智能防火墙(精选九篇)
智能防火墙 篇1
在网络日益复杂化、多样化的今天, 网络安全问题已经日益突出地摆在各类用户的面前, 计算机网络的发展对信息的安全保护提出了新的挑战。防火墙是在Internet与Intranet之间进行访问控制的安全网关, 是在两个网络之间实施访问控制的一个或一组系统, 防火墙作为一种有效的安全防护措施被广泛应用于各种类型的网络当中。随着攻击手段的进步和安全需求的提高, 对防火墙提出了越来越高的要求。
1 包过滤防火墙的工作原理
数据包过滤技术是在网络层依据访问控制表对数据包进行分析、选择和过滤。防火墙通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素, 或它们的组合来确定是否允许该数据包通过。
数据包的结构是由各层连接的协议组成的。每一层数据包都由报头和报体两部分组成, 报头存放该层的协议信息, 报体存放该层的数据信息。在每一层, 将上层的全部信息作为报体, 再按本层协议加上报头, 此过程称为数据包封装。在TCP/IP模型中, 当应用层数据包构成传输层的包时, TCP或UDP协议从应用层将数据全部取出来, 再加上本层的报头。当再构成网际层的包时, IP协议将传输层的报头和报体全部作为本层的报体, 然后加上本层的报头。当构成最底层网络接口层的包时, 该层协议将网际层的整个包作为报体, 再加上本层的报头。
数据包中最重要的信息是各层依次加上的报头, 通过报头可以了解每一个数据包的IP源地址、IP目的地址、协议 (TCP包、UDP包和ICMP包) 、TCP和UDP的源端口、TCP和U D P的目的端口、TCP报头中的A C K位、数据包的出入方向等关键字段的内容, 将这些关键字段的内容记录到数据库中, 后面提出的智能防火墙即可采用这些内容。
2 TCP工作流程
网络中的多数访问都是基于TCP协议的 (如Telnet、FTP、SMTP、HTTP等) , 要防范目前常见的各种攻击手段, 就要对TCP的工作原理有一个详细的了解。下面就主要对TCP协议的工作流程进行分析。
2.1 TCP连接的建立
在TCP协议中, 通信双方是通过段来交换数据, 传输开始前, 需要在源端和接收端之间建立连接。在建立连接时, 需要指定一些直到连接释放前都有效的特性, 如优先权值、安全性值等QoS值, 这些特性, 在连接建立过程中通信双方都是同意的。建立连接的过程使用三次握手的方式 (见图1) 。
第一次握手:主机A进程向主机B进程发出连接请求, 包含A端的初始序号为X, 此时ACK标志为0;
第二次握手:B进程收到请求后, 发回连接确认, 包含B端的初始序号Y和对A端的初始序号X的确认, 此时ACK标志为1;
第三次握手:A进程收到B进程的确认后, 向B进程发送X+1号数据, 包括对B进程初始序号Y的确认, 此时ACK标志为1。
至此, 正常情况, 主机A与主机B的TCP连接就建立起来了。
2.2 数据传输
数据传输时, A进程的TCP从它的上层协议接收数据后, 以递增序号的方式将数据分段封装并发送到B进程。B进程通过将序号加1的确认数据报来确认该报文。
2.3 TCP连接的释放
TCP连接释放过程同样使用三次握手的方式进行。一方发出释放请求后并不立即断开连接, 而是等待对方确认, 对方收到请求后, 发回确认报文, 并释放连接, 发送方收到确认后才拆除连接。
2.4 TCP及其ACK位
从以上TCP协议的工作流程分析可知, 任何连接的第一个包 (首包) 与后续包在包头的A C K位的设置是不同的。首包的ACK标志为0, 后续包的ACK标志为1。所以当我们要拒绝一个TCP连接时, 只要拒绝连接的首包即可。因为缺少了首包, 接受方无法将收到的数据装配成完整的数据包, 连接也就无法维持。这样, 可以使我们很方便地将内部客户与外部网建立连接, 同时又阻止外部网络客户连接到内部服务器。我们只要对往外的TCP首包放行而对往内的TCP首包禁止即可。因为ACK标志为0是作为TCP首包的标志, 所以, 入侵者不能通过设置ACK来逃避拒绝, 如果强行设置ACK标志为1, 则该包不再作为首包, 也就无法建立TCP层的连接。
2.5 其它协议
对于UDP协议, 因其不存在类似于上述TCP协议的三次握手过程, 所以不能按照上面的办法进行过滤。本系统中对于UDP数据包的过滤是建立在端口的基础上的, 可以分别对源端口和目标端口来设置过滤规则。而对于ICMP等其它协议, 在本系统中对这些协议只进行协议类型和帧类型的识别, 并通过协议类型和帧类型的设置来进行过滤。
3 智能防火墙模型
根据以上分析结果提出了如下的智能防火墙系统。
3.1 防火墙基本结构
采用两台PC机组成此防火墙系统, 一台作为防火墙过滤主机, 另一台作为监控主机。对于防火墙过滤主机, 使用三网卡:两块网卡用于连接内部网络和外部网络, 第三块网卡用来连接监控主机。两台PC机都采用Linux系统。因为监控主机上需要安装数据库, 而Linux平台上的MySQL数据库具有功能强, 使用简单, 管理方便, 运行速度快, 可靠性高, 安全保密等特点, 十分适合记录量庞大的数据库使用, 所以监控主机也采用了Linux系统。防火墙系统的基本结构如图2所示。
3.2 防火墙的工作过程
在防火墙系统的过滤主机上运行两种进程:过滤进程和配置进程, 其中过滤进程完成数据包的过滤和转发, 同时负责将告警信息发送到监控主机;配置进程负责对过滤主机本身进行配置以及进行过滤规则的修改。为了减少防火墙本身所造成的过滤时延, 可以通过启动防火墙系统的时候手工设置多个过滤进程。
在防火墙系统的监控主机上运行多个进程, 其中通信进程负责发送和接收与过滤主机之间传送的数据, 同时, 应用数据挖掘技术对入侵的数据包进行扫描, 并对扫描的结果进行分析, 该部分还具有自学习的功能, 一旦发现异常操作, 则通过自学习模块将学习结果传送给新规则生成模块, 新规则生成模块根据学习的结果相应地生成新的规则, 并写入规则库中。具体的软件功能模块可以划分如图3所示。
防火墙程序的工作过程是:首先通过过滤主机的配置进程对防火墙的过滤规则进行设置, 设置的数据通过共享内存变量传送给过滤进程。然后由过滤进程接收双向的数据包, 并对数据包按照过滤规则进行过滤, 对于合法数据包, 则将其转发到相应的网卡上去;对非法的数据包, 则禁止其通过, 并将相关信息传送到监控主机上去。监控主机将接收到的告警信息分类存放到数据库中的各个数据表中, 当检则到有异常操作的时候, 自动生成相应的过滤规则并传送给过滤主机。
4 本系统针对常见攻击的对策
针对常见的攻击方法, 通过对TCP/IP协议族中协议的工作过程的分析, 并结合数据挖掘技术的使用, 可以设计出几种有效的对策。
4.1 非授权访问
对于非授权访问, 在防火墙上通过建立一个周密的过滤规则表就可以对其进行限制, 比如, 可以建立规则表来限制某一个或多个源IP地址的主机访问内部网络的某一台或多台目标主机, 如果是基于TCP或UDP协议的访问, 还可以对源端口和目标端口进行分别限制, 符合要求的数据包可以通过, 不符合要求的数据包就不能通过。
4.2 IP欺骗
对于IP欺骗的攻击, 可以在防火墙上对IP地址与该地址应该对应的MAC地址进行绑定。IP地址一旦被绑定, 则盗用该IP地址的数据包在通过防火墙的时候将按照绑定列表中的内容被识别出来, 则该数据包不能通过防火墙。
4.3 对于拒绝服务的攻击
每一小时扫描一次日志数据库中的数据, 若在某一个源IP地址的ACK标志为0的数据包之后发现没有ACK标志为1的数据包, 那么就是出现了一次半个T C P连接, 当半个T C P连接的个数超过一定的数值 (该数值应根据实际网络中一般单位时间内的半连接个数来设置) , 说明网络中的半连接的个数太多, 网络资源消耗过大, 则要发出相应的告警信息。
4.4 电子邮件攻击
每一小时扫描一次日志数据库中的数据, 收发电子邮件次数超过一定的数值 (该数值应根据实际网络中一般在单位时间内收发电子邮件次数来设置) , 说明网络中的电子邮件的收发次数出现异常, 则要发出相应的告警信息。
4.5 对于扫描
每一小时扫描一次日志数据库中的数据, 如果发现有WWW、DNS、SENDMAIL等几台重要主机的从1—1024的多个端口被频繁访问, 说明该主机有可能正在被扫描, 则要发出相应的告警信息。
4.6 对于缓冲区溢出
一般的缓冲区溢出都是通过发送大量的ping来完成的, 因此, 为了防止在网络中发生缓冲区溢出的问题, 在防火墙的过滤规则表中可以把对内部的重要设备的ICMP操作过滤掉, 这样就可以保护重要的主机不会因为外界攻击而发生缓冲区溢出的问题。
5 结论
通过对常见的包过滤系统的工作原理进行简单的介绍, 并结合对TCP/IP协议的分析, 提出了构建一个智能防火墙的方法, 在该防火墙上可以实现较多的安全防范手段, 对于目前的网络安全问题提供了一个解决方法。
网络安全只是相对意义的安全, 现实中并没有绝对安全的网络, 网络安全性要求越高, 需要付出的代价就越大。目前防火墙仍然是解决网络安全问题的有效的办法, 防火墙技术将会向智能化、高速度、低成本、功能更加完善、管理更加人性化发展。
摘要:本文介绍了包过滤防火墙的工作原理, 分析了TCP协议的工作过程, 设计了一个基于客户/服务器工作方式的智能防火墙系统的模型, 该智能防火墙可以根据日志数据库中的有关内容自动地生成过滤规则, 并添加到过滤规则表中。同时还介绍了针对常见几种攻击手段可以采用的安全对策。
关键词:防火墙,TCP/IP,ACK,客户/服务器
参考文献
[1]马争鸣, 张成言等.TCP/IP原理与应用[M].北京:冶金工业出版社.2006.
[2]李志球.计算机网络基础 (第二版) [M].北京:电子工业出版社.2006.
[3]wes noonan. 防火墙基础[M].北京:人民邮电出版社.2007.
[4] (美) 苏哈林.Linux防火墙[M].北京:机械工业出版社.2006.
智能防火墙 篇2
一、概况
森林火灾是世界性的林业重要灾害之一, 不仅烧毁森林, 降低林分密度, 破 坏森林结构, 降低森林的利用价值、同时造成生态系统内生物因子、生态因子的 混乱与灭绝, 更致命的是, 对人民生命财产造成极大威胁——烧毁林内各种建筑 物和生产生活资料, 甚至危及森林附近村镇、生产点和其他居住点的安全。作为 有远见的领导,把“预防为主,及时发现、快速扑救”方针作为森林防火必须贯 彻的政策,真正做到早发现、早解决。
深圳市荣通达科技有限公司根据国内外森林防火经验, 结合我们国家森林防 火实际情况,设计了“森林防火无线智能分析数字化监控预警系统” ,该系统可 以实现快速、准确、实时的监控林区林火情况,配合 GIS 数字管理平台,结合 林政管理、生态建设管理及林业活动, 实现各种智能化管理系统。下面, 我们以 公司建设过的一个森林防火系统为例,对比介绍一下功能情况。
无线智能数字化预警系统与传统森林监控系统对比如下:
二、需求分析
该防火项目处于内蒙古偏远地带, 无市电供应, 需提供风光互补设备以保证 全天 24小时无间断供电。同时,该项目分设六个点,每两个点分属一个林区, 每个林区
设置一个监控中心, 指挥终端再配置一个总监控中心对三个分控中心进 行指挥监控以实现对三个林区的全面远程监控。
1.森林防火联网智能监控系统的建设, 是内蒙古森林防火工作革命升级的重 要工作,工程建设应满足以下几个要求: 投资省:工程建设应充分考虑设备选型的性价比,同时不能牺 牲设备和系 统的先进性,保证系统在一段时间内不落伍。
建设快:一旦合同签订,从方案设计、到工程施工都能按期完成。
功能全:系统建设能满足甲方的功能需求。
安全性:系统的设计建设能充分考虑复杂多变的地理和气候因素, 防雷技术 可靠,防盗方法可行。
稳定性:系统能满足 7³24无间断工作,无论是前端设备,还是整个系统, 都能稳定运行。
扩展性:系统具有可扩展性, 系统具有升级功能, 适合森林防火防护监控系 统的发展要求。
易用性:要求系统的操作简单,界面清晰,流程合乎行业习惯,易学易用, 并能提供在线帮助和技术支持,最好具备一键开机功能。
2.林火监控监测预警指挥通信系统作为森林防火工作的基础支撑, 应满足日 常值守和处置森林火灾突发事件的需要,因此系统应满足以下功能: 林火、烟雾、定位
系统监控的林区图像清晰可辩, 能够在第一时间智能识别林火, 并精确定位 火点位置,并能自动报警。
火情推演
能够根据当前火点的位置、风向、温度、湿度、地表温度、植被等信息动态 推演火灾蔓延的方向、面积、速度及强度,为扑火指挥 提供科学的决策依据。扑火预案
报警后一旦火情确认, 指挥扑救人员可通过大屏幕实 时查看现场实时视频, 同时能通过系统辅助, 结合现场实际情况, 产生一套切实可行的扑火方案, 可 以联动相关的单位、人员以及扑火物资, 得出扑救具体措施和最佳路线方案的切 实可行的预案。
灾后评估
林火发生后,系统能对受灾面积、灾害损失 做出相对准确的评估。甚至能 对灾后重建提供辅助决策的数据。
GIS 地图
二维地图与三维电 子地图联动, 管理人员可任意切换。地图显示可任意放 大缩小,支持鹰眼。
专题绘图
林业管理工作人员可通过本系统的 GIS 地图进行专题绘图, 专题遵循国家标 准,涉及森林资源、地形地貌、防火力量、社会资源等几个大类,具体类别以最 后提交的需求为准。
数据存储
前端设备 7³24不间断摄像,在前端的上一级保证最低 30天录像回放。报 警图像上传至区县和省市中心备份存储,区县中心保证最低 15天录像回放,省 市中心保证最低 7天录像回放。
管理数据的存储要求安全保密,数据库的配置能满足系统运行。日常办公
林业防火管理工 作人员可通过本系统进行日常防火工作的自动 化办公, 并 能根据相应权限对系统信息进行管理和维护。
前端设备与自然环境
本工程所处自然环境随季节、昼夜、气候的变化而复杂 多变,不同季节、昼夜之间温差变化大, 且常伴雨雪, 时有雷雨大风。要求前端设备具有恒温功能, 并能有效防雨防雷。
供电
本工程所 辖范围区域广,野外架线成本高、施工难维护难。希望能提供一 种供电方式,能保证前端设备全年无间断可靠运行。
网络
林区所辖区域广, 野外架线成本高、施工难维护难。需要提供一套可行的网 络方案, 能保证基站与监控中心之间, 监控中心与区县监控中心、省市监控中心 之间的带宽能保证数据流传输流畅。
林区设备防盗
前端设备大多数安装在无人值守的密林深处, 林区的前端设备需要利用现有 监控系统设置防盗功能。
三、系统设计 1.系统组成概述
智能林火监测系统, 主要由前端视频监控系统、影像传输系统、及森林防火 指挥中心构成。
1.1 视频监控系统一般设置在各了望塔或林区制高点上, 主要设备包括超低照度摄像机、重型 云台、电动长焦镜头、网络视频编码器等设备, 设备自身防盗报警系统、供电系 统、防雷系统等。是实现智能防火监测系统前端视频图像、林火自动报警和火点 自动 GIS 定位数据采集的重要点。
1.2 影像传输系统
传输链路包括前端数字微波发射系统、数字微波中继系统、监控中心机房数 字微波接收系统构成, 是实现前段监控点视频图像、数据采集传输到监控中心机 房的必须链路, 是构成劳山林业局防火项目远程监控系统、无线数字微波网络系 统与远程视频会议的重要组成部分。
1.3 森林防火指挥中心
森林防火指挥中心由数字微波系统、视频数据存储系统、GIS 地理信息系统、远程监控管理系统、视频会议系统、指挥中心大屏幕系统等构成。是现实工作人 员通过指挥中心对野外森林进行远程集中监控;同时能够将图像监控及分析与火 灾自动报警的识别与定位, 并通过无线数字微波传输网络实现防火智能监测的数 据采集、分析、林火定位、自动报警、指挥调度等功能的核心部分。同时也是远 程视频会议系统的中心部分。
系统基本构成图 2.设计 原则
“林场防火无线数字化监控预警系统” 项目设计和功能的实施将遵循以下原 则: 先进性:所谓先进是指要求采用的产品和系统是当代先进计算机技术的应用 成果, 具有一定的前瞻性, 特别是符合计算机和网络通信技术最新发展潮流并且 应用成熟的系统。
保密性和安全性:必须符合国家的安全标准和要求, 以保护内部信息特别是 密级信息不被非法访问。系统设计时应充分考虑数据库和应用系统的安全性, 建 立身份认证、权限认证,彻底屏蔽内外非授权用户的非法访问。
智能化:系统中采用的产品和系统本身必须具有智能特征,比如自主编程、记忆功能、主动检测等;前端设备与系统必须有良好而可靠的通讯能力和故障自 动检测、报警功能等等。
网络化:在计算机网络技术高度发展和广为应用的信息社会, 设计完成的监
控系统中所采用的产品和系统, 必须与计算机网络技术相结合, 实现各个子系统 的信息共享,才能适应时代的前进、技术的进步,满足更广范围巡查的要求。实用性:我们这里讲的实用是指要求所采用的产品和技术经过了市场的考 验, 能满足目前监控系统的需要而无华而不实之嫌, 决不搞盲目投资、浪费资金。兼容性:考虑到国家林业局、区林业局已建成的或在建的防火信息系统, 本 系统能与区林业局、国家林业局的防火信息系统接轨和共享数据;同时考虑到今 后重新开展林场资源调查后资源数据库与最新卫星影像的更新问题;另外, 本系 统能够妥善处理好与上下级防火信息系统的连接, 做到与相关已建立好的信息系 统的兼容。
成功应用:系统设计采用的产品和系统, 必须是经过了一定时间市场考验的 成熟产品,特别是在国内应该有成功的应用案例。
合理配置:系统设计时, 应对需要实现的功能进行合理的配置, 并且这种配 置应该是可以被改变的, 甚至在工程完成后, 功能、配置的改变也是可能的和方 便实现的。
良好操作:系统的前端产品和系统软件均具有良好的学习性和操作性。特别 是操作性, 应使一般水平的管理人员, 在粗通电脑操作的情况下通过培训能掌握 系统的操作要领,达到能完成监控任务的操作水平。
可靠性:设计必须遵守的原则是保证系统的可靠稳定运行。这个原则要兼顾 到两个方面: 系统运行可靠-系统的运行要求可靠。要求从计算机的配置到系统的配置、前端设备的配置都要仔细考虑这个问题,对所有的设备进行认真的可靠性认证。保存和恢复设置方便-在实际运行中, 即使系统的故障率非常低, 也会因为 各种意想不到的原因而出现问题。所以在系统设计时要考虑到系统设置数据的方 便保存和快速恢复。
开放性:即使是最先进的系统, 也有随时间的推移而落后的可能。在系统设 计中,我们选用产品和系统时,应充分考虑系统的升级、扩展、维护问题,设计 应全面、周到,注意预留到位并留有充分余量 , 以适应未来发展需要,主要体现 在以下方面: 智能化升级-系统的软件是最有可能升级的, 选用的系统管理软件必须有厂 家的免费升级承诺。升级的操作应该相对简单, 由系统管理员即可完成, 不需要 繁复的操作和专门的技术。
模块化结构-为方便硬件的维护和升级, 设计时采用的设备应为高度集成的 模块化产品。由其组成的系统应是模块化结构。这样便于系统的维护和升级。经济性-为了确保投资合理性, 要在满足其它基本原则的基础上选择性能价 格比最优的系统和产品,从而使系统投资物有所值,不造成盲目投资。
3.系统主要设备
3.1 RO-144000WFGH风光互补发电系统(1风力发电机
产品特点
A、外壳采用铝合金一次压制成型,重量轻 B、矽钢片采用武钢 600冷轧片,损耗小,不易发热 C、转子采用 H 级钕铁硼稀土永磁材料,效率高,耐高温 D、尾舵采用玻璃纤维板切割成型,柔韧性好,强度高 ⏹类型 : RO系列电机 ⏹额定: 600W ⏹发电机:永磁发电机(钕铁硼 ⏹证书(CE(2风叶
²风轮: ²三叶型,上风式 ²直径 : 3.2米 ²
(3(RO-2000W-S-W 高性能风光互补控制器
产品概述
本高性能风光互补控制器专为高端的小型风光互补系统设计, 特别适合于风 光互补发电系统和风光互补监控系统;能同时控制风力发电机和太阳能电池对蓄 电池进行安全高效的充电。
另外, 本控制器具有完善的保护功能, 包括:太阳能电池防反冲、太阳能电 池防反接、蓄电池过充电、蓄电池防反接、防雷、风机限流、风机自动刹车和手 动刹车。
本控制器采用智能化、模块化设计, 结构简单、功能强大, 选用工业级的优 质元器件, 并严格的生产工艺制造, 从而适合于低温等恶劣的工作环境并具有可 靠的性能和使用寿命。
3.2前端视频采集设备(1夜视摄像机 /透雾摄像机
由于林场防火监控系统安装在林区的山上, 山区经常山雾弥漫, 普通的摄像 无法达到正常的监控效果, 所以我们为用户推荐低照度透雾摄像机具有透雾、深 化云烟功能。夜视摄像机 /透雾摄像机与特制镜头配套,与普通摄像机的比较如 下: 12
透雾摄像机透雾效果对比 : 正常彩色状态画面 透雾开启状态画面
透雾摄像机深化云烟效果(用于识别烟火,增加识别准确性 : 正常彩色状态画面 透雾开启后对云层溶化效果
适用范围:广泛应用于公路、铁路等交通系统、国防边境、城市环境监视 等环境。
(2电动长焦镜头
由于可见光与红外光的波长不同, 所以当摄像机切换到黑白红外模式和透雾 模式时, 用普通镜头会出现偏焦、无法聚焦的问题。我们采用日夜型镜头通过其 红外修正功能,配合夜视摄像机 /透雾像机实现更清晰的监控效果。
电动长焦镜头与普通镜头比较表:
长焦镜头
D60X12.5R3H 系列是一款专为日夜两用设计的业内最高水准,高清电动变 倍镜头。实现 F3.8的大光通量和 60倍(使用扩展器时 120倍,可达 1500mm 的 高倍率镜头, 在进行边境、铁路、林场防火、港湾等远距离监视时发挥重要作 用。内置扩
展器。能够清晰捕捉在 5公里以外的人物活动。带有遥控光圈功能。为了便于监视对象,可把光线细微调节。
(3 野外定制定位云台
林场防火监控系统前端采集部分建立在高山上, 野外条件恶劣, 对云台的各 项指标有严格的要求。云台采用不锈钢材料铸造,具有防水、耐高温、耐老化、抗腐蚀的特点;选用高性能电机;大载重量, 专为特殊环境设计;可内置温控电 路、宽范围温度工作;云台可以结合地理信息系统实现准确定位。重型定位云台与市面上普通云台的比较:
云台内置云镜控制解码器, 采用双处理器和先进的软件处理和控制技术, 专 为内置于云台内部或摄像机罩内设计。解码器可实现云台的方位设定、位置较准、实时调速、预置位调用、自动巡航、云台和镜头的信息(如云台和镜头的位置参 15 数回传、滤色片切换、彩色 /黑白转换、以及辅助开关控制等功能。(4视频服务器:
采用 DSP 处理器实现音、视频压缩编码,图像编码 MPEG4和 H.264可选,双路 产品图像格式可以支持从 QCIF、CIF、2CIFH、D1, 实现低码率下的高质量图像的 传输,支持 UDP、TCP、组播、PPPoE 等多种网络协议,适合各种网络环境,配合 DVR 软件可组成基于 IP 的适合各种行业需要的网络视频管理系统。
前端视频采集配置示意图
3.3监控中心系统(分控点和总监控原理相同(1 GIS 地理信息系统
系统主要任务是解决森林防扑火地理信息系统建设和开发中的一系列关键技 术问题, 进而按照系统总体设计的要求和多层次用户的需求, 为林业处建立起从 基础 GIS平台到应用子系统的一整套森林防火-救火-应急扑火及减灾系统。
技术指标: 16
(2会议音响中央智能控制系统 ●A/V系统: A/V系统由 DVD、VCR(录像机、MD 机、实物展台、调音台、话筒、功放、音箱、数字硬碟录像机等 A/V设备构成。
完成对各种图文信息(包括各种软体的使用、DVD/CD碟片、录像带、各种 实物、声音的播放功能;实现多功能厅的现场扩音、播音,配合大屏幕投影系 统, 提供优良的视听效果。并且通过数字硬碟录像机, 能够将整个过程记录在硬 盘录像机中。
●房间环境系统: 房间环境系统由房间的灯光(包括白炽灯、日光灯、窗帘等设备构成;完 成对整个房间环境、气氛的改变, 以自动适应当前的需要;譬如播放 DVD 时, 灯 光会自动变暗,窗帘自动关闭。
●智能型多媒体中央控制系统: 采用目前世界上档次最高、技术最成熟、功能最齐全, 中央控制系统, 实现 东京城监控指挥中心中央控制室各种电子设备的集中控制。
会议系统的主要功能: ①会议发言功能: 通过按下代表单元(或主席单元 上的发言键, 可开启或关闭该单元的发言 功能;②主席控制功能: 按下主席单元发言键旁边的总清按键,可关闭所有开启状态的代表单元;③设置同时发言人数功能: 通过计算机软件、触摸屏,或会议主机键盘面板可以控制同时发言人数;④会议音量调整功能:
控制键盘(或触摸屏 上配有一组音量调节按键, 可以调整系统音量、低音、高音;⑤摄像跟踪功能: 中控系统通过 RS-485接口或者 RS-232接口,实现自动摄像跟踪功能;⑥会议记录功能
配置会议记录系统,会议的实况实时录制并可选择刻录成光盘保存 3.控制中心综合显示系统
林业局森林防火中心集指挥、监控、管理功能于一体, 依托于视频核心平台, 依据相关权限管理共享视频资源。指挥中心根据需要设置大屏幕等显示设备, 使 用数字矩阵将视频流解码输出到显示设备, 通过视频管理设备集中管理、控制图 像资源,操作员可使用数字显示终端调阅图像并进行控制。
●系统组成
整套液晶拼接幕墙显示系统主要由以下几部分组成: 1 机构设计,根据客户需求设计 2 46"(超窄 DID LCD显示单元(2*2 3 控制系统包含嵌入式驱动系统 4 应用管理软件包 19 ●系统连线示意图如下: 整套设备连接平面示意图:
●
智能防火墙 篇3
关键词:Android;手机防火墙;骚扰拦截;黑名单
中图分类号:TN929.53文献标识码:A文章编号:1007-9599 (2013) 06-0000-02
在智能手机越来越普及的今天,人们对安全[1]问题越来越重视。在实际应用中,和PC一样,手机操作系统同样需要安全应用软件的保护,并根据各种威胁做出相应的处理。当前,手机用户越来越多的接收到垃圾短信以及电话,这不仅严重地影响了用户的正常生活,还为用户带来了很多安全隐患,所以一款针对骚扰拦截功能的手机系统防火墙[2]成为了用户的必须。
本文介绍的手机基于Android平台的智能手机防火墙,能够实现骚扰拦截功能。通过监听系统短信数据库实现短信过滤,通过利用AIDL机制以及Java反射机制,屏蔽骚扰电话;通过设置黑白名单,用户自己定义骚扰行为,达到对用户友好的目的。
1Android系统概述
Android[3]系统是由07年Google公司发布的一个开源的移动平台操作系统,它是一个以Linux内核为基础的分层结构,共分为四层:(1)应用层,运行Android平台的应用程序,应用程序由Java语言编写;(2)应用框架层,这一层为Google公司发布的,为支持应用程序开发的系统调用框架调;(3)本地库,本地库中包扩支持应用框架层的由C/C++语言编写的类库以及Android应用程序运行的Dalvik虚拟机,每一个Android应用程序都运行在一个独立的Dalvik中;(4)Linux内核,内核提供诸如电源管理、网络协议栈、进程管理等操作系统的核心服务。
Android SDK中提供了大量的应用程序框架供Android应用程序开发者调,其中包括有关电话管理的Itelephony[4]类以及短信管理SmsManager类。但是,由于系统开发者处于安全的考虑,Android SDK中并没有直接提供有关屏蔽电话以及拦截短信的API,所以要实现系统要求的骚扰拦截功能,必须采取一些非常规的方法。
2系统设计方案
2.1系统总体
本文所要实现的Android平台的智能手机防火墙,是基于黑白名单,实现的是过滤垃圾短信、屏蔽骚扰电话的功能,。系统分为三层结构:其中表示层通过用户自定义并维护的黑名单以及短信过滤关键词,实现对过滤规则的控制;控制层是具体的功能的实现;数据层用了存储短信以及来电记录。
2.2短信过滤模块的设计
系统可以根据黑名单中的号码以及根据短信内容的关键词来过滤垃圾短信.
目前,基于Android平台的短信过滤方法主要有两种,一是通过监听系统广播;而是通过监听系统数据库的方式,同方式一相比,方式二的兼容性更强,操作更加方便、简单,更适用作为短信拦截器的实现。
监听短信数据库的原理是,系统通过监听短信数据库的变化,当有新的短信到来时,数据库状态会发生变化。系统首先读取短信的地址(电话号码),与用户黑名单和关键词比对,如果符合用户的自己定义的过滤条件,则删除短信。
2.3电话拦截模块的设计
系统根据用户自己设定的黑名单,选择是否拦截来电。同短信过滤一样,Android SDK同样没有为电话拦截提供API。但是电话管理服务类Itelephony为我们提供了endcall()函数实现挂机服务,这为我们解决电话拦截问题提供了思路。
通过前面的分析可知,系统的目标就是获取一个Itelephony类,进而通过调用它的成员函数endcall()实现具体的功能。但是怎样才能获取Itelephony类的一个实例呢?事实上,在2.0版本以前,通过调用Android SDK中TelephonyManager类中的成员函数getItelephony(),可以获取Itelephony类的一个对象。但是出去对系统安全的考虑,在2.0版本之后,Google Android系统开发人员将getItelephony()方法设为了私有。如果想要使用getItelephony()方法,必须使用AIDL机制。
Java语言明确规矩了紧张跨进程共享对象。Android应用程序是由Java语言编写,自然也要遵守这一约定。所以,AIDL机制应用而生。AIDL,Android interface definition languag,是一种进程间的通信接口。通过预先定义接口,将进程中需要共享的实例对象转化为AIDL所能理解的参数形式,进而实现进程间的对象共享。
3系统实现
根据上面的设计描述,本系统短信过滤功能以及电话拦截功能。
3.1短信过滤
通过ContenObserver类监听系统数据库,当系统数据库发生变化时,重写onChange(boolen selfChange)函数,实现短信过滤。系统实现如图4。
3.2电话拦截
电话拦截功能的实现步骤如下:
(1)通过AIDL机制,将ITelephony所在的包生成一个.aidl文件,然后利用AIDL工具,将.aidl文件转化成.java文件。
(2)通过java反射机制,调用TelephonyManager类的私有成员函getItelephony(),进而获取ITelephony类的对象。
(3)通过重写phoneStateListener类,监听系统来电。当来电时,通过重写onCallStateChanged()方法,改变电话状态,从而实现挂机功能。
4结束语
随着移动互联网技术的发展,用户面临的安全问题也日益复杂。如何为用户在享受到移动互联网技术带来的良好的服务的同时,保障用户使用的安全,这也成为了当今安全领域研究的热点。本文利用Android应用开发平台,实现智能手机防火墙,对Android应用编程初学者还有开发人员都具有一定参考价值。
参考文献:
[1]Ognjen Prnjat,et.al,Integrity and Security of the Application Level Active Networks,UCL.London.2000.
[2]A Shabtai.Y Fledel,U Kannonv.Et.al,Google Android:A comprehensive security saasement, IEEE Educational Activities Department Piscataway,NJ,USA,2010.
[3]Avik Chaudhurim Language-Based Security on Android,Univ Maryland at College Park,ACM,2009.
[4]向勇.Windows操作系统原理[M].机械工业出版社.
[5]杨丰盛.Android应用开发解密[M].电子工业出版社,2009.
[作者简介]胡松萌(1987-),硕士研究生。
智能防火墙 篇4
关键词:Android智能手机,防火墙,来电拦截,短信拦截,过滤模块
1 引言
Android系统是一款基于Linux自由开放性的、功能强大的、免费的适用于小型便携装置的操作系统。从2005年谷歌对Android系统的正式收购到2007年谷歌正式对Android系统的推出,短短两年时间的开发、更新与升级,Android系统受到了广大智能手机用户的热烈欢迎并从此成为万众瞩目的焦点。所说的Android系统的开放性指的是有别于苹果的操作系统对第三方软件的特殊要求,Android系统与第三方软件是完全兼容的,所以避免了很多软件安装的注意事项,为开发人员创新思维的拓展提供了良好的发展平台,同时有利于软件开发人员在其平台上开发多款软件。Android系统基本满足了移动手机的所有软件需求,对于移动产业而言,Android系统提供的优越条件是任何一个其他的操作系统都无法超越的,因此其发展成为智能手机的主流操作系统的速度也是高于任何一款其他的操作系统的,这些无疑不体现出Android系统功能之强大,前景之广阔。同时,因为Android是免费授权的操作系统,所以软件开发商和生产商都不必担心因为开发费用巨大而影响企业的整体经济效益。有关统计数据显示,Android系统已受到全球使用百分之七十的智能手机用户的一致好评,Android系统已成为当之无愧的全球移动终端中使用频率最高的操作系统。而且,由于Android系统的不断更新与完善,其适用范围已不再仅仅局限于手机上,平板电脑中Android系统的最新应用开创了Android时代的新纪元。
防火墙技术已在计算机网络中普遍应用,防火墙技术的产生为互联网的有效运营提供了安全保障。那么面对基于Android系统的智能手机在信息安全方面出现的重大问题,防火墙技术自然成为了解决这一问题的最佳途径。手机中防火墙软件的设置与电脑中的软件设置有同样的功能,同样都是通过构建一堵安全有效的围墙来选择性地对外来入侵因子进行屏蔽从而保护电脑或手机中的个人隐私,但是手机与电脑中的防护墙设置却有着完全不同的防护原理。随着基于Android系统的智能手机在全球盛行,广大消费者的手机使用频率已再创历史新高,手机安全问题的产生使得防火墙在手机的安全使用方面有着不可替代的作用,因此,基于Android系统的防火墙研究也必然有了其存在的现实可能性。
2 防火墙的概况
将防火墙技术运用到计算机网络系统中,这一重要理念的创新便是对古代防火墙理论的直接继承。计算机网络中的防火墙设置是区分内部网络与外部网络的一种形式。计算机防火墙可以根据用户需求随时更改规则,比如:对一些信息的进与出有严格的规定,同时网站的访问模式也是防火墙可设定的范畴。只有这样,防火墙才能在某种程度上彻底拒绝不良信息的进入及非健康网站的访问,从而为网络营造一个健康和谐的运行环境。随着信息社会的发展、科技发明的日新月异以及人类与日俱增的文明需求,防火墙的概念也在发生着天翻地覆的变化。从最原始的古建筑内的真正防火到计算机网络中的防止不良信息入侵再到移动终端中防火墙的设置,防火墙的功能日益强大,但其本质意义不会改变,这些改变只是对防火墙意义的一种更深程度的延伸与扩展。
3 手机的防火墙
常用的手机防火墙安全设置有来电拦截防火墙和短信防火墙,一些未知来电的拦截及未知短信的自动过滤对于智能手机用户的信息安全有着重要的现实意义。
3.1 来电拦截防火墙
智能手机来电拦截功能的来源有两个途径,一个途径为用户在购买手机时,机体本身携带的拦截功能,实为手机生产厂商在手机出厂前已直接设置的来电防火墙;另一个途径则为用户在手机使用过程中根据个人需求安装具有此功能的软件从而设置的有具体拦截功能的防火墙。
来电拦截防火墙模块的主要设计方法如下:在模块内设定一个专门存储固定文本的文本框。当有电话号码打入手机时,全部当作黑名单处理,并把此时来电号码与文本框中的固定文本进行比对,若比对结果一致,则将手机系统模式转换为静音状态。换而言之,即将用户对手机的直接手动控制转换为手机自身系统的间接拦截。待对方因未接通而挂掉电话后将静音状态自动更换为正常模式。当手机用户有不想接听的电话的时候,只需将此人的电话加入黑名单,即输入到来电防火墙模块的文本框中,手机便会记录下此信息。当持该号码的用户打入时,系统就会自动更换模式为静音状态,从而保证智能手机用户有一个良好的手机使用环境。
此外,用户在使用来电拦截功能的时候,不仅可以将拦截号码的接听状态设置为静音模式,还可以在软件使用过程中对不同拦截来电使用不同的拦截方式,比如忙碌状态,停机,关机等的设置。同时对于一些有强烈反感情绪的来电号码可以使用空号设置,以防止此号码的再次打扰。
下面来主要分析一下开启来电拦截防火墙时的程序功能代码。用RINGER-MODE-NORMAL来表示正常接听模式时的代码,而RINGER-MODE-SILENT则表示当拦截来电号码开启静音模式时所使用代码。
正常接听电话,未开启来电拦截功能时:
3.2 短信防火墙
不同防火墙软件设置了不同的短信拦截方法,因此同样的短信防火墙的使用却会产生截然不同的拦截结果,同时防火墙软件还有反应快与慢的差别,然而不同短信防火墙软件的本质区别却主要在于短信过滤模块的设置。
短信防火墙中短信过滤模块的设置大致如下:
一般而言,短信的过滤要经过两个层次的先后逐层过滤。首先应根据智能手机用户设置的黑白名单来电号码进行第一层次的筛选与过滤,此为初级阶段的过滤,并未涉及短信内容的安全与否。接下来的第二次过滤即为对短信内容的审核与校对。大致操作流程如下:首先对发入短信启用实时的监测收听机制,若由监测结果得知有短信进入该智能手机用户则将携带此短信地址标识的字段直接取出,将地址字段与黑名单号码逐一进行比对,若该地址字段与其中一个黑名单号码一致,则可知发入短信为垃圾短信;若该信息的地址字段没有与黑名单中的任一号码重合,则可对地址字段进行下一层的比较判断。下一层的比较判断是主要针对短信内容进行审核,从中过滤出关键字,若关键字与短信防火墙拦截软件中已设置的关键字有重合,则得出此信息为垃圾短信;若此信息中没有之前设置的关键字,那么必须将短信内容经过文本分类之后在进行判断才能得出此短信是否为垃圾短信,文本分类是短信种类评定的最后一步,同时也是短信拦截防火墙软件的本质与核心部分。
那么如何选定短信内容中的关键词呢?又如何进行文本分类呢?下面来一一解答。
首先短信内容中的关键词选取工作,即为对能表达短信核心内容的词汇进行过滤与筛选。关键词也称为特征向量,因此只需要对短信内容进行词汇的分组整理并对每个词汇进行加权值的计算即可。称分组整理后的词汇为特征项,不同词汇即特征项的个数称为维数。对于相同的词汇内容,维数越低越利于加权值的计算从而利于关键词的最终选取。因此,降低短信内容维数就成了关键词选取的核心工作。
下面来研究短信拦截开启时的部分源代码。
将短信中的词语进行分组的代码分析:
将短信息中非关键词语进行处理的代码分析:
文本分类技术作为短信拦截防火墙的关键技术,可采用多种不同的经典算法。下面就其中应用最广泛的朴素贝叶斯算法做具体描述。朴素贝叶斯算法是在统计学的基础上发展而成的。贝叶斯算法不是绝对地将一个对象划分为一个已知的类,而是通过计算该对象的概率并找出最大概率从而更精确的将其分配给计算结果显示的最大概率对应的类;此外,在朴素贝叶斯分类中所有存在的属性都会对计算所得的概率结果产生影响,而非一个确定的属性单一片面地影响计算结果。
4 结语
Android操作系统以其本身存在的开放性、功能强大性、免费性成就了其特有的强大生命力,也因此受到开发商、运行商及广大智能手机用户的推崇。但伴随着该系统普及而来的手机信息安全问题也成为了人们关注的焦点。因此,基于Android手机的防火墙研究也被赋予了鲜明的现实意义。
参考文献
[1]尚明华,秦磊磊.基于Android智能手机的小麦生产风险信息采集系统[J].农业工程学报,2011,(5).
[2]姚昱旻,刘卫国.Android的架构与应用开发研究[J].计算机系统应用,2008,(11).
[3]李琴,陈立定.基于Android智能手机远程视频监控系统的设计[J].电视技术,2012,(7).
智能防火墙 篇5
【关键词】宿舍;智能防盗防火报警系统;工作原理;结构
随着智能化家居概念的不断推广及电子信息产业快速向生活领域渗透,实现家居信息化、网络化、智能化已成为家居系统发展的新趋势。传统的机械式(防盗网、防盗窗)安防系统在实际使用中暴露了很多隐患,例如:为其它没有安防盗窗的相近楼层形成被盗隐患、发生火灾时不易逃生等。本课题设计用STC89C52单片机实现的基于GSM短信模块的宿舍智能防火防盗报警系统。此系统由单片机控制模块、液晶键盘模块、GSM模块、存储器模块、人体红外感应模块和烟雾传感器模块组成,可解决传统安防系统存在的隐患,让宿舍防盗更及时、使用更方便。它不再依赖有线电话执行报警,而是借助最可靠、最成熟的GSM移动网络,以最直观的英文短消息形式,直接把报警情况反映到用户的手机屏幕上。它采用主动式红外传感器进行检测,变有形的传统防盗网防盗窗为无形。该系统采用现有电话网络,结合射频无线通信技术和单片机网络控制技术,具有自动化程度高、适用性强、电路设计可靠等优点。
1、设计要求和主要内容
本设计是基于单片机的家庭防火防盗系统的设计方案,主要包括烟雾、温度传感器模块,人体红外感应模块,GSM模块,液晶屏显示模块,单片机控制模块的设计。以下是设计要求:
(1)检测烟雾并能进行声光报警。
(2)检测人体并能进行声光报警。
(3)输入密码进入系统并能修改密码。
(4)异地监控。
2、软件的主程序设计
主要分为四大部分,键盘扫描程序,传感器检测程序,GSM模块程序,液晶屏的显示程序四部分组成。
本系统中,是否启动报警装置主要是输入密码进入系统,密码输入错误蜂鸣器会响,密码正确进入系统之后,根据室内烟雾浓度、温度的高低以及是否有异常的红外辐射来判断,无论检测到哪一方有异样,都会发出声光报警,然后通过GSM模块发出短信。当发出警报之后以下图4.1为系统软件总设计框图:
图4.1 总程序流程图
3 GSM模块程序设计
(1)TC35的连机方法
任何一个TC35模块首次使用时,必须要测试其工作是否正常,由于其自带RS232接口,所以我们可以用PC机的串口调试软件进行调试。
短信模式简介,SMS是由Etsi所制定的一个规范(GSM 03.40和GSM 03.38)。当使用7-bits编码的时候它可以发送最多160个字符;8-bit编码(最多140个字符)。通常无法直接通过手机显示;通常被用来作为数据消息,例如:smart messaging中的图片和铃声和OTA WAP设置。16-bit信息(最多70个字符)被用来显示Unicode(UCS2)文本信息,可以被大多数的手机所显示。一个以class 0开头的16-bit的文本信息将在某些手机上作为Flash SMS显示(闪烁的SMS和警告SMS)。
有两种方式来发送和接收SMS信息:使用文本模式或者使用PDU(protocol description unit)模式。文本模式(可能某些手机不支持)实际上也是一种PDU编码的一种表现形式。
短信模式的设置,GSM模块的短信模式有2种。第1种是:TEXT模式;第2种是:PDU模式。PDU模式可以采用unicode编码发送英文、汉字。但合成PDU码比较复杂,而TEXT模式只能发送英文,但无须编码。实际使用可以采用TEXT模式。
短信的发送方法,发送“AT”,AT 回车,发送接收的手机号码,等待应答:AT+CMGS="13822376232"回车(目的地址)TC35回应: AT+CMGS="13822376232",输入短信息的内容(只能是英文):Test 回车。改变波特率“AT+IPS=XXXX"。TC35的默认波特率是19.2k,实际使用时,可以改成9600或38.4K,方法如下:AT+IPR=9600 回车。
4.液晶显示程序设计
1602液晶模块内部的字符发生存储器(CGROM)已经存储了160个不同的点阵字符图形,这些字符有:阿拉伯数字、英文字母的大小写、常用的符号。
使用1602时,应首先对其进行初始化设置。通过RS确定是写数据还是写指令。写指令包括使液晶的光标显示/不显示、光标闪烁/不闪烁、需/不需要移屏、在什么地方显示等;读/写控制端设为写模式,即低电平;将数据或指令送达数据线上;最后给E一个高脉冲将数据送入液晶控制器,完成操作。
以下图为该模块具体流程图:
图4.2 1602液晶显示流程图
5键盘扫描程序设计
按键扫描程序流程图如图所示:
16个按键功能如下:
按键0到9:分别为数字0到9;
按键*:退格;
按键#:确认;
按键A:上锁;
按键B:修改密码;
按键C:显示密码;
按键D:返回;
6 传感器检测程序设计
HC-SR501:1、人进入其感应范围则输出高电平,人离开感应范围则自动延时关闭高电平,输出低电平。2、光敏控制(可选择,出厂时未设)可设置光敏控制,白天或光线强时不感应。3、温度补偿(可选择,出厂时未设):在夏天当环境温度升高至30~32℃,探测距离稍变短,温度补偿可作一定的性能补偿。4、两种触发方式:(可跳线选择)
a、不可重复触发方式:即感应输出高电平后,延时时间段一结束,输出将自动从高电平变成低电平;
b、可重复触发方式:即感应输出高电平后,在延时时间段内,如果有人体在其感应范围活动,其输出将一直保持高电平,直到人离开后才延时将高电平变为低电平(感应模块检测到人体的每一次活动后会自动顺延一个延时时间段,并且以最后一次活动的时间为延时时间的起始点)。
MQ-2:电压为5V,输出TTL信号LED指示。双信号输出,模拟量TTL电平输出. TTL输出有效信号为低电平,模拟量输出0~5V电压,浓度越高电压越高。烟雾检测与人体检测的流程图如图所示:
小结
智能防火墙 篇6
Java智能卡是在智能卡硬件系统的基础之上,在卡片内通过软件构建的一个支持Java程序下载、安装和运行的软、硬件系统。Java智能卡最初由Schlumberger工程师提出,后来其他公司如Bull和Gemplus,参加到Schlumberger中来,形成Java Card Forum[1]。最后Sun公司加入,并和其他智能卡厂商一起开发出Java Card规范,目前最新的规范版本是Java Card 3.0.5。
与传统智能卡产品相比,Java智能卡具备平台无关性、支持一卡多用和重用、灵活性、安全性等优势,在移动通信、金融证券、交通运输、身份识别等领域具有广泛的应用[1]。目前,国家在大力推进智慧城市和物联网建设,SIM卡、银行卡、交通卡、社保卡等逐步更换为智能卡产品,Java智能卡在上述产品中占据较大的市场份额。
Java智能卡在设计时充分考虑了应用环境的安全性,采用了CAP校验、原子性和Applet防火墙等多种安全机制[2],其中Applet防火墙作为不同Applet程序之间进行数据隔离的唯一手段,其安全性关系到整个Java智能卡的安全。
目前针对Java智能卡的研究中,主要集中于两个方面。一是针对Java智能卡的字节码校验、交易机制以及算法等功能提出新的实现方法或者框架,如Massimiliano Zilli等提出一种轻量级的Java卡压缩算法[3];Dawei Zhang、Zhen Han和Wei Jin基于对象本地化提出一种优化的交易机制[4]。另一方面是针对特定Java智能卡及Applet防火墙中存在的某些漏洞进行脆弱性分析,比如Jip Hogenboom和Wojciech Mostowski提出的利用类型混淆技术(Type Confusion)对某种类型Java智能卡进行的内存读写攻击[5];以及Michael Lackner、Reinhard Berlach等针对类型混淆和缓冲区溢出攻击提出合并方式的解决措施[6]。
上述分析方法往往缺少系统性的手段,较少关注产品的实现方式是否与规范一致。而现今针对传统安全产品和服务的脆弱性分析往往是建立安全知识库,及时发布脆弱性漏洞和修补措施,智能卡产品亦是如此。
本文从一致性评估、安全性评估等角度对Applet防火墙的整体安全进行评估,并结合目前已有的实现方法,提出系统性的安全评估技术。
一致性评估主要是评估目标对象Applet防火墙的实现方法与Java智能卡规范中的要求是否一致,特别是针对对象异常和数据边界的处理方式,实现不当容易造成数据泄露[7]。Applet防火墙实现的主要内容是不同Applet间的数据共享机制,因此Java智能卡支持的数据共享方式是一致性评估的重点。
安全性评估主要是通过收集Java智能卡以及Applet防火墙的攻击防护方法,建立攻击知识库,并形成测试工具和方法集合,对评估对象进行单独或者组合攻击,以此衡量产品的安全性和健壮性[8]。
2 Applet防火墙
由于Java智能卡支持多应用,即允许多个Applet同时存在于同一智能卡中,因此Java智能卡平台需要提供一种机制将应用相互隔离,即保证某一Applet不能随意访问其他Applet的对象或域。Java智能卡防火墙的主要功能是对不同Applet程序之间的内存空间进行隔离和访问控制[1]。默认情况下,一个Applet程序不能访问其他Applet程序的方法、属性,即便方法和属性是Public属性[9]。
但是,由于业务的需要,部分Applet程序需要调用其他程序的方法和数据,比如支付Applet程序,在支付环节发送验证码验证用户身份时,需要调用短信Applet程序。Applet防火墙提供一套机制,可用于不同Applet程序之间的数据共享。提供共享服务的Applet程序通过继承指定接口程序,可为其它Applet程序提供数据。如果出现未授权的访问请求,JCRE会抛出Security Exception异常。
3 Applet防火墙安全评估
3.1 一致性评估
一致性评估是安全性评估、性能评估等其他测试评估的基础,类似于传统系统的扫描测试,一致性评估有利于发现Applet防火墙实现中的漏洞,进而为后续攻击提供切入点。与传统网络协议一致性评估不同的是,由于Applet防火墙作为Java智能卡COS的系统组件,评估的主要方法是安装测试Applet套件到智能卡上,通过Applet的输出结果来测试系统组件的实现是否与Java智能卡规范要求一致,这种测试方法实际上是一种灰盒测试。由此可知一致性测试的重点和难点是设计完备的测试Applet套件。
由于评估方法的不同,传统网络协议一致性测试套件均无法应用于Java智能卡,但是在设计和实现方法上却有共同之处,如应支持自动化执行和有效的结果展示方法等。针对Applet防火墙,本文提出可在Java智能卡集中开发环境的基础上,利用完备的Applet防火墙测试套件,并提供自动化编译和执行方法,最后通过界面输出测试结果,如图1所示。
Applet防火墙的主要功能是支持不同Applet间以及Applet同JCRE间的数据交互。具体来说,这些机制包括JCRE上下文及其访问权限、全局数组、入口点对象、共享接口及对象共享。因此,针对Applet防火墙的一致性评估主要是评估几种不同的数据共享方式与Java智能卡规范的要求是否一致。
3.1.1 全局数组
在Java智能卡中,有时一些数据需要被所有的Applet和JCRE执行上下文共享,为此引入了全局数组。防火墙允许JCRE指定基本数组为全局,此后数组的公共域即可被任何执行上下文所访问。当前Java智能卡规范中定义的全局数组只有APDU缓冲区数组和被当做Install方式输入参数的b Array数组[9]。
在对Java卡全局数组进行安全评估时,可针对APDU缓冲区数组和b Array数组设计测试脚本,对目标对象的异常处理进行测试,评估是否存在处理不一致的情况或者数据泄露的风险。如apdu.get Buffer()方法为JCRE调用返回APDU缓冲区数组,如果当前执行上下文为指定Applet上下文,根据Java智能卡规范,赋值给其局部变量数组实例值是不允许的,尝试赋值时,会抛出Security Exception异常。
3.1.2 入口点对象
JCRE可以访问任何Applet的执行上下文,但是反过来,Applet不能任意访问JCRE,但是有时候需要调用JCRE的系统服务。Applet智能卡引入JCRE入口点对象来完成此访问。指定的Applet对象实例通过访问JCRE入口点对象的公用方法来完成系统调用。Java智能卡定义了临时JCRE入口点对象和永久JCRE入口点对象[10]。
在对Java智能卡入口点对象进行安全评估时,可针对入口点对象单独或组合设计测试脚本,对目标对象的异常处理进行测试。如apdu为临时JCRE入口点对象,根据Applet防火墙规范的要求,临时JCRE入口点对象的公用方法可被任何执行上下文所调用,但是出于安全方面的考虑,临时JCRE对象入口点对象引用不能被存入任何类变量、实例变量和数组。
另外,对于JCRE临时接入点对象,如果不在JCRE执行上下文中,根据Applet防火墙规范的要求,可以对其进行格式检查和赋值操作,不会抛出异常。
3.1.3 共享接口及对象共享
Applet能够访问不同Package中声明的共享方法,提供共享方法的服务Applet需要定义继承Javacard.framework.Shareable的接口,并在指定的类中实现该接口[10]。对共享接口及对象共享进行一致性评估,主要是根据Applet防火墙规范的要求,对不同包中共享接口、共享对象的访问权限方法进行遍历,通过观察防火墙抛出异常的方式或者不抛出异常,来评估与Applet防火墙规范要求的匹配程度。
另外,Java智能卡的规范存在多个版本,在Java智能卡共享机制执行动态方法链接时,如果Client和Server使用不同版本的共享接口,有可能导致类型混淆(Type Confusion),因此针对特定的Java卡,可设计不同版本类型的共享程序,以此评估目标对象的一致性。
在对Applet防火墙进行一致性评估时,可以同健壮性评估结合在一起组合测试,即通过在上述正常测试脚本的基础上,增加超长字符、乱码、恶意Applet等,验证是否出现敏感信息的泄漏。
本文选取上海华虹公司的Java智能卡芯片,利用Java智能卡一致性评估平台对Applet共享方法进行验证评估,如下为全局数组实例的验证结果,通过在被测芯片上安装测试Applet组件,并发送CLA指令,通过Applet的响应结果来验证Applet防火墙的处理是否正确。
3.2 安全性评估
针对信息安全产品或者信息系统进行安全评估,除产品功能可按照相关国际标准或者国家标准进行测评,安全性评估及脆弱性评估由于各个机构的资源、成本等因素限制,测试结果往往参差不齐,另外零日漏洞以及新攻击方法的出现往往对Java智能卡的安全造成严重影响,需要及时响应处理。
目前常见的针对Java智能卡以及Applet防火墙的攻击方法,主要包括信息收集、类型篡改、兼容性攻击以及密钥攻击等,各种攻击方法的最终目的是篡改或者获取Applet中的敏感数据。Applet防火墙实现不当可能导致上述攻击方法被成功执行,造成Applet中的敏感信息泄露给其他Applet。
本文提出建立Applet防火墙安全性测试平台,通过利用已知的针对智能卡、Java智能卡以及Applet防火墙的攻击技术,形成攻击测试知识库,知识库可根据需要进行动态更新,并可形成攻击工具集合,以便提高攻击效率。同时,收集Applet防火墙的相关标准、研究报告以及其他信息,为知识库提供数据支撑。该测试平台有利于全面、系统地对Applet防火墙的安全性进行评估;并且通过分析已有研究成果及攻击方法,可为标准制定、攻击更新提供平台支撑。
3.2.1 信息收集
传统的攻击方法第一步总是信息收集,对于可开放下载应用的Java智能卡来说,向卡上装载一个带有恶意代码的应用并运行它,虽然普通的攻击行为会被Java智能卡拒绝,但通过收集拒绝或者报错信息,仍可完成加密算法遍历、统计已有应用等信息收集。完成这项工作可为之后的漏洞攻击做铺垫。另外,通过阅读生产厂商提供的开放文档等公开信息,也可进一步获取信息[11]。
3.2.2 类型篡改
由于Java智能卡支持多Applet应用,为了防止恶意开发者上传攻击性Applet应用,Java卡提供了CAP文件字节码校验功能。CAP文件字节码校验划分为卡上校验和卡下校验,主要对CAP文件和EXP文件的合法性进行校验,具体检查对象包括头文件、所有类文件。由于其转换和下载到卡内的时间并不连续,因此攻击者可以通过CFM(Cap File Manipulator)工具进行CAP文件篡改,从而可以实现将恶意应用程序加载到Java卡中[12]。
如图4所示,共享接口的公共方法的输入参数是byte[4],通过类型篡改,使输入参数修改为short[4],导致客户端Applet可访问的空间扩大一倍,达到读取内存空间的目的。
尽管Java Card 3.0的VM标准中,强制规定实现卡内字节码校验,这使得之前所有基于CAP文件篡改的逻辑篡改都将失效。但是,一方面,市面上仍然存在大量没有采用最新标准的Java卡,因此此漏洞仍然存在;另一方面,即便是采用最新标准的Java智能卡,如果事务程序回退机制存在Bug,仍然可以利用此漏洞。
3.2.3 兼容性攻击
目前Java卡广泛应用于移动通信、银行金融、公共交通等领域,每个领域均有自己定义的规范标准,同时,每个标准或者标准内部也有子版本更新,版本的兼容性对于基础Applet程序或者基础库至关重要。如果不同版本之间任意滥用,有可能导致意想不到的结果。
如图5所示,Applet Package在CAP文件中实现具体的方法,并且在EXP文件中进行声明;Applet通过EXP文件中的声明调用相应方法。EXP文件是Applet和Package的链接,由于EXP文件不会部署到卡上,这就要求输入参数和返回值类型必须一致。不兼容性可能导致数据的泄漏以及功能异常。
3.2.4混合攻击
目前Java智能卡产品均采用了多种安全加固机制,导致之前的逻辑攻击技术,如类型篡改、兼容性攻击等失效。对于这种情况,我们可以结合物理攻击、旁路攻击、逻辑篡改等智能卡攻击技术,修改或者监听程序处理逻辑,特别是对于Applet间数据交互过程和Applet装载校验过程,由于涉及到不同业务应用,可能引起数据泄露。
比如Applet程序经过编译、连接形成CAP安装文件后,我们利用特殊工具增加类型篡改等恶意代码,在进行卡上校验时,由于最新Java智能卡均采用证书签名等加固校验技术,正常情况下无法通过校验。这里我们可以利用智能卡物理攻击和旁路攻击技术,跟踪并确定CAP校验判定的位置,使指定位置的校验判定结果反转,从而使恶意程序安装到Java智能卡上,从而为进一步的攻击做好铺垫。
需要说明的是,物理攻击技术非常有效,但是成本较高,需要昂贵的仪器支撑;同时,操作较为复杂,需要掌握物理、化学和计算机等多种学科知识。
4 结束语
针对Java智能卡以及Applet防火墙的攻击手段和方法种类繁多,如何全面、系统的评价Java智能卡以及Applet防火墙的安全是一个亟待解决的问题。本文从一致性、安全性评估角度对Applet防火墙的安全性进行脆弱性评估,并借鉴传统信息安全产品的经验,提出建立攻击知识库和测试工具箱,收集常见的Java智能卡攻击方法,形成较为完备的评估集合。
目前相关的厂商和研究者也开发了相应的工具和技术,协助进行安全评估。比如Riscure公司开发的JCwork Bench平台能够依据不同的智能卡标准对Java卡平台的安全功能进行一致性评估;另外,针对类型篡改攻击,目前很多研究是通过卡上攻击来检验Java卡平台的安全,Pietro Ferrara提出了一种Java卡Applet防火墙静态分析工具,在卡外就可判断Applet防火墙的安全性[13]。
智能防火墙 篇7
今天, 高级威胁和0day攻击正变得肆无忌惮, 因为他们能高度规避检测, 传统的基于特征的防护渐渐力不从心, 安全防护思路和架构的转变已是大势所趋, 从基于已知威胁的防御转变为基于未知风险的预防, 这一转变需要更加智能的安全思路才能实现。
国际权威分析机构Gartner认为, 今天的安全技术正在经历着一个根本的变革 (paradigm shift) , 从被动的以威胁为核心的技术向主动的以风险为核心的方向转变。安全管理也从一个花钱耗力的成本中心变成一个安全意识的教育中心。
传统基于威胁的安全模式失效
在IT应用迅速变革的今天, 一分钟之内可以发生多少事情?在QQ空间上有14万图片被下载, 在新浪微博上有9.54万次微博被发出, 在淘宝网上有8300次交易在进行, 在朋友网上有6000对朋友相识。
然而, 令人担忧的是, 随之而来的危机无处不在。今年5月, 雅虎2200万用户的信息被窃取, 4月, 有一个恶意病毒让一家石油公司的记录全部消除, 在花旗银行已经发生过36万帐户被窃取。
今天的种种攻击事件, 越来越多地与隐蔽的、持续的高级威胁 (APT) 相关, 它们对攻击目标造成损失是令人难以承受的。山石网科市场副总裁张凌龄表示, 随着这一类攻击的扩散, 传统的基于威胁的安全模式不再有效。
在传统的基于威胁的安全模式下, 安全系统是先确定需要防范的威胁类型再有针对性地去防范:对病毒和木马文件传输, 有防病毒解决方案;对基于网络的应用层攻击, 有IDS/IPS解决方案方案;针对新的攻击类型, 则通过向检测规则数据库中添加IPS规则。
“然而, 面对由APT威胁和0day攻击带来的未知风险, 你根本无从先行判断攻击是什么, 就更别谈对其进行防御。”张凌龄表示, 这样一来, 从流量中查找行为特征来判断攻击发生与否的新技术渐行渐近, 安全模式也开始从被动的、基于威胁的模式 (仅关注威胁, 处理已知威胁) 转向主动的、基于风险的模式 (将资产、威胁及漏洞都纳入考虑范围, 能处理未知威胁) 。
未知威胁检测需求逐渐升温
在这种以风险管控为核心的安全模式中, 实时监控和早期检测变得非常的重要, 安全界需要更加智能的新技术, 能够在网络正常运行时也能实时检测到变化, 从这些变化中发现潜在威胁并在威胁真正发生之前阻止它。
“这就需要一种技术, 能够在正常的网络活动中发现‘变化’, 找到攻击或者入侵的早期征兆, 从而实现我们中国人所谓的‘防范于未然’。”山石网科产品副总裁王钟表示。
这样的观点得到业界认可。Gartner研究总监张毅指出。传统基于威胁的防范技术正在向基于风险的防范技术转变, 智能安全将成为未来网络安全领域的新主题:互联网是企业运营甚至国家运转的重要平台之一, 企业的网络安全环境面临严重考验, 层出不穷的各种威胁给网络使用者带来困扰, 企业无法承受因安全问题带来的巨大损失。
“如何提前预知安全威胁存在, 如何在损失发生之前控制安全威胁, 是企业用户重点关注的问题, 预计未来将有十分广阔的市场。”张毅表示。
防火墙产品通常是企业保证网络安全的措施之一, 通过核心的过滤技术, 对已知的危险进行防范。但依据上述分析, 随着企业对网络安全要求的提高, 提前防范风险已经成为一种趋势, 也就是要求下一代防火墙在危险真正发生前就要有所预警, 具备“智能”功能。
众所周知, 防火墙产品从上世纪九十年代至今, 历经系统架构和软件形态的多次革新, 从最早的基于包过滤的防火墙到状态监测防火墙, 到今天下一代防火墙 (NGFW) 的崛起。
那么, 下一代防火墙该如何具备“智能”功能?
打造下一代“智能”防火墙
在王钟看来, 下一代智能防火墙就是在准确、深度辨识用户身份、服务器和应用的基础上, 对其进行长期监控;分别以全网健康指数对网络健康状态打分;以行为信誉指数对用户及服务器状态打分, 然后对“高危”人员或者“高危”服务器实行相应的预警或者有效的控制。
以对用户行为信誉度打分为例, 比如说发现某一用户有大量非法下载, 使用网络扫描工具, 并且多次重试服务器密码等行为, 这些关联的事件会影响该用户在网络中的信誉分数。他的这些行为会引起管理员的警觉。
王钟认为, 下一代智能防火墙是基于风险的安全解决方案, 优于增强型下一代防火墙, 通过持续监控、收集和分析流量及可用性数据, 主动查找可能影响网络运行的异常行为和潜在的网络问题。基于信誉的访问控制将健康状态和风险级别与访问级别关联起来, 通过感知到的风险动态调整访问级别, 可以降低企业网络和服务的运营风险。
“我们以前瞻性的思维把握住了这个新主题。”张凌龄表示, 山石网科结合国内企业级用户的安全需求, 把智能安全与下一代防火墙完美结合, 成功在今年6月份发布了下一代智能防火墙T5060, 将“智能”与“防火墙”相结合。
据王钟介绍, 下一代智能防火墙的技术愿景要真正实现需分为三个阶段完成:第一阶段以实现全网的健康状态的检测和监控为核心;第二阶段, 实现对用户、服务器及服务的行为信誉监控, 并且通过关联分析对僵尸网络、异常行为及APT攻击做预警和报告;第三阶段, 将在监控和报告的基础上, 实现动态的策略调整和控制。
智能楼宇防火报警联动系统的设计 篇8
1 火灾自动报警系统的简介
火灾自动报警系统是指火灾初期其将燃烧产生的烟雾、光辐射和热量等物理量, 通过感光、感温和感烟等火灾探测器变成电信号, 并将电信号传送给火灾报警控制器, 同时显示出火灾发生的位置, 记录火灾发生的时间。火灾自动报警系统的工作原理如图1所示。
2 火灾自动报警系统的构成
火灾自动报警系统是由触发器件、火灾报警装置及具有其他辅助功能的装置组成的系统。其中, 触发器件主要包括火灾探测器和手动火灾报警按钮。火灾探测器是火灾自动报警系统中的传感部分, 是组成各种火灾自动报警系统的重要组件, 能对火灾参数 (如烟、温度、火焰辐射、气体浓度等) 及时响应, 并自动产生火灾报警信号, 或向控制和指示设备发出现场火灾状态信号。
3 火灾自动报警联动系统设计
3.1 智能建筑情况和系统的选择
考虑到该系统的设计需要, 以某高校的勤学楼为例, 勤学楼为学生上课的主教学楼, 教师、学生来往频繁, 因此要做好防火保护工作。勤学楼共六层, 第一层高约5m, 二层至六层每层高约4m, 共计25m。每层建筑约1500m2。根据《高层民用建筑防火设计规范》, 该勤学楼为二类建筑, 耐火等级为二级。根据该建筑的实际情况, 每层应设置一台区域显示器, 作为区域报警器使用, 共六台区域显示器和一台集中报警控制器及相关联动控制装置。
3.2 报警区域和探测区域的划分
勤学楼共六层, 依据《火灾自动报警系统设计规范》将其界定为二级保护对象, 在划分防火分区时, 应满足每个防火分区允许最大建筑面积不超过1500m2的规定。将火灾自动报警器系统警戒的范围按照防火分区或楼层划分的报警单元称为报警区域。一个报警区域是由一个或同层相邻几个防火分区组成。而探测区域是指将报警区域按照探测火灾的部位划分的单元。探测区域可以是一个探测器所保护的区域, 也可以是几个探测器共同保护的区域。由于勤学楼是二级保护对象, 按规范规定, 可以把勤学楼的探测区域划分如下: (1) 勤学楼主楼层均为面积相差不大的教室和教师休息室, 因此, 每个楼层每个教师需要单独划分一个探测区域; (2) 敞楼梯间每隔2~3层划分一个探测区域, 并设置一个火灾探测器; (3) 前室和走道 (包括消防电梯前室、防烟楼梯间前室、消防电梯与防烟楼梯间合用的前室) 分别单独划分探测区域。
3.3 火灾探测器的选择和布置
火灾探测器, 是以物质燃烧过程产生的现象为依据, 对探测区域内某一点或某一连续线路周围的火灾参数敏感响应的触发装置。勤学楼是学生的公共场所, 不仅有大量的学生经常进出学习, 而且教学楼内设有大量的桌椅、电脑办公设备和书本文件等学习资料。在该状态下如果发生火灾, 必定会产生大量烟雾。因此, 应以感烟探测装置为主。本次设计在以性价比高的前提下, 尽量最求最高的系统可靠性、最低的误报率。而散射式光感烟探测器利用红外光散射的原理对烟雾进行浓度探测, 不仅对环境污染小, 而且误报率较低, 是勤学楼火灾探测器的最佳选择。散射式光电感烟探测器原理图如图2所示。
根据《火灾自动报警系统设计规范》的规定, 对勤学楼的火灾探测器进行如下布置和安排:参考勤学楼平面图, 主楼区六层各教室, 按座位数量分别有138座、125座、75座和62座四类教室和教师休息室。其中, 138座和125座教室按面积计算安装两只探测器就可满足要求, 75座和62座教室按面积计算安装一只探测器就可满足要求, 各层楼梯间和教师休息室同样均设置一只火灾探测器。最后考虑走廊, 根据计算安装6只探测器, 均采用居中平均布置, 并保证探测器周围0.5m内没有遮挡物。
3.4 手动报警按钮设置
手动报警按钮具有在紧急状况下人工手动通报火灾情况的功能, 是火灾报警系统中的手动触发装置。
据调查了解到的勤学楼建筑的实际情况, 最合理的设计是在每层分别设置6只手动报警按钮, 其底边距地高度在1.3~1.5m为宜, 且平均分布在走廊的墙上。根据《火灾自动报警系统规范》的规定, 手动报警按钮应保证最近的一个火灾手动报警按钮到任何位置的防火分区的距离在30m以内。
3.5 消防联动的设置
3.5.1 消防联动系统的组成
消防联动控制系统作为火灾报警控制系统的最后一个部分, 包含消防、排烟控制系统, 消防给水控制系统和火灾紧急广播、通信系统。其中, 消防、排烟控制系统包括防火门、防火卷帘的设计和排烟阀、排烟风机的设计;消防给水控制系统包括消火栓给水系统和自动喷水灭火系统。现着重介绍联动控制中防火卷帘门的控制设计。
3.5.2 防火卷帘门的控制
建筑物内的敞开电梯厅及一些公共建筑因面积过大, 超过防火分区最大允许的面积, 应设置防火卷帘门。防火卷帘门一般用钢板等金属材料或用非金属复合防火材料制作。
防火卷帘门平时处于收卷 (开启) 状态。一般情况下, 当火灾确认后, 防火卷帘门应采取两次控制下落方式, 第一次由感烟探测器控制下落距地1.5m处停止;第二次控制下落直到地面, 并及时报警, 将动作信号送出。在消防工程的应用中, 防火卷帘门通常与消防控制系统联动, 在操作中, 有两种控制方式:手动控制和自动控制。
(1) 手动控制。在消防控制中心设手动控制盘, 手动控制盘上设有控制防火卷帘门的卷放按钮和状态指示灯, 当火灾确认后, 操作人员通过操作按钮来实现控制, 不受感烟探测器的影响。
(2) 自动报警控制。出现火灾后, 感烟探测器会将报警信号送入火灾自动报警控制器, 通过控制模块和返信模块实现防火卷帘门的卷放和状态接受。
图3为防火卷帘门的电气控制电路和卷帘电机主电路图。原理如下:当火灾确认后, 消防控制中心或区域报警控制器发出信号, 使触头SM-1闭合, K1得电, K1-1闭合, KM1得电, 使下部控制电路获得直流电, 于是电动机旋转;防火卷帘门下降至距地面约1.5m处;同时K1-3闭合, K5得电;K1-5闭合, 警铃HA得电鸣响;KM1闭合, K5-3闭合, 信号灯HL得电点亮;在下部控制电路中, 触动行程开关SQ1闭合, 使K3得电, 触头K3-2打开, KM1失电, 电动机停转。当火势进一步发展时, 消防控制中心或区域控制器发出信号, 使触头SG闭合, K2得电, K2-1闭合, 使KM1再次得电, 于是电动机再次启动, 将防火卷帘下降至地面, 且触动下限位行程SQ2, 使K4得电, K4-2断开, KM1再次失电, 电动机停转。火灾扑救后, 在现场就地按动按钮SB2, KM2得电, 电动机得电, 反向旋转, 使防火卷帘门上升, 直到全部上升为止。在电路中, 按钮SB1是手动下降按钮, 按下SB1, KM1得电, 电动机旋转, 防火卷帘下降。
3.5.3 防火卷帘门的设计
图4即为防火卷帘门的安装设计图。通过电控盒和其他电动装备, 可实现防火卷帘门的电动启动, 通过手控盒和图3中的手动电气控制, 可手动实现卷帘门的上升和下降。
4 结论
随着我国经济社会的快速发展, 各种致火因素不断增加, 楼宇重特大火灾也时有发生, 给人们带来了巨大的灾难和损失。因此, 一套健全的楼宇防火报警联动系统在现代生活中显得尤为重要。本系统采用散射式光电感烟传感器和手动火灾报警按钮为触发器件, 将感应的火灾烟雾信号转变为数字模拟信号, 并传递给火灾报警控制器, 从而报警鸣笛, 驱散人群后, 实现相应的联动控制, 如自动喷水灭火和启动防火卷帘门等设备, 以一系列智能化的设备实现楼宇防火报警联动的目的, 可广泛运用于各智能化建筑。
摘要:随着计算机技术和自动控制技术的迅猛发展, 智能建筑应运而生。智能楼宇防火报警联动技术作为智能建筑的重要组成部分, 是现代高科技技术的结晶。该设计系统采用火灾探测报警、火灾信息传输和报警消防联动控制等自动化技术, 以某高校教学楼为分析对象, 采用区域报警系统和集中报警系统, 选择相应的火灾探测器和火灾报警控制器等相关部件, 详细设计了联动部分的防火卷帘门的电气控制和安装, 以达到楼宇消防报警自动化的效果。
智能化住宅防盗防火报警系统 篇9
1、系统的起源。
伴随着经济的发展, 中国关闭百年的国门逐步开放, 特别是自改革开放以来, 中国的大城市开始了大发展并引来许多外地人口, 然而外地人口的大量涌入不仅促进了城市的经济的发展, 同时也给城市带来了大量的治安问题。失窃、入室抢劫等案件时有发生, 甚至在某些郊区情况尤其严重, 大量恶劣性事件的发生引起了公安部门以及社会各界人士的重点关注。为了防止这些恶劣性事件的再次发生, 居民们自发开始安装铁门, 甚至为小区安装带有尖锐性物质的铁栏, 但即便如此, 这类事情依旧在不停地发生, 即使部分小区开始雇佣保安进行巡逻甚至组织陌生人进入小区也并不能完全阻止这种情况的发生。而且在经过一段时间的经历后, 人们发现这些方法不仅无法阻止这些恶劣情况的发生, 而且一旦发生危险的事情, 还容易将救援人员拦阻在外, 不利于救援人员展开救助行动。而且从城市的美观来看, 此举让城市显得不雅观, 于是在国家的推动和人民的强烈要求下, 智能化报警系统开始出现在人们的视线中。该系统出现在智能化住宅迅猛发展的年代, 它是根据客户保证安全的要求而设计出的报警系统。该系统通过传感器检测以及红外线监视还有温度监视器从而在根本上保证人们的人身以及财产安全。
2、目前发展的情况。
智能化住宅自面世以来深受人们的喜爱并获得迅速发展, 而智能小区则是在此基础上扩展并延伸出来的。智能化小区的中心就是保证人们财产以及人身安全。不过智能小区最明显的弊端就是邻里之间的关系并不亲密, 现代化的居住格局将人们如同小鸟一般锁在屋子里, 邻里之间来往也不再密切, 使得各家各户家庭隐私保密性越来越强, 但是封闭性也越来越强, 开放性也越来越弱, 这也是导致社会上人情味儿越来越淡的重要原因之一。不过, 为了保证小区的安全性, 小区的安防系统和智能系统是密不可分的。不过值得我们注意的是智能化设备的成本价格不菲。考虑到这方面的原因, 居民的住宅小区周围因布满检测系统, 与报警系统紧密联系, 构成综合防范系统。如今, 在当今社会, 各国都致力于对防火防盗系统研究, 以此试图降低该系统的成本却增加该系统的安全性。
二、系统设计方案
1、智能报警系统的总体构成。
智能化报警系统的开发设计方案最初是借鉴与参照国外的设计方案, 然后结合我国的实际国情, 吸取其他各国成功与失败的经验教训以及社会各方面的协调, 通过检测系统与报警系统的紧密结合从而提出来的。智能化住宅防火防盗系统是一种新型的报警系统, 它在以前系统的基础上加以研究和发展, 利用红外线等高科技对住宅周围的环境进行监视, 该系统可以将探测与通讯结合, 当探测系统监测到任何异常情况时就可以迅速通过通讯系统将异常情况反映到监控室, 及时阻止不良情况的发生, 保证人们安全。根据科学数据显示, 该系统是由三大科学技术组成的防火防盗系统, 即电子探测、智能控制和电话通讯技术。防火防盗系统总体是由探测器和报警器还有通讯器三个模块构成的。该系统可以用不同类型检测器对小区各个地方进行检测, 通过不同角度的捕捉检测是否有有异情况的发生, 而报警系统则通过各个检测系统收集数据并对数据进行分析, 当出现异常情况的时候, 通过通讯系统自动报警并反馈到总控制室。
2、报警系统的功能及工作过程。
笔者将根据上文的分析总结出智能化住宅防火防盗系统的特点与工作过程。首先, 系统为了使小区的报警系统能够安全并迅速的将情况反应给控制室并进行分析后传达给中央控制器特地采用全新模板化设计。
三、系统硬件设计
1、防盗探测器电路设计。
智能化住宅防火防盗报警系统最主要依靠的是它的电路设计, 其中最主要的是微波探测器的电路设计。什么是微波探测器呢?微博探测器是一种靠频率差异以及探测器的角度还有物体的移动速度的探测器。
2、防火探测器电路设计。
最后一种探测器则是我们熟知的温度探测器, 这种探测器通过温度检测周围是否有人活动或是否温度情况的出现从而阻止异常情况的出现。这种探测器的原理是通过温度的升降, 将其变化变成数字, 让温度信号直接变成数字体现出信息, 并且这种检测器采用的是计生电源供电方式, 保证在有效时间内提供足够的电流使检测器顺利完成工作。另外还可以采用一个MOSFET管和MCU的I/O口来上拉总线以确保该检测系统不会临时崩坏, 然后通过另一系取得温度值并对温度值进行控制。
参考文献
[1]王芳, 马幼军, 蒋国平.智能化住宅防盗防火报警系统设计[J].传感器技术, 2002, 10:25-27+33.
[2]汪振华.智能化住宅防盗防火报警系统设计与实现[D].电子科技大学, 2011.
[3]周峰.防火防盗报警管理系统的设计与实现[D].电子科技大学, 2013.