第一篇:典型应用之--VPN篇
花生壳典型应用之--VPN篇
VPN技术简介
1.1 概述
VPN的全称是Virtual Private Network,翻译过来一般称为虚拟专用网络。其主要作用就是利用公用网络(主要是互联网)将多个私有网络或网络节点连接起来。通过公用网络进行连接可以大大降低通信的成本。
一般来说两台连接上互联网的计算机只要知道对方的IP地址,是可以直接同通信的。不过位于这两台计算机之后的网络是不能直接互联的,原因是这些私有的网络 和公用网络使用了不同的地址空间或协议,即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。连个私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。这 样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。
由于VPN连接的特点,私有网络的通信内容会在公用网络上传输,出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过 一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道是需要一个专门的过程,依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个 VPN系统。一个完整的VPN系统一般包括以下几个单元:
VPN服务器,一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。VPN客户端,一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。VPN数据通道,一条建立在公用网络上的数据连接。
注意所谓的服务器和客户端在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。这个概念在两个网络之间的连接尤其明显。
1.2 应用情景
我们可以设想一下的情景:公司的总部在广州,有两个办事处分别在香港和上海,两个办事处的网络需要和总部连接,同时办事处之间也需要相互连接。解决这种问题以前只有一种办法就是分别申请两条专线连接总部和两个办事处,两个办事处之前的通信通过总部转发。长途专线的费用是非常昂贵的,在以前也只有银行、证券 公司以及大象企业才有能力负担。
有了互联网和VPN技术之后解决办法可以变成这样,总部通过一条专线和互联网连接,两个办事处分别在本地申请互联网的拨号连接。然后通过在互联网上建立两条VPN通道将三个网络连接起来。这样可以省去长途专线费用。不过互联网的专线连接也不便宜,这种解决方案暂时也只有大中型公司可以负担得起。
那么为什么总部必须使用互联网专线呢,这里牵涉到一个VPN的技术细节,在建立VPN通道的时候,连接的发起者必须知道接受连接的服务器的IP地址,就像我们打电话之前必须知道对方的号码一样。而普通的拨号连接每次上网的IP地址都不相同。不过现在有一个很好的解决方案,通过花生壳动态域名服务可以让一个拨号连接获得的IP地址与一个固定的域名绑定在一起,当建立VPN连接的时候,连接建立者只需要输入连接接受方的域名就可以了。不过接受方的IP地址怎么改变,这个域名都可以解释到接受方当前的Ip地址上。这样就可以省去一条互联网的专线连接,大大降低了通信的费用,这样VPN的解决方案中小型企业也可以负担得起了。
二、规划VPN接入环境
VPN不但可以用于上述网络对网络的连接,也可以用于单台计算机到网络的连接。在使用VPN的时候我们需要规划一下我们应用环境。
首先我们需要列出需要连接的节点以及节点的类型,以及之间的访问关系,即由谁发起连接和向谁发起连接的问题。这样我们可以确认在我们环境中确定哪些地方需要安装VPN服务器,哪些地方仅仅是配置客户端就可以了。
对于需要安装VPN服务器的地方我们需要一条比较高速的互联网线路,一个固定的IP地址,或者使用花生壳配置一个固定的域名。
下面的介绍时基于微软间操作系统进行的。微软的操作系统中提供VPN服务器功能的有Window 2000 Server和Advance Server,以及比较久的NT Server 4.0,当然这些操作系统也可以作为VPN的客户端。其他的则全部都可以作为VPN客户端。(Window95必须安装Dialup Network 1.3组件)。
确定了服务器和客户端之后,我们还需要规划个节点的IP地址。每个私有网络必须使用不同的地址段,在各自的地址段中必须划分出一部分用于VPN的接入。
以下的介绍我们都是围绕着Window2000的配置进行的。
三、配置VPN接入服务器
3.1 安装花生壳
只有VPN服务器才需要安装花生壳服务,在规划环境的时候必须为每台VPN服务器申请一个Oray护照。这样每台服务器就会有一个不同的域名。在客户端拨号的时候可以通过域名控制连接不同的网络。
一般建议花生壳直接安装在VPN服务器上,并配置为自动启动。这样只要服务器在线域名一定有效。当然如果VPN服务器也提供互联网共享的话也可以将花生壳安装在内部网络的任何一台计算机上,不过必须保证这台计算机不会在服务器在线的时候关机,以免域名失效。
3.2 网络连接准备
作为VPN服务器实际上就是一台路由器,一般需要安装两块或以上的网卡,其中一块网卡负责和互联网连接。另一块网卡则连接内部网络。在进行下面的配置之前首先必须检测服务器和互联网的连接是否正常。
另外很重要的一点就是必须保证服务器和互联网连接的网卡获得的是一个公网地址,即接入的ISP不是使用地址转换技术。检测的办法如下:
在命令行输入ipconfig,检查和互联网连接的网卡的IP地址,如果其地址在下列范围之一则不是公网地址,ISP使用了地址转换技术提供接入服务。这样就必须更换ISP。10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
3.3 配置路由和远程访问服务
激活路由和远程访问服务
在安装Window 2000 服务器或高级服务器的时候路由和远程服务是默认安装好的,不过没有激活罢了,因此我们需要首先激活路由和远程访问服务。步骤如下:
在程序/管理工具中,点击“路由和远程访问”。打开路由和远程访问服务管理界面,见图3-1
图3-1
当前的管理界面中尚未添加服务器,所接下来需要将本机添加进去,方法是在服务器状态上按鼠标右键,选择添加服务器,打开添加服务器的对话框,选择“这台计算机”,见图3-2
图3-2
按确定之后管理界面出现本机,并且处于停止状态,见图3-3
图3-3
接下来需要激活本机的路由和远程访问服务,在本级服务器上按鼠标右键,选择配置和激活路由和远程访问服务。系统打开路由和远程访问服务安装向导。按下一步出现想到的功用设置页面,见图3-4。
图3-4 选择手动配置服务器,实际上这是最简单的配置方法,我们暂时撇开复杂的概念,这个选择实际上已经将大部分我们需要的功能完成了。按下一步然后完成,系统会询问是否启动路由和远程访问服务,回答是。然后我们又回到管理界面。见图3-5
图3-5
接下来我们所需要改动的地方只有一个就是配置VPN接入是分配的IP地址。
配置接入的IP地址
VPN服务在接受了VPN客户端的接入之后就会为客户端分配一个IP地址,客户端就是用这个地址和服务器或服务器连接的内部网络通信。这个地址需要实现分配好,这个地址可以有两种配置方法:
1、使用和内部网络相同的地址段,这样远程接入的VPN客户就和直接连接在内部网络的计算机一样,其网络配置和在公司内部的计算机没有什么区别。这种方式适合于单机拨入的情况,但不太适合网络对网络的VPN互联。
2、使用和内部网络不同的地址段,这时候VPN服务器相当于一台路由器,比较和与网络对网络的互联。对于单机就比较麻烦,对于接入移动式办公的电脑最好还是选用第一种方式。
配置接入地址段的方法也有两种方法,一种是利用DHCP服务器,另一种就是直接在接入服务器上配置。前一种方法需要介绍DHCP服务器的使用,这里就暂不介绍了。以下是配置接入服务器自己的地址段的方法。
在接入服务器上按鼠标右键,点击属性,打开服务器的属性对话框,选择IP页面,如图3-6
图3-6 选择“静态地址”,按添加打开静态地址配置对话框,如图3-7
图3-7
输入其实抵制和结束地质,注意地址数量必须比最大的接入数量多一个,因为服务总是占用地址段的第一个地址。
3.4 配置访问权限
用户必须有相应的权限才能使用接入服务,这个权限是在用户管理工具中配置的。如果使用活动目录则必须使用活动目录的拥护和计算机进行管理,如果使用本机的账号则使用计算机管理中的用户和组的功能。
远程拨入的权限是一个个用户配置的,默认情况下所有用户都没有拨入权限。我们在用户管理中选择需要拨入的用户,打开属性对话框,选择拨入页面。在远程访问权限中选择“允许访问”即可,见图3-8
图3-8
四、配置客户端
这里介绍的客户端指的是单台PC连接VPN服务器的情况,即单机和网络的连接。关于网络到网络的连接我将在后续的文章介绍。
单机连接2000Server做的VPN服务器非常简单,和平时Modem拨号上网差不多。区别在于原来填写电话号码的地方现在必须填写VPN服务器的 Ip地址或域名。另外我们需要记住VPN是一种建立在已有的网络连接上的一种专用连接,即人和VPN都需要一个底层的网络连接,我们可以在建立VPN拨号 连接的时候指定底层连接(如连接互联网的拨号连接),这样在拨VPN的时候计算机会自动拨互联网的连接。当然你如果使用多种互联网连接或直接使用局域网类 型的连接。可以不指定这个底层连接,在拨VPN之前自己手工拨号上互联网。建立VPN拨号连接的方法如下:
首先打开控制面板里面的网络和拨号连接,点击新建连接。系统会打开拨号连接向导,按下一步,进入网络连接类型的选择,如图4-1
图4-1
选择通过Internet连接到专用网络,按下一步,进入公用网络配置,见图4-2
图4-2
如果你使用的局域网形式的接入选择,不拨初始连接,如果你使用一个固定的拨号网络连接互联网,则选择自动拨此初始连接,并选择对应的拨号连接名称。按下一步,进入目标地址配置,见图4-3
图4-3
输入VPN服务器的IP地址或域名,如果你的VPN服务器采用的是动态连接,这时花生壳就显示出其威力了,只需要输入了VPN服务器的动态域名,我们就可以省去大笔固定线路的租用费用了。按下一步,输入新建VPN连接的名称,见图4-4
图4-4
至此VPN客户端配置完毕。如果你有多个VPN服务器可以重复上述步骤,为每个VPN接入服务器建立相应的连接。
第二篇:VPN的典型隧道协议
VPN的典型隧道协议
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据(或负载)可以是不同协议的数据桢(此字不正确)或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。
新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。
注意隧道技术是指包括数据封装,传输和解包在内的全过程。
1、点对点隧道协议(PPTP)
点对点隧道协议(PPTP,Point-to-point Tunneling Protocol)是一种用于让远程用户拨号连接到本地ISP,通过因特网安全远程访问公司网络资源的新型技术。PPTP对PPP协议本身并没有做任何修改,只是使用PPP拨号连接,然后获取这些PPP包,并把它们封装进GRE头中。PPTP使用PPP协议的PAP或CHAP(MS-CHAP)进行认证,另外也支持Microsoft公司的点到点加密技术(MPPE)。PPTP支持的是一种客户-LAN型隧道的VPN实现。
传统网络接入服务器(NAS)执行以下功能:它是PSTN或ISDN的本地接口,控制着外部的MODEM或终端适配器:它是PPP链路控制协议会话的逻辑终点;它是PPP认证协议的执行者;它为PPP多链路由协议进行信道汇聚管理;它是各种PPP网络控制协议的逻辑终点。PPTP协议将上述功能分解成由两部分即PAC(PPTP接入集中器)和PNS(PPTP网络服务器)来分别执行。这样一来,拨号PPP链路的终点就延伸至PNS。
PPTP协议正是利用了“NAS功能的分解”这样的机制支持在因特网上的VPN实现。ISP的NAS将执行PPTP协议中指定的PAC的功能。而企业VPN中心服务器将执行PNS的功能,通过PPTP,远程拥护首先拨号到本地ISP的NAS,访问企业的网络和应用,而不再需要直接拨号至企业的网络,这样,由GRE将PPP报文封装成IP报文就可以在PAC-PNS之间经由因特网传递,即在PAC和PNS之间为用户的PPP会话建立一条PPTP隧道。
建立PPTP连接,首先需要建立客户端与本地ISP的PPP连接。一旦成功的接入因特网,下一步就是建立PPTP连接。从最顶端PPP客户端、PAC 和PNS服务器之间开始,由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中,所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道,因此PAC只起着通过PPP连接进因特网的入口点的作用。从技术上讲,PPP包从PPTP隧道的一端传输到另一端,这种隧道对用户是完全透明的。
PPTP具有两种不同的工作模式,即被动模式和主动模式。被动模式的PPTP会话通过一个一般是位于ISP处的前端处理器发起,在客户端不需要安装任何与PPTP有关的软件。在拨号连接到ISP的过程中,ISP为用户提供所有的相应服务和帮助。被动方式的好处是降低了对客户的要求,缺点是限制了客户对因特网其他部分的访问。
主动方式是由客户建立一个与网络另外一端服务器直接连接的PPTP隧道,这种方式不需要ISP的参与,不再需要位于ISP处的前端处理器,ISP只提供透明的传输通道。这种方式的优点是客户拥有对PPTP的绝对控制,缺点是对用户的要求较高,并需要在客户端安装支持PPTP的相应软件。
通过PPTP,远程用户经由因特网访问企业的网络和应用,而不再需要直接拨号至企业的网络。这样大大的减少了建立和维护专用远程线路的费用。且为企业提供了充分的安全保证。另外,PPTP还在IP网络中支持IP协议。PPTP“隧道”将IP、IPX、APPLE-TALK等协议封装在IP包中,使用户能够运行基于特定网络协议的应用程序。同时,“隧道”采用现 有的安全检测和认证策略,还允许管理员和用户对数据进行加密,使数据更加安全。PPTP还提供了灵活的IP地址管理。如果企业专用的网络使用未经注册的IP地址,那么PNS将把此地址和企业专用地址联系起来。
PPTP协议是一个为中小企业提供的VPN解决方案,但PPTP协议在实现上存在着重大安全隐患。有研究表明其安全性甚至比PPP还要弱,因此不适用于需要一定安全保证的通信。如果条件允许,用户最好选择完全能够替代PPTP的下一代二层协议L2TP。
2、第二层转发(L2F)
L2F由Cisco公司在1998年5月提交给IETF,RFC2341对L2F有详细的阐述。L2F可以在多种介质(如AMT、帧中继、IP网)上建立多协议的安全虚拟专用网。它将链路层的协议(如HDLC,PPP,ASYNC等)封装起来传送。因此,网络的链路层完全独立于用户的链路层协议。L2F远端用户能够通过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接:NAS根据用户名等信息,发起第二重连接,呼叫用户网络的服务器。在这种方式下隧道的建立和配置对用户是完全透明的。L2F允许拨号接入服务器发送PPP帧传输并通过WAN连接到达L2F服务器。L2F服务器将包去封装后把它们接入到公司自己的网络中。
3、二层隧道协议(L2TP)
L2TP协议的前身是Microsoft公司的点到点隧道协议(PPTP)和Cisco公司的二层转发协议(L2F)。PPTP协议是一个为中小企业提供的VPN解决方案。但PPTP协议在实现上存在着重大安全隐患,有研究表明其安全性甚至比PPP还要弱,因此不适用于需要一定安全保证的通信。L2F协议是一种安全通信隧道协议,但它的主要缺陷是没有把标准加密方法包括在内,因此它也已经成为一个过时的隧道协议。IETF的开放标准L2TP协议结合了PPTP协议和L2F的优点,特别适合组建远程接入方式的VPN,已经成为事实上的工业标准。
远程拨号的用户通过本地PSTN、ISDN或PLMN拨号,利用ISP提供的VPDN特服号,接入ISP在当地的接入服务器(NAS)。NAS通过当地的VPDN的管理系统(如认证系统),对用户身份进行认证,并获得用户对应的企业安全网关(CPE)的隧道属性(如企业网关的IP地址等)。NAS根据获得的这些信息,采用适当的隧道协议封装上层协,议建立一个位于NAS和LNS(本地网络服务器)之间的虚拟转网。
4、多协议标记交换(MPLS)
MPLS为每个IP包加上一个固定长度的标签,并根据标签值转发数据包。MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道是十分容易的。同时,MPLS是一种完备的网络技术,可以用它来建立起VPN成员之间简单而高效的VPN。MPLS VPN适用于实现对服务质量、服务等级的划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。
CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。CE路由器不使用MPLS,它可以只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。PE路由器是与用户CE路由器相连的服务提供者边缘路由器。PE实际上就是MPLS中的边缘标记交换路由器(LER),它需要能够支持BGP协议,一种或几种IGP路由协议以及MPLS协议,需要能够执行IP包检查、协议转换等功能。
用户站点是指这样一组网络或子网,它们是用户网络的一部分并且通过一条或多条PE/CE链路接至VPN。一组共享相同路由信息的站点就构成了VPN。一个站点可以同时位于不同的几个VPN之中。
从MPLS VPN网络的结构可以看到,与前几种VPN技术不同,MPLS VPN网络中的主角虽然仍然是边缘路由器(此时是MPLS网络的边缘LSR),但是它需要公共IP网内部的所有相关路由都能够支持MPLS,所以这种技术对网络有较为特殊的要求。
5、IP安全(IPSec)
IPSec是专门为IP设计提供安全服务的一种协议(其实是一种协议族)。IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等。
IPSec主要由AH(认证头)、ESP(封装安全载荷)、IKE(因特网密钥交换)三个协议组成,各协议之间的关系如下图所示
①AH为IP数据包提供无连接的数据完整性和数据源身份认证,同时具有防重放攻击的能力。数据完整性校验通过消息认证码(如MD5)产生的校验来保证;数据源身份认证通过在待认证数据中加入一个共享密钥来实现;AH报头中的序列号可以防止重放攻击。
②ESP为IP数据包提供数据的保密性(加密)、无连接的数据完整性、数据源身份认证以及防重放攻击保护。其中的数据保密性是ESP的基本功能,而数据源身份证、数据完整性检验以及重放保护都是可选的。
③AH和ESP可以单独使用,也可以结合使用,甚至嵌套使用。通过这些组合方式,可以在两台主机、两台安全网关(防火墙和路由器),或者主机与安全网关之间使用。
④解释域(DOI)将所有的IPSec协议捆绑在一起,是IPSec安全参数的主要数据库。
⑤密钥管理包括IKE协议和安全联盟(SA)等部分。IKE提供密钥确定、密钥管理。它在通信系统之间建立安全联盟,是一个产生和交换密钥材料并协调IPSec参数框架。
IPSec可以在主机、路由器/防火墙(创建一个安全网关)或两者中同时实施和部署。用户可以根据对安全服务的要求决定究竟在什么地方实施。、为实现在专用或公共IP网络上的安全传输,IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。
6、通用路由封装(GRE)
通用路由协议封装(GRE)是由Cisco和NetSmiths等公司1994年提交给IETF的,标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GER隧道协议。
GER规定了如何用一种网络协议去封装另一种网络协议的方法。GER的隧道由两端的 源IP和目的IP来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。通过GER,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。GER只提供了数据包的封装,并没有加密功能来防止网络侦听和攻击,所以在实际环境中经常与IPSec在一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。GER的实施策略以及网络结构与IPSec非常相似,只需要网络边缘的接入设备支持GER协议即可。GER封装的格式如下图。
第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于实现专线VPN业务,L2TP主要用于实现拨号VPN业务(但也可以用于实现专线VPN业务),当然这些协议之间本身不是冲突的,而是可以结合使用的。
隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用桢作为数据交换单位。PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)桢中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
第三篇:物联网安防典型应用之智能视频客流统计
物联网安防典型应用之智能视频客流统计
物联网安防,顾名思义,物联网安防就是把物联网的产品和安防产品的功能特点结合起来,以达到安全防护的作用。也即是应用物联网技术来实现安防的应用。
另外一方面,基于物联网发展的需求,安防产品以及技术在物联网实现过程中的应用,是安防应用领域的延伸,其本质和最重要的就是安防产品智能化。
安防行业中,视频监控的应用占据了市场的绝大部分比例,所以安防产品的智能化首先要解决的就是视频监控技术的智能化。但是视频技术智能化之后,应用智能视频分析技术的物联网安防的引用绝不仅仅是视频监控应用,而是产生了以视频监控应用为核心、围绕在视频监控应用周围的一系列新的应用。
本主题将围绕智能视频、物联网安防这两个主题,来讨论和介绍行业内成熟的一系列新应用方向。
客流统计技术
客流统计是最近比较成熟和热门的一种智能应用。无论是商业、政府、学校、工地还是其他一些特别场合,人的数量都是一个非常重要的、不可忽视的数据信息:
1.商业需要人来消费,研究客流数据是商业智能分析的一个核心组成部分;
2.政府需要对人流趋势进行调查和预测,所有的交通规划、公共服务都需要客流数据作为支撑;
3.学校、工地等需要自动人员计数来进行教学和生产过程的管理等。
从物联网应用的角度来看,客流统计需要的核心是人体传感技术,需要利用各种探测技术,来感知、探测、统计人的流动数量、方向。
早期的一些客流统计的技术,诸如红外对射、红外幕帘、重力感应等,存在着诸多的缺陷,导致准确率偏低,统计出来的数据已经失去了应用分析的价值,在现在的实际应用中已经被、或者趋于淘汰。得益于视频分析技术的飞速发展,现在基于视频分析的客流统计技术已经日益成熟。
智能视频客流统计
智能视频客流统计技术,是指利用智能视频分析技术来实现客流统计的一类技术,常见的实现方式分为三种:
1.基于双目视差原理的双目立体视觉客流统计技术:它利用两个垂直向下的摄像头的视野差,来计算出下方经过的目标的高度,并匹配其中与人体高度接近的(如1.5米至1.8米)运动目标,统计其运动方向和数量。典型的如英国益百利使用的技术。
2.基于运动目标检测的客流统计技术:它利用面对出入口通道的摄像头采集来的视频,分析其中的运动目标,并通过运动目标跨越虚拟线来判断人流的运动方向和数量。国内绝大部分的厂商均提供的是这样的技术。
3.基于视频识别的模式匹配技术和运动跟踪技术来实现的客流统计技术:它利用垂直向下的摄像头来匹配这个角度下人头、肩膀、头发等人体通用特征,通过模式匹配技术来进行视频识别,然后再利用运动跟踪技术来实现对人流的运动方向和数量的统计。
通过对以上三种实现技术的了解,我们不难发现:
第一种方式实际上只通过高度这一个特征来判断下方经过的目标是否为人体,对于过低或过高的人会遗漏,而对于与人体高度差别不大的其他目标经过则会容易产生误判。
第二种方式在使用时需要对应用的环境、使用的镜头、安装的远近、角度等各中因素综合考虑,需要较多的现场项目配置才能达到比较好的效果,所以会导致这类技术还停留于项目型技术,很难产品化。
第三种方式,由于所有人体从上向下角度观看时,特征差异比较小,所以采用了垂直向下的角度进行模式特征匹配,这样可以精确匹配到视野内的人体目标,所以几乎无需进行任何设置即可适应绝大部份场合的客流统计工作,在市面上已经出现了产品化程度非常高的嵌入式客流统计终端产品。
从物联网系统的角度来讲,产品化的嵌入式客流统计终端,即是一种感知人体运动方向和数量的智能感知器,具有完整的感知、数据预处理和网络连接功能,是物联网安防应用的最重要的智能感知设备。嵌入式客流统计终端通过视频分析技术,挖掘了视频场景内的更深层次的“人流量”数据信息,是为一种物联网安防的优秀的感知器。
智能视频客流统计的应用
根据物联网的三要素感知、连接和应用,典型的智能视频客流统计的应用也主要分为三个有机的组成部分:前端的嵌入式客流统计终端,中间的网络连接和后端的客流统计分析应用平台。
现有的嵌入式客流统计终端,可选配内置3G模块,通上电源即可实现感知和连接的绝大部份功能。也可以通过普通的有线网络接入应用系统平台。
由于嵌入式客流统计终端上已经完成了人体识别和运动轨迹跟踪的所有工作,所以从嵌入式客流统计终端上输出的是客流数据信息,对网络的依赖程度也非常非常低;系统应用平台基于B/S架构构建,建设、部署、维护都非常的便利和灵活,给用户提供的应用途径也支持固定的PC和移动的手机服务等。
基于以上的客流统计分析平台,现在已经发展和实施的应用包括:
1.商业客流统计:基于时间趋势和空间趋势,来统计和分析客流量在商业场合的时间分布、空间分布状况,以便为商业经营着提供更直观和有效的决策依据。
2.矿井、生产车间等的出入人数进行统计和限制:通过嵌入式客流统计终端来统计进出矿井、生产车间等场合的人数,配合核对考勤记录,防止工人在复杂、危险场所迷失。
3.公交车辆、长途车辆以及校车的人数统计:通过对移动车辆上下车人数的实时分析,可以实现对公交车辆的动态调度决策、对长途车辆的中途上下客和收费进行监管、对校车的超载行为进行预警管理等。
4.KTV、夜总会、网吧、电影院等经营性文化娱乐场所的场内人数超限管理:根据文化部2006年发布的文件要求,为了防止安全隐患,经营性文化娱乐场所的人均经营面积不得低于1.5平方米。政策的执行和监管可以通过客流统计来实现应用。
智能视频分析技术支持下的客流统计分析系统,由于分析的对象是人的移动状态、信息、数据,所以具有非常广阔的应用空间。在物联网安防的框架下,嵌入式客流统计终端作为客流量信息的智能感知器,能为后端平台应用系统挖掘出有效和准确的客流量信息,从而可以带来诸多具体的实际应用和优秀的应用潜力。
第四篇:Excel表格函数应用之小结
Excel表格函数应用之小结
1、如果想将前一列的数值都除以3后再下一列显示出来,可以在fx栏里输入=A2/3,然后回车即可;如果想让前两列相加后再除以3,则可以在fx栏里输入=(A2+B2)/3,然后回车即可;如果想让前两列相乘后再除以3,则可以在fx栏里输入=(A2+B2)/3,然后回车即可;
第五篇:数字化校园建设与应用之探讨
浅论数字化校园建设与应用
梁晓峰
【摘要】实现数字化校园的过程中,学校领导要更新观念,要养成信息习惯和素养,提高利用数字化信息能力。教师要加强对数字化理论学习和提高认识,克服麻烦思想,熟练掌握使用数字化信息的能力。在加强数字化校园建设中,广大师生充分利用信息化工具和方法,构建一个集学习、教学、教科研、学生管理、服务为一体的先进的教学环境。
【关键字】 数字化建设应用
数字化是人类社会进入二十一世纪后社会发展和进步的一个大跨跃,是当今社会文明的一个显著特征。数字化校园是教育现代化发展的一个里程碑,建设数字化校园环境也是现代化学校的一个显著标志。
《数字化生存》的作者尼葛洛庞帝说:“在广大浩瀚的宇宙中,数字化生存使每个人变得更容易接近,让弱小孤寂者也能发出他们的心声”。数字化时代不仅给我们带来全面更新的新理念、新概念,也给我们的思维方式、工作方式、生活方式、交往方式直至生存模式等带来巨大的,也可以说是翻天覆地的变革。企业生产模式、农业生产销售模式、商业采购经营模式、信息传播、智能住宅,甚至连购物、娱乐等都在向数字化方向发展,数字化产业已经由原来的注重产品价格向着注重产品质量和服务质量方向转型,数字化不仅成为新世纪的新时尚,数字化更是社会经济发展中的一场范围广泛的革命。数字化推动了社会经济的跨越式发展,数字化与社会经济发展不可分割,使经济社会成为数字化社会经济。天津滨海新区全面开创科学发展新格局将是天津数字化社会经济的前驱,一个“数字化天津”正在形成。因此,数字化对社会经济发展的影响重大。
数字化推动了社会经济的大发展,人民群众享受到数字化社会带给的高质量的生活,对教育,对高质量、高学历的优质教育的要求也随之提高。教育资源不均衡问题,提供受教育机会的公平问题,人民群众对教育的大发展给与极大地关
注和期盼。因此,建立数字化校园成为实现快速教育发展,全面提升教育质量,满足千家万户人民群众期望是必然的选择。建设数字化校园,是素质教育的需要,是教育现代化的发展方向,数字化校园建设在学校实现管理、教育信息化、学校的课程改革和学生的素质提升将发挥不可估量的作用。
一、关于数字化校园建设的思路
什么是数字化校园呢?数字化校园是由数字化的信息管理方式形成校园高度信息化,以沟通、传播形式形成高度信息化的人才培养环境。数字化校园就是利用计算机技术、网络通讯技术对学校的教育教学、教育科研、管理和后勤服务等所有信息资源进行全面的数字化,并科学规范地对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制,通过组织和业务流程再造,推动学校进行制度创新、管理创新,最终实现教育信息化、决策科学化和管理规范化。
学校应结合其办学特点,实现以产、教、学为基础,以教师和学生为核心建设高速稳定的数字化校园环境,以满足教师的教育教学需要,以满足学生的就业需要和满足学生个性学习、个性发展的需要,最终实现学校的教育发展。基于以上思考,数字化校园建设总的思路应该是:
1、以数字化校园为依托,营造学校管理文化;优化学校数字化教育教学环境,营造教师信息化素养;营造学生数字化学习环境,提升学生信息化素质;使数字化环境服务于课堂教学,整合学科课程,为学校信息化提供全方位的服务。
2、以网络管理服务为中心,以数据中心和信息应用为平台,紧紧围绕管理、服务和资源三个要素构建数字化校园应用平台。重点建设校园资源中心、校园管理中心、校园就业服务指导中心、校园服务中心,以形成特有的校园资源环境、校园管理信息环境、校园教科研信息环境、学生成长信息环境和校园服务等“五大环境”。
3、在设计和数字化校园建设时要充分考虑到学校的未来发展。
在总体规划建设时要从“畅通、重点、应用”的建设为原则,使学校计算机网络覆盖全校所有教学场所,并能够宽带接入互联网,实现资源共享,避免形成“信息孤岛”。在进行数字化校园建设时,要考虑学校实际的技术,从“硬件设备”、“软件环境”、“数字资源”、“服务应用”、“快速高效”、“提升发展”、“校园安全”等七个方面兼顾。
4、建设数字化校园,营造数字化校园环境应体现在课堂教学上,策略在“推动可持续发展”上,落实在全面提升教育教学质量上。
实现数字化校园建设和应用的最终目的借用天津达沃斯论坛主题,就是实现教育质量的“推动可持续增长”,为国家,为社会培养更多的创新型、实用型和复合型人才。正如第二十五个教师节温家宝总理北京35中学调研时说的:教育要符合建设中国特色社会主义对人才的要求。改革开放和经济社会发展不仅需要各种各样的人才,而且对人才的要求越来越高。要立足于现代化建设对人才的实际需要,不断调整专业设置和课程设计,努力培养创新型、实用型和复合型人才,同时要加强爱国主义和理想信念教育,培养学生增强社会责任感,报效祖国,服务社会。学校的数字化校园建设带给学校的领导者是全新的管理理念,给教师带了的是全新的教学模式,给学生带来的是全新的学习方法,给校园带来崭新的生活方式。
二、数字化校园建设模式
数字化校园概念模式的通常描述是:数字化校园包含理念层、信息层、应用层和物理层四个层次。
(一)概念模式四个层次
1、理念层主要指国家、地方、学校的政策法令法规、政策规定,教育教学理念,办学方向、规划,人才培养模式、目标,创新知识、创新理论,教育教学原则、内容、方法的教学改革交流等。
2、信息层主要指信息学习和信息技能。如信息获取、信息检索、信息表达、信息交流、信息处理等。
3、应用层主要指以管理、教学为核心的应用系统。应用系统提供各种信息资源,包括与长期建立合作关系的企业现实的生产、产品、科技技术、人才需求规格等信息资源。以应用系统为平台建立各种信息系统,如:行政信息管理系统、办公自动化系统、德育教育管理信息系统、教学管理信息系统、网上教学系统、图书借阅览系统、财务管理系统、数据库、家校通系统等实际应用系统。
4、物理层是指网络和数字化设施以及具备这些设施的实体,构成数字化校园的基础平台。
这四层之间的关系可以这样描述:物理层是保证,信息层是前提,应用层是环境,理念层是目标。信息层体现数字化校园应用层的效果、内容、形式和运行方法,决定了应用层的组织利用,推动理念层的形成。
(二)四个硬件、五个主系统
所谓的四个硬件建设,数字化校园建设首先是教学应用终端的建设,包括计算机网络教室的建设,多功能音视频教室的建设,“班班通”建设,教师的计算机设备建设,多媒体教室的建设,数字化实验室德建设,图书馆信息化(电子阅览室)的建设,会议室中多媒体建设等;其次,要通过有线、无线或有无线相结合的方式建设建立校园网,并将校园网络覆盖学校的办公、教学、生活等主要场所,并宽带接入上级教育行政城域网和互联网;第三个,校园安全监控设备的建设;第四个,“校内一卡通”和“家校通”建设。数字化校园建设的四个系统,主要在校园内部数字化建设中支撑学校信息化应用的系统。大致要具体建设如下五个主系统:
1、行政信息管理系统,主要是校内的行政信息管理系统,由办公自动化、党务、人事、财务管理工作构成。行政信息管理系统主要用于学校内部,记载学校党务、人事工作收集与维护本校教职工个人基本状况信息、岗位职责、绩效考核、职称、学历、工资,教师成长等信息情况。办公自动化,主要是公文的处理
和传送工作,以提高各部门之间的协作、工作效率,确保学校领导能够方便、及时地下达、获得各种信息和统计数据,了解各方面、各项工作的进展落实情况,并利用自动化功能将学校内部的信息资料积累起来,保存起来,在学校内部实现知识、资料的共享,推进学校管理创新。
2、教学(教务)管理系统,主要是涉及课程管理、建立和完善教学规章制度,教学计划的落实、考务管理、成绩管理、教材管理、教师的教育教学工作信息、教师业务、教学反思分析,教学与科研的论文研究,论文素材的采集指导,校本教材的编写与运用,对教师的评价,对学生的学籍管理,对学生的评价以及教育教学突发事件的处理等信息。
3、德育教育系统,主要是对学生进行爱国主义和理想信念教育,培养学生增强社会责任感,报效祖国,服务社会的平台。以及对学生特长的培养,对学生活动、学习、生活专题报道,对学生的心理咨询等。
4、资源应用管理系统,主要涉及学校的资料(信息)库、数字图书馆、数字校史馆等。实现图书数字化,为师生创建一个自主、轻松和高效的学习环境。
5、安全过滤系统,避免黑客对校园网络的侵入破坏。
诸如管理系统、教学支撑系统、学习交流系统、资源应用系统,安全过滤系统,包括“校内一卡通”和“家校通”建设等等,学校要建设一个综合管理平台,将各类应用系统整合在一个平台上,实现资源共享统一管理。
三、数字化校园应用
校园实现数字化信息管理、数字化教学、数字化服务关键在应用。校园实现数字化以后,学校校园和教室已经不是传统意义上的围栏校园和封闭教室,而是居于网络环境之中虚拟开放的校园和无限广阔的空间教室。教师和学生均处于网络空间、信息空间之中,处于开放的时间、空间之中。教师不再局限于现有的的书本知识,学生也真正的不再是课本的奴隶。自主式学习、合作式学习、个性化学习成为学生学习的主体方式。大量的信息资源提供大量的知识信息,新知识、新科技层出不穷,不断更新着信息资源,是教师教学学习的源泉,使得教师的可供学习的教学资源扩大到整个信息空间,充分体现出教学内容的广泛性。与此同
时,学生自主学习的知识内容也随着开放的信息资源接受新的社会理念和新的科学知识,信息空间也同样给学生提供开放的“广阔天地”。
数字化校园冲击着封闭的校园文化,打破传统的学校管理模式、教学模式、评价机制和做法,改变着领导的管理理念,重新树立“以教师为本”的管理理念,重新审视教育工作者的传统教育观念和做法。教师的“双基”要求正在改变,教师一本书、一支笔一辈子的时代已经过去,数字化校园正在改变和提升教师的综合素质。
学生的成长,离不开社会的支持,离不开家长的支持和指导,家长是学生成长的关键,家长是学生的第一任教师,对学生成长起决定性的作用。做好家长的工作,得到家长的支持和社会的支持,可以对学生进行良好的教育。“校内一卡通”和“家校通”建设,为学生、学生家长和社会提供了一种更新、更有效、更便捷的沟通方式,在实现学校教育和家庭教育有机互动的情况下,能够更好地促进下一代的健康成长。通过“家校互动”平台,学校可以将面向学生、家长的重要公告,以及收费通知、学校情况等信息及时告知家长,家长也可以将信息向学校和老师反馈,从而实现学校管理的透明化、公开化和信息化。
实现数字化校园建设是一项巨大的工程,也是一项民心工程。在实现数字化校园的过程中,学校的领导要更新观念,要养成信息习惯和素养,提高利用数字化信息能力。教师要加强对数字化理论学习和提高认识,克服麻烦思想,熟练掌握使用数字化信息的能力。在加强数字化校园建设中,广大师生充分利用信息化工具和方法,构建一个集学习、教学、教科研、学生管理、服务为一体的先进的教学环境。
参考文献
[1] 天津市教育事业发展第十一个五年规划
[2] 中国人民大学数字化校园建设模式探讨(中国电脑教育报2004年11月16日)
点击咨询 