频点播系统中的应用[J].计算机应用与软件, 2005, 22 (01) :74-76.
接入网安全生产心得体会 第4篇
8月2号晚上,召开了兴网业安全生产大会,并对前段时间公司安全生产情况进行总结。并对2011年的安全生产工作提出了要求,作为接入网的负责人,我受到很大的教育,感受很深。对自己的职责有了更深的理解和感悟。
工作在一线的工作人员责任重大,我们每一个人都关系着一个家庭的幸福,我们的安全,牵系着母亲的心,牵系着儿女的心,更是维系着幸福家庭的纽带!我真心期望,每一位通信施工工人,在工作的时候,千万要当心,为了自己。
安全!我不知道大家是怎么理解这么词的涵义的,但是我知道安全对于一个通信行业的工作者来说是多么的重要。通信安全涉及到各行各业千家万户,安全工作千万不要掉以轻心,它不仅关系到我们个人的安全,也关系到他人的安全。通信职工队伍是一只能吃苦,讲奉献的队伍,这是我们从事通信工作以来最大的感受。为了确保通信施工安全,为了规范通信施工市场,我们我们通信职工付出的多,得到的少,如果再不注意安全,不把安全时时刻刻记在心头,那么我们职工的生命就会受到威胁,因为大家都知道“水火无情”,但如果对安全麻痹大意,某些电力设施就像一个隐形的杀手。我更想说的是,工作在生产一线的工人责任重大,我们每一个人都关系着一个家庭的幸福,我们的安全,牵系着母亲的心,牵系着儿女的心,更是维系着幸福家庭的纽带!我真心期望,每一位通信施工工人,在工作的时候,千万要当心,为了自己,为了家庭,为了孩子,保护好自己,杜绝一切悲剧发生,工作前一定要进行“三措一点”的分析,千万不要违章作业,真正的做到:“高高兴兴的去上班,安安全全的回家”,因为安全责任重于泰山。
我们要把“安全重于泰山”牢记在心头,树立“居安思危”的忧患意识,把安全提到讲政治的高度来认识。
我们每一个通信施工职员都不能高枕无忧,一定要不断的加以改进。通信施工事业是充满朝阳的事业,通信施工企业是不畏艰苦、团结协作、无私奉献。
网络安全接入控制技术研究 第5篇
随着Internet的快速发展,Intranet作为因特网技术运用于单位、部门和企业专用网的产物,也得到迅速普及发展。Intranet并非是地域上的概念,而是在信息空间上的虚拟网络概念,如一个国家外交系统的内域网用户可能分布全球。它在原有专用网的基础上增加了服务器、服务器软件、Web内容制作工具和浏览器,与因特网连通,从而使内域网充满了生机和活力。内域网为公司和单位信息的散播和利用提供了极为便利的条件。浏览器为网上用户提供信息,服务器对网络进行管理、组织和存储信息,并提供必要的安全服务。通常情况下,Intranet中则存有大量的单位内部的敏感信息,具有极高的商务、政治和军事价值。因此,Intranet是一种半封闭甚至是全封闭的集中式可控网,其安全保密是至关重要的,要保证内域网不被非法入侵和破坏,网中的敏感信息不被非法窃取和篡改,同时还要保证网内用户和网外用户之间正常连通,向他们提供应有的服务。这些安全业务都需要一个完善的接入控制机制。
1 网络安全接入控制技术概述
接入或访问控制是保证网络安全的重要手段,它通过一组机制控制不同级别的主体对目标资源的不同授权访问,在对主体认证之后实施网络资源的安全管理使用。
通常,我们认为计算机系统中有3类入侵者:
伪装者(Masquerader):非法用户,乔装合法用户渗透进入系统,一般来自系统外部;
违法者(Misfeasor):合法用户,非法访问未授权数据、程序或资源,一般来自系统内部;
地下用户(Clandestine user):掌握了系统的管理控制,并利用它来逃避审计和接入控制或抑制审计作用,可能来自系统的外部或者内部。
针对以上3类入侵攻击,接入控制基本功能包括以下3个:阻止非法用户进入系统;允许合法用户进入系统;使合法用户按其权限,来进行各种信息活动,不得有越权行为。
实现安全的网络接入控制的机构模型组成如图1所示。该模型包括两部分:
用户的认证与识别;
对认证的用户进行授权。
接入控制实现模型的建立主要是根据如下3种类型的信息:
主体(Subjects):是对目标进行访问的实体。主体可以是用户、用户组、终端、主机或者是一个应用程序。
客体(Objects):是一个可接受访问和受控的实体。它可以是一个数据文件、一个程序组或一个数据库。
接入权限:表示主体对客体访问时可拥有的权利。接入权要按每一对主体客体分别限定,包括读、写、执行等。读、写权含义明确,而执行权是指目标为一个程序时它对文件的查找和执行。
概括地讲,实现安全接入控制的策略包括:
最小权益策略:按主体执行任务所需权利最小化分配权力;
最小泄露策略:按主体执行任务所知道的信息最小化的原则分配权力;
多级安全策略:主体和客体按普通、秘密、机密、绝密级划分,进行权限和流向控制。
2 网络安全接入控制技术的实现
下面从两个角度讨论网络安全接入控制技术的实现。图2给出了一个简单的接入控制的实现框图。从工作方式上,网络接入控制的实现可分为如下两类:
(1)自主式网络接入控制
也称辨别接入控制,简记为DAC。它由网络资源拥有者给用户分配接入权,在辨别各用户的基础上实现接入控制。每个用户的接入权由网络系统的管理者事先建立,常以接入控制表或权限表来实现。这一方法灵活,便于合法用户访问相应的数据,在安全性要求不高的网络环境下可采用。但如果系统管理员疏于管理或者接入控制策略设置有误时,就会危及到网络系统和资源的安全。因而,DAC容易受到攻击。
(2)强制式网络接入控制
简记为MAC。它由网络系统管理员来分配接入权限和实施控制,易于与网络的安全策略协调,常用敏感标记实现多级安全控制。由于它易于针对所有用户和资源实施强化的安全接入策略,因而有较高的安全保障。
另外,针对不同的应用环境,网络接入策略也有不同应用模式。下面分别介绍目前有线网络和无线网络环境下,主要的网络安全接入技术的实现。
(1)有线网络系统中的安全接入控制技术
在有线网络系统中,通常情况下安全接入控制技术都是与防火墙技术结合使用,来保障一个Intranet的内部资源不被非法用户获得,同时给合法用户提供合理的Internet接入服务。下面结合一个有线网络环境的实例(如图3所示),来说明如何使用网络接入控制来实现Intranet到Internet的接入安全管理。
在图3中,虚线以下构造了一个Intranet,其中两处为网络接入控制点,分别说明如下:
1接入控制点1即Intranet与Internet的连接点,该处的接入控制功能通常由防火墙完成。由于控制点1直接与Internet连接,其受到入侵攻击和非法接入的可能性最大,因而也是最危险的位置。下面以屏蔽子网模式的防火墙配置为例,说明接入控制点1的网络接入控制安全要求有:
允许所有用户的电子邮件业务(SMTP);
允许DNS查询;
允许Intranet内的局域网用户有限制地访问Internet;
控制外部的IP与内部主机的直接连接;
根据外部主机使用者的身份分配临时访问权限,并给出访问地址权限列表;
根据黑名单地址,屏蔽所有可疑的连接请求;
负责入侵审计和追踪,记录所有与安全相关的网络活动。
2接入控制点2即为拨号用户或DDN和ISDN接入的用户提供的接入服务。这里通常有两种情况,即对Internet的接入和对内部资源的接入。其安全接入策略包括:
对于拨号用户,接入服务器通过用户口令确定用户身份,从而提供相应的接入业务。另外,接入服务器采用回拨技术确保用户身份的有效性。
对于DDN或ISDN的用户,通过捆绑逻辑IP地址与实际的MAC地址,实现面向主机的用户身份认证,并提供相应的接入业务。
根据拨号用户的身份分配临时访问权限,并给出访问地址权限的列表。
(2)无线网络系统中的安全接入控制技术
目前,网络安全接入技术主要应用于宽带无线接入网络和无线LAN的构建上,如蓝牙系统、无线IP系统等等。通常在无线网络中,不仅要考虑本地无线用户的接入,移动用户的安全接入也是系统的一个重要安全要求。下面结合图4,来简单说明在无线网络系统中应用的安全接入技术。
1接入控制点1即每个小区的无线接入点,负责该小区内的移动终端的无线接入服务。它的主要安全工作就是确保当前接入的用户有该接入权限。该接入点主要的工作包括:
为小区内的本地移动用户提供接入服务,通过验证用户口令和校验用户的MAC地址来确保用户的身份。出于安全的考虑,通常情况下,用户口令以密文形式提交给接入点。
为小区内的漫游用户提供接入服务。通常,漫游用户将根据信号强度和监测到的包错误率,选择其中性能最好的一个接入点并与之联系,请求接入。接入点则通过联系根服务器来确定该用户的身份。
2接入控制点2主要负责对系统资源的接入控制。该接入点的工作包括:
验证小区内用户身份并分配临时权限,以访问其权限内的资源。
验证来自Internet的用户身份并分配临时权限,以访问其权限内的资源。
控制来自Internet用户与当前小区内的用户建立连接,并进行安全检查,作审计和日志工作。
3 总结
以上对当前网络安全接入技术作了简单的介绍,并讨论了在不同的环境下,网络安全接入控制技术的实现。到目前为止,有线网络环境下的安全接入控制技术较为成熟,安全性也较高;而在无线网络系统中,现有的接入控制技术还不是十分成熟,其主要的接入控制多集中于MAC层的访问控制和WEP(Wired Equivalent Privacy)加密机制,但安全性较低,容易遭到IP欺骗攻击或被非法用户解密接入口令(因为WEP中的密钥长度仅为40bit)。因此,如何提高无线网络系统中的安全接入控制技术是当前的一个研究热点,一个可能的思路是将PKI(Public Key Infrastructure)引入无线网络系统的安全设计中。□
参考文献
1王育民,刘建伟.通信网的安全—理论与技术.西安:西安电子科技大学出版社:1999
2 Denning D E.An intrusion-detection model. IEEE Trans on Software Engineering,1987,SE-13(2):222—232
3 王常杰,秦浩,王育民.基于IPv6防火墙设计.计算机学报,2001,24(2):219—223
4 Amoroso E G.Fundamentals of Computer Security Technology.Prentice Hall Inc,1994
(收稿日期:2001-07-09)
作者简介
思杰助力企业用户接入跨平台云服务 第6篇
随着云计算时代的到来,企业用户可以选择多种作为云服务提供的应用程序和数据中心资源,然而连接到这些服务时往往涉及安全性和不兼容等问题。Citrix Open Cloud Access和Citrix Open Cloud Bridge的发布为企业用户解决了这些难题,它将能帮助企业更简便地迁移到下一代云架构。通过它们,企业内部资产所具有的安全性、合规性、身份管理等可以很容易地延伸到外部资产,IT管理员能够自由地为每个应用程序选择最优配置模型。
Citrix Open Cloud Access实现了单次登录即可访问所有流行的Saa S应用程序、托管Laa S或私有云平台上的企业Web应用程序,以及企业内部的Web和Windows应用程序,无论应用身处何地,使用体验毫无二致。这对IT管理员而言,无需再单独管理与日俱增的外部应用程序之间的众多“身份孤岛”,大大简化了访问和权限管理工作。
Citrix Open Cloud Bridge则能够让企业用户更方便地连接外部云网络,快速访问和管理基于云的资源,作为自有网络的无缝延伸。它通过安全、透明地将企业隔离区(DMZ)延伸到云,使服务供应商提供的云环境看起来就像同一安全网络的一部分,应用程序从企业数据中心迁移到外部云环境时,无需修改网络、安全和访问配置,反之亦然。
另一方面,在免费版本和飞速创新的有力驱动下,Xen Server的市场份额继续迅猛增长,在桌面虚拟化和云计算等高增长领域的渗透也更加广泛。如今,全球已有超过50 000家企业部署了Xen Server用于服务器虚拟化,其中包括财富全球500强中的半数企业。Xen Server每天激活的新服务器数均超过1000台。
新版Xen Server采用的Intelli Cache技术大大提升了桌面虚拟化最流行的形式之一———托管VDI(Virtual Desktop Infrastructure)部署的成本效益,将临时桌面读写流量从昂贵的SAN和NAS存储系统转移到服务器端物理主机的硬盘或固态硬盘(SSD)上,解决了以往VDI解决方案需要对数据中心进行大量前期投入的难题。与此同时,新版Xen Server通过集成分布式虚拟交换机(DVS)技术,使IT管理员能够管理全球范围内的网络流量,改善流量隔离,将网络政策和“个性”绑定到每台虚拟机上,支持服务在数据中心和外部云环境之间进行无缝迁移。
此外,Xen Server新的虚拟机保护和恢复功能允许IT管理员对虚拟机磁盘和内存状态进行自动截图,并将图像存档到指定位置,确保对关键数据的连续保护。通过新的Web管理控制台,管理员还能以简便的方式让应用程序所有者直接访问各自所负责的虚拟机。
思杰系统公司大中华区总裁曹衡康表示,“针对桌面和云计算的创新是思杰的首要任务之一。云计算和桌面将成为IT虚拟化的下一个前沿阵地,在思杰长期主导的市场上,它们同样也将是前沿阵地。思杰在这些市场多年的运营给了我们深刻的洞察力,使我们能不断为客户提供创新和价值。”
安全接入平台 第7篇
随着苹果公司Iphone5的正式发布, 以及客户对Iphone5的追捧热度持续升温, 标志着3G高速移动互联网业务全面进入发展快车道。在国内3G业务发展初期, 电信运营商着重强调培养用户的高速接入移动互联网的业务使用习惯, 侧重宣传网络覆盖、电信资费、手机终端及服务优势, 随着网络进一步优化和完善、套餐优化及服务的进一步提升, 客户对运营商的固网移动业务需求提出更高的要求。因此, 电信运营商需要一种基于固网移动业务运营平台来综合提升其运营能力。
2 领航平台总体目标
为了全面提升电信运营商对固网移动业务的管理和运营支撑能力, 领航平台总体目标是:定位于固网/互联网/移动网/融合的信息化应用和行业解决方案的接入、客户使用、业务管理、SI管理和能力的接入与管理, 采用集团领航平台和省领航平台两级体系架构, 实现应用统筹、能力开放、SI合作管理和一站式服务。
3 领航平台业务层级架构
领航平台在网络架构上, 采用全国中心领航平台和省平台两级进行管理。
全国中心领航平台主要支撑全国性领航业务, 为全国用户提供统一的业务使用界面, 支持全国统一部署产品和全国性能力的接入和管理, 提供服务集成商合作管理如图1, 具体包括管理子系统和行业综合汇聚网关两个部分, 两部分物理实体独立。管理子系统主要实现对全国性产品、服务集成商和能力的管理, 行业综合汇聚网关主要实现协议适配和封装、路由等功能, 全国中心领航平台行业综合汇聚网关可提供接入固网、移动网、互联网和融合的能力。
省领航平台支持统一部署产品、省级产品和省级能力的接入和管理。省领航平台包括管理子系统和省行业综合汇聚网关两个部分, 两部分功能在同一物理实体上实现, 逻辑上相互独立。管理子系统主要实现对省级产品和能力的管理。省行业综合汇聚网关主要实现协议适配和封装、路由等功能, 省行业综合汇聚网关可提供接入固网、移动网、互联网和融合的能力。省行业短信网关是针对行业应用短信业务专门设立的省短信网关, 由省领航平台进行管理、省行业综合汇聚网关进行接入, 实现省行业短信能力的调度和认证鉴权。
全国中心领航平台管理子系统与省级领航平台管理子系统对接, 集团领航平台管理子系统向省领航平台管理子系统发布统一部署产品信息;省领航平台管理子系统向集团领航平台管理子系统同步统筹统施、统筹分施产品的业务信息;集团领航平台行业综合汇聚网关与各省的省行业综合汇聚网关对接, 实现能力调用请求的转发。
4 省级领航平台功能构成
省级领航平台作为省级业务的汇聚中心, 具备面向客户使用、业务能力管理、受理与开通、认证与计费方面的能力, 在能力提供方面包含五个主要部分, 分别为频道接入、业务管理、能力管理、能力接入和外部接口部分, 平台的功能架构如图2。
频道接入通过频道将领航平台的业务展现给客户使用, 是领航平台展现给客户使用的重要窗口, 客户可通过互联网、移动3G终端、领航平台客户端等方式登录访问领航平台并使用业务。
业务管理是面向产品和营销提供应用支撑功能、面向平台提供运维支撑功能的集合界面, 具体包括业务管理、业务支撑、计费结算、服务保障、系统管理等功能。
能力管理实现领航平台对能力的管理, 包括生命周期管理、能力鉴权、黑白名单管理、能力计费和接入号管理、策略管理等功能。能力接入为所有服务集成商和客户系统提供了统一的能力使用接口, 包括协议封装、能力访问控制、管理功能、协议适配等, 该部分功能模块在行业综合汇聚网关中实现。能力接入部分可提供接入移动、互联网和融合的能力。
外部接口部分是领航平台与电信内部各系统及合作伙伴各应用系统之间的功能集合, 主要为领航平台提供支撑及应用扩展功能。外部接口主要包括IT系统接口、省级UDB接口、产品接入接口、行业短信网关、ISAG和集团领航平台接口等。
5 网络拓扑结构
图3为某省级领航平台的网络拓扑图, 该省级平台通过两台Eudemon 1000E防火墙连接Internet和CN2网络, 上联设备连接至NE80E, 两台防火墙的Inside区和左侧DMZ区接口分别接连至两台Cisco设备Catalyst3550交换机, 右侧DMZ接口分别接连至两台Cisco设备Catalyst2950交换机, 两台Catalyst3550交换机之间通过trunk互联, 各应用服务器通过双网线分别接入到此两台交换机。另外, 两台Catalyst2950交换机之间通过trunk互联, 区服务器通过双网线分别接入到此两台交换机。两台防火墙与Cisco2950交换机连接到DCN网络配件间Cisco2950交换机, Web服务器和集团接口服务器与两台四层交换机 (F5-BIG-LTM-3900-8G-R) 相连接, 省级能力接入服务器, 认证服务器、IT接口服务器均做负载均衡处理, 两台数据库服务器通过软件做主备双机热备份, 双网线分别连接到两台Cisco 3550交换机。
6 与领航平台相关的系统
6.1 客户关系管理系统
客户关系管理系统 (以下简称CRM) 面向领航平台的客户管理及销售品定购管理, 客户的定购关系以CRM为准, 其保存领航平台的所有客户数据、产品数据、定购关系数据, 用于支撑上述所有数据的集中存储与展现, 满足市场前端的统一查询、客户服务、经营分析等需求, 另外CRM可向领航平台同步客户和定购关系数据, 客户服务和营业数据;对于反向客户订购数据的处理, CRM系统负责纳入领航平台管理的产品, 由领航平台负责产品管理、可在领航平台定购, 并将产品数据及其定购关系同步给CRM系统。
6.2 计费结算系统
领航平台负责加载本平台运营各业务话单的采集工作, 并向计费结算系统提供相应格式的业务清单, 领航平台负责向计费结算系统提供一次批价后的清单, 由计费结算系统负责优惠、合帐、减免等二次批价功能。省领航平台将业务清单同步给省计费结算系统;全国领航平台将业务清单同步给全国计费结算系统。省计费结算系统和全国计费结算系统分别进行批价, 省计费结算系统向全国计费结算系统提供全国一站式客户的详单, 全国计费结算系统向省计费结算系统提供省级客户的计费详单。省计费结算系统生成本省服务集成商结算单, 并将本省服务集成商结算单同步给省领航平台。省领航平台能够及时将本省服务集成商结算信息向服务集成商反馈。全国计费结算系统生成集团服务集成商结算单, 并将集团服务集成商结算单同步给集团领航平台。集团领航平台能够及时将集团服务集成商结算信息向服务集成商反馈。
6.3 网上营业厅
网上营业厅承接了客户自服务门户, 向客户提供客户账单查询、产品咨询等功能, 领航平台客户频道可向网上营业厅提供链接, 由客户频道向领航客户提供产品定购申请、领航用户管理、用户产品绑定等功能。通过中国电信客户统一认证系统 (UDB) , 网厅与领航平台的客户频道实现单点认证, 在网厅登录后可直接进入领航平台的客户频道使用已经定购的领航平台相关产品。
6.4 客户统一认证系统
集团级层面, 客户办理统一账号业务时, 全国UDB通过集团领航平台接受领航客户数据;用户在领航平台进行商航账号与统一账号绑定时, 全国UDB接收领航账号与统一账号的绑定关系;用户登录领航平台使用业务时, 全国UDB平台负责接受集团领航平台发送的用户统一和账号密码, 协助领航平台完成用户的登录认证请求。
省级层面, 客户办理统一账号业务时, 省UDB通过省领航平台接受领航客户数据;用户在领航平台进行商航账号与统一账号绑定时, 省UDB接收领航账号与统一账号的绑定关系;在用户登录省领航平台使用业务时, 省UDB平台负责接受省领航平台发送的用户统一账号和密码, 协助省领航平台完成用户的登录认证请求。
7 领航平台与各业务平台的开通与使用
业务受理开通时, 领航平台负责将CRM发送至领航平台的开通单转发给业务平台, 业务平台进行相关的业务数据配置。
业务鉴权使用时, 领航平台负责用户使用产品的鉴权, 负责产品使用领航平台能力的鉴权。对于某些电信自营业务, 领航平台可认为其为可信任平台, 由业务平台自身完成业务或能力的鉴权, 并将相关信息同步给领航平台, 以满足自营业务多样性的要求。对于非自营电信业务, 要求必须在领航平台进行业务鉴权, 通过后, 方可使用业务。
业务计费结算时, 对于非自营类业务, 业务平台将本平台业务使用清单发送给领航平台, 领航平台汇总整理完成一次批价后发送给计费结算系统;对于部分自营业务平台或brew等尚未纳入管理平台管理的业务平台, 也可由业务平台自行提交业务使用清单给计费结算系统。
8 系统接口
全国中心领航平台和省级领航平台内部系统之间和与周边系统之间的接口如图4所示。
全国中心领航平台管理子系统、省级领航平台管理子系统分别完成与全国、省级CRM、计费系统、网管系统、UDB平台的对接;集团行业综合汇聚网关、省级行业综合汇聚网关分别实现能力提供系统、移动业务网络全国业务接入网关 (NSAG) 、行业短信网关, 综合业务接入网关 (ISAG) 、省级行业短信网关、通信录的数据交互与鉴权工作。各系统的功能与外围系统之间的有机结合, 形成业务开通、清单采集、业务数据同步、产品认证, 客户、用户、定购关系、一站式开通, 完成对用户进行认证工作。
9 领航平台的发展与思考
在通信与信息技术高速发展的今天, 作为“新三者”的中国电信将面临更多的机遇与挑战。随着光网城市战略的全面实施和LTE技术的不断成熟, 以政府、企业等行业客户为主的固网移动融合业务将是一个重要的业务亮点, 电信运营企业应统筹考虑并部署具有差异化服务优势的产品, 快速推进融合业务解决方案, 实现统一的一站式业务能力提供, 以统一、高效、快捷的方式展示电信运营企业综合全面的信息化服务, 从而赢得客户, 占有更高的市场份额, 在激烈的市场竞争中立于不败之地。
参考文献
安全接入平台 第8篇
近年来,公路车辆智能监测系统、高清测速取证系统、流动电子警察等交通监控设备已广泛应用于公路交通安全管理中,并逐步从单点应用步入到联网应用阶段[1],在区域公路网监控车辆通行、查处交通违法、侦破涉车案件等方面发挥了突出作用。但是,由于缺乏统一的标准和规划,各地公路监控设备采集的交通监测信息(文字和图片)接入问题日益突出[2],具体体现在:
1) 公路交通监控设备种类繁杂、型号众多,数据格式、传输协议不统一,造成各类监控设备集成困难。
2) 公路交通监测信息由设备提供商或集成商各自实现信息传输,实现方法各异,信息采集的准确性及信息传输的及时性、可靠性、稳定性无法得到有效保障。
3) 公路交通监控设备基本安装在野外且布点分散,设备接入、信息传输缺少统一严格的安全控制,对公安网络安全性造成巨大威胁。
4) 公路交通监控设备缺少统一的监管平台,随着大范围公路监控设备的联网接入,设备运行监测与日常维护等问题日益突出。
因此,建立具备强大的接入能力,灵活的接入方式,完备的监管功能的异构公路监控设备统一接入平台成为各级公安交管部门的迫切需求。
2 现有与选用技术分析
由于前端监控设备信息传输必须在非人工干预下自动运行,与后台中心的接入方式只能采用C/S架构(客户端/服务端),具体实现分为两类。
2.1 直接读写数据库接口的2层架构
目前各地交通监测信息联网上传主要采用C/D 2层架构,即客户端/数据库架构,由客户端直接读写中心数据库。存在中心数据库安全性差、稳定差、负载无法均衡,各前端传输程序不能相互协调,数据质量无法控制,设备监管失控等弊端。
2.2 间接读写数据库的3层架构
引入中间层(服务层)来屏蔽前端设备直接访问中心数据库,即采用C/S/D 3层架构接入技术。有基于传统C/S技术和融合B/S技术2种技术思路:
1) 基于传统C/S技术的3层架构。自行开发服务端程序、通信协议,缺点是技术开发难度大,通信协议自定义,难以得到广泛支持。
2) 拟选用的融合B/S技术的3层架构。将B/S与C/S相结合,引进组件技术和ActiveX技术,分别应用在服务器端和客户端[3],服务端引进Web容器,诸如多线程、并发访问、连接超时等大量控制技术由Web容器实现,开发简单、周期短、可靠性高。
2.3 WebService和ActiveX控件技术
经过对比研究,选择基于简单对象访问协议(SOAP协议)的WebService技术,采用Activex控件技术封装较为复杂的客户端调用WebService过程。ActiveX是Microsoft提出的1组使用部件对象模型(component object model,COM)在网络环境中进行交互的技术集,与具体的编程语言无关。基于J2EE的WebService技术则具有以下的特点[4]:
1) 完好的封装性。WebService是一种部署在Web上的对象,具备对象的良好封装性。
2) 良好的松散耦合性。只要Web服务的调用界面不变,Web服务的任何变更都是透明的,Web服务平台可平滑地从J2EE迁移到.Net或者是相反。
3) 使用协议规范性。作为Web服务,所有公共协约使用开放的标准协议进行描述、传输和交换。
4) 高度可集成能力。Web服务采取简单的、易理解的标准Web协议,屏蔽了不同软件平台的差异,无论是CORBA、DCOM还是EJB都可以通过这1种标准协议进行互操作,实现了在当前环境下最高的可集成性。
3 解决方案的设计与实现
3.1 设计目标
屏蔽前端异构公路监控设备与后台中心数据库,集成应用多线程、多服务Web技术、数据并发处理等技术,建立统一接入平台,实现各类异构监控信息实时、并发上传、处理以及设备安全接入控制、运行监测等功能,及时、可靠地汇总各类交通技术监控资源。
3.2 架构与原理
统一接入平台由服务端和客户端两部分组成。服务端为基于J2EE技术实现的1个Web服务应用,客户端采用基于ActiveX或Webservice接口技术,平台整体具有跨平台、高伸缩性、易扩展性的特点。具体说明如下:
1) 服务端负责接收和处理前端各类监控设备的数据交换请求,服务端结构原理如图1所示。客户端通过Soap协议(如使用Soap Toolkit 3.0通信中间件)向服务端发出请求或上传数据,服务端与数据库交互后通过Soap协议做出应答。
2) 客户端由一组控件或接口组成,由前端各类监控设备调用进行信息传输与交换,客户端结构原理见图2。Activex控件对象对外开放诸如InitTrans、WriteVehicleInfo等接口,用户程序(user application)调用接口后,控件使用一系列Soap工具集将指令转化为基于Soap协议的报文,通过Soap连接(soapconnector)发送给服务端并接收服务端应答。
3) 为了实现服务端高吞吐特性,启用主/辅服务器的体系架构,原理图如图3所示。当主服务收到的服务请求达到1个触发点时激活1个后备服务,分散服务压力。当更多的服务请求达到另一触发点时再激发1个服务,依此类推。
其中,主服务器一直保持实时请求的接收状态,超过一定可配置的阈值后,主服务器发出分流处理的消息,并从主队列中分流部分请求记录;消息侦测线程接收该消息,并启动后备服务器;后备服务器接收分流的请求记录,并持续处理,一直到处理完成后退出。原理上说,后备服务服务器可以按计算资源的多少灵活配置。
3.3 具体实现
3.3.1 技术路线
采用插件技术开发接口控件,支持多操作系统2次开发;采用基于J2EE的B/S 3层架构和WebSphere中间件技术,开发Web接入服务平台,具备软/硬件跨平台性;采用组件技术、多线程、多服务技术,提高系统的灵活性、可扩展性;集成应用身份认证、IP地址认证、授权码认证等方法,实现各类监控设备接入的安全控制。
3.3.2 主要功能
包括前端接口功能和后台服务功能2个部分。
前端接口功能:
(1) 过车信息上传。通过接口调用,上传监控设备采集的通行车辆信息。
(2) 违法图片上传。通过接口调用,对存在违法的过车信息由平台向前端监控设备反向获取车辆图片并保存到数据库中。
(3) 设备状态上传。通过接口调用,上传监控设备当前的运行状态。
4) 时间同步。通过接口调用,获取服务器时间,使得前端设备时间与服务器时间同步。
5) 执法限速同步。通过接口调用,获取当前监控设备的执法限速。
后台服务功能:
(1) 设备入网管理。对入网设备进行身份管理,包括:ID号、IP地址、序列号等,只有合法设备才能入网运行,实现设备准入控制。
(2) 设备签到管理。对设备传输进行安全管理,确保实际联入网络的所有前端监控设备都是合法设备。前端的Agent通过签到机制与注册服务器交互,确保获得实时更新的状态信息。
(3) 设备状态管理。对设备状态、信息传输、网络状态等进行监测,并以直观形式表现出来,如表1所列。
(4) 数据综合处理。完成上传数据的校验、处理、入库、日志等功能。
3.3.3 技术难点
统一接入平台解决了以下主要技术难点:
1) 高速并发安全控制技术。平台继承Web容器多线程特性,针对数据传输时对公用数据/资源并发频繁操作存在的竞争与冲突问题,一方面通过合理的公共资源分配与管理技术避免竞争,另一方面对于不可避免的竞争点采用了严密的同步互斥技术避免冲突,有效地保证了并发安全。
2) 服务瞬时高峰处理技术。平台提供大容量Web服务且具有极高的扩展性(如集群),针对上传大批量数据/图片极易出现瞬间高峰,导致系统拥堵直至崩溃的问题,采用高峰缓存技术,将高峰时请求分散到空闲时间处理,有效避免拥堵发生。
3) 服务请求分步处理技术。平台Web容器设置响应时间限制、前端传输控件也有超时设置,针对上传数据必须在短时间内处理完成并返回结果的请求,采用分步处理技术,对于Web服务请求,必要处理之后即刻返回,余下的操作由后台线程继续处理,避免了前端长时间等待,提高了传输软件上传效率,避免数据拥堵,也有利于前端传输软件的稳定运行,避免因通讯堵塞导致程序崩溃。
4) 前端接入高速认证技术。平台提供WebService开放式服务,对前端设备进行授权认证。前端设备接入时调用接口控件进行注册,采用平台授权加密后的Key来传递信息(如服务端IP、端口号等),避免服务端信息泄露,每次上传数据的同时进行高速认证,认证采取映射方式在内存中比对,最大限度地降低了对上传效率的影响。
5) 图片传输的文件缓冲池技术。平台采用多线程技术、通过FTP协议进行图片传输。图片传输需要更多的带宽、CPU、IO等资源,必须限制同时传输的图片上限,平台采取文件缓冲池技术解决这一问题,根据经验设定了若干缓冲文件,每上传一张图片,必须申请一个缓冲文件(申请到就锁定该文件,申请不到则等待),图片完整传输完成后,再保存至数据库同时释放该文件锁,这样,不仅保障了图片传输始终在资源允许范围之内,也解决了上传图片的完整性问题。
4 应用成效
基于以上技术的接入服务平台已开发完成,并在江苏某支队成功实施,共接入了50多套前端异构公路卡口监控设备,日均采集过车通行信息约20万条,半年多来平台运行状态良好。通过采用通用操作平台、数据库系统、标准通讯协议,建立了统一的监控信息接入服务平台和接口规范,实现了各类公路交通技术监控设备接入的标准化、规范化、智能化,既提高公安交管部门的工作效率,同时也将监控设备提供商从繁杂的接入开发工作中解脱出来。
参考文献
[1]姜良维,赵新勇.浅谈我国交通电子监控设备的应用策略[J].中国公共安全:智能交通,2008(3):110-113
[2]林福文.道路交通卡口监控系统存在的问题和解决对策[J].中国交通信息产业,2004(4):58-60
[3]黄沛.基于B/S体系结构以及ActiveX技术的计算机应用系统开发[J].技术与市场,2008(3):41-44
[4]柴晓路.WebServices技术架构和应用[M].北京:电子工业出版社,2003
[5]贾传荧,于秋.ActiveX技术在交互式Agents软件中的应用[J].交通与计算机,2004(3):123-125
安全接入平台 第9篇
进入21世纪以来, 宽带接入技术进入了一个快速发展时期, 呈现出多样化的发展趋势。一方面, 接入网的光纤化提供了一条拥有巨大带宽的接入途径, 光纤到户 (FTTH) 成了接入网发展的理想目标。但是, 今天的技术发展态势告诉我们, 接入网光纤化不是惟一的趋势, 接入网应是各种技术的综合, 并将逐步向更高带宽、更加经济、更加方便、更能区分服务并提供相应服务质量保证等方向发展。体现在业务层面, 要求宽带接入网络具有提供高的网络带宽, 能同时承载语音、视频、数据、互联网等业务, 并能根据客户和应用需求, 提供差异化服务的能力。用户需求的多样化决定了小区宽带接入解决方案将长期呈现多种接入技术的融合与协调发展的局面。
二、无线宽带接入技术在智能小区的设计方案
如果采用有线方式对小区建筑物重新进行布线具有较大的困难, 同时, 由于小区周围有河流穿过, 地形复杂, 道路和建筑较密集, 如果采用DDN或光纤等有线接入方式对小区进行接入则建设成本较高, 建设周期长, 则考虑使用无线接入覆盖解决方案。
无线局域网技术具有无需或很少布线, 安装非常快捷方便, 不受空间和建筑结构制约的特点, 正好可解决了小区网络建设中所遇到的布线难题。而且由于在无线局域网中增加或减少用户是相当容易的, 通过增加无线接入点的数量就可以增大用户数量和覆盖范围, 这一特点对于逐步开发小区用户的网络建设需求是非常适合的。运营商可以根据小区用户数量的发展情况灵活地配置设备, 达到充分利用资源, 节省成本的目的。在网络开通初期, 可配置较少的接入点, 随着用户数量的增加, 在根据需要增加接入点的数量, 可以节省大量费用。对于运营商来讲, 宽带固定无线接入系统投资少、建网周期短、提供业务快, 因此, 是个不错的选择。如下图所示。
小区无线局域网接入方案示意图
宽带固定无线接入技术作为有线接入技术的有益补充, 代表了宽带接入技术的一种新的不可忽视的发展趋
势。它在市场需求的驱动下正在日益走向成熟, 相信在不久的将来将会得到广范的应用。
三、无线接入和其他的当时优缺点对比
任何事物都有它的两面性, 各种小区宽带解决方案在具有各自优点的同时, 也有各自的缺点。
光纤通信具有通信容量大、质量高、性能稳定、防电磁干扰、保密性强等优点。在干线通信中, 光纤扮演着重要角色, 在接入网中, 光纤接入也将成为发展的重点。光纤接入网是发展宽带接入的长远解决方案。
优点:高速、稳定。以太网方式接入, 支持2M, 10M, 100M等不同速率的流量。
缺点:需要重新布线, 而且交换机和用户网卡之间距离不能超过100米, 否则信号衰减很厉害, 只得加中继放大设备, 用户的实际速率受制于与城域网或互联网相连的专线速率。
影响光纤接入网发展的主要原因不是技术, 而是成本, 到目前为止, 光纤接入网的成本仍然太高。但是采用光纤接入网是光纤通信发展的必然趋势, 尽管目前各国发展光纤接入网的步骤各不相同, 但光纤到户是公认的接入网的发展目标。
拿LAN接入的方式来说, 但并非在任何小区都取得了良好的效果。如果电信运营商不具备五类线资源, 小区内需要五类线重新布线, 这是一项非常艰难的工程, 而且投资巨大。运营商和地产开发商过于乐观地估计了宽带市场, 而现实的情况是:很多家庭并没有申请LAN接入的业务, 运营商投入的资金不仅无法在短期内收回, 且造成了大量布线资源的浪费。
XDSL小区宽带解决方案, 是有现成固话网络的运营商比较青睐的解决方案。
优点:采用星形结构, 保密性好, 安全系数高, 可提供512K到2M的接入速率。
缺点:它的出线率低, 还不能传输模拟电视信号, 原来铺设的电话线路连接质量欠佳、线路老化严重, 而这种模式对线路的质量要求又很高, 很多线路需要重新选线, 但这种模式受制于用户端和电话局端的线路长度, 应小于5000米, 否则无法享用服务。这种解决方案只能是利用电话线资源向宽带解决方案的一种平滑过渡方案。
无线数据接入技术传输带宽受频率资源限制, 稳定性受如移动、距离、天气、障碍物阻挡等影响, 具有它的不足之处。但在其他两种解决方案实施有困难时, 无线接入覆盖解决方案是小区宽带接入解决方案的一个有益的补充。
结束语
综上所述, 在制定小区宽带接入解决方案时, 应根据用户的具体情况和实际需要, 灵活地采用小区宽带接入解决方案。用户需求的多样化决定了小区宽带接入解决方案将长期呈现多种接入技术的融合与协调发展的局面。
摘要:用户需求的多样化决定了小区宽带接入解决方案将长期呈现多种接入技术的融合与协调发展的局面。XDSL、LAN接入、光纤接入、无线局域网接入技术是当前小区宽带解决方案中常用的技术, 它们各有长处与不足本文介绍分析了无线宽带在智能小区的接入技术。
关键词:宽带接入网,小区的宽带接入技术,高带宽
参考文献
[1]方波:《无线宽带多媒体通信研究现状》[J].通讯世界, 2001, 11[1]方波:《无线宽带多媒体通信研究现状》[J].通讯世界, 2001, 11
安全接入平台 第10篇
企业投入巨资建设ERP, 目的就是获得持续的竞争力, 而保证这种持续竞争力靠的是建立协同、实时和敏捷的商务能力。随着企业的不断成长, 业务规模不断扩展, 跨地域、跨行业经营成为平常之事, 兼并收购亦变得日益频繁, 分支机构开始不断涌现。分支机构的不断增多, 包括公司员工、远距离办公人员、业务伙伴、客户和远程办公人员的不断增加, 使得企业开展有效的管理与沟通变得复杂起来。要创造更高的生产效率, 就必须保持对关键应用的不间断访问。信息不能及时充分共享的突出矛盾, 导致企业不能很好地适应当今快速多变、全球化竞争的市场环境, 企业的生存和发展将面临极大的挑战。如何有效而顺畅地开展企业的信息交流和实时的数据分析和决策成为摆在企业面前的一个现实难题与当务之急, 于是基于集中式管理思想的ERP远程接入便应运而生。
1 分散办公呼唤ERP远程接入集中式管理
“数据大集中”的管理变革开始于上世纪90年代, 是从几大跨国银行开始实现的。在国内, 银行、电信业的全国性数据整合在2000年就已经开始了, 目前很多行业用户等都已经在整合的信息架构基础上运营新一代业务系统。沃尔玛拥有全球最大的数据库, 全球5000多家连锁店的信息都集中在数据中心, 从而保证了这家超级企业持续的竞争优势。
Internet是不可阻挡的潮流, 企业ERP系统平台必须从局域网向互联网迁移, 但是这种迁移应该保护已有投资, 不需要重新改写应用程序, 还要支持远程接入和访问。
由于不同结构其特点不同, B/S结构还很难替代C/S结构的, 目前国内主流的成熟ERP产品都采用混合体系结构, 像用友的U8、金蝶的K/3。由于远程接入和访问的速度问题, 国内ERP软件厂商目前仍以提供分布式解决方案为主, 各地分别建立数据服务器, 然后把数据上传, 总部再进行汇总。虽然产品中也实现了部分功能的web版应用, 但因为速度的问题却无法满足企业实际处理业务的需要, 主要是进行一些远程查询, 所以web版的产品并没有多少客户。分布式解决方案不但让企业总体拥有成本全面上升, 同时也无法满足企业实时对业务集中管理的需要。
企业如何跨越“远程接入”这道鸿沟, 实现信息数据的集中管理呢?当前实现ERP远程接入的传统解决方案是DDN专线和VPN, 但这些传统访问机制存在很多局限性。DDN专线主要是存在网络覆盖范围有限, 建设成本高的问题;VPN存在服务器暴露不安全、客户端管理负担大和传输带宽要求高的弊端, 同时部署和管理复杂、网络兼容性差。VPN可以解决远程接入安全方面的问题, 但却无法满足用户对速度和集中管理维护的要求。近两年, 集中式管理ERP远程接入平台的出现, 解决了长期困扰V P N的访问速度和数据传输难题, 已经在应用程序部署方面抢尽了VPN的风头, 许多以前采用VPN解决应用程序部署的用户已经纷纷转向采用集中管理式远程接入平台。
基于服务器计算技术 (Server-based Computing) 是一种应用系统集中的技术, 它通过远程控制和多任务操作的技术, 将原本在分支机构运行的应用系统的客户端数据处理操作, 集中到了总部网络的服务器中, 从而将应用程序的数据处理集中到了企业总部网络平台。这种应用程序的集中, 也就带来了数据集中和管理集中。
基于服务器计算模式可以保证企业的应用能够从局域网向互联网平滑延展, 而不需要企业进行任何的变动。美国Citrix公司的Citrix Presentation Server和深圳沟通科技的CTBS产品都能提供基于服务器计算模式的解决方案, 实现ERP集中管理。
2 ERP远程集中式管理技术原理与部署
2.1 技术原理
目前比较成熟的ERP远程集中式管理普遍采用基于服务器计算技术的解决方案。基于服务器计算技术是一种在服务器上100%地部署、管理、支持和执行应用程序的模式。这种基于远程桌面协议的远程控制软件, 将数据逻辑、事务逻辑与显示逻辑分离, 网络间传输的只是鼠标、键盘点击及屏幕更新的信息, 所有的计算都在服务器端进行。它使用一个多用户操作系统和一种将应用程序的界面显示分配给客户端设备的方法, 只允许键击信息、鼠标点击和屏幕更新通过网络传输, 网络之间没有真实的数据传输, 因此其网络带宽的占用率很低, 一般只有30K左右。基于服务器的计算技术在运行时, 将应用的逻辑与它的用户界面分开, 并通过标准的网络协议 (PX、SPX、Net BEUI、TCP/IP和PPP) 和通用的网络连接 (异步、拨号、ISDN、帧中继和ATM) 将该逻辑传输给分点的客户机, 如图1所示。
利用基于服务器的计算, 客户端设备——不论“胖”或“瘦”——均可通过服务器立即访问关键性业务的应用, 无需应用程序的重写或下载。这种手段提高了部署关键性业务应用的效率。此外, 基于服务器的计算在当前的计算基础设施和当前的计算标准之内工作, 并且可以与现在的或未来的基于Windows平台的应用一起工作。这意味着企业计算投资——桌面系统、网络、应用和培训等——获得了更大的回报。远程用户无需安装应用系统的客户端, 也无需修改应用系统的任何程序, 通过Web浏览器的方式即可实时访问总部的服务器, 获取重要应用。由于传输的数据小, 对带宽的要求低, 从而大大提高了远程访问的速度。另外, 由于无须在客户端处理数据, 因而降低了对客户机的要求, 即使是配置很低的PC也能访问。
基于服务器的计算模式具有三个关键的组成部分。
(1) 一个多用户的操作系统, 它能同时让多个用户登录一台服务器, 并在单独的、受保护的会话中运行各自的应用程序。
(2) 一项将应用的逻辑与它的用户界面分开的高效的计算技术, 以便只让键盘信息、鼠标点击和屏幕更新从网络上通过。因此, 应用性能与网络的带宽无关。
(3) 集中化的应用和客户管理, 它能使大的计算环境克服在关键性应用部署中的管理、访问、性能和安全等方面的难题。
2.2 快速部署与实施
在总部部署一台性能优越的服务器作为远程访问的服务器, 即“应用发布服务器”。应用发布服务器采用基于服务器计算的模式运行, 它的作用是将ERP的客户端, 通过网络发布出去, 供分支机构远程使用。分支机构就像使用应用程序的快捷方式一样。传统应用程序无需进行二次开发, 就可即刻支持Web访问, 将企业的Intranet和Internet有机结合, 极大提高工作效率。
只要将ERP的客户端通过网络发布出去后, 再分配相应的帐户权限, 分支机构的电脑不用安装ERP的客户端, 就可以远程使用ERP系统了。
2.3 集中管理与实时监控, 消除“信息孤岛”
部署ERP远程集中式管理后, 所有用户的权限分配、工作界面、整个系统的进程、资源、状态等, 都是由总部的系统管理员集中管理, 并借助各种界面友好的工具来进行部署、监控和督促每个环节的正常工作, 从中心机构能够以最短的时间, 向分散的机构或客户进行应用程序的分发、管理、配置、更新以及技术支持等等。
虽然客户端用户的操作感觉就像在本机操作一样, 但事实上所有的数据和执行逻辑都在服务器端, 也就是说, 用户的所有工作都是实时的, 信息中心准确及时地收集了有关方面的数据, 用户获取的查询信息也是最新最有效的。各分点
不再需要在定时通过网络与总部同步数据传输, 而可以进行数据共享和集中管理, 从而消除“信息孤岛”。
3 Citrix Presentation Server 4.5解决方案
Citrix公司是全球领先的应用交付基础架构解决方案提供商, 全球有超过20万家机构依靠思杰产品向身处任何地点的用户交付任何应用, 其方案性能好、安全性高、成本低。思杰客户包括100%的财富100强企业, 98%的全球财富500强企业界, 以及成千上万家小企业和个人用户。思杰在100多个国家拥有约6200多渠道商和合作伙伴, 2006年年收入超过11亿美元。
Citrix Presentation Server4.5是美国Citrix公司推出的最新版本远程接入产品, 它用于集中部署和管理应用, 在异构环境中尤为受到青睐。超过7000万用户和99%的全球财富500强企业在使用Citrix Presentation Server TM产品。它以最佳的性能、最高的安全性和最低的成本成为业界交付Windows应用的标准。Citrix Presentation Server将所有的Windows应用软件都统一安装并存放在数据中心内, 然后通过创新性的应用虚拟化技术和应用流技术将应用按需交付给终端用户, 实现用户终端设备应用软件“零维护”。对于企业的业务应用软件, 所有软件的运算和数据库的访问都在数据中心内完成, 而将运算结果的显示屏幕进行虚拟化, 并交付给终端用户;另外, 对于单独在客户端运行的应用软件, 例如ERP软件, 可以采用Citrix的应用流技术, 将应用软件交付到桌面, 并在客户端的一个受保护的虚拟化环境中单独运行。
3.2 方案优势
作为Citrix Access Suite TM的基础, Citrix Presentation Server TM是全球部署最广泛的产品, 用于集中部署和管理应用, 在异构环境中尤为受到青睐。它能够将其功能以服务的方式向全球员工提供。可带来的优势包括:
(1) 按需定制的企业——提供了一个强大且灵活的基础, 可帮助企业利用强大的管理工具协调其业务目标与IT能力, 进而提高管理效率和增强系统控制。
(2) 更快部署应用, 并显著降低IT成本——简化并加快了新应用、更新和补丁的部署工作, 同时使得用户无需考虑接入设备、软件语言、计算体系结构和网络的多样性。借助Presentation Server, 可以继续充分利用现有的基础架构, 同时不断壮大公司业务。
(3) 通过可靠的远程和移动接入, 用户效率得到显著提升——支持用户随时随地开展工作, 从而可显著提高其工作效率。他们将可以实时安全地访问应用和信息, 从而可显著改善数据准确性和业务处理速度。用户将可以在不同设备、位置和网络之间漫游, 而无需中断工作。
(4) 安全性得到大幅增强——为了帮助企业满足内部标准和政府与行业的规定, Presentation Server TM提供了一款安全的平台, 并支持端到端可见性。这使得IT部门能够设计出符合要求的系统, 并使得IT管理员能够更有效地控制安全性, 同时降低一致性成本。
摘要:文章在分析分散办公需要集中管理与监控的基础上, 深入剖析了ERP远程集中式管理的技术原理与部署策略, 并简单介绍了美国思杰公司的远程接入解决方案, 最后以深圳华为实现U8数据集中管理为例, 指出ERP可借助远程接入平台轻松实现集中管理和部署, 全面发布C/S与B/S架构的应用。
关键词:ERP,远程接入,集中式管理
参考文献
[1]卢敏.远程接入安全为上[J].软件世界.2007 (14) .
[2]黄昆.远程接入, 让协同成为可能[J].中国计算机用户.2006.
[3]徐洪涛.远程接入的虚拟化之翼.[J].软件世界.2006 (19) .
[4]周顾宇, 王炳志. ERP远程应用研究.[J].管理科学文摘.2007.
[5]天讯软件.集中管理:让做大的企业继续做强.http://www.txerp.com/main/ShowNews-c.asp?ID=1389.
[6]美国思杰公司.Citrix Presentation Server 4.5产品介绍. http://www.china.citrix.com.
[7]e-works.沟通CTBS“随需应变”助华为实现业务数据集中监控.沟通科技.http://articles.e-works.net.cn.
